توضیحی در مورد نیازهای پیشنهادی KYC برای FinCEN

بخش سیاست

شبکه اجرای جرایم مالی

P.O. جعبه 39

وین ، VA 22183

شماره اتصال FINCEN-2020-0020 ، RIN 1506-AB47

4 ژانویه 2020

آقا یا خانم عزیز,

به نظر می رسد مقررات پیشنهادی در مورد گزارش معاملات ارزی و نگهداری سوابق لازم است که بانک ها و مشاغل خدمات پولی (MSB) بتوانند ثابت کنند که طرف مقابل شناسایی شده در یک معامله در واقع صاحب یک یا چند آدرس ارز رمزنگاری شده است ، درصورتی که آن طرف از کیف پول غیرقانونی استفاده می کند و ارزش معامله بیش از 3000 دلار است. (مارک 3000 دلار به شرط ثبت سوابق استناد می کند ، در حالی که مارک 10،000 دلار نیز به گزارش گزارش معاملات ارزی استناد می کند.)

این پیشنهاد تمایزی صریح بین برداشت و سپرده قائل نیست ، بنابراین تصور می کنم که الزام مالکیت فوق الذکر در صورتی که بیش از 3000 دلار باشد و شامل طرف مقابل با کیف پول غیرقابل نگهداری باشد ، در مورد هر دو نوع معاملات اعمال خواهد شد..

از اینجا به بعد ، هر رویه یا تدابیری را که سعی در اثبات ارتباط مالکیت بین هویت طرف مقابل و یک یا چند آدرس ارز رمزپایه دارد ، به عنوان “روش تأیید آدرس” صدا می کنم. من از روند کلی خود به عنوان “تأیید آدرس” نام می برم.

در کشور محل اقامت من ، هلند ، بانک مرکزی در پاییز سال گذشته برای انجام معاملات از صرافی ها و متولیان متضمن برداشت از یک کیف پول غیرحضوری از طریق تأیید آدرس شتافت. بر خلاف پیشنهاد شما ، در این موارد صرف نظر از ارزش معامله ، تأیید آدرس در هلند لازم است. تأیید آدرس الزامی برای واریز از کیف پول غیرقانونی نیست.

من به عنوان یک مشاور و مربی دیرینه در اکوسیستم ارز رمزنگاری شده ، با توجه به اقداماتی که اخیراً توسط بانک مرکزی هلند (De Nederlandsche Bank NV) انجام شده است ، به بررسی کاربردی و مطلوب بودن تأیید آدرس پرداخته ام. و من می خواهم نظرات خود را در مورد این موارد با شما در میان بگذارم.

به طور کلی ، اعتقاد من این است که تأیید آدرس بعید است در مبارزه با جرم مالی بسیار کارآمد باشد و هزینه های قابل توجهی را برای تجارت و نوآوری و حفظ حریم خصوصی و امنیت مشتری به همراه دارد..

در این نامه ، من می خواهم توضیح دهم که چرا من نسبت به عمل تأیید آدرس بدبین هستم و چرا پیشنهاد شما را غیرقابل اجرا و متناسب نمی دانم. قبل از شروع ، می خواهم سه نظر در مورد دامنه بازخورد انتقادی خود ارائه دهم.

اولاً ، نه از طریق پیشنهاد شما و نه از نظرات اضافی در مورد شما ، من نتوانسته ام دقیقاً بفهمم که شما چه نوع اقداماتی را برای تأیید آدرس پیشنهاد می کنید. با این حال من فرض می کنم که شما روشهای مشابهی را که در حال حاضر توسط بانک مرکزی در هلند به متولیان و مبادلات ما توصیه می شود ، در ذهن دارید..

از این رو ، من روشهای پیشنهادی آن را به عنوان راهنما برای تدوین انتقادات خود در مورد تأیید آدرس در نظر خواهم گرفت. این روش های پیشنهادی به شرح زیر است:

  • برای اینکه مشتریان از کیف پولهایشان با آدرس مقصد عکس بگیرند
  • ویدئو کنفرانس مشتری و مشاغل در حین معامله
  • برای اینکه مشتریان با استفاده از کلید خصوصی مرتبط دیجیتالی آدرس مقصد را امضا کنند
  • تا مشتریان کمی از بیت کوین دریافتی خود را به صرافی یا متولی بازگردانند
  • برای تأمین نشانی مشتری توسط مشتری (احتمالاً با داشتن یک کلید عمومی گسترده از نام قبلی)

دوم ، من مثال های خود را به مواردی که پول به یک کیف پول بدون خانه برداشت می شود محدود می کنم. همین انتقادها را می توان در مورد پرونده ای که پول از یک کیف پول جدا نشده واریز می شود ، استفاده کرد. در حقیقت ، تأیید آدرس در مورد سپرده ها حتی یک مشکل عملی بزرگتر است ، زیرا معاملات ارزهای رمزپایه معمولاً شامل چندین خروجی معامله هزینه نشده به عنوان ورودی آنها است (به این معنی که شما باید طرف مقابل مشخص شده را به چندین آدرس و نه فقط یک اتصال دهید).

سوم ، آیین نامه شما همچنین تأیید آدرس را در مواردی که کیف پول طرف مقابل میزبانی می کند پیشنهاد می کند ، اما بانک یا MSB که طرف مقابل مشتری آن است ، در برخی از حوزه های قضایی خارجی واقع شده است. من فقط تفسیر خود را فقط به مواردی محدود می کنم که طرف مقابل از کیف پول غیرقانونی استفاده می کند.

غیرمولد در مبارزه با جرایم مالی

این پیشنهاد برای تأیید آدرس برای مقابله با طیف گسترده ای از جرایم مالی در نظر گرفته شده است. به عنوان مثال در خلاصه اجرایی, پیشنهاد ایالت ها:

همانطور که در زیر توضیح داده شده است ، مقامات ایالات متحده دریافته اند که بازیگران بدخیم به طور فزاینده ای از CVC برای تسهیل تأمین مالی بین المللی تروریسم ، گسترش سلاح ، جلوگیری از تحریم ها و پولشویی غیرقانونی پول ، و همچنین خرید و فروش مواد کنترل شده ، اسناد شناسایی دزدیده شده و جعلی و دسترسی استفاده می کنند. دستگاه ها ، کالاهای تقلبی ، بدافزار و سایر ابزارهای هک رایانه ای ، سلاح گرم و مواد شیمیایی سمی. علاوه بر این ، حملات باج افزار و تقاضاهای مربوط به پرداخت ، که تقریباً به طور انحصاری در CVC انجام می شود ، بر شدت آنها افزوده می شود و G7 به طور خاص نگرانی در مورد حملات باج افزارها را ذکر کرده است actors.

من نمی توانم در مورد همه این جرایم رویه های تأیید آدرس را بحث کنم. بنابراین ، در عوض ، من فقط بحث خود را به برخی از جرایم مالی محدود می کنم که حداقل بخش عمده ای از نگرانی های این مقررات پیشنهادی است: پولشویی ، تأمین مالی تروریسم و ​​فرار از مجازات.

اینها از نظر ساختاری بسیار شبیه جنایات هستند ، حتی اگر از نظر زیربنایی و مواد قانونی متفاوت باشند. و به نظر من ، روشهای تأیید آدرس تأثیر کمی در مبارزه با آنها خواهد داشت.

به عنوان مثال فرض کنید مشتری صرافی قصد پولشویی برای کارتل مواد مخدر از طریق بیت کوین را دارد و صرافی تأیید آدرس را با گرفتن اسکرین شات از کیف پول مشتریان انجام می دهد. دقیقاً چگونه این امر باعث می شود مشتری از شرکت در فعالیت های پولشویی جلوگیری کند?

مشتری می تواند به راحتی به روش زیر نیاز را دور بزند:

  • در کیف پول خود آدرس ایجاد کنید و از آن عکس بگیرید. بعد از اینکه صرافی معامله را تأیید کرد و مشتری بیت کوین را دریافت کرد ، می تواند آنها را به سازمان جنایتکار منتقل کند.
  • آدرسی را که مستقیماً متعلق به سازمان جنایتکار است دریافت کنید و آن را در یک کیف پول فقط تماشا کنید. مشتری از این کیف پول فقط تماشایی و آدرس مقصد اسکرین شات می گیرد. صرافی تصویر را تأیید می کند و بیت کوین را مستقیماً به سازمان جنایتکار منتقل می کند. مشتری هرگز به بیت کوین دسترسی ندارد.
  • آدرسی را که مستقیماً متعلق به سازمان جنایتکار است دریافت کنید و یک عکس صفحه جعلی ایجاد کنید ، مانند با تولید کننده عکس کیف پول بیت کوین. صرافی تصویر مشتری را تأیید می کند و بیت کوین را مستقیماً برای سازمان جنایی ارسال می کند. مشتری هرگز به بیت کوین دسترسی ندارد.

بعضی اوقات مشتری ها را به جای اینکه عمداً از یک سازمان جنایتکار حمایت کنند ، فریب می دهند. با این حال ، حتی برای چنین مشتریانی ، در مورد بازتاب های من در بالا خیلی تغییر نخواهد کرد. اگر بتوان مشتری را فریب داد تا به عنوان یک قاصد برای یک سازمان جنایتکار شناخته شود ، مشخص نیست که چگونه یک تصویر ممکن است به جلوگیری از حماقت آنها کمک کند.

و این نتیجه گیری را می توان به طور کلی در مورد سایر روشهای تأیید آدرس انجام داد. من فقط اجرای تصویری تأیید آدرس را انتخاب نکردم. بسیاری از اقدامات عملی دیگر – مانند ساخت امضای دیجیتالی یا ارسال برخی از وجوه – سطح بی عیب و نقصی مشابهی را تجربه می کنند.

به طور کلی ، به نظر می رسد رویه های تأیید آدرس در هنگام اجرای مراقبت دقیق مشتری و روش های نظارت بر معاملات ، هیچ مزیت ملموسی اضافی در رابطه با مبارزه با پولشویی ، تأمین مالی تروریسم و ​​فرار از مجازات ندارد..

من خیلی مطمئن نیستم که تأیید آدرس به خوبی با انواع دیگر جرایم مالی مبارزه می کند ، حداقل به هیچ وجه که نمی تواند به روشی کمتر تهاجمی انجام شود. من معتقدم نظرات بالا برای نشان دادن انواع مشکلات اثربخشی تأیید آدرس در عمل تجربه کافی است.

هزینه های روش تأیید آدرس

تأیید آدرس نیز هزینه های قابل توجهی دارد. اینکه دقیقاً این هزینه ها چقدر باشد به اقدامات دقیق انجام شده توسط بانک ها و بانک های MSB بستگی دارد که مجبور به اجرای آن هستند. اما من می خواهم بر دو نگرانی عمده تأکید کنم که در درجات مختلف ، احتمالاً تا حدی برای هرگونه اجرای عملی تأیید آدرس اعمال می شود.

اول ، روش های تأیید آدرس مانعی برای تجارت و نوآوری است.

به عنوان مثال ، فرض کنید که در یک مبادله ، همه طرفین متعهد شدند که از طریق امضای دیجیتال بر روی آدرس (ها) ارتباطی بین هویت و آدرس ارز رمزنگاری شده خود بر روی کیف پول غیرقانونی برقرار کنند. (من لحظه ای این نگرانی را کنار گذاشتم که این اثبات بی تأثیر هر چیزی باشد).

اکثر مشتریان ایده ای برای ساختن امضاهای دیجیتالی ندارند و این باعث ایجاد شکایت و درخواستهای مشتری می شود. همچنین نیاز به مشتریان برای تهیه نرم افزار و سخت افزاری است که می تواند با خیال راحت به آنها امکان ساخت این امضاهای دیجیتالی را بدهد. در نتیجه هرج و مرج اجرای چنین رویه تأیید آدرس ، بسیاری از مشاغل از بین خواهد رفت.

برخی از پیاده سازی های احتمالی تأیید آدرس ، البته ممکن است در تجارت تهاجمی کمتری داشته باشد ، مانند تصویر از کیف پول (باز هم نگرانی از این که اثبات بی اثر بودن هر چیزی باشد). اما حتی در اینجا ، باید تشخیص دهیم که برخی از هزینه ها یا عوارض تجارت و نوآوری تحقق می یابد.

به عنوان مثال ، از آنجا که ارزهای رمزپایه قابل برنامه ریزی هستند ، می توانید آنها را به آدرسهایی که تحت پروتکلهای غیرمتمرکز اداره می شوند و نه انسانها بفرستید. در حالی که این پروتکلهای غیرمتمرکز در حال حاضر عمدتا در حال آزمایش هستند ، اما ممکن است موارد استفاده بسیار جالب و ارزشمندی داشته باشند.

اما این پروتکلهای غیرمتمرکز دقیقاً چگونه می توانند در شرایط تأیید آدرس پیشنهادی قرار بگیرند?

به نظر من ، آیین نامه های پیشنهادی نمی تواند شامل این نوع موارد استفاده شود: پروتکل های غیرمتمرکز ، هویت یا آدرس فیزیکی ندارند. بنابراین ، حتی یک اقدام نسبتاً ساده برای اجرای تأیید آدرس توسط بانک یا MSB ، مانند عکس کیف پول ، عواقب منفی برای تجارت و نوآوری خواهد داشت.

دوم ، تأیید آدرس احتمالاً به حریم خصوصی و امنیت مشتری آسیب می رساند. من فقط چند مورد از پیاده سازی های احتمالی را توضیح خواهم داد.

برای شروع ، یک عکس از صفحه نشان می دهد که مشتری از چه نوع کیف پول استفاده می کند و به طور بالقوه اطلاعات بیشتر ، به طور بالقوه در مورد نوع سیستم عامل یا دستگاه. یک کنفرانس ویدیویی حتی اطلاعات بیشتری در مورد تنظیمات ذخیره شخصی مشتری را نشان می دهد.

این نوع اطلاعات در دستان اشتباه بسیار خطرناک است. ما از مشتریان بازرگانان فلزات گرانبها نمی خواهیم که طلا و نقره خود را در کجا ذخیره کنند. پس چرا این کار را با مشتریان بیت کوین انجام می دهیم?

در حالی که من تشخیص می دهم که بیت کوین بسیار روان است و خطرات بیشتری را در رابطه با جرایم مالی ارائه می دهد ، به نظر من هرچه خطرات مربوط به حفظ حریم خصوصی و امنیت مشتری بالاتر باشد ، با روشهای تأیید آدرس متناسب نیستند.

نامزد احتمالی دیگر برای تأیید آدرس ، ساختن امضای دیجیتالی از طریق آدرس طرف مقابل است. این یک بهترین روش کاملاً ثابت در صنعت بیت کوین است که شما فقط هنگام انجام معامله کلید عمومی خود را فاش می کنید (از این رو ، چرا فقط باید یک بار از آدرس استفاده کنید). این نوع اقدامات به طور مستقیم با بهترین شیوه های صنعت مغایرت دارد.

نتیجه

در پایان ، من شک دارم که روشهای تأیید آدرس ، همانطور که برای زمینه هایی که توسط این مقررات تجویز می شود ، کمک واقعی به مبارزه با جرایم مالی می کند. حداقل ، من واقعاً هیچ اجرای صحیحی از آنها را ندیده ام که باعث شود فکر دیگری داشته باشم.

علاوه بر این ، روش های تأیید آدرس با هزینه های تجارت و نوآوری و امنیت و حریم خصوصی مشتری همراه است. مطمئناً این هزینه ها به نحوه دقیق اجرای آنها بستگی دارد. اما حداقل به هر روشی که بتوانم اجرای آنها را تصور کنم ، هزینه هایی را متحمل خواهند شد.

بنابراین ، من از FinCEN می خواهم که با این پیشنهاد به شکل فعلی حرکت خود را متوقف کند. به نظر من هر پیشنهاد اصلاح شده ای باید به سه سوال اصلی پاسخ دهد:

  1. دقیقاً نحوه تأیید آدرس توسط بانکها و MSB باید اجرا شود?
  2. چگونه این مراحل برای تأیید آدرس با طیف گسترده ای از جرایم مالی ذکر شده در پیشنهاد مقابله می کند?
  3. هزینه های تجارت و نوآوری و حریم خصوصی و امنیت مشتری در روشهای تأیید آدرس دقیقاً چقدر خواهد بود?

خالصانه,

همبرگرهای ژان ویلم

نویسنده می خواهد از Daan Kleiman برای بازخورد انتقادی خود در مورد نسخه قبلی این نامه تشکر کند.