Комментарий к предлагаемым требованиям KYC FinCEN
Отдел политики
Сеть по борьбе с финансовыми преступлениями
P.O. Коробка 39
Вена, VA 22183
Журнал FinCEN № FINCEN-2020-0020, RIN 1506-AB47
4 января 2020 г.
Уважаемые дамы и господа,
Предлагаемые правила по отчетам о валютных транзакциях и ведению учета, по-видимому, требуют, чтобы банки и компании, предоставляющие денежные услуги (MSB), имели возможность доказать, что идентифицированный контрагент по транзакции действительно владеет одним или несколькими конкретными адресами криптовалюты, когда этот контрагент использует неофициальный кошелек. и сумма транзакции превышает 3000 долларов США. (Отметка 3000 долларов вызовет требование ведения учета, в то время как отметка 10000 долларов также вызовет требование отчета о валютных операциях.)
В предложении не делается явного различия между снятием средств и депозитами, поэтому я предполагаю, что вышеупомянутое требование подтверждения права собственности будет применяться к обоим типам транзакций, если они превышают 3000 долларов и включают контрагента с нерасположенным кошельком..
С этого момента я буду называть любую процедуру или меру, которая пытается доказать связь собственности между идентичностью контрагента и одним или несколькими адресами криптовалюты, как «процедуру проверки адреса». Я буду называть сам общий процесс «проверкой адреса».
В моей стране проживания, Нидерландах, центральный банк прошлой осенью в спешке проверил адрес для тех транзакций от бирж и депозитариев, которые предполагают снятие средств на неофициальный кошелек. В отличие от вашего предложения, в этих случаях при снятии средств в Нидерландах требуется проверка адреса, независимо от суммы транзакции. Подтверждение адреса не является обязательным требованием для пополнения счёта из кошелька без хостинга.
Как давний консультант и преподаватель в экосистеме криптовалюты, я уделял большое внимание практичности и желательности проверки адреса в свете мер, которые недавно были приняты центральным банком Нидерландов (De Nederlandsche Bank NV). И я хочу поделиться с вами своими мыслями по этим вопросам.
В целом, я убежден, что проверка адреса вряд ли будет очень продуктивной в борьбе с финансовыми преступлениями и что она сопряжена со значительными расходами для коммерции и инноваций, а также конфиденциальности и безопасности клиентов..
В этом письме я хотел бы объяснить, почему я так скептически отношусь к практике проверки адресов и почему считаю ваше предложение неработоспособным и несоразмерным. Перед тем как начать, я хотел бы сделать три комментария относительно объема моих критических отзывов..
Во-первых, ни из вашего предложения, ни из каких-либо дополнительных комментариев с вашей стороны я не смог точно установить, какие типы мер вы предлагаете для проверки адреса. Однако я предполагаю, что вы имеете в виду процедуры, аналогичные тем, которые в настоящее время рекомендуются центральным банком Нидерландов для наших хранителей и бирж..
Следовательно, я буду использовать предлагаемые процедуры в качестве руководства для формулирования моей критики проверки адреса. Предлагаемые процедуры заключаются в следующем:
- Чтобы клиенты могли делать скриншоты своих кошельков с адресом назначения
- Для клиента и бизнеса видеоконференция во время сделки
- Чтобы клиенты могли поставить цифровую подпись на адрес назначения с помощью соответствующего закрытого ключа
- Для клиентов, чтобы вернуть небольшую часть биткойнов, которые они получили, на биржу или хранителю
- Для бизнеса предоставить клиенту адрес (предположительно, обладая расширенным открытым ключом первого)
Во-вторых, я ограничусь своими примерами случаями, когда деньги выводятся в кошелек без хоста. Такую же критику можно использовать и в отношении случая, когда деньги депонируются из неофициального кошелька. Фактически, проверка адреса является еще более серьезной практической проблемой в случае депозитов, поскольку транзакции с криптовалютой обычно включают в себя несколько неизрасходованных выходных транзакций в качестве входных данных (это означает, что вам придется подключить идентифицированного контрагента к нескольким адресам, а не только к одному).
В-третьих, в вашем нормативном акте также предлагается проверка адреса в тех случаях, когда кошелек контрагента размещен, но банк или MSB, клиентом которого является контрагент, находится в определенных иностранных юрисдикциях. Я ограничиваю свои комментарии только случаями, когда контрагент использует не размещенный на хосте кошелек..
Непродуктивно в борьбе с финансовыми преступлениями
Предложение предназначено для проверки адреса для борьбы с широким спектром финансовых преступлений. В резюме, например, предложение состояния:
Как поясняется ниже, власти США обнаружили, что злоумышленники все чаще используют CVC для облегчения международного финансирования терроризма, распространения оружия, уклонения от санкций и отмывания денег, а также для покупки и продажи контролируемых веществ, украденных и поддельных идентификационных документов и доступа к ним. устройства, контрафактные товары, вредоносные программы и другие инструменты для взлома компьютеров, огнестрельное оружие и токсичные химические вещества. Кроме того, атаки программ-вымогателей и связанные с ними требования оплаты, которые почти полностью выражаются в CVC, становятся все более серьезными, и G7 особо отметила озабоченность по поводу атак программ-вымогателей «в свете злоумышленников, нацеленных на критические сектора в условиях пандемии COVID-19..
Я не могу обсуждать процедуры проверки адреса в отношении всех этих преступлений. Поэтому вместо этого я просто ограничу свое обсуждение некоторыми финансовыми преступлениями, которые, по крайней мере, составляют основную часть проблем, связанных с этими предлагаемыми правилами: отмывание денег, финансирование терроризма и уклонение от санкций..
Эти преступления очень похожи по своей структуре, хотя они и различаются по юридической подоплеке и содержанию. И процедуры проверки адреса мало повлияют на борьбу с ними по тем же причинам, на мой взгляд..
Предположим, например, что клиент биржи намеревается отмыть деньги для наркокартеля через биткойны, и что биржа реализует проверку адреса, заставляя клиентов делать скриншоты своих кошельков. Как именно это остановит клиента от участия в деятельности по отмыванию денег?
Заказчик мог легко обойти требование следующим образом:
- Создайте адрес в собственном кошельке и сделайте снимок экрана. После того, как биржа подтвердит транзакцию и клиент получит биткойны, они могут передать их преступной организации..
- Получите адрес, напрямую принадлежащий преступной организации, и включите его в кошелек только для просмотра. Клиент делает снимок экрана этого кошелька, предназначенного только для просмотра, и адреса назначения. Биржа подтверждает скриншот и напрямую передает биткойн преступной организации. У клиента никогда не было доступа к биткойнам..
- Получите адрес, непосредственно принадлежащий преступной организации, и создайте фальшивый снимок экрана, например, с Генератор скриншотов биткойн-кошелька. Биржа подтверждает скриншот клиента и отправляет биткойн напрямую преступной организации. У клиента никогда не было доступа к биткойнам..
Иногда клиентов обманом заставляют превращаться в денежных мулов вместо того, чтобы намеренно поддерживать преступную организацию. Однако даже для таких клиентов это не сильно изменило бы мои размышления выше. Если клиента можно обманом заставить стать мулом преступной организации, непонятно, как снимок экрана может помочь предотвратить его глупость..
И эти выводы можно сделать в более общем плане относительно большинства других процедур проверки адреса. Я не просто выбрал скриншоты с реализацией проверки адреса. Многие другие практические реализации, такие как создание цифровых подписей или возврат части средств, испытали бы аналогичный уровень безответственности..
В целом, процедуры проверки адреса, похоже, не дают дополнительных ощутимых преимуществ в отношении борьбы с отмыванием денег, финансированием терроризма и уклонением от санкций при наличии стандартных процедур должной осмотрительности клиентов и мониторинга транзакций..
Я не очень уверен, что проверка адреса также хорошо борется с другими видами финансовых преступлений, по крайней мере, таким образом, который нельзя было бы сделать менее инвазивным способом. Я считаю, что приведенных выше комментариев достаточно, чтобы показать, какие типы проблем с эффективностью проверки адресов будут возникать на практике..
Стоимость процедуры проверки адреса
Проверка адреса также требует значительных затрат. Каковы именно эти затраты, будут зависеть от конкретных мер, принимаемых банками и MSB, которые должны его реализовать. Но я хочу подчеркнуть две основные проблемы, которые, в разной степени, вероятно, будут в некоторой степени применяться к любой практической реализации проверки адреса..
Во-первых, процедуры проверки адреса представляют собой препятствие для коммерции и инноваций..
Предположим, например, что биржа требует, чтобы все контрагенты установили связь между своей идентичностью и адресом (адресами) криптовалюты на не размещенном на хосте кошельке с помощью цифровой подписи на адресе (ах). (Я отложил на время опасения, что это будет неэффективным доказательством чего-либо.)
Большинство клиентов не знают, как делать цифровые подписи, и это приведет к чрезмерному количеству жалоб и запросов клиентов. Это также потребовало бы от клиентов приобретения программного и аппаратного обеспечения, которое могло бы относительно безопасно позволить им делать эти цифровые подписи. Многие бизнесы, вероятно, будут потеряны из-за хаоса, связанного с внедрением такой процедуры проверки адреса..
Некоторые возможные реализации проверки адреса, конечно, могут быть немного менее инвазивными для коммерции, например, снимок экрана кошелька (опять же, если оставить в стороне опасения, что это будет неэффективным доказательством чего-либо). Но даже здесь мы должны признать, что некоторые затраты или сложности для коммерции и инноваций материализуются..
Например, поскольку криптовалюты являются программируемыми, вы также можете отправлять их по адресам, управляемым децентрализованными протоколами, а не людям. Хотя эти децентрализованные протоколы в настоящее время в значительной степени являются экспериментальными, они могут оказаться очень интересными и ценными вариантами использования..
Но как именно эти децентрализованные протоколы могут вписаться в предложенное требование проверки адреса??
На мой взгляд, предлагаемые правила не могут вместить такой вариант использования: децентрализованные протоколы в конце концов не имеют идентификаторов или физических адресов. Таким образом, даже относительно простая мера по реализации проверки адреса банком или MSB, такая как снимок экрана кошелька, будет иметь негативные последствия для коммерции и инноваций..
Во-вторых, проверка адреса может нанести ущерб конфиденциальности и безопасности клиентов. Я просто рассмотрю пару возможных реализаций, чтобы понять.
Для начала снимок экрана показывает, какой тип кошелька использует клиент, и, возможно, дополнительную информацию, возможно, о типе операционной системы или устройства. Видеоконференция расскажет еще больше о личных хранилищах клиентов..
Такая информация очень опасна в чужих руках. Мы не спрашиваем покупателей у торговцев драгоценными металлами, где они хранят золото и серебро. Так зачем это делать с покупателями биткойнов??
Хотя я признаю, что биткойн намного более ликвиден и представляет дополнительные риски в отношении финансовых преступлений, более высокие риски для конфиденциальности и безопасности клиентов, на мой взгляд, не пропорциональны процедурам проверки адреса..
Еще один вероятный кандидат на проверку адреса – цифровая подпись над адресом контрагента. В индустрии биткойнов существует устоявшаяся передовая практика, согласно которой вы раскрываете свой открытый ключ только при совершении транзакции (поэтому вам следует использовать адрес только один раз). Такой тип мер прямо противоречил бы лучшим отраслевым практикам..
Вывод
В заключение, я сомневаюсь, что процедуры проверки адреса, необходимые для контекстов, предписанных этими правилами, внесут какой-либо реальный вклад в борьбу с финансовыми преступлениями. По крайней мере, я на самом деле не видел ни одной разумной реализации из них, которая заставила бы меня думать иначе..
Кроме того, процедуры проверки адреса связаны с расходами на коммерцию и инновации, а также на безопасность и конфиденциальность клиентов. Конечно, эти затраты зависят от того, как именно вы их реализуете. Но они будут стоить, по крайней мере, так, как я могу представить себе их реализацию..
Поэтому я призываю FinCEN прекратить продвижение этого предложения в его нынешней форме. На мой взгляд, любое пересмотренное предложение должно отвечать на три ключевых вопроса:
- Как именно проверка адреса должна быть реализована банками и MSB?
- Как именно эти процедуры проверки адреса будут бороться с широким спектром финансовых преступлений, упомянутых в предложении??
- Каковы будут затраты на торговлю и инновации, а также конфиденциальность клиентов и безопасность процедур проверки адресов?
Искренне,
Ян-Виллем Бургерс
Автор хотел бы поблагодарить Даана Клеймана за его критический отзыв о более ранней версии этого письма..