Aan transacties met crypto’s en de levering van cryptodiensten zijn, naast de witwas- en terrorismefinancieringsrisico’s, risico’s verbonden op overtreding van de sanctieregelgeving. Op basis van de Sanctiewet 1977 (Sw) en de Regeling toezicht Sanctiewet 1977 (RtSw) houdt DNB toezicht op de administratieve organisatie en interne controlesystemen die aanbieders van cryptodiensten moeten hebben met het oog op de naleving van sanctieregelgeving (zie Open Boek Toezicht DNB). DNB beoordeelt in dat kader de effectiviteit van de procedures en maatregelen die zijn gericht op de naleving van de sanctieregelgeving, waaronder sanctiescreening. Deze Q&A gaat specifiek over de wijze waarop de aanbieders van cryptodiensten invulling kunnen geven aan sanctiescreening bij een cryptotransactie.
Achtergrond - de Europese Unie heeft, in navolging van onder meer de Verenigde Naties, sancties opgelegd aan een aantal landen en (rechts)personen. Dergelijke sancties zijn opgenomen in verschillende Europese sanctieverordeningen. Een bekende sanctiemaatregel is de bevriezingsplicht: er mogen geen tegoeden of economische middelen, rechtstreeks of onrechtstreeks, aan gesanctioneerden ter beschikking worden gesteld. Overtreding van sanctieverordeningen is strafbaar.
Op grond van artikel 2 van de RtSw treffen aanbieders van cryptodiensten maatregelen om te controleren of ‘relaties’ gesanctioneerd zijn. Wie vallen, naast cliënten, onder de reikwijdte van het begrip relatie?
Op grond van de Sw en de RtSw worden door aanbieders van cryptodiensten maatregelen getroffen die ten minste zien op een adequate controle van hun administratie op het overeenkomen van de identiteit van een relatie met een (rechts)persoon of entiteit, als bedoeld in de sanctieregelgeving.
De RtSw definieert de term relatie als een ieder die betrokken is bij een financiële dienst of een financiële transactie. Uit de toelichting bij de RtSw volgt dat met de term relatie niet enkel de cliënten van een instelling worden bedoeld, maar onder andere ook de tegenpartijen bij transacties en de begunstigden van transacties. De begunstigden van een uitgaande crypto(wissel)transactie of een uitgaande transactie ten behoeve van een wallet kunnen cliënten van de aanbieder van de cryptodienst zijn, andere aanbieders van cryptodiensten of derde (rechts)personen of entiteiten. Een inkomende crypto(wissel)transactie of inkomende transactie ten behoeve van een wallet kan afkomstig zijn van eigen cliënten, van andere aanbieders van cryptodiensten of van derde (rechts)personen of entiteiten. Derhalve vallen dus naast de cliënten van aanbieders van cryptodiensten ook de bij de transactie betrokken andere aanbieders van cryptodiensten en derde (rechts) personen of entiteiten onder de reikwijdte van het begrip ‘relatie’.
Welke maatregelen treft een aanbieder van cryptodiensten bij transacties met crypto’s om te controleren of betrokken (rechts)personen of entiteiten gesanctioneerd zijn?
Aanbieders van cryptodiensten controleren altijd of de identiteit van relaties van de aanbieder voorkomt op één of meerdere sanctielijsten (screenen). Dit betekent dat de bij de transacties betrokken cliënten van aanbieders van cryptodiensten én de bij de transacties betrokken tegenpartij en/of begunstigde in ieder geval worden gescreend. De maatregelen omtrent het vaststellen of de identiteit van een tegenpartij en/of begunstigde overeenkomt met de identiteit van in de sanctieregelgeving genoemde (rechts)personen of entiteiten kunnen door de aanbieder risicogeoriënteerd worden ingevuld. De aanbieder bepaalt zelf op welke wijze zij die controle uitvoert en wat daarvoor nodig is, mits hiermee het doel van de sanctieregelgeving bereikt wordt.
Adequate maatregelen om de tegenpartij en/of begunstigde effectief te kunnen screenen
Bij een transactie van of naar een niet door de aanbieder beheerd (extern) cryptoadres kan de houder van dat cryptoadres zowel de eigen cliënt zijn als een andere aanbieder van cryptodiensten, of een derde (rechts)persoon of entiteit. Bij transacties van en naar externe cryptoadressen dienen aanbieders van cryptodiensten met behulp van adequate maatregelen ook in staat te zijn om te controleren of de identiteit van de betrokken tegenpartij en/of begunstigde voorkomt op een of meerdere sanctielijsten.
Hoe aanbieders de identiteit van de tegenpartijen en/of begunstigden bij een transactie vaststellen, en of deze daadwerkelijk de ontvanger of verzender is, is vormvrij. De wet schrijft geen specifieke maatregel voor, mits de getroffen maatregel het risico op overtreding van sanctieregelgeving voldoende mitigeert.
Dit impliceert dat er voldoende informatie over de tegenpartij en/of begunstigde wordt opgevraagd om effectief te kunnen screenen, zoals bijvoorbeeld naam, geboortedatum, woonplaats en vestigingsadres.
Een ander onderdeel hiervan is dat de aanbieder, indien de aanbieder het risico groter dan minimaal acht dat de identiteit van een tegenpartij en/of begunstigde niet overeenkomt met de opgegeven identiteit, adequate maatregelen treft om vast te stellen dat de door de cliënt opgegeven tegenpartij en/of begunstigde ook daadwerkelijk de ontvanger of verzender is. Er kan sprake zijn van identiteitsfraude (de tegenpartij en/of begunstigde gebruikt de identiteit van iemand anders), maar het kan ook voorkomen dat iemand anders dan de opgegeven tegenpartij en/of begunstigde beschikking heeft over het opgegeven cryptoadres en de bijbehorende wallet.
De maatregelen om een adequate screening uit te voeren kunnen risicogeoriënteerd worden ingevuld. Risicogeoriënteerd houdt in dat een aanbieder bij relaties die gegeven alle relevante factoren als hoger risico worden aangeduid, verdergaande maatregelen treft dan bij relaties die als laag risico worden aangeduid. Aanbieders van cryptodiensten maken een risicoanalyse en implementeren op basis daarvan passende maatregelen. De risicogebaseerde benadering wordt beoordeeld in de context van het geheel aan maatregelen binnen de onderneming, zie ook de DNB Q&As en Good Practices Wwft. De toelichting bij de RtSw stelt daarover: ‘Daarbij dient ze (DNB: relevante instelling) zich telkens ervan te vergewissen dat het risico minimaal is dat bij een financiële dienst of transactie financiële middelen naar één van de (rechts)personen en entiteiten, genoemd in de sanctieregelgeving, gaan.’
Als een aanbieder het risico groter dan minimaal acht dat de identiteit van een tegenpartij en/of begunstigde niet overeenkomt met de identiteit die is opgegeven, treft zij maatregelen om de ware identiteit van een tegenpartij en/of begunstigde vast te kunnen stellen, teneinde een effectieve screening uit te kunnen voeren. De Leidraad Financiële Sanctieregelgeving van het Ministerie van Financiën stelt: ‘Als er geen maatregelen tegenover te zetten zijn, als maatregelen teveel inspanning vergen of teveel rest-risico met zich meebrengen dan wordt het risico niet aangegaan. Bij sanctiemaatregelen geldt dat er eigenlijk vrijwel geen sprake kan zijn van een acceptabel niveau aan restrisico’s omdat de materiële verbodsbepalingen van sanctieregelgeving dienen te worden nageleefd.’
De aanbieder is zich ervan bewust dat hij een risicogebaseerde benadering kan hanteren ten aanzien van de invulling van de screeningsmaatregelen, maar dat ten aanzien van de vervolgacties (het melden van een hit en het bevriezen van tegoeden) sprake is van een resultaatverplichting. Bij binnenkomende transacties kunnen cryptodienstverleners er bijvoorbeeld voor kiezen om de crypto’s in de (omnibus-)wallet vast te houden gedurende de screening van de tegenpartij, voordat deze worden toegewezen aan de account van de cliënt die de begunstigde is van de transactie.
Waaruit bestaat de risicoanalyse?
De aard van cryptodienstverlening brengt met zich dat sprake is van een hoog risico, nu de techniek een zekere mate van anonimiteit van de houder van een cryptoadres en transacties kan faciliteren, en er in de regel sprake is van dienstverlening op afstand. Dit betekent dat van cryptodienstverleners een hogere mate van risicomitigatie wordt verwacht dan van andere dienstverleners die een relatief lager risico lopen op overtreding van sanctieregelgeving.
Aan elke soort cryptotransactie kleven andere risico’s. Zo verschilt een cryptotransactie naar een hosted wallet van een cliënt bij een andere onder dezelfde voorwaarden geregistreerde cryptodienstverlener qua risico van een cryptotransactie naar een unhosted wallet. Het risico van overtreding van de sanctieregelgeving is hoger bij transacties waarbij uit het (niet door de aanbieder beheerde) cryptoadres niet blijkt aan wie dit cryptoadres toebehoort (zoals unhosted/private wallets). Bij cryptotransacties van of naar derden speelt daarom het risico dat crypto’s worden overgemaakt naar, of worden ontvangen van, een (rechts)persoon of entiteit als bedoeld in de sanctieregelgeving. Het is de verantwoordelijkheid van de cryptodienstverlener om een inschatting van dit risico te maken en adequate mitigerende maatregelen te nemen.
Risico’s die in de analyse meegewogen kunnen worden zijn bijvoorbeeld de risico’s van het specifieke bedrijfsmodel, de toezichtstatus van de cliënten waar de aanbieder zich op richt, de betaal- en uitkeringsmogelijkheden voor fiat geld, het risico- en het transactieprofiel van de klant, geografische risico’s, relevante meta-data (waaronder IP-adres) en de mogelijkheid om crypto’s van of naar derde (rechts)personen of entiteiten te sturen. De kenmerken van de specifieke crypto’s worden ook mee genomen in de risicoanalyse. Deze opsomming is niet limitatief.
Welke concrete maatregelen ziet DNB in de praktijk bij aanbieders van cryptodiensten, die een bijdrage kunnen leveren om de risico’s op overtreding van sanctieregelgeving te beheersen?
Q&A’s bieden nader inzicht in de beleidspraktijk van DNB doordat we daarin wettelijke normen interpreteren. Onder toezicht staande instellingen kunnen ook op andere wijze aan de wet- of regelgeving voldoen.
Instellingen moeten daarbij wel gemotiveerd aan DNB kunnen aantonen dat zij met hun invulling voldoen aan de wet- of regelgeving.
Wat betreft de Good Practices in deze tekst, deze bevatten suggesties dan wel aanbevelingen voor aanbieders van cryptodiensten. Het betreffen voorbeelden van mogelijke toepassingen die naar het oordeel van DNB goede invulling geven aan de verplichtingen uit wet- en regelgeving. Good practices zijn indicatief van aard en instellingen zijn vrij om een andere toepassing te kiezen, zo lang men anderszins voldoet aan de wet.
Voor een nadere toelichting op de status van de beleidsuitingen van DNB zie de Leeswijzer beleidsuitingen DNB op Open Boek Toezicht.
Er is ook een Engelse versie van deze Q&A beschikbaar, bij vragen rond de interpretatie of accuraatheid van deze Q&A, is de Nederlandse versie leidend.
Onlangs heeft DNB verschillende verkopers van cryptocadeaubonnen gewaarschuwd dat zij producten van ongeregistreerde cryptodienstverleners aanbieden. Hierdoor ontstaat een ongelijk speelveld ten opzichte van aanbieders die wel bij DNB geregistreerd zijn.
Lees meer DNB waarschuwt verkopers cryptocadeaubonnen
De Nederlandsche Bank heeft op 22 oktober 2024 een bestuurlijke boete van 2.250.000 euro opgelegd aan Bybit Fintech Limited (Bybit). De boete is opgelegd, omdat Bybit cryptodiensten heeft aangeboden in Nederland zonder een wettelijk vereiste registratie bij DNB. Dat is verboden.
Lees meer Boete voor Bybit Fintech Limited vanwege het tot september 2023 zonder de wettelijk vereiste registratie aanbieden van cryptodiensten in Nederland
FATF heeft een update van haar ‘grijze’ en ‘zwarte’ lijsten gepubliceerd.
Lees meer Update FATF-waarschuwingslijsten oktober 2024
Onder toezicht staande instellingen krijgen in fasen weer toegang tot het UBO-register. Door een uitspraak van het Hof van Justitie van de EU over het UBO-register was het register niet meer voor iedereen toegankelijk.
Lees meer Weer toegang tot UBO-register en verplicht melden onjuiste gegevens
