Nieuwe EU-richtlijnen versterken controles op cryptotransacties

Na de inwerkingtreding van de Markets in Crypto-Assets Regulation (MiCA) in juni 2024 vond afgelopen juli een belangrijke stap plaats met de publicatie van de definitieve Travel Rule-richtlijnen door de Europese Bankenautoriteit (EBA), als onderdeel van Verordening (EU) 2023/1113. Deze richtlijnen zullen naar verwachting de activiteiten van cryptografische activadienstverleners (CASP’s) in de Europese Unie beïnvloeden, waaronder cryptobeurzen, cryptowallet-aanbieders, cryptocurrency-uitgevers en tussenliggende CASP's.

Wat is de Travel Rule?

De Travel Rule is een internationale regelgeving die is ontworpen om witwassen en de financiering van terrorisme tegen te gaan door toezicht op geldtransacties te versterken. De regeling is opgesteld door de Financial Action Task Force (FATF) en verplicht financiële instellingen om identificerende informatie over de afzenders en ontvangers van geldtransfers boven een bepaalde som te bewaren en over te dragen.

Verordening (EU) 2023/1113

Het belangrijkste doel van Verordening (EU) 2023/1113 is om het EU-rechtskader in overeenstemming te brengen met de AML/CFT-normen (anti-witwas- en terrorismefinanciering) van de FATF, die nu ook van toepassing zijn op CASP’s. De nieuwe verordening stelt CASP's onder dezelfde AML/CFT-vereisten qua toezicht en risicobeheer als kredietinstellingen en andere financiële instellingen. Om deze beperkingen te implementeren, heeft de verordening de EBA gemachtigd om passende richtlijnen uit te geven om de Travel Rule op de cryptosector toe te passen. De volgende belangrijke regels en vereisten zullen op 31 december 2024 in werking treden als onderdeel van de Travel Rule voor de cryptomarkt in de EU:

1. Geen uitzonderingen voor minimumsommen – alle cryptotransacties, ongeacht het bedrag, moeten voldoen aan de specifieke vereisten. In tegenstelling tot reguliere geldtransfers, waarbij de meldingsplicht afhangt van het transactiebedrag en de geografische locatie, gelden voor cryptotransfers uniforme meldingsregels voor elke transactie. Of het nu om een grensoverschrijdende transfer gaat, maakt hierbij niet uit, aangezien cryptotransfers per definitie grensoverschrijdend zijn.
2. Persoonsidentificerende informatie is verplicht – cryptotransfers moeten de naam, het adres geregistreerd op de blockchain (vereist alleen voor op de blockchain geregistreerde transacties) en het rekeningnummer van zowel de betaler als de ontvanger bevatten, evenals aanvullende informatie over de afzender van de transfer, zoals een adres en officieel ID-nummer voor een controle tegen een sanctielijst. Voor bedrijven beschrijft de richtlijn de regels over de vereiste informatie voor deze juridische entiteiten.
3. Beleid en procedures zijn verplicht – CASP’s moeten beleid en procedures implementeren om inkomende transacties zonder de vereiste informatie op te sporen. Deze procedures omvatten methoden voor het detecteren van ontbrekende of onvolledige informatie, methoden voor tijdig toezicht op transacties afhankelijk van de hoogte van het AML/CFT-risico, en criteria voor het identificeren van factoren die het risiconiveau verhogen.
4. Transactiemanagement – als een CASP een transactie detecteert zonder de benodigde informatie, kan het kiezen om de transfer uit te voeren, te weigeren, terug te sturen of op te schorten, terwijl het adequate risicobeheersprocedures toepast. Als de transfer niet kan worden geweigerd – bijvoorbeeld wanneer de cryptografische activa al zijn ontvangen – moet de ontvangende CASP de transfer terugsturen naar de afzender. Als de CASP de transfer niet naar het bronadres kan retourneren, moet deze alternatieve maatregelen nemen, zoals het opslaan van de activa in een veilige rekening en het coördineren met de CASP van de afzender om de retourzending te regelen. Wanneer de informatie weliswaar onvolledig is, maar nog steeds ondubbelzinnige identificatie van de partijen bij de transactie mogelijk maakt, kan de ontvangende CASP beslissen of het de transfer uitvoert, weigert of retourneert. Indien besloten wordt de transfer uit te voeren, moet de CASP zijn redenen voor de toelating van de transfer documenteren.
5. Meldingsvereisten – wanneer een CASP vaststelt dat een tegenpartij de verplichte informatie niet heeft verstrekt, moet het overwegen om niet-naleving te melden aan de bevoegde AML/CFT-autoriteit.
6. Vereisten voor zelfbewarende wallets – de verplichtingen voor transacties tussen een CASP en non-custodial wallets hangen af van het transactiebedrag en of de transactie betrekking heeft op een klant van de CASP of een derde partij:
   • Transacties van EUR 1.000 of minder: de CASP moet specifieke informatie over de betaler of ontvanger verzamelen en bewaren.
   • Transacties van meer dan EUR 1.000 waarbij de wallet-eigenaar een CASP-klant is: de CASP moet de eigenaar of beheerder van de wallet verifiëren met ten minste één methode uit een gedefinieerde lijst.
   • Bij transacties van meer dan EUR 1.000 waarbij de wallet-eigenaar geen CASP-klant is, stelt de richtlijn dat de verplichting om de identiteit van de betaler of ontvanger te verifiëren kan worden vervuld door aanvullende informatie uit andere bronnen te verzamelen of door andere passende middelen.