Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

19 november 2021 Toezicht Toezichtlabel Q&A Toezicht

Deze consultatie loopt vier weken. U kunt tot en met 17 december reageren via consultatie@dnb.nl. Na de consultatiefase publiceert DNB een feedbackstatement waarin eventuele nadere aanpassingen worden toegelicht.

Aan transacties met crypto’s en de levering van cryptodiensten zijn, naast de witwas- en terrorismefinancieringsrisico’s, risico’s verbonden op overtreding van de sanctieregelgeving. Op basis van de Sanctiewet 1977 (Sw) en de Regeling toezicht Sanctiewet 1977 (RtSw) moeten tegoeden worden bevroren van (rechts)personen of entiteiten die op een sanctielijst staan en mogen er geen financiële diensten aan deze (rechts)personen of entiteiten worden verleend. DNB houdt toezicht op de naleving van sanctieregelgeving door aanbieders van cryptodiensten. DNB beoordeelt de effectiviteit van de procedures en maatregelen die zijn gericht op de naleving van de sanctieregelgeving, waaronder sanctiescreening. Deze Q&A gaat specifiek over de wijze waarop de aanbieders van cryptodiensten invulling kunnen geven aan sanctiescreening bij een cryptotransactie.

1. Op grond van artikel 2 van de RtSw treffen aanbieders van cryptodiensten maatregelen om te controleren of relaties gesanctioneerd zijn. Wie vallen, naast cliënten, onder de reikwijdte van het begrip relatie?

Op grond van de Sw en de RtSw worden door aanbieders van cryptodiensten maatregelen getroffen die ten minste zien op een adequate controle van hun administratie op het overeenkomen van de identiteit van een relatie met een (rechts)persoon of entiteit, als bedoeld in de sanctieregelgeving.

De RtSw definieert de term relatie als een ieder die betrokken is bij een financiële dienst of een financiële transactie. Uit de toelichting bij de RtSw volgt dat met de term relatie niet enkel de cliënten van een instelling worden bedoeld, maar onder andere ook de tegenpartijen bij transacties en de begunstigden van transacties. De begunstigden van een uitgaande crypto (wissel)transactie of een uitgaande transactie ten behoeve van de wallet kunnen cliënten van de aanbieder van de cryptodienst zijn, andere aanbieders van cryptodiensten of derde (rechts)personen of entiteiten. Een inkomende crypto(wissel)transactie of inkomende transactie ten behoeve van de wallet kan afkomstig zijn van eigen cliënten, andere aanbieders van cryptodiensten of derde (rechts)personen of entiteiten. Derhalve vallen dus naast de cliënten van aanbieders van cryptodiensten ook de bij de transactie betrokken andere aanbieders van cryptodiensten en derde (rechts) personen of entiteiten onder de reikwijdte van het begrip ‘relatie’.

2. Welke maatregelen treft een aanbieder van cryptodiensten bij transacties met crypto’s om te controleren of betrokken (rechts)personen of entiteiten gesanctioneerd zijn?

De identiteit van alle relaties van aanbieders van cryptodiensten wordt gecontroleerd op sancties (gescreend). Dit betekent dat de bij de transacties betrokken cliënten van aanbieders van cryptodiensten én de bij de transacties betrokken tegenpartij en/of begunstigde worden gescreend. De maatregelen omtrent het vaststellen of de identiteit van een tegenpartij en/of begunstigde overeenkomt met de identiteit van in de sanctieregelgeving genoemde (rechts)personen of entiteiten kunnen door de aanbieder risicogeoriënteerd worden ingevuld. De aanbieder bepaalt zelf op welke wijze zij die controle uitvoert en wat daarvoor nodig is, zolang hiermee het doel van de sanctieregelgeving bereikt wordt.

Adequate maatregelen om de tegenpartij en/of begunstigde effectief te kunnen screenen

Bij een transactie van of naar een niet door de aanbieder beheerd (extern) cryptoadres, kan de houder van dat cryptoadres zowel de eigen cliënt zijn als een andere aanbieder van cryptodiensten, of een derde (rechts)persoon of entiteit. Bij transacties van en naar externe cryptoadressen dienen aanbieders van cryptodiensten met behulp van adequate maatregelen ook in staat te zijn effectief te screenen op het overeenkomen van de identiteit van de betrokken tegenpartij en/of begunstigde met een (rechts)persoon of entiteit als bedoeld in de sanctieregelgeving.

Dit impliceert dat er voldoende informatie over de tegenpartij en/of begunstigde wordt opgevraagd om effectief te kunnen screenen, zoals bijvoorbeeld naam, geboortedatum, woonplaats en vestigingsadres.

Een ander onderdeel hiervan is dat de aanbieder adequate maatregelen treft om vast te stellen dat de door de cliënt opgegeven tegenpartij en/of begunstigde ook daadwerkelijk de ontvanger of verzender is, indien de aanbieder het risico groter dan minimaal acht dat de identiteit van een tegenpartij en/of begunstigde niet overeenkomt met de opgegeven identiteit. Hierbij kan sprake zijn van identiteitsfraude (de tegenpartij en/of begunstigde gebruikt de identiteit van iemand anders), maar het kan ook voorkomen dat iemand anders dan de opgegeven tegenpartij en/of begunstigde beschikking heeft over het opgegeven cryptoadres.

De maatregelen om een adequate screening uit te voeren kunnen risicogeoriënteerd worden ingevuld. Risicogeoriënteerd houdt in dat een aanbieder, bij relaties die gegeven alle relevante factoren als hoger risico worden aangeduid, verdergaande maatregelen neemt dan bij relaties die als laag risico worden aangeduid. Aanbieders van cryptodiensten maken een risicoanalyse en implementeren op basis daarvan passende maatregelen. De risicogebaseerde benadering wordt beoordeeld in de context van het geheel aan maatregelen binnen de onderneming, zie ook de Leidraad Wwft en Sw van DNB. De toelichting bij de RtSw stelt daarover: ‘Daarbij dient ze zich telkens ervan te vergewissen dat het risico minimaal is dat bij een financiële dienst of transactie financiële middelen naar één van de (rechts)personen en entiteiten, genoemd in de sanctieregelgeving, gaan.’

Als een aanbieder het risico groter dan minimaal acht dat de identiteit van een tegenpartij en/of begunstigde niet overeenkomt met de identiteit die is opgegeven, treft zij maatregelen om de daadwerkelijke identiteit van een tegenpartij en/of begunstigde vast te kunnen stellen, teneinde een effectieve screening uit te kunnen voeren. De Leidraad Financiele Sanctieregelgeving van het Ministerie van Financiën stelt: ‘Als er geen maatregelen tegenover te zetten zijn, als maatregelen teveel inspanning vergen of teveel rest-risico met zich meebrengen dan wordt het risico niet aangegaan. Bij sanctiemaatregelen geldt dat er eigenlijk vrijwel geen sprake kan zijn van een acceptabel niveau aan restrisico’s omdat de materiële verbodsbepalingen van sanctieregelgeving dienen te worden nageleefd.’

De aanbieder is zich ervan bewust dat hij een risicogebaseerde benadering kan hanteren ten aanzien van het treffen van maatregelen, maar dat ten aanzien van de vervolgacties (het melden van een hit en het bevriezen van tegoeden) sprake is van een resultaatsverplichting.

Hoe aanbieders de identiteit van de tegenpartijen en/of begunstigden bij een transactie vaststellen, en of deze daadwerkelijk de ontvanger of verzender is, is vormvrij. De wet schrijft geen specifieke maatregel voor, mits de getroffen maatregel maar adequate waarborgen biedt om relaties te kunnen screenen (zie onder voor good practices).

3. Uit welke elementen bestaat de risicoanalyse?

Risico’s die in de analyse meegewogen kunnen worden zijn bijvoorbeeld de risico’s van het specifieke bedrijfsmodel, de cliënten waar de aanbieder zich op richt, de betaal- en uitkeringsmogelijkheden voor fiat geld, het risico- en het transactieprofiel van de klant, geografische risico’s, relevante meta-data (waaronder IP-adres) en de mogelijkheid om crypto’s van of naar derde (rechts)personen of entiteiten te sturen. Ten aanzien van crypto’s kan in het algemeen worden opgemerkt dat deze producten vanwege kenmerken die anonomiteit bevorderen een hoger risico met zich brengen op overtreding van sanctieregelgeving. De kenmerken van de specifieke crypto’s worden ook mee genomen in de risicoanalyse. Deze lijst is niet limitatief.

Voorbeeld laag risico

In het geval van een gesloten omgeving, waarbij cliënten geen transacties kunnen uitvoeren anders dan met de aanbieder zelf, is het risico op overtreding van de sanctieregelgeving laag als een aanbieder zich ook houdt aan de (Wwft) verplichtingen van het cliëntenonderzoek.

Voorbeeld hoog risico

Een aanbieder van cryptodiensten mag transacties van en naar derden (niet zijnde de eigen client) faciliteren, mits de aanbieder passende maatregelen heeft genomen om de tegenpartij en/of begunstigde te kunnen screenen tegen de sanctielijsten. Het risico van overtreding van de sanctieregelgeving is hoog bij transacties van en naar derden, omdat uit het (externe) cryptoadres niet blijkt aan wie dit (externe) cryptoadres toebehoort. Bij cryptotransacties van of naar derden speelt daarom het risico dat crypto’s worden overgemaakt naar, of worden ontvangen van, een (rechts)persoon of entiteit als bedoeld in de sanctieregelgeving. Een aanbieder zal dan ook adequate maatregelen moeten treffen om dit risico te minimaliseren.

Good practices

Welke concrete maatregelen ziet DNB in de praktijk bij aanbieders van cryptodiensten om de risico’s op overtreding van sanctieregelgeving te beheersen?

  • Juridisch afdwingen in het contract of de gebruikersvoorwaarden dat men slechts met eigen cryptoadressen kan handelen.

  • Cliënten in bepaalde zeer hoog risicolanden worden niet geaccepteerd.

  • In de SIRA worden risico’s op het overtreden van sanctieregeleving in gedetailleerde scenario’s beschreven, inclusief mitigerende maatregelen.

  • Bij cliëntacceptatie wordt een expliciete inschatting gemaakt van het risico op overtreding van sanctieregelgeving door de betreffende cliënt.

  • Onderzoek naar en monitoring van (gewhiteliste) cryptoadressen met behulp van monitoringssoftware (voor en na transacties).

  • Blokkeren van cryptoadressen die gelinkt zijn aan illegale activiteiten en door OFAC (Office of Foreign Assets Control) gesanctioneerde adressen.

  • Blokkeren van transacties met externe cryptoadressen.

  • Onderzoek van de technische aspecten van het cryptoadres, in relatie tot het profiel van de cliënt en de door de cliënt opgegeven informatie.

  • Steekproefsgewijze controles om vast te stellen of de door de cliënt opgegeven tegenpartij en/of begunstigde ook daadwerkelijk de ontvanger of verzender is.

  • Verplichte onboarding van tegenpartijen en/of begunstigden bij transacties, inclusief identificatie en verificatie van de identiteit.

  • Onderzoek op basis van metadata zoals gebruikte ip-adressen of timestamps.

Maatregelen om vast te stellen of de door de cliënt opgegeven tegenpartij en/of begunstigde ook daadwerkelijk de ontvanger of verzender is:

  • Aanbieders verstrekken zelf een cryptoadres aan de cliënt (al dan niet custodian).

  • Controle door schermdelen of videobellen op het moment van inloggen.

  • Controle door het signen van een transactie of op verzoek een kleine hoeveelheid crypto’s (terug) te sturen naar de aanbieder.

  • Gebruik van een uniek, alleen voor de cliënt bekend, stortingsadres met een beperkte tijdsduur.

Afhankelijk van de verschillen in risico’s kan voor een meer indringende maatregel gekozen worden of voor een combinatie van maatregelen. Het volledige pakket aan maatregelen sluit aan bij de specifieke risico’s van de cliënt en de transactie.

Wettelijke bepalingen

  • Art. 10 Sanctiewet
  • Art. 1, aanhef en onderdeel b, van de RtSw
  • Art. 2 RtSw

Disclaimer Q&A’s en Good practices

In deze Q&A vindt u good practices. Dat zijn voorbeelden van hoe u invulling kunt geven aan de sanctieregelgeving. De status van deze Good practices en Q&A-teksten (hoofdtekst) verschillen. Q&A’s bieden nader inzicht in de beleidspraktijk van DNB door middel van de interpretatie van wettelijke toezichtregels. Instellingen kunnen op andere wijze aan de wet voldoen. Instellingen moeten daarbij wel gemotiveerd aan DNB kunnen aantonen dat aan de wet- of regelgeving wordt voldaan. Good practices bevatten suggesties dan wel aanbevelingen voor onder toezicht staande instellingen. Het betreffen voorbeelden van mogelijke toepassingen die naar het oordeel van DNB goede invullingen geven aan de verplichtingen uit wet- en regelgeving. Good practices zijn indicatief van aard en instellingen zijn vrij om een andere toepassing te kiezen, zo lang men anderszins voldoet aan de wet.

Deze concept-Q&A is ook in het Engels beschikbaar, in geval van discrepanties is de Nederlandse versie leidend.

Sector(en)

  • Aanbieders cryptodiensten