Súkromie a KYC v platobných sieťach

Prečo vôbec používať kryptomeny ako platobné siete? Bitcoinové transakcie sú predsa často drahé a relatívne pomalé – aj keď je Bitcoin stále užitočný ako tvrdé peniaze na šetrenie. Prečo sa vôbec zaoberať nejakými platbami za hipsterské flat white a pri platbách cez Internet?

Mojim základným dôvodom je súkromie. Nie je nič horšie pre súkromie ako zaplatiť kreditkou cez platobného poskytovateľa, nebodaj ešte cez eKasu. Strácate súkromie hneď v niekoľkých oblastiach. Vaša banka o vás vie všetko, inak by vám nedala kreditku. Keď so mnou robil jeden zahraničný bankár KYC proces (Know Your Customer – spoznaj svojho zákazníka), začal slovami “bude to nepríjemné, opýtam sa vás pravdepodobne aj na číslo topánok a ako často máte sex. Odpovedajte iba áno a nie, v skutočnosti ma tie odpovede nezaujímajú, je to iba kvôli formuláru a reguláciám”. Bankárov (ani krypto zmenárne, ktoré robia KYC) skutočne moje osobné údaje nezaujímajú. Zarábajú na poplatkoch, ktoré im platím.

Situácia je však ešte horšia vo zvyšku platobnej siete. Tam je niekoľko aktérov, ktorých informácie zaujímajú za inými účelmi. Spomínal som, že PayPal uvádza viac ako 600 partnerov, s ktorými zdieľa údaje o vašich finančných transakciách. Ak si myslíte, že je dobrý nápad platiť kryptomenami “appkou zmenárne”, neodporúčam to. V článku “Kryptomenová peňaženka vs burza, aký je rozdiel?” som popísal v čom sa tieto aplikácie odlišujú. 

O čom ale vie málo ľudí je fakt, že kryptomenové burzy, ktoré o vás vedia osobné údaje ich zdieľajú s firmami, ktoré poskytujú tzv. “blockchain analýzu”. K transakciám priraďujú (pravdepodobných) vlastníkov peňaženiek. Jedným z dôvodov, prečo to robia je, aby zabránili obchodovaniu s kradnutými kryptomenami, ktoré by burza nemala zmeniť za eurá, doláre a iné fiat meny. Problém je, že v zmluve s takýmito spoločnosťami je vždy klauzula, že burzy musia zase zdieľať vaše údaje o transakciách. Takže ak “zaplatíte” z KYC burzy nákup v obchode, táto informácia je dostupná všetkým zákazníkom firmy na blockchainovú analýzu, ktorú burza používa – a nevieme či a nakoľko tieto firmy informácie zdieľajú navzájom.

Dôsledkom tohto je, že vaša identita vás “nasleduje” po blockchaine. Nie je v ňom síce priamo uložená, ale to neznamená, že vaše nákupné správanie je od momentu, kedy kryptomeny opustia burzu anonymné. Práve naopak, je sledované a ani presne neviete, kto presne vás sleduje.

Platobné siete sú vďaka hodnote dát, ktoré cez ne tečú obrovský špionážny systém, z ktorého ťahajú dáta súkromné firmy aj verejné inštitúcie (daňové úrady, finančná polícia a podobne).

Veľa ľudí si pri tomto povie “ale ja nemám čo skrývať”. Na špionážne systémy sa treba vždy pozerať z pohľadu horšieho systému ako máme. Ak by sme žili v komunistickom Československu, chceli by ste, aby tieto informácie mal štát (napríklad ŠtB) prakticky okamžite a o každom? Príkladov prevratov k horšiemu je veľa – Nacistické Nemecko (najprv zbieralo informácie o židoch a až potom zaviedlo represívne opatrenia), Irán, Severná Kórea a podobne. Technologický rozvoj a fakt, že žijeme v liberálnej demokracii nám vytvára ilúziu, že história ide iba jedným smerom – od horšieho k lepšiemu. V skutočnosti je ale proces zmeny viac stochastický a skoky k horšiemu nie sú zriedkavé. Preto si pri každom špionážnom systéme predstavte, že všetky informácie vidí Marián Kotleba, ktorý má ústavnú väčšinu. A s touto optikou sa pozrime na jednotlivé platobné systémy.

(O historických zmenách a o tom, čo nás možno bude čakať po najbližšej kríze – a o skokoch v histórii, ktoré som zažil počas svojho života – píšem v knihe Veľký reštart).

Z tohto pohľadu je asi najlepšie používať hotovosť, ale tú je ťažšie poslať cez Internet. Preto ak chcete pestovať skutočné peer to peer vzťahy, bez toho, aby ste vyslali signál o vašej finančnej transakcií desiatkam inštitúcií, tak aspoň pri nákupoch cez Internet je dobré používať kryptomeny, ktoré kúpite anonymne. To môžete v čase písania tohto textu urobiť rôznymi spôsobmi – napríklad cez Bitcoinové automaty alebo cez burzy, ktoré nemajú vaše osobné údaje ako napr. Bisq alebo HodlHodl. Pre lepší zoznam zmenární a obchodnákov, ktoré nerobia KYC navštívte napríklad projekt kycnot.me. Samozrejme, kryptomeny môžete kúpiť aj od niekoho iného, kto ich predáva – práve za hotovosť. O tom, ako takýmto spôsobom obchodovať s kryptomenami som urobil online kurz Etický vekslák.

Platobné karty sú z tohto pohľadu asi najhoršie, pretože nielenže neutajujú identitu oboch strán, obsahujú aj informáciu o transakcii. Organizácie, ku ktorým sa vaše dáta dostanú vedia ako často a za aké sumy nakupujete v supermarkete (a v ktorom), ako často si objednávate suplementy cez Internet a podobne. K týmto dátam má vo väčšine bánk prístup každý zamestnanec banky, aj keď tento prístup je monitorovaný. A tak si sadnete na pobočke za stôl k zamestnancovi banky a ten v snahe predať vám ďalšie produkty prescrolluje vašimi pohybmi. Zistí, že platíte kreditku konkurenčnej spoločnosti, koľko platíte za životné poistenie a podobne. 

K tomuto všetkému sa pridáva ešte fakt, že na Slovensku aj systém registračných pokladníc eKasa od finančnej správy je špionážny systém, ktorý uchováva na server prístupný z internetu všetky bločky z registračných pokladníc – kde, presne čo a za koľko si človek kúpil. Viac o tomto probléme sme písali s Pavlom Luptákom v článku “Ako sa Slovensko pripravuje na zavedenie diktatúry čínskeho typu” (aktualizovaná verzia tvorí tiež kapitolu mojej knihy Veľký reštart).

Obrázok: Informácie o bločku z elektronického systému eKasa, ktorý mi vrátil systém Finančnej správy po zadaní identifikátora dokladu. Tieto všetky informácie o nákupe sú uložené v databáze finančnej správy – kde, čo a za koľko som si kúpil.

Prečo je KYC riziko?

V prvom rade je tu možnosť úniku vašich osobných údajov, ktoré často idú oveľa ďalej ako len vaše meno, bydlisko a dátum narodenia. Inštitúcie z vášho správania zbierajú ďalšie znalosti, aby vedeli vyhodnotiť riziko vás ako klienta. Ak tieto údaje uniknú, je to vážny zásah do súkromia, ktorý vás môže stáť priame náklady – v roku 2018 boli priame náklady krádeže identity v USA $1.7 miliardy.

Únik osobných údajov nemusí nastať len priamo v inštitúcii, ktorej osobné údaje dáte. Informácie o vašich zostatkoch musia vrámci OECD CRS zdieľať s daňovými inštitúciami krajine, kde máte daňovú rezidenciu (väčšinou sa dokladuje pomocou tzv. “utility bill” lebo “proof of address”). Toto sa týka všetkých finančných inštitúcií zapojených do medzinárodných platobných sietí (bánk, prevádzkovateľov platobbnej služby a áno, aj všetkých kryptobúrz, ktoré vedia vyberať a vkladať fiat) vo všetkých krajinách, ktoré podpísali medzinárodnú zmluvu o Common Reporting Standard – čo sú v podstate všetky krajiny dosiahnuteľné cez platobné siete okrem USA. Ale USA majú vlastnú reportovaciu schému FATCA.

Keďže pre finančné inštitúcie je lepšia “overcomplaince” (teda ísť ešte nad rámec povinností), ak máte slovenský pas, žijete v Čechách, tak mnohé inštitúcie informácie o tom, že u nich máte účet, zostatok a podobne pošlú rovno aj na Slovensko aj do Čiech. Tam je to v počítači, ku ktorému majú prístup daňoví úradníci. Tieto údaje by nemali uniknúť, ale to je čisto teória. Citlivé zdravotné údaje z NCZI o ľuďoch testovaných na COVID-19 unikli. A to je iba únik hackom, čo ak by niekto prišiel za správnym úradníkom, položil mu desať tisíc euro na stôl a povedal “chcem informácie o všetkých ľuďoch, čo majú účet na Bitcoin zmenárni” alebo “majú zostatok väčší ako milión eur”. Myslíte, že by úradník odolal? Odolali by všetci alebo by sa našiel aspoň jeden?

Veľa ľudí si povie, že citlivé údaje uniknú len v zaostalejších krajinách, ale v pokrokových krajinách nemôže nastať. V roku 2020 uniklo z amerického úradu FinCEN, ktorý sa zaoberá bojom proti praniu špinavých peňazí množstvo hlásení o podozrivých transakciách. Jedná sa o viac ako 2500 dokumentov o transakciách z rokov 2000 až 2017. Banky sú totiž povinné hlásiť akékoľvek podozrivé transakcie. Tým získajú čiastočnú imunitu pred povinnosťou robiť finančných policajtov. Ak to bolo podozrivé a nahlásili to, je úlohou finančných úradov vyšetriť, či to bolo bezpečné. To neznamená, že tým transakciám zabránili. Ak ich nahlásili a úrady uznajú, že im mali zabrániť, vyhnú sa trestnému stíhaniu práve vďaka tomu, že ich neutajili.

Tu je dôležité si uvedomiť, že banky sú motivované nahlasovať transakcie, ktoré vyzerajú “zvláštne”, teda sa jedná o neobvykle vysokú sumu alebo sa jedná o transakciu medzi “zvláštnymi” krajinami. Neznamená to, že akékoľvek hlásenie je automaticky nekorektná transakcia. Medzi dokumentami je teda množstvo bežných legitímnych transakcií. Ľudia a najmä firmy, ktoré ich odoslali nevedeli o tom, že sú nahlásení a ich transakcie sú zrazu verejné, pretože ich úrad nedokázal ochrániť.

Pred únikom informácií sa však dá chrániť – tak, že informácie nikomu nedáte.

Alebo sa náhodou dostanete na niektorý (dosť nekvalitný) zoznam rizikových osôb. To sa ľuďom podarilo preto, lebo niekto s podobným menom písal na nejaké zvláštne fórum alebo si o ľuďoch vymyslel článok nejaký bulvárny plátok. Ak niekto robí kontrolu vašej identity, veľmi často kontroluje, či sa na takom zozname nenachádzate. Finančné inštitúcie si kryjú chrbát. Z takéhoto zoznamu je veľmi ťažké sa dostať, dokonca často ani nezistíte, že na ňom ste, iba vám finančná inštitúcia oznámi, že s vami nemôže uzavrieť zmluvu a je to obchodné rozhodnutie banky.

Situácia podobná príkazu 6102, ktorým americký prezident Franklin D. Roosevelt zhabal občanom zlato. V prípade, že o svojich transakciách hovoríte finančnej inštitúcii, môže táto (na základe zákona, ktorý parlament môže kedykoľvek prijať) získať informácie o vašich transakciách. A tieto informácie použije na to, aby zistil, čo si kto kúpil a čo môže zhabať.

Aké je teda riešenie? Vnímať aj súkromie, ktoré vám platobná sieť dáva a berie. Používať hotovosť, aspoň na “citlivé transakcie” a cez Internet platiť kryptomenovými platobnými sieťami, o ktorých vstúpite pomocou hotovosti anonymne. 

Riziká no-KYC zmenární

Decentralizované zmenárne majú aj svoje riziká. Je nimi možnosť, že dostanete coiny s “divnou” históriou (možno je optimálne ich poslať rovno do mixéra ako Wasabi alebo Whirpool). Alebo môžete použiť anonymnú kryptomenu, ktorá tento problém nemá. Ešte lepšie je použiť na prijatie sieť lightning network, kde máte históriu svojich coinov pod kontrolou (coiny, ktoré dostanete sú onchain reprezentované transakciou otvorenia kanála).

Problémom niektorých zmenární môže byť aj zvláštna podvodná schéma na posielanie fiatu a opletačky s políciou. Tomuto sa snažia mnohé decentralizované zmenárne rôzne zabrániť – reputáciou, či špeciálnym označením platieb, aby bolo jasné, že ide o nákup na burze a nie pôžičku alebo niečo podobné.

Pri hotovostných transakciách je potrebné si dať pozor na falošné bankovky (ako pri každej hotovostnej operácii) a na zákonné hotovostné limity. Menej je niekedy viac.

Súkromie jednotlivých kryptomien

Jednotlivé kryptomeny majú rôznu úroveň súkromia. Kryptomeny založené na Ethereum majú veľmi nízke súkromie, pretože všetky platby idú typicky z jedného účtu, z ktorého sa platia aj poplatky. Na jeden klik tak človek vidí v Ethereum blockchaine všetky transakcie daného človeka.

Kryptomeny ako Bitcoin, Litecoin alebo Bitcoin Cash majú trochu lepší model založený na tzv. UTXO (Unspent Transaction Output). Každý užívateľ používa pre každú prichádzajúcu platbu inú adresu (aj keď sa dá použiť jedna adresa viackrát, nie je to odporúčané a peňaženky štandardne vždy generujú novú adresu, ak na existujúcej adrese už vidia prichádzajúcu transakciu). Jednotlivé adresy je možné spojiť, ale dá sa tomu do istej miery brániť. Taktiež je pomerne jednoduché používať tzv. mixéry, ktoré sa snažia pomocou rôznych techník odstrániť transakčnú históriu – najznámejšie sú Samourai Wallet a Wasabi Wallet.

Transakciu v Bitcoinovej sieti môžeme vidieť, napríklad táto transakcia presunula Bitcoiny v hodnote viac ako miliardy dolárov. 

Obrázok: Časť výstupu z blockchain explorera Bitcoinu. Transakcia presunula viac ako 94500 BTC. 

Vidíme adresy, z ktorých transakcia odišla, adresu kam prišla, sumu aj poplatky. Ak sa pozrieme na sieť Liquid, nevidíme sumy, iba adresy (technika skrývania súm sa v kryptomenách volá “Confidential Transactions”).

Obrázok: Block explorer Liquid BTC siete. Vidíme vstupy, cieľové adresy, ale nevidíme sumy (namiesto nich je tam iba nápis “Confidential”).

Kryptomeny, ktoré sú viac zamerané na súkromie, napríklad Monero sa snažia skryť aj adresy, aj sumy. 

Obrázok: Záznam o transakcii z Monero blockchainu. Nevidíme sumy ani adresy, iba čas transakcie.

Pri anonymných kryptomenách je dôležitá nielen technika, ale aj tzv. “anonymizačná množina” (anonymity set). Keď som v roku 2019 chodil po Bratislave v čiernom rúšku, síce mi nebolo vidno tvár, ale keďže som to robil pravdepodobne sám, bolo veľmi ľahké zistiť, kto som – “ten v čiernom rúšku”. V roku 2020 v čiernom rúšku chodí veľké množstvo ľudí a odlíšiť nás medzi sebou je zložitejšie. Kryptomeny ako ZCash majú možnosť zameniť klasické auditovateľné coiny, ktoré fungujú rovnako ako Bitcoin, za ukryté coiny, ktoré sú matematicky plne zameniteľné. Ak je však užívateľov málo, tak ak niekto zamení 0.1 ZEC za anonymné coiny a o tri hodiny z anonymného poolu vyjde 0.1 ZEC na inú adresu, nie je ťažké zistiť, že sa jedná pravdepodobne o toho istého používateľa. S ohľadom na anonymity set je teda veľmi dobrou vlastnosťou to, že je v danej kryptomene anonymita povinná – akýkoľvek presun zvyšuje veľkosť anonymity setu. Ak k tomu navyše nie je vidno sumy, musí prípadný útočník skúmať všetky transakcie, vrátane nezaujímavých “párcentových” presunov, pretože sa nijak nedá odlíšiť, či niekto presúva hodnotu desať centov alebo desať miliónov dolárov.

V sieti Lightning network je model súkromia úplne iný ako na blockchaine. Platby nemajú permanentný záznam, iba zmenia zostatky jednotlivých kanálov a sú skutočne “peer to peer”. To znamená, že pri Lightning platbe o danej platbe vie odosielateľ, prijímateľ a prevádzkovatelia uzlov, cez ktorých kanály platba prešla. Nikto iný. Ďalšie rozšírenia ako Sphinx umožnia skryť identitu odosielateľa.

Zaujímavé je kombinovať platobné siete. Pomocou decentralizovaných alebo instantných zmenární môžete napríklad vytvoriť Bitcoinovú transakciu pomocou Monero platby. Alebo pomocou Lightning platby vytvoriť Bitcoin onchain, Litecoin, Bitcoin Cash alebo inú transakciu. Ukážku ako takéto platby robiť nájdete v mojom kurze Ako používať sieť Lightning network na platby v Bitcoinoch medzi kamarátmi a za tovary a služby. V prípade, že anonymizujete svoje pripojenie na Internet napríklad pomocou siete Tor alebo pomocou VPN, nebude v blockchain histórii žiadna spojitosť s vašou inou činnosťou – peniaze, ktoré sa posielajú v cieľovej platobnej sieti totiž patrili zmenárni (alebo druhej strane, ktorá robila výmenu) a s vami nemajú nič spoločné. Vytvorili ste tak jednoduchý kontrakt “ja zaplatím vám cez lightning a vy za mňa pošlete inú kryptomenu”. Permanentná stopa v blockchaine tak smeruje k zmenárni.  

Porovnanie so súkromím iných platobných sietí

Iné platobné siete ako napríklad platobné karty sú viazané na meno. Často sa vyžaduje zadať fakturačná adresa, ktorá sa niekedy overuje.

Keďže bezpečnosť platobných kariet je založená na znalosti pár čísel (číslo karty, expirácia a CVV), ktoré sa odovzdávajú tretím stranám, je dobré overovať niektoré údaje, ktoré nie sú vytlačené na karte. Niektoré údaje majú prevádzkovatelia zakázané uchovávať (CVV). Niektoré platobné brány overujú fakturačnú adresu. Tento dôvod je s nástupom 3D Secure platieb alebo služieb ako Google Pay a Apple Pay do veľkej miery zbytočný, platby sa overujú na základe ďalšieho faktora (napríklad SMS či potvrdenie v aplikácii vydavateľa karty).

Fakturačná adresa sa používa aj na vyhodnotenie rizika. Ak pristupujete z Ruskej IP adresy, ale karta je vydaná a používaná na Slovensku, je veľká pravdepodobnosť že sa jedná o krádež a platobná sieť takúto transakciu často zamietne.

Tieto problémy kryptomeny riešia tak, že transakcie sú elektronicky podpísané a nevratné. Poskytovateľ nemusí na uskutočnenie platby vôbec poznať identitu klienta a zároveň sa nemusí báť, že by sa platba vrátila alebo by došlo k podvodu. Ak je platba potvrdená v sieti, obchodník si môže byť stopercentne istý, že disponuje peniazmi.

Ďalším dôvodom je, že poskytovateľ produktov alebo služieb potrebuje naúčtovať správnu DPH. Keďže veľa ľuďom dojde, že stačí hlavne pri elektronických službách zvoliť “som z Hong Kongu” (Hong Kong nemá DPH), niektorí poskytovatelia overujú fakturačnú adresu s vydavateľom karty, aby obísť platenie DPH nebolo také jednoduché.

Ostatné fiatové platobné siete sú na tom so súkromím podobne. Informáciu o osobných údajoch zákazníka však nezíska len predajca a platobná sieť. Ako som spomínal vyššie, napríklad PayPal má v podmienkach uvedené, že vaše osobné údaje môže zdieľať s viac ako 600 subjektami. Regulácie ako OECD CRS, FATCA a podobne dokonca pre každého poskytovateľa bankových, finančných a platobných služieb ukladajú povinnosť informovať automaticky daňové úrady. Regulácie proti praniu špinavých peňazí zase nútia blokovať transakcie alebo informovať finančnú políciu. Všetky tieto zdieľania informácií sú automatické po splnení určitých podmienok – nie je to o tom, že “veď robím malý obrat” alebo “nerobím nič zlé”. Tieto údaje sú odoslané, spracované a uchované na dlhú dobu.

Prvým a zásadným problémom automatického zdieľania údajov je – dokáže ich príjemca ochrániť? Príjemcom je často štátna inštitúcia. Na Slovensku máme skúsenosť, že štátna inštitúcia nedokáže ochrániť ani najcitlivejšie údaje o zdravotnom stave a výsledkoch PCR testov na SARS-Cov-2. A to hovoríme o technickom hacku, druhý a oveľa pravdepodobnejší vektor útoku je jednoducho predaj údajov zamestnancom, ktorý k nim má prístup. Ale štátne inštitúcie nie sú jediným príjemcom údajov – marketingové firmy, úverové registre a podobne. Predstavte si to tak, že keď urobíte platbu, vznikne informačný ohňostroj, ktorý vyzdieľa informácie o tejto platbe rôznym tretím stranám, s ktorými nemáte automatický dobrovoľne uzavretý vzťah.

Ďalším problémom je, že prevádzkovateľ platobnej siete veľmi pravdepodobne vie zistiť celé vaše nákupné správanie – čo a kde si kupujete. Obzvlášť na Slovensku po zavedení systému eKasa sa do z Internetu prístupnej databázy ukladajú informácie nie len o tom kde a za koľko ste nakúpili, ale aj presne aké položky ste si kúpili. Informácie, ktoré máte vytlačené na bločku dostane priamo Finančná správa. Samozrejme, na bločku (na rozdiel od faktúry) nie je priamo uvedená vaša identita – ale keď zaplatíte kartou, je možné identitu s bločkom spárovať (podľa terminálu a sumy).

Tieto informácie sú navyše v systémoch uchovávané dlhodobo. Mne osobne je veľmi nepríjemné, keď sa mi zamestnanec banky hrabe v pohyboch na účte so snahou predať mi ďalšie produkty. Je mi jasné, že každý zamestnanec banky teoreticky môže vidieť všetky moje pohyby na účte a získať tak dosť veľa citlivých informácií. A nielen že teoreticky môže, ale je známy prípad, kedy to zneužil zamestnanec banky Filip Rybanič. Ako zamestnanec banky si pozrel účty Roberta Kaliňáka, Jána Počiatka, Mariána Kočnera a Ladislava Bašternáka. V tomto prípade však zamestnanca banky súd uznal vinným z trestného činu.

Klasické platobné siete sú teda z pohľadu súkromia najhoršie možné – vidno v nich nielen kedy a za koľko, ale aj kde som nakúpil (meno obchodu, poloha terminálu).

Dôležité je uvedomiť si, že na poskytovanie väčšiny elektronických služieb nepotrebujeme poznať identitu zákazníka. Nútia nás k tomu občas regulácie, ale na samotné poskytnutie to nie je potrebné. Ak predávam virtuálne servery, služby telefónneho čísla, domény, web adresy, prístup k softvéru ako službe, elektronickú knihu (ako napríklad táto), online kurz a podobne, vôbec nepotrebujem vedieť meno, priezvisko a adresu zákazníka. Ak tieto údaje nemám, nemusím ich chrániť.

Pri kryptomenách sa s platbou automaticky nenesie identita. Na vytvorenie účtu na používanie kryptomien nepotrebujem vedieť e-mail, meno, priezvisko ani adresu. Peňaženkou podpísaná transakcia je všetko, čo potrebujem na uskutočnenie platby. Kryptomeny tak zjednodušujú splnenie vládnych nariadení ako napríklad GDPR – ak nemám osobné údaje, nemusím ich chrániť.

Z tohto pohľadu kryptomeny zachovávajú naraz súkromie aj bezpečnosť platby. O tom ako používať kryptomeny na bežné nákupy a teda si zachovať viac súkromia hovorím v online kurze Bitcoin v bežnom živote.

Travel rule

Narušenie súkromia sa však dostáva aj do kryptomenových platobných sietí. Príbeh finančných regulácií je komplikovaný, ale podľa mňa veľmi zaujímavý. Väčšina ľudí si myslí, že spôsob, ktorým vznikajú regulácie proti praniu špinavých peňazí a mnohých iných je asi nasledovný – úradníci (napríklad Európskej Únie) si sadnú s expertami, pokúsia sa vymyslieť rozumné pravidlá, tie potom podajú ako návrh, ktorý prejedná komisia a parlament. Ten sa schváli a potom ho parlamenty jednotlivých krajín EÚ adoptujú do svojej legislatívy. Toto je tá viditeľná časť, ktorá nastane až potom ako dané pravidlo už dávno platí. Ako to teda je v skutočnosti?

Funguje to takto. Nezisková a neštátna organizácia FATF-GAFI vydáva “odporúčania” na boj proti praniu špinavých peňazí. Zároveň produkuje tzv. “watch listy”, na ktoré sa dostávajú krajiny alebo organizácie, ktoré nedostatočne bojujú proti praniu špinavých peňazí. Ak krajina alebo organizácia chce ukázať, že bojuje proti praniu špinavých peňazí, tak krajina alebo banka v platobnej sieti akceptuje FATF-GAFI “odporúčania”. Keďže je to konsenzuálny štandard väčšiny v platobnej sieti, ak chce daný subjekt participovať v platobnej sieti, musí nejak dokázať, že bojuje proti praniu špinavých peňazí.

To sa najjednoduchšie dokazuje, že implementujú ich odporúčania ako pravidlá – a tieto pravidlá dodržiavajú a vynucujú ich dodržiavanie od ostatných partnerov. AML5 európskej únie je implementácia FATF-GAFI odporúčaní do uceleného právneho rámca. Veľa z týchto pravidiel banky aj krajiny vynucovali už predtým ako bola regulácia vôbec prijatá, lebo ak niekto chcel poslať peniaze napríklad do USA, opýtala sa ich korenšpondenčná banka, čo robí proti praniu špinavých peňazí. A najjednoduchšie je ukázať “implementujeme tento štandard”.

Čiže prijímanie pravidiel v bankovej sieti ide opačne – vzniká vzájomným donútením v bankovej sieti a potom sa postupne pretavuje do písaných pravidiel. Všimnime si, že reguláciu bankovej siete robí neziskovka, so sídlom v budove OECD v Paríži, ktorá je nikým nevolená a nemá oficiálne legislatívnu moc. Aj napriek tomu dokáže písať pravidlá, ktoré dodržiava celý svet – nie len členovia OECD, EÚ alebo iného celku.

Veľmi podobným spôsobom boli prijaté aj regulácie FATCA a OECD CRS – boli “virálne rozšírené cez sieťový efekt”. Jednoducho spôsobom “ak chcete s nami obchodovať, musíte sa riadiť týmito pravidlami”.

FATF-GAFI má na vynucovanie druhú sekciu, ktorá “monitoruje pranie špinavých peňazí”. Takže napríklad zistia, že Panama neimplementovala priamo do zákona FATF-GAFI pravidlá, ale proti praniu špinavých peňazí bojovala po svojom. Výsledok bol, že sa Panama v roku 2019 dostala na “watchlist” jurisdikcií, ktoré sú rizikové z pohľadu prania špinavých peňazí. Nedostali sa tam preto, že by im bolo preukázané pranie špinavých peňazí v konkrétnych prípadoch, ale preto, že sa rozhodli bojovať proti praniu špinavých peňazí iným spôsobom.

Čo to znamená? Ktokoľvek, kto nasleduje FATF-GAFI odporúčania musí špeciálne preverovať všetky transakcie s Panamou. To spomaľuje medzinárodný obchod a preto Panama urobila všetko preto, aby sa z tohto watchlistu dostala – poslanci prakticky dostali na stôl zákon, ktorý musia prijať. Veľmi podobným spôsobom sa rozšírilo aj pravidlo OECD CRS.

Čo to má s Bitcoinom? Jedno z “odporúčaní” FATF-GAFI je “tagovanie” kryptomenových transakcií. Ak má transakcia hodnotu vyššiu ako 1000 EUR/USD, mala by nejakým spôsobom overovať identitu odosielateľa a komunikovať ju druhej strane. Táto informácia nemusí ísť priamo cez blockchain. Začali vznikať protokoly, ktoré takúto výmenu osobných údajov umožňujú.

Prvými, kto musia toto pravidlo nasledovať sú burzy, ktoré podporujú vklady a výbery v štátnych fiat peniazoch. Tie pre svoj biznis potrebujú byť zapojení do klasickej finančnej siete. Travel rule z dieľne FATF-GAFI už je prijaté a jeho vynucovanie prebieha cez finančný systém bez ohľadu na to, či ho schválili parlamenty krajín alebo EÚ.

Ako toto zavedenie funguje v praxi? Názorný myšlienkový experiment:

1. Vyhlásime, že “neotagované” BTC transakcie sa používajú na pranie špinavých peňazí
2. Vytvoríme štandard na tagovanie transakcií
3. Banky, zmenárne a podobne to začnú implementovať, lebo nechcú, aby im ich partneri vo fiat platobnej sieti zrušili účty a znemožnili platobný styk
4. FATF-GAFI zmonitoruje, ktoré krajiny a ktoré inštitúcie to robia a ktoré nie
5. Ak to nejaká krajina ignoruje (a teda nie je “v karteli”), vyhlási ich za “centrum prania špinavých peňazí” a dá ich na watchlist
6. Tým majú výrazne sťažený styk s klasickými finančnými systémami. Watchlist je globálny na všetky transakcie, takže ak niekto nechce implementovať travel rule pre kryptomenové transakcie, dôsledok je obmedzenie prístupu k medzinárodnému obchodu celkovo – watchlist sa netýka len jedného segmentu. Krajina si veľmi pravdepodobne povie “kašľať na nejakých pár obchodníkov s Bitcoinami, uzákoníme to, lebo nechceme byť na watchliste”.
7. FATF-GAFI a konzultanti dodajú presné znenie zákona, ktoré si preložia do lokálneho jazyka a správne odreferencujú paragrafy. Poslanci v parlamente zákon schvália, v zásade netušiac o čo ide a ako to vzniklo.
8. FATF-GAFI pridá na svoj web tlačovú správu o úspešnej spolupráci s ďalšou krajinou a vydá prípadovú štúdiu ako potlačila ďalšie pranie špinavých peňazí.

Každý vklad a výber z burzy teda bude označený našou identitou – meno, priezvisko, adresa, rezidencia a podobne. Tie “nevinné KYC dáta”, ktoré doteraz zbierali a zdieľali maximálne s firmami na chain analýzu alebo na základe súdneho príkazu sa stanú súčasťou našich transakcií – mimochodom, tieto dáta sa dajú naplniť aj spätne, keďže pri výberoch vašu identitu poznali a vedia, ktoré transakcie sú výber vašich prostriedkov.

Dystopická vízia zavedenia finančného sledovania do kryptomien

Môže sa stať, že časom štáty donútia obchodníkov prijímať iba takto označené kryptomeny. Ak človek kryptomenami bude chcieť čokoľvek legálne platiť, anonymita bude preč. A tak sa jednotlivé “mince” kryptomeny rozdelia na legálne (označené identitou) a ilegálne, ktoré budú nepoužiteľné na legálne nákupy. Nemyslím tým, že niektoré kryptomeny budú legálne a niektoré nie, ale zostatok v peňaženke bude označený a neoznačený. Predstavte si to ako bankovky, niektoré sú opečiatkované a tie budete môcť použiť na nákup v potravinách alebo v hipsterskej kaviarni a neopečiatkované, ktoré bude možné použiť iba v šedej a čiernej ekonomike.

Technické riešenia na zvýšenie súkromia by v takomto prípade boli nepoužiteľné – coinjoin alebo iné spôsoby mixovania a zvyšovania súkromia by jednoducho zmenili jednotky kryptomeny na neoznačené. Pričom použitie tejto mixovacej techniky by bolo prepojené s našou identitou, takže by nás veľmi pravdepodobne navštívil nejaký finančný úrad s otázkou, prečo sme svoje peniaze dali do anonymizačného nástroja. 

Myslím, že ešte horšia vec ako neregulovať alebo zakázať kryptomeny (čo bol podľa všetkých najhorší scenár, s výsledkom “krypto sa nedá zakázať”), bude legalizovať ho. A iba legálne, opečiatkované krypto sa bude môcť používať.

Prečo sa potom kryptomenami zaoberať, ak je toto podľa mňa možný scenár? Takáto dystopická budúcnosť je totiž už vo fiat svete zavedená. Kryptomeny sú internetové protokoly, ktoré umožňujú súkromie a môžu zohrávať úlohu digitálnej hotovosti aj v paralelnej ekonomike (viď príloha). Kryptomeny sú teda z pohľadu súkromia stále lepšie a umožňujú vytvoriť paralelnú ekonomiku bez sledovania – a to je ich výhoda dokonca aj v prípade, ak “schválené” použitie bude naďalej monitorované.