Izmjene „Transfer of Funds“ Uredbe (dalje: Uredba) prijedlog su Europske unije koji smjera na proširenje AML/KYC pravila standardiziranih za primjenu na fiducijarne valute – na kriptoimovinu, uvođenjem „putnog pravila“ kao okosnice, što bi za učinak trebalo imati sljedivost prijenosa kriptoimovine i određenih osobnih podataka o sudionicima transakcija. Da bi takva sljedivost bila moguća, prijedlog Uredbe je pružateljima usluga povezanih s virtualnim valutama (dalje: VASP) nametnuo razne administrativne zahtjeve kojima se, između ostalog, nalaže prikupljanje i provjeravanje (verificiranje) te čuvanje određenih kategorija osobnih podataka korisnika njihovih usluga - pošiljatelja i primatelja virtualnih valuta u odnosu na svaku konkretnu transakciju. Uredba se primjenjuje na sve vrste transakcija (pa i one koje uključuju „unhosted wallet“) i na sve VASP-ove, čak i na „crypto ATM’S“, osim kada u transakciji sudjeluju dva VASP-a koji istu obavljaju u svoje ime, a ne u ime svojih korisnika (stranaka). Uredba se ne primjenjuje na peer-to-peer transakcije. Osim prilaganja prikupljenih informacija o transakciji, tako prikupljene informacije o svojim korisnicima VASP-ovi moraju učiniti dostupnim nadležnim tijelima.
Ono što se podrazumijeva pod „kriptoimovinom“ u smislu Uredbe semantički je isto definiciji iz Komisijina Prijedloga uredbe o tržištima kriptoimovine – koji NE obuhvaća sve kategorije kriptoimovine danas dostupne krajnjim korisnicima, a koje mogu služiti pranju novca i financiranju terorizma u modalitetima koje EU propisi predviđaju. Također, u obzir se nisu uzeli ni modaliteti koji bi takvim postojećim kategorijama bili svojstveni. U tom je smislu Uredba preuranjena pa iako smjera na ujednačavanje i standardizaciju, mogla bi imati upravo suprotan učinak.
Incentive za TF Uredbu različitost je uređenja AML/KYC sustava implementiranih na nacionalnoj razini između država članica koja je – Uredbom se nastoje standardizirati i ujediniti načela zaštite od pranja novca i financiranja terorizma na razini EU kako bi se prevenirali njihovi prekogranični modaliteti. Međutim, ono što ovaj Uredba propušta adresirati je razlika u jačini financijskih sektora država članica unatoč postojanju unutarnjeg, europskog financijskog tržišta. Financijska snaga pravnih osoba s poslovnim nastanom u Europskoj Uniji poglavito ovisi o snazi financijskog sektora države nastana. To u suštini znači da, unatoč prekograničnom poslovanju – dobit od slične prirode poslovanja različit je za pravne osobe u državama članicama s bitno različitom snagom financijskog tržišta pa je i mogućnost razvijanja tehnologije i infrastrukture, koja se Uredbom stavlja u ruke pružatelja usluga – bitno različita.
S obzirom na to da se Uredbom VASP-ovima osim obveze implementacije instrumenata provođenja AML/KYC politike kako je to odredbama razrađeno, nameće i nadzorna funkcija – upitan je standard takve provedbe koji se od strane EU uopće očekuje s obzirom na različitu mogućnost razvijanja takve infrastrukture i provedbe propisanih pravila – a upravo je na strani VASP-ova da razvijaju tehnološka rješenja i protokole koji bi im omogućili prikupljanje i razmjenu informacija međusobno i s nadzornim tijelima.
Shodno navedenome, upitno je u kojoj mjeri se pravila postavljena Uredbom uopće mogu ujednačiti, odnosno koliko bi, i da mogu, to bilo pravedno. Jedan od mogućih učinaka je istiskivanje konkurenata koji ne bi mogli zadovoljiti administrativne zahtjeve budući da jednostavno ne bi mogli razviti dovoljno zadovoljavajući alat primjene ujednačenih AML/KYC pravila, a s druge strane veći akteri na tržištu kriptoimovine ne bi imali problema s podnošenjem takvih troškova. Zanimljivo je kako sama Uredba konstatira kako joj nije za cilj stvoriti dodatne troškove VASP-ovima i utjecati na slobodno kretanje kapitala unutar Unije, što nam se upravo čini paradoksalno s obzirom na zahtjeve nametnute Uredbom.
Iako se Uredbom navodno samo proširuje primjena već etabliranih AML/KYC pravila uvodeći pojam kriptoimovine, već su na prvu očite implikacije na zaštitu osobnih podatka i zaštitu tržišnog natjecanja. Odustajanje od bilo kakvog tresholda za kripto transakcije (prikupljanje podataka od 0 EUR) ne samo da je diskriminatorno (bez opravdanog razloga) u odnosu na pružatelje fiat platnih usluga za koje je primjenjiv prag od 1.000,00 EUR, već i omogućava značajnije otkrivanje i protok osobnih podataka koji mogu biti kompromitirani i dostupni nadzornim tijelima.
Upitno je u kojoj je mjeri takav preventivan tok osobnih podataka proporcionalan cilju koji se želi postići (sprječavanje pranja novca u kripto transakcijama), te koliko će krajnji korisnici zbog izbjegavanja KYC procesa, pa i korištenja novih tehnologija koje su nenamjerno ostale neregulirane, početi favorizirati pružatelje usluga koji nisu obuhvaćeni Uredbom. Također, moguće je postavljanje značajne barijere za pokretanje novih VASP-ova s poslovnim nastanom u EU s obzirom na administrativne zahtjeve i financijski trošak kakav se nameće radi uspostavljanja AML/KYC sustava kakvi su potrebni za zadovoljavanje uvjeta.
Obujam tako prikupljenih osobnih podataka presumira i pitanje njihove zaštite. Naime, ovako postavljeni normativni zahtjevi predstavljaju u suštini copy/paste regulacije tradicionalnih financija na kriptoimovinu i kripto transakcije. Obrazloženje dano kao razlog za ovakav oblik regulacije nema uporišta u stvarnosti. Navedeno bi moglo prouzrokovati teško kršenje pravila privatnosti građana EU budući da, za razliku od tradicionalnih financija gdje podaci o pojedinoj transakciji i bankovnom računu korisnika imaju vrijednost u konjunkciji s dodatnim podacima koje bi morala predočiti banka (npr. iz podataka o jednoj transakciji vrlo je teško, do nemoguće, utvrditi povijest transakcija korisnika bez sudjelovanja banke ili kroz vrlo sofisticiran napad na bankovni informacijski sustav), kod kriptoimovine je trenutkom saznanja o povezanosti pojedinog novčanika s korisnikom moguće, bez potrebe za dodatnim sudjelovanjem neke „gatekeeper“ institucije i uz relativno malu razinu informatičke pismenosti utvrditi značajno više informacija, do razine da se mogu pratiti sve transakcije koje su ikada provedene putem predmetnog novčanika koji je povezan s pojedinim korisnikom.
Kada se uzme u obzir da bi praktički sve transakcije kriptoimovine bile podložne Uredbi, govorimo o najvećem prikupljanju osobnih financijskih podataka fizičkih osoba izvan NR Kine. Valja posebno naglasiti da podatak o transakciji i korisniku bankovnog računa nipošto nije isto kao podatak o transakciji i identitetu imatelja novčanika jer se iz potonjeg može na relativno jednostavan način izvući značajno više osobnih podataka o korisniku, i sve to bez barijera prisutnih kod tradicionalnih financija (potrebe za postojanjem zakonske osnove, tehnološka barijera nemogućnosti pristupa podacima).
Cluster informacija koje se mogu prikupiti na ovaj način u kojem su VASP-ovi dužni skupljati podatke o svim transakcijama i trajno ih čuvati stvara iznimno opasne „honeypotove“ vrlo osjetljivih osobnih podataka (lokacija novca, količina novca, osobni podaci i lokacija imatelja novca i to ne samo VASP-ovih vlastitih klijenata) može nanijeti tešku i nepopravljivu štetu za korisnike, ali i za treće strane zbog samih karakteristika blockchaina i mogućnosti praćenja svih transakcija koje su se ikad dogodile.
Pri tome se crypto imovinu neopravdano tretira puno restriktivnije od tradicionalnih financijskih sredstava i fiat novca (npr. čak i banke ne smiju čuvati podatke o trećim osobama uključenim u transakcije nakon što je transakcija provedena i potvrđeno je da ne podliježe AML ograničenjima). Povezivanje adresa novčanika s točno određenim korisnikom izlaže tako prikupljene baze podataka sigurnosnom riziku i napadima koji prouzrokuju „curenje“ i proboj podataka na koje nije otporan niti cijeli spektar drugih industrija, kojima je jedan od važnijih poslova zaštita sigurnosti osobnih podataka njihovih korisnika (npr. primjeri curenja kod poznatih banaka ili teleoperatera). U slučaju da se to dogodi, korisnikov identitet se povezuje s stanjem u njegovom novčaniku i potencijalno ga targetira kao žrtvu naknadnih krađa.
Zakonodavac kao primarni razlog za donošenje regulacije navodi „potencijalni“ rizik. Odnosno, ne navodi konkretne podatke ili razloge zašto bi bilo opravdano gore spomenuto teško zadiranje u privatnost građana EU, već se poziva na to da postoje značajne „opasnosti“ i „mogućnosti“ da bi se kriptoimovina „mogla“ koristiti za pranje novca i financiranje terorizma. Ujedno se spominje i opasnost za integritet financijskog sustava. S obzirom da, prema analitičkoj kompaniji Chainalisys svega 0,05% svih transakcija kriptmoimovine potpada pod pranje novca, tvrdnje o postojanju navedenog rizika su apsurdne, posebno uzevši u obzir i ove razloge:
a) Vrlo je teško ostati anoniman na blockchainu. Primarni razlog za to je činjenica da svi podaci o svim transakcijama ostaju „zapisani“ zauvijek. Čak i kako danas postoje određeni načini i metode za ostati anoniman i potencijalno provoditi anonimne transakcije koje imaju element kriminaliteta, to ne znači da će tako ostati zauvijek. Daljnjim tehnološkim razvojem nije nezamislivo da, uz ponešto truda, bude moguće identificirati praktički sve transakcije na blockchainu unatrag nekoliko godina (vidi stare tvrdnje o Bitcoinu kao anonimnom obliku plaćanja i stotine ljudi koje je Chainalisys identificirao u svrhe kaznenog progona za razna kaznena djela povezana s npr. Silk Road).
b) Blockchain tehnologija je prisutna već više od desetljeća, a od toga barem 5-6 godina u mainstreamu ili polu-mainstreamu. No, do sada nije otkriven niti jedan large-scale incident organiziranog pranja novca. Niti jedna organizirana kriminalna skupina u svijetu (koje su i inače poznate pri prihvaćanju inovacija) nije koristila blockchain tehnologiju za pranje novca na nekoj velikoj razini. A imali su dovoljno vremena da se obrazuju o tome kako i zašto bi se to moglo raditi. Pitanje je zašto? Odgovor je pod a)
Prijedlog se odnosi na države članice EU, no poslovanja pravnih osoba s nastanom u EU ne odvijaju se samo unutar granica EU pa ostaje otvoreno pitanje komunikacije i protoka podataka pravnih osoba unutar EU i trećih država.
Neobično je smjerati na ujednačenje pravila provedbe AML/KYC europskog standarda uz istovremeno uvođenje parametara za suspenziju transakcija i otklanjanja rizika u obliku kršenja prava koja su poglavito nacionalna.
Pozitivno je nastojanje EU da spriječi i prevenira kriminalne aktivnosti u financijskom sektoru, no doima se kako u zakonodavnim redovima perzistira stav o tome da upravo upotreba kriptovaluta povećava incidenciju kriminala, zanemarujući činjenicu da se financijski kriminal odvijao i prije pojave kriptovaluta, a i danas je dominantno izvršavan upravo upotrebom fiducijarnih valuta. Tome usprkos, u Uredbi je potrebno redefinirati pojam kriptoimovine, konkretizirati razloge i situacije u kojima bi prikupljanje podataka bilo opravdano, te ih učiniti proporcionalnima razvoju tehnologije.
Besmisleno je gušiti razvoj tehnologije u svrhu apstraktne prevencije koja je opsegom u isto vrijeme i preširoka i preuska. U obzir se mora uzeti financijska sloboda pojedinca, inače bi ih se moglo dekuražirati do te mjere da alternativa postanu isključivo P2P mreže koje bi tek bilo teško kontrolirati. U obzir se mora uzeti i potreba održavanja zdravog tržišnog natjecanja i različitost financijskih i tehnoloških mogućnosti pravnih osoba unutar i između država članica.
Nadalje, nema logičnog, pravnog ili financijskog uporišta za donošenje regulacije koja bi predstavljala u najveće zadiranje u osobne financijske podatke građana u svijetu (izvan NR Kine). Smatamo da je jasno iz Uredbe kako zakonodavac nije dovoljno konzultirao industriju, ili je jednostavno ne razumije u mjeri koja je potrebna da bi ju smisleno i sveobuhvatno regulirao.