De Bybit-hack: 4 Compliance- en AML-lessen van de grootste crypto-hack door Noord-Korea

Op 21 februari 2025 werd Bybit het slachtoffer van een cyberaanval die resulteerde in een ongekend verlies van circa $1,46 miljard aan digitale activa. Ter vergelijking: de grootste crypto-overval vóór Bybit was de diefstal van $611 miljoen bij Poly Network in 2021. De eerste rapporten wezen al snel naar de beruchte Lazarus Group, een door de Noord-Koreaanse staat gesteunde cybercriminelenorganisatie die al eerder betrokken was bij verschillende spraakmakende hacks en witwasoperaties. De FBI heeft inmiddels bevestigd dat de Lazarus Group verantwoordelijk is voor de aanval.

Deze diefstal roept kritische vragen op over de beveiliging van gecentraliseerde beurzen, vooral in het licht van de Digital Operational Resilience Act (DORA). Wat deze hack extra zorgwekkend maakt, is de snelheid waarmee de gestolen tegoeden werden witgewassen. TRM Labs schat dat in de eerste 48 uur minstens $160 miljoen werd witgewassen, en dat dit bedrag binnen een week opliep tot meer dan $400 miljoen. Dit toont een mate van professionaliteit en efficiëntie die we niet eerder hebben gezien.

Hoe de fondsen werden witgewassen: een overzicht

Gezien de ongeëvenaarde snelheid waarmee een groot deel van de tegoeden zijn witgewassen, is het essentieel om de gebruikte witwastactieken te analyseren. De Lazarus Group paste geavanceerde methoden toe, waarbij ze verschillende crypto-diensten en gedecentraliseerde beurzen (DEX’s) gebruikten om het spoor van de illegaal verkregen fondsen te verhullen.

De witwasoperatie begon direct na de diefstal, toen de gestolen activa – aanvankelijk mETH en sETH (liquid staking tokens)[1] – werden omgezet in Ethereum via DEX’s. Deze conversie was cruciaal om te voorkomen dat token-uitgevers de gestolen activa zouden bevriezen. Omdat Ether en Bitcoin niet door een gecentraliseerde autoriteit worden beheerd, zijn deze minder vatbaar voor dergelijke maatregelen.

Na de conversie naar ETH paste de Lazarus Group een veelgebruikte witwastechniek toe: “layering” (ofwel gelaagdheid). Hierbij worden fondsen naar meerdere wallet-adressen verstuurd om hun oorsprong te verhullen en tracering te bemoeilijken. Hoewel de transparantie van de blockchain het mogelijk maakt om transacties te volgen, gaf deze strategie de hackers de nodige tijd om de fondsen te verplaatsen, tokens om te wisselen, cross-chain bridges te gebruiken en no-KYC instant swap-diensten in te zetten.

Met behulp van deze crypto-diensten werden grote hoeveelheden ETH omgezet naar andere cryptovaluta, voornamelijk BTC en DAI. Historisch gezien vertrouwde Noord-Korea op crypto-mixers om de oorsprong van gestolen activa te verbergen voordat ze in fiat werden omgezet. Door de strengere controle en wetshandhaving op deze diensten lijkt de Lazarus Group nu te kiezen voor snelheid en efficiëntie boven anonimiteit.

Belangrijke compliance- en AML-lessen

De nasleep van de Bybit-hack biedt cruciale lessen voor compliance-professionals, regelgevers en bedrijven in de cryptosector. De hack onderstreept niet alleen de kwetsbaarheden in de industrie, maar benadrukt ook het belang van sterke compliance-kaders, robuuste AML-praktijken en samenwerking binnen de sector. De vier belangrijkste lessen:

  1. Geavanceerde transactie-monitoringsystemen

De verfijnde witwastactieken maken duidelijk dat crypto-platforms geavanceerde transactiemonitoring moeten implementeren. Dankzij samenwerking tussen blockchain-analysebedrijven, wetshandhavers en gecentraliseerde beurzen is veel van de gestolen crypto getraceerd, en zijn adressen gelinkt aan de Lazarus Group geïdentificeerd en gemarkeerd. Hoewel enkele gecentraliseerde beurzen activa hebben bevroren, is een groot deel van de gestolen fondsen in handen van de hackers gebleven.

De voortdurende onderzoeken tonen zowel de effectiviteit van blockchain-analyse aan als ook de uitdagingen die gepaard gaan met crypto-diensten, zoals DeFi-protocollen, die vaak geen geavanceerde monitoring toepassen.

  1. Versterking van KYC- en AML-normen

Crypto-beurzen moeten strikte Know Your Customer (KYC)-procedures hanteren en regelmatige AML-controles uitvoeren gedurende de gehele klantrelatie. Hoewel KYC-vereisten inmiddels standaard zijn bij gecentraliseerde beurzen, lopen veel DeFi-platforms achter in het opzetten van robuuste identiteitsverificatieprocessen en het monitoren van transacties.

Nu gedecentraliseerde financiering en privacytools zich blijven ontwikkelen, groeit de noodzaak voor strengere gebruikersregistratie en transactiemonitoring. Een goed voorbeeld hiervan is Chainflip, een gedecentraliseerd protocol dat proactief een software-update implementeerde om inkomende transacties gerelateerd aan de hack te blokkeren.

  1. Samenwerking binnen de sector en met wetshandhavers

Samenwerking is essentieel om witwasdreigingen tegen te gaan en het crypto-ecosysteem te beschermen. Als reactie op de hack lanceerde Bybit een bounty-programma, waarbij beloningen tot 10% worden uitgekeerd voor het bevriezen van gestolen fondsen. Dit stimuleerde samenwerking tussen verschillende partijen en bemoeilijkte de pogingen van de hackers om de activa in fiat om te zetten. Aanvullend stelde enkele gecentraliseerde exchanges tegoeden beschikbaar aan Bybit om diens operatie draaiende te houden, en de impact van de hack te minimaliseren.

Deze aanpak onderstreept het belang van snelle, gezamenlijke reacties om de integriteit van het crypto-ecosysteem te waarborgen.

  1. Opleiding en bewustwording

De Bybit-hack benadrukt de noodzaak van continue opleiding en bewustwording binnen de crypto-industrie. Bedrijven zouden moeten investeren in regelmatige trainingen voor hun compliance-teams om op de hoogte te blijven van de nieuwste witwastechnieken. Daarnaast blijft het cruciaal om gebruikers bewust te maken van de risico’s van ongecontroleerde platforms, om zo illegale activiteiten in de crypto-ruimte te bestrijden.

Conclusie: De Weg Vooruit voor Crypto Compliance

De Bybit-hack laat de kwetsbaarheden zien die nog aanwezig zijn in de cryptosector. Nu criminele organisaties steeds geavanceerdere witwasmethoden toepassen, is de urgentie voor robuuste compliance- en AML-maatregelen groter dan ooit. Beurzen, DeFi-platforms en wetshandhavers moeten samenwerken om de zwakke plekken in het huidige systeem te dichten, geavanceerdere monitoringtools te implementeren en de crypto-ruimte veiliger te maken voor legitieme gebruikers.

De gezamenlijke inspanningen naar aanleiding van de hack laten zien dat de sector steeds meer prioriteit geeft aan beveiliging en gebruikersbescherming. Door de focus te leggen op sterkere compliance-kaders, verbeterde KYC- en AML-normen en nauwe samenwerking, zet de industrie cruciale stappen om het risico op toekomstige aanvallen te verminderen.

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

[1] Liquid staking tokens verwijst naar het verkrijgen van een verhandelbare token in ruil voor het staken van een munt op een proof-of-stake blockchain.

Building resilience in a crypto-powered financial system

The European Banking Authority (EBA) has taken another significant step towards integrating crypto assets into the regulatory framework, with its recent consultation on draft technical standards. This consultation is a key move in ensuring financial stability while supporting innovation in such a rapidly evolving sector.

As businesses and financial institutions increasingly engage with crypto assets, the challenges of managing associated risks have become more present. The EBA’s proposed standards, rooted in the Basel Committee’s prudential guidelines, aim to provide clarity on capital requirements for crypto-asset exposures. By doing so, they seek to strike a balance between risk mitigation and maintaining a level playing field in the financial ecosystem.

These are the key aspects of the consultation:

  1. Classification of crypto-assets: The framework outlines distinctions between tokenized traditional assets, stablecoins, and unbacked crypto-assets, tailoring capital requirements to the specific risk profiles of each category.
  2. Risk sensitivity: The draft standards propose different treatments for crypto assets based on their volatility, liquidity, and transparency. This approach helps address concerns related to potential market disruptions.
  3. Operational and market risks: Beyond credit and counterparty risks, the standards consider the operational and market risks unique to crypto assets, ensuring a complete risk management.

For firms operating in the crypto space, this consultation signals the importance of aligning operational practices with growing regulatory expectations. Compliance professionals must stay ahead of these developments, proactively assessing their exposure and ensuring robust frameworks to meet potential requirements.

At Compliance Champs we understand the complexity of managing regulations like these, therefore we are here to help businesses interpret and implement these changes effectively.

The EBA’s initiative is the proof to the increasing recognition of crypto assets within mainstream finance. While challenges remain, this regulatory clarity is a step forward in enabling sustainable growth and innovation.

What are your thoughts on these draft standards? Let’s discuss how these measures might shape the future of crypto-asset regulation.

New EU travel rules go into effect in 2025, some crypto coins and bank cards can’t be used.

Van Criminologie naar het ondernemerschap: een persoonlijke reis

Lees meer

Elevating TBML Risk Management: from window dressing to data-driven approach

Lees meer

Video: De risico’s van Bitcoin ATM’s

In onze nieuwste video duiken we in de werking van Bitcoin ATM’s. Het is verontrustend eenvoudig om contant geld te transformeren in Bitcoins. Maar hoe zorgwekkend snel wij ons cash konden omwisselen, opent de deur naar een groter probleem: het gemak waarmee deze machines gebruikt kunnen worden voor witwaspraktijken door criminelen.

Wil je met eigen ogen zien hoe makkelijk het is en wil je begrijpen waarom deze apparaten een hot topic zijn in discussies over witwasrisico’s? Bekijk dan onze korte video!

Bekijk de Video Hier!

? .

✉ info@compliancechamps.com
+31 6 25 21 22 87

Financiële vrijheid tegenover Money Laundering

Tornado Cash, wat is het? Tornado Cash is een cryptocurrency mixer, een gedecentraliseerde applicatie gebouwd op de Ethereum blockchain die privacy faciliteert voor zijn gebruikers. Het vergemakkelijkt privacy door de cryptovaluta van al zijn gebruikers samen te voegen, ze te mengen en de gebruiker verschillende cryptovaluta te sturen, waardoor het vrijwel onmogelijk wordt om de oorsprong van de transactie te traceren. Blockchains zijn zeer transparant, en je kunt zien welke portefeuilles transacties met elkaar maken. Om Tornado Cash te gebruiken, stort je geld in het protocol en claim je je storting minus een vergoeding in je portemonnee.

Op zeven augustus 2022 plaatste het Office of Foreign Asset Control (OFAC) Tornado Cash op de sanctielijst. Het protocol zou criminelen hebben geholpen om hun geld wit te wassen. Het crypto-analysebedrijf Elliptic concludeerde dat er 1,5 miljard dollar werd witgewassen met Tornado Cash. Het is nu illegaal voor Amerikaanse burgers en bedrijven om de tool te gebruiken.

Er is veel scepsis over het plaatsen van Tornado Cash op de sanctielijst. Tornado Cash is geen bedrijf maar een DAO (Decentralized Autonomous Organization) – vereenvoudigd, een protocol dat werkt zonder enige menselijke interactie. Een interessant recent voorbeeld is dat iemand een transactie deed naar Black Rock, ’s werelds grootste investeringsmaatschappij gevestigd in de VS, met behulp van Tornado Cash. Dit zou impliceren dat BlackRock onbedoeld betrokken is bij een illegale transactie.

Heeft Tornado Cash enige juridische waarde? Ja, als iemand in een onderdrukkend regime leeft, wil diegene misschien zijn privacy vergroten. Een voorbeeld dat de legitieme bruikbaarheid van Crypto Mixers aantoont, deed zich voor toen Vitalik Buterin, een van de medeoprichters van Ethereum, geld doneerde aan Oekraïne ter ondersteuning van het conflict tegen Rusland. Bedenk het belang van privacy voor een Russisch individu dat financieel wil bijdragen aan de zaak van Oekraïne.

Alexey Pertsev, een van de ontwikkelaars van Tornado Cash, werd direct na het plaatsen van Tornado Cash op de sanctielijst door de VS gearresteerd. Hij wordt verantwoordelijk gehouden voor het witwassen van meer dan 1,2 miljard dollar en zou een straf van 64 maanden kunnen krijgen. De controverse in dit geval is dat crypto mixers niet illegaal zijn volgens de wet, waardoor sommigen de beschuldiging onterecht vinden.

Al met al komt het terug op de vraag: “Hoe bieden we een hoog niveau van privacy terwijl we het witwassen van geld onmogelijk maken?”

AMLD5 versus MiCAR

Met de MiCAR in zicht zullen veel partijen die betrokken zijn bij crypto-activa, waaronder crypto-activadienstverleners (CASPs), deze nieuwe regelgeving moeten implementeren. Diensten zoals het plaatsen van crypto-activa en het verstrekken van advies over crypto-activa moeten voldoen aan een uitgebreide reeks vereisten, terwijl deze diensten nog niet gereguleerd waren onder de AMLD5.

Onder de AMLD5 vallen CASPs in Nederland die diensten verlenen voor de uitwisseling tussen virtuele valuta en fiat-valuta’s en het aanbieden van bewaardiensten voor portemonnees binnen de reikwijdte van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), inclusief de implementatie van de AMLD5.

In dit artikel willen we kijken naar enkele van de belangrijkste verschillen tussen het huidige regime van de AMLD5 en het nieuwe regime van de MiCAR:

  • MiCAR vereist een vergunning, die veel meer inspanning vereist om te verkrijgen dan een registratie, vanwege het uitgebreidere scala aan vereisten in de regelgeving. AMLD5 vereist alleen een registratie.
  • Waar de AMLD zich richt op AML-CFT-kwesties en -risico’s, heeft de MiCAR dit scope verbreed en omvat regels over bijvoorbeeld marktmanipulatie en stelt prudentiële eisen voor CASPs.
  • MiCAR is een Verordening in plaats van een Richtlijn (AMLD5). Een Verordening is direct van toepassing in lidstaten na de inwerkingtreding ervan (een ander voorbeeld is de GDPR). Een Richtlijn moet eerst worden omgezet in de nationale wetgeving van een lidstaat. Net zoals de AMLD5 is omgezet in de Wwft.
  • De bevoegde autoriteit voor de meeste dienstverleners onder de MiCAR, inclusief de crypto-activadiensten die momenteel een registratie vereisen, zal de AFM zijn in plaats van de DNB waar ze momenteel geregistreerd zijn. De DNB wordt echter wel de bevoegde autoriteit voor uitgevers van ART’s en EMT’s.
  • MiCAR introduceert mogelijkheden tot paspoorting, terwijl registratie alleen serviceproviders toestaat om diensten aan te bieden en te vermarkten in één land. Als gevolg hiervan moest een CASP (Crypto-Asset Service Provider) onder het oude regime zich registreren in meerdere landen om daar diensten aan te bieden en te vermarkten.
  • Ten slotte vallen veel meer diensten onder de MiCAR. De registratie richt zich alleen op dienstverleners die diensten aanbieden voor de uitwisseling tussen virtuele valuta en fiat-valuta’s en het verstrekken van bewaardiensten voor portemonnees. De MiCAR richt zich op veel meer crypto-activadiensten (de volledige lijst van CASP-diensten is te vinden in artikel 3 (1) onder 16 van de MiCAR).

Het MiCAR-regime leidt tot verdere regulering op de cryptomarkt, waarbij meer cryptopartijen verplicht zijn om een vergunning te verkrijgen en te behouden. Het is een understatement om te zeggen dat uitdagende tijden voor ons liggen.

Travel Rule

Laten we bij het begin beginnen. In eerste instantie gold de Travel Rule alleen voor financiële instellingen. AMLD4 werd aangenomen om ervoor te zorgen dat de eisen van de Financial Action Task Force (FATF) voor aanbieders van geldovermakingsdiensten, en met name de verplichting voor betaaldienstaanbieders om overmakingen van geld te begeleiden met informatie over de betaler en de ontvanger, uniform werden toegepast in de hele EU. De recente wijzigingen die in juni 2019 zijn doorgevoerd in de FATF-standaarden met betrekking tot nieuwe technologieën, hebben nieuwe en soortgelijke verplichtingen opgelegd aan crypto-activadienstverleners, ook wel bekend als CASPs, om de traceerbaarheid van overdrachten van crypto-activa te vergemakkelijken.

De Travel Rule is opgesteld met als doel het voorkomen, opsporen en onderzoeken van witwassen en financiering van terrorisme. De Travel Rule is van toepassing op overmakingen van geld, in elke valuta, die worden verzonden of ontvangen door een betaaldienstaanbieder, of een tussenpersoon betaaldienstaanbieder gevestigd in de EU. Het is ook van toepassing op overdrachten van crypto-activa, inclusief overdrachten van crypto-activa uitgevoerd via crypto-ATM’s, waar de CASP, of de tussenpersoon CASP, van zowel de afzender als de ontvanger zijn hoofdkantoor heeft in de EU.

Omdat de Travel Rule nieuw is in de cryptosector, zullen we ons richten op de vereisten en implicaties voor CASPs en financiële instellingen die betrokken zijn bij overdrachten van crypto-activa. De Travel Rule vereist dat CASPs overmakingen van crypto-activa begeleiden met informatie over de afzenders en ontvangers van die overdrachten. CASPs zijn ook verplicht om die informatie te verkrijgen, te bewaren en te delen met hun tegenpartij aan de andere kant van de overdracht van crypto-activa en deze op verzoek beschikbaar te stellen aan bevoegde autoriteiten. De CASP moet ook due diligence uitvoeren van zijn tegenpartij. Omdat de persoonlijke gegevens van de transactiepartijen ‘meereizen’ met hun overdrachten, werd de regelgeving ook wel de “Travel Rule” genoemd. Voorbeelden van informatie die met de tegenpartij moet worden gedeeld, zijn de naam van de afzender of ontvanger, blockchain-adres, adres, land en persoonlijk documentnummer.

Interessant om te vermelden is dat de FATF aanbeveelt dat landen een de minimis drempel van 1.000 USD/EUR hanteren voor overdrachten van crypto-activa, waarbij in gedachten moet worden gehouden dat er minder eisen zouden zijn voor overdrachten van crypto-activa onder de drempel in vergelijking met die boven de drempel. De Verordening betreffende de overmaking van gelden is echter van toepassing op alle transacties ongeacht het bedrag. Er is slechts één uitzondering: een CASP is alleen verplicht de informatie over de gebruiker van een zelf-gehost adres te verifiëren in het geval van een overdracht van een bedrag boven de EUR 1.000 dat namens een cliënt van een CASP naar of vanaf een zelf-gehost adres wordt verzonden of ontvangen.

Natuurlijk heeft elke nieuwe regelgeving zijn eigen uitdagingen en implicaties voor de markt waarop deze van toepassing zal zijn. We willen er graag een paar noemen:

  • Gebrek aan technische middelen en extra kosten voor CASPs: naleving van de Travel Rule vereist implementaties en aanpassingen van de systemen die al in gebruik zijn, wat waarschijnlijk kosten met zich mee zal brengen voor de bedrijfsvoering.
  • Gebrek aan interoperabiliteit: CASPs maken gebruik van verschillende protocollen en oplossingen die niet altijd in staat zijn om met elkaar te communiceren en gegevens uit te wisselen, wat communicatie en gegevensuitwisseling compliceert.
  • Niet-uniformiteit tussen rechtsgebieden: landen nemen de Travel Rule aan op basis van hun eigen regelgeving, die kan afwijken van de FATF-standaarden. In het bijzonder kunnen rechtsgebieden verschillende de minimis drempels hebben zoals eerder genoemd, variërende gegevens van afzenders en ontvangers die moeten worden verzameld en overgedragen, enz.
  • Een ander branchezorgpunt is het zogenaamde ‘Sunrise-probleem’. De vereisten van de Travel Rule worden met verschillende snelheden gehandhaafd in verschillende rechtsgebieden. Dit betekent dat een CASP Travel Rule-verplicht kan zijn terwijl zijn grensoverschrijdende tegenpartij dat niet is.

De EU Travel Rule zal van toepassing zijn vanaf 30 december 2024. In de tussentijd zal de cryptomarkt hard werken aan de implementatie van de Travel Rule binnen zijn bedrijfsvoering.

Iets om naar uit te kijken is dat tegen 1 juli 2026 de Commissie van de EU een rapport zal uitbrengen waarin de risico’s worden beoordeeld die worden veroorzaakt door overdrachten naar of van zelf-gehoste adressen of entiteiten die niet zijn gevestigd in de EU, evenals de behoefte aan specifieke maatregelen om die risico’s te beperken, en indien nodig, voorstellen zal doen voor wijzigingen in de Verordening betreffende de overmaking van gelden.

Compliance Champs en ChainComply Samenwerking

Nederlands gevestigd crypto-activa compliance-adviesbureau Compliance Champs en de in België gevestigde Crypto AML SaaS-provider ChainComply hebben vandaag hun intentie aangekondigd om een strategische samenwerking aan te gaan om het aanbod voor beide bedrijven te versterken, specifiek voor klanten binnen Europa.

, , :

We zijn verheugd om deze samenwerking met ChainComply aan te kondigen, waarmee we het risico op financiële economische criminaliteit verder kunnen beperken voor financiële instellingen en crypto-activadienstverleners. ChainComply biedt een klantvriendelijke oplossing voor het verkrijgen van transactiegegevens, informatie over de herkomst van fondsen en het identificeren van de potentiële risico’s van deze eindklanten. Bovendien is het een zeer efficiënte manier om KYC-onderzoeken uit te voeren, wat een grote kostenbesparing zal opleveren voor financiële instellingen en crypto-activadienstverleners.

, , :

We zijn verheugd om de oprichting van een strategische samenwerking tussen Compliance Champs en ChainComply aan te kondigen. SaaS-bedrijven zoals het onze kunnen een fantastisch product hebben, maar de implementatie kan lastig zijn voor klanten. Compliance Champs brengt diepgaande kennis en ervaring met zich mee, waardoor onze klanten het meeste uit ons SaaS-product kunnen halen door het aan te passen aan hun specifieke behoeften en workflows.

info@compliancechamps.com

ChainComply lukasz.lukaszewski@chaincomply.io

Compliance Champs is een in Rotterdam gevestigd adviesbureau dat zich richt op het adviseren van financiële instellingen (banken, verzekeringsmaatschappijen en vermogensbeheerders) en crypto-serviceproviders met betrekking tot hun compliance risicobeheer. Gedreven door de intersectie van wetten en regelgeving, bedrijfsactiviteiten en de snelle technologische ontwikkelingen en gebruikmakend van uitgebreide ervaring en expertise op het gebied, kan Compliance Champs end-to-end oplossingen leveren die klanten helpen om compliant te worden en te blijven. Dit wordt gedaan door een holistische benadering toe te passen die het volledige spectrum van levering omvat, van regelgevende gap- en impactanalyse en beleidsontwikkeling tot operationele implementatie.

ChainComply biedt verbeterde KYT-due diligence-oplossingen voor de afdelingen voor financiële criminaliteit van banken en cryptobeurzen en ontlast hen van stress over hun interacties met cryptobeurzen.

ChainComply ontwikkelt een SaaS-tool die de transactiegeschiedenis van de cryptobeurzen van de klant en blockchain scant om de herkomst van fondsen van cryptohouders te achterhalen. De oplossing van het bedrijf vereenvoudigt complexe transactiestromen en identificeert hoogrisicotransacties en -patronen, waardoor AML-teams hun klanten beter kunnen begrijpen en efficiënt aan regelgevende verplichtingen kunnen voldoen. Meer informatie op: www.chaincomply.io

The European Central Bank competes with Bitcoin

De ECB heeft verschillende redenen om een CBDC te ontwikkelen. Ze willen de afhankelijkheid van privégeld verminderen. Geld dat door de centrale bank in omloop wordt gebracht, noemen we openbaar geld. Dit zijn fysieke bankbiljetten en munten. Privégeld is geld dat door commerciële banken in omloop wordt gebracht. Dit is geld dat je online kunt gebruiken. Met de huidige technologische ontwikkelingen en hun adoptie wordt contant geld steeds meer verouderd. De ECB wil vermijden volledig afhankelijk te worden van privégeld omdat dit verschillende nadelen heeft.

De Oostenrijkse school van de economie stelde al in de 19e eeuw vraagtekens bij het monetaire beleid. Monetair beleid zou schommelingen in de conjunctuur veroorzaken. Ideeën van de Oostenrijkse school zijn overgenomen in de meest bekende cryptomunt: Bitcoin.
Kortom, Bitcoin is de grootste cryptocurrency qua marktomvang. Bitcoin is een alternatieve betaalmunt en biedt daarom concurrentie met de euro. Friedrich Hayek, een econoom uit de beweging van de Oostenrijkse school van de economie, verklaart in een rapport “Keuze in Valuta,” dat mensen moeten kunnen kiezen met welke valuta ze willen betalen. Als gevolg daarvan zal de beste valuta het meest worden gebruikt. De ECB ziet de toename van de adoptie van cryptocurrencies als een bedreiging en zou graag meer controle over betalingen willen hebben. Door de euro te innoveren, zouden mensen weer vertrouwen krijgen in de euro. Een mogelijk voordeel is dat betalingen rechtstreeks tussen partijen kunnen worden verricht (peer-to-peer), zoals de mogelijkheden die Bitcoin biedt. Dit betekent dat er geen derde partij is aan wie transactiekosten moeten worden betaald. Dit zou grensoverschrijdende betalingen goedkoper moeten maken.

Door de CBDC kan de ECB financieel verkeer goed volgen. De ECB zou het financiële gedrag van individuen kunnen volgen. Om de CBDC te gebruiken, moeten gebruikers een onboarding-proces volgen, zoals het openen van een bankrekening. Hierbij verstrekken ze persoonlijke gegevens. Overheden hebben indirect zicht op de gegevens bij de ECB. Met andere woorden, het financiële gedrag van individuen kan zichtbaar worden voor de overheid. Dit roept privacyzorgen op. Om een CBDC succesvol te laten zijn, moet de ECB de privacy van de mensen die de CBDC gebruiken, waarborgen. Studies suggereren dat mensen een CBDC alleen zullen gebruiken als het goede privacy biedt. Privacy is een fundamenteel mensenrecht en het helpt tegen onrechtmatig machtsmisbruik. Maar in hoeverre moeten we privacy toestaan binnen het CBDC-proces zonder de nalevingsvereisten te vervagen.

De offline CBDC zou meer privacy moeten bieden voor lagere transacties. Dit houdt in dat het bedrag en het aantal transacties worden beperkt. Hierdoor zou het minder aantrekkelijk moeten zijn voor criminelen om misbruik te maken van de digitale euro.
Voor de online CBDC is het huidige plan om transactiegegevens op dezelfde manier te screenen als het reguliere banksysteem doet. De transactiemonitoring zal worden uitgevoerd door Payment Service Providers, waarschijnlijk commerciële banken. Alleen de meest noodzakelijke gegevens worden vervolgens pseudo-anoniem gedeeld met de ECB. Dit betekent dat niet de gegevens van het individu worden verzonden, maar bijvoorbeeld alleen zijn/haar rekeningnummer.

Niet alleen Europa ontwikkelt een CBDC. Ook andere landen kijken naar de mogelijkheden. China werkt bijvoorbeeld aan de digitale yuan, die zij zien als een aanvullend instrument voor het controleren en monitoren van het gedrag van burgers. Vreemd genoeg bieden zij dezelfde mogelijkheden als de ECB van plan is met de digitale euro. Volgens een persbericht van de Centrale Bank van China zou de digitale yuan anoniem zijn voor kleine transacties en worden gemonitord volgens wettelijke vereisten voor grotere bedragen. Opnieuw zouden de gegevens niet met de overheden worden gedeeld, alleen waar nodig volgens de wet. China probeert zijn burgers ertoe te bewegen de CBDC te gebruiken, maar minder dan 20% doet dit daadwerkelijk. Het lijkt erop dat de mensen die een portemonnee hebben aangemaakt dit hebben gedaan om deel te nemen aan de loterijen die worden aangeboden bij het aanmaken van een account en niet om de CBDC te gebruiken.
China probeert zijn burgers ertoe te bewegen de E-yuan te gebruiken omdat de CBDC programmeerbaar zou kunnen zijn. Dit betekent dat de overheid voorwaarden aan het geld kan verbinden. Dit betekent dat de overheid potentieel alleen mensen kan toestaan de CBDC uit te geven voor bepaalde bestedingsdoeleinden. Zo kan de overheid bijvoorbeeld bepalen dat hun burgers niet meer dan één vliegticket kunnen kopen. Deze manier van financiële controle is de grootste droom van een autoritaire superstaat. Europa zegt dat het de digitale euro niet programmeerbaar zal maken en dit bij wet wil vaststellen.

Is programmabiliteit altijd slecht? Hierover kan worden gediscussieerd. Programmabiliteit kan ook individuen beschermen. Zo zou bijvoorbeeld een gokverslaafde alleen een beperkt deel van zijn inkomen kunnen gokken, of een alcoholist een beperkte hoeveelheid alcohol kunnen kopen. Mensen in de schulden kunnen ook geholpen worden door een deel van hun inkomen onmiddellijk te gebruiken om schulden af te betalen. Dit roept echter de vraag op of dit niet de verantwoordelijkheid van het individu is in plaats van de overheid.
De overheid kan ook belang hebben bij programmeerbaar geld. Zij zouden subsidies rechtstreeks van de overheid naar de bestemming kunnen sturen waarvoor de subsidie is bedoeld. Zo kunnen subsidies niet voor andere doeleinden worden gebruikt. Daarnaast kunnen belastingen rechtstreeks aan de overheid worden betaald.

Venezuela lanceerde de Petro in 2018, deze CBDC zou worden gedekt door grondstoffen zoals olie, goud en diamanten. Daardoor zou de waarde veel stabieler zijn dan de bolivar, de valuta van Venezuela, die onderhevig is aan hyperinflatie. Ondanks de inspanningen van de overheid bleef de adoptie van de Petro beperkt. Na een corruptieschandaal waarbij het beheer van de onderliggende grondstoffen verkeerd werd beheerd, besloot Venezuela het CBDC-project stop te zetten.
Ook in Nigeria werd een CBDC geïntroduceerd: de eNaira. De bevolking toont weinig interesse. De overheid probeert de eNaira aan te moedigen door onder andere beperkingen op contant geld te plaatsen. In de Bahama’s is de Sand Dollar ook geen succes, ondanks alle stimulansen die de overheid biedt.

We kunnen concluderen dat om de innovatieve digitale euro een succes te laten zijn, de ECB de privacy van haar gebruikers moet kunnen waarborgen. Belangrijker nog, de publieke overtuigen dat hun gegevens veilig zijn bij de ECB. Wereldwijde voorbeelden tonen aan dat er weinig interesse is in een CBDC. Het meest voorkomende argument hiertegen zijn privacyzorgen. Over het algemeen blijft de vraag: hoe kunnen we voldoen aan de nalevingsvereisten zonder dat burgers hun privacy opofferen?

Met CBDC bedoelen we in dit artikel retail CBDC.