In ons recente artikel in het tijdschrift Compliance, Ethics & Sustainability (“From inadequate oversight to effective regulation?”) benadrukten wij hoe de crypto-industrie steeds volwassener wordt onder invloed van Europese regelgeving. Tegelijkertijd blijven risico’s rond witwassen, fraude en sanctieontwijking bestaan.

Een concreet voorbeeld van deze risico’s zijn crypto-automaten (ATMs). In het tijdschrift bespraken we reeds het risico op sanctieontwijking middels crypto ATMs. Kort samengevat staat er in Polen meer dan 280 crypto-automaten, vaak strategisch gelegen nabij de grenzen met Belarus en Rusland. Hier kan contant geld eenvoudig worden omgezet in crypto, de grens over worden gebracht via een mobiele wallet of voucher, en elders weer worden geliquideerd. Dit alles buiten de traditionele financiële kanalen en sanctietoezicht.

In dit artikel zoomen we verder in op de werking van deze crypto ATMs, de risico’s die ze met zich meebrengen en welke rol regelgeving en handhaving speelt in het beperken van misbruik.

Van contant geld naar crypto- buiten de banken om

Crypto ATMs bieden gebruikers een directe en vertrouwde toegangspoort waarmee contant geld kan worden omgezet in cryptovaluta en omgekeerd, zonder dat een traditioneel account bij een (crypto) exchange nodig is. Het gebruik van crypto ATMs is eenvoudig: gebruikers kiezen kopen of verkopen, voeren een bedrag in en verifiëren – afhankelijk van de regelgeving – hun identiteit via ID, telefoonnummer of een andere vorm van vereenvoudigde KYC. Daarna wordt het bedrag in crypto of contanten uitbetaald.

Voor mensen in regio’s met beperkte bancaire infrastructuur of voor minder digitaal vaardige gebruikers lijken deze terminals een uitkomst. Maar juist de combinatie van toegankelijkheid en anonimiteit maakt crypto-automaten aantrekkelijk voor crimineel misbruik.[1]

Een magneet voor oplichting en witwassen

Wereldwijd signaleren toezichthouders toenemend misbruik van crypto ATMs voor witwassen en fraude. Het klassieke witwasproces (plaatsing, gelaagdheid en integratie) kan via automaten eenvoudig worden uitgevoerd: in de meest eenvoudige vorm kan cash worden ingevoerd, verdeeld over meerdere terminals, omgezet in crypto en later opnieuw terug gewisseld naar contanten.[2]

In 2025 rapporteerde de Amerikaanse Financial Crimes Enforcement Network (FinCEN) dat slachtoffers ruim $247 miljoen verloren via crypto-automaten, met een opvallende concentratie boven de 60.[3] Slachtoffers worden vaak telefonisch onder druk gezet door oplichters die zich voordoen als bankmedewerker of overheidsfunctionaris en hen instrueren grote sommen geld via een ATM te storten.

Daarnaast zijn er automaten die bedragen tot €15.000 (of $25.000) per dag accepteren zonder strikte identiteitsverificatie.[4] De transactiekosten liggen fors boven die van gereguleerde exchanges (>5% vs. <1%). Sommige terminals printen papieren vouchers die als anonieme toonderinstrumenten functioneren.

Internationale verschillen in toezicht

De regulering van crypto ATMs verschilt sterk per jurisdictie. Nieuw-Zeeland verbood de automaten volledig,[5] terwijl Australië een risico gebaseerd model hanteert met limieten en strengere KYC.[6] In de VS gaan waarschuwingen gepaard met vervolging van niet-gereguleerde exploitanten.[7]

Binnen de EU wordt meer duidelijkheid geboden door de Markets in Crypto-Assets Regulation (MiCAR). Crypto-automaten vallen daarin onder de categorie “Crypto-Asset Service Providers” (CASP’s) en zijn niet verboden, maar exploitanten moeten voldoen aan vergunningseisen, KYC-verplichtingen, transactiemonitoring en risico-gebaseerd klantonderzoek.[8] Ondanks dat het overgangsregime van MiCAR in Nederlands reeds is verlopen, constateerden wij dat enkele crypto-automaten ook na deze deadline nog actief zijn geweest.

Regelgeving alleen is dus onvoldoende. Effectieve handhaving is essentieel – iets dat Nederlandse jurisprudentie onderstreepte. [9]

Nederlandse jurisprudentie: crypto-ATM als witwasvehikel

In een recente uitspraak van het Gerechtshof Arnhem-Leeuwarden (ECLI:NL:GHARL:2025:237) oordeelde het hof over een exploitant van crypto-automaten die herhaaldelijk en bewust de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) had overtreden. [10]

Uit bewijs in de rechtszaal bleek dat de automaten herhaaldelijk werden gebruikt voor transacties die verband hielden met criminele opbrengsten, waaronder drugshandel. Onderzoek wees uit dat de exploitant het proces bewust had ingericht om herleidbaarheid te minimaliseren: er werd geen identiteitscontrole uitgevoerd bij transacties onder de € 10.000, en stortingen werden vaak verdeeld over meerdere automaten om detectie te vermijden. Zelfs bij hogere bedragen waren de KYC-procedures oppervlakkig en werd het uiteindelijk belang bij de wallets niet geverifieerd.

Het hof oordeelde dat deze werkwijze neerkwam op willens en wetens faciliteren van witwassen. De exploitant kreeg een meerjarige gevangenisstraf en apparatuur werd in beslag genomen. Deze zaak toont dat Nederlandse rechters crypto ATM-overtredingen als ernstig strafbaar feit behandelen en dat nationale handhaving een belangrijke rol speelt naast EU-regelgeving.

Casus Athena Bitcoin Inc. – een wake-up call

In februari 2025 spande de Attorney General van het District of Columbia een rechtszaak aan tegen Athena Bitcoin Inc., een van de grootste exploitanten van crypto ATMs in de VS. Uit het onderzoek bleek dat in de eerste vijf maanden van hun activiteiten in Washington D.C. maar liefst 93% van alle transacties frauduleus was, met een gemiddeld verlies van $8.000 per transactie en slachtoffers met een gemiddelde leeftijd van 71 jaar. Slachtoffers storten onder druk van oplichters herhaaldelijk geld naar dezelfde reeds bekende scam-wallets.[11]

Athena wordt beschuldigd van het willens en wetens profiteren van deze praktijken door verborgen kosten tot wel 26% te hanteren, zonder dit duidelijk aan klanten te communiceren. Bovendien weigerde het bedrijf structureel om slachtoffers te compenseren, zelfs wanneer duidelijk was dat de transacties richting eerder misbruikte wallets gingen. In plaats daarvan eiste Athena in sommige gevallen een vrijwaringsverklaring van de slachtoffers die alsnog probeerden een deel van hun verliezen terug te krijgen.

Deze casus toont aan dat slecht gereguleerde crypto-automaten niet alleen een risico vormen voor integriteit van het financiële stelsel, maar ook een structurele bedreiging zijn voor financieel kwetsbare groepen, met name ouderen.

 Van signaal naar structurele actie

De komst van MiCAR schept een noodzakelijk kader, maar regelgeving zonder consequente toepassing blijft tandeloos. Crypto-automaten bevinden zich op het snijvlak van financiële inclusie en financieel-economische criminaliteit. Juist daarom is een gezamenlijke én daadkrachtige aanpak essentieel. Zolang exploitanten profiteren van ondoorzichtige kostenstructuren en criminelen vrij spel krijgen, blijven crypto ATMs eerder een vluchtwagen voor criminelen dan een brug voor financiële inclusie.

Wat moet er gebeuren?

• Exploitanten moeten volledige transparantie bieden over tarieven en limieten, structureel monitoren van transacties en actief verdachte wallets blokkeren.
• Toezichthouders moeten verder te kijken dan registratie-eisen en te investeren in effectieve monitoring en handhaving.
• Financiële instellingen moeten alert zijn op ongebruikelijke cashstromen die mogelijk via crypto-automaten verdwijnen en daar risico-gebaseerd op acteren.
• Consumenten moeten beter beschermd worden middels educatie, waarschuwingen en laagdrempelige meldpunten.

CASPs zijn wettelijk verplicht transacties te monitoren. Niet-legitieme geldstromen, onder meer vanuit crypto ATMs, worden vaak al gedetecteerd via tools zoals Cense, Chainalysis, TRM Labs en Elliptic. Van CASPs wordt actieve monitoring én rapportage verwacht.

Samen met onze partner Cense publiceren wij binnenkort een vervolgartikel waarin wij dieper ingaan op de inzet van deze tools en hoe organisaties hun detectie- en beheerscapaciteiten verder kunnen versterken.

Bij Compliance Champs volgen wij deze ontwikkelingen met een kritische blik. Wij begeleiden organisaties om hun processen en controles in lijn te brengen met MiCAR, de Wwft en internationale standaarden. Door middel van kennisdeling, training en advies helpen wij professionals risico’s tijdig te herkennen, te mitigeren en duurzame compliance in te bedden.

 

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

---

[1] The Record. (2025). Crypto ATMs fueling cybercrime.

[2] Sanction Scanner. (2025). How to ensure AML compliance on Bitcoin ATMs in the US. https://www.sanctionscanner.com/blog/how-to-ensure-aml-compliance-on-bitcoin-atms-in-the-us-448.

[3] FinCEN. (2025). FinCEN Notice on crypto kiosk scams. https://www.fincen.gov/sites/default/files/shared/FinCEN-Notice-CVCKIOSK.pdf

[4] Europol. (2022). Cryptocurrencies – Tracing the evolution of criminal finances. Europol.

[5] Rahman Ravelli. (2024). New Zealand to ban crypto ATMs. https://www.rahmanravelli.co.uk.

[6] CryptoNews. (2025). Tasmania joins nationwide crackdown on crypto ATMs as scam losses hit $1.6 million. https://cryptonews.com

[7] FinCEN. (2025). FinCEN Notice on crypto kiosk scams. https://www.fincen.gov/sites/default/files/shared/FinCEN-Notice-CVCKIOSK.pdf

[8] European Parliament and Council. (2023). Markets in Crypto-Assets Regulation (MiCAR).

[9] Bitomat. (2024). MiCA impact on Bitcoin ATMs. https://www.bitomat.com.

[10] Gerechtshof Arnhem-Leeuwarden. (2025). ECLI:NL:GHARL:2025:237.

[11] Office of the Attorney General for the District of Columbia. (2025, February). Attorney General Schwalb Sues Athena Bitcoin for Failing to Protect Consumers from Scams . https://lnkd.in/eb8qGmqP.

 

Op 21 februari 2025 werd Bybit getroffen door een cyberaanval, waarbij circa $1,46 miljard aan digitale activa werd gestolen. Ter vergelijking: de grootste crypto-overval vóór Bybit was die van $611 miljoen bij Poly Network in 2021. Al snel wezen rapporten naar de beruchte Lazarus Group, een Noord-Koreaans gesponsorde cyberbende die eerder betrokken was bij spraakmakende hacks en witwaspraktijken. De FBI heeft inmiddels bevestigd dat deze groep verantwoordelijk is voor de aanval.

De diefstal werpt kritische vragen op over de beveiliging van gecentraliseerde beurzen, zeker in het licht van de Digital Operational Resilience Act (DORA). Extra zorgwekkend is de snelheid waarmee de tegoeden zijn witgewassen. TRM Labs schat dat binnen 48 uur minstens $160 miljoen werd witgewassen, oplopend tot ruim $400 miljoen in een week. Dit wijst op een ongekende mate van professionaliteit en efficiëntie.

Hoe de fondsen werden witgewassen: een overzicht

Gezien de uitzonderlijke snelheid van de witwasoperatie is het belangrijk om de gebruikte tactieken te analyseren. De Lazarus Group maakte gebruik van geavanceerde methoden en diverse crypto-diensten en DEX’s om het spoor te verbergen.

De operatie begon direct na de diefstal. De gestolen tokens – mETH en sETH (liquid staking tokens)[1] – werden via DEX’s omgezet in Ethereum. Deze stap voorkwam dat token-uitgevers de activa konden bevriezen. Omdat Ether en Bitcoin niet door een centrale partij worden beheerd, zijn ze minder gevoelig voor bevriezingsmaatregelen.

Na de omzetting naar ETH paste de Lazarus Group een bekende witwastechniek toe: “layering” (gelaagdheid). Fondsen werden verspreid over meerdere wallets om herkomst en tracering te bemoeilijken. Hoewel blockchain-transacties transparant zijn, gaf deze strategie de hackers voldoende tijd om fondsen te verplaatsen, tokens te wisselen, cross-chain bridges te gebruiken en no-KYC instant swap-diensten in te zetten.

Via deze diensten werden grote hoeveelheden ETH omgezet naar andere crypto’s, voornamelijk BTC en DAI. Voorheen gebruikte Noord-Korea vooral mixers om sporen te wissen voordat de activa naar fiat werden omgezet. Door strengere controles lijkt de groep nu snelheid en efficiëntie boven anonimiteit te verkiezen.

Belangrijke compliance- en AML-lessen

De nasleep van de Bybit-hack biedt cruciale lessen voor compliance-professionals, regelgevers en bedrijven in de cryptosector. De hack onderstreept niet alleen de kwetsbaarheden in de industrie, maar benadrukt ook het belang van sterke compliance-kaders, robuuste AML-praktijken en samenwerking binnen de sector. De vier belangrijkste lessen:

1. Geavanceerde transactie-monitoringsystemen

De verfijnde witwastactieken maken duidelijk dat crypto-platforms geavanceerde transactiemonitoring moeten implementeren. Dankzij samenwerking tussen blockchain-analysebedrijven, wetshandhavers en gecentraliseerde beurzen is veel van de gestolen crypto getraceerd, en zijn adressen gelinkt aan de Lazarus Group geïdentificeerd en gemarkeerd. Hoewel enkele gecentraliseerde beurzen activa hebben bevroren, is een groot deel van de gestolen fondsen in handen van de hackers gebleven.

De voortdurende onderzoeken tonen zowel de effectiviteit van blockchain-analyse aan als ook de uitdagingen die gepaard gaan met crypto-diensten, zoals DeFi-protocollen, die vaak geen geavanceerde monitoring toepassen.

2. Versterking van KYC- en AML-normen

Crypto-beurzen moeten strikte Know Your Customer (KYC)-procedures hanteren en regelmatige AML-controles uitvoeren gedurende de gehele klantrelatie. Hoewel KYC-vereisten inmiddels standaard zijn bij gecentraliseerde beurzen, lopen veel DeFi-platforms achter in het opzetten van robuuste identiteitsverificatieprocessen en het monitoren van transacties.

Nu gedecentraliseerde financiering en privacytools zich blijven ontwikkelen, groeit de noodzaak voor strengere gebruikersregistratie en transactiemonitoring. Een goed voorbeeld hiervan is Chainflip, een gedecentraliseerd protocol dat proactief een software-update implementeerde om inkomende transacties gerelateerd aan de hack te blokkeren.

3. Samenwerking binnen de sector en met wetshandhavers

Samenwerking is cruciaal om witwasdreigingen tegen te gaan en het crypto-ecosysteem te beschermen. Na de hack lanceerde Bybit een bounty-programma met beloningen tot 10% voor het bevriezen van gestolen fondsen. Dit bevorderde samenwerking tussen partijen en maakte het moeilijker voor hackers om de activa om te zetten naar fiat. Daarnaast stelden enkele gecentraliseerde exchanges tegoeden beschikbaar aan Bybit. Zo kon het platform operationeel blijven en werd de impact van de hack beperkt. Deze aanpak onderstreept het belang van snelle, gezamenlijke reacties om de integriteit van het crypto-ecosysteem te waarborgen.

4. Opleiding en bewustwording

De Bybit-hack benadrukt de noodzaak van continue opleiding en bewustwording binnen de crypto-industrie. Bedrijven zouden moeten investeren in regelmatige trainingen voor hun compliance-teams om op de hoogte te blijven van de nieuwste witwastechnieken. Daarnaast blijft het cruciaal om gebruikers bewust te maken van de risico’s van ongecontroleerde platforms, om zo illegale activiteiten in de crypto-ruimte te bestrijden.

Conclusie: De Weg Vooruit voor Crypto Compliance

De Bybit-hack laat de kwetsbaarheden zien die nog aanwezig zijn in de cryptosector. Nu criminele organisaties steeds geavanceerdere witwasmethoden toepassen, is de urgentie voor robuuste compliance- en AML-maatregelen groter dan ooit. Beurzen, DeFi-platforms en wetshandhavers moeten samenwerken om de zwakke plekken in het huidige systeem te dichten, geavanceerdere monitoringtools te implementeren en de crypto-ruimte veiliger te maken voor legitieme gebruikers.

De gezamenlijke inspanningen naar aanleiding van de hack laten zien dat de sector steeds meer prioriteit geeft aan beveiliging en gebruikersbescherming. Door de focus te leggen op sterkere compliance-kaders, verbeterde KYC- en AML-normen en nauwe samenwerking, zet de industrie cruciale stappen om het risico op toekomstige aanvallen te verminderen.

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

---

[1] Liquid staking tokens verwijst naar het verkrijgen van een verhandelbare token in ruil voor het staken van een munt op een proof-of-stake blockchain.

The European Banking Authority (EBA) has taken another significant step towards integrating crypto assets into the regulatory framework, with its recent consultation on draft technical standards. This consultation is a key move in ensuring financial stability while supporting innovation in such a rapidly evolving sector.

As businesses and financial institutions increasingly engage with crypto assets, the challenges of managing associated risks have become more present. The EBA’s proposed standards, rooted in the Basel Committee’s prudential guidelines, aim to provide clarity on capital requirements for crypto-asset exposures. By doing so, they seek to strike a balance between risk mitigation and maintaining a level playing field in the financial ecosystem.

These are the key aspects of the consultation:

1. Classification of crypto-assets: The framework outlines distinctions between tokenized traditional assets, stablecoins, and unbacked crypto-assets, tailoring capital requirements to the specific risk profiles of each category.
2. Risk sensitivity: The draft standards propose different treatments for crypto assets based on their volatility, liquidity, and transparency. This approach helps address concerns related to potential market disruptions.
3. Operational and market risks: Beyond credit and counterparty risks, the standards consider the operational and market risks unique to crypto assets, ensuring a complete risk management.

For firms operating in the crypto space, this consultation signals the importance of aligning operational practices with growing regulatory expectations. Compliance professionals must stay ahead of these developments, proactively assessing their exposure and ensuring robust frameworks to meet potential requirements.

At Compliance Champs we understand the complexity of managing regulations like these, therefore we are here to help businesses interpret and implement these changes effectively.

The EBA’s initiative is the proof to the increasing recognition of crypto assets within mainstream finance. While challenges remain, this regulatory clarity is a step forward in enabling sustainable growth and innovation.

What are your thoughts on these draft standards? Let’s discuss how these measures might shape the future of crypto-asset regulation.

New EU travel rules go into effect in 2025, some crypto coins and bank cards can’t be used.