Aanpakken van ML/TF-risico’s in crypto-diensten via toezicht

Een uitgebreide samenvatting van het EBA-rapport zoals gepubliceerd in oktober 2025

Algemeen overzicht

Het rapport, gepubliceerd door de Europese Bankautoriteit (EBA), analyseert hoe aanbieders van crypto-activadienstverleners (CAD’s) hebben geprobeerd toezicht op het gebied van anti-witwassen en terrorismefinanciering (AML/CFT) te omzeilen, en hoe dergelijke praktijken kunnen worden aangepakt onder de Verordening betreffende markten in crypto-activa (Regulering 2023/1114, hierna: MiCA) en het EU-AML-wetgevingspakket (AMLR, AMLD6 en AMLAR). Het rapport baseert zich op concrete casussen om kwetsbaarheden te identificeren en lessen te formuleren voor een effectieve implementatie.

Het rapport is gestructureerd rond twee kernobservaties. Ten eerste, heeft de crypto-sector zowel een snelle technologische als economische groei doorgemaakt, wat de kwetsbaarheid voor misbruik ten behoeve van witwassen en terrorismefinanciering vergroot. Ten tweede, verschilden vóór de toepassing van MiCA de nationale toezichtbenaderingen tussen de lidstaten aanzienlijk. Deze fragmentatie stelde ondernemingen in staat om leemtes in regelgevingen te benutten, waardoor de integriteit van het Europese financiële stelsel werd ondermijnd.

MiCA beoogt deze problemen aan te pakken door gefragmenteerde nationale toetredingsregimes te vervangen door één Europees autorisatiekader, ondersteund door passporting en gecoördineerd toezicht. Samen met het AML-wetgevingspakket bevordert MiCA meer consistente AML/CFT-vereisten binnen de Unie. Het rapport benadrukt echter dat consistente handhaving essentieel blijft.

Regelgevingscontext

Het regelgevingskader dat in het rapport wordt onderzocht, bestaat uit MiCA, de Anti-Money Laundering Regulation (AMLR), de Zesde Anti-Money Laundering Directive (AMLD6) en de Anti-Money Laundering Authority Regulation (AMLAR). Binnen dit kader zijn toezichtverantwoordelijkheden verdeeld tussen ESMA (autorisatie en toezicht op CAD’s), de EBA (uitgevers van asset-referenced tokens en e-money tokens, en AML/CFT-coördinatie tot eind 2025), en AMLA, die vanaf eind 2025 centrale AML/CFT-toezichtsbevoegdheden zal overnemen.

MiCA regelt wie de crypto-activamarkt mag betreden en onder welke voorwaarden. CAD’s moeten voldoen aan vereisten inzake governance, operationele weerbaarheid, transparantie en consumentenbescherming, en aantonen dat zij beschikken over adequate systemen, gekwalificeerd management en duidelijke organisatorische structuren.

AMLR introduceert rechtstreeks toepasselijke AML/CFT-regels, waaronder cliëntenonderzoek, transactiemonitoring, sanctiescreening en risicobeheer. AMLD6 versterkt de toezicht samenwerking, verduidelijkt de bevoegdheden van nationale autoriteiten en verbetert de toegang tot informatie over uiteindelijk belanghebbenden. AMLAR richt AMLA op en maakt direct toezicht mogelijk op geselecteerde hoog risico-entiteiten en coördinatie van nationale toezichthouders.

Omzeiling van toezicht

De EBA identificeert zes ontwijkingsstrategieën die zijn waargenomen vóór en direct na de inwerkingtreding van het nieuwe regelgevingskader in december 2024.

1. Opereren zonder autorisatie

Entiteiten verleenden CAD’s in lidstaten zonder de vereiste registratie, vergunning of autorisatie, waaronder vanuit andere EU-jurisdicties zonder toestemming van de gastlidstaat of vanuit derde landen met zwakkere toezichtkaders.

Risico: Het ontbreken van toezicht vergemakkelijkt illegale financiële stromen en laat klanten onbeschermd. Het verstoort ook de concurrentie, aangezien geautoriseerde ondernemingen aanzienlijke nalevingskosten dragen die niet-geautoriseerde ondernemingen vermijden.

Reactie: Artikel 143 MiCA voorziet in overgangsregelingen tot juli 2026. Na deze periode moeten niet-geautoriseerde entiteiten de EU-markt verlaten. Bevoegde autoriteiten worden geacht resterende niet-geautoriseerde activiteiten te monitoren en beëindiging af te dwingen.

2. Forum shopping

Vóór MiCA selecteerden ondernemingen strategisch jurisdicties die werden gezien als lichtere toezichthouders. Wanneer zij werden uitgedaagd, trokken zij aanvragen in en dienden deze elders opnieuw in. Sommigen verkregen nationale vergunningen kort vóór de inwerkingtreding van MiCA om te profiteren van langere overgangsperioden.

Risico: Forum shopping maakt regelgevingsarbitrage mogelijk, waardoor ML/TF-risico’s zich via grensoverschrijdende activiteiten binnen de interne markt kunnen verspreiden. Het vergroot ook de kans dat hoogrisico-entiteiten met zwakke AML/CFT-controles markttoegang verkrijgen en verstoort de concurrentie door kunstmatig verhoogde winstmarges mogelijk te maken.

Reactie: MiCA introduceert één autorisatieregime met passporting. Versterkte toezicht samenwerking en informatie-uitwisseling verminderen de mogelijkheid voor ondernemingen om elders opnieuw een aanvraag in te dienen na een weigering. Het rapport benadrukt ook het risico dat, afhankelijk van nationaal recht, sommige ondernemingen mogelijk blijven opereren terwijl zij in beroep gaan tegen afgewezen autorisatiebesluiten.

3. Misbruik van de reverse solicitation-vrijstelling

Aanbieders uit derde landen beweerden ten onrechte dat EU-cliënten zelf contact hadden opgenomen, terwijl zij actief diensten promootten via gerichte online strategieën.

Risico: Dit maakt ongecontroleerde markttoegang mogelijk door hoog-risico offshore-entiteiten en creëert blinde vlekken in AML/CFT-handhaving.

Reactie: Toezichthouders worden geacht de strikte en beperkte interpretatie van reverse solicitation te handhaven in lijn met ESMA-richtsnoeren. Elke vorm van actieve of indirecte marketing doet de vrijstelling vervallen en onderwerpt de aanbieder aan volledige autorisatievereisten.

4. Zwakke AML/CFT-naleving en risicobeheer

Gelicenseerde entiteiten vertoonden ernstige tekortkomingen, waaronder onvoldoende cliëntenonderzoek, uitbesteding van AML-functies naar het buitenland zonder effectief toezicht, en instabiele of onvoldoende gekwalificeerde compliance officers.

Risico: Deze zwakheden faciliteren direct witwassen en ondermijnen de effectiviteit van toezicht.

Reactie: Robuuste AML/CFT-systemen zijn een voorwaarde voor autorisatie. Toezichthouders kunnen vergunningen intrekken bij schendingen van AML/CFT-regels. Duidelijke vereisten inzake uitbesteding, governance en personeelscompetentie worden opgelegd via technische reguleringsnormen van de EBA en ESMA.

5. Ondoorzichtige uiteindelijk belanghebbenden en governance

Complexe offshore-structuren werden gebruikt om uiteindelijk belanghebbenden te verhullen, met inconsistenties tussen openbare registers en toezichtsdocumentatie.

Risico: Ondoorzichtige structuren verbergen zeggenschap, maken gebruik van lege vennootschappen mogelijk en verhullen illegale kapitaalbronnen.

Reactie: AMLD6 verplicht gecentraliseerde registers van uiteindelijk belanghebbenden. MiCA en AMLR vereisen openbaarmaking van eigendoms- en governancestructuren bij de autorisatiefase, ondersteund door geschiktheids- en betrouwbaarheidstoetsen.

6. Multi-entiteitsstructuren met hoog-risico partners

Ondernemingen maakten gebruik van gelieerde entiteiten, waaronder betaalinstellingen, e-money-instellingen of banken, om markttoegang te behouden terwijl zij toezicht ontweken.

Risico: Deze constructies maken het mogelijk dat verboden of ongeschikte entiteiten opnieuw de markt betreden, verspreiden zwakke nalevingsculturen binnen groepen en bemoeilijken de toerekening van AML/CFT-verantwoordelijkheid.

Reactie: Toezichthouders worden geacht gelieerde entiteiten en groepsstructuren te beoordelen tijdens de autorisatie, geschiktheids- en betrouwbaarheidstoetsen toe te passen op grensoverschrijdende eigendoms- en uitbestedingsstructuren, en waar passend gezamenlijk toezicht uit te oefenen.

Waarborgen en implementatie

MiCA introduceert belangrijke waarborgen: één autorisatie- en passportingregime; strikte beperkingen op reverse solicitation; versterkte handhavingsbevoegdheden; aangescherpte governance- en transparantievereisten; en verbeterde grensoverschrijdende samenwerking, waaronder openbare registers van geautoriseerde CAD’s.

Het rapport benadrukt verschillende toezichtprioriteiten om een effectieve implementatie te waarborgen, waaronder het beheren van de overgangsperiode, het plannen van ordelijke uittredingen voor niet-geautoriseerde entiteiten ter bescherming van cliëntactiva, het monitoren van de regulatoire perimeter, het oplossen van AML/CFT-kwesties vóór autorisatie, het behouden van dynamisch risicobewustzijn, het waarborgen van governance-transparantie, het herbeoordelen van geschiktheid en betrouwbaarheid, het toezicht houden op gelieerde entiteiten, het versterken van grensoverschrijdende samenwerking en het vereisen van centrale contactpunten voor grensoverschrijdende ondernemingen.

Conclusie

De EBA concludeert dat, hoewel het nieuwe regelgevingskader de EU-verdediging tegen ML/TF-risico’s in de crypto-activasector aanzienlijk versterkt, effectieve implementatie en toezicht samenwerking cruciaal blijven. Hoewel de EBA haar zelfstandige AML/CFT-bevoegdheden tegen het einde van 2025 overdraagt aan AMLA, zal zij onder haar MiCA-mandaat blijven bijdragen aan toezichtconvergentie en vroege risicodetectie.

Lees hier meer artikelen.