💬 Самостоятельное хранение, контроль и идентификация: как регуляторы ошиблись

Самостоятельное хранение, контроль и идентификация: как регуляторы ошиблись

Недавнее предложение Европейского Союза, требующее от централизованных бирж криптовалют и поставщиков кастодиальных кошельков собирать и проверять личную информацию о владельцах кошельков с самостоятельным хранением, показывает опасность повторного использования правил традиционного финансирования (TradFi) и применения их к крипто без учета концептуальных различий. Мы можем ожидать, что это будет происходить чаще, поскольку страны стремятся внедрить Правило поездок Группы разработки финансовых мер борьбы с отмыванием денег (FATF), изначально предназначенное для банковских переводов, для передачи криптоактивов.

(Отсутствующая) связь между самоконтролем, контролем и идентичностью

Цель предлагаемых правил ЕС — «обеспечить отслеживание криптоактивов так же, как и традиционные денежные переводы». Это предполагает, что каждый самостоятельный кошелек может быть связан с чьей-то поддающейся проверке личностью и что это лицо обязательно контролирует кошелек. Это предположение неверно.

По теме: Власти стремятся закрыть брешь в неразмещенных кошельках

В TradFi банковский счет связан с подтвержденной личностью его владельца, что дает ему контроль над этим счетом. Например, если вы делитесь своими банковскими реквизитами с вашим партнером, это не делает его владельцем учетной записи. Даже если ваш партнер изменит данные для входа, вы можете восстановить контроль, подтвердив свою личность в банке и сбросив данные. Ваша личность дает вам абсолютный контроль, который нельзя потерять или украсть безвозвратно. Конечно, в обмен на защиту банка вы теряете суверенитет над своими активами.

Самостоятельное хранение криптоактивов отличается. Контроль (т. е. возможность совершать транзакции) над самостоятельным кошельком принадлежит тому, у кого есть закрытые ключи от этого кошелька. Контроль не связан с чьей-либо личностью, и вам некому подтвердить свою личность. Все, что вам нужно, это загрузить часть программного обеспечения и безопасно хранить ваши личные ключи. В обмен на эту ответственность вы сохраняете суверенную собственность.

Выполнение предложенных правил

Давайте посмотрим, как провайдер кастодиального кошелька будет действовать в соответствии с предложением ЕС. Предположим, что Алиса хочет отправить 0,3 эфира (ETH) со своего кастодиального кошелька на кастодиальный кошелек Боба, чтобы оплатить консультационные услуги Боба. Прежде чем перевод будет осуществлен, поставщик кастодиального кошелька должен будет: 1) собрать имя Боба, адрес кошелька, адрес проживания, личный идентификационный номер, а также дату и место рождения; и 2) проверить точность этих деталей. В целом те же данные потребуются для перевода из кошелька Боба на учетную запись кастодиального кошелька Алисы. Алисе, скорее всего, потребуется попросить Боба отправить ей свои данные, а Алиса затем передаст их поставщику кастодиального кошелька, как недавно рекомендовал поставщик кастодиального кошелька в аналогичном контексте.

Правила будут применяться даже к самым маленьким транзакциям — минимального порога нет. Поставщики кастодиальных кошельков, вероятно, также должны будут задерживать входящие переводы (создавая более высокие риски хранения) и возвращать их в кастодиальный кошелек, если проверка не удалась.

По теме: Криптовалюта в Канаде: где мы сегодня и куда мы движемся?

Идентичность не означает контроль, что делает соблюдение невозможным

Несмотря на то, что сбор данных и потенциальное закрытие входящих переводов сложны с операционной точки зрения, риски, связанные с обязательствами по проверке, потенциально невозможно соблюдать. В TradFi точка проверки личности заключается в том, чтобы убедиться, что лицо, контролирующее банковский счет и заявляющее об этом, является одним и тем же лицом. Но как поставщик кастодиального кошелька может выполнить обязательство по проверке, если контроль над кастодиальным кошельком Боба не зависит от его личности?

Даже если поставщику кастодиального кошелька удалось подтвердить, что Боб является тем человеком, за которого он себя выдает, это не означает, что он контролирует кошелек. Его может контролировать децентрализованная автономная организация, которая перераспределяет платежи между членами, такими как Боб, или преступной группой, а Боб просто является их денежным мулом. Нет никакой третьей стороны, которой можно было бы подтвердить личность Боба для совершения транзакции — тот, кто контролирует закрытые ключи, является «банком».

Подвергать законных пользователей несоразмерным рискам безопасности

Давайте предположим, что поставщикам кастодиальных кошельков удается соблюдать предложенные правила или их менее строгую версию, не требующую проверки. Провайдеры кастодиальных кошельков должны будут хранить большие базы данных пользователей кошельков с самостоятельным хранением, подвергая пользователей риску утечки данных. Для законных пользователей, т. е. тех, кто заявляет о своей подлинной личности, а также фактически контролирует соответствующий самостоятельный кошелек, этот риск имеет гораздо более серьезные последствия, чем сбор данных TradFi (например, правило перемещения ФАТФ для электронных переводов).

В TradFi, если преступник взломает чей-то банковский счет или карту, он не продвинется далеко, потому что банк может заблокировать счет. По определению, кошельки с самостоятельным хранением не имеют этой функции. Самостоятельное владение, защищенное криптографией и собственной бдительностью пользователя, рассматривается как преимущество десятками миллионов пользователей по всему миру, включая тех, кто исключен из банковской системы. Однако суверенитет предполагает личную неприкосновенность частной жизни.

После нарушения конфиденциальности (например, в результате взлома базы данных провайдера кастодиального кошелька о пользователях кошелька с самостоятельным хранением) пользователи подвергаются несправедливому уровню риска по сравнению с TradFi. Зная чье-либо имя, адрес, дату рождения и идентификационный номер, а также информацию об их активности в сети, преступникам будет проще запускать персонализированные фишинговые атаки, ориентируясь на устройства пользователей для получения секретных ключей или шантажируя их, включая угрозы физическая безопасность. Как только закрытые ключи скомпрометированы, пользователь безвозвратно теряет контроль над своим кошельком.

По теме: Потеря конфиденциальности: почему мы должны бороться за децентрализованное будущее

Поскольку преступники найдут способы обойти правила — например, запуская свои собственные узлы для взаимодействия с блокчейном, никогда не полагаясь на поставщиков кастодиальных кошельков или программное обеспечение кошельков с самостоятельным хранением, — только законные пользователи будут должны нести эти риски безопасности.

Несоответствия с собственной политикой ЕС

Помимо безопасности, это предложение вызывает более серьезные опасения по поводу конфиденциальности. Обязательство по отчетности будет противоречить принципам Общего регламента по защите данных (GDPR), таким как минимизация данных, которая требует, чтобы собранные данные были адекватными, актуальными и ограничивались тем, что необходимо для целей их сбора. На мгновение игнорируя аргумент о том, что сбор данных бесполезен, учитывая недостающую связь между контролем самозащиты и идентификацией, трудно понять — даже по стандартам TradFi — насколько чей-либо адрес проживания, дата рождения и идентификационный номер важны или необходимы. для совершения перевода. Хотя банки регулярно хранят такие данные о владельцах своих счетов, вам, как владельцу счета, не нужно спрашивать (и знать!) эти данные при отправке денег или оплате услуги.

Также неясно, как долго поставщики кастодиальных кошельков должны будут хранить данные — в соответствии с GDPR личные данные должны храниться только до тех пор, пока это необходимо для достижения цели сбора. Также неясно, как могут соблюдаться индивидуальные права пользователей в соответствии с GDPR, такие как «право на забвение» и «право на исправление», если их личные данные связаны с их историей в сети, которую нельзя изменить.

По теме: Файлы cookie браузера не являются согласием: новый путь к конфиденциальности после нарушения правил ЕС в отношении данных

Отсутствие какой-либо оценки на основе рисков или минимального порога (в отличие от порога в 1000 евро для фиатных переводов) также не соответствует принципам политики ЕС. Похоже, что предложение относится ко всем криптопереводам с подозрением только потому, что они связаны с криптоактивами.

Настало время взаимодействовать с политиками

Столкнувшись с перспективой разработки дорогостоящих процессов соответствия, которые, вероятно, не смогут эффективно реализовать правила, а также с риском штрафов за несоблюдение и потенциальной утечкой данных, поставщики кастодиальных кошельков в ЕС могут принять решение ограничить переводы от и к самостоятельным платежам. кастодиальные кошельки вообще. Они также могут начать обслуживать пользователей из ЕС из-за пределов ЕС. Это посылает плохие сигналы криптоиндустрии и может оттолкнуть технические таланты и капитал из ЕС, подобно недавнему уходу некоторых криптооператоров из Великобритании.

По теме: Консолидация и централизация: как новый европейский закон о борьбе с отмыванием денег повлияет на криптовалюту

Большинство пользователей также могут переключиться на одноранговые транзакции и децентрализованных игроков, чтобы избежать обременительных правил. Хотя это может быть выгодно для некоторых пользователей, ЕС должен поощрять гладкую взаимосвязь между централизованными и децентрализованными игроками и поощрять свободу пользователей выбирать, как они хотят совершать транзакции.

Предложение теперь перенесено на переговоры между законодательными органами ЕС, которые начнутся 28 апреля, а окончательный текст ожидается к концу июня. Если правило будет принято в его нынешнем виде, еще будет возможность пересмотреть его в течение 12 месяцев после вступления в силу. Однако мы не можем полагаться на это — сейчас настало время для европейской криптоиндустрии координировать свои действия и взаимодействовать с политиками. Вместо того, чтобы принудительно применять правила TradFi к развивающейся технологии, мы должны продвигать политики, основанные на результатах, которые позволяют создавать новые решения для соблюдения требований, учитывающие принципы работы криптографии.

Эта статья не содержит инвестиционных советов или рекомендаций. Каждый инвестиционный и торговый шаг связан с риском, и читатели должны провести собственное исследование, принимая решение.

Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или представляют взгляды и мнения Cointelegraph.