Aanbieders van cryptodiensten zijn aangewezen als instelling met een poortwachtersfunctie als het gaat om de naleving van sanctieregelgeving. Zij zijn verplicht hun relaties te screenen ter voorkoming dat financiële middelen ter beschikking worden gesteld aan gesanctioneerde partijen. Met de recente pakketten aan sanctiemaatregelen tegen Rusland is sanctiescreening een steeds actueler thema. Hoe cryptobedrijven daaraan invulling dienen te geven is al lange tijd onzeker.

Op 16 september 2022 heeft DNB een Q&A gepubliceerd waarin de toezichthouder aanbevelingen doet voor de wijze waarop cryptodienstverleners uitvoering kunnen geven aan de sanctiescreening bij cryptotransacties. Hoewel de toezichthouder nog tamelijk op de vlakte blijft, bevat de publicatie relevante aandachtspunten. Dit niet alleen ter beheersing van het risico op schending van sanctieregels maar ook voor het managen van gerelateerde risico’s zoals die rond registratie, handhaving alsook commerciële en reputationele risico’s.

Sanctieregels gelden in principe voor iedereen

Met het oog op internationale vrede en veiligheid worden sancties ten aanzien van regio’s, personen, entiteiten en activiteiten ingezet. De sancties die in Nederland gelden worden doorgaans door de Raad van de Europese Unie opgelegd door middel van Europese sanctieverordeningen. Middels de Sanctiewet 1977 (Sw) en daarop gebaseerde sanctiebesluiten en -regelingen wordt aan de verordeningen nadere uitvoering gegeven. De Sanctiewet is van toepassing op iedereen die zich in Nederland bevindt, op alle Nederlandse (rechts)personen en alle Nederlanders buiten Nederland.

Met betrekking tot het financieel verkeer zijn de AFM en DNB belast met het toezicht op de naleving van de Sw. Daartoe hebben de beide toezichthouders gezamenlijk de Regeling toezichthouders Sanctiewet 1977 (RtSw) vastgesteld. Voor aangewezen ondernemingen die actief zijn in de financiële sector gelden uit hoofde van artikel 10 lid 2 Sw en de RtSw specifieke vereisten, in aanvulling op de voor iedereen geldende ge- en verboden uit de sanctieverordeningen.

Zo geldt voor aangewezen ondernemingen de verplichting maatregelen te treffen om te controleren of nieuwe en bestaande relaties van de instelling voorkomen op één of meerdere sanctielijsten. Bij een ‘hit’ moet onverwijld melding worden gemaakt aan de relevante toezichthouder en mogen de betreffende transacties niet worden gefaciliteerd. Tegoeden moeten bevroren worden en blijven totdat de desbetreffende sanctieregeling gewijzigd wordt en de verplichting om te bevriezen ophoudt te bestaan of ontheffing wordt verleend.

Het belang van ieder van ons – maar in het bijzonder van financiële ondernemingen – om de sanctieregelgeving op de juiste manier na te leven, is groot. Een schending van naleving van de RtSw kan door de financiële toezichthouders worden beboet. Afhankelijk van factoren zoals de ernst en duur van de overtreding, het verkregen voordeel van de overtreder, de gevolgen voor het financiële stelsel en de verwijtbaarheid, kunnen bestuurlijke boetes worden opgelegd met een basisbedrag van EUR 500.000 en een maximumbedrag van EUR 1.000.000.

Cryptobedrijven hebben extra poortwachtersrol gekregen

Met de implementatie van de Vijfde Anti-witwasrichtlijn (AMLD5) in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) zijn aanbieders van cryptodiensten, te weten crypto-fiat wisselbedrijven en aanbieders van crypto-bewaarportemonnees, verplicht zich bij DNB te registreren. Op grond van de Sw staan de uit hoofde van de Wwft geregistreerde aanbieders voor naleving van de sanctieregelgeving onder toezicht van de financiële toezichthouder en dienen zij maatregelen te treffen voor adequate controle van de administratie ter naleving van de sanctieregelgeving.

Over de rechtmatigheid van de sanctiescreening die het registratievereiste voor aanbieders van cryptodiensten meebrengt op grond van de Wwft en over de reikwijdte van de screeningsplicht, spande cryptobedrijf Bitonic eerder een zaak aan tegen DNB (zie Rb. Rotterdam 7 april 2022, ECLI:NL:RBROT:2021:2968).

DNB stelde dat aanbieders van cryptodiensten op grond van de Wwft en de Sw een poortwachtersfunctie hebben en in voldoende mate zeker moeten stellen dat geen gelden of crypto’s aan gesanctioneerden ter beschikking worden gesteld. Volgens Bitonic had de koppeling in de Wwft van de eis van gegevensverstrekking over de naleving van de Sw aan de registratie voor cryptodienstverleners, geen deugdelijke wettelijke basis. Bitonic viel met name over de door DNB opgelegde verificatieverplichting om screenshots te nemen van wallets om de opgegeven identiteit te controleren.

De voorzieningenrechter vroeg zich af of de invulling die DNB geeft aan de vereiste sanctiemaatregelen (bij elke transactie controleren of het wallet-adres bij de klant hoort) wel proportioneel en noodzakelijk is. Toch betekende het feit dat twijfels bestaan over de rechtmatigheid van het gestelde registratievereiste volgens de voorzieningenrechter niet dat op voorhand moet worden geoordeeld dat het vereiste evident onjuist of onrechtmatig is.

Met de onlangs gepubliceerde Q&A beoogt DNB meer duidelijkheid te geven over de naleving van de sanctieregels bij cryptotransacties en de invulling van de maatregelen in de zin van artikel 2 RtSw.

1. Onder te screenen ‘relaties’ vallen ook tegenpartijen en begunstigden van een transactie

De Q&A bespreekt allereerst dat de sanctiescreeningsplicht, met het oog op het bevriezen van financiële middelen van gesanctioneerden en het voorkomen dat deze ter beschikking worden gesteld, niet alleen geldt ten aanzien van cliënten (zoals bedoeld in de Wwft) maar voor alle relaties, te weten een ieder die betrokken is bij een financiële dienst of een financiële transactie.

Onder relaties vallen onder andere: cliënten, vertegenwoordigers of gemachtigden, UBO’s van de cliënten, begunstigden van een product (bijvoorbeeld bij een uitkering op een levensverzekering) of (internationale) overboeking van gelden, de wederpartij bij een financiële transactie/product (bijvoorbeeld bij uitkering van een schadeverzekering), betrokkene(n) bij een financiële transactie waarbij een doelvennootschap van een trustkantoor partij is en bestuurders van cliënten en aan cliënten gerelateerde partijen.

Specifiek ten aanzien van aanbieders van cryptodiensten geeft DNB nu aan dat alle bij de cryptotransactie betrokken partijen moeten worden gezien als een relatie in de zin van de Sw. Naast cliënten van de aanbieder betreft dit bij cryptotransacties ook de tegenpartijen en begunstigden, zoals andere aanbieders van cryptodiensten, derde (rechts)personen of entiteiten. Deze relaties vallen onder de screeningplicht voor aanbieders bij een cryptotransactie, aldus DNB.

2. Een crypto-aanbieder moet risicogeoriënteerde en adequate screeningsmaatregelen nemen

Om schending van de sanctieregelgeving te voorkomen moeten aanbieders van cryptodiensten de bij cryptotransacties betrokken partijen screenen tegen één of meerdere sanctielijsten. Hiervoor is het van belang dat zij de identiteit van de relatie vaststellen.

In de Q&A geeft DNB aan dat de maatregelen om de identiteit te controleren risicogeoriënteerd kunnen worden ingevuld. Op welke wijze de aanbieder deze invult is vormvrij, mits hiermee het doel van de sanctieregelgeving bereikt wordt.

Volgens DNB zijn, ondanks dat de wet geen specifieke maatregel voorschrijft, in ieder geval de naam, geboortedatum, woonplaats en/of vestigingsadres van belang om de relatie effectief te kunnen screenen.

Een aanbieder moet nagaan of er een (hoog) risico bestaat dat de opgegeven identiteit niet overeenkomt met de werkelijke identiteit, of dat iemand anders de daadwerkelijke zeggenschap heeft over de wallet. Om de risico’s te controleren verricht de aanbieder een risicoanalyse.

Als de aanbieder van oordeel is dat er een risico bestaat dat de opgegeven identiteit niet overeenkomt, dan moet zij maatregelen treffen om dit risico weg te nemen. Als het nemen van maatregelen niet mogelijk lijkt, te veel inspanning vergt, of als er een minimaal risico blijft bestaan, dan wordt verwacht dat de relatie niet wordt aangegaan. In dit geval betekent dat dat de transactie niet wordt verricht.

Bij binnenkomende transacties geeft DNB de suggestie om een zogenaamde ‘omnibus-wallet’ te hanteren waar het transactietegoed wordt vastgehouden totdat de sanctiescreening van de relatie(s) is voltooid.

3. De risicoanalyse moet de verschillende risico’s die kleven aan cryptotransacties meewegen

Uit de Q&A volgt voorts dat vanwege de anonimiteit die gepaard gaat met cryptocurrencies en de bewaarportemonnees transacties met cryptocurrencies door DNB worden gezien als ‘hoog risico’ op sanctieschendingen. Hierdoor verwacht DNB van de aanbieders een hogere mate van risicomitigatie.

DNB maakt daarbij onderscheid tussen zogenaamde hosted wallets die door relaties worden gehouden bij soortgelijke aanbieders en zogenaamde unhosted wallets/private wallets waarvan niet duidelijk is aan wie het cryptoadres toebehoort. Aanbieders moeten bij transacties naar unhosted wallets een inschatting van de risico’s maken en adequate mitigerende maatregelen nemen om risico’s op schending van de sanctieregels weg te nemen.

Om het risiconiveau vast te stellen moeten aanbieders een risicoanalyse uitvoeren ten aanzien van de relaties. DNB noemt enkele voorbeelden van risico’s die in een dergelijke analyse meegewogen kunnen worden, waaronder het specifieke bedrijfsmodel van de relatie, de geografische risico’s, de toezichtstatus van de cliënten waar de aanbieder zich op richt en het transactieprofiel van de cliënt.

Suggesties voor succesvolle sanctiescreening in de cryptopraktijk

De publicatie van DNB bevat tot slot praktijkvoorbeelden van maatregelen die volgens de toezichthouder bijdragen aan beheersing van sanctierisico’s. Het betreft onder meer stappen die cryptoaanbieders in de praktijk hebben ondernomen ten aanzien van clientacceptatie, contractuele bepalingen, blokkering bij sanctionering, vormen van doorlopende controle en risicoanalyse.

Hoewel de Q&A een indicatie biedt, vraagt de concrete invulling van sanctiescreening in de cryptopraktijk mogelijk verdere afstemming tussen DNB en de betreffende cryptobedrijven. Veelgebruikte methoden van financiële instellingen als banken en beleggingsinstellingen die DNB gewend is te zien, zullen niet per se passen op cryptodienstverleners. Cryptodienstverleners zullen eigen methoden hebben ontwikkeld of aan het ontwikkelen zijn om screening in te richten naar hun bedrijfsmodel, waarin DNB zich weer zal moeten verdiepen om deze goed te kunnen toetsen.

Daar komt bij dat de impact van sanctieregels met name sinds de inval in Oekraïne voor iedereen een vlucht heeft genomen. Compliance met sanctieregels vraagt meer en meer aandacht van zowel marktpartijen als toezichthouders. Gezien het doel van de sancties is niet ondenkbaar dat markt en toezicht erbij gebaat kunnen zijn bij de concrete invulling daarvan ook meer samen op te trekken.

Voor aanbieders van cryptodiensten is het in ieder geval van belang om beheersing van sanctierisico’s bij cryptotransacties in te bedden in het compliance-framework. De Q&A en good practices zijn een eerste interpretatie van DNB van de goede invulling van sanctieverplichtingen. Er kan ook een andere manier worden gekozen om aan de wet te voldoen. Toch kunnen DNB’s suggesties een nuttige leidraad vormen hoe met sanctiescreening om te gaan.

Indien u hierbij hulp nodig heeft, andere vragen heeft of van gedachten wilt wisselen, neem dan contact met ons op: bureau Brandeis – Financial Service Litigation

Voor nadere achtergrond  over sancties zie ook graag: Sanctieregelgeving en handhavingsrisico: Toenemende aandacht voor sanctieregelgeving vraagt effectieve compliance van financiële ondernemingen, Peek, S.M., TFR 2022, nr. 7/8, juli 2022