KYC: poznej svého zákazníka, pravil regulátor

KYC: poznej svého zákazníka, pravil regulátor

1. Procesy KYC, AML a další
2. Historie KYC
3. Rizika KYC: Sledování, ostrakizace nevinných, leaky, hacky
4. KYC v kontextu Bitcoinu: trojský kůň “legitimity”
5. "A co já, prostý hodler?" Soukromí máte k dispozici, budete-li o ně bojovat

Procesy KYC, AML a další

Povinná identifikace zákazníků a firem z rozličných důvodů se označuje různými zkratkami, které si na úvod vysvětlíme.

• KYC = Know your customer/client. Jedná se o požadavek kladený regulátory na poskytovatele finančních služeb. Poskytovatelé služeb (např. banky, burzy) mají povinnost identifikovat své zákazníky, uchovávat záznamy o identifikaci a předávat je státním orgánům. Součástí KYC zpravidla bývá povinnost naskenovat osobní doklad (občanský průkaz či cestovní pas), který bývá často doprovázen požadavkem na selfie fotografii držitele dokladu a na další dokumenty, jako jsou doklad o pobytu či výpis z bankovního účtu. Zásadní skutečností je, že instituce provádějící KYC má povinnost všechny dokumenty uchovávat a na požádání je sdílet se státními orgány.
• KYB = Know your business. Obdoba KYC zaměřená na právní entity. V rámci KYB se po firmách požaduje identita jednatelů a rozličná dokumentace ohledně firemní struktury. Součástí KYB může být tzv. KYCC - know your customers’ customer, tj. identifikace zákazníků klienta.
• AML = Anti-money laundering. Opatření proti praní špinavých peněz a legalizace výnosů z trestné činnosti jsou hlavní udávanou motivací pro KYC/KYB. Pro klienty institucí tento proces typicky zahrnuje povinnost doložit původ prostředků, s určitou mírou presumpce viny (prostředky jsou považovány za podezřelé, pokud není prokázán opak).
• CFT = Countering the financing of terrorism. Opatření specificky zaměřené na zamezení financování teroristických skupin.
• PEP = Politically exposed person. Jedná se o speciální kategorii osob, které zastávají vedoucí pozice ve státní správě. Prezidenti, ministři, šéfové úřadů - a jejich rodiny - jsou považování za PEP, a finanční instituce je musí podrobovat přísnější kontrole, především s cílem odhalení korupce.
• OFAC = Office of Foreign Assets Control. Americký úřad spadající pod ministerstvo financí - pro potřeby článku je relevantní zejména sankční seznam, který OFAC udržuje. Finanční instituce po celém světě jsou různými způsoby tlačeny k tomu, aby dle sankčního seznamu odmítaly poskytovat služby osobám a entitám, které jsou v něm uvedeny. Jedním ze způsobů vynucování sankcí je např. hrozba odpojení od mezinárodního platebního systému SWIFT či ztráta smluvního vztahu s korespondenční bankou (instituce zajišťující transakce v cizí měně, zejména v dolarech).
• FATF = Financial Action Task Force. Nadnárodní organizace založená roku 1989, která má za cíl potírat praní špinavých peněz a po roce 2001 i financování terorismu. FATF vydává doporučení a směrnice, které jsou následně implementovány do národních legislativ. Od roku 2000 vydává FATF seznam zemí (“FATF Blacklist“), které nepovažuje za dostatečně spolupracující a aktivní v implementaci direktiv. Vydávání tohoto blacklistu se ukázalo být velmi efektivní - země na blacklistu totiž mají problém s přístupem k dolarovým transakcím, mohou se ocitnout na sankčním seznamu, a jsou ve světě považovány za obecně nedůvěryhodné a podezřelé.

Není nic výjimečného, když v rámci jedné instituce probíhá většina zmíněných opatření. Pracuje-li instituce s většími částkami a zejména pak s dolary, pak bude mít i povinnost identifikovat všechny své klienty, reportovat podezřelé transakce, prověřovat klienty vůči seznamu sankcionovaných a politicky exponovaných osob/institucí, a dost možná i sledovat transakce klientů poté, co si své prostředky z instituce vybrali. Takovými institucemi byly donedávna zejména banky, pojišťovny, směnárny, kasina a další korporace nakládající s fiatem - čím dál častěji však začínají být KYC/AML procesy povinné i pro bitcoinové burzy a další poskytovatele služeb. Jak vyplývá z posledního bodu o organizaci FATF, na implementaci KYC/AML procesů mají zájem vlády mimo jiné proto, aby minimalizovaly riziko umístění na mezinárodní blacklist.

Poznámka: dále v textu budeme zkratku “KYC” používat k označení povinnosti identifikace, ať je důvod k identifikaci jakýkoli.

Historie KYC

Leckomu se může zdát, že povinnost identifikovat klienty v rámci poskytování rozličných služeb je zde odjakživa. Ve skutečnosti je současná podoba KYC relativně novou záležitostí a jako mnoho vládních programů, i tato byla zaváděna za jiných okolností a s jinými ambicemi, než jaká je dnešní realita.

Prvním větším vládním programem na identifikaci klientů finančních institucí byly americké zákony z dvacátých let dvacátého stoleti. Ve dvacátých letech totiž ve Spojených státech panovala alkoholová prohibice, jejímž důsledkem bylo bujení černého trhu a specifického druhu rizikového podnikatele - gangstera. Americké úřady si s černým trhem a gangstery neuměly poradit konvenčními metodami; zaměřily se tudíž na úplný konec obchodního řetězce v podobě výnosů. Gangsteři zkrátka byli bohatí lidé, kteří neuměli původ svého bohatství dost dobře vysvětlit. To by dříve nebyl problém (původ bohatství se příliš nezkoumal), vláda nicméně uložila institucím a držitelům bohatství novou povinnost ve formě prokazování původu svých příjmů a jmění. V principu se jednalo o presumpci viny: příjem a majetek je považován za nekalý, dokud není prokázán opak. Na základě tohoto principu byl odsouzen i král gangsterů Al Capone (za neplacení daní).

Alkoholová prohibice skončila v roce 1933, zákony proti praní špinavých peněz však zůstaly. V následujících dekádách byly povinnosti z nich vyplývající značně rozšířeny, v sedmdesátých letech byl přijat ironicky nazvaný Bank Secrecy Act - ironicky proto, jelikož tímto zákonem došlo k faktickému zrušení bankovního tajemství, jelikož banky měly nově povinnost plnit roli finanční policie a své klienty nahlašovat státním orgánům, pokud se tito zdráhali doložit původ příjmů.

V sedmdesátých letech si Spojené státy zopakovaly prohibici, tentokrát drogovou: Nixon v roce 1971 vyhlašuje válku proti drogám, která měla za následek ghettoizaci amerických měst, rozvrácení několika jihoamerických států, vznik tvrdší varianty některých drog (např. crack cocaine) a celkově rapidní zhoršení celé situace okolo zneužívání drog. V posledních letech sílí hlasy pravící, že válku státu proti drogám vyhrály drogy, a rozličné látky jsou postupně dekriminalizovány (například v prosinci 2020 byly ve státě Oregon dekriminalizovány veškeré drogy, Portugalsko v režimu plné dekriminalizace funguje již od roku 2001). Válka proti drogám pomalu končí, KYC procesy nadále přežívají.

Po roce 2001 byl pod záminkou boje proti terorismu přijat Patriot Act, který praktiky KYC dále výrazně zpřísnil. KYC se nově začalo týkat i menších firem a běžných občanů, internetových poskytovatelů služeb, a především i institucí mimo Spojené státy. Jednou z obětí KYC procesů a tlaku amerických úřadů na jejich globální adopci bylo i pověstné švýcarské bankovní tajemství: v rámci legislativy FATCA (přijaté roku 2010) mají bankovní instituce po celém světě povinnost nahlašovat vklady amerických občanů.

Je vlastně docela fascinující, že Spojené státy generují legislativu a regulatorní opatření, které platí téměř pro celý svět. To je zkrátka síla dolaru coby světové rezervní měny: kdo nehraje podle amerických not, bude od dolarového peněžního styku odříznut. A jelikož to si nemůže žádná země a žádná finanční instituce dovolit, raději se všichni přizpůsobí.

Rizika KYC: Sledování, ostrakizace nevinných, leaky, hacky

Jak je patrné z textu výše, oficiálním záměrem KYC má být zamezení legalizace výnosů z trestné činnosti, neboli praní špinavých peněz. Je sporné, nakolik se tento záměr daří plnit, jelikož média periodicky přinášejí zprávy o tom, jak velké banky rutinně perou peníze drogovým kartelům a podvodníkům. Zajímavá je i zpráva o Danske Bank, přes kterou se v letech 2007-2015 vypralo okolo 200 miliard eur. Bankovní sektor je přitom jeden z nejpřísněji regulovaných co se praní špinavých peněz týče - a možná právě pro to je tak aktivně využívaný, jelikož pod svícnem bývá největší tma (bankovní úředníci i regulátoři jsou podplatitelní.

V prvé řadě je dobré si uvědomit, že za poslední desítky let (a především po roce 2001) byl vybudován celosvětový panoptikon, neboli sledovací systém, kterému se prakticky nelze vyhnout, chce-li člověk žít v moderní společnosti. Z bank a dalších poskytovatelů finančních služeb se staly prodloužené ruce států a nadnárodních organizací (jako je FATF), jelikož tito poskytovatelé přijdou v případě nespolupráce o své licence, budou čelit vyšetřování, trestnímu stíhání a pokutám.

Postupně tak vzniklo celé specializované odvětví, které poskytovatelům finančních služeb asistuje s naplněním rozličných požadavků na sledování, nahlašování podezřelých klientů a zavírání účtů. Jednou z největších organizací je v tomto ohledu World-Check, firma dříve patřící Thomson Reuters (dnes ji vlastní investiční gigant Blackstone). World-Check využívají prakticky všechny velké bankovní domy po celém světě - když si zakládáte účet, je velmi pravděpodobné, že si banka ověří právě v databázi World-Check, že nejste politicky exponovaná osoba a není u vás podezření na propojení s terorismem či organizovaným zločinem.

Jedním z problému databází jako je World-Check je, že se do ní mohou bez problému dostat i lidé, kteří by tam vůbec být neměli. Jak je vysvětleno v přednášce výše, administrátoři obdobných databází bývají pod velkým tlakem zadávat obří množství nových profilů (do World-Check údajně přibude 20 000 profilů každý měsíc), a zdrojem některých informací jsou naprosto nedůvěryhodné zdroje: bulvární zprávy, konspirační weby a podobně. A pochopitelně ti, kdo se do obdobné databáze dostanou, se o tom nedozví - jelikož součástí databáze jsou i skuteční teroristé a mafiáni, nejsou lidé o vytvoření jejich profilu informováni. Že jste součástí databáze stylu World-Check se tak možná dozvíte až tehdy, když vám banka odmítne otevřít účet, či vaše stávající účty zavře. Ale možná se to nedozvíte ani tehdy, jelikož banka má právo se odvolat na smluvní podmínky, které ji umožňují rozvázat smluvní vztah z jakýchkoli důvodů.

World-Check a podobné seznamy pamatují na možnost, že v jejich databázi se ocitnou i nevinní - součástí databáze je upozornění, že údaje mají pouze informativní podobu, a finanční instituce mají uvedené informace nezávisle ověřit. To se nicméně spíše neděje - jakmile bankovní úředník uvidí pozitivní výskyt klienta v databázi, bere jej automaticky jako podezřelého; a ze strany bankovního úředníka i banky samotné se jedná o racionální krok, jelikož raději bude v kontextu KYC chybovat na straně opatrnosti.

Pojďme si nyní na rovinu říct, v čem vlastně spočívá problém. Banky samozřejmě mají plné právo v rámci smluvní svobody odmítnout klienty z jakýchkoli důvodů. Jenže vlády zároveň čím dál více omezují hotovostní transakce (do roku 2014 byl limit 350 000 kč, od roku 2014 je to 270 000 kč - a tento limit je každý rok plíživě snižován inflací) a celkově vytvářejí podmínky, které většinu platebního styku odkazují do bezhotovostního režimu. Přístup k bezhotovostním službám se tak stává základním předpokladem života v civilizované společnosti. Přísné KYC a blacklisty, kam se můžete dostat čirou náhodou, však přístup k těmto službám některým znemožňují a ostrakizují je.

Dalším velkým rizikem povinného sběru a uchovávání dat je únik těchto dat. Organizace, které sbírají velké množství dat o uživatelích, dříve či později leak dat zažijí - ať už je na vině špatná politika uchovávání dat, nepozorný či nespokojený zaměstnanec, či cílený útok na firmu, platí jedna prostá úměra: čím více zajímavých dat o uživatelích má organizace, tím spíše se její databáze dostane tím či oním způsobem ven.

Posuďte sami rozsah největších leaků (omylem uniklých dat) a hacků (cílených útoků pro získání dat):

• Yahoo: v roce 2013 získali hackeři databázi všech uživatelů - jednalo se o 3 miliardy účtů. Obsahem byly jména, data narození, telefonní čísla, hesla.
• First American Corporation: jedna z největších amerických pojišťoven přišla v roce 2019 o 885 milionů záznamů, včetně velmi citlivých údajů jako jsou bankovní údaje, čísla pojištěnců a detaily hypotečních úvěrů.
• Facebook: v roce 2019 umístili externí vývojáři facebookových aplikací databázi uživatelských dat na nezabezpečený cloud server - výsledkem byl únik dat o 540 milionech uživatelích (jména, fotografie, příspěvky, reakce...).
• US Census Bureau (pravděpodobně): v roce 2020 unikla americkému úřadu (předpokládá se, že se jednalo o Census Bureau - úřad pro sčítání obyvatel) data o 200 milionech amerických občanů - jména, e-maily, telefonní čísla, roky narození, úvěrové ratingy, adresy, demografické údaje.
• Equifax: v roce 2017 získali hackeři údaje o 143 milionech amerických občanů. Equifax je korporace vyhodnocující kreditní rating Američanů, součástí dat tak byly citlivé informace o příjmech a závazcích.
• Office of Personnel Management: v roce 2014 došlo k útoku na americký úřad, který udržuje informace o státních zaměstnancích. Došlo k úniku dat o 22 milionech státních zaměstnancích, a to včetně otisků prstů, mimo jiné tak došlo ke kompromitaci velkého počtu tajných agentů. Útok si údajně objednala čínská vláda.
• Customs and Border Protection: roku 2019 unikla databáze biometrických dat americkému celnímu úřadu. Předmětem úniku bylo 184 tisíc fotografií SPZ a řidičů pořízených na hraničních přechodech. Jedná se o dobrý příklad nebezpečí povinného sbírání biometrických údajů - jelikož je jen otázkou času, kdy tato data uniknou.
• Ledger: nejedná se sice o velký leak z hlediska počtu zasažených uživatelů, nicméně pro nás je tento útok zajímavý, jelikož se týká poskytovatele kryptoměnových služeb. V roce 2020 získali hackeři údaje o 272 tisících uživatelích, zejména e-mailů a doručovacích adres. Dotčeným uživatelům začaly následně chodit pokusy o phishing (snaha o vylákání zneužitelných údajů jako jsou seedy) a dokonce i výhrůžky násilím a požadavky na zaplacení výpalného.
• 3Commas: v roce 2022 došlo k úniku API klíčů uživatelů populární obchodní platformy 3Commas. Útočníci získali přístup k více než 100 tisícům API klíčů, které umožňovaly přímé manipulace s účty na burzách. Někteří uživatelé hlásili odcizení kryptoměn v řádu desítek tisíc dolarů.
• Mailchimp: v letech 2022 a 2023 došlo opakovaně k únikům dat ze známé e-mailové platformy Mailchimp. Útočníci získali přístup k účtům více než stovky firem, včetně kryptoměnových projektů jako je Trezor či WooCommerce. V důsledku úniku došlo k cíleným phishingovým kampaním, jejichž cílem bylo získat seedy a přístupy k peněženkám uživatelů.

Leak dat ve spojení s kryptoměnami je obzvlášť nebezpečný. Jelikož kryptoměny jsou ze své povahy snadno zcizitelné při fyzickém kontaktu (nemá-li uživatel nastavený multisig, timelock, či obdobně pokročilé zabezpečení), jsou velkým lákadlem pro skutečné lupiče, kteří se nebudou zdráhat navštívit vás doma. Či alespoň takovou návštěvou vyhrožovat:

Kradená či leaknutá data následně končí buďto ve veřejných databázích (ve formě prostého “dumpu”, který je veřejně přístupný komukoli), či na darknet marketu - online černém trhu, kde se mimo všeho možného prodávají i na míru připravované balíčky pro splnění KYC procesů. To znamená, že byla-li vaše data součástí leaku a pokud tato data obsahují dostatečný materiál k otevření účtu například v bance či na kryptoměnové burze, pak se jednoho dne může stát, že budete obviněn z praní špinavých peněz. Hacker si jednoduše vaše data mohl zakoupit na černém trhu, otevřít si s vaší identitou účty, a proprat velké množství peněz.

Čím jsou KYC procesy přísnější, tím více bude bujet trh s identifikačními údaji nevinných.

A zároveň - čím více bují trh s údaji, tím menší relevanci mají KYC procesy samotné, jelikož jsou zpochybnitelné. S asistencí nových technologií jako jsou deep fake fotografie/videa pomalu nastává doba, kdy nepůjde dost dobře rozeznat reálný člověk od kradené identity. Základní premisa KYC procesu selhává a zanechává po sobě kompromitované soukromí a bezpečnost milionů lidí.

KYC v kontextu Bitcoinu: trojský kůň “legitimity”

V kontextu výše uvedeného nebude velkým překvapením, že KYC procesy postupně prorůstají i do bitcoinového ekosystému. Ať už je motivací potírání praní špinavých peněz či snaha o potlačení potenciálních nestátních peněz, KYC je tu a s postupem času bude přísnější.

Bitcoinovou komunitu rozděluje odpověď na otázku, zda mají uživatelé v rámci urychlení a rozšíření adopce usilovat o svolení vlády, regulátora, státu. Jedni tvrdí, že posvěcení establishmentu je pro masovou adopci zásadní - bez něj bude Bitcoin v lepším případě okrajová záležitost, v tom horším nelegální podvratná aktivita. Druzí oponují, že Bitcoin je od základu permissionless - nevyžadující svolení, a to jak svým technickým designem, tak i převažující filosofií. Moc státu nad penězi nás přivedla tam, kde jsme - ve světě fiat peněz založených na dluhu, s všeprostupujícím přerozdělováním s pomocí Cantillonova efektu. Bitcoin je pokus o odluku peněz od státu - a je naprosto absurdní se státu ptát, co na to říká.

Doprošování státu o posvěcení představuje velmi závažný precedens do budoucna. Co přijde v rámci “masové adopce” příště? Výrazné zvýšení limitu velikosti bloku? Změna monetární politiky? Přechod na proof of stake? Bitcoin a jeho komunita by měli být vůči státu neutrální - nejedná se o protistátní, ani o prostátní ekosystém; jedná se o nestátní ekosystém. Bitcoinisté by zkrátka měli hájit Bitcoin jako něco, co stojí zcela mimo stát; ne usilovat o začlenění do státních struktur a regulací, které do civilizované společnosti 21. století nepatří.

Je třeba si uvědomit, že stát nezajímají teze o finanční svobodě, necenzurovatelnosti a občanské suverenitě - stát je mocenské zřízení, které svou povahou vždy usiluje o navýšení kontroly, či alespoň dohledu. Pod rouškou legitimizace (kterou stát rád využije, budou-li o ní užiteční idioti pořád mluvit) se skrývá budoucí povinnost vysvětlovat transakce, deklarovat zůstatky, odvádět daň z “nerealizovaných zisků” a držet bitcoin pouze u autorizovaných správců.

Že se jedná o příliš pesimistickou vizi? Inu, pojďme se podívat, jak v posledních letech dochází k prorůstání KYC bitcoinovým ekosystémem:

• Burzy, směnárny a další poskytovatelé služeb dostávají uloženou povinnost identifikovat své uživatele, ptát se po původu prostředků a podobně. V zásadě se jedná o uložení stejných povinností, jako mají instituce ve světě fiat financí. Postupně se snižují limity na vklady a výběry bez verifikace či s nižší úrovní verifikace. Některé burzy již účty bez doložení dokladů ani neotevřou.
• Některé burzy účet bez verifikace otevřou, neumožní však následný výběr bitcoinu. Uživatel se tak může snadno chytit do pasti, kdy burza drží uživatelovy bitcoiny jako rukojmí a požaduje výkupné ve formě doložení identity - to může být veliký problém například pro uživatele z jurisdikcí, se kterými burza nespolupracuje (např. kvůli sankcím OFAC).
• Zpočátku bylo KYC povinné pouze tehdy, nakládá-li uživatel s fiatem (zasílá fiat na burzu či si fiat vybírá), postupně však dochází k rozšíření povinnosti i na čistě kryptoměnové operace (např. při obchodech bitcoin/stablecoin).
• Jakmile jsou uživatelé burz identifikováni, je načase přistoupit ke sledování adres, na které si uživatelé své bitcoiny vybírají. Burza - a regulátor, policie či daňový úřad, kteří si tato data mohou vyžádat - má jasné spojení identity s bitcoinovou adresou, a následně může sledovat transakce z této adresy. Pokud by se uživatel snažil o obfuskaci například s pomocí coinjoin technik, může burza zrušit uživatelův účet, jelikož se z jejího (respektive regulátorova) pohledu jedná o snahu ztížit AML procesy.

Poslední bod se vám může zdát přitažený za vlasy, nicméně bohužel se jedná o realitu, která bude v blízké budoucnosti jen horší. Binance Singapore v minulosti dočasně zmrazila uživatelský účet kvůli rozpoznání uživatelovy CoinJoin transakce, a jak upozorňuje Matt Odell, obdobných problémů se mohou uživatelé dočkat i u jiných služeb:

A burzy jako BitMEX - dříve mekka anonymních gamblerů a spekulantů - se po třenicích s americkými regulátory jaly nejen zavádět povinné KYC, ale i spolupracovat s analytickými firmami:

Sledování transakcí po výběru z burzy mohlo doposud být pouze známkou přílišné horlivosti jednotlivých institucí, v budoucnu však může být povinné. Důvodem je zejména nedávný návrh amerického úřadu FinCEN (Financial Crimes Enforcement Network). Hlavní body návrhu jsou:

• výběr z burz a dalších poskytovatelů služeb v hodnotě nad 10 000 USD za den – i když je výběr prováděn v bitcoinu (ne jen v dolarech) – musí být reportován úřadu FinCEN. Instituce umožňující výběr musí reportovat identitu klienta a detaily výběru;
• výběr z burz/od poskytovatelů služeb v hodnotě nad 3 000 USD za den musí být danou institucí evidován, včetně identity klienta. Tyto údaje musí instituce uchovávat a v případě požadavku předložit úřadům;
• součástí regulatorního návrhu je i požadavek na identifikaci majitele adresy, na kterou klient zasílá prostředky po výběru z burzy – to znamená, že při výběru z burzy byste museli doložit, komu patří adresa, na kterou zašlete prostředky po výběru z burzy (jedním z možných důsledků této regulace je, že dříve či později budou burzy omezovat výběry do soukromých adres – umožní je pouze do identifikovaných adres jiných institucí);
• návrh byl zveřejněn dne 18.12.2020 a na komentáře veřejnosti poskytl úřad FinCEN 15 kalendářních dní (do 3.1.2021).

FinCEN nakonec návrh v této podobě nerealizoval, nicméně podobná opatření se od té doby prosazují jinými cestami. KYC a sledování transakcí jsou v roce 2025 součástí globální regulatorní vlny, která se týká nejen burz, ale všech poskytovatelů kryptoslužeb. Mezi nejvýznamnější nové požadavky a trendy patří:

• V roce 2021 vydala FATF nové doporučení ohledně tzv. Travel Rule, které se týká i poskytovatelů kryptoslužeb. Ti mají při převodech nad určitou hodnotu povinnost sdílet informace o odesílateli a příjemci mezi sebou. Tento princip známý z bankovního sektoru tak nyní proniká i do krypta.
• Evropská unie v roce 2023 schválila nařízení MiCA (Markets in Crypto-Assets), které postupně zavádí povinné licencování poskytovatelů kryptoslužeb. Tyto subjekty musí dodržovat přísné požadavky na identifikaci klientů, uchovávání dat i oznamovací povinnosti.
• Zatímco dříve se KYC vyžadovalo především při směně fiat/krypto, v posledních letech dochází k rozšíření KYC požadavků i na čistě kryptoměnové operace, zejména na stablecoiny nebo výměny mezi bitcoinem a altcoiny.
• Některé burzy (např. v Nizozemsku či Německu) již dnes vyžadují, aby uživatel doložil vlastnictví adresy, na kterou si chce zaslat prostředky. To probíhá např. podepsáním zprávy pomocí soukromého klíče.

Návrh vyvolal vlnu negativních reakcí a úřadu přišlo okolo 7000 komentářů - údajně nejvíce v historii obdobných regulatorních návrhů. S tím pravděpodobně úředníci FinCEN nepočítali, když návrh uveřejnili těsně před Vánoci a lhůtu pro komentáře ponechali pouze do začátku ledna. Naštěstí podcenili sílu bitcoinové komunity.

Nejrelevantnější námitka vůči návrhu FinCEN je, že požadavek na identifikaci protistran klientských transakcí je naprosto absurdní - odpovídá to požadavku, aby banky identifikovali, komu lidé po výběru z bankomatu platí svými bankovkami. Zkrátka takový požadavek nemá obdoby ani v konvenčním fiat systému.

Dále je zajímavé sledovat, jak FinCEN a další regulátoři usilují o nastolení nové orwellovské terminologie. FinCEN tak mluví o “unhosted” a “hosted” wallets - první jsou klasické peněženky, kde si kontrolujeme naše klíče (např. Trezor) druhé jsou účty u burz a dalších poskytovatelů. Termín unhosted zní, jako by zde něco chybělo - vyvolává dojem, že se jedná o jakýsi neplnohodnotný způsob držení bitcoinu. Proti obdobné terminologii je nutné se vymezit.

A jaká je situace v Evropě?

Ještě donedávna byla regulace Bitcoinu a poskytovatelů služeb s ním spojených věcí národních regulátorů. Ti se často zaměřovali spíše na scamoidní projekty typu nabídek tokenů. Poskytovatelé služeb jako burzy měli povinnost identifikovat klienty nad určitý objem obchodů a hlásit podezřelé transakce dohledovým orgánům (v ČR se jedná o FAÚ).

Někteří místní regulátoři se v minulosti nechali trochu unést – například v Nizozemsku čelili klienti burz požadavku doložit vlastnictví bitcoinové adresy, na kterou chtěli vybrat prostředky (například podepsáním zprávy privátním klíčem).

Ve Francii se již dříve zavedla nulová tolerance vůči anonymnímu nakládání s bitcoinem u poskytovatelů služeb. Záminkou pro zpřísnění pravidel byl jako obvykle boj proti terorismu – osvědčený argument, pod jehož záštitou je možné prosadit téměř cokoli.

Od roku 2024 však v celé Evropské unii platí jednotná pravidla dle nařízení MiCA (Markets in Crypto-Assets Regulation). Ačkoli se MiCA primárně zaměřuje na altcoiny, stablecoiny a nabídky tokenů, dopadá i na bitcoinový ekosystém, zejména v oblasti centralizovaných burz a custody služeb. Poskytovatelé musí nově získat licenci a podléhají přísnému dohledu – podobně jako banky či tradiční finanční instituce.

MiCA přináší povinnost zavést interní kontrolní mechanismy, pravidla pro správu rizik, identifikaci klientů a reportování transakcí. Zároveň se objevují tlaky na sledování adres, na které uživatelé vybírají prostředky, a v některých zemích je již nyní běžná praxe vyžadovat registraci nebo ověření cílové adresy.

Je proto namístě počítat s tím, že výběry do soukromých peněženek budou nadále komplikovanější – obzvláště pokud se uživatel rozhodne chránit své soukromí pomocí nástrojů jako je CoinJoin. Takové transakce mohou být považovány za „podezřelé“ a vést k omezením či zrušení účtu.

Riziko budoucích zásahů, jako je daň z nerealizovaných zisků nebo jiná forma konfiskace, nelze vyloučit – především pokud držíte bitcoiny u třetích stran. Soukromé klíče mimo váš dosah jsou i mimo vaši kontrolu.

"A co já, prostý hodler?" Soukromí máte k dispozici, budete-li o ně bojovat

Lze se tedy sílícímu trendu sledování a kontroly účinně vyhnout, či alespoň minimalizovat jeho dopady? Určitě lze - záleží ale také na tom, jak daleko jste ochotni při ochraně soukromí a vašich bitcoinů zajít. Níže uvádíme kroky, které můžete provést - od nejjednodušších k pokročilejším:

• stáhněte si všechny bitcoiny z burz do vlastní peněženky – ideálně hw wallet Trezor Safe 3 nebo Safe 5; u modelu Safe 5 doporučujeme nastavit si Shamir backup a dobře promyslet úschovu jednotlivých shardů. Pro menší částky lze využít mobilní peněženky jako Samourai Wallet;
• používejte VPN či Tor – blockchain explorery mohou párovat vaši IP adresu s dotazem na konkrétní adresu, přičemž je pravděpodobné, že v exploreru hledáte většinou vlastní adresy;
• seznamte se s postupy, jak nejít transakční analýze naproti – například posíláte-li si prostředky mezi svými adresami, neměli byste zasílat naráz všechny prostředky či zaokrouhlovat na kulatá čísla (více na Bitcoin wiki);
• další bitcoiny získávejte bez nutnosti procházet KYC – možnosti jsou bitcoinové automaty Bisq, nebo aplikace Vexl, která propojuje lidi přímo bez prostředníků a bez registrace;
• výměnu bitcoinu lze také realizovat osobně mezi známými – peer-to-peer obchodování je stále nejefektivnější a nejbezpečnější cesta, pokud obě strany důvěřují sobě navzájem;
• přijímáte-li bitcoin za vaše zboží/služby, nepoužívejte řešení třetích stran, ale provozujte si svůj vlastní platební procesor: BTCPay Server;
• provozujte si vlastní full node – můžete si na něj napojit své peněženky a spravovat si vlastní blockchain explorer; novější řešení jako je Umbrel umožňují i správu Lightning kanálů;

Uvedená doporučení ale nepředstavují kouzelnou hůlku. Záležitosti okolo soukromí v Bitcoinu se neustále vyvíjejí a jde-li vám skutečně o soukromí a bezpečnost, měli byste se v této oblasti neustále vzdělávat. Z mnoha různých zdrojů doporučíme alespoň dva: Bitcoin QnA a blog Burn the Bridge.

Bitcoin jsou peníze a platební ekosystém, které k plnohodnotné funkci nepotřebují znát něčí identitu. Stát se nicméně svých požadavků na sledování a kontrolu jen tak nevzdá. Po letech, kdy byl Bitcoin spíše ignorován kvůli jeho domnělé nevýznamnosti, přicházejí léta zvýšené pozornosti a snahy spoustat ekosystém KYC procesy. Jednotliví bitcoinisté se musí rozhodnout, nakolik jsou ochotni bránit své soukromí a suverenitu.