Das US-amerikanische Unternehmen «Chainalysis» bietet Kryptowährungs-Untersuchungen und Compliance-Lösungen für Strafverfolgungsbehörden, Aufsichtsbehörden, Börsen sowie Cybersicherheitsunternehmen an. So ist es Chainalysis gelungen, weltweit Krypto-Kriminalität bis zur Quelle zurückzuverfolgen.
Im Februar 2021 hat Chainalysis den Bericht «The 2021 Crypto Crime Report - Everything you need to know about ransomware, darknet markets, and more», veröffentlicht – die Zusammenfassung von gwp in Deutsch ist hier abrufbar:
Zusammenfassung:
The Chainalysis 2021 Crypto Crime Report
Dieser Bericht legt dar, dass der kriminelle Anteil des gesamten Krypto-Transaktionsvolumens im Jahr 2020 gesunken ist. Trotz des Rückganges von kriminellen Aktivitäten, bieten verschiedene Kryptowährungen nach wie vor eine attraktive Plattform für Kriminelle an. Vor allem die Leichtigkeit und Geschwindigkeit, Geldmittel innert Sekunden an jeden Ort der Welt zu senden, stellt ein erhöhtes Risiko dar. Dank des transparenten und nachvollziehbaren Designs einer Blockchain, können sich Banken und Finanzinstitute mit dem Einsatz von technischen Massnahmen und mit konventionellen Compliance-Programmen überwiegend gegen Straftaten im Zusammenhang mit Kryptowährungen schützen.
Handlungsbedarf der Banken erkennen
Vorwiegend haben Krypto-Kriminelle das Ziel, die Quelle ihrer Gelder zu verschleiern und ihr Krypto-Vermögen schnell in Bargeld umzuwandeln, damit das Vermögen ausgegeben oder in einer Bank aufbewahrt werden kann. Dabei gelten Krypto-Börsen als die Hauptanlaufstelle, um die Kryptowährungen in Bargeld umzuwandeln. Um diese Aktivität möglichst zu unterbinden, muss das Augenmerk auf diese Krypto-Börsen und auf Dienstleister, die Beihilfe zur Verschleierung leisten, gerichtet werden. Mit der Identifikation solcher Geldwäschereidienstleister und der Vermeidung der Zusammenarbeit mit Krypto-Börsen, die aufgrund von schwachen oder nicht vorhandenen Compliance-Programmen als «hohes Risiko» klassifiziert werden, kann der kriminellen Aktivität Gegenwind geleistet werden.
Lösungsansätze definieren
Doch was bedeutet das konkret für ein Finanzinstitut im praktischen Umgang mit der Aufnahme von Kunden mit einem DLT- Nexus? Folgend werden einige Lösungsansätze und Vorgehensweisen beschrieben, die aktuell im Rahmen der Sorgfalts- / Abklärungspflicht zum Einsatz kommen (nicht abschliessend):
- Identifikation der Vertragspartei
Bei der Identifikation der Vertragspartei muss nach wie vor die Vertragspartei bei der Aufnahme einer Geschäftsbeziehung mithilfe von beweiskräftigen Dokumenten identifiziert werden. Dabei gelten die üblichen von der FINMA oder SRO vorgegebenen Dokumente als beweiskräftig, wobei der DLT-Nexus in diesem Schritt keinen speziellen Handlungsbedarf aufweist.
- Feststellung der wirtschaftlich berechtigten Person
Neben der Erklärung (bspw. Formular A), die vom Finanzintermediär eingefordert wird, haben sich für Vermögenswerte auf einer Krypto-Wallet Abklärungen mithilfe verschiedener technischer Hilfsmittel etabliert. Dabei kommen häufig der Satoshi-Test (Mikrotransaktion) oder die Signatur einer speziell verschlüsselten Nachricht (digitale Signaturverifikation) zum Zuge. Auf diese Weise kann festgestellt werden, ob die Vertragspartei die Verfügungsmacht und den Zugriff auf den jeweiligen privaten Schlüssel der Krypto-Wallet besitzt.
- KYC (Wallet-Analyse)
Das KYC dient u.a. der Abklärung der Herkunft von Vermögenswerten und der Erkennung des Zwecks der Geschäftsbeziehung. Hierbei erweist sich die zugrundeliegende Blockchain-Technologie - insbesondere aufgrund der Speicherung sämtlicher Transaktionsflüssen - als sehr hilfreich. Die neue Technologie hilft, die Vermögenswerte, die aus unsicheren Quellen stammen, oder die Dienstleister, die Beihilfe zur Verschleierung leisten, aufzuspüren. Die Implementierung einer Softwarelösung zur forensischen Analyse von Krypto-Vermögenswerten gilt hier als ausschlaggebend. So gibt es verschiedenste Anbieter, deren Dienstleistung von einer einfachen Wallet-Analyse bis hin zur kompletten Integration eines Risikorahmenwerks mit individuellen Risikoparametern reichen.
- Risikoeinschätzung einer Geschäftsbeziehung (inkl. Errichtung von Kriterien für Geschäftsbeziehungen und TmeR)
Diverse Krypto-Exchanges und die Konvertierung von Kryptowährungen in FIAT stellen ein besonderes Risiko dar. Entsprechend müssen risikomitigierende Anforderungen an einen Exchange gestellt werden. Viele Börsen/Exchanges verlassen sich darauf, dass lizenzierte Kryptowährungs-Dienstleister die KYC- und AML-Richtlinien, die aus der Lizenz hervorgehen, einhalten. Es ist daher wichtig, dass Finanzintermediäre solche Richtlinien konkret prüfen und derartige Dienstleistungen mit entsprechender Sorgfalt behandeln. Zudem müssen Kriterien entwickelt werden, um eine Kategorisierung der Geschäftsbeziehung vornehmen und diese entsprechend einer Risikokategorie zuweisen zu können. Konkret kommen dafür spezielle Due-Dilligence-Checks zur Anwendung, die beispielsweise auf die Umsetzung der Sorgfaltspflichten von Exchanges eingehen, oder der Einsatz von definierten Schwellenwerten, die das Transaktionsverhalten entsprechend qualifizieren und dessen Kontrolle ermöglichen. Sobald das Rahmenwerk zur Risikoeinschätzung steht, geht es in einem nächsten Schritt darum, den Kunden während der Dauer der Geschäftsbeziehung entsprechend zu überwachen. Sofern diese Beziehung die Transaktion von digitalen Vermögen zulässt, könnten weitere Aspekte - wie das Umsetzen der «FATF Travel Rules» - notwendig sein.
Fazit
Die Blockchain-Technologie als solches bringt gleichermassen Vorteile wie auch Herausforderungen in die notwendigen Sorgfalts- und Abklärungstätigkeiten eines Finanzinstituts. So gelten Manipulationssicherheit und Transparenz definitiv als Segen, wohingegen deren Abwicklungsgeschwindigkeit und Pseudoanonymität durchaus ein Dorn im Auge darstellen können. Der Einsatz von entsprechenden technischen Hilfsmitteln scheint unumgänglich, wobei zunehmend detailliertere und umfassendere Abklärungen getroffen werden können. Könnte die Weiterentwicklung von digitalen Vermögenswerten sowie Prüfung- und Analysetools bald eine Grundlage schaffen, die «AML proof» ist?