Constantin Bogdan VACUSTA
Abstract. In recent years, crypto-assets had a rapid development, harnessing the potential of blockchain technology as a foundation for innovation. The development has been different across jurisdictions and regulatory efforts in different countries have also shown us different approaches. No matter the approach, there is one common objective: managing data from various sources and maximizing output from data analysis. Traditional finance analysis is no longer enough and it is necessary to incorporate cyber data in the analysis designed to assess the risks related to crypto-assets while also encouraging innovation. A brief explanation about how blockchain analysis and reporting works and why it is beneficial to consider holistic analysis based on data-matching involving multiple data-sets as a way to ensure financial stability and facilitate investigations when crimes are being committed.
Keywords: crypto-assets, financial stability, blockchain, investigations, cyber security
În ultimii ani, este evidentă dezvoltarea rapidă a proiectelor privind cripto-activele, valorificând potenţialul tehnologiei blockchain, ca fundament pentru inovaţie. Dezvoltarea a fost încurajată de autorităţi în mod diferit la nivel global, iar eforturile de reglementare în diferite state ne-au arătat de asemenea abordări diferite. Indiferent însă de jurisdicţie, subiectul utilizării în mod ilicit a cripto-activelor a intrat rapid pe agenda publică, deşi, la nivelul anului 2021, numai 0,24% din volumul total al tranzacţiilor la nivel global a avut caracter ilicit1.
Grafic prin procentajul activităţii infracţionale
din totalul tranzacţiilor cu cripto-active la nivel global
Sursa: Chainalysis
Chiar dacă acest procentaj este mic, are însă potenţialul de a afecta sever încrederea la nivelul societăţii, punând presiune asupra autorităţilor pentru regle-mentare, în vederea consolidării stabilităţii financiare.
La nivel global, ziua de 12 octombrie 2022 a marcat un record al fondurilor sustrase ilicit de la diferite entităţi care gestionează cripto-active, ceea ce face ca luna octombrie 2022 să fi fost perioada cu cel mai mare volum al cripto-activelor sustrase ilicit de la diferite entităţi, peste 718 milioane $2.
Sursa: Chainalysis
Din nefericire, anul 2022 a fost cel în care au fost exploatate cel mai mult vulnerabilităţile existente la nivelul numeroaselor protocoale prin intermediul cărora se gestionează cripto-activele.
Sursa: Chainalysis
Aceste incidente, deşi nedorite, sunt însă benefice pe termen lung, pentru că ne ajută la conştientizarea riscurilor cibernetice şi argumentează indirect poziţiile rezervate despre cripto-active, exprimate de numeroase bănci centrale şi alte autorităţi din întreaga lume, a căror responsabilitate majoră ţine de stabilitatea financiară.
În luna mai 2022, în SUA, a fost reconfirmată nevoia de convergenţă între riscurile cibernetice şi cripto-active, ca linie de acţiune unitară, în plan operaţional, prin consolidarea unei structuri specializate în acest sens în cadrul Securities and Exchange Commission3.
În mod evident, numeroase persoane sunt afectate de aceste incidente de hacking. Responsabilitatea investigării acestor incidente este acum asupra entităţilor care gestionau cripto-activele şi a autorităţilor, care au instrumentele pentru a clarifica trasabilitatea fondurilor sustrase şi beneficiarii finali ai acestora.
În prezent, este imposibil de estimat dacă sunt şi cetăţeni români care au suferit pierderi financiare din cauza acestor atacuri cibernetice. O astfel de estimare ar fi tehnic posibilă, valorificând caracterul transparent al majorităţii tranzacţiilor derulate prin tehnologia blockchain, însă nu se poate face încă.
Metodologia de evaluare existentă, avansată de compania Chainalysis, permite numai evaluarea aproximativă a fluxurilor de tranzacţionare, ţinându-se cont în special de elemente precum traficul de internet, în baza adreselor de IP (Internet Protocol), pentru stabilirea zonei geografice a originii şi destinaţiei cripto-activelor tranzacţionate.
Conform acestei metodologii, a fost realizată o evaluare la nivel global privind adopţia la nivelul societăţii a cripto-activelor, conform căreia România ocupă locul 764.
Sursa: Chainalysis
Pentru a fi posibilă pe viitor o evaluare clară a fluxurilor de tranzacţionare, am avea nevoie de un cadru adecvat de reglementare care să permită operaţional analiza holistică, pe criterii de risc, a datelor din cele 2 sisteme:
-
cel tradiţional în care se cunoaşte identitatea persoanei fizice / juridice care realizează tranzacţii, dar nu se cunosc detalii despre toate tranzacţiile efectuate la nivelul diferitelor entităţi din sistem;
-
cel al cripto-activelor, în care majoritatea tranzacţiilor sunt transparente, chiar de la o entitate la alta, fiind însă dificilă cunoaşterea identităţii reale a celui / celor care efectuează tranzacţiile.
Acest material include clarificări asupra modului în care sunt realizate analize de date în sfera cripto-activelor, pentru a accentua o realitate deja cunoscută, aceea că datele sunt şi vor fi o resursă extrem de valoroasă. În mare măsură, de modul în care acestea sunt gestionate, raportate şi analizate depinde în mare măsură asigurarea stabilităţii financiare şi investigarea în cazul comiterii unor infracţiuni, obiective care pot fi îndeplinite doar prin cooperare la toate nivelurile: inter-departamental, inter-instituţional, internaţional, precum şi în parteneriat public-privat.
Contrar opiniei existente la nivelul multor persoane, majoritatea tranzacţiilor ce implică cripto-activele nu sunt anonime. Putem vorbi mai degrabă de pseudo-anonimitate, întrucât atunci când sunt comise infracţiuni există deja instrumente pentru de-anonimizare şi tragere la răspundere a celor vinovaţi. Dovada în acest sens este destructurarea unor reţele complexe de criminalitate organizată ce acţionau pe Darknet, care utilizau cripto-activele ca manieră pentru vânzarea unor produse şi ser-vicii ilegale, pentru spălarea banilor sau evitarea regimului sancţiunilor internaţionale5.
Sesizând nevoia autorităţilor privind analiza şi de-anonimizarea tranzacţiilor cu cripto-active, companii private precum Chainalysis, Elliptic, Ciphertrace au început încă din 2014 realizarea unor programe de analiză complexă a tranzacţiilor cu cripto-active. Acestea au fost perfecţionate gradual, integrând noi funcţionalităţi şi seturi de date, fiind acum folosite contra-cost de autorităţi de reglementare şi investigare din numeroase ţări, de companii de consultanţă, de instituţii financiar-bancare cu apetit la risc în sfera cripto-activelor.
Atunci când apar incidente precum sustragerea ilicită a cripto-activelor prin exploatarea unor vulnerabilităţi informatice, problema cea mai importantă e cea legată de costurile financiare, la care se adaugă impactul reputaţional pentru autorităţi.
Orizontul reglementării la nivel european al cripto-activelor e cu siguranţă un pas uriaş înainte pentru reducerea costurilor şi minimizarea riscului reputaţional pentru autorităţi. 2024 va fi probabil anul în care vor deveni complet operaţionale 3 prevederi cheie menţionate în MiCA (Markets in Crypto Assets)6 şi TFR (Transfer of Funds Regulation)7, care vor facilita de-anonimizarea tranzacţiilor cu risc pentru stabilitatea financiară, ce implică cripto-activele:
-
Clarificarea cadrului de raportare a tranzacţiilor cu risc, ce implică cripto-active, către autorităţile competente desemnate.
-
Necesitatea cunoaşterii clientelei care utilizează portofele non-custodiale pentru tranzacţii cu risc sau a căror valoare depăşeşte 1.000 Euro. Aceste portofele non-custodiale (spre deosebire de cele custodiale) fac dificilă transparentizarea fluxurilor financiare şi realizarea investigaţiilor ce implică utilizarea cripto-activelor pentru comiterea unor infracţiuni.
-
Necesitatea schimbului de informaţii între diferite entităţi cu expunere directă în sfera cripto-activelor, prin conformarea „Travel Rule” (conform recomandărilor FATF – Financial Action Task Force), ceea ce va permite pe termen lung dez-voltarea unui sistem de comunicare relativ similar SWIFT. Companii precum Ciphertrace, Notabene, Shyft au dezvoltarea deja soluţii tehnice pentru ca acest schimb de informaţii să poată fi realizat securizat, lucrându-se deja la integrarea acestor seturi de date în programele de analiză a tranzacţiilor cu cripto-active8.
O contribuţie importantă în includerea acestor 3 prevederi a avut-o şi Europol, pe baza concluziilor extrase în urma operaţiunilor desfăşurate9, întrucât la nivelul acestei instituţii europene s-a constituit o structură specializată, European Cybercrime Center (EC3), care acordă asistenţă la nivel european în problematica cripto-activelor (inclusiv pentru instituţii din România). Din punct de vedere al soluţiilor de analiză utilizate, Europol are un parteneriat strategic încheiat cu Chainalysis10.
În termen de 12 luni de la publicarea MiCA în Jurnalul Oficial al UE, va fi nece-sară publicarea ghidurilor practice privind analiza de risc a tranzacţiilor cu cripto-active, integrarea acestora în programele de conformitate ale instituţiilor financiare, precum şi aspecte privind raportarea către autorităţile competente desemnate ca unităţi de informaţii financiare.
CARE SUNT ÎNSĂ DATELE CE AR TREBUI RAPORTATE AUTORITĂŢILOR?
Sunt suficiente datele care sunt deja raportate autorităţilor conform legislaţiei în vigoare privind prevenirea şi combaterea spălării banilor, finanţării terorismului şi conform regimului sancţiunilor internaţionale?
Recomandări privind realizarea rapoartelor de tranzacţii suspecte ce implică active virtuale
Sursa: FinCEN Guidance – USA Financial Intelligence Unit
La nivel internaţional, bunele practici privind raportarea tranzacţiilor ce implică cripto-active indică deja ca fiind utilă includerea unor informaţii precum adresa IP, detaliile portofelului electronic şi hash-ul tranzacţiei (identificator unic), întrucât acestea au o relevanţă foarte mare în cazul iniţierii unor investigaţii ce implică de-anonimizarea.
De asemenea, aceste informaţii specifice domeniului cripto-activelor sunt menţionate în recomandările OFAC (Office of Foreign Assets Control), din cadrul Trezoreriei SUA, pentru gestionarea eficientă a unui program de conformitate privind sancţiunile, ce implică cripto-activele11.
Comunicarea eficientă de către autorităţile de reglementare a unor astfel de indicatori (IP, detaliile portofelului electronic şi hash-ul tranzacţiei) către instituţiile supravegheate ar permite blocarea sau restricţionarea rapidă a tranzacţiilor cu indicatori de risc ridicat.
Luna august 2022 a marcat o premieră, includerea de către OFAC pe lista entităţilor sancţionate a Tornado Cash, un protocol software, nemaifiind vorba de o persoană fizică sau entitate juridică12. Prin intermediul acestuia, a fost posibil anterior procesul de spălare a banilor în numeroase cazuri de hacking al unor cripto-active. Este estimat că rulajul a fost de aproximativ 7 miliarde $, de la constituirea acestuia în 2019, o parte din această sumă fiind tranzacţionată de grupări de criminalitate informatică precum Lazarus Group (cu legături în Coreea de Nord)13.
DE CE A DURAT ÎNSĂ ATÂT DE MULT CA TORNADO CASH
SĂ AJUNGĂ PE LISTA ENTITĂŢILOR SANCŢIONATE OFAC?
Explicaţiile sunt simple: imposibilitatea de suprapunere a unor seturi de date existente la nivelul a numeroase organizaţii ce aveau expunere direct sau indirectă la aceste tranzacţii, precum şi implementarea inadecvată a unor procese şi proceduri interne de conformitate, prin care nu erau identificate tranzacţiile cu cripto-active.
De asemenea, una dintre cele mai importante lecţii în urma cazurilor precum Tornado Cash este nevoia de a perfecţiona profesioniştii din sfera financiar-bancară asupra particularităţilor tranzacţiilor cu cripto-active şi a implicaţiilor de securitate cibernetică. În acest fel, va fi mai eficientă implementarea unor programe de confor-mitate care să permită raportarea tranzacţiilor suspecte după indicatori adecvaţi, care să fie de utilitate autorităţilor de supraveghere şi investigaţii. În mod evident, dacă datele raportate sunt inadecvate, nici analiza acestora nu va avea rezultatul dorit pentru obiectivul stabilităţii financiare.
ORIZONTUL DE ACŢIUNE: FOCALIZARE ASUPRA TRANZACŢIEI,
NU DOAR ASUPRA CLIENTULUI
La nivel european, e important de subliniat faptul că orizontul de reglemen-tare al cripto-activelor vizează preponderent entităţile cunoscute drept „centralizate” (instituţii de plată, furnizori de servicii de schimb între monede fiduciare şi cripto-active etc.), fără a se include elemente despre DeFi (Decentralized Finance), deşi au existat iniţial discuţii privind necesitatea includerii sale în sfera de reglementare.
Problematica „DeFi” este însă foarte complexă întrucât implică, în esenţă, aproape exclusiv, coduri de programare, necesitând încă aprofundare de specialitate, tehnică şi operaţională, înainte de a face obiectul reglementării. În acest sens, a fost lansat recent anunţul privind realizarea unui studiu despre supravegherea automatizată a „DeFi’’, care se va derula pe o perioadă de 15 luni, finanţat de Comisia Europeană14.
Provocările „DeFi” se fac însă deja simţite, pentru că cele mai importante atacuri informatice în 2021 şi 2022, pentru sustragerea ilicită a cripto-activelor, au avut loc asupra acestor entităţi.
Sursa: Chainalysis
Migraţia utilizatorilor către platformele „DeFi” poate fi explicată în primul rând prin dorinţa de a evita măsurile de cunoaştere a clientelei pe care diferite entităţi reglementate le-au impus intensiv, începând cu anul 2019. În sfera „DeFi’’, cunoaşterea clientelei, aşa cum este cunoscută tradiţional de către instituţiile financiar-bancare, nu există, motiv pentru care este necesară o nouă abordare care pune accent pe caracterul transparent al tranzacţiilor, facilitat de tehnologia blockchain.
Din acest motiv, soluţiile deja dezvoltate în materie de conformitate vizează cunoaşterea tranzacţiilor cu cripto-active operate de o entitate reglementată (KYT – Know Your Transaction), spre deosebire de abordare consacrată de cunoaştere a clientelei (KYC – Know Your Customer). În sfera cripto-activelor, fiecare tranzacţie poate avea trasabilitate, datorită tehnologiei blockchain.
Sursa: Chainalysis
Platformele de analiză blockchain dezvoltate de companii precum Chainalysis, Elliptic, Ciphertrace analizează tranzacţiile şi în special riscul acestora. Pentru entităţile reglementate, care desfăşoară activităţi comerciale şi au obligaţii de raportare în baza unei abordări pe bază de risc (risk based approach), riscul unei entităţi este esenţial. Poate justifica decizia de iniţiere sau încheiere a unei relaţii comerciale, acceptarea sau respingerea unor tranzacţii sau chiar blocarea fondurilor în cazuri ce necesită investigaţii suplimentare.
Pentru ca riscul unei entităţi să fie evaluat corect, e nevoie de date complemen-tare, ce pot fi obţinute de la alte organizaţii, ce au avut interacţiune cu respectiva entitate în alte contexte. Distribuirea colectivă a datelor ce indică riscuri ridicate (utili-zarea serviciilor pe darknet, spălare a banilor, utilizarea serviciilor de anonimizare a cripto-activelor precum mixing, chain-hoping, coinjoin) minimizează riscul individual al unei entităţi ce are interes evident pentru conformare la normele ce privesc combaterea spălării banilor, finanţării terorismului sau privind respectarea regimului sancţiunilor.
Platformele de analiză a tranzacţiilor dezvoltate de companii precum Chainalysis, Elliptic, Ciphertrace oferă de foarte multe ori rezultate complementare în privinţa tranzacţiilor cu risc, foarte rare fiind cazurile când sunt aceleaşi. Motivul este că fiecare foloseşte complementar seturi de date obţinute ca urmare a propriilor algoritmi de analiză şi din surse diferite. Din acest motiv, multe autorităţi de reglementare şi in-vestigaţii folosesc ca resurse cât mai multe astfel de platforme.
Exemplu grafic – tranzacţii primite / trimise de către o entitate ce operează cripto-active
Sursa: Chainalysis
Spre exemplu, Chainalysis a achiziţionat în luna octombrie 2021 compania de securitate cibernetică Excygent15 şi apoi a integrat în platformă setul de date al acestei firme ce facilitează o mai bună identificare a entităţilor implicate în acţiuni cibernetice intrusive (ransomware, malware, phishing etc.), după indicatori precum: adresă IP sursă şi destinaţie, adresă MAC sursă şi destinaţie, indicatori Domain Name System, ţară origine / destinaţie IP, protocol / serviciu.
În acest fel, poate fi identificată atât expunerea directă sau indirectă pe care un furnizor de servicii cripto-active o are către entităţi cu risc (darknet, mixing etc.), cât şi gradul de risc privind procesarea unor tranzacţii.
Ciphertrace a fost achiziţionată de Mastercard în luna septembrie 2021 şi astfel a fost perfecţionată o soluţie software pentru identificarea expunerii necunoscute, directe sau indirecte, a instituţiilor financiar-bancare în sfera cripto-activelor16 (ex. utilizarea unor denumiri comerciale diferite de cele cunoscute, a unor conturi bancare sau portofele electronice ascunse17, precum şi identificarea clasificării eronate / frauduloase a codurilor MCC, de plată cu cardul, pentru tranzacţii cu cripto-active).
Evaluarea riscului de expunere în zona activelor virtuale (VASPs) de către bănci din SUA
Sursa: Ciphertrace
Volum tranzacţii ilicite cu cripto-active, prin diferite tipuri de entităţi cu risc ridicat
Sursa: Elliptic
Pe de altă parte, companii private din domeniul securităţii cibernetice, precum Cellebrite Digital Intelligence18 sau Maltego19, au integrat în platformele lor module de analiză a tranzacţiilor ce implică cripto-active.
Acurateţea evaluării de risc a unei entităţi implică nevoia de a realiza trasabi-litatea tranzacţiilor în mod holistic, atunci când are loc transferul cripto-activelor dintr-un blockchain în altul (cross-chain).
Această abordare holistică impune în mod obligatoriu dezvoltarea la nivel na-ţional a unor sisteme integrate de analiză a seturilor de date din sectorul financiar-bancar şi din sfera cripto-activelor, putându-se realiza în acest fel atât identificarea operativă a factorilor de risc asupra stabilităţii financiare, cât şi elaborarea reglemen-tărilor care să faciliteze inovaţia responsabilă în domeniul tehnologiei blockchain.
CE PUTEM FACE ÎMPREUNĂ, LA NIVEL NAŢIONAL?
-
Facilitarea accesului la resurse educaţionale despre tehnologia blockchain în cât mai multe organizaţii, pentru a fi înţelese mai uşor terminologiile specifice, soluţiile de conformitate şi analiză de risc în sfera cripto-activelor şi a secu-rităţii cibernetice.
-
Constituirea grupurilor de lucru la nivelul instituţiilor publice a căror activitate va fi influenţată de noile reglementări europene privind cripto-activele, pentru a fi clarificate aspecte precum: clarificarea cadrului legislativ prin care se poate realiza analiza datelor privind cripto-activele în mod operativ; perfecţionarea sistemelor curente de raportare cu indicatori specifici cripto-activelor; clari-ficarea responsabilităţilor instituţionale în situaţii de atac cibernetic ce implică cripto-active.
-
Constituirea unui grup naţional de experţi, desemnaţi de fiecare autoritate competentă ce va avea un rol important pe linia autorizării, supravegherii furnizorilor de servicii, precum şi pe linia investigării acţiunilor ilicite ce implică folosirea cripto-activelor.
-
Constituirea unor noi platforme de dialog public-privat.
Iniţiative precum National Cyber-Forensics and Training Alliance din SUA sau FinTech Alliance din Australia pot servi ca model de parteneriat public-privat. -
Consolidarea cooperării internaţionale cu organizaţii care au căpătat deja experienţă semnificativă în gestionarea riscurilor şi analiza tranzacţiilor.
CONCLUZIE
Stabilitatea financiară la nivel naţional şi european va putea fi realizată pe termen lung dacă în analiza tranzacţiilor privind cripto-activele şi identificarea riscurilor acestor tranzacţii va exista cooperare la toate nivelurile, atât la nivelul instituţiilor publice, cât şi printr-un parteneriat public-privat.
Responsabilitatea majoră va reveni bineînţeles autorităţilor de reglementare, autorizare şi supraveghere, însă va fi necesar un efort colectiv, pentru a facilita con-solidarea unei structuri instituţionale solide, integrând contribuţia pe care o pot aduce companiile private, însă păstrând responsabilitatea realizării analizelor complexe a datelor la nivelul autorităţilor competente, la nivel naţional şi european.
Certified DLT & Blockchain Manager
1 https://go.chainalysis.com/2023-crypto-crime-report.html
2 https://www.coindesk.com/tech/2022/10/13/october-becomes-worst-month-for-crypto-hacks-with-two-weeks-to-go/
3 https://www.sec.gov/news/press-release/2022-78
4 https://blog.chainalysis.com/reports/2022-global-crypto-adoption-index/#what-is-grassroots-adoption
5 https://www.europol.europa.eu/media-press/newsroom/news/darkmarket-worlds-largest-illegal-dark-web-marketplace-taken-down
6 https://data.consilium.europa.eu/doc/document/ST-13198-2022-INIT/en/pdf
7 https://data.consilium.europa.eu/doc/document/ST-13215-2022-INIT/en/pdf
8 https://www.coinfirm.com/blog/coinfirm-integrate-veriscope-shyft-network-travel-rule-compliance/
9 https://www.europol.europa.eu/publications-events/main-reports/iocta-report
10 https://www.europol.europa.eu/media-press/newsroom/news/europol-and-chainalysis-reinforce-their-cooperation-in-fight-against-cybercrime
11 https://home.treasury.gov/system/files/126/virtual_currency_guidance_brochure.pdf
12 https://www.gdf.io/wp-content/uploads/2022/10/Tornado-Cash-Roundtable-Output.pdf
13 https://home.treasury.gov/news/press-releases/jy0916
14 EU Commission Launches Proposal for Study of Automated DeFi Supervision (coindesk.com)
15 https://insidebitcoins.com/news/chainalysis-acquires-excygent-cybercrime-investigative-firm
16 https://www.businesswire.com/news/home/20191216005584/en/CipherTrace-Launches-Crypto-Risk-Intelligence-Products-for-Banks
17 https://www.coindesk.com/markets/2019/08/26/25-year-old-bitcoin-seller-faces-life-sentence-for-unlicensed-exchange/
18 https://cellebrite.com/en/cellebrite-and-chainalysis-partner-to-modernize-digital-investigations-by-unlocking-cryptocurrency-data/
19 https://www.maltego.com/transform-hub/ciphertrace/