Joris DeeneCrypto-ondernemingen hebben in het verleden handig gebruikgemaakt van de gefragmenteerde Europese regelgeving om anti-witwascontroles (AML/CFT) te omzeilen. Een recent en scherp rapport van de European Banking Authority (EBA) legt deze ontwijkingsstrategieën bloot. De centrale boodschap: de nieuwe Europese verordening betreffende cryptoactivamarkten (MiCAR) is een krachtig wapen, maar het zal enkel effectief zijn als alle nationale toezichthouders in de EU op één lijn staan en de regels uniform handhaven.
De kern van het probleem: een gefragmenteerd toezicht
Voor de introductie van MiCAR was de regulering van crypto-activa een lappendeken van nationale regels. Sommige lidstaten hadden strikte licentievereisten, terwijl andere een lossere registratieplicht hanteerden. Deze versnippering was een open uitnodiging voor malafide of nalatige partijen om de mazen in het net te zoeken.
Het EBA-rapport identificeert zes kerntactieken die crypto-bedrijven hebben toegepast om AML/CFT-toezicht te ontwijken. Deze strategieën blijven een significant risico, zelfs onder het nieuwe MiCAR-regime, als het toezicht niet geharmoniseerd wordt.
1. Opereren zonder vergunning
De meest directe strategie was het simpelweg aanbieden van diensten in een EU-lidstaat zonder de vereiste lokale registratie of licentie. Dit gebeurde vaak vanuit derde landen (buiten de EU) of zelfs vanuit een andere EU-lidstaat waar men wél een vergunning had, maar zonder de juiste ‘passporting’ rechten (indien al van toepassing). Toezichthouders merkten op dat waarschuwingen en boetes vaak weinig effect hadden, en dat deze entiteiten hun activiteiten pas beëindigden na een expliciet bevel tot stopzetting.
2. ‘Forum shopping’: op zoek naar de zwakste toezichthouder
Entiteiten die wél een vergunning zochten, deden aan ‘forum shopping’. Ze dienden aanvragen in bij meerdere EU-lidstaten tegelijk, in de hoop een jurisdictie te vinden met een (vermeend) soepeler toelatingsbeleid of minder streng toezicht. Zodra een toezichthouder kritische vragen begon te stellen, bijvoorbeeld over de AML-controles, trok het bedrijf zijn aanvraag in en probeerde het opnieuw in een andere lidstaat.
3. Misbruik van ‘reverse solicitation’
Een veelgebruikte juridische fictie is het beroep op ‘reverse solicitation’ (omgekeerde uitlokking). De crypto-aanbieder beweert dan dat de EU-klant zelf en op eigen initiatief contact heeft gezocht, waardoor de aanbieder (meestal gevestigd in een derde land) niet onder de EU-regels zou vallen. De EBA stelde echter vast dat bedrijven de grenzen hiervan opzochten door bijvoorbeeld websites in de taal van specifieke EU-lidstaten aan te bieden of andere marketingtechnieken te gebruiken die duidelijk neerkwamen op actieve werving.
4. Zwakke interne AML/CFT-controles en outsourcing
Zelfs bij vergunde entiteiten stelde de EBA ernstige en terugkerende tekortkomingen vast in de interne AML/CFT-procedures. Een opvallende trend is het outsourcen van cruciale compliance-taken (zoals klantenonderzoek en transactiemonitoring) aan entiteiten binnen dezelfde groep, maar dan gevestigd buiten de EU. Deze ‘group policies’ waren vaak niet aangepast aan de specifieke EU-vereisten, en de lokale EU-vestiging had in de praktijk weinig tot geen controle over deze uitbestede processen.
Daarnaast was er vaak sprake van:
- Een hoog verloop en instabiliteit bij de AML/CFT Compliance Officers.
- Het aanstellen van parttime compliance officers die hun tijd over meerdere instellingen moesten verdelen.
- Het negeren van risico’s verbonden aan DeFi (Decentralised Finance), waarbij de crypto-aanbieder fungeerde als een ‘on-ramp’ en ‘off-ramp’ zonder de risico’s adequaat in te schatten.
5. Onduidelijke eigendomsstructuren (UBO’s)
De EBA waarschuwt voor de wijdverbreide praktijk van ondoorzichtige en overdreven complexe eigendomsstructuren. Door het gebruik van meerdere lagen van vennootschappen, vaak offshore, was het voor toezichthouders extreem moeilijk om de uiteindelijke begunstigden (UBO’s) te identificeren. In één geval gaf dezelfde entiteit tegenstrijdige informatie over haar eigenaars en structuur aan toezichthouders in verschillende EU-landen.
6. Complexe groepsstructuren en ‘linked entities’
Gekoppeld aan het vorige punt, gebruikten bedrijven gelieerde entiteiten om onder de radar te blijven. Een zorgwekkend voorbeeld : een VASP (Virtual Asset Service Provider) kreeg geen vergunning in Lidstaat A en kreeg het bevel zijn activiteiten te staken. Vervolgens kocht deze VASP aandelen in een andere, wél vergunde VASP in datzelfde land (net onder de drempel voor een ‘gekwalificeerde deelneming’) en bracht zijn klanten over naar die entiteit. Zo kon men, via een omweg, toch de markt blijven bedienen en toezicht ontlopen.
Het nieuwe wapenarsenaal: hoe MiCAR en AMLR de mazen dichten
Het nieuwe Europese kader, met MICAR en het versterkte AML/CFT-pakket (inclusief de AML-verordening), is specifiek ontworpen om deze problemen aan te pakken.
- Eén Europees Paspoort: MiCAR vervangt de 27 nationale regimes door één geharmoniseerde vergunningsprocedure. Een Crypto-Asset Service Provider (CASP) vraagt een vergunning aan in één lidstaat en mag, na goedkeuring, zijn diensten in de hele EU aanbieden (via ‘passporting’). Dit maakt ‘forum shopping’ in theorie onmogelijk.
- Strikte ‘reverse solicitation’ regels: MiCAR codificeert een zeer strikte interpretatie. Enkel diensten die exclusief op initiatief van de klant worden verleend, vallen onder de uitzondering. Elke vorm van marketing, direct of indirect (bv. via influencers of affiliates), maakt de uitzondering ongeldig.
- Hogere transparantie- en governance-eisen: MiCAR en de AML-regels leggen strenge ‘deskundigheid en betrouwbaarheid’-eisen op aan bestuurders en aandeelhouders (UBO’s). Complexe en ondoorzichtige structuren die bedoeld zijn om controle te verhullen, moeten actief worden onderzocht en kunnen een vergunning in de weg staan.
Een cruciale waarschuwing: wetgeving is niet genoeg
Het rapport van de EBA is meer dan een historische analyse; het is een duidelijke waarschuwing voor de toekomst. De EBA benadrukt dat dezelfde risico’s en ontwijkingstactieken zullen blijven bestaan als de toepassing en handhaving van MiCAR niet in alle lidstaten consistent gebeurt.
Een significant risico is de omgang met ‘legacy issues’. De EBA citeert een zorgwekkend voorbeeld waarbij een VASP, die onder het oude nationale recht al was geclassificeerd als ‘hoog risico’ en waar handhavingsacties liepen, tóch kort na de inwerkingtreding van MiCAR een vergunning kreeg.
Als toezichthouders in de ene lidstaat strenger zijn dan in de andere, verplaatst het ‘forum shopping’ zich simpelweg van “waar vraag ik mijn registratie aan?” naar “waar vraag ik mijn MiCAR-paspoort aan?”.
De EBA concludeert dat effectieve en constante informatie-uitwisseling tussen alle nationale toezichthouders (zowel binnen de EU als daarbuiten) essentieel is. Alleen door een geharmoniseerd en gecoördineerd toezicht kan de integriteit van de Europese cryptomarkt worden gewaarborgd.
Conclusie
Het EBA-rapport legt de vinger op de zere plek. Het illustreert hoe de crypto-industrie de verdeeldheid van de EU heeft uitgebuit. MiCAR biedt het juridische kader om dit te stoppen, maar het succes ervan staat of valt met de bereidheid van 27 nationale toezichthouders om als één blok op te treden. Voor crypto-ondernemingen betekent dit dat de tijd van ‘regulatory arbitrage’ voorbij is; een robuust en waterdicht AML/CFT-beleid, dat aantoonbaar voldoet aan de strengste EU-normen, is niet langer optioneel.
Dutch 
English