La récente proposition de l’Union européenne exigeant Les échanges centralisés de crypto-monnaie et les fournisseurs de portefeuilles de garde pour collecter et vérifier les informations personnelles sur les détenteurs de portefeuilles de garde montrent les dangers de recycler les règles de la finance traditionnelle (TradFi) et de les appliquer à la crypto sans apprécier les différences conceptuelles. Nous pouvons nous attendre à en voir davantage alors que les pays cherchent à mettre en œuvre le Groupe d’action financière (GAFI) règle de voyageinitialement conçu pour les transferts électroniques, jusqu’aux transferts de crypto-actifs.

Le lien (manquant) entre garde de soi, contrôle et identité

L’objectif proposé par l’UE règles est de « s’assurer que les actifs cryptographiques peuvent être tracés de la même manière que les transferts d’argent traditionnels ». Cela suppose que chaque portefeuille en libre garde peut être lié à l’identité vérifiable de quelqu’un et que cette personne contrôle nécessairement le portefeuille. Cette hypothèse est fausse.

Lié: Les autorités cherchent à combler le fossé des portefeuilles non hébergés

Chez TradFi, un compte bancaire est lié à l’identité vérifiée de son propriétaire, lui donnant le contrôle de ce compte. Par exemple, partager vos coordonnées bancaires en ligne avec votre partenaire ne fait pas de lui un titulaire de compte. Même si votre partenaire modifie vos informations de connexion, vous pouvez reprendre le contrôle en prouvant votre identité à la banque et en lui demandant de réinitialiser les informations. Votre identité vous donne un contrôle ultime qui ne peut pas être définitivement perdu ou volé. Bien sûr, en échange des protections de garde de la banque, vous perdez la souveraineté sur vos actifs.

L’auto-garde des actifs cryptographiques est différente. Le contrôle (c’est-à-dire la capacité d’effectuer des transactions) sur le portefeuille d’auto-garde est entre les mains de celui qui détient les clés privées de ce portefeuille. Le contrôle n’est lié à l’identité de personne et il n’y a personne pour prouver votre identité. Tout ce dont vous avez besoin est de télécharger un logiciel et de stocker en toute sécurité vos clés privées. En échange de cette responsabilité, vous conservez la propriété souveraine de vous-même.

Application des règles proposées

Voyons comment un fournisseur de portefeuilles de garde se conformerait à la proposition de l’UE. Supposons qu’Alice veuille envoyer 0,3 Ether (ETH) de son compte de portefeuille séquestre au portefeuille d’auto-garde de Bob pour payer les services de conseil de Bob. Avant que le transfert n’ait lieu, le fournisseur d’entiercement de portefeuille devrait 1) collecter le nom de Bob, l’adresse du portefeuille, l’adresse résidentielle, le numéro d’identification personnel, ainsi que la date et le lieu de naissance ; et 2) vérifier l’exactitude de ces détails. De manière générale, les mêmes détails seraient requis pour un transfert du portefeuille de Bob vers le compte du portefeuille de garde d’Alice. Alice devra probablement demander à Bob de lui envoyer des données, et Alice les fournira ensuite au fournisseur de portefeuille d’entiercement, comme récemment. conseillé par un fournisseur de portefeuille conservateur dans un contexte similaire.

Les règles s’appliqueraient même aux plus petites transactions : il n’y a pas de seuil minimum. Les fournisseurs de portefeuilles de garde peuvent également avoir besoin de retenir les transferts entrants (ce qui crée des risques de garde plus élevés) et de les renvoyer au portefeuille de garde si la vérification échoue.

Lié:La crypto au Canada : où en sommes-nous aujourd’hui et où allons-nous ?

L’identité n’est pas synonyme de contrôle, ce qui rend la conformité impossible

Alors que la collecte des données et la conservation éventuelle des virements entrants sont lourdes d’un point de vue opérationnel, les risques de l’obligation de vérification sont potentiellement impossibles à couvrir. Chez TradFi, le point de vérification d’identité est de s’assurer que la personne qui contrôle un compte bancaire et prétend le faire est la même personne. Mais comment le fournisseur du custodial wallet pourrait-il remplir l’obligation de vérification si le contrôle du custodial wallet de Bob ne dépend pas de son identité ?

Même si le fournisseur de garde du portefeuille a pu confirmer que Bob est la personne qu’il prétend être, cela ne signifie pas qu’il contrôle le portefeuille. Il pourrait être contrôlé par une organisation autonome décentralisée qui redistribue les paiements à des membres comme Bob ou à un groupe criminel, Bob étant simplement leur mule financière. Il n’y a pas de tiers à qui prouver l’identité de Bob pour effectuer des transactions : celui qui contrôle les clés privées est la « banque ».

Exposer les utilisateurs légitimes à des risques de sécurité disproportionnés

Supposons que les fournisseurs de portefeuilles de garde parviennent à se conformer aux règles proposées, ou à une version moins stricte de celles-ci qui ne nécessite pas de vérification. Les fournisseurs de portefeuilles de garde devraient maintenir de grandes bases de données d’utilisateurs de portefeuilles de garde, exposant les utilisateurs au risque de violation de données. Pour les utilisateurs légitimes, c’est-à-dire ceux qui déclarent leur véritable identité et contrôlent également le portefeuille d’auto-conservation associé, ce risque a des conséquences bien plus importantes que la collecte de données TradFi (par exemple, règle de voyage du GAFI pour les virements électroniques) .

Dans TradFi, si un criminel compromet le compte bancaire ou la carte de quelqu’un, il n’ira pas très loin car la banque peut bloquer le compte. Par définition, les portefeuilles auto-dépositaires n’ont pas cette fonctionnalité. Des dizaines de millions d’utilisateurs dans le monde voient la propriété souveraine, sécurisée par la cryptographie et l’autocontrôle des utilisateurs, comme un avantage, y compris ceux qui sont exclus du système bancaire. Cependant, l’auto-souveraineté présuppose la vie privée.

Une fois que la confidentialité est compromise, par exemple en piratant la base de données des utilisateurs du portefeuille de garde du fournisseur de portefeuille de garde, les utilisateurs sont exposés à un niveau de risque injuste par rapport à TradFi. Connaître le nom, l’adresse, la date de naissance et le numéro d’identification d’une personne, ainsi que son activité sur la chaîne, permettrait aux criminels de lancement attaques de phishing hautement ciblées, ciblant les appareils des utilisateurs pour récupérer les clés privées ou les faire chanter, y compris les menaces de sécurité physique. Une fois les clés privées compromises, l’utilisateur perd irréversiblement le contrôle de son portefeuille.

Lié: La perte de la vie privée : pourquoi nous devons nous battre pour un avenir décentralisé

Étant donné que les criminels trouveront des moyens de contourner les règles, par exemple en exécutant leurs propres nœuds pour interagir avec la blockchain sans avoir à s’appuyer sur des fournisseurs de portefeuilles de garde ou des logiciels de portefeuille de garde, seuls les utilisateurs légitimes devront supporter ces risques de sécurité.

Incohérences avec le propre cadre politique de l’UE

Outre la sécurité, la proposition soulève des problèmes de confidentialité plus larges. L’obligation d’informer irait à l’encontre des principes du Règlement général sur la protection des données (RGPD), comme la minimisation des données, qui exige que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité de leur collecte. Si l’on ignore un instant l’argument selon lequel la collecte de données est peu utile, compte tenu du chaînon manquant entre le contrôle de l’auto-garde et l’identité, il est difficile de voir, même selon les normes TradFi, en quoi l’adresse résidentielle, la date de naissance et le numéro d’identification de quelqu’un sont pertinents. ou nécessaire. pour effectuer un transfert. Alors que les banques stockent régulièrement de telles données sur leurs titulaires de compte, vous, en tant que titulaire du compte, n’avez pas besoin de demander (ou de connaître !) ces détails lorsque vous envoyez de l’argent ou payez pour un service.

On ne sait pas non plus combien de temps les fournisseurs de portefeuilles de garde auraient besoin pour stocker les données ; en vertu du RGPD, les données personnelles ne doivent être conservées que le temps nécessaire pour atteindre l’objectif de la collecte. On ne sait pas non plus comment les droits des utilisateurs individuels en vertu du RGPD, tels que le « droit à l’oubli » et le « droit à la rectification », peuvent être respectés si leurs données personnelles sont liées à leur historique en chaîne, qui ne peut pas être modifié. .

Lié: Les cookies du navigateur ne constituent pas un consentement : la nouvelle voie vers la confidentialité après l’échec de la réglementation européenne sur les données

L’absence d’une évaluation basée sur les risques ou d’un seuil minimum (par opposition au seuil de 1 000 € pour les transferts fiduciaires) n’est pas non plus conforme aux principes politiques de l’UE. La proposition semble traiter tous les transferts de crypto-monnaie avec suspicion simplement parce qu’ils impliquent des actifs cryptographiques.

Il est maintenant temps de dialoguer avec les décideurs politiques

Confrontés à la perspective de développer des processus de conformité coûteux qui ne sont pas susceptibles de mettre en œuvre efficacement les règles, et risquant des sanctions en cas de non-conformité et de violations potentielles de données, les fournisseurs de portefeuilles de garde basés dans l’UE peuvent décider de restreindre entièrement les transferts vers et depuis les portefeuilles auto-dépositaires. . . Ils peuvent également commencer à fournir des services aux utilisateurs de l’UE en dehors de l’UE. Cela envoie de mauvais signaux à l’industrie de la cryptographie et risque de décourager les talents et les capitaux technologiques de l’UE, à l’instar de la récente sortie de certains opérateurs de cryptographie britanniques.

Lié: Consolidation et centralisation : comment la nouvelle réglementation AML européenne affectera les crypto-monnaies

Plus d’utilisateurs peuvent également passer aux transactions peer-to-peer et aux joueurs décentralisés pour éviter les règles onéreuses. Bien que cela puisse être bénéfique pour certains utilisateurs, l’UE devrait favoriser une interconnectivité transparente entre les acteurs centralisés et décentralisés et promouvoir la liberté des utilisateurs de choisir la manière dont ils souhaitent effectuer leurs transactions.

La proposition est maintenant passée aux négociations entre les organes législatifs de l’UE à partir du 28 avril, le texte final devant être prêt d’ici la fin juin. Si la règle est approuvée dans sa forme actuelle, il sera toujours possible de la revoir dans les 12 mois suivant son entrée en vigueur. Cependant, nous ne pouvons pas nous fier à cela : il est maintenant temps pour l’industrie européenne de la cryptographie de se coordonner et de s’engager avec les décideurs politiques. Au lieu d’imposer les règles de TradFi à une technologie en développement, nous devons promouvoir des politiques axées sur les résultats qui permettent l’émergence de nouvelles solutions de conformité qui respectent le fonctionnement des crypto-monnaies.

Cet article ne contient pas de conseils ou de recommandations d’investissement. Chaque mouvement d’investissement et de trading comporte des risques, et les lecteurs doivent faire leurs propres recherches lorsqu’ils prennent une décision.

Les points de vue, pensées et opinions exprimés ici sont ceux de l’auteur seul et ne reflètent pas ou ne représentent pas nécessairement les points de vue et opinions de Cointelegraph.