Implikasi Keamanan Penerapan Ekstrateritorial Undang-Undang AS tentang Pasar Cryptocurrency | Manatt, Phelps & Phillips, LLP

Implikasi Keamanan Penerapan Ekstrateritorial Undang-Undang AS tentang Pasar Cryptocurrency | Manatt, Phelps & Phillips, LLP

Tindakan baru-baru ini oleh pemerintah A.S. mengingatkan kita bahwa terlibat dalam pasar mata uang kripto terus menghadirkan risiko rekanan dalam konteks dengan siapa Anda berbisnis. Apakah perusahaan membeli cryptocurrency untuk menanggapi permintaan ransomware, untuk melindungi pasar atau mengejar hasil, untuk mengubah pembayaran yang sah yang diterima dalam cryptocurrency (untuk produk online yang ditawarkannya) menjadi mata uang yang keras, atau untuk alasan sah lainnya, perusahaan membutuhkan untuk berhati-hati dengan siapa memasuki pasar crypto. Tindakan terbaru dari Departemen Kehakiman AS dan Komisi Perdagangan Berjangka Komoditas (CFTC) berfungsi sebagai pengingat bahwa pemerintah AS mengharapkan dompet mata uang kripto (dan orang lain yang terlibat dalam mata uang kripto yang memenuhi definisi FinCEN tentang bisnis layanan uang) untuk mematuhi Kerahasiaan Bank Bertindak dan melakukan prosedur anti pencucian uang / know-your-customer (AML / KYC) pada pelanggan mereka.

Bagi banyak individu, daya tarik utama cryptocurrency adalah bahwa mereka dapat sepenuhnya anonim, diatur sendiri, dan terdesentralisasi: Karena sifat dari blockchain yang mendasarinya, janjinya, tidak ada yang mengontrol buku besar yang membuktikan kepemilikan, dan mata uang itu sendiri adalah terbatas pada jumlah yang terbatas (dengan demikian, dalam perkiraan mereka, dengan nilai intrinsik emas). Dan karena itu, mata uang ini seringkali menjadi pilihan pelaku kriminal dan pelaku ancaman yang mengejar pembayaran tebusan — mata uang fiat, dengan kata lain, hanya terbatas.

Meski begitu, cryptocurrency terhubung dengan sistem keuangan. Seperti titik masuk atau perantara lain dalam sistem keuangan, pertukaran yang menangani transaksi cryptocurrency diwajibkan untuk mematuhi undang-undang AML / KYC dalam Undang-undang Kerahasiaan Bank atau padanan lokal di negara lain. Itu masuk akal. Jika partisipan tidak diketahui, anonimitas relatif dari dompet mata uang kripto dan angka 0 dan 1 menarik menyusun buku besar blockchain membuatnya menarik transaksi pencucian uang dan transaksi lain yang melibatkan kegiatan ilegal atau kriminal.

Awal bulan ini, pendiri dan eksekutif dari pertukaran derivatif cryptocurrency lepas pantai, BitMEX, telah melakukannya didakwa atas tuduhan national karena diduga melanggar undang-undang AML, dan stage itu sendiri digugat oleh CFTC dengan alasan yang sama. Dinyatakan secara singkat, tuduhannya adalah bahwa, meskipun pertukaran dengan sengaja melayani pelanggan A.S., pertukaran itu didirikan di yurisdiksi yang dianggap memberlakukan persyaratan AML dan KYC yang lebih rendah, tanpa pendaftaran yang sesuai dengan regulator derivatif A.S., CFTC. Menurut keluhan CFTC, bursa tersebut beroperasi di AS, memiliki setengah dari karyawannya di Amerika Serikat dan meminta foundation pelanggan AS yang besar — ‚Äč‚Äčtetapi bursa tersebut juga mengarahkan pelanggan untuk terhubung ke bursa melalui jaringan pribadi virtual (VPN) dalam upaya untuk menghindari blokir BitMEX dari alamat IP AS. Sebuah perusahaan dapat memblokir alamat IP AS karena berbagai alasan potensial, termasuk bahwa, perusahaan dapat berargumen, itu tidak dengan sengaja menargetkan produknya kepada pelanggan AS karena telah menciptakan rintangan teknis untuk mencegah pelanggan AS terhubung ke sistemnya melalui IP AS alamat — seperti beberapa perusahaan AS yang merutekan ulang alamat IP Eropa ke situs net khusus untuk menangani masalah GDPR. Namun, menggunakan VPN biasanya akan menutupi alamat IP.

Biaya BitMEX menjelaskan beberapa poin penting tentang persimpangan cryptocurrency, keamanan siber, dan jangkauan hukum nasional:

Pertama, jika sebuah perusahaan berusaha untuk menghindari penerapan undang-undang negara asing tertentu dengan alasan apa pun — itu bisa sesederhana menghindari sengketa merek dagang yang timbul dari merek dagang yang saling bertentangan atau beberapa alasan lain yang benar-benar sah–Itu harus mempertimbangkan untuk memblokir kedua alamat IP yang berasal dari negara itu dan koneksi dari titik akhir VPN yang dikenal, seperti yang sudah dilakukan beberapa orang. Dalam membuat keputusan itu, perusahaan harus menyeimbangkan beberapa pertimbangan yang saling bersaing: Mereka harus mempertimbangkan risiko keamanan dari penyerang jahat yang menggunakan VPN untuk mengakses sistem mereka dan menyembunyikan jejak mereka. Mereka harus mempertimbangkan, seperti yang ditunjukkan oleh kasus-kasus terhadap BitMEX, risiko hukum bahwa akses VPN oleh pelanggan menciptakan hubungan dengan erat dengan negara yang hukumnya ingin mereka hindari. Dan mereka harus mempertimbangkan version bisnis mereka dan ketidaknyamanan bagi pelanggan yang mungkin menggunakan VPN untuk tujuan yang tidak jahat, seperti menjelajah Web tanpa dilacak oleh ISP mereka.

Menghadapi pilihan itu, perusahaan dapat secara wajar memutuskan untuk tidak memblokir koneksi dari titik akhir VPN yang diketahui, tetapi perusahaan masih dapat memblokir akses untuk alamat IP yang terletak di negara tertentu. Jika demikian, perusahaan tidak boleh mendorong penggunaan VPN dari individu di negara tersebut, seperti yang dituduhkan oleh keluhan CFTC kepada BitMEX. Dan akan menanggung risiko remaining jika pemerintah dapat mengembangkan fakta (sekali lagi, seperti yang dituduhkan CFTC terhadap BitMEX) bahwa perusahaan memiliki kesadaran reguler tentang penggunaan koneksi VPN oleh individu di negara yang alamat IP-nya diblokir oleh perusahaan.

Kedua, perusahaan yang terlibat dalam transaksi mata uang kripto perlu memahami apakah transaksi semacam itu kemungkinan besar akan gagal karena alasan penipuan atau masalah keamanan siber lainnya. Untuk mengatasinya, perusahaan mungkin ingin mempertimbangkan sifat pasar cryptocurrency dan kemampuannya untuk mempercayai bahwa transaksi tersebut tidak curang. Pertimbangan pertama adalah jenis pasar: tersentralisasi atau desentralisasi. Pasar cryptocurrency bisa benar-benar terdesentralisasi, dengan tidak ada organisasi yang menyediakan fungsi perjodohan dan setiap peserta mengandalkan kejujuran orang lain bahwa transaksi akan benar-benar terjadi seperti yang dinegosiasikan. Atau terpusat: Pasar dijalankan oleh organisasi yang menyediakan layanan kustodian atau serupa untuk mencegah kegagalan transaksi. BitMEX adalah pertukaran terpusat, yang membutuhkan (menurut dakwaan) “hanya alamat email yang diverifikasi” untuk membuka akun.

Pasar terpusat dapat mencegah kegagalan transaksi tetapi mungkin juga memiliki lebih sedikit peserta karena kewajiban kepatuhan AML dan penghapusan kemungkinan partisipasi anonim oleh rekanan. Kasus baru-baru ini terhadap BitMEX memperjelas bahwa pemerintah mengharapkan penyelenggara pasar (pikirkan NYSE dan pembuat pasarnya) untuk mematuhi undang-undang AML di negara mereka. Saat pemerintah terus mendorong aplikasi ekstrateritorial hukum mereka (dalam konteks privasi dan keamanan dan sebaliknya), pasar mata uang kripto terpusat, seperti lembaga keuangan di surga pajak, perlu mempertimbangkan bagaimana menyeimbangkan undang-undang privasi lokal dengan undang-undang AML negara asing yang warga atau penduduknya berpartisipasi dalam pasar. Tentu saja, ini bertentangan dengan ide cryptocurrency yang dianut oleh banyak pendukungnya: mata uang bebas dari kendali dan intervensi pemerintah. Lebih penting lagi, seiring berlanjutnya aplikasi ekstrateritorial, di bawah perlindungan pencegahan pencucian uang, pemerintah dapat meminta bursa luar negeri menerapkan persyaratan KYC-nya untuk semua pelanggan bursa dan pada gilirannya mematuhi undang-undang keamanan siber negara tersebut, untuk mencegah (seperti yang dituduhkan dakwaan) perdagangan oleh penjahat yang berbasis di negara yang dikenai sanksi untuk mencuci dana yang diperoleh melalui aktivitas peretasan. Dengan cara ini, negara dengan keamanan siber yang ketat dan undang-undang onshoring information dapat secara efektif menangkap pasar luar negeri.

Akibatnya, individu dan entitas yang tertarik dalam perdagangan cryptocurrency dihadapkan pada pilihan untuk menggunakan pasar terpusat — oleh, seperti yang dibebankan dan diklaim oleh BitMEX, perlu terlibat dalam prosedur AML / KYC yang berarti — atau menemukan pertukaran terdesentralisasi di mana mereka bisa. berdagang mata uang kripto secara relatif anonim.

Bayangkan pasar yang terdesentralisasi mirip dengan pertemuan pertukaran raksasa: sesuatu yang memungkinkan pembeli dan penjual berkumpul, tetapi tidak terlibat dalam memfasilitasi transaksi itu sendiri. Pada pertemuan pertukaran, pembeli dapat menunjukkan kepada penjual kemampuan mereka untuk membayar dan penjual dapat menunjukkan bahwa mereka memiliki barang untuk dijual; di pasar virtual terdesentralisasi, pembeli dan penjual perlu menunjukkan hal yang sama satu sama lain. Jika tidak, tukar peserta menanggung risiko kegagalan transaksi yang signifikan–Dengan penipuan atau karena alasan lain. Mengimbangi risiko itu membutuhkan pemikiran yang cermat dan desain privasi dan masalah keamanan information oleh pencipta pasar desentralisasi atau oleh pesertanya: Bagaimana peserta bertukar informasi yang menyampaikan kepercayaan dengan cara yang melindungi privasi mereka, dan bagaimana pertukaran terstruktur untuk memastikan bahwa informasi transaksi dilindungi dan bahwa peserta dapat yakin bahwa informasi kepercayaan mereka tidak akan dicuri atau disalahgunakan? Jadi, di sini, jika sebuah perusahaan melakukan transaksi di pasar yang terdesentralisasi, perusahaan perlu melangkah dengan hati-hati untuk memastikan bahwa ia tidak akan ditipu dan untuk meminimalkan risiko kegagalan transaksi.

Pada akhirnya, penerapan hukum AML ekstrateritorial berfungsi sebagai pengingat kerumitan seputar penggunaan cryptocurrency. Ingatlah bahwa buku besar blockchain yang mendasari mata uang kripto apa pun tidak dapat diubah — dan karena tidak dapat diubah, transaksi yang melibatkan unit tertentu dari mata uang kripto apa pun dapat dilacak dengan mudah. Dengan kata lain, jika peserta transaksi diketahui, pencucian uang dengan cryptocurrency tidak berhasil.