Au cœur de la course aux normes pour la mise en œuvre de la règle de voyage du GAFI

À retenir :

• Les entreprises de Crypto cherchent à se conformer à la « règle de voyage » du Groupe d'action financière, selon laquelle toutes les transactions de Crypto supérieures à un certain montant doivent être accompagnées d'informations d'identification.
• Des visions concurrentes concernant la mise en œuvre technique ont émergé, même s’il semble y avoir un accord général sur la nécessité de normes de messagerie.
• Les questions juridiques et opérationnelles seront aussi difficiles à mettre en place que la mise en place de solutions techniques.
• Le GAFI devrait examiner une série de solutions technologiques proposées en juin 2020.

Imaginez le système de messagerie interbancaire de SWIFT mais pour la Crypto.

Les libertariens convaincus de la blockchain préféreraient probablement s'en abstenir. Mais les entreprises qui négocient des Cryptomonnaie ont été invitées à respecter la « règle de voyage », et le temps presse.

Bien qu'il soit contraire à la tradition d'intégrer une couche d'identité à une Technologies spécifiquement conçue pour être pseudonyme, les entreprises n'ont pas le choix si elles veulent respecter la loi. La forme que prendra cette technologie est un point sur lequel le secteur doit se mettre d'accord, et vite.

En juin 2019, le Groupe d’action financière (GAFI), l’organisme mondial de surveillance de la lutte contre le blanchiment d’argent (LBC), a mis à jour saconseils d'indiquer explicitement que les fournisseurs de services d'actifs virtuels, ou VASP, doivent partager les informations de l'expéditeur (initiateur) et du destinataire (bénéficiaire) dans les transactions de Cryptomonnaie au-dessus d'un certain seuil.

Alors que la première année approche à grands pas, le GAFI examinera les progrès réalisés en matière de solutions aux règles de voyage lors de sa réunion de juin 2020.réunion plénière.

Pendant ce temps, le régulateur américain FinCEN a publiésa versionLa réglementation relative aux VASP a été modifiée en mai 2019, stipulant que les entreprises disposaient de 180 jours pour se mettre en ordre. La Travel Rule a donc désormais force de loi pour les VASP basés aux États-Unis. (Les VASP sont des entreprises qui effectuent l'échange, le transfert ou la conservation d'actifs virtuels, ainsi que des activités liées à l'émission ou à la souscription d'actifs virtuels.)

Les Analyses divergent quant à la meilleure solution technique, certains privilégiant une approche basée sur la blockchain, d'autres non. Les obstacles opérationnels et juridiques auxquels les plateformes d'échange de Crypto sont confrontées pour déployer massivement un système conforme constituent tout aussi complexes.

DLT ou pas DLT ?

Le problème se pose en deux volets. Premièrement, il est nécessaire de disposer d'un moyen d'identifier les prestataires de services de paiement virtuels (VASP). Ce moyen pourrait être plus ou moins équivalent au code d'identification bancaire (BIC) utilisé par SWIFT ou à un système similaire au numéro international de compte bancaire (IBAN).

Le deuxième aspect du problème concerne la transmission des données. La solution idéale recherchée par les entreprises et les groupes industriels du secteur des Crypto serait une couche de messagerie standardisée et interopérable entre les VASP, permettant d'intégrer l'identité, l'authentification et la messagerie aux transactions blockchain.

Une vingtaine de solutions sont en cours d'élaboration pour résoudre ce problème. Certaines sont des initiatives commerciales de relativement petite envergure, tandis que d'autres impliquent des groupes d'entreprises participantes et se comportent davantage comme des protocoles ouverts.

Parmi les offres mentionnées dans le groupe de travail figurent OpenVASP de Bitcoin Suisse, TRISA de CipherTrace, Sygna Bridge, Netki, Shyft et KYC Chain. Des sociétés spécialisées dans la cryptographie, comme Elliptic, Coinfirm et Chainalysis, travaillent également sur ce sujet. Chainalysis , en effet, récemment embauchéMike Mosier, ancien membre du personnel du FinCEN, contribuera à renforcer les capacités de Travel Rule.

Il existe des propositions qui privilégient une approche plus traditionnelle et éprouvée – comme l’existence d’un registre mondial centralisé d’adresses VASP comme ancre de confiance nécessaire – et il existe ensuite des solutions adoptant une approche plus décentralisée, impliquant des blockchains ou des DLT.

« L’hypothèse selon laquelle la blockchain doit avoir la solution à quelque chose qui est un problème de blockchain n’est peut-être pas nécessairement vraie – aussi souhaitable que cela puisse être pour les gens à un niveau ambitieux, philosophiquement », a déclaré Siân Jones, associé principal chez XReg Consulting et coordinateur du groupe de travail conjoint pour les normes de messagerie InterVASP (JWG-IVMS).

Malcolm Wright, responsable du groupe de travail AML du groupe commercial Global Digital Finance, a déclaré que son point de vue (et celui de certains régulateurs) est qu'il doit y avoir plus d' un fournisseur de technologie.

« Il se pourrait donc que Coinbase choisisse le fournisseur technologique A ; Binance utilise le fournisseur B », a-t-il déclaré. « Nous nous retrouvons donc avec une matrice où les petites plateformes d'échange copient les plus grandes avec lesquelles elles souhaitent travailler. »

Se tourner vers Ethereum

La SuisseProjet OpenVASPC’est ce à quoi on peut s’attendre de la part d’un pays relativement avancé dans le respect des recommandations du GAFI, et qui les a même dépassées à certains égards.

Le projet est piloté par Bitcoin Suisse et inclut également la plateforme d'échange Lykke et les banques Crypto Seba et Sygnum. Les Suisses ont adopté une approche pragmatique, créant une solution que le secteur pourra utiliser au plus vite.

Un principe de conception clé d'OpenVASP est la décentralisation. Selon ses développeurs, cela signifie éviter les erreurs du passé, comme le point de défaillance unique, les serveurs et les répertoires centraux. Afin de parvenir à la décentralisation là où elle est jugée souhaitable, OpenVASP exploite une sélection de fonctionnalités d' Ethereum.

Par exemple, au niveau de la messagerie, OpenVASP propose d'utiliser Whisper, le système de messagerie peer-to-peer hors chaîne d'Ethereum. (Pour être clair, le livre blanc d'OpenVASP souligne que d'autres systèmes de messagerie peuvent être utilisés.)

Whisper utilise ce qu'on appelle le routage sombre pour masquer le contenu du message et les détails de l'expéditeur et du destinataire aux observateurs, un BIT comme la navigation Web anonyme. en utilisant Tor, ce qui en fait un moyen efficace de répondre aux exigences de Politique de confidentialité .

« Cela signifie que personne ne pourrait comprendre que deux VASP interagissent », a déclaré David Riegelnig, responsable de la gestion des risques chez Bitcoin Suisse. « En matière de compétitivité, personne ne devrait avoir à savoir quels VASP interagissent, tant que ces derniers respectent les exigences de leurs règles de voyage et peuvent effectuer leurs contrôles de sanctions, FORTH»

Qui est responsable ?

Les aspects d'adressage et d'authentification de la solution OpenVASP utilisent l'infrastructure à clé publique décentralisée d'Ethereum, ce qui signifie que le VASP doit déployer un contrat intelligent représentant l'identité sur la blockchain. L'utilisation de contrats intelligents sur Ethereum crée un répertoire de clés publiques blockchain pour le VASP et un format de numérotation de type IBAN : le numéro de compte d'actif virtuel (VAAN).

« L'alternative pourrait être un répertoire mondial des VASP avec leurs clés publiques, ce qui paraît très simple », a déclaré Riegelnig. « Mais il faut alors se demander : "Dans quel pays ce serveur sera-t-il hébergé ? Dans quelle juridiction ? Qui le contrôle ? ", etc.

Il y aura évidemment des gens qui s'inquiéteront du lien entre OpenVASP et Ethereum, a déclaré Riegelnig. « Ils pensent que c'est tout « Sur la blockchain. Mais la seule chose que nous utilisons réellement sur Ethereum, c'est le contrat intelligent où est stockée la clé publique », a-t-il expliqué. « Ces préoccupations ont alors tendance à s'atténuer. »

OpenVASP a indiqué être en discussion avec toutes les grandes plateformes d'échange et a cité Binance, Kraken et Bitstamp parmi les trois plateformes qui étudient sa solution. Après avoir lu les autres livres blancs, Riegelnig a indiqué qu'à l'exception peut-être de projets commerciaux très centralisés, ils comportent tous des éléments intangibles qui constituent essentiellement des idées de haut niveau.

Riegelnig a déclaré qu'OpenVASP était sur la même longueur d'onde que CipherTrace en matière d'échange de messages chiffrés de bout en bout et d'absence de couche de données blockchain persistante. Cependant, il présente des lacunes ailleurs, a-t-il ajouté.

« CipherTrace continue de s'appuyer sur les adresses blockchain comme identifiant entre les VASP. Ce n'est pas très pratique, car les adresses blockchain publiques changent constamment », a déclaré Riegelnig. « Lorsque vous avez un client et que vous souhaitez transférer des Crypto à d'autres VASP, il est beaucoup plus simple de pouvoir faire référence à ce client ou à son compte par un numéro de client, plutôt qu'à une adresse blockchain en constante évolution. »

Désaccords

CipherTraceTRISAutilise une infrastructure à clés publiques (PKI) et des autorités de certification.connaissez-votre-VASPUn certificat serait envoyé de la plateforme d'échange à l'origine de la transaction à ONE la reçoit. Ces certificats seraient vérifiés par une autorité de certification tierce de confiance.

John Jefferies, analyste financier en chef de CipherTrace, a souligné que même si une autorité de certification peut être contrôlée par une entité centrale, il existe généralement plusieurs instances distribuées et ne constitue donc pas un point de défaillance unique.

« En évitant les répertoires mondiaux, OpenVASP évite également une sécurité connue et mise tout sur la blockchain Ethereum », a déclaré Jefferies.

« Le problème avec les clés publiques, c'est qu'il existe de nombreux fournisseurs de services et qu'ils peuvent être nombreux à se faire concurrence. Ainsi, même si ce n'est pas une PKI VASP ONE et planétaire, si ONE apparaît et disparaît, les utilisateurs peuvent évoluer et adopter ces certificats », a-t-il déclaré.

En ce qui concerne l'interopérabilité, les clés Ethereum sur OpenVASP peuvent être prises en charge par PKI, a déclaré Jefferies : la PKI est extensible, les deux approches ne s'excluent donc pas mutuellement. Cela soulève un problème plus vaste.

« La Suisse a des règles strictes, mais elle n'a T beaucoup d'interopérabilité avec les États-Unis, et je pense donc que l'interopérabilité dans ce cas est un élément important », a déclaré Jefferies.

« SWIFT pour la Crypto»

Alors que les entreprises se disputent la meilleure solution technique, s’entendre sur un format standard pour gérer les charges utiles des messages simplifiera les choses, au moins à un niveau.

« Les délais pourraient être considérablement réduits et les coûts minimisés grâce à une norme ouverte, comme les normes ISO ou IEEE », a déclaré Jones, du groupe InterVASP. Il s'agirait d'un langage universel commun pour le transfert de données, indépendamment de toute législation nationale et de la solution technologique utilisée par le VASP, a-t-elle ajouté.

Le groupe InterVASP a été rejoint par une coalition d'organismes professionnels, dont Global Digital Finance, la Chambre de commerce numérique et l'International Digital Asset Exchange Association (IDAXA). L'objectif du groupe InterVASP est de mettre en place une norme prête à être adoptée d'ici le 8 mai, lors de la Blockchain Week de New York.

La standardisation du paquet de messages sous-jacent est une bonne voie à Réseaux sociaux, a déclaré Wright de Global Digital Finance. Dans ce genre de situations, une simple date de naissance, par exemple, pourrait poser problème, a ajouté Wright. Les dates de naissance peuvent être au format britannique, américain ou au format réel long.

« Si chaque fournisseur choisissait son propre format, le coût de son déchiffrement à la réception et de sa transposition exacte serait considérable », a-t-il déclaré. « Ainsi, le fait de proposer même les éléments les plus simples dans un format compréhensible contribue grandement à la standardisation du secteur. »

Wright a reconnu la stigmatisation entourant l'idée d'un « SWIFT pour les Crypto», qui suscite immédiatement des réactions. « Si vous avez le même ordre et le même nom de champs, et que vous savez gérer la translittération, FORTH, le tout approuvé par le secteur, alors cet aspect de SWIFT est, par essence, une solution raisonnable », a-t-il déclaré.

Appelez les avocats

L'échange de données personnelles entre VASP dans différentes parties du monde pourrait nécessiter des cadres juridiques détaillés afin de ne pas enfreindre des réglementations telles que le RGPD, a déclaré le PDG de Coinfirm, Pawel Kuskowski.

Pour cette raison, Coinfirm, qui a également formé un groupe de travail et prétend avoir le soutien du gouvernement pour cette entreprise, a fait appel à l'avocat spécialisé en Crypto Joey Garcia, basé à Gibraltar et associé chez ISOLAS LLP, et à Dean Armstrong QC, basé à Londres et chef de cabinet au sein du 36 Group.

Coinfirm utilise une blockchain à haut débit et à autorisations pour l'écriture de l'empreinte d'une transaction conforme, basée sur la technologie DLT Hyperledger Fabric de niveau entreprise. Cette dernière utilise une architecture de canal privé, quia été comparéaux canaux de messages privés sur Slack.

« Il y a deux aspects à prendre en compte lorsqu'on parle de la règle sur les déplacements », a déclaré Kuskowski. « ONEun est d'ordre technologique et l'autre réglementaire. Toute personne intervenant sur ce sujet doit absolument faire appel à un juriste. »

Jefferies de CipherTrace a déclaré que la résolution du défi technique n'est pas plus grande que l'obstacle opérationnel, ou le « problème du lever du soleil », consistant à activer le système pour 500 VASP à la fois.

À mesure que les pays du G20 commencent à mettre progressivement en œuvre ce système, un arbitrage juridictionnel accru semble probable, a-t-il ajouté.

« Les gens vont se tourner vers les pays où la mise en œuvre ou l'application des lois est faible », a déclaré Jefferies. « Il sera intéressant de voir comment ce scénario évolue. »