W poprzednim odcinku tej serii nakreślono cztery szerokie kategorie, które mogą prowadzić do blokady aktywnego konta: monitorowanie wzorców transakcyjnych, skrining adresów on-chain, zgłoszenia stron trzecich oraz wyzwalacze ochronne po stronie użytkownika. Pierwsza kategoria to ta, o którą użytkownicy pytają najczęściej, zwykle w którejś z wersji pytania „nic nie zrobiłem, dlaczego moje konto zostało oznaczone?”. Ten przewodnik odpowiada na to pytanie na poziomie, na którym branża faktycznie działa. Opisuje kategorie sygnałów, które regulowane instytucje finansowe są zobowiązane obserwować. Nie opisuje wewnętrznych reguł żadnej konkretnej platformy, w tym Bitbase.

„Podejrzane” to nie etykieta, którą jakakolwiek giełda wymyśla samodzielnie. To kategoria definiowana przez międzynarodowe ramy przeciwdziałania praniu pieniędzy i nieustannie odświeżana poprzez publiczne raporty.

Historia instytucjonalna przebiega wzdłuż trzech kamieni milowych. Amerykańska ustawa o tajemnicy bankowej (Bank Secrecy Act) z 1970 roku wprowadziła raporty o transakcjach gotówkowych („CTR”) — pierwszy federalny wymóg zgłaszania transakcji gotówkowych powyżej progu i pierwsze oficjalne uznanie, że zachowanie zaprojektowane tak, by obejść ten próg, samo w sobie jest sygnałem. Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy („FATF”), powołana w Paryżu w 1989 roku przez kraje G7, od tego czasu publikuje cykliczne Typologies Reports — oparte na konkretnych przypadkach katalogi tego, jak pranie pieniędzy, finansowanie terroryzmu i powiązane nadużycia rzeczywiście przejawiają się w systemach finansowych. Po 2013 roku metodologia analityki blockchain pojawiła się jako trzecia warstwa, stosując rozpoznawanie wzorców na poziomie adresów do danych z publicznego rejestru.

Większość regulowanych instytucji finansowych — banki, domy maklerskie, firmy zajmujące się przekazami pieniężnymi, giełdy kryptowalut — zbiega się ku bardzo zbliżonym wymiarom monitorowania. Powód jest strukturalny: odpowiadają one przed tym samym zbiorem standardów międzynarodowych. FATF Recommendation 10 (należyta staranność wobec klienta), Recommendation 11 (prowadzenie dokumentacji) oraz Recommendation 20 (zgłaszanie podejrzanych transakcji) tworzą wspólny kręgosłup.

Uwaga o terminologii, zanim przejdziemy do kategorii. Praktycy AML nazywają sygnały monitorowania „red flag indicators” („wskaźnikami ostrzegawczymi”) — obserwowalnymi wzorcami, które zasługują na dalszą uwagę, a nie ustaleniami o popełnieniu przestępstwa. W tym przewodniku słowo „sygnał” jest używane właśnie w tym znaczeniu.

Strukturyzacja to podręcznikowy sygnał AML. Koncepcja wyprzedza kryptowaluty o dziesięciolecia. W swojej pierwotnej formie z czasów BSA strukturyzacja oznaczała dzielenie jednego dużego depozytu gotówkowego na kilka mniejszych, każdy tuż poniżej progu uruchamiającego złożenie CTR, w celu obejścia obowiązku raportowania. Prawo USA traktuje strukturyzację jako odrębne przestępstwo od 1986 roku, kiedy to 31 U.S.C. § 5324 — przepis ustawy o tajemnicy bankowej — uczynił ją takim.

Powodem, dla którego ten wzorzec jest tak uporczywie oznaczany, jest to, że można go zaobserwować bez jakiegokolwiek dostępu do zamiaru klienta. System monitorowania nie musi wiedzieć, dlaczego transakcje mają taką a nie inną wielkość. Musi jedynie zaobserwować, że konsekwentnie plasują się tuż poniżej progów raportowania, że pojawiają się w nietypowych skupiskach lub że rozkładają się pomiędzy kontami w sposób, który statystycznie bardziej przypomina uchylającą się strukturyzację niż normalną działalność handlową.

W krypto strukturyzacja ma warianty. Dzielenie dużego przelewu na kilka mniejszych przelewów do tego samego kontrahenta lub od niego. Routowanie zbliżonych kwot przez kilka kont pod różnymi nazwiskami. Transakcje testowe na małe kwoty, po których natychmiast następuje duża, w sekwencji odwzorowującej znane skrypty prania pieniędzy. FATF w Updated Guidance for a Risk-Based Approach to Virtual Assets and VASPs (czerwiec 2019 r., zmienione w październiku 2021 r.) wymienia te wzorce w swoim katalogu typologii.

Dwie cechy strukturyzacji jako sygnału. Po pierwsze, monitorowany jest wzorzec, a nie jakakolwiek pojedyncza transakcja. Pojedyncza transakcja poniżej dowolnego progu jest niczym niezwykłym. Rejestruje się kształt sekwencji. Po drugie, powierzchowny wygląd strukturyzacji sam w sobie nie implikuje bezprawnego zamiaru — wiele zgodnych z prawem zachowań (regularne płatności na rzecz dostawców w standaryzowanych kwotach, cykle płacowe, rutynowe dzielenie subskrypcji) może wytwarzać powierzchowne podobieństwa. Właśnie dlatego sygnał uruchamia przegląd, a nie wniosek.

Każde konto w miarę użytkowania ustanawia behawioralną linię bazową. Jej wymiary są znajome każdemu, kto czytał wyciąg bankowy: typowe źródła środków, typowi kontrahenci, typowe kategorie aktywów, typowe wielkości transakcji, typowe pory. Sama linia bazowa nie jest ujawniana posiadaczowi konta i dla celów monitorowania nie musi być.

Gdy aktywność odbiega od tej linii bazowej w sposób przekraczający to, co tłumaczyłaby normalna zmienność, konto trafia do przeglądu. Odchylenia, które często przyciągają uwagę, układają się w kilka wzorców: wzrost wielkości transakcji o rząd wielkości; przesunięcie źródeł środków z utrwalonych kanałów na nowe; nowi kontrahenci skoncentrowani w regionach podwyższonego ryzyka. Rejestrowane są również szybkie zmiany w składzie aktywów — na przykład konto, które długo handlowało aktywami o wysokiej kapitalizacji, nagle przewija serię tokenów o niskiej płynności. Tak samo jest z transakcjami skupionymi w nietypowych porach względem utrwalonego rytmu konta.

Linia bazowa nie ma w swojej konstrukcji charakteru karnego. Jej funkcja jest odwrotna: dostarcza standardu porównawczego, który pozwala systemowi traktować normalną aktywność konta jako normalną, zamiast domyślnie uznawać każdą transakcję za wartą sprawdzenia. Kosztem tego podejścia jest to, że każde dostatecznie gwałtowne odchylenie od linii bazowej, nawet mające niewinne wyjaśnienie, rejestruje się jako sygnał.

W praktyce wydarzenia życiowe ze zgodnymi z prawem wyjaśnieniami mogą wywoływać odchylenia od linii bazowej. Odziedziczenie środków, sprzedaż firmy, otrzymanie dużej premii, rozpoczęcie nowej strategii inwestycyjnej lub po prostu wznowienie aktywności po długim okresie uśpienia — wszystko to może pojawić się jako odchylenia. System monitorowania nie ma dostępu do leżącej u podstaw przyczyny. Rejestruje kształt zmiany. Weryfikacja, dostarczona przez użytkownika w toku przeglądu, jest mechanizmem, dzięki któremu wyjaśnienie trafia do rekordu.

Ujmując rzecz: odchylenie od linii bazowej nie jest werdyktem, że coś jest nie tak. Jest odnotowaniem przez system, że obraz się zmienił i że człowiek przeprowadzający przegląd powinien się temu przyjrzeć.

FATF i jej organy regionalne publikują Typologies Reports nieprzerwanie od lat 90. To samo robią krajowe jednostki analityki finansowej — FinCEN w Stanach Zjednoczonych, FCA w Zjednoczonym Królestwie, AUSTRAC w Australii i inne. Raporty te są opartymi na konkretnych przypadkach katalogami tego, jak określone wzorce nadużyć przejawiały się w zaobserwowanych przypadkach: przejęcie konta w celu oszustwa, łańcuchy nakładania warstw w operacjach prania pieniędzy, schematy manipulacji rynkiem, przepływy płatności za oprogramowanie wymuszające okup, metody obchodzenia sankcji.

Systemy monitorowania wykorzystują te typologie jako szablony odniesienia. Gdy aktywność konta wykazuje wystarczające podobieństwo do znanej typologii — w zakresie wzorców transakcyjnych, profili kontrahentów, czasu i innych cech — ocena podobieństwa przekracza próg i konto trafia do przeglądu. Tym właśnie jest „dopasowanie do typologii”.

Dwie cechy mają znaczenie.

Po pierwsze, dopasowanie ma charakter probabilistyczny. System monitorowania nie ogłasza w jakimkolwiek binarnym sensie, że konto „pasuje” do schematu prania pieniędzy. Wydaje ocenę podobieństwa, która może być wysoka, umiarkowana lub niska. Dopasowania o niskiej pewności nadal wymagają przeglądu, ponieważ koszt przeoczenia rzeczywistego przypadku jest większy niż koszt oczyszczenia fałszywego trafienia. Ta asymetria kosztów jest powodem, dla którego monitorowanie zaprojektowano tak, by na etapie sygnału było nadmiernie obejmujące.

Po drugie, typologie się aktualizują. Pojawiają się nowe wzorce nadużyć; stare ewoluują; katalog jest nieustannie korygowany. Zachowanie konta, które pół roku temu nie dawało dopasowania, dziś może je dawać — nie dlatego, że konto się zmieniło, lecz dlatego, że biblioteka typologii rozszerzyła się, by objąć nowo zidentyfikowany wzorzec. To jeden z powodów, dla których monitorowanie opisuje się jako ciągłe, a nie jako sprawdzenie w jakimkolwiek pojedynczym punkcie czasu.

Czym dopasowanie do typologii nie jest — to ustaleniem, że konto angażuje się w działalność, którą opisuje typologia. Jest obserwacją, że powierzchnia zachowania, w zakresie cech, które system jest w stanie zmierzyć, przypomina znany wzorzec na tyle, by uzasadnić bliższe spojrzenie człowieka.

Pierwsze trzy typy sygnałów odczytują zachowanie użytkownika. Ten czwarty typ odczytuje coś innego: historię pochodzenia środków użytkownika.

Publiczne ramy analityki blockchain — opracowane przez firmy takie jak Chainalysis, Elliptic i TRM Labs od około 2013 roku — utrzymują obszerne biblioteki etykiet ryzyka na poziomie adresów, wywiedzione z publicznych danych on-chain, publicznych dochodzeń i ujawnień organów ścigania. Powszechne kategorie obejmują: adresy powiązane z podmiotami objętymi sankcjami OFAC; adresy obsługiwane przez znane miksery; adresy powiązane z publicznie przypisanymi exploitami, incydentami kradzieży lub płatnościami za oprogramowanie wymuszające okup; adresy powiązane z rynkami w darknecie; adresy zaangażowane w potwierdzone operacje oszukańcze.

Gdy środki trafiają na konto giełdowe z adresu noszącego jedną z tych etykiet, konto odbierające może trafić do przeglądu niezależnie od własnego postępowania użytkownika. Kierunek wychodzący działa tak samo: adres wypłaty pasujący do etykiety sankcji lub kradzieży uruchamia porównywalną uwagę. Unijne rozporządzenie w sprawie transferów środków (Transfer of Funds Regulation), które weszło w życie wraz z MiCA, formalizuje równoległy obowiązek VASPs do wymiany informacji o zleceniodawcy i beneficjencie w przypadku transferów powyżej określonych progów.

Praktyczna implikacja dla użytkownika jest taka, że pochodzenie środków, a nie tylko ich przeznaczenie, może wpływać na status konta. Użytkownik, który otrzymał przelew, którego historia pochodzenia była mu nieznana, może odkryć, że konto odbierające wymaga weryfikacji. To strukturalna cecha tego, jak przejrzystość on-chain wchodzi w interakcję z obowiązkami AML: łańcuch jest publiczny, etykiety są publiczną metodologią, a regulowane instytucje są zobowiązane czytać jedno i drugie.

Podobnie jak w przypadku poprzednich trzech typów sygnałów, dopasowanie do etykiety adresu jest wyzwalaczem przeglądu, a nie ustaleniem. Wiele powiązań z etykietami zostaje rozwiązanych, gdy użytkownik dostarczy dokumentację źródła środków.

To ujęcie przewija się przez każdą poprzednią sekcję.

W każdej z czterech kategorii działanie systemu jest takie samo: sygnał uruchamia obowiązek przeglądu. Przegląd wykonują ludzie, zwykle przy współpracy użytkownika. Użytkownik jest proszony o dostarczenie kontekstu — wyjaśnień, dokumentacji, dowodów potwierdzających. Sygnał, wyjaśnienie użytkownika oraz obiektywne fakty dostępne osobie przeprowadzającej przegląd wspólnie określają, co stanie się dalej.

Sygnał sam w sobie nie jest ustaleniem, że coś jest nie tak. Jest flagą, która zasługuje na uwagę. Większość sygnałów po przeglądzie zostaje oczyszczona. Mniejsza część prowadzi do dalszych kroków, takich jak dodatkowa weryfikacja lub ograniczenia konta. W przypadkach związanych z podejrzeniem poważnego nadużycia eskalacja do właściwych organów następuje prawnie określoną drogą. Proporcje nie są publikowane przez żadną platformę, ponieważ takie ujawnienie zniweczyłoby funkcję monitorowania.

Dla użytkownika, którego konto zostało oznaczone, implikacja jest bezpośrednia. Przegląd ma charakter proceduralny. Współpraca przy żądaniach weryfikacji, dostarczanie dokładnej dokumentacji oraz korzystanie z oficjalnych kanałów obsługi klienta to jedyne istotne działania. Nie ma szybszej drogi, nie ma osoby „wewnątrz”, z którą można negocjować, nie ma techniki „usuwania sygnału”. System jest zaprojektowany tak, by ważyć dowody. Adekwatną odpowiedzią jest ich dostarczenie.

Czytaj dalej. Poprzedni odcinek tej serii: Why Exchanges Run Strict Account Controls: A Plain-Language Guide to KYC and Account Holds.