Bunq mag AI inzetten voor controleren van klanten op witwassen

RyanMcGuire / Pixabay

Internetbank Bunq mag AI inzetten om witwaspraktijken en het financieren van terrorisme te voorkomen, las ik bij Tweakers. De Nederlandsche Bank had de bank opgedragen om een traditionele, checklist-gebaseerde controle van haar klanten uit te voeren, maar de hoogste financiële bestuursrechter (het CBb) zegt nu dat dit te kort door de bocht was. DNB heeft niet bewezen dat bunq met haar methode van het vaststellen van het doel en de beoogde aard van de zakelijke relatie en de monitoring daarvan niet voldoet aan de open normen van de Wwft, aldus het CBb. De term “inzet van AI” is voor mij dan weer wat voorbarig.

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) bevat een controversiële eis, namelijk dat banken in de strijd tegen witwassen en financiering van terrorisme hun (nieuwe en bestaande) klanten moeten indelen in risicoprofielen, en op die basis ze meer of minder indringend monitoren. Zoals het FD schrijft: DNB vraagt om een analysemethodiek die een vaste set regels volgt en heel precies voorschrijft hoe banken dat moeten doen.

Bunq deed het anders: zij verdeelde haar klanten in twee groepen, de ‘gewone’ klanten en de ‘ongewone’ klanten noem ik ze maar even. De bank had namelijk een profiel van “regular users” gedefinieerd, en je kon daar binnen of buiten vallen:

  • Age: 18-60 year
  • Country of residence: NL, BE, DE, AT, IT, ES, FR
  • Purpose: Standard Payment Account
  • Monthly outgoing transaction volume: EUR 10.000
  • Maximum balance: EUR 10.000
  • Number of payments per month: Up to 150
Onderzoek van Bunq toonde aan dat de “overgrote meerderheid van de particuliere klanten” in dit profiel past en een klein risico met zich meebrengt. Standaard komen nieuwe klanten in dit profiel, en door monitoring van klantgedrag wordt gekeken of de klant er binnen blijft.
Op het moment dat dit niet (langer) het geval is, stelt bunq – afhankelijk van het risicoprofiel van de betreffende klant en de afwijkingen van de klant ten opzichte van het regular user profiel – automatisch een aantal vragen aan de klant. Als een klant deze vragen niet binnen de gestelde periode beantwoordt, wordt de klant toegang tot de rekening (tijdelijk) ontzegd.
Op basis van de antwoorden wordt het profiel van de klant bijgesteld, wat dus meestal zal leiden tot intensievere monitoring. Dat is binnen doel en strekking van de wet, want die schrijft geen specifieke techniek voor. Maar de DNB had er wel grote moeite mee, want Bunq onderzoekt nieuwe klanten niet in detail maar noemt iedereen “regular” totdat er risicosignalen komen. Zoals het CBb het samenvat:
In het bestreden besluit heeft DNB uiteengezet dat uit het gegeven dat bunq een standaardprofiel aan nieuwe particuliere klanten toekent kan worden opgemaakt dat dit profiel niet is gebaseerd op specifiek bij de klant ingewonnen informatie. Een standaardprofiel stelt een instelling verder niet in staat om te bepalen wat nu het doel en de beoogde aard van de zakelijke relatie is, maar leidt enkel tot een aanname van bunq daarover. Dat bunq heeft vastgesteld dat haar particuliere klanten een homogene groep vormen, maakt dat niet anders.
Het CBb concludeert echter dat Bunq wél adequaat handelt. De wet bevat een open norm, en DNB heeft niet inhoudelijk aangetoond waarom Bunq’s methode leidt tot foute of tekortkomende classificaties of monitoring. De standaardrekening is beperkt in wat je ermee kunt doen, de kans op risico op witwassen of financiering is derhalve klein. En bovendien corrigeert Bunq dus snel het beeld zodra de klant de grenzen opzoekt. Dat laatste is precies wat traditionele banken ook doen, want weliswaar moet je daar gedetailleerde formulieren invullen, daar kúnnen mensen immers liegen dus je moet toch continu monitoren wat er gebeurt dat afwijkt van het verwachte.

Het is dat continue monitoring waar die AI – machine learning – een rol speelt, als ik het zo lees. Ik zie wel hoe je met ML makkelijker patronen en uitschieters kunt detecteren, zodat je sneller en met minder handwerk kunt zien waar mensen rare dingen aan het doen zijn. Dit “behoeft geen bespreking meer”, aldus het CBb, want het bezwaar van DNB is kort gezegd dat als je aan de poort te makkelijk bent, je dús tekort schiet bij je continue controle:

Op de zitting van het College heeft DNB ook uiteengezet dat het ontoereikende cliëntenonderzoek aan de poort doorwerkt in de transactiemonitoring. Uit wat hierover onder 8.5.5 en 8.6.4 is overwogen, volgt dat dit uitgangspunt onjuist is. Daarom moet worden geoordeeld dat DNB niet het bewijs heeft geleverd dat bunq geen adequate voortdurende controle op haar zakelijke relatie met haar klanten uitoefent.
Wel was Bunq terecht op de vingers getikt voor het niet opvolgen van vier concrete dossiers met signalen, en het niet goed onboarden van politiek prominente personen (politically exposed persons of PEP). PEPs zijn extra kwetsbare categorieën burgers, zoals directeuren, landelijke politici of rechters. Signalen bij een PEP moeten dus gevoeliger en sneller worden opgepakt.

Bunq is erg blij natuurlijk, een ‘overwinning voor de vooruitgang’ noemt men het in het FD. En ja, het is zeker een goede zaak dat bevestigd is dat de Wwft open normen kent en dat de inzet van ML niet perse ontoereikend genoemd moet worden. Maar de strijd is nog niet gestreden: DNB kan nieuw beleid maken en een nieuw besluit nemen op de onderzoeksmethode van Bunq.

Arnoud

 

 

DNB: cryptobeurs Binance biedt illegaal diensten aan in Nederland

Binance, de grootste cryptobeurs ter wereld, is illegaal in Nederland actief, zo waarschuwt De Nederlandsche Bank (DNB) volgens Security.nl. Volgens de toezichthouder biedt de cryptobeurs zonder wettelijk verplichte registratie cryptodiensten in Nederland aan. Het gaat om de diensten voor wisselen tussen virtuele valuta en fiduciaire valuta en het aanbieden van wallets voor het bewaren van cryptovaluta. Binance kwam in mei ook in de VS negatief in het nieuws. Opmerkelijk detail: Binance is natuurlijk niet in Nederland gevestigd, dus hoezo kan een Nederlandse toezichthouder dan handhaven?

De waarschuwing van DNB lijkt een voorschot te zijn op handhaving. Gek is het wel, als een partij de wet overtreedt dan zou je zeggen dat handhavend optreden voor de hand ligt. Maar dat duurt natuurlijk even, en mensen kunnen in de tussentijd de dienst blijven gebruiken (want een onderzoek/handhaving is vertrouwelijk tot het besluit er is).

Met name bij Tweakers zie ik veel reacties over het punt dat Binance op de Kaaimaneilanden gevestigd is, en dat er ook geen servers in Nederland staan. Maar dat is dus géén argument, totaal niet. De Wwft verbiedt het actief werven van klanten in Nederland, en je vestigingsplaats doet er daarbij niet toe. Dat is vrijwel nooit zo trouwens, ook niet bij bijvoorbeeld productverkoop of AVG compliance. In Europa gaat het er eigenlijk altijd om of je actief bent in dat land, of je je richt op mensen hier.

En dat is zo bij Binance: men heeft op maat gemaakte pakketdiensten voor Nederlanders, je kunt (kon) met iDeal betalen en men werkt met Nederlandse partners. Ook liet men registratie van Nederlanders (dus hier wonen) toe en werden Nederlandse identiteitsbewijzen geaccepteerd voor de know-your-customer intake. Voor mij is dat duidelijk genoeg dat dit bedrijf actief met Nederland bezig is.

Veel interessanter dan “richt Binance zich op Nederland” vind ik de vraag van Simon Lelieveldt op Twitter:

Why didn’t DNB issue a warning on the 21st of May with respect to Binance. Was Binance trying to register at that point in time? Why did DNB allow other market players registrations from which they might have known they could indirectly service binance with ideal functionality?
DNB heeft de registratieplicht uit de Wwft namelijk lange tijd ingevuld als een vergunningsplicht, oftewel een stevige inhoudelijke controle van je aanvraag. Het moet ze dus opgevallen zijn dat Binance (vie een partner) toegang tot iDeal betalen zou hebben gekregen, en je zou verwachten dat er dan een verdere check gehouden wordt waarom dat kan terwijl Binance geen registratie had.

Arnoud

DNB: cryptohandelaren hoeven toch niet steeds identiteit van klanten te bewijzen

De Nederlandsche Bank stopt met het verplicht identificeren van klanten bij elke transactie voor cryptohandelaren. Dat las ik bij Tweakers. Bedrijven moeten transacties wel screenen, maar verplicht identificeren vervalt. DNB had eerder de wet zo geïnterpreteerd dat die identificatie wel zou moeten, waardoor cryptobedrijven als Bitonic zich ernstig bedreigd voelen in hun dienstverlening. Met deze stap is ook het kort geding van Bitonic tegen DNB van de baan.

Bitonic heeft een vergunning van DNB om als bank te opereren, wat kort gezegd nodig is om bitcoins naar fiatgeld om te zetten en terug. Deel van die vergunning is dat je moet voldoen aan de regels rond voorkoming van witwassen en terrorismefinanciering en aan regels die voortvloeien uit de Sanctiewet. Hieruit volgt een plicht om transacties van klanten monitoren, en aan de bel te trekken bij verdachte of rare transacties.

NRC legt uit wat er speelt:

Het bedrijf vraagt zich alleen of het moet zoals DNB lijkt te eisen: elke keer als een klant een bitcointransactie doet naar zijn of haar wallet (waarin je cryptovaluta bewaart), moet een screenshot van die transactie worden genomen om te verifiëren of die wallet wel echt in zijn bezit is. Daarmee zou een bitcoinbedrijf verder moeten gaan dan een bank of schadeverzekeraar.
Meer algemeen speelt het punt dat de wet alleen een registratie van instanties als Bitonic eist, en dat DNB met dit soort eisen er een soort vergunning van maakt. Een registratie is immers een melding: hier zit ik, ik doe in bitcoin. Daar valt weinig aan te doen verder. Een vergunning kan wél worden ingetrokken of beperkt, wat dus is wat DNB leek te doen door te zeggen “maak die screenshots of je mag geen bank zijn”.

Voor Bitonic en collega’s is daarmee nu meer ruimte gekomen om sneller te opereren. Ergens heb ik wel het gevoel dat DNB met iets nieuws gaat komen. Het fundamentele probleem achter deze eis is immers dat bitcoin wallets niet vergelijkbaar zijn met bankrekeningen, zodat de kans op misbruik / illegale transacties eerder aanwezig is. En als je daar dan toch effectief toezicht op wilt houden, dan moet er iets komen. Ik heb alleen ook geen idee wat.

Arnoud