Bunq mag AI inzetten voor controleren van klanten op witwassen

RyanMcGuire / Pixabay

Internetbank Bunq mag AI inzetten om witwaspraktijken en het financieren van terrorisme te voorkomen, las ik bij Tweakers. De Nederlandsche Bank had de bank opgedragen om een traditionele, checklist-gebaseerde controle van haar klanten uit te voeren, maar de hoogste financiële bestuursrechter (het CBb) zegt nu dat dit te kort door de bocht was. DNB heeft niet bewezen dat bunq met haar methode van het vaststellen van het doel en de beoogde aard van de zakelijke relatie en de monitoring daarvan niet voldoet aan de open normen van de Wwft, aldus het CBb. De term “inzet van AI” is voor mij dan weer wat voorbarig.

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) bevat een controversiële eis, namelijk dat banken in de strijd tegen witwassen en financiering van terrorisme hun (nieuwe en bestaande) klanten moeten indelen in risicoprofielen, en op die basis ze meer of minder indringend monitoren. Zoals het FD schrijft: DNB vraagt om een analysemethodiek die een vaste set regels volgt en heel precies voorschrijft hoe banken dat moeten doen.

Bunq deed het anders: zij verdeelde haar klanten in twee groepen, de ‘gewone’ klanten en de ‘ongewone’ klanten noem ik ze maar even. De bank had namelijk een profiel van “regular users” gedefinieerd, en je kon daar binnen of buiten vallen:

  • Age: 18-60 year
  • Country of residence: NL, BE, DE, AT, IT, ES, FR
  • Purpose: Standard Payment Account
  • Monthly outgoing transaction volume: EUR 10.000
  • Maximum balance: EUR 10.000
  • Number of payments per month: Up to 150
Onderzoek van Bunq toonde aan dat de “overgrote meerderheid van de particuliere klanten” in dit profiel past en een klein risico met zich meebrengt. Standaard komen nieuwe klanten in dit profiel, en door monitoring van klantgedrag wordt gekeken of de klant er binnen blijft.
Op het moment dat dit niet (langer) het geval is, stelt bunq – afhankelijk van het risicoprofiel van de betreffende klant en de afwijkingen van de klant ten opzichte van het regular user profiel – automatisch een aantal vragen aan de klant. Als een klant deze vragen niet binnen de gestelde periode beantwoordt, wordt de klant toegang tot de rekening (tijdelijk) ontzegd.
Op basis van de antwoorden wordt het profiel van de klant bijgesteld, wat dus meestal zal leiden tot intensievere monitoring. Dat is binnen doel en strekking van de wet, want die schrijft geen specifieke techniek voor. Maar de DNB had er wel grote moeite mee, want Bunq onderzoekt nieuwe klanten niet in detail maar noemt iedereen “regular” totdat er risicosignalen komen. Zoals het CBb het samenvat:
In het bestreden besluit heeft DNB uiteengezet dat uit het gegeven dat bunq een standaardprofiel aan nieuwe particuliere klanten toekent kan worden opgemaakt dat dit profiel niet is gebaseerd op specifiek bij de klant ingewonnen informatie. Een standaardprofiel stelt een instelling verder niet in staat om te bepalen wat nu het doel en de beoogde aard van de zakelijke relatie is, maar leidt enkel tot een aanname van bunq daarover. Dat bunq heeft vastgesteld dat haar particuliere klanten een homogene groep vormen, maakt dat niet anders.
Het CBb concludeert echter dat Bunq wél adequaat handelt. De wet bevat een open norm, en DNB heeft niet inhoudelijk aangetoond waarom Bunq’s methode leidt tot foute of tekortkomende classificaties of monitoring. De standaardrekening is beperkt in wat je ermee kunt doen, de kans op risico op witwassen of financiering is derhalve klein. En bovendien corrigeert Bunq dus snel het beeld zodra de klant de grenzen opzoekt. Dat laatste is precies wat traditionele banken ook doen, want weliswaar moet je daar gedetailleerde formulieren invullen, daar kúnnen mensen immers liegen dus je moet toch continu monitoren wat er gebeurt dat afwijkt van het verwachte.

Het is dat continue monitoring waar die AI – machine learning – een rol speelt, als ik het zo lees. Ik zie wel hoe je met ML makkelijker patronen en uitschieters kunt detecteren, zodat je sneller en met minder handwerk kunt zien waar mensen rare dingen aan het doen zijn. Dit “behoeft geen bespreking meer”, aldus het CBb, want het bezwaar van DNB is kort gezegd dat als je aan de poort te makkelijk bent, je dús tekort schiet bij je continue controle:

Op de zitting van het College heeft DNB ook uiteengezet dat het ontoereikende cliëntenonderzoek aan de poort doorwerkt in de transactiemonitoring. Uit wat hierover onder 8.5.5 en 8.6.4 is overwogen, volgt dat dit uitgangspunt onjuist is. Daarom moet worden geoordeeld dat DNB niet het bewijs heeft geleverd dat bunq geen adequate voortdurende controle op haar zakelijke relatie met haar klanten uitoefent.
Wel was Bunq terecht op de vingers getikt voor het niet opvolgen van vier concrete dossiers met signalen, en het niet goed onboarden van politiek prominente personen (politically exposed persons of PEP). PEPs zijn extra kwetsbare categorieën burgers, zoals directeuren, landelijke politici of rechters. Signalen bij een PEP moeten dus gevoeliger en sneller worden opgepakt.

Bunq is erg blij natuurlijk, een ‘overwinning voor de vooruitgang’ noemt men het in het FD. En ja, het is zeker een goede zaak dat bevestigd is dat de Wwft open normen kent en dat de inzet van ML niet perse ontoereikend genoemd moet worden. Maar de strijd is nog niet gestreden: DNB kan nieuw beleid maken en een nieuw besluit nemen op de onderzoeksmethode van Bunq.

Arnoud

 

 

Man krijgt drie jaar cel voor grootschalige datahandel

Een 35-jarige man uit Heerenveen is dinsdag veroordeeld tot drie jaar cel, las ik bij Nu.nl. Hij verkocht op internet lijsten met niet openbaar beschikbare persoonsgegevens, die door criminelen misbruikt konden worden voor verschillende vormen van fraude. Bij de strafmaat zit ook hennepbezit en witwassen van 70k, maar toch: dat zie je niet vaak, persoonsgegevenshandel.

Het vonnis bevat voor mij weer een leuke hoeveelheid verbalisantenproza, ditmaal gespekt met cybercrimejargon:

Ik, verbalisant, opende de map ‘ [naam 2] ’ en opende het bestand messages.html met een internetbrowser. Ik zag een export van Telegramgesprekken tussen de accounts [naam 2] en [naam 7]. … Tijdens een gesprek op 6 september 2020 om 16:44 uur zag ik dat [naam 7] aan [naam 2] vroeg of deze nog ’20k nl’ had, [naam 2] reageerde hierop met ‘sws’.
Verbalisant was ambtshalve bekend met het feit dat “20k nl” betekent “Heb jij wellicht een tekstbestand met telefoonnummers van 20.000 Nederlanders”. Dat werd verstrekt in ruil voor betaling met een barkie bol (een meier als Bol.com cadeaubon). Later bleek verdachte ook te handelen in ‘leads’, hier kennelijk bankgegevens van orra (ING) klanten, die na gooien van btc ook daadwerkelijk werden verstrekt.

Na de arrestatie werd de laptop van verdachte doorzocht en werd een verzameling gegevens aangetroffen van malware-data:

Deze verzameling bevat gegevens uit de periode van januari 2021 tot en met maart 2021, is samengesteld op 10 april 2021 en omvat gegevens van ruim 6700 geïnfecteerde computersystemen. De verzamelde gegevens betreffen veelal gebruikersnamen en wachtwoorden voor verschillende internet websites en platformen als ook “autofill” waardes en cookies uit de webbrowser en in enkele gevallen ook bestanden afkomstig van het bureaublad van de geïnfecteerde computers. Per geïnfecteerd computersysteem kan het aantal buitgemaakte wachtwoorden oplopen tot enkele tientallen. Dat geeft deze verzameling een potentieel toegang tot meer dan 100.000 online accounts.
Dit is strafbaar onder artikel 234 Strafrecht:
Hij die stoffen, voorwerpen of gegevens vervaardigt, ontvangt, zich verschaft, verkoopt, overdraagt, verwerft, vervoert, invoert, uitvoert, verspreidt, anderszins ter beschikking stelt of voorhanden heeft waarvan hij weet dat zij bestemd zijn tot het plegen van [oplichting, afpersing of verduistering] voor zover deze feiten betrekking hebben op de verkrijging van een niet-contant betaalinstrument, wordt gestraft met gevangenisstraf van ten hoogste vier jaar of geldboete van de vierde categorie.
Tevens werd diverse keren het misdrijf witwassen gepleegd, door het omzetten van de aldus verkregen cadeaubonnen naar Euro’s en leguanen (ik dacht eerst nft’s maar het ging om levende reptielen). En daarnaast dus 334 gram hennep, alles bij elkaar goed voor vier jaar cel.

Arnoud

OM moet 585 bitcoins teruggeven aan verdachte van aftappen stroom

Het Openbaar Ministerie (OM) heeft in 2014 in een strafzaak 712 bitcoins in beslag genomen, omdat de eigenaar ze met gestolen stroom zou hebben verzameld. Dat meldde Nu.nl vorige week. Dit omdat de rechter in hoger beroep bepaalde dat niet bewezen kon worden dat de bitcoins door misdrijf verkregen zijn.

De verdachte had bitcoins gemined met apparatuur die werd voorzien van gestolen stroom. Nadat dit was opgespoord, ontdekte men bij het doorzoeken een computer van de verdachte met daar op een bitcoinwallet. In eerste instantie vond men daar een saldo van 127 bitcoins in, maar na synchronisatie met het bitcoinnetwerk zes maanden later bleek de wallet een veel hoger saldo van in totaal 712 bitcoins te bevatten. Deze 712 bitcoins werden vervolgens de dag na het onderzoek door het openbaar ministerie inbeslaggenomen en vervreemd.

Op zich niet heel raar. Die bitcoins zijn door misdrijf verkregen, en vertegenwoordigen een geldswaarde. Daarmee zijn ze vatbaar voor beslag, en na veroordeling kan tot verbeurdverklaring worden overgegaan. Dat is dan ook wat het Gerechtshof zonder al te veel moeite concludeert. Dit bevestigt de praktijk die het OM al langer hanteert, dat bitcoins verkregen met gestolen stroom (ja, stroom kun je stelen) in beslag genomen kunnen worden.

Maar wacht even, vervreemd? Dus verkocht. Ja precies, ik was ook even verrast. Je zou denken dat als iets in beslag wordt genomen hangende het onderzoek, dit ergens zorgvuldig bewaard wordt. Maar volgens artikel 117 strafvordering mag dit wel bij voorwerpen “die vervangbaar zijn en waarvan de tegenwaarde op eenvoudige wijze kan worden bepaald”. Dit is ook zo uitgewerkt in de Aanwijzing Inbeslagneming, hoofdstuk IV.3.1. Het idee is dat het nodeloos veel capaciteit kost om dingen te bewaren als je ook gewoon de geldswaarde ervan kunt uitkeren als de zaak afgerond is.

In dit geval waren er 127 bitcoins bewezen door misdrijf verkregen, maar bij de rest van dat hogere saldo kon dat niet worden aangetoond. Die bleken pas in oktober te zijn ontdekt en konden niet aan het illegala minen worden gelinkt. Die 585 bitcoins moeten dan ook worden teruggegeven, althans de geldswaarde daarvan moet worden terugbetaald aan de verdachte.

Dan kom je dus bij de vraag: wat is dan de geldswaarde? Bij bitcoin is dat geen eenvoudige vraag, er is immers nogal wat koersverschil aan de gang met die virtuele valuta. Volgens de jurisprudentie moet je de waarde bepalen ten tijde van de inbeslagneming onder de betrokkene. Dat is de meest objectieve maatstaf om het voordeel te bepalen dat hij of zij heeft genoten. Daarmee is dan in beginsel de waarde van de bitcoin ten tijde van de inbeslagneming, dus het moment van de inval, beslissend.

Omdat dit bij bitcoins iets onhandiger uitpakt vanwege het benodigde technisch onderzoek, geeft het Hof het OM een week respijt. Die week is wat het OM zelf zegt dat ze meestal nodig hebben voor dit onderzoek. Het Hof kijkt vervolgens op internet wat de waarde van bitcoins is, en vindt een niet nader genoemde bron die € 499,50 per hele bitcoin noemt op 25 februari, een week na de inbeslagname. (Een tikje typisch dat de bron niet wordt genoemd, gezien rechters niet zomaar mogen googelen.) Hiermee wordt het onrechtmatig verkregen voordeel gewaardeerd.

De terug te geven bitcoins worden gewaardeerd op de koers van een week na hun inbeslagname (in oktober). De uitkomst daarbij is dan 585,48591218 bitcoins tegen een waarde van € 268,46 per bitcoin, neerkomend op een bedrag van € 157.179,55. De mining-apparatuur is de man overigens wel kwijt, die was verweven met het misdrijf en daarom eveneens verbeurd.

Arnoud

Is het strafbaar om gestolen bitcoins te kopen?

bitcoin-cc-by-sa-flickr-zach-copleyEen lezer vroeg me:

Stel ik koop bitcoins die via een misdrijf zijn verkregen. Ben ik dan strafbaar, of hangt dat af van of ik wist van dat misdrijf? Plus, moet ik ze teruggeven?

In Nederland is het strafbaar als witwassen (art. 420bis Strafrecht) om de werkelijke aard, de herkomst of vindplaats van een goed (fysieke spullen, maar ook vermogensrechten, en dus ook digitaal geld) te verhullen terwijl je weet (of had moeten weten, 420quater) dat dat goed afkomstig is uit een misdrijf.

Witwassen van bitcoins is vrij eenvoudig, want het is onmogelijk te zien door welke transactie de bitcoins zijn verkregen. Ja, je kunt terug in de transactieledger maar daaraan kun je alleen zien dát bitcoins van Alice komen, en niet of dat door diefstal van Alice haar wallet is gebeurd of door een vrijwillige transactie door Alice. En om diezelfde reden is het voor koper Bob niet snel denkbaar dat hij schuldig is aan witwassen – hij kon het niet weten, tenzij bitcoindief Charlie hem daar aanleiding toe gaf.

En dan nog een leuke: als Alice Bob weet te traceren, kan ze dan de bitcoins terugeisen? De wet bepaalt dat de werkelijke eigenaar het gestolene mag terugeisen van de partij die het onder zich heeft. Juridisch heet dat recht van terugeisen revindicatie (art. 5:2 BW), en bij diefstal moet dit binnen drie jaar na de diefstal worden uitgeoefend. De koper moet dan maar zien of en hoe hij zijn geld terugkrijgt van de verkoper.

Op dit principe geldt een uitzondering: wie het gestolen goed krijgt van “een vervreemder die van het verhandelen aan het publiek van soortgelijke zaken anders dan als veilinghouder zijn bedrijf maakt in een daartoe bestemde bedrijfsruimte” (art. 3:86 BW), hoeft het niet terug te geven. De wet eist hierbij wel dat de vervreemder zaken doet in een gebouwde onroerende zaak. Hiermee wil men achterbakhandelaars en marktkraamhouders uitsluiten van de uitzondering, maar als onbedoeld bijeffect van die baksteenvereisende definitie zijn webwinkels nu óók uitgesloten van deze uitzondering. Het lijkt me redelijk dat een beetje webwinkel hier toch echt ook onder moet vallen, mits vergelijkbaar met zo’n bakstenen bedrijfsruimte. Ik kan er werkelijk niet bij dat een koop bij een winkeltje om de hoek wél en een koop bij Bol.com niet beschermd zou zijn.

Of een Bitcoinexchange hieronder valt, is dus nog maar zeer de vraag. Exchanges doen geen zaken in gebouwde onroerende zaken, en je zou ze ook prima als veilinghuizen kunnen zien waardoor ze om nog een reden er niet onder vallen. Dus ja, in principe kan Alice ze terugvorderen van Bob binnen drie jaar na de transactie. Mits ze kan bewijzen dat het haar bitcoins waren en dat iemand ze heeft gestolen. En hoe doe je dát?

Arnoud

Inbeslagname van criminele bitcoins

bitcoin-cc-by-sa-flickr-zach-copleyIn de jacht op crimineel verkregen vermogen heeft het Openbaar Ministerie (OM) er een nieuw wapen bij, meldde het AD onlangs. Men kan bitcoins in beslag nemen als deze door criminele activiteiten verkregen zijn. Er was altijd twijfel of dat wel mocht, maar het OM heeft ondertussen drie gerechtelijke uitspraken verkregen waarin dit werd toegestaan. Daarmee is je criminele geld verstoppen in bitcoins geen optie meer. Maar hee, data was toch “niets”, juridisch gezien?

Ik zeg regelmatig dat data niets is inderdaad. En elke keer zegt er dan iemand dat daar wel wat nuances aan zitten. Oké oké, dat is ook terecht. Helemaal als je het hebt over strafrecht versus civiel recht. Negentig procent van de blogs en discussies hier gaat over civiel recht – tussen burgers onderling. Strafrecht is echt een heel ander beest, Linux versus Windows zeg maar. Soms lijken dingen op elkaar of werken ze ongeveer hetzelfde maar dat is meer toeval dan design.

Eén van die dingen die in het strafrecht echt anders werken is wanneer iets een ‘voorwerp’ is, een item dat gestolen of door misdrijf verkregen kan worden. We weten uit het Runescape-arrest dat dit kan met virtuele goederen in online spellen en dergelijke. Dit zegt alleen niets over de status van dat iets in het civiele of burgerlijke recht. Het is dus niet zo dat virtuele goederen dankzij deze uitspraak in eigendom gehouden kunnen worden, civielrechtelijk. Ga je scheiden, dan hoef je dus niet je World of Warcraft-bezit in de boedelscheiding te betrekken.

Bij de Runescape-uitspraak was het kerncriterium dat de virtuele goederen ‘verplaatsbaar’ waren: slechts één persoon kon ze tegelijk bezitten, kopiëren is niet mogelijk. En ze vertegenwoordigden waarde. Die criteria gaan wat mij betreft net zo hard op voor bitcoins, dus bitcoins zijn te stelen. En in beslag te nemen, want daarbij geldt dezelfde eis – het moet een voorwerp zijn, een ding.

In het strafrecht dus – dit maakt bitcoins nog geen voorwerpen, geen zaken zoals het civiel recht dat noemt. De status van bitcoins in het civiel recht is nog onduidelijk. Het is geen geld in ieder geval. Zaken (fysieke dingen waar je eigenaar van kunt zijn) lijken het ook niet te zijn. Je moet er belasting over betalen maar dat is gebaseerd op de waarde van de bitcoins en niet op het eigendom/bezit daarvan.

Wie die bitcoinbeslagvonnissen heeft, ik hoor graag van je. Het is erg frustrerend dat dergelijke vonnissen niet standaard online komen.

Arnoud

Politie pakt Nederlander met bitcoinmining-farm wegens witwassen

bitcoin-cc-by-sa-flickr-zach-copleyDe Nederlandse politie heeft dinsdag een man uit Tilburg opgepakt omdat hij illegaal stroom aftapte voor zijn systemen waarmee hij bitcoins aan het minen was, meldde Tweakers gisteren. Nu is illegaal stroom aftappen strafbaar als diefstal, maar het OM neemt hier het verrassende standpunt in dat meneer hiermee schuldig is aan witwassen. Alleen wát wordt er dan witgewassen?

Bij het misdrijf witwassen (art. 420bis Strafrecht) probeer je de werkelijke aard, de herkomst of vindplaats van een goed (fysieke spullen, maar ook vermogensrechten, en dus ook digitaal geld) te verhullen terwijl je weet dat dat goed afkomstig is uit een misdrijf. Of dat je dat had moeten weten, 420quater.

Wie een vaas steelt en deze probeert te verkopen met een verhaal dat hij deze in de achtertuin opgegraven heeft, is die vaas (en de daarbij behorende opbrengst) aan het witwassen. Ook als je met je crimineel geld naar het casino gaat, de helft op rood en de helft op wit zet en met het resultaat als “winst uit kansspel” probeert weg te komen, pleeg je witwassen. En idem als je een wasserette begint en aan het eind van de maand een zak contant geld in de kas stort als zogenaamd betaald door wassende klanten (de etymologie van witwassen).

Bitcoin is in principe geschikt om vuil geld (door misdrijf verkregen geld) mee wit te wassen. Koop op een louche exchange bitcoins, en ga daar vrolijk mee handelen. Ook kun je misdrijven plegen waarbij je je slachtoffer bitcoins aftroggeld – als losgeld voor hun digitale data bijvoorbeeld, wat nu populair is bij ransomware. Dat is vrijwel automatisch witgewassen, want het is onmogelijk te zien door welke transactie de bitcoins zijn verkregen. Dat geldt ook voor contant geld maar het is veel gemakkelijker bitcoins uit te geven dan niet-triviale hoeveelheden contant geld.

Hier werden echter geen bitcoins gestolen of gebruikt als transactiemiddel in een criminele transactie. Deze Tilburgse man hield zich bezig met het delven (minen) van de digitale valuta, met het scheppen van nieuwe bitcoins. Dat is een dure grap qua elektriciteit, dus dat verklaart waarom hij die heeft gestolen. Maar om dan te zeggen dat daarmee de aldus verkregen bitcoins “afkomstig zijn uit enig misdrijf”?

Theoretisch klopt het: de bitcoins zijn gemáákt middels rekenen aangedreven door de illegale stroom. Een illegale grondstof in je bouwsel stoppen is een vorm van witwassen (gestolen potgrond in je tuin gooien). Maar het voelt wel érg gek. Ik ben héél benieuwd wat de rechter hiervan gaat zeggen.

Arnoud