ככל ששוק המטבעות הדיגיטליים מתפתח, צומח גם הצד האפל שלו. במחצית הראשונה של 2018, היקף הגניבות מזירות מסחר במטבעות דיגיטליים היה גדול כמעט פי שלושה מהסכום שנגנב מהן בכל 2017, על פי דוח שפרסמה חברת CipherTrace האמריקאית, המספקת פתרונות למניעת הלבנות הון בשוק הקריפטו.
להערכת CipherTrace, מתחילת 2017 ועד לסוף יוני 2018 נגנבו בסך-הכול כ-1.2 מיליארד דולר מזירות מסחר במטבעות דיגיטליים. הסכום הגדול ביותר שנגנב במכה אחת היה כ-435 מיליון דולר - והוא נגנב בינואר בפריצה לבורסת הקריפטו היפנית קוינצ'ק. גם בישראל כבר היו מקרים של גניבת מטבעות דיגיטליים, ואף בהיקף לא קטן. ביולי האחרון נגנבו אסימוני קריפטו בשווי 23.5 מיליון דולר מזירת המסחר בנקור (Bancor), ואתר "גלובס" היה הראשון שפרסם דיווח על הפריצה.
CipherTrace מדגישים בדוח כי "שווקים אפלים (Dark Markets), האקרים שסוחטים את קורבנותיהם ועבריינים המפעילים תוכנות כופר מעדיפים ביטקוין". מקרים כאלה מוכרים לנו גם בישראל. בדצמבר 2017 דיווחנו ב"גלובס" כי 3 שנות מאסר נגזרו על ליאור שרעבי בן ה-32, לאחר שהודה כי איים על בכירים בבנק יהב ובחברת אקטיב טרייל שאם לא יעבירו לו מיליוני שקלים בביטקוין , הוא יפרסם מאגרי מידע "רגישים" השייכים לבנק ולחברה. בתחילת 2017 פורסם ב"גלובס" סיפורו של "ההאקר מערערה", אחמד מסארווה, שבית המשפט גזר עליו עונש מאסר של שנתיים וחצי. מסארווה הודה כי פרץ לחשבונות בנק והעביר מהם כספים, בין השאר, לגוף הנותן שירותי מטבע לצורך רכישת ביטקוין.
גניבות מזירות מסחר במטבעות דיגיטליים
"מכבסים" מטבעות תמורת עמלות
כדי להסתיר את זהות המקור והיעד של הכספים, העבריינים חייבים "להלבין" את המטבעות הדיגיטליים - וככל שהיקף הגניבות גדל, זינק גם היקף הלבנות ההון בשוק. בדוח של CipherTrace מציינים כי הלבנת הון במטבעות דיגיטליים מתאפשרת על ידי שימוש בטכנולוגיות שונות (ראו מסגרת על טכנולוגיות פרטיוּת של מטבעות דיגיטליים), כמו "מערבלים" (mixers), שמקשים על איתור מחזיקי המטבעות, "קפיצה" בין מערכות בלוקצ'יין שונות (Chain hopping) ושימוש ב"מטבעות פרטיוּת" (Privacy Coins).
הדוח מוסיף ומפרט רשימה ארוכה של אתרים מוכרים המציעים שירותי הלבנת הון למטבעות דיגיטליים. תמורת השירות הם גובים עמלות - בדרך-כלל בין 1% ל-3% מהסכום "המולבן". האתרים האלה, המכונים בשמות שונים כמו "מערבלים", "מערפלים" או "מכבסות", מקבלים את המטבעות "המלוכלכים" מלקוחותיהם, מערבבים יחד בין הכספים ולבסוף מוסרים ללקוחות את הכספים המעורבבים. בדרך זו, מטושטשים המקור והיעד של מטבעות הקריפטו.
דרך נוספת להלבנת המטבעות "המלוכלכים" עוברת במאות אתרי הימורים באינטרנט, שמקבלים מטבעות דיגיטליים. רבים מאתרי ההימורים האלה פועלים ללא פיקוח ואינם דורשים כל מידע מזהה מהלקוחות שלהם, כך שקשה לרשויות אכיפת החוק לאתר את מקור הכספים המופקדים לחשבונות באתרים או את היעד שאליו הם נמשכים.
איתור כספים באמצעות מערכת הבלוקצ'יין דורש הבנה מתקדמת של פשיעת סייבר. לכן, יש כיום דרישה לכלים טכנולוגיים ולמומחיות בפענוח הפעולות בבלוקצ'יין כדי לחשוף פעילות הלבנת הון באמצעות ביטקוין ומטבעות דיגיטליים אחרים. אחד הסטארט-אפ הפועלים בתחום הוא Whitestream הישראלי, שפיתח פתרונות מעקב אחרי ארנקי ביטקוין ומתמחה בפענוח של דפוסי התנהגות של משתמשים בביטקוין. איציק לוי, מנכ"ל ומייסד ווייטסטרים, סיפר ל"גלובס" כי הסטארט-אפ גם מפתח דירוג אשראי למשתמשי הביטקוין, שמתבסס על היסטוריית הפעולות בבלוקצ'יין. הצוות של ווייטסטרים, המונה חמישה אנשים, עובד בחממת היזמות בקמפוס של גוגל בתל אביב.
התוכנה שפותחה על ידי ווייטסטרים יודעת להצליב בין ארנקי ביטקוין לבין כתובות בדארקנט ("הרשת האפלה"). לדברי לוי, בעזרת התוכנה אפשר לבדוק שהביטקוין לא היה מעורב בעסקאות בשווקים "אפלים" ולא הועבר דרך "מערבלים" להסתרת זהות המשתמשים בו. "אנחנו מספקים פתרונות לזירות מסחר בביטקוין, וגם התחלנו לשתף פעולה בתחום עם רגולטור במלטה ועם רשויות האכיפה", הוא אומר.
לוי טוען כי שיעור זעיר בלבד מהמשתמשים בביטקוין עושים שימוש בפתרונות להסתרת זהותם. "אנחנו סבורים שמטבעות דיגיטליים מטבעם אינם אנונימיים", אומר לוי. "הבנקים טוענים שהביטקוין משמש להלבנת הון, אבל זה בכלל לא המטרה של השימוש במטבע. צריך להבין ששמירה על אנונימיות בשימוש בביטקוין היא מאוד מורכבת מבחינה טכנולוגית, ולרוב המשתמשים אין כלים לעשות זאת". לדבריו, רוב העבריינים כלל לא יגיעו לזירות מסחר בביטקוין שיש עליהן פיקוח. "בזירות מסחר בינוניות-גדולות בביטקוין, רק כ-0.5% מהמחזור הוא כספים 'מלוכלכים', שהיו מעורבים בשוקי דארקנט או בפעילות בלתי חוקית".
סיכון ברמה "בינונית-גבוהה"
רשות ה-FinCEN, הממונה על אכיפה נגד פשיעה כלכלית במשרד האוצר האמריקאי, מבצעת פעולות אכיפה גלובליות של החוקים נגד הלבנות הון (Anti-Money Laundering או בקיצור AML). במקביל פועל הארגון הבינלאומי FATF לפיתוח וקידום מדיניות למאבק בהלבנת הון ובמימון טרור. עם המדינות החברות בארגון נמנות ארה"ב, קנדה, רוסיה, סין, יפן, דרום אפריקה ורבות ממדינות אירופה. ביוני 2016 צירף אליו FATF גם את מדינת ישראל במעמד של משקיפה.
על פי דוח שפרסמה הרשות לאיסור הלבנת הון ומימון טרור בישראל, "יחידת הפיקוח על נותני שירותי מטבע (ברשות שוק ההון) העריכה את גורמי הסיכון העיקריים להלבנת הון ומימון טרור הרלוונטיים לפעילות נותני שירותי מטבע". במסגרת זו הוערכה רמת הסיכון להלבנת הון ומימון טרור מפעילות אינטרנטית ומטבעות דיגיטליים כ"בינונית-גבוהה" (רמה 4 תוך 5 רמות סיכון), בדומה לרמת הסיכון מפעילות במזומן.
לפני יום כיפור התפרסם ב"גלובס" ראיון מיוחד עם ד"ר שלומית ווגמן-רטנר, ראשת הרשות לאיסור הלבנת הון, שהתייחסה בין השאר לשוק המטבעות הדיגיטליים. לדבריה, "הקריפטו זה תחום מרתק, שנמצא בסיכון מוגבר להלבנת הון ולמימון טרור, בגלל האנונימיות שטבועה בילט-אין בתחום. אנחנו צופים שעם כניסתו לתוקף של חוק צמצום במזומן, נראה עלייה בערוצים אלטרנטיביים להעברת כספים, והקריפטו צפוי להיות אחד מהם. היום, אין גורם אחד שמפקח ומנטר את הפעילות בזירה, וקשה יותר להתחקות אחר מעברים בינלאומיים של כספים".
ווגמן-רטנר ציינה כי עבריינים משתמשים במטבעות הדיגיטליים בעיקר בפעילויות טרור וסמים. לדבריה, "הזירה הזאת מאפשרת מעבר של כספים באנונימיות, בגלל אי-הפיזיות של המטבע, ויש פה סיכונים משמעותיים. אבל מצד שני, אי-הפיזיות הזו, בגלל שהכול נמצא בזירה דיגיטלית, מותירה אחריה הרבה מאוד עקבות. אני לא אחשוף את השיטות שלנו, אבל יש לנו דרכים להתחקות בנסיבות מסוימות אחרי פעילויות בזירה. יש לנו כלים ויש טכניקות לבצע מעקב - ואני בכוונה משאירה את זה עמום".
"החקיקה נמצאת בישורת האחרונה"
נכון להיום, שוק המטבעות הדיגיטליים בישראל עדיין אינו מפוקח באופן שיאפשר לבנקים ולגופים פיננסיים לפעול בתחום. עם זאת, נראה כי ההסדרה בתחום קרובה מתמיד. ב-1 באוקטובר אמור להיכנס לתוקפו החוק החדש לפיקוח על שירותים פיננסיים, לאחר שבסוף מאי, כפי שדיווחנו ב"גלובס", הכנסת דחתה את מועד תחילת החוק, שנקבע תחילה ל-1 ביוני. זאת, בין השאר, מכיוון שעדיין לא אושר צו איסור הלבנת הון בנוסחו החדש, המתייחס לראשונה גם לפעילות במטבעות דיגיטליים.
"יש שני צווי איסור הלבנת הון חדשים", הסביר השבוע מקור בשוק ההון בשיחה עם "גלובס". "צו אחד, העוסק בפלטפורמות B2B, כבר הועבר בשבוע שעבר לוועדת החוקה בכנסת, שאמורה לדון בו אחרי החגים. הצו השני, הנוגע לנותני שירות בנכס פיננסי, ובהם גם שירותים במטבעות דיגיטליים, דרש יותר עבודה ובחינה לעומק של הרגולציה. בינתיים, הוא פורסם כטיוטה, רשות שוק ההון השלימה את התהליך של שימוע מול השוק והטמעת ההערות, והצו עבר לאישור משרד המשפטים. במקביל, תתקיים התייעצות בנוגע לצו עם שרת המשפטים והשר לביטחון פנים".
להערכת המקור, שני הצווים יאושרו במהלך אוקטובר. "דחיית החוק לפיקוח על שירותים פיננסיים נעשתה, בין השאר, כדי לאפשר לממשלה תקופת היערכות להכנת הצווים", אמר. "איסור הלבנת הון הוא רק נדבך אחד בחוק, לצד נדבכים נוספים כמו רישוי, דיווח ועוד. בכל מקרה, החוק צפוי להיכנס לתוקף ב-1 באוקטובר, וצווי איסור הלבנת הון כנראה ייכנסו לתוקף באותו חודש, ולא בפער זמן גדול. אנחנו נמצאים בישורת האחרונה".
על פי הטיוטה של צו איסור הלבנת הון, שאמור להיכנס לתוקף עם תחילת החוק, "נותן שירותי מטבע ידווח לרשות המוסמכת על פעולות של מבקש השירות הנחזות בעיניו כבלתי רגילות, לרבות ניסיון לביצוע פעולה, אך בלא צורך בהצגת שאלות ובירור עובדות אל מול מבקש השירות ומקבל השירות".
טיוטת הצו מפרטת "רשימת פעולות שיכול שייראו כפעולות בלתי רגילות", ובהן בין השאר הוא מתייחס ל"מתן שירותי מטבע שאינם פנים אל פנים, באמצעות 'ארנק אלקטרוני' - תוכנה ממוחשבת המאפשרת אחסון כסף דיגיטלי, המרתו, העברתו בין מדינות וביצוע עסקאות באינטרנט". על פי הצו, תיראה כפעולה "בלתי רגילה" לעניין זה, הטענת ארנק אלקטרוני המתבצעת שלא על ידי בעליו, או הטענתו באמצעות מזומן בסכום העולה על 5,000 שקל; שימוש בארנק אלקטרוני להעברת כספים לאתרי הימורים באינטרנט; וכן קבלה או העברה של כספים ממדינות או טריטוריות הנכללות ברשימה בצו, כמו למשל, איראן, לבנון סוריה והרשות הפלסטינית.
לפי דוח הרשות לאיסור הלבנת הון, בשנת 2017 הועברו לרשות 23,278 דיווחים "בלתי רגילים" (על פעולות הנראות כ"בלתי רגילות") מנותני שירותי מטבע. לדברי הרשות, אין בידיה פילוח של הדיווחים האלה, כך שלא ידוע כמה מהדיווחים האלה נוגעים לשירותי מטבעות דיגיטליים. הרשות מציינת בדוח כי דפוסי הלבנת הון העיקריים שזוהו על פי כתבות מודיעיניות שהופצו במהלך 2017, עסקו בפעילות בינלאומית, בשימוש בכסף מזומן, שימוש בנותני שירותי מטבע (נש"מים), שימוש באיי Off Shore ושימוש בנדל"ן, המהווים 53% מכלל הדפוסים שזוהו. לעומת זאת, רק 0.7% מהדפוסים שזוהו עסקו בשימוש במטבעות דיגיטליים.
מזהים את הלקוח "מהשקל הראשון"
החברה היחידה כיום בישראל בתחום של מסחר במטבעות דיגיטליים הפועלת עם רישיון נש"מ (נותני שירותי מטבע) היא ביטס אוף גולד. לדברי עו"ד יעל נאמן בן ארי, מנהלת סיכונים וקצינת ציות של החברה, ביטס אוף גולד לבדה מדווחת לרשות איסור הלבנת הון בכל חודש עשרות דיווחים "בלתי רגילים" על עסקאות שבוצעו אצלה. נאמן בן ארי מסבירה כי נכון להיום, כל עוד לא נכנס לתוקפו החוק החדש לפיקוח על שירותים פיננסיים, החברה ממשיכה לפעול תחת צו איסור הלבנת הון של נש"מים שנכנס לתוקף ב-2014. להערכתה, "השקט" השורר סביב החוק החדש מסמן כי ייתכן שתחילתו תידחה שוב. "אנחנו מצדנו עושים הכל כדי שהצו ייכנס לתוקפו בהקדם האפשרי", היא אומרת.
ביטס אוף גולד דורשת כיום מכל לקוח זיהוי באמצעות תעודת זהות בכל עסקה, "כבר מהשקל הראשון", אף שהרשות דורשת לזהות לקוחות רק בעסקאות של 5,000 שקל ומעלה. בחברה גם מבצעים זיהוי אישי של הלקוח, פנים אל פנים, ודורשים מהלקוחות להצהיר על מקור הכסף בכל עסקה מעל 50 אלף שקל, אף שהצו כיום דורש לעשות זאת רק בסכומים של יותר מ-200 אלף שקל. יש להביא בחשבון כי מחירו של ביטקוין יחיד כיום הוא בסביבות 6,650 דולר (נכון ליום שישי, 21 בספטמבר), ובאתר ביטס אוף גולד הוא מוצע למכירה תמורת כ-25 אלף שקל.
מעבר להצהרת הלקוח, כל עסקה שמתבצעת בביטס אוף גולד עוברת בדיקה דרך מערכת של Chainalysis, המבצעת ניטור של ארנקי הביטקוין ובודקת אם הכתובת שממנה הגיע המטבע היתה בסיכון גבוה - אם היתה בשימוש בדארקנט, בפלטפורמות הימורים או בכל פעילות בלתי חוקית. מערכת Chainalysis ממשיכה לנטר את הארנק הדיגיטלי של הלקוח גם בשמונה טרנזקציות נוספות לאחר העסקה שנבדקה, כך שאם הלקוח יחזור לביטס אוף גולד, החברה תוכל לזהות אם הביטקוין שימש לעסקאות חשודות. לדברי עו"ד נאמן בן ארי, כבר היו כמה מקרים שבהם המערכת זיהתה סיכון, ובעקבות זאת החברה סירבה לבצע עסקה עם לקוח.
רו"ח גידי בר זכאי, לשעבר סגן ראש רשות המסים, מכיר מקרוב את נושא הגילוי מרצון. בר זכאי מסביר כי הבעיה בקריפטו פשוטה יותר מאשר ב"כסף ישן". לדבריו, "על מנת להתמודד עם חשש של הלבנת הון יש צורך להוכיח את מקור הכספים. בכל נושא הגילוי מרצון היינו צריכים לפתור את סוגיית מקור ההון בעולם של כסף ישן - חשבונות בנק בני עשרות שנים, שאפילו לבנק אין תיעוד של מקורם וקשיים רבים נוספים. גם לכך נמצאו פתרונות מסוימים, אבל בקושי רב. לעומת זאת, במטבעות דיגיטליים ניתן להוכיח את מקור הכספים בצורה פשוטה יותר ואף אמינה יותר אלפי מונים. המעקב על גבי הבלוקצ'יין קל ויעיל. הרי כל מטבע מגיע או מכרייה או מקנייה. ההיסטוריה מתועדת באופן אמין, שאינו ניתן לזיוף. במקביל, ניתן לבדוק אל מול ההעברה הבנקאית, שתואמת לרישום בבלוקצ'יין. מדובר בהוכחות חד-משמעיות למקור הכסף והשימוש בו, כך שלא ניתן לערבל אותו עם כספים אחרים ולהסוות את מקור התשלום. יתרה מכך, ניתן להציף בנקודה זו 'דגלים אדומים' לגבי כספים לא מדווחים או שיש ספק לגבי מקורם. למעשה, נמצא פתרון אמיתי ויעיל לבעיה ההיסטורית שמלווה את הרשויות שנים רבות, ועכשיו אפשר להבחין בין ה'טובים' ל'רעים'".
חוסר הפרטיוּת של הביטקוין הוליד המצאות חדשות
מאז שנוצר המטבע הדיגיטלי הראשון, הוא אף פעם לא היה פרטי באמת. אף ש"הספר הלבן" של סטושי נקמוטו, ממציאו האלמוני של הביטקוין, שפורסם לראשונה ב-2008, טען כי הפרטיוּת היתה מטרת התכנון של הפרוטוקול, מתברר כי לממשלות, לחברות מחקר או למומחי ריגול באינטרנט יש דרכים לנתח את הבלוקצ'יין הציבורי ואת רשת התקשורת של הביטקוין ולקשור בין כתובות ביטקוין לכתובות IP (כתובות של מחשבים ברשת) או למידע מזהה אחר.
כשאדם ממיר את הביטקוין שלו למטבעות פיאט (דולרים, שקלים או מכל מטבע ריבוני אחר), הבנקים יכולים לראות את כל היסטוריית התנועות של אותו ביטקוין. במצב כזה, אם רשויות החוק מוצאות כי אותו ביטקוין היה מעורב בפעילויות לא חוקיות כמו הלבנת כספים, הן יכולות לאתר את בעל החשבון שהחזיק בו.
חוסר הפרטיוּת הוא בעייתי. משתמשי ביטקוין לא רוצים שכל העולם יידע איפה הם מוציאים את הכסף שלהם, כמה הם מרוויחים או בכמה ביטקוין הם מחזיקים, וגם עסקים שעובדים עם ביטקוין לא תמיד ירצו שמידע עליהם ידלוף למתחרים, למשל. נוסף על כך, חוסר פרטיוּת יכול לפגוע במידת החליפיוּת (fungibility) הנחוצה לכל מטבע. אם ניתן לקבוע שמטבעות מסוימים שימשו בשלב כלשהו למטרות הלבנת הון או מימון טרור, או אפילו למטרות רגישות מבחינה פוליטית, למשל, משתמשים מסוימים לא יהיו מוכנים לקבל את המטבעות ה"נגועים" האלה כתשלום, וכך תיפגע יכולת ההחלפה של הביטקוין.
כתוצאה מהיעדר הפרטיוּת בביטקוין, קמו בשנים האחרונות כמה פרויקטים שמטרתם ליצור מטבעות קריפטוגרפיים המאופיינים ברמת פרטיות גבוהה יותר. כמה מאותם מטבעות ממוקדי פרטיות (Privacy Coins) הצליחו לצבור פופולריות ולהתברג בין המטבעות המובילים בשוק הקריפטו.
מטבע הפרטיות המוביל כיום הוא Monero (סימול: XMR), שהושק כבר ב-2014 והיה אחד המטבעות הדיגיטליים הראשונים שלא התבססו על קוד התוכנה של ביטקוין. בניגוד לביטקוין או למטבעות קריפטו אחרים, אמצעי ההצפנה המקנים למונרו פרטיוּת מוטמעים בפרוטוקול שלו. לפיכך, ברירת המחדל במטבעות מונרו היא שהעברתם תהיה חסויה. המונרו מתקבל כאמצעי תשלום בכמה מאתרי הדארקנט, שבהם גם אתרים לגיטימיים פחות, המציעים למכירה נשק, סמים או סחורות לא-חוקיות. הודות לפופולריות שלו, למונרו כיום שווי שוק הקרוב ל-2 מיליארד דולר (נכון ליום שישי, 21 בספטמבר), שמציב אותו במקום העשירי בכל שוק מטבעות הקריפטו, לפי נתוני CoinMarketCap.
ואולם, באחרונה פותחו כמה פתרונות טכנולוגיים שמשפרים את פרטיוּת השימוש בביטקוין והופכים אותו למתחרה משמעותי מול המונרו בקרב המשתמשים הקנאים לפרטיותם. מאמר מעניין בנושא זה, שפרסם באחרונה אתר Bitcoin Magazine, הציג כמה מהפתרונות האלה: תוכנות ערבול כמו TumbleBit, שמערבבות את ההחזקה בביטקוין בין משתמשים רבים; יישומים למיזוג טרנזקציות רבות בביטקוין לתוך טרנזקציה אחת, בקונספט שנקרא CoinJoin; פתרון כמו Schnorr Signatures למיזוג בין חתימות דיגיטליות של כתובות ביטקוין שונות; טכנולוגיה כמו BIP 151 להצפנת ההעברות בין צמתים מסוימים ברשת הביטקוין; ויישומים כמו Liquid, שמאפשרים לבצע העברות ביטקוין חסויות.
כל הטכנולוגיות האלה הופכות את הפעילות בביטקוין לקשה יותר למעקב, ואת חייו של מי שמעוניין להסתיר את השימוש בביטקוין - לקלים יותר.