Toenemende rol van nested services in cryptofraude
In recente cryptofraudezaken die ik heb behandeld is een duidelijke trend te zien: nested services spelen een steeds grotere rol bij het verhandelen van uit fraude verkregen cryptoactiva. Deze diensten ontvangen cryptovaluta van fraudeurs, verkopen die via accounts op grote exchanges aan “derden te goeder trouw”, en keren vervolgens de opbrengst uit aan een verborgen klant van de nested service. Deze klanten blijven buiten beeld voor de exchange waarop daadwerkelijk wordt gehandeld. Dit mechanisme maakt het opsporen en blokkeren van criminele geldstromen buitengewoon complex.
Tegelijkertijd lopen er inmiddels meerdere rechtszaken – zowel nationaal als internationaal – waarin onder meer de vraag centraal staat of wallets van nested services bevroren kunnen worden. Die rechtszaken zijn cruciaal om duidelijkheid te scheppen over de juridische reikwijdte van maatregelen tegen deze constructies.
Op basis van informatie uit lopende fraudeonderzoeken acht ik het noodzakelijk dat gereguleerde crypto-exchanges die voor een schoon systeem staan hun dienstverlening aan nested services beëindigen en desgevraagd activa bevriezen. Anders worden KYC- en AML-verplichtingen eenvoudig omzeild en ontstaat een parallel financieel systeem waarin anonimiteit en witwassen hand in hand gaan.
Wat zijn nested services?
Een nested service is een tussenpersoon die een handelsaccount opent bij een gereguleerde exchange, en die via dat account derden toegang biedt tot cryptohandel. Deze derden kunnen natuurlijk ook gewoon zelf een account openen en hebben zo hun redenen om dat niet te willen: in tegenstelling tot de hoofdexchange voert de nested service doorgaans nauwelijks KYC (Know Your Customer) of AML (Anti-Money Laundering) uit, wat het gebruik aantrekkelijk maakt voor malafide actoren die onder de radar willen blijven.
In de praktijk is er dus sprake van een dienstverlener die zich “nestelt” binnen een gereguleerd platform, zonder zelf aan elementaire regelgeving te voldoen. De grote exchange ziet slechts één klant – het account van de nested service – en heeft daardoor geen zicht op de achterliggende transacties en gebruikers. De exchange kan ook niet altijd herkennen dat het gaat om een nested service, al zijn er ook symbiotische samenwerkingen waarbij de exchange dat heel goed weet.
De juridische strijd: kunnen wallets van nested services worden bevroren?
Het juridische debat over de bevriezing van wallets die door nested services worden beheerd is volop in beweging. In Nederland hebben meerdere rechtbanken bevestigd dat bevriezingsbevelen en/of conservatoir beslag op crypto bij een cryptoexchange mogelijk zijn. Het gaat om het logische vervolg van blockchaintracing-onderzoeken, uitgevoerd door onze partner Dataexpert, waarbij de route die gestolen crypto over de blockchain aflegt in kaart wordt gebracht. Echter, als nested services gebruikmaken van gezamenlijke wallets of multiparty computation-technologie, wordt het moeilijker om via de gevonden hoofdexchange individuele tegoeden te traceren en juridisch vast te houden. Hoofdexchanges stellen zich soms op het standpunt dat bevriezing niet mogelijk is omdat (vanuit hun perspectief) sprake is van niet herleidbare tegoeden (de nested service kan de tegoeden wel aan klanten koppelen). De ironie is dat slachtoffers van fraude en hun advocaten die rechtszaken baseren op blockchaintracingsonderzoek aan de voorkant niet kunnen zien dat zij met een nested service te maken hebben, zodat rechterlijke bevelen tot bevriezing van wallets gewoon geldig zijn en zich kunnen richten op wallets die later van een nested service blijken te zijn. De hoofdexchange wordt dan toch geconfronteerd met een bevel tot bevriezing van de wallet. De hoofdexchange neemt dan meestal geen risico en respecteert het bevriezingsbevel, terwijl het ging om een nested service. Zo’n vonnis met een bevriezingsbevel is soms nodig om de nested service door de mand te laten vallen bij de hoofdexchange die kennelijk de ogen sloot of niet goed had opgelet maar wel na toetsing van de aangemelde fraude van mening was dat nested service-activiteiten ongewenst zijn. Het effect is dan dat alle tegoeden worden bevroren, soms met een veel hogere waarde dan wat het slachtoffer die het bevriezingsbevel heeft aangevraagd nodig heeft om zijn schade vergoed te krijgen.
Een andere fundamentele vraag is in hoeverre een nested service zélf verantwoordelijk kan worden gehouden voor de schade die voortvloeit uit fraude. Dit is met name relevant wanneer duidelijk is dat de dienstverlener de omstandigheden heeft gecreëerd die fraude en witwassen vergemakkelijken. Kan een nested service dan worden vereenzelvigd met de fraudeur waarvoor zij het witwassen verzorgt, met als belangrijk verschil dat de nested service en zijn bestuurder(s) vindbaar zijn, omdat het gaat om een geregistreerd bedrijf, terwijl de fraudeur waarvoor zij werken wordt afgeschermd?
De verborgen klant: de geldezel als schakelpunt
In de praktijk blijkt de ‘klant’ van een nested service vrijwel altijd een zogenaamde geldezel: iemand die – bewust of onbewust – zijn identiteit of wallet beschikbaar stelt aan een cybercriminele organisatie. Vaak betreft het financieel kwetsbare personen die weinig besef hebben van de juridische gevolgen. Vaak hebben deze personen geen “active herinneringen” aan de personen aan wie zij het geld afdragen.
Via een blockchainadres dat door de cybercrimineel wordt aangestuurd komt de opbrengst van de fraude na verkoop van de gestolen cryptovaluta via de hoofdexchange binnen op het account van de geldezel bij de nested service. De bedragen die hierbij omgaan, variëren van tienduizenden tot vele miljoenen euro’s per fraude – in totaal vele miljarden als je alle schade optelt. Voor slachtoffers van fraude is het niet onmogelijk de geldezels te vinden, maar hier moet wel veel moeite voor worden gedaan: eerst een procedure tegen de hoofdexchange om de naam en het adres van de nested service te achterhalen en vervolgens een tweede procedure tegen de nested service om de naam en het adres van de geldezel te achterhalen. Als deze juridische hobbels eenmaal genomen zijn blijkt het vaak toch niet mogelijk om de schade op de geldezels te verhalen: geldezels zijn vaak niet traceerbaar of beschikken over geen enkele verhaalscapaciteit, en de nested service laten accounts leeg halen. Nested services bevriezen zelden verdachte tegoeden. Dat is ook logisch: zij bedienen een speciale klantengroep, fraudeurs die op zoek zijn naar het witwassen van buit. We zien ook in de praktijk dat de namen en adressen van de geldezels die bij de nested service bekend zijn soms niet kloppen – en kennelijk ook niet worden geverifieerd. Het zijn de cybercriminelen die feitelijk uitcashen. In sommige zaken zijn miljoenen verdwenen maar heeft de geldezel niets. De vraag of een slachtoffer niet beter kan claimen bij de nested service die witwasdiensten aanbiedt is dus logisch.
Nested services als magneet voor georganiseerde criminaliteit
Het ontbreken van fatsoenlijke KYC- en transactiemonitoring maakt nested services bijzonder aantrekkelijk voor fraudeurs die hun identiteit willen verhullen. Het is dan ook verdedigbaar – en in bepaalde gevallen aannemelijk – dat veel nested services zijn opgericht met als primair doel het faciliteren van anonieme, niet-traceerbare geldstromen.
Deze malafide spelers in de cryptowereld richten zich dus op een specifieke doelgroep: daders van fraude, cybercriminelen, witwassers en andere leden van de georganiseerde misdaad, die op zoek zijn naar een betrouwbare manier om criminele opbrengsten uit te cashen zonder zichtbaarheid voor opsporingsdiensten of financiële toezichthouders. Het ligt voor de hand dat de tarieven die nested services aan hun bijzondere klanten in rekening brengen een stuk hoger zijn dan de tarieven die cryptoexchanges aan consumenten rekenen voor normale handel in cryptovaluta in een concurrerende markt. De eigenaren van de nested services lopen immers risico op aandacht van politie en justitie, en zullen daarvoor een hoge vergoeding willen. Dat kan in de ogen van de civiele rechter echter wel bijdragen aan aansprakelijkheid: het afromen van criminele winsten duidt op een te vergaande betrokkenheid bij de criminele handelingen.
Klein en groot
Er bestaan zowel kleine, middelgrote als grote nested services. Het meest opmerkelijk zijn de kleintjes. Zij doen soms geen enkele moeite om als legitiem bedrijf over te komen. Ze hebben geen website, het bedrijf staat soms op naam van een “katvanger” en wordt feitelijk door anderen gecontroleerd, ze hebben geen vergunning, en verwerken crimineel geld tot ze wel niet tegen de lamp lopen, een risico dat nauw samenhangt met de alertheid en “risk appetite” van de hoofdexchange. Deze bedrijfjes zijn duidelijk lege hulzen die zijn opgericht om gestolen geld in de vorm van crypto op te vangen. Bij de middelgrote variant is het beeld wat ingewikkelder. Soms is er wel een website die normale activiteiten van een cryptoexchange suggereert, maar blijkt het voor een consument niet mogelijk te zijn om klant te worden en is geen contact met een helpdesk mogelijk, hetgeen atypisch is voor een bedrijf dat beweert een cryptoexchange te zijn. De website lijkt dan niet actief en een dekmantel te zijn, misschien wel opgericht om de hoofdexchange een rad voor ogen te draaien. Er bestaan ook zeer grote nested exchanges die openlijk actief zijn op de consumentenmarkt met een goed functionerende website en aanwezigheid in de Appstores. Hun stelling is dat zij klanten betere verkoopprijzen kunnen bieden omdat de aankoop van cryptovaluta plaatsvindt via de hoofdexchange die meer volume verwerkt. Dat lijkt een legitiem doel, maar het is toch opmerkelijk dat uit blockchainonderzoeken blijkt dat zo’n grote exchange ook grote aantallen cryptovaluta uit fraude ontvangt, die door de slachtoffers zijn aangekocht bij een andere exchange, die door middel van bijvoorbeeld boilerroomfraude (of “pig butchering”) in handen vallen van criminele organisaties, die worden verkocht aan nietsvermoedende klanten van de hoofdexchange, waarna de opbrengst naar geldezels gaat die worden gebruikt door de cybercriminelen. De indruk bij deze grote, openlijk actieve nested services is dat er in wezen een aparte tak met witwasactiviteiten ten behoeve van fraudeurs is opgezet of wordt toegelaten (meestal via een aparte postbusfirma) naast de dienstverlening aan consumenten (die onder een andere entiteit valt). Hier is weer de vraag: hoeveel wordt er afgeroomd, wat zijn de tarieven voor deze bijzondere diensten in verhouding tot de dienstverlening aan gewone consumenten?
Civielrechtelijke aansprakelijkheid: dienstverleners met een witwasdoel?
Wanneer een dienstverlener structureel nalaat om KYC- of AML-verplichtingen na te leven, terwijl zij in de praktijk faciliteert dat fraudeurs hun opbrengsten anonimiseren en verplaatsen, is civielrechtelijke aansprakelijkheid niet alleen verdedigbaar maar noodzakelijk.
De maatschappelijke zorgplicht brengt met zich mee dat zulke dienstverleners aansprakelijk kunnen worden gehouden voor de schade die zij mede mogelijk maken. In juridische termen is sprake van een onrechtmatige daad indien het bedrijfsmodel in essentie gericht is op het faciliteren van witwassen – een model dat geen ander doel lijkt te dienen dan het creëren van een anoniem witwastraject.
Conclusie
Nested services vormen een structureel risico voor slachtoffers van cryptofraude, de integriteit van het financiële systeem en de handhaafbaarheid van regelgeving. Zij opereren als schakel in een schaduwinfrastructuur waarin daders zich onzichtbaar maken, slachtoffers hun geld verliezen en opsporing vastloopt. Dienstverleners die bewust of door grove nalatigheid dergelijke structuren in stand houden, moeten civielrechtelijk kunnen worden aangesproken. Alleen zo kan het speelveld weer in balans worden gebracht en kunnen slachtoffers perspectief krijgen op verhaal van hun schade. De toekomst zal duidelijk maken hoe rechters oordelen over de activiteiten van nested services.
