Hoe moet DeFi worden geregeld? Een Europese benadering van decentralisatie

Gedecentraliseerde financiering, bekend als DeFi, is een nieuw gebruik van blockchain-technologie dat snel groeit, met meer dan $ 237 miljard aan waarde opgesloten in DeFi-projecten vanaf januari 2022. Regelgevers zijn zich bewust van dit fenomeen en beginnen actie te ondernemen om het te reguleren. In dit artikel bespreken we kort de grondbeginselen en risico's van DeFi voordat we de regelgevende context presenteren.

De basis van DeFi

DeFi is een reeks alternatieve financiële systemen gebaseerd op de blockchain die meer geavanceerde financiële operaties mogelijk maakt dan de eenvoudige overdracht van waarde, zoals het wisselen van valuta, uitlenen of lenen, op een gedecentraliseerde manier, dat wil zeggen rechtstreeks tussen gelijken, zonder tussenkomst van een financiële tussenpersoon (bijvoorbeeld een gecentraliseerde centrale).

Schematisch wordt een protocol genaamd DApp (voor gedecentraliseerde toepassing), zoals Uniswap of Aave, ontwikkeld in open source code op een openbare blockchain zoals Ethereum. Dit protocol wordt mogelijk gemaakt door slimme contracten, dat wil zeggen contracten die automatisch worden uitgevoerd wanneer aan bepaalde voorwaarden is voldaan. Op de Uniswap DApp is het bijvoorbeeld mogelijk om geld uit te wisselen tussen twee cryptocurrencies in het Ethereum-ecosysteem, dankzij de slimme contracten die zijn ontworpen om deze bewerking automatisch uit te voeren.

Gebruikers worden gestimuleerd om liquiditeit binnen te halen, aangezien ze een deel van de transactiekosten ontvangen. Wat betreft uitlenen en lenen, stellen slimme contracten degenen die hun geld willen uitlenen in staat om het beschikbaar te stellen aan leners en leners om het beschikbaar gestelde geld direct te lenen door de lening met onderpand te garanderen (of niet). De wisselkoers en rentetarieven worden bepaald door vraag en aanbod en bemiddeld tussen de DApps.

De grote bijzonderheid van DeFi-protocollen is dat er geen gecentraliseerde instelling is die verantwoordelijk is voor het verifiëren en uitvoeren van de transacties. Alle transacties worden uitgevoerd op de blockchain en zijn onomkeerbaar. Slimme contracten vervangen de intermediaire rol van gecentraliseerde financiële instellingen. De code van DeFi-applicaties is open source, waardoor gebruikers de protocollen kunnen verifiëren, erop kunnen voortbouwen en kopieën kunnen maken.

De risico's van DeFi

Blockchain geeft meer macht aan het individu. Maar met meer macht komt meer verantwoordelijkheid. De risico's van DeFi zijn van verschillende soorten:

Technologische risico's. DeFi-protocollen zijn afhankelijk van de blockchains waarop ze zijn gebouwd, en blockchains kunnen te maken krijgen met aanvallen (bekend als "51%-aanvallen"), bugs en netwerkcongestieproblemen die transacties vertragen, waardoor ze duurder of zelfs onmogelijk worden. De DeFi-protocollen zelf zijn ook het doelwit van cyberaanvallen, zoals het misbruiken van een protocolspecifieke bug. Sommige aanvallen bevinden zich op het snijvlak van technologie en financiën. Deze aanvallen worden uitgevoerd door middel van 'flitsleningen'. Dit zijn leningen van tokens zonder onderpand die vervolgens kunnen worden gebruikt om de prijs van de tokens te beïnvloeden en winst te maken, voordat de lening snel wordt terugbetaald.

Financiële risico's. De cryptocurrency-markt is erg volatiel en er kan een snelle prijsdaling optreden. De liquiditeit kan opraken als iedereen tegelijkertijd zijn cryptocurrencies uit liquiditeitspools haalt (een "bank run"-scenario). Sommige kwaadwillende ontwikkelaars van DeFi-protocollen hebben "achterdeurtjes" waarmee ze zich de tokens kunnen toe-eigenen die in de slimme contracten zijn opgesloten en zo van gebruikers kunnen stelen (dit fenomeen wordt "rug-pull" genoemd).

Regelgevende risico's. Regelgevingsrisico's zijn nog groter omdat het bereik van DeFi wereldwijd is, peer-to-peer-transacties over het algemeen anoniem zijn en er (meestal) geen geïdentificeerde tussenpersonen zijn. Zoals we hieronder zullen zien, zijn twee thema's bijzonder belangrijk voor de toezichthouder: enerzijds de strijd tegen het witwassen van geld en de financiering van terrorisme en anderzijds de consumentenbescherming.

De FATF-test: echt gedecentraliseerd?

Vanaf 28 oktober 2021 heeft de Financial Action Task Force (FATF) haar nieuwste richtlijnen voor digitale activa uitgegeven. Deze internationale organisatie probeerde regels te definiëren voor het identificeren van verantwoordelijke actoren in DeFi-projecten door een test voor te stellen om te bepalen of DeFi-operators onderworpen zouden moeten worden aan het Virtual Asset Service Provider- of "VASP" -regime. Dit regime legt onder andere Anti-Money Laundering (AML) en Counter-Terrorist Financing (CFT) verplichtingen op.

De FATF had in maart aanvankelijk overwogen dat als de gedecentraliseerde applicatie (de DApp) geen VASP is, de entiteiten "betrokken" kunnen zijn bij de applicatie, wat het geval is wanneer "de entiteiten zich als een bedrijf inzetten om te faciliteren of uit te voeren activiteiten" op de DApp.

De nieuwe FATF-richtlijn laat de term "faciliteren" vallen en neemt in plaats daarvan een meer functioneel "eigenaar/operator"-criterium aan, waarbij "makers, eigenaren en operators ... die controle of invloed behouden" over de DApp VASP's kunnen zijn, ook al lijkt het project mogelijk gedecentraliseerd.

Zie ook: FATF-richtlijnen voor virtuele activa: NFT's winnen, DeFi verliest, rest blijft ongewijzigd

FATF, onder de nieuwe "eigenaar/operator"-test, stelt dat indicaties van zeggenschap het uitoefenen van controle over het project of het onderhouden van een voortdurende relatie met gebruikers omvatten.

De proef is deze:

• Heeft een persoon of entiteit zeggenschap over de activa of het protocol zelf?
• Heeft een persoon of entiteit "een commerciële relatie tussen hem en klanten, zelfs als deze wordt uitgeoefend via een slim contract"?
• Profiteert een persoon of entiteit van de dienstverlening aan klanten?
• Zijn er andere aanwijzingen van een eigenaar/exploitant?

De FATF maakt duidelijk dat een staat de test breed moet interpreteren. Het voegt toe:

"Eigenaars/exploitanten moeten ML/TF-risicobeoordelingen [witwassen van geld en terrorismefinanciering] uitvoeren voorafgaand aan de lancering of het gebruik van de software of het platform en passende maatregelen nemen om deze risico's doorlopend en toekomstgericht te beheren en te beperken."

De FATF stelt zelfs dat, als er geen "eigenaar/operator" is, staten kunnen eisen dat een gereguleerde VASP wordt "betrokken" bij DeFi-projectgerelateerde activiteiten... Alleen als een DeFi-project volledig gedecentraliseerd is, dat wil zeggen volledig geautomatiseerd en buiten de controle van een eigenaar/exploitant, is het geen VASP volgens de laatste FATF-richtlijnen.

Het is betreurenswaardig dat er geen neutraliteitsbeginsel van blockchain-netwerken is vastgesteld, vergelijkbaar met het neutraliteitsbeginsel van netwerken en technische tussenpersonen van internet (meer dan 20 jaar geleden vastgesteld door de Europese richtlijn over elektronische handel).

De puur technische ontwikkelaars van DeFi-oplossingen hebben vaak niet de fysieke mogelijkheid om de controles uit te voeren die worden opgelegd door de AML/CFT-procedures in het ontwerp van huidige DApps. De nieuwe FATF-richtlijnen vereisen waarschijnlijk dat DApp-ontwikkelaars in Know Your Customer (KYC)-portals plaatsen voordat gebruikers de DApps kunnen gebruiken.

Beveiligingswet toepassen?

We kennen allemaal het juridische debat dat klassiek is geworden als het gaat om het kwalificeren van een token: is het een utility-token, nu onderworpen aan de regulering van digitale activa (ICO's en VASP's), of is het een beveiligingstoken dat waarschijnlijk onder het financieel recht vallen?

We weten dat de aanpak heel anders is in de Verenigde Staten, waar de Securities Exchange Commission (door de beroemde "Howey-test" toe te passen) tokens kwalificeert als effecten die in Europa als digitale activa zouden worden gezien. Hun aanpak is daarom strenger en dit zal zeker leiden tot meer vervolgingen van "eigenaren" van DeFi-platforms in de VS dan in Europa.

Dus als bij DeFi-diensten geen digitale activa betrokken zijn, maar tokenized financiële effecten zoals gedefinieerd door de Europese richtlijn voor markten voor financiële instrumenten (MiFID-richtlijn), moeten de regels voor aanbieders van beleggingsdiensten (ISP's) worden toegepast. In Europa zal dit een zeldzaam geval zijn, aangezien de verhandelde tokens daadwerkelijke financiële effecten zouden moeten zijn (bedrijfsaandelen, schulden of beleggingsfondsen).

Zie ook: Bijkomende schade: DeFi's tikkende tijdbom

Het is echter waarschijnlijk dat nationale voorschriften van toepassing zijn. In Frankrijk zal het bijvoorbeeld nodig zijn om te bepalen of de verordening betreffende tussenpersonen in verschillende goederen (artikel L551-1 van de Monetaire Code en volgende) van toepassing is op liquiditeitspools.

Pools stellen klanten in staat om rechten op immateriële activa te verwerven en een financieel rendement naar voren te brengen. Theoretisch is het niet langer uitgesloten dat de Autorité des marchés financiers (AMF) besluit dit regime toe te passen. Als gevolg hiervan moet een informatiedocument worden goedgekeurd door de AMF voordat het op de markt wordt gebracht.

In de praktijk is er echter niet één persoon die de investering voorstelt, maar een groot aantal gebruikers van de DApp die hun liquiditeit in een in open source gecodeerd slim contract brengen. Dit brengt ons terug bij de door de FATF voorgestelde test: is er een “eigenaar” van het platform die verantwoordelijk kan worden gehouden voor het naleven van de regelgeving?

De MiCA-regelgeving

Op 24 november heeft de Europese Raad zijn standpunt bepaald over de “Regulation on Cryptoasset Markets” (MiCA), alvorens deze voor te leggen aan het Europees Parlement. Naar verwachting zal deze fundamentele tekst voor de cryptosfeer eind 2022 worden aangenomen (als alles goed gaat…).

De ontwerp-EU-verordening is gebaseerd op een gecentraliseerde aanpak door een aanbieder te identificeren die verantwoordelijk is voor de werking van elke dienst, wat niet werkt voor een gedecentraliseerd uitwisselingsplatform (zoals Uniswap) of een gedecentraliseerde stablecoin.

Zie ook: Europa wacht op de implementatie van een regelgevend kader voor crypto-activa

We moeten nadenken over een rechtssysteem dat rekening houdt met het geautomatiseerde en gedecentraliseerde karakter van systemen op basis van blockchain, om geen verplichtingen op te leggen aan operators die niet de materiële mogelijkheid hebben om ze te respecteren of die het risico lopen innovatie te belemmeren door de reden voor vooruitgang: decentralisatie.

Europa heeft al bewezen in staat te zijn tot subtiele arbitrage op het gebied van technologische regulering, als we met name verwijzen naar het voorstel voor een verordening van de Europese Unie inzake kunstmatige intelligentie. Deze aanpak kan als inspiratiebron dienen.

Ongeacht het door de toezichthouder gekozen evenwicht, beleggers moeten zich zo goed mogelijk informeren en aandacht besteden aan de technologische, financiële en compliancerisico's voordat ze een DeFi-transactie aangaan.

Wat de ontwikkelaars van DeFi-applicaties en dienstverleners op dit gebied betreft, zij moeten alert blijven op de ontwikkelingen op het gebied van regelgeving en een cultuur van transparantie in hun activiteiten cultiveren om zoveel mogelijk op regelgevingsrisico's te anticiperen.

Dit artikel is co-auteur van Thibault Verbiest en Jérémy Fluxman.

Dit artikel bevat geen beleggingsadvies of aanbevelingen. Elke investering en handelsbeweging brengt risico's met zich mee, en lezers moeten hun eigen onderzoek doen bij het nemen van een beslissing.

De meningen, gedachten en meningen die hier worden geuit, zijn alleen van de auteurs en weerspiegelen niet noodzakelijk de meningen en meningen van Cointelegraph.