Zcash kontra igazságügy: a SEC döntése kivégezheti a privát tranzakciókat
December 15-én az amerikai Értékpapír- és Tőzsdebizottság (SEC) kerekasztal-beszélgetést tart az adatszigetelésről és a pénzügyi adatvédelemről. Az esemény azért kap különös figyelmet, mert Hester Peirce, az SEC kriptós munkacsoportjának vezetője ismét elővesz egy régi, és sok vitát kiváltó kérdést, vagyis, hogy felelősségre vonhatók-e a szoftverfejlesztők azért a kódért, amit írnak? A beszélgetésen részt vesz majd Zooko Wilcox is, a Zcash vezetője, aki személyesen képviseli a projekt érdekeit.
Meddig tart a kódért vállalt felelősség?
A téma most különösen aktuális. Néhány héttel ezelőtt a Samourai Wallet két társalapítója, Keonne Rodriguez és William Lonergan Hill öt, illetve négy év börtönt kapott, mert olyan pénztárcát működtettek, amelyet 237 millió dollárnyi illegális tranzakcióhoz használtak az ügyészség állítása szerint. Nem sokkal korábban Roman Storm, a Tornado Cash egyik fejlesztője is csak részben tudta elkerülni a felelősségre vonást, ugyanis az esküdtszék szerint illegális pénztranszfer működtetésében vett részt, viszont a súlyosabb pénzmosási vádaknál patthelyzet alakult ki, a szankciós ügyekben pedig végül teljesen felmentették.
A SEC most nem pusztán jogérvényesítésről beszél. A fő kérdés az, hogy létezhet-e olyan, valóban átlátható és megbízható adatvédelmi technológia, amely egyszerre óvja a felhasználók magánszféráját és felel meg a pénzügyi bűnmegelőzés szabályainak? A vitában részt vesz a Zcash alapítója, a fejlesztői közösség, szabadságjogi szervezetek és jogi szakértők is. A SEC pedig azt próbálja kideríteni, hogyan kezelje azt a helyzetet, amikor valaki egy teljesen privát, zero knowledge proof (nulla tudásbiztos) értékpapír-kereskedést kíván működtetni.
Adatvédelem kontra igazságügy
A Samourai- és a Tornado Cash-ügyek mögött egy mély ellentét húzódik. A fejlesztők és a civil jogvédők szerint az adatvédelem alapvető jog, az orvosi papírok, a bankszámla-adatok vagy a büntetett előéletet hátrahagyó emberek adatai is titkosak, miért lenne ez másképp a digitális pénzügyi tranzakciók esetén?
Az igazságügyi oldal viszont azt mondja, ha valaki olyan szoftvert tervez, amely gyakorlatilag ellehetetleníti a nyomozást, akkor az tulajdonképpen bűnözők számára épít infrastruktúrát.
A probléma a határvonal elmosódása. A Samourai ügyben az ügyészség azt állította, hogy a fejlesztők tudhatták, hogy a szoftver főként illegális célokra lesz használva. A Tornado Cash ítélete viszont inkább azt mutatja, hogy a bíróságok különbséget tesznek a kód és a szolgáltatás között. A kód nem lehet illegális önmagában, de aki működteti a szolgáltatást az felelősségre vonható. Ez apróságnak tűnik, de egy fejlesztő számára életbevágó különbség.
A FinCEN is közbelép
A SEC inkább csak beszélgetéseket folytat, a valódi szabályozási döntések azonban a FinCEN-nél (Pénzügyi Bűncselekmények Végrehajtási Hálózata) születnek, akik 2023 októberében hozták nyilvánosságra a 311. szakaszhoz kapcsolódó javaslatukat, amely szinte minden kriptós keverési tranzakciót a pénzmosás kiemelt kockázati kategóriájába sorolna.
A tervezet szerint a pénzintézeteknek jóval szigorúbb adatgyűjtést és jelentéstételt kellene végezniük, ha bármilyen mixinggel kapcsolatos tevékenységet érzékelnek. A szabály ugyan még nem végleges, de a véleményezési szakasz már lezárult, és a FinCEN 2025-re ígéri a véglegesítést.
A kormányzat tehát egyáltalán nem kapkod. Emiatt a SEC mostani kerekasztala inkább csak egyfajta kommunikációs jelzés. Ha a FinCEN szigorú szabályt hoz, a SEC elmondhatja, hogy ők előtte alaposan megvizsgálták, van-e más út. Ha a FinCEN visszakozna, a SEC akár nyithat egy rugalmasabb, az adatvédelmet jobban tiszteletben tartó megoldásokra.
Létezik-e adatvédelem teljes megfigyelés nélkül?
A fejlesztők, köztük a Zcash, az Aleo és az Espresso Systems csapatai is egészen más irányba vinnék a pénzügyi adatvédelmet. Ők olyan megoldásokban gondolkodnak, amelyek zero-knowledge proofokra és homomorf titkosításra épülnek. Ezekkel a technológiákkal a felhasználó anélkül tudná bizonyítani, hogy nem szerepel szankciós listán, megfelel a törvényi előírásoknak vagy rendben befizette az adóit, hogy közben bármit elárulna a konkrét tranzakcióiról.
A probléma az, hogy mindehhez együttműködésre lenne szükség a szabályozó hatóságok részéről. A DOJ, vagyis az amerikai igazságügyi minisztérium viszont láthatóan másképp közelíti meg a kérdést. Szerintük a nyomozati hozzáférést nem utólag kell ráerőltetni a technológiára, hanem eleve a rendszer tervezésekor kell beépíteni. Ez a megközelítés viszont elmoshatja a határvonalat a „csak kódot író fejlesztő” és a „szolgáltatást üzemeltető” között, és akár oda is vezethet, hogy a fejlesztőt a Bank Secrecy Act hatálya alá tartozó szolgáltatóként kezelik.
Mit jelenthet mindez a piac számára?
Ha december 15-én a SEC arra jut, hogy a zero-knowledge proof nem egyeztethető össze a jelenlegi szabályozással, akkor könnyen tovább szigoríthatja az értékpapír-kereskedők és kriptós letétkezelők szabályait. Ha viszont ennek az ellenkezője történik, és a SEC kimondja, hogy az adatvédelem és a bűnmegelőzés közti kompromisszum igenis lehetséges, akkor nyitva marad az út a modern adatvédelmi megoldások előtt.
A fejlesztők tehát valóban nem feltétlen pénzmosók, de az általuk működtetett szolgáltatások miatt azonban felelősségre vonhatók. Ez pedig azt jelenti, hogy 2025-ben az adatvédelmi kriptográfia nem csupán technológiai kérdés, hanem az amerikai jogrendszer egyik kiemelt ütközőpontja lesz.