【基金红人节|金麒麟基金大V评选 百位大咖入围→投票】
来源:华安锐智会
随着技术手段不断变化,商业模式日趋复杂,新时代洗钱手段也花样迭出。我们应该了解洗钱的方式,识破洗钱陷阱,避免一不小心成为洗钱的“帮凶”和“棋子”。今天,小安援引相关专业报告,带大家详细了解一下利用虚拟资产洗钱的相关案例。
虚拟资产(Virtual Assets)和相关服务有利于刺激金融创新增速和提高经济运行效率,但其独特的特点也为洗钱、恐怖融资和其他犯罪创造了新的机会。近期,金融行动特别工作组(以下简称“FATF”)发布关于虚拟资产洗钱和恐怖融资风险的报告。
报告提供了一系列虚拟资产洗钱犯罪案例,并提供了涉及的六大类风险指标,涵盖交易特征、交易模式、匿名、客户身份信息、资金来源或资金渠道、地理风险等。
(一)
与交易特征相关的风险指标
以下指标介绍了如何从虚拟资产交易特征上识别可疑情形。
风险指标:交易规模和交易频率
①以小额、低于历史记录或低于报告阈值的金额进行虚拟资产交易。
②在短时间内进行多项大额交易,大额交易发生后便长期停止使用;不经常使用的帐户忽然启动大额交易活动。
③立即将虚拟资产转让给多个虚拟资产提供商,特别是跨司法管辖区的虚拟资产提供商。
④将虚拟资产存入交易账户,不顾及交易费用的情况下在比特币柜机立即取现;将虚拟资产转换为多种类型的虚拟资产,再次产生额外的交易费用,且没有合理解释;从虚拟资产供应商中提取虚拟资产到私人账户中,这将有效地将交易账户/虚拟资产提供商转换为洗钱通道。
⑤资金来源不明:从已确定持有被盗资金的虚拟资产地址或与被盗资金持有人相关的虚拟资产地址存入资金。
【案例】多个虚拟资产和多次转移至外国虚拟资产提供商
根据当地一家虚拟资产交易所报告,大约有4亿韩元(301,170欧元)从网络钓鱼受害者账户被偷,并最终运用了一种分层技术兑换成为了虚拟资产。
触发预警的原因是由于出现多笔大额交易并且转移到外国虚拟资产提供商的某单一钱包中。
被偷的法定货币资金首先被兑换成三种不同类型的虚拟资产,然后存入嫌疑人在当地一家虚拟资产提供商持有的虚拟资产钱包中。
嫌疑人通过 48 个不同的本地虚拟资产提供商账户,期间转移资金 55 次,最终转移到位于国外的一个虚拟资产钱包中,从而混淆资金来源。(来源:韩国)
(二)
与交易模式相关的风险指标
以下指标介绍了如何从虚拟资产交易模式上识别可疑情形。
风险指标:涉及新用户的交易
①大额初始存款金额与客户身份信息不符。
②新用户试图交易虚拟资产的大部分或全部余额,或者提取大部分或所有虚拟资产,试图将所有金额从平台上撤出。由于大多数虚拟资产都有线上存款交易限额,因此大额洗钱也可以通过柜台交易进行。
风险指标:涉及所有用户的交易
①涉及使用多个虚拟资产或多个账户的交易,没有合理解释。
②由一个或多个人员从同一个 IP 地址在一段时间内(例如一天、一周、一个月等)频繁地向同一个虚拟资产帐户进行转移大额虚拟资产。
③来自许多不相关账户的小额交易,随后转移到另一个账户或完全兑换为法定货币。
④在存在潜在损失的情况下进行虚拟资产法定货币兑换(例如,当虚拟资产的价值波动时,或不管与行业标准相比的异常高的佣金费用,尤其是当交易没有合理解释时)。
⑤将大量法定货币转换为虚拟资产,或将大量的一种虚拟资产转换为其他类型的虚拟资产,且没有合理解释。
【案例】初始存款与客户身份信息不符
根据调查,这名个人账户持有人似乎是犯罪分子在一个社交媒体平台上招募的金钱骡子(金钱骡子,是指犯罪分子欺骗不知情的受害人或者强迫同谋使用他们的银行账户以达到转移非法收入或洗钱目的的账户),帮助收取网上销售商品的索赔款项。
然而,这类资金似乎是由其他受害公司存入的,不是销售货款。
存入的资金被立即从个人银行账户转出,分几次存入到捷克共和国一家股份制公司持有的另一个账户,并兑换成若干当地虚拟资产机构持有的虚拟资产(比特币)。
这些虚拟资产随后立即从账户中提取。除了提交可疑交易报告外,该银行还暂停了可疑转账,这使得随后的资金扣押成为可能。
当地的虚拟资产提供商还注意到所收到的资金存在违规行为,并提供了有用的信息以协助调查。这些信息包括:购买虚拟资产的情况;交易和其他客户尽职调查信息,如 IP 地址、被误用的身份证明文件的复印件,以及被指控的买家的姓名。
这使得当局可以要求银行提供更多信息(例如银行对账单)。
(三)
与匿名相关的风险指标
虚拟资产的匿名性特点为执法机关对犯罪活动的侦查增加障碍,给犯罪分子掩饰违法所得提供渠道。识别虚拟资产匿名化交易还需要结合其他特征或业务逻辑综合分析,主要特征有:
①偏向使用更高匿名性的虚拟资产,如匿名增强型加密货币(AEC)或隐私币。
②通过P2P交换网站寻找一些未注册或未经授权的虚拟资产提供商转移资金,并向其客户收取比其他交易所更高的服务费用,部分交易会使用银行账户促成这些 P2P 交易。
③从虚拟资产地址或账户与黑市、可疑赌博网站、非法活动有直接或间接关联。
④使用本地钱包、冷钱包(不受他人监管、物理存储比特币、安全系数高)跨境运输虚拟资产。
⑤进入虚拟资产提供商平台的用户通过代理或使用域名注册器(DNS)注册其互联网域名,该域名注册器禁止或修改域名所有者。
⑥使用与暗网或其他类似软件相关的 IP 地址进入虚拟资产提供商平台,该软件允许匿名通信,包括加密电子邮件和 VPN。合作伙伴之间使用各种匿名加密通信手段而不是虚拟资产提供商进行的交易。
⑦从同一 IP 地址(或 MAC 地址)控制的大量看似无关的虚拟资产账 户,可能涉及使用注册给不同用户的外壳钱包来隐藏彼此之间的关系。
⑧大量使用来源不明的与庞氏骗局等犯罪计划相关联的虚拟资产。
⑨与客户尽职调查或了解你的客户(KYC)流程明显不足或不存在的虚拟资产提供商有资金往来。
⑩使用虚拟资产自动提款机(虽然此途径有更高的交易费用),以及交易发生地犯罪活动频繁。单次使用自动提款机本身不足以构成危险信号,但如果与处于高风险区域的机器相结合,或用于重复的小额交易,则会出现较高风险。
【案例】Alpha Bay:使用与暗网相关的 IP 地址
Alpha Bay 是 2017 年被当局捣毁的最大的暗网犯罪市场,在两年的时间里,数十万人利用它进行非法药品、被盗窃或伪造的身份证件、非法接入设备、假冒商品、恶意软件和其他电脑黑客工具、枪支和有毒化学品等相关的买卖。
该网站利用技术来隐藏其底层服务器的位置以及其管理员、版主和用户的身份。
Alpha Bay 供应商使用了多种不同类型的虚拟资产,在 2015 年至 2017 年期间,拥有约 20 万名用户、4万名供应商、25 万份清单,促成了超过 10 亿美元的虚拟资产交易。
经最终调查,2017 年 7 月,美国政府在外国当局的协助下,拆除了 Alpha7 Bay 的服务器,逮捕了系统管理员,罚没了 Alpha Bay 的所有实体资产和虚拟资产及其非法所得。
【案例】分散账户的使用
该案中,犯罪分子在互联网上进行了大量毒品销售,不仅允许法定货币支付,而且允许以虚拟资产(比特币、EX 代码、EXMO 支票)的形式进行支付。
以虚拟资产形式收受的非法资金,首先被转移到有关犯罪分子持有的分散式比特币账户中,然后以不同的交易所进一步转移到其他比特币账户中。这增加了追踪资金的难度。
同样地,虚拟资产类的洗钱资金在存入罪犯的银行卡账户之前先被转换回法币。经审讯,罪犯被定罪,被判处有期徒刑七年,并处罚金。
(四)
关于客户身份信息的风险指标
客户身份异常类指标有:
风险指标:账户创建过程中发现的违规行为
①以不同的名称创建单独的账户,以规避虚拟资产提供商对交易或提款的限制。
②从不受信任的 IP 地址、来自受制裁辖区的 IP 地址或先前标记为可疑的 IP 地址发起的交易。
③经常尝试在同一个虚拟资产提供商内从同一 IP 地址开户。
④对于机构客户,他们的互联网域名注册在不同于其设立管辖区的管辖区,或者在域名注册流程薄弱的司法管辖区。
风险指标:客户持续识别过程存在异常
①KYC信息不完整或不足,或客户拒绝配合 KYC文件、资金来源的查询。
②客户对交易、资金来源或与交易对手的关系缺乏了解或提供的信息不准确。
③客户在开户过程中提供了伪造的身份证明文件。
风险指标:客户资料保存类异常
①客户提供与另一个帐户共用的身份或帐户凭据(例如非标准IP地址或 Flash Cookie)。
②发起客户开户的IP地址与发起交易的IP地址不同。
③客户的虚拟资产地址出现在与非法活动相关的公共论坛上。
④与之前执法部门公开的犯罪信息有关联。
风险指标:潜在的金钱骡子或诈骗受害者的身份信息档案
①付款人不熟悉虚拟资产技术或在线账户托管服务。这些人可能是专业洗钱者招募的金钱骡子,也可能是从诈骗受害者转变的金钱骡子,他们被骗转移非法收入,不知道其来源。
②明显大于平台用户平均年龄的客户开立账户并进行大量交易,这表明他们可能为虚拟资产的金钱骡子或金融诈骗的受害者。
③协助进行贩毒业务。
④客户购买了大量与其历史财务状况不符的虚拟资产。
风险指标:其他异常情况
①客户经常更改其身份信息,包括电子邮件地址、IP 地址或财务信息,这也可能表明客户被他人接管。
②一个客户试图在一天中频繁地从不同的IP地址登录一个或多个虚拟资产提供商。l
③在虚拟资产信息字段中使用字母,表明正在进行支持非法活动或购买非法物品(如毒品或被盗信用卡信息)的交易。
④一个客户反复与同一部分个人客户进行交易,产生大额利润或亏损。
【案例】客户资料与常规的大额增值交易不匹配
某虚拟资产提供商(交换机)和某金融机构(支付机构)向金融情报局提交了有关虚拟资产大额交易的可疑交易报告,该交易是在该客户开户时开始的。账户持有人进行了超过 18 万欧元的各种虚拟资产买卖交易,与账户持有人的个人资料包括职业和工资情况不符。
分析发现,这些虚拟资产随后被用于:黑市交易;在线博彩;与没有足够的反洗钱和反恐怖主义融资控制措施的虚拟资产提供商进行的交易,或者之前在涉及数百万美元的洗钱调查中进行的交易;在提供虚拟资产对等交易的平台上开展业务。
账户持有人还利用各种不同的手段(如转账、网上银行和预付卡)在同一时间段内从其账户中划出一致数额的资金。账户持有人收到的资金疑似来自以现金,通过转账和银行系统购买虚拟资产(比特币)的个人网络,这些人位于亚洲和欧洲的不同司法管辖区。
该账户持有人还通过预付卡从非洲和中东获得资金,而这些人又从意大利和外国募集资金。这些资金随后被用于跨境转账和网上赌博,并从意大利的自动取款机中提取现金。
(五)
关于资金来源或资金渠道的
风险指标
涉及犯罪活动有关的资金来源或资金渠道的常见指标有:
①使用与已知欺诈、勒索、暗网或其他非法网站有关的虚拟资产地址或银行卡进行交易。
②源自或目的地为在线赌博服务的虚拟资产交易。
③使用与虚拟资产钱包相连的一张或多张信用卡和/或借记卡提取大量法定货币,或用于购买虚拟资产的资金来源于信用卡的现金存款。
④存入账户或虚拟资产地址的存款明显高于普通账户,资金来源不明,随后转换为法定货币,这可能表明资金被盗。
⑤缺乏透明度或资金来源和所有者信息不足,例如,涉及使用空壳公司或首次代币销售(ICO)的资金,投资者的个人数据可能无法获得,或通过信用卡/预付卡从在线支付系统接收交易,然后立即取款。
⑥直接来自第三方转换服务的客户资金。
⑦客户的大部分财富来源来自对虚拟资产或 ICO 的投资。
⑧客户的财富来源不成比例地来自其他缺乏反洗钱和反恐怖融资控制的虚拟资产。
【案例】利用空壳公司转移虚拟资产
2019年5月,美国执法当局根据法院命令查封了一家名为DeepDotWeb(DDW)的网站。据称,DDW的所有者和经营者在DDW网站上推荐个人到暗网获得数百万美元的回扣。这些回扣通过虚拟资产进行付款,并存入DDW控制的比特币钱包。
为了隐瞒和掩饰总额超过1500万美元的非法所得的性质和来源,所有人和运营商将其比特币钱包中的非法回扣款项转入其他比特币钱包,以及以空壳公司名义控制的银行账户,以转移非法所得。
在五年期间,该网站收到了来自暗网的约8,155 个比特币回扣,实际交易价值共计约 800 万美元。通过一系列共计 4 万多笔存款,比特币被转移到由被告控制的 DDW 比特币钱包中,随后在 2700 多笔交易中被转移到不同的账户。从 DDW 比特币钱包取款时这些比特币的价值约为 1500 万美元。
(六)
与地理风险相关的风险指标
地理风险类指标包括:
①跨司法管辖区的比特币交易。
②使用管控存在严重缺陷的虚拟资产交易所。
③客户将办事处设在缺乏监管的地区或移至没有明显业务往来的新地区。
【案例】比特币交易商经营未经许可的货币交易业务
2019年4月,被告在美国向逾千名客户出售数十万美元的虚拟资产(比特币),经营无证汇款业务,被判入狱两年。被告还被没收利润 823357 美元。
被告推销业务中,以现金换取他人虚拟资产,客户通过全国范围的自动取款机或汇款服务向他付款,并在当时的服务汇率上得到了百分之五的溢价。
具体的,他先是通过一家美国交易所获得比特币,在交易可疑银行账户被冻结后,该被告随后转而在亚洲的一家交易所交易。在2015年3月至2017年4月期间,被告利用该交易所在数百次独立交易中购买了329万美元的比特币。
被告还承认,他将其存放在另一个国家的现金与一家贵金属交易商交换,并在2016年底至2018年初期间,以分拆的形式(每笔低于 1 万美元报送要求),向美国输送可疑资金超过 100 万美元。
以比特币为代表的虚拟资产具有快捷性、跨境性、缺乏监管等多重特点,不仅可以混淆资金的来源或去向,还能有效规避执法机构犯罪调查。金融行动特别工作组(FATF)发布的关于虚拟资产洗钱和恐怖融资风险的报告,旨在为识别、侦查和预防涉及虚拟资产相关的犯罪提供协助。加密虚拟资产交易的匿名性所造成的非法融资隐患,正驱动相应的反洗钱监管力度日益增强。(相关资料来源于FATF官网)
