Marija Bošković Batarelo, Domagoj Bodlaj i Marko K. Bohaček

Mnogi kažu kako je razvoj blockchaina ohrabrila svjetska financijska kriza koja je nastupila 2008. godine. Nezadovoljstvo vladama i institucijama, a pogotovo bankama, urodilo je decentraliziranim sustavom za koji se vjerovalo da će zamijeniti postojeći, centralizirani, koji je podložan diktatu malih skupina ljudi koji djeluju u svom interesu. I doista, sredstvo za postizanje toga pojavilo se u obliku bitcoin blockchaina 2009. godine. Blockchain je zaživio, i sve što se dalje priželjkivalo jest masovna adopcija. I dok se taj proces još uvijek odvija, tehnologija je poprimila neke nove oblike i razmjere. Tijekom godina svima je postalo jasno da blockchain može poslužiti kao mnogo više od temelja za decentralizirani financijski sustav.

Decentralizirana priroda i nemogućnost naknadne korupcije izvršenih zapisa pokazali su se kao plodno tlo za razvoj širokog spektra aplikacija i načina uporabe. Rastom broja različitih primjena blockchaina, otvorila su se i nova pitanja. Naime, nebrojene nove mogućnosti koje ta tehnologija podupire omogućuju i radnje kojima se zaobilazi zakon, a vrlo često i one koja ga direktno krše. Poslovični “Divlji zapad” nije karakteristika samo ranih dana blockchain tehnologije, već je to trajno stanje s kojim se teško nositi. Kako pravo uvijek kaska za vremenom, a pogotovo što se tiče moderne tehnologije, ovo je borba koja je tek započela.

Iako će pravo uvijek biti korak iza blockchaina, čini se da se svakodnevno pokazuju rezultati uloženog napora da se reguliraju aspekti blockchaina plodni za kriminalne aktivnosti. Najveći među njima su financiranje terorizma, pranje novca, kršenje zaštite osobnih podataka, izbjegavanje poreza i financijska prijevara, o čemu će se govoriti u ovom članku. Međutim, osim malignim djelatnostima, osmišljenima da krše zakon i pribave korist, platforma blockchain dala je roda i drugim kontradikcijama pravu koje proizlaze iz same prirode tehnologije.

Blockchain uzburkao financijske vode

Glasine o tome da će primjena blockchain tehnologije disruptirati tradicionalne sustave platnog prometa i pružanja financijskih usluga postoje još od prvog upoznavanja s kriptovalutama. Disrupcija između ostalog znači da će se određeni proces, sustav ili metoda promijeniti i obavljati načinom koji je bitno drugačiji od uobičajenog ili očekivanog. Zbog toga je bitno detektirati kako to “revolucionarni” blockchain mijenja sustav platnog prometa i u kakvom pravnom okviru.

Osnovna karakteristika primjene blockchain tehnologije je nepostojanje nekog središnjeg nadzornog tijela (primjerice, Hrvatske narodne banke), već svi “peerovi” zajednički nadziru sustav.

U platnom prometu to bi značilo da nema više jednog tijela koje ima dužnost nadzora i sigurnosne pohrane podataka. Zajednička kontrola svih sudionika platnog prometa ima izravnu posljedicu da visoki troškovi zaštite platnog prometa od vanjskih “napadača” postaju suvišni. Uslijed nepostojanja centraliziranog nadzora, transakcije se mogu izvršavati praktički trenutačno, uz, što je možda najvažnije prosječnom korisniku usluga platnog prometa, smanjenje različitih naknada koje se pritom obračunavaju. Jedna od glavnih prednosti je i to što blockchain ne poznaje teritorijalne granice, pa je moguće mnogo brže provoditi transakcije na globalnoj razini.

Mnoge prednosti zainteresirale su i najveće svjetske tehnološke kompanije (primjerice, IBM) koje razvijaju globalne platne mreže bazirane na blockchain tehnologiji. Također, i tradicionalno konzervativne kreditne i financijske institucije već sada počinju shvaćati komparativne prednosti od uporabe blockchaina te pružaju nove usluge i mijenjaju svoje dosadašnje poslovanje (primjerice, JPMorgan). Nesporno je da će se, čim koristi od upotrebe blockchaina postanu iznimne i isplative u vidu smanjenja troškova, promjene na tržištu financijskih usluga sve više ubrzavati.

Jedno od glavnih pitanja ostaje kako u jednom kruto reguliranom sustavu poput platnog prometa blockchain tehnologija može uspjeti. Hrvatska je, kao članica EU, obvezna primjenjivati i europsko pravo, čime je potpuna neovisnost u slobodi uređenja sustava platnog prometa znatno ograničena. Hrvatski zakonodavac, nažalost, još nije preuzeo inicijativu kako bi regulacijom uporabe blockchaina potaknuo i na neki način usmjerio razvoj upotrebe te tehnologije i u okviru platnog prometa i financijskih usluga. Međutim, zato su institucije EU i više nego aktivne. Parlament EU je tako, 3. listopada 2018., donio rezoluciju o decentraliziranom vođenju evidencije transakcija i lancima blokova: izgradnja povjerenja bez posrednika.

Službeno prepoznate vrline

EU je ovom rezolucijom prepoznala i potvrdila da blockchain može biti alat koji promiče osnaživanje građana da kontroliraju vlastite podatke, poboljšava troškovnu učinkovitost, smanjuje broj kibernapada i povećava povjerenje u transparentnost transakcija. Slijedom toga, EU je odlučio omogućiti regulatorni pristup koji je otvoren za inovacije i razvoj blockchain tehnologije, čime je potvrđena osnovna misija – poboljšati ključne sektore gospodarstva, kao i kvalitetu javnih usluga, pružajući potrošačima i građanima visoku razinu povjerenja i sigurnosti postupanja s transakcijama platnog prometa.

Trenutačni status quo domaćeg zakonodavca i regulatora mogao bi sputavati i ometati razvoj novih tehnologija. Kad je to u pitanju, svakako bi se trebalo ugledati na proaktivni pristup Lihtenštajna (iako nije članica EU, primjenjuje se regulativa EU, kao članice Europskog gospodarskog prostora) koji je prepoznao potencijal digitalizacije i blockchaina u financijskom sustavu, kao jedna od država čija je to ključna grana gospodarstva. Lihtenštajn je osnovao tzv. “Regulatorske laboratorije” koji novim fintech kompanijama pružaju informacije o propisima kako bi mogli uskladiti pružanje svojih usluga platnog prometa i drugih financijskih proizvoda. Primjer Lihtenštajna odličan je jer je pripremljen potpuno novi pravni okvir za blockchain tehnologiju, umjesto izmjena i dopuna postojećeg pravnog okvira. Novim pravnim okvirom pruža se pravna sigurnost i korisnicima i pružateljima usluga te se istodobno sprečava zloupotreba novih tehnologija, omogućujući korištenje blockchaina u financijskom sektoru.

Budući da je buzzword koji redovno ide uz pojam blockchaina – disrupcija, možda bi u duhu nove “pop-terminologije” trebalo jednako pristupiti i postojećem pravnom okviru. Tako bi umjesto prilagodbe, beskrajnih izmjena i dopuna postojećih propisa (svakog zasebno), a ne radi se samo o Zakonu o platnom prometu (na temelju kojeg je doneseno još 7 podzakonskih propisa), trebalo disruptirati pravni okvir tako da se donese kompletno novi pravni okvir. Disrupcijom pravnog okvira, odnosno usvajanjem nove metode – novog zakona kojim bi se regulirala upotreba blockchaina može se djelotvorno i bez nebrojenih procedura osigurati visoke standarde sigurnosti i povjerenja, kakve transakcije platnog prometa nesporno trebaju uživati, ali i potaknuti razvoj domaće fintech scene i ulaska blockchaina u mainstream platni promet.

Nitko ne voli teroriste

Ubrzani protok virtualnog novca diljem svijeta koji nam je omogućila tehnologija potpomogao je provedbi brojnih kriminalnih aktivnosti. Anonimnost korisnika usluga vezanih za blockchain i komplicirano praćenje brojnih blockchain transakcija, značajno su olakšale financiranje terorizma i pranje novca. Vlade i nadnacionalne organizacije stoga razmatraju te postupno uvode novi aspekt regulacije blockchaina. Pravni okviri AML (Anti Money Laundering) i CTF (Counter-Terrorist Financing) propisuju obvezu i standarde provjere identiteta korisnika te procjene visine rizika da se tehnologija koristi u zabranjene svrhe. Instrumenti pomoću kojih se AML i CTF osiguravaju su KYC (Know Your Customer) i KYT (Know Your Transaction). KYC procedura zahtijeva od pružatelja neke usluge vezane za blockchain (najčešće mjenjačnice i pružatelja skrbničke usluge novčanika) da od svojih korisnika zatraži određene osobne podatke prije nego što pristane pružiti im uslugu.

Ti osobni podaci najčešće uključuju ime, prezime, adresu stanovanja i datum rođenja, a kao dokaz istinitosti navedenih podataka traži se i preslika osobne iskaznice/putovnice. Nakon prikupljanja tih podataka, pružatelj usluge uspoređuje ih s listama osoba koje su uključene, ili za koje postoji mogućnost da su uključene u kriminalne aktivnosti poput terorizma, zabranjene trgovine i pranja novca. AML procedure također uključuju provjeru prometa kriptosredstava i utvrđivanje ukazuje li taj promet na pranje novca (KYT).

U lipnju 2018. Europski parlament i Europsko vijeće usvojili su petu Direktivu o sprečavanju korištenja financijskog sustava u svrhu pranja novca ili financiranja terorizma 2015/849, pod skraćenim imenom AML5D. Nova pravila zahtijevaju da pružatelji usluga vezanih za blockchain obavezno primjenjuju KYC procedure pri prihvaćanju novih korisnika, te je uvedena obveza registracije kod nacionalnih vlasti. Nove dužnosti uključuju i KYT, odnosno praćenje prometa te prijavu sumnjivih aktivnosti nadležnim tijelima. Državna tijela imaju pravo zatražiti podatke od pojedinih korisnika.

AML5D Hrvatski je sabor već ugradio u Zakon o sprječavanju pranja novca i financiranja terorizma izmjenama i dopunama koje su stupile na snagu 25. travnja 2019. U članku 9., izmijenjeni zakon kao obveznika mjera koje propisuje navodi i pravne i fizičke osobe koje se bave djelatnošću pružanja usluga razmjene virtualnih i fiducijarnih valuta i djelatnošću pružanja skrbničke usluge novčanika. Iako su izmjene i dopune na snazi od travnja, novi zakon određuje da se navedene osobe smatraju obveznicima zakona tek od 1. siječnja 2020.

Veliki apetiti regulatora

Međunarodna organizacija Financial Action Task Force (FATF), osnovana 1989., na inicijativu zemalja G7, s namjerom da se bori protiv pranja novca, u veljači 2019. izdala je preliminarnu verziju dokumenta koji sadrži smjernice za regulaciju kriptovaluta. Te smjernice sadrže mjere koje bi države trebale usvojiti za učinkoviti nadzor transakcija kriptovaluta. Jedna od tih mjera odnosi se i na dužnost zemalja da propišu dužnost pružatelja usluga vezanih za blockchain da prikupljaju i pohranjuju informacije o stranci koja šalje sredstva i o primatelju tih sredstava te o dostavi tih informacija nadležnim tijelima na njihov zahtjev. Međutim, očito je da adresa primatelja može biti digitalni novčanik, koji nije pod skrbništvom nijednog pružatelja blockchain usluge te stoga vrlo često neće biti dostupni nikakvi podaci o primatelju. Svjesna te činjenice, Europska komisija će do 2022. godine izdati preporuku za novi dodatak Direktivi. Dodatak će, između ostaloga, sadržavati pravila o dužnosti podnošenja prijave samog vlasnika kriptovaluta o stanju i transakcijama vlastitih sredstava. Također, države članice morat će voditi baze podataka s identitetima korisnika i njihovim privatnim adresama.

Ta regulatorna nastojanja izazivaju srdžbu pobornika blockchain tehnologije, koji imaju na umu ideju kojom su bili vođeni pioniri blockchaina. Nadzor od države, ili bilo kojeg drugog centralnog entiteta, a pogotovo ovako strogi, kosi se s principima decentralizacije i otpornosti na cenzuru, ugrađenima u blockchain. Negativne posljedice tako stroge regulacije i nadzora nisu samo povrijeđeni ideološki osjećaji, već su to i opipljivi učinci na ljudska prava i ekonomiju.

Djelatni troškovi koje takva tegobna obveza iziskuje težak su financijski teret za pružatelje usluga vezanih za blockchain. Manji igrači ove bi troškove mogli smatrati previsokima te se zbog toga povući. Dužnost prijave korisnika centralnom entitetu također bi mogla značajno usporiti djelovanje pružatelja usluga vezanih za blockchain, usporiti njihov rast te usporiti profesionalizaciju tržišne infrastrukture.

Naravno, velika briga za korisnike u ovoj priči je i njihova privatnost. Upitno je koliko je tako veliki zahvat u privatnost pojedinca opravdan s obzirom na svrhu koju se želi postići.

Pozitivne nuspojave AML regulacije

Ta regulacija sa sobom potencijalno nosi i prednosti. Jedna od njih je to što bi takvo uređenje moglo ohrabriti banke da češće posluju s pružateljima usluga vezanih za blockchain. KYC i KYT su, naime, u pravilu obavezni za banke i financijske institucije. Oni bi, dakle, mnogo radije ušli u odnose sa strankama uz koje dolazi jamstvo AML i CTF usklađenosti, čije je trenutačno dvojbeno postojanje glavni razlog rezerviranosti banaka i financijskih institucija oko takvih poslova. Olakšani pristup bankarskim mrežama potaknuo bi daljnji rast i razvoj infrastruktura. To bi moglo pozitivno utjecati na ugled i likvidnost pružatelja usluga vezanih za blockchain te smanjiti volatilnost blockchain tržišta. To potencijalno stvara i uvjete za toliko željeni ulazak institucionalnih investitora na blockchain tržište.

Između ostaloga, to će doista i pridonijeti svrsi za koju je osmišljeno. Navedena regulacija praktično će vrlo otežati pranje novca, financiranje terorizma i općenito otežati tako vođene kriminalne aktivnosti. No, kako ćemo to vidjeti, ona i dalje neće ukloniti takve djelatnosti.

Naime, ako neka privatna adresa nije registrirana pri nekom servisu čiji pružatelj podliježe AML ili CTF obvezi, vlasnik njezinog privatnog ključa i dalje je nepoznat, odnosno, faktički anoniman. Ta regulativa pozitivno će utjecati na peer to peer transakcije kojima će korisnici blockchaina prionuti u nastojanju da očuvaju svoju privatnost. Izbjegavanjem posrednika koji podliježe regulaciji, koja zahtijeva identifikaciju svojih korisnika, korisnici će zadržati svoju anonimnost te će moći nesmetano, jednostavno i brzo obavljati brojne transakcije. To će olakšati primjena sve brojnijih decentraliziranih mjenjačnica (dex – Decentralised exchange). Dexevi primjenjuju iste principe kriptografije kao i blockchain te stoga nije potrebna nikakva registracija korisnika da bi se ta mogućnost mogla koristiti – dovoljan je privatni ključ određene adrese. Korisnici će tako zadržati svoju anonimnost, a nadzornim će tijelima provjera tih kanala prometa kriptovaluta ostati u tami.

Zar opet GDPR?

Opća uredba o zaštiti podataka (engl. General Data Protection Regulation, ili skraćeno GDPR), uredba je koja uređuje obradu osobnih podatka na razini EU. Zamišljena je tako da bude tehnološki neutralna, što znači da su njezine odredbe trebale biti primjenjive na nadolazeće tehnologije, jednako kao i na sve koje već postoje. Ako blockchain sadrži osobne podatke, primjenjuje se GDPR.

Definiranjem pojmova kao što su voditelj i izvršitelj obrade, GDPR implicirano pretpostavlja postojanje centraliziranog mehanizma obrade podataka. Takav model uzima da su pojedini sudionici lako odredive osobe s više-manje jasno razgraničenim područjem djelovanja, te jasno određenim pravima i dužnostima. On također pretpostavlja da se konkretna obrada podataka obavlja na jednom ili nekolicini lako odredivih mjesta. Ukratko rečeno, GDPR pretpostavlja centralizirani sustav unutar kojeg se obrađuju osobni podaci. Već je široko poznato da su mehanizmi i temeljni principi prema kojima funkcionira blockchain upravo suprotni tomu. Blockchain je sredstvo decentralizacije. Kako su, dakle, GDPR i blockchain utemeljeni na proturječnim postulatima, u teoriji i praksi nastaju brojni problemi koji se odražavaju na svim područjima primjene GDPR-a.

Jedan od glavnih problema koji se javljaju s ovom tehnologijom jest nemogućnost brisanja podataka nakon što se učitaju na mrežu. GDPR određuje da svaka fizička osoba čiji se podaci obrađuju ima pravo na ispravak osobnih podataka koji se na njega odnose te “pravo na zaborav” (a right to be forgotten) ispuni li se neka od GDPR-om propisanih pretpostavki. Međutim, na blockchainu ne postoji mogućnost promjene jednom učitanih podataka. On je podoban samo za dodavanje podataka, a to ne utječe na postojanje onih prethodno zapisanih.

Blockchain je koncipiran tako da svaki dio sustava sadržava informacije o cijelom sustavu. Drugim riječima, podaci, jednom učitani na blockchain, ne samo da zauvijek ostaju, već ostaju dostupni svima koji se koriste tim blockchainom. Dakle, može doći do kršenja odredbi GDPR-a samom činjenicom učitavanja tuđih osobnih podatka na blockchain, jer će ti podaci postati dostupni svima, dokle god postoji taj blockchain.

Kruške i jabuke

Budući da svaki dio sustava sadrži informacije o cijelom sustavu, javlja se pitanje uloga pojedinih osoba koje sudjeluju u njemu. Prema GDPR-u, voditelj obrade onaj je tko samostalno ili s drugima određuje svrhe i sredstva obrade. To može biti izazov u tehnologiji raspodijeljenog zapisa. Svaki korisnik koji učitava podatke na blockchain može biti smatran voditeljem obrade. I doista, korisnici određuju s kojom svrhom učitavaju podatke, i kao sredstvo u ovom slučaju odabrali su blockchain. S druge strane, izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade, odnosno postupa sukladno uputama voditelja obrade. Tko točno obrađuje (dakle, prikuplja, organizira, strukturira, pohranjuje itd.) podatke u blockchainu? Jesu li to mineri zato što njihov hardver dodaje transakcije na blockchain na zahtjev i prema uputi druge osobe (voditelja obrade)? Ili su to developeri koji su pridonijeli programskom kôdu blockchaina, ili koji su programirali pametne ugovore? Postoji i stajalište prema kojem je svaki korisnik blockchaina izvršitelj obrade za druge korisnike zato što je mreža rukovođena od svih svojih korisnika.

Stvar se dodatno komplicira odredbom GDPR-a da se obrada osobnih podataka uređuje ugovorom između voditelja i izvršitelja. S obzirom na decentraliziranu prirodu mreže, voditelji obrade su nepoznati, a ne zna im se ni broj ni lokacija. To čini obvezu sklapanja spomenutog ugovora vrlo teško provedivom. Svaki voditelj obrade trebao bi sklopiti ugovor sa svakim izvršiteljem obrade. Budući da postoji problem podvođenja odgovarajućih osoba pod definiciju voditelja i izvršitelja, nije jasno tko bi trebale biti strane takvog ugovora. Nadalje, čak i kad bi ugovorne strane bile poznate, zbog njihove brojnosti bilo bi neekonomično, štoviše i suludo, pokušati sklopiti sve potrebne ugovore.

Isti problem javlja se u primjeni odredbe GDPR-a, prema kojoj svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog njegova kršenja, ima pravo na naknadu štete od voditelja ili izvršitelja obrade. Ovisno o tumačenju GDPR-a, to bi moglo dovesti do situacije u kojoj osoba koja je pretrpjela štetu nezakonitom obradom podataka ima pravo na naknadu štete od svakog sudionika mreže.

Decentralizacija je krivac

Sve gore navedeno odnosi se na javne, odnosno permissionless blockchainove. To su oni blockchainovi koji su otvoreni za sve osobe koje imaju računalo, bez nametnutih ograničenja oko toga tko može pristupiti platformi i potvrditi transakcije. Takozvani permissioned blockchain onaj je kojem je takav pristup ograničen. Pristup može biti ograničen na različitim razinama, ovisno o posebnostima platforme, s obzirom na čitanje podataka, zahtjev za novom transakcijom i potvrđivanje transakcija. Permissioned blockchainovi najčešće su privatni blockchainovi.

Na privatnom blockchainu, dozvolu za zapisivanjem i potvrđivanjem podataka ima jedan ili nekoliko entiteta koji uživaju vrlo visoko povjerenje od ostalih korisnika, i svi sudionici pobrojani su i jasno identificirani. Centralni entitet u nekim slučajevima pojedinim sudionicima može ograničiti pravo da čitaju podatke. Centralni entitet (ili nekoliko njih) ima moć promijeniti pravila privatnog blockchaina i odbiti transakciju, odnosno zapis podataka na blockchain. S obzirom na to da su validatori transakcija dobro poznati, lakše je ljudskom intervencijom popraviti neispravne dijelove sustava i tako spriječiti napade na sustav izvana, što podatke na takvim mrežama čini sigurnijim od običnih baza podataka. Međutim, centralizirana priroda tih mreža čini ih ranjivim na ljudsko petljanje.

Možemo zaključiti da problemi koji postoje prilikom primjene GDPR-a na javne, permissionless blockchainove, nisu isti kao i prilikom primjene na privatne. Tako će privatni blockchain s visokim stupnjem centralizacije imati jasno definirane i pobrojane sudionike. Razgraničenje njihovih djelatnosti, a time i njihovih prava i obaveza, jasnije je. Mali broj sudionika omogućuje i sklapanje ugovora i sporazuma među njima. Veličina sustava omogućuje i promjenu podataka zapisanih na blockchainu. Teritorijalno područje primjene također je jasno.

Moglo bi se reći da se svaki blockchain nalazi na određenom mjestu u spektru (de)centralizacije. Ovisno o stupnju decentralizacije, javljaju se ili nestaju neka pitanja i problemi u vezi primjene GDPR-a. Što je blockchain više decentraliziran, primjena GDPR-a je nejasnija, i obratno. Moglo bi se reći da visok stupanj centralizacije jedan privatni blockchain zapravo čini konvencionalnom bazom podataka. Zato postoji mišljenje nekih da privatni blockchain nije pravi blockchain.

Nova rješenja

Developerima budućih blockchainova i blockchain tehnologija bilo bi u interesu graditi ih u skladu s GDPR-om. Kazne za kršenje određenih odredaba GDPR-a iznose i do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. GDPR se primjenjuje od svibnja 2018. godine, i svijest o njegovoj ozbiljnosti i učinku koji će imati na poslovni život mnogih tek se počela formirati. Nedovoljno brza i ozbiljna reakcija mogla bi povlačiti značajne financijske posljedice, pogotovo za manje poduzetnike, koji si ne bi mogli priuštiti plaćanje tako visokih kazni. Ne uzme li se pri razvoju novih tehnologija tehnička i integrirana zaštita podataka (Privacy by Design/by Default), to bi moglo značajno utjecati na njihovu budućnost, a i na budućnost samih kompanija pod čijim nadzorom se one razvijaju.

GDPR također propisuje dužnost voditelja obrade da prije obrade provede procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, ako je vjerojatno da će neka vrsta obrade, osobito pomoću novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca. Procjena učinka na zaštitu podataka je procjena utjecaja određenih vrsta obrade na privatnost podataka. “Rizik” je scenarij koji opisuje događaj i njegove posljedice procijenjene s obzirom na ozbiljnost i vjerojatnost. Kao što smo ranije vidjeli, blockchain tehnologija predstavlja rizik za sigurnost osobnih podataka te stoga postoji dužnost kompanija čije je poslovanje u uskoj vezi s blockchainom, da, u skladu s odredbama GDPR-a, provedu takvu procjenu.

Postoji nekoliko rješenja kojima je moguće smanjiti ili izbjeći predviđene rizike u odnosu na blockchain.

Jedno od njih je da se osobni podaci obrađuju izvan blockchaina (off-chain), a da se na blockchain sprema samo jedinstveni identifikator (hash) koji služi kao poveznica za određene podatke pohranjene na off-chain bazi podataka. Međutim, takvo pohranjivanje podataka oduzima prednosti koju pruža blockchain tehnologija, a to je pouzdanje u istinitost pohranjenih podataka. Druga mogućnost je korištenje side-chaina, koji bismo mogli nazvati paralelnim blockchainom. Stupanj sigurnosti i privatnosti na njima ovise o tehnologiji koju koriste.

Treća mogućnost je kriptografska tehnika Zero knowledge proof, koja omogućuje dvjema stranama da dokažu kako je neki prijedlog istinit, bez otkrivanja ikakvih informacija o tom prijedlogu, osim činjenice da je istinit. Primjer blockchaina koji koristi takvu tehnologiju je Zcash (ZEC), što nam ulijeva povjerenje u potencijal razvoja blockchaina u smjeru koji ga čini usklađenim s GDPR-om.

Povuci – potegni

Primjena GDPR-a na blockchain predstavlja velik, naizgled nepremostiv, izazov. Jednako se čini i u slučaju prilagođavanja blockchain tehnologije GDPR-u. Korisnici i developeri javnih blockchainova morat će se pripremiti na mogućnost da države članice, ili sama Europska unija, zabrane korištenje takve tehnologije. U tom slučaju, naravno, blockchain bi i dalje postojao, međutim, njegovo bi korištenje predstavljalo kazneno djelo. Svakako, poželjna alternativa tome bilo bi nalaženje nekog kompromisa. Međutim, teško je to zamisliti s ovim stanjem tehnologije, čak i u teoriji. Neopravdano je i misliti da će istinski vjernici u blockchain popustiti centralnom diktatu država. To je tako, ne samo zbog njihova više-manje opravdanog bunta, već i zbog činjenice da se programskom kôdu javnog blockchaina pridonosi iz cijelog svijeta, dakle, i iz država u kojima se ne primjenjuje GDPR. Ne postoji razlog da stanovnicima tih država koji pridonose blockchainu bude stalo da blockchain bude u skladu s GDPR-om.

S druge strane, kod privatnih blockchainova postoji više mogućnosti njihova usklađivanja s GDPR-om. Međutim, oni tako ostaju bez odlika koje blockchain čine tako poželjnim. Nada svih strana leži u mogućnosti razvoja novih tehnologija i poboljšanju postojećih, koje će dovesti do rješenja koje pomiruje dva naizgled nepomiriva svijeta. S obzirom na to da su svi podređeni nekoj centralnoj vlasti, postoji određena izvjesnost da će se blockchain developeri željeti s vremenom prilagoditi zakonodavstvu kako bi oni i njihovi korisnici izbjegli eventualne pravne neusklađenosti, a tehnologija poprimila masovnu adopciju i otvorila vrata institucionalnim investitorima. U međuvremenu, blockchain developerima poželjno je da ustroje pravnu službu ili da se posavjetuju sa stručnjacima za GDPR kako bi se osigurali od visokih kazni.

Regulator na vratima ICO-a

Možda vrlo širokom spektru osoba najzanimljiviji aspekt blockchain regulacije odnosi se na investicijski dio, konkretno na Initial Coin Offering – ICO. Regulacija ICO-a vrlo je važna tema zbog toga što je većina takozvanih kripto entuzijasta ušla u svijet blockchaina s namjerom da brzo i lagano zarade. ICO je događaj u kojem neka kompanija na prodaju nudi nova, svježe generirana kriptosredstva (tokene) kako bi financirala svoj novi projekt (startup). Korisnici, motivirani potencijalnom zaradom od budućeg porasta vrijednosti tokena ili praktičnim koristima koje će upotreba tih tokena pružiti, plaćaju ICO cijenu tokena te stječu njihovo vlasništvo. Glavna pobuda zakonodavca da regulira područje ICO-a je zaštita takozvanih nekvalificiranih investitora, odnosno investitora koji nemaju dovoljno kapitala, iskustva i imovine da bi si mogli priuštiti tako riskantno ponašanje poput investiranja u ICO.

Svijet ICO-a doživio je svoj vrhunac krajem 2017. i početkom 2018. te se procjenjuje da je u ime ICO-a u te dvije godine prikupljeno više od 20 milijardi dolara. U to se vrijeme mnogo osoba vrlo brzo obogatilo sudjelujući u tim događajima. Međutim, naličje toga pokazalo se u pojavi brojnih prijevarnih ICO-a koji su koristili lakovjernost i nesposobnost nekvalificiranih investitora kako bi prikupili novac i nestali. Druga negativna pojava karakteristična za ICO bila je rezultat izrazite volatilnosti kriptotržišta i loše osmišljenih projekata. Mnogo tokena stečenih u ICO-ima vrlo su brzo doživjeli veliki pad vrijednosti, zbog čega su investitori izgubili većinu uložene vrijednosti, a kompanije propale. Zakonodavci su, u nastojanju da ICO-e stave pod kontrolu, naišli na pravnu dvojbu. Naime, postavilo se pitanje mogu li se tokeni koji se nude preko ICO-a svrstati pod postojeću regulaciju (i koju), ili će se morati osmisliti novi skup pravila. Problem se zapravo svodi na to mogu li se tokeni smatrati nematerijalnim vrijednosnim papirima, u kojem se slučaju mogu svrstati u postojeću regulativu, ili se neće smatrati vrijednosnim papirima, u kojem će slučaju biti svrstani pod neki drugi, postojeći ili budući, regulatorni okvir.

ICO evolucija

Odavde slijedi i temeljna podjela tokena na utility tokene i security tokene. Utility tokeni imaju određenu namjenu u decentraliziranim aplikacijama koje kompanija gradi i zbog kojih održava ICO. Dakle, utility tokeni nisu stvoreni kako bi bili investicija. Security tokeni su digitalna sredstva koja predstavljaju ili crpe vrijednost iz nekih drugih, vanjskih sredstava, odnosno, oni su digitalna reprezentacija neke stvarne vrijednosti. Oni najčešće predstavljaju pravo vlasništva nad nekom stvari, a mogu predstavljati i pravo glasa i pravo na udio u dobiti. Ta vrsta tokena služi kao temelj za isplaćivanje dividenda, podjelu dobiti ili da nekako drugačije stvaraju dobit za svoje vlasnike, i stoga se smatraju investicijama s očekivanom dobiti.

Te vrste tokena važno je razlikovati jer jedni potpadaju pod vrlo strogi pravni okvir, a za druge uglavnom ne postoji posebna regulacija. Security tokene reguliraju pravni propisi koji se odnose na vrijednosne papire. Ova dihotomija: stroga regulacija – praktično nepostojanje regulacije, stvorila je dvije posebne vrste ICO-a: 1. ICO u užem smislu riječi u kojem se generiraju i prodaju utility tokeni, te 2. STO ili Security Token Offering.

Kompanija koja vodi STO mora tu činjenicu registrirati pri nadležnom državnom tijelu. Propusti li to učiniti, podliježe strogim kaznama. Nadalje, sudjelovanje u STO-u može se ponuditi samo određenom, uskom krugu osoba koje, zbog dobivene dozvole ili zbog nekih osobnih svojstava (accredited investors), država smatra kvalificiranim investitorima. Države su procijenile da takve osobe nisu u opasnosti od prijevare ili od ulaganja osuđenih na propast. Postoje i inačice u kojima pristup STO-u imaju i obični ulagači, ali određen je najviši dozvoljeni iznos prikupljenih sredstava (koji je u tom slučaju vrlo nizak), i inačica u kojoj također svi imaju pristup, ali STO projekt mora dobiti posebnu potvrdu nadležnog državnog tijela. Nadalje, security tokeni stečeni u STO-u vrlo često podliježu roku prije čijeg isteka je zabranjena njihova trgovina.

Oba lica kovanice (tokena)

Sudjelovanje u ICO-u, u užem je smislu stoga pristupačno širem, odnosno, neograničenom krugu osoba. Nepostojanje dužnosti registracije ICO događaja potaknulo je mnogo prijevara. Budući da pravila koja bi uređivala raspolaganje utility tokenima praktički ne postoje, oni su vrlo volatilni te je stoga kretanje njihove vrijednosti često naglo i brzo. Tokeni su, naime, podložni raznim manipulacijama vrijednosti na tržištu (primjerice, poznati pump & dump scenarij). Security tokeni zbog stroge su regulacije ograničeni u prometu, ali vjerojatnost da su povezani s nekom prijevarom zaista je minimalna. Zbog regulatornog nadzora, osigurano je da kompanije koje su održale STO djeluju u najboljem interesu investitora. To se, osim na zabranu prijevarnih projekata, odnosi i na zabranu insajderskog trgovanja. Zbog silnih ograničenja, STO je mnogo teže održati, što zbog visoke cijene usklađivanja sa zakonom, što zbog manjeg broja podobnih investitora.

U stvarnosti nije uvijek lako razlikovati utility tokene od security tokena. Često i security token ima neku praktičnu namjenu. Kako bi se uspješno razlikovalo ICO od STO-a, u praksi je uveden tzv. Howey Test. Pomoću njega, događaj se uspoređuje s četiri kriterija: a) uključen je novčani ulog, b) postoji očekivana dobit od uloga, c) ulaže se u zajednički pothvat, i d) dobit proizlazi iz djelovanja treće osobe.

Međutim, primjena toga testa vrlo često ne jamči jasno razgraničenje između dvije vrste tokena. Zapravo, dosljednom primjenom testa nailazimo na to da skoro svaki token potpada pod pravila koja vrijede za security tokene, odnosno vrijednosnice. Tako, u većini slučajeva, kompanija koja prikuplja sredstva za svoj projekt čini to upravo zato da bi tek razvila utility tokene. Iako će tokeni koji su raspodijeljeni u tom ICO-u u budućnosti imati konkretnu namjenu, oni u trenutku raspodjele ničemu ne služe. Platforma na kojoj će se oni moći jednom koristiti najčešće je tek u nastajanju, a novac prikupljen u ICO-u služit će njenoj izgradnji. Također, stvarno je stanje da rijetko tko ulaže u token zbog njegove buduće namjene. Mali blockchain investitor ulaže kako bi stekao dobit.

STO, dobro nam došao

Budući da mnoge velike kriptomjenjačnice nisu spremne prihvatiti security tokene, kompanije koje pokreću ICO jednostavno koriste zamagljeno blockchain područje kako bi kvalificirale svoje tokene kao utility tokene. To se pokazalo korisnim iz više razloga. Prvi je taj da prihvat tokena na te mjenjačnice značajno pridonosi porastu njegove vrijednosti, što godi i vlasnicima projekta i investitorima. Drugi je taj što to čini proces prikupljanja ulaganja brzim, lakim i bezbolnim. Međutim, sve će to doći na naplatu, ako već i nije. Semantički iskrojeni projekti s “utility” tokenima morat će kad-tad ići dokazivati takva svojstva svojih tokena regulatorima, mjenjačnicama ili investitorima. Također, iskrivljavanje činjenica na spomenuti način zahtijeva ulaganje brojnih dodatnih napora koji bi mogli oštetiti osnovnu djelatnost kompanije.

ICO-i provedeni izvan security pravnog okvira doživjeli su svoje zlatno doba, no vremena se mijenjaju. U posljednje vrijeme javlja se novi trend. Poučeni iskustvom prijevarnih ICO-a, brzo propalim projektima i mnogim financijskim gubicima, investitori su počeli sve više razmatrati STO pristup ulaganju. STO implicira visok stupanj zaštićenosti investitora i legitimnosti projekta. Kompanije slušaju glasove investitora te zato u startupskom svijetu sve više niču STO projekti.

Međutim, ICO-i su daleko od svog sumraka. Mogućnosti koje pružaju ICO-i još uvijek ni približno nisu istražene. No, zlatno doba STO-a tek je ispred nas. Oni imaju svijetlu budućnost u obliku tokenizacije nekretnina, fondova, dugova i članstva u društvima. STO-i će na novi način obogatiti svijet blockchaina. Oni pružaju veću transparentnost pomoću KYC procedura, bolje štite investitore, usuglašeni su s financijskom regulacijom te su manje volatilni, s obzirom na to da su podržani stvarnim sredstvima. Legitimnost ovako održanih startupskih projekata pridonijet će vjerodostojnosti cijeloj blockchain industriji. STO-e je možda teže organizirati jer zahtijevaju više vremena, truda i troškova, ali prava vrijednost ne stvara se lagano.

Privremeno primirje

Ideja regulacije bila je vrlo mrska blockchain zajednici, pogotovo u njenim ranim danima. Libertarijanci su u blockchainu vidjeli obećanje financijske neovisnosti o državnim institucijama. Miješanje vlasti u potencijalni instrument oslobođenja predstavljalo bi upravo ono od čega zaziru. Među njima, javili su se i oni čije pobude su se više ticale lake zarade. “Divlji zapad” blockchaina spretnima je omogućio profitabilno kretanje prostorom bez pravila i nadzora. Međutim, evolucija koju je blockchain doživio posljednjih godina učinio je miješanje država predvidivim i neizbježnim. Peer to peer, ekosustav bez kontrole, omogućio je stvaranje nove vrijednosti, ali doveo je i do nepoželjnih posljedica. Kriminalne aktivnosti i nezaštićenost običnog čovjeka, odnosno, nekvalificiranog investitora, glavni su pokretači regulacije.

Vremenom su se čak i protivnici regulacije omekšali, shvativši da će, barem na kratke staze, regulacija koristiti blockchain ekosustavu. Borba titana: država i blockchaina, došla je do točke privremenog primirja. Donesena rudimentarna pravila za sprečavanje pranja novca i terorizma, te privremeno svrstavanje tokena u pravni okvir vrijednosnih papira, postavili su status quo oko pitanja regulacije. Države žele blockchain držati pod kontrolom, a kripto zajednica želi njegov veći legitimitet kako bi popločila put masovnoj adopciji i ulasku institucionalnih investitora. Regulacija će se nesumnjivo nastaviti, međutim, oprez država znatno je usporava. Svaki regulator osvrće se oko sebe i čeka ohrabrenje u obliku velikih regulatornih poteza drugih. Neke države već su učinile neke korake i pitanje je vremena kad će se postići kritična masa potrebna za sveopće upuštanje u regulaciju.

Činjenica je da postojeća pravila nisu skrojena za blockchain, što će predstavljati vrlo veliki izazov za regulatora na određenim područjima kao što je, primjerice, zaštita osobnih podatka. Međutim, na mjestima gdje se može primijeniti na blockchain, regulacija nije tako kobna kako bi se to na prvi pogled činilo. Najveća opasnost koja prijeti jest neadekvatna regulacija, koja bi mogla dovesti do gušenja tehnologije i usporavanja napretka.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.