إذا كان من الممكن تسريب المعاملات المصرفية للحكومة المستبدة ، فيمكن تسريبها كذلك.
ربما يكون هذا هو التضمين الأكثر إغفالًا حتى الآن المقلق للإغراق الأخير للبيانات لأكثر من 2000 تقرير نشاط مشبوه (SARs) قدمته المؤسسات المالية إلى شبكة إنفاذ الجرائم المالية الأمريكية (FinCEN).
ان سلسلة التحقيق بواسطة BuzzFeed News ، المعروفة باسم ملفات FinCEN ، ركزت على الطرق التي تستخدم بها البنوك الكبرى تقارير SAR لتجنب المسؤولية عن المعاملات غير المشروعة المحتملة. لكن التسرب يثير أسئلة أكبر حول خصوصية البيانات: ما هي البيانات الشخصية التي تتضمنها SAR ، وكم من الوقت يتم الاحتفاظ بها وهل الحكومة تحميها حقًا؟
أجرت CoinDesk مقابلات مع العديد من المحامين وخبراء الامتثال ، بما في ذلك موظف سابق في FinCEN ، ولم يتمكن أي منهم من تقديم تفاصيل محددة حول المدة التي تحتفظ فيها الحكومة ببيانات SAR. شكك الغالبية في أن المعلومات قد تم حذفها بالفعل.
بشكل عام ، رسمت المحادثات صورة لوكالة تعاني من نقص الموظفين وتجلس على قمة مجموعة ضخمة من البيانات. نظرًا لأن المؤسسات المالية تحتاج فقط إلى الإبلاغ عن المعاملات الكبيرة أو التي يحتمل أن تكون مشبوهة ، فإنها تجمع أيضًا بيانات الأفراد الذين لم يرتكبوا جريمة.
قالت ميليسا جي آر غولدشتاين ، المحامية السابقة في FinCEN والمستشارة الخاصة الآن في شركة المحاماة المالية شولت روث وزابل: “لديك معلومات شخصية وخاصة في قاعدة بيانات ومزاعم تتعلق بالسلوك”. “فقط لأن اسم شخص ما في SAR لا يعني بالضرورة أنه مذنب بارتكاب شيء إجرامي.”
لم تستجب FinCEN لطلبات المقابلات المتعددة لهذه المقالة ، أو على قائمة الأسئلة التي تضمنت إجراءات أمان البيانات ومدة الاحتفاظ بتقرير SAR أو Currency Transaction (CTR) في قاعدة بياناتها.
دراجنت
تأسست في عام 1990 ، وهي مسؤولة عن منع واكتشاف غسيل الأموال. وهذا يعني أنه يحتفظ بقاعدة بيانات ضخمة من SAR التي توفر توثيقًا تفصيليًا للحالات المشتبه فيها لغسيل الأموال أو الاحتيال.
كانت مهمة FinCEN الأصلية هي “توفير شبكة استخبارية وتحليلية على مستوى الحكومة ومتعددة المصادر لدعم الكشف عن جرائم غسل الأموال المحلية والدولية وغيرها من الجرائم المالية والتحقيق فيها ومقاضاة مرتكبيها” بحسب موقع وزارة الخزانة. أصبح مكتبًا لوزارة الخزانة الأمريكية نتيجة لقانون باتريوت الأمريكي في عام 2001 ، وأصبح التخفيف من تمويل الإرهاب جزءًا أساسيًا من اختصاصه.
تهدف SARs إلى توثيق أي شيء يعتبره البنك غير عادي. وعندما يتم إرسالها ، فإنها تتضمن تفاصيل دقيقة عن الفرد.
قالت فانيسا ويليامز ، كبيرة مسؤولي الامتثال في CrossTower ، مشغل تبادل الأصول الرقمية ، في مقابلة هاتفية أن هذه الملفات “تشمل الاسم والعنوان وتاريخ الميلاد ورقم الضمان الاجتماعي ووصف النشاط المزعوم. في حالة توفر أدلة ظرفية ، نشجعك على تقديم ذلك ، والذي قد يتضمن معلومات مهنية “.
اقرأ المزيد: “المرتزقة الرقميون”: لماذا تشعر شركات Blockchain Analytics بالقلق من أنصار الخصوصية
يتم جمع هذه المعلومات عن جميع الأطراف المعنية ، بالإضافة إلى تفاصيل مثل أرقام جواز السفر أو رخصة القيادة والتواريخ ذات الصلة وما هي الرموز التي تقع تحت النشاط المشبوه.
في الولايات المتحدة ، يجب تقديم طلب SAR إذا كان ، على سبيل المثال ، يشتبه في المتاجرة من الداخل أو يحتمل أن يكون غسيل أموال أو انتهاكات لقانون السرية المصرفية. يتطلب دليل على قرصنة الكمبيوتر أو عميل يدير نشاطًا تجاريًا لخدمات الأموال غير المرخصة أيضًا SAR تلقائيًا.
ولكن يمكن أيضًا تسجيل المعاملات التي قد تكون غير ضارة. أي إيداع نقدي قدره 10000 دولار أو أكثر يؤدي إلى إيداع CTR لدى FinCEN ويمكن أن يقترن بـ SAR إذا رأى أحد موظفي البنك أنه مريب. يجب على البنوك تقديم طلب SAR إذا حددت معاملة مشبوهة تتضمن 5000 دولار أو أكثر. تقسيم الوديعة إلى مبالغ أصغر بطريقة تتجنب الوصول إلى عتبة نسبة النقر إلى الظهور هي جريمة. تتضمن نسبة النقر إلى الظهور المعلومات الشخصية مثل أرقام الضمان الاجتماعي ورخصة القيادة.
كانت هناك مناقشات حول زيادة مبلغ المال الذي يؤدي إلى ظهور نسبة النقر إلى الظهور ، ولكن هناك فواتير مثل قانون مكافحة الإرهاب والتمويل غير المشروع، الذي تم تقديمه في عام 2018 ، والذي كان من شأنه أن يرفع الحد الأدنى من 10000 دولار إلى 30 ألف دولار ، لم يتجاوز. واقترح مشروع القانون أيضًا رفع الحد الأدنى للوقت الذي يجب فيه تقديم طلب ريال سعودي من 5000 دولار إلى 10000 دولار.
في الواقع ، تحاول FinCEN التحرك في الاتجاه المعاكس ، وتسعى إلى التقاط حتى أكثر البيانات. وقد اقترحت تخفيض حد “قاعدة السفر” ، وهو مبلغ المعاملة التي يجب على البنوك أن تجمع وتخزن معلومات تحويل الأموال عندها. كما ذكرت CoinDesk ، فإن اقتراحها سيخفض الحد الأدنى من 3000 دولار إلى 250 دولارًا لأي تحويلات تغادر الولايات المتحدة
وفي الوقت نفسه ، زعم موقع BuzzFeed أن تقديم تقارير SAR يوفر “شبه حصانة” للمؤسسات المالية التي استمرت في تسهيل ، والأهم من ذلك ، تحصيل الرسوم من حركات الأموال المرتبطة بأحرف مشبوهة حتى بعد تنبيه المنظمين لها.
أظهرت الملفات المسربة من BuzzFeed أنه على الرغم من تقديم تقارير SAR متعددة في بعض الحالات ، لم يتم اتخاذ أي إجراء ضد البنوك أو الأشخاص أو الكيانات التي تستند إليها تقارير SAR.
اقرأ المزيد: لم يتم إنشاء الويب للخصوصية ، ولكن يمكن أن يكون كذلك
ذكرت BuzzFeed أن “بعض البنوك تتعامل مع SAR على أنها نوع من بطاقة الخروج من السجن ، حيث تقدم تنبيهات حول مجموعة ضخمة من المعاملات دون التحرك فعليًا لوقفها”.
تلقت FinCEN أكثر من 12 مليون ريال سعودي من مجموعة واسعة من الصناعات من 2011 إلى 2017 ، تبعا للوكالة. تم إرسال 2 مليون في عام 2019 وحده ، أو ما يقرب من 5500 في اليوم. يجب أن تحتفظ البنوك بهذه التقارير لمدة خمس سنوات بعد الإبلاغ عنها.
قال مايكل ييجر ، أحد المساهمين في مكتب المحاماة كارلتون فيلدز ، الذي يركز على التحقيقات الحكومية ومسائل الأمن السيبراني: “لا أعتقد أن الاحتفاظ بالبيانات يتم التفكير فيه بجدية على المستوى الحكومي”. إنهم يحددون المدة التي يحتفظون بها على مستوى البنك ، لكن الحكومة لا تفعل ذلك. ليس من عادة تدمير البيانات “.
بين المطرقة والسندان
تتمثل مهمة FinCEN في الحصول على البيانات ونشرها. في عام 2012 ، FinCEN أخذ جميع بياناته ، بما في ذلك التفاصيل الشخصية المدرجة في SAR ، وجعلها إلكترونية وقابل للبحث ، مما يعني أن جهات إنفاذ القانون المعتمدة يمكنها البحث عن رقم أو اسم الضمان الاجتماعي للشخص على طول معايير ضيقة أو واسعة ، والحصول على جميع البيانات المتعلقة بها. تتضمن قاعدة البيانات تفاصيل من 300 مليون تقرير ، وفقًا لـ FinCEN.
كانت غولدشتاين جزءًا من الفريق الذي أشرف على هذا الانتقال في نهاية فترة عملها في FinCEN من 2009 إلى 2013.
بعد بدء تشغيل نظام الملفات الإلكترونية BSA في 2013 ، يمكن للبنوك تقديم ملفات SAR رقميًا وفعلت ذلك. يمكن أيضًا لأعضاء إنفاذ القانون الذين لديهم بيانات اعتماد الوصول تسجيل الدخول والبحث عن طريق رقم الضمان الاجتماعي والاسم والتواريخ والرموز البريدية. يمكنهم أيضًا تضييق نطاق معايير البحث للحصول على تقارير ومعلومات محددة.
قال غولدشتاين إن مؤسسة FinCEN عالقة في وضع صعب لأن مهمتها هي “جمع المعلومات وتحليلها ونشرها إلى جهات إنفاذ القانون والهيئات التنظيمية”.
اقرأ المزيد: كوري دوكورو: شبكة الاحتكار موجودة بالفعل
على موقعها على الإنترنت ، FinCEN الخطوط العريضة الفوائد التي يجنيها تطبيق القانون من البيانات المالية التي يجمعها:
“عند دمجها مع البيانات الأخرى التي تم جمعها من قبل أجهزة إنفاذ القانون ومجتمعات الاستخبارات ، تساعد بيانات FinCEN المحققين في ربط النقاط في تحقيقاتهم من خلال السماح بتحديد أكثر اكتمالاً للموضوعات المعنية بمعلومات مثل: المعلومات الشخصية ؛ عناوين غير معروفة من قبل ؛ الشركات والجمعيات الشخصية ؛ الأنماط المصرفية أنماط السفر وطرق الاتصال. “
كما يسرد العديد من الحالات الناجحة التي تم فيها استخدام بياناته.
هناك مجموعة من الناس في FinCEN تتمثل مهمته في البحث في كل بيانات اعتماد تسجيل الدخول ، وكل بحث يتم إجراؤه بواسطة بيانات اعتماد تسجيل الدخول ونشاط آخر. ومن الناحية النظرية ، من المفترض أن يكون لدى عدد قليل فقط من الأشخاص من كل مكتب مدعي أمريكي حق الوصول إلى النظام. ومع ذلك ، فإن هذه الاحتياطات الداخلية لا تمنع اختراق البيانات أو تسريبها من قبل جهات سيئة. كانت هناك ثلاث تسريبات بارزة بشأن SAR منذ عام 2017.
قالت أنجيلا أنجيلوفسكا ويلسون ، المؤسس المشارك لشركة DLx Law والمسؤولة القانونية السابقة للامتثال لشركة برمجيات blockchain Digital Asset: “ليس هناك شك في أن أي هيئة مركزية تخزن البيانات يُنظر إليها على أنها نقطة جذب. “ربما تكون الحكومة واحدة من أفضل وأكبر نقاط الجذب الموجودة هناك”.
إنها تشير إلى تقرير مفوضية الفضاء السيبراني سولاريوم، الذي صدر في مارس ، كسبب للقلق بشأن أمن البيانات الحكومية.
قالت Angelovska-Wilson: “إنها ترسم تحليلًا مقلقًا للغاية لحالة أنظمتنا الحكومية ، مثل النظام المالي والبنية التحتية الحيوية الأخرى”. “إنهم غير مهيئين لحرب الأمن السيبراني الحديثة. إذن بالنسبة إلى FinCEN ، فيما يتعلق ببيانات SAR ، هل يُنظر إليها على أنها نقطة جذب رائعة؟ في رأيي الشخصي ، بالتأكيد “.
اقرأ المزيد: الهندسة الاجتماعية: طاعون على Crypto و Twitter ، من غير المحتمل أن تتوقف
كان يايجر مساعدًا لمحاميًا أمريكيًا عندما علم مكتب إدارة شؤون الموظفين (OPM) تم اختراقها. الاختراق هو يعزى إلى حد كبير لجيش التحرير الشعبي الصيني.
قال في مكالمة هاتفية: “كان لدي استبيان للأمن القومي حيث كان علي أن أملأ ، على سبيل المثال ، 24 صفحة بالكثير من المعلومات”. “مثل أي شخص آخر يملأ هذا النموذج ، كان علي أن أضع الكثير من التفاصيل عن حياتي هناك ، بما في ذلك حياة عائلتي.”
بسبب خرق OPM ، قال إنه يعتقد أن 24 صفحة من البيانات هذه هي الآن في أيدي الحكومة الصينية.
“هل تحتاج إلى المزيد من الموارد لحماية البيانات؟ قال غولدشتاين من FinCEN.
كما أن إشراك العديد من وكالات إنفاذ القانون يخلق ديناميكية حيث يتم مشاركة البيانات على نطاق أوسع. يؤدي القيام بذلك عبر مختلف وكالات تطبيق القانون والوكالات الحكومية إلى خلق مخاطر أكبر بسبب عدد الكيانات التي تتعامل معها.
قال يايجر إن البيانات التي تخزنها FinCEN يمكن استخدامها لمعرفة التدفقات المالية التي يتم توثيقها في SARs ؛ يمكنك إلقاء نظرة على مصدر مصرفي معين للحصول على عرض لأنشطته ، أو يمكنك إعادة توظيف البيانات لأسباب أخرى.
قال ييجر: “إنها نافذة على النظام المالي ، وعلى وجه التحديد الأشياء التي تم الإبلاغ عنها على أنها نشاط غير قانوني محتمل”. “لذا ، مهما كانت فائدة ذلك ، سواء كان ذلك مجرمًا أفرادًا يرون” أوه ، نعم ، هم على عاتقي “أو أنها مادة ابتزاز يمكنك استخدامها ضد الناس ، فالحدود تحددها خيالك فقط.”
يتم تغريم الشركات ما لم تحتفظ بالبيانات لمدة خمس سنوات مطلوبة. لا يزال من غير الواضح كم من الوقت تقوم FinCEN نفسها بتخزين البيانات. قال كل من Angelovska-Wilson و Yaeger إنهما يشككان في حذف البيانات على الإطلاق.
“لا يوجد الكثير من الاهتمام بشكل عام بشأن مسألة الاحتفاظ ، لأننا بشكل عام نريد البيانات ، أليس كذلك؟ قال ييجر إن القاعدة الأولى للبيانات الضخمة هي الحصول على الكثير من البيانات.
تفويض البنوك
تقوم البنوك بإيداع المزيد والمزيد من تقارير SAR ، وعددها تقريبًا تضاعف في العقد الماضي.
كانت المؤسسات المالية تقوم بمزيد من ملفات SAR الدفاعية ، وفقًا لأنجيلوفسكا ويلسون ، محولة ما كان عملية مدروسة إلى شيء أقرب إلى مجرد التحقق من الصندوق. الفكرة الأساسية هي أن البنوك تقدم أعدادًا كبيرة من SARs لحماية نفسها من المسؤولية أو التعرض للغرامات بسبب عدم الامتثال المحتمل مع BSA.
حتى لو كانت مجرد معاملة خارجة عن المألوف ، فإن مسؤولي الامتثال لديهم السلطة التقديرية لتقديم SAR ، فقط في حالة. الآن لديك SAR ، مليء بالمعلومات الشخصية ، حتى لو كنت مواطنًا ملتزمًا بالقانون.
تقوم المؤسسات المالية الآن بتسجيل الكثير من الأشياء التي تؤدي إلى “سيل من البيانات” ، وفقًا لأنجيلوفسكا ويلسون.
مع تزايد عدد تقارير البحث والإنقاذ المقدمة إلى FinCEN ، فإن القسم نفسه يتقلص. تم تخفيض عدد موظفي FinCEN بنسبة 10٪ خلال نفس الفترة ، ويبلغ عددهم حاليًا حوالي 300 موظف.
مع طبيعة المعاملات المالية على مدار 24 ساعة ، ضغوط من تطبيق القانون للذهاب بعد مسؤولي الامتثال، والحاجة الأساسية للنوم ، ليس لمسؤولي الامتثال في المؤسسات المالية أسهل وظيفة عندما يتعلق الأمر باتخاذ القرارات بشأن ما يجب تقديمه أم لا. لذلك تستمر البيانات في القدوم.
“ال [SARs] يتم استخدام البيانات مثل البيانات من برامج المراقبة الجماعية الأخرى ، “مايكل جيرمان ، الوكيل الخاص السابق لمكتب التحقيقات الفيدرالي وخبير الأمن القومي والخصوصية ، قال BuzzFحلف. “ابحث عن شخص تريد الحصول عليه لأي سبب من الأسباب ، ثم ابحث في الكم الهائل من البيانات التي تم جمعها للعثور على أي شيء يمكنك تعليقه معه.”
