Art. 40 Mesures visant à atténuer les risques liés aux transactions effectuées au moyen d’une adresse auto-hébergée | Anti-money laundering regulation (AMLR) | AML

This article targets a specific area of risk unique to the crypto-asset space: transfers involving self-hosted addresses, commonly known as unhosted or private wallets.

It places obligations squarely on crypto-asset service providers to assess the money laundering and terrorist financing risks that arise from transfers going to or coming from these addresses, and to back that assessment up with internal policies and controls.

The article then provides a non-exhaustive menu of mitigating measures that providers must apply, scaled to the risks they identify.

It connects naturally to the broader enhanced due diligence framework in the regulation, applying sector-specific logic to a type of transaction that, by its nature, sits outside the traditional counterparty identification process.

AMLA is also tasked with issuing guidelines by 10 July 2027 to give further practical shape to how these obligations should be met.

Important points:

Implement internal policies, procedures and controls to assess the money laundering and terrorist financing risks posed by transfers to or from self-hosted addresses.
Apply mitigating measures commensurate with the risks identified, which may include identifying and verifying originators or beneficiaries, requesting additional information on the origin and destination of crypto-assets, or conducting enhanced ongoing monitoring.
AMLA is required to issue guidelines by 10 July 2027 specifying the criteria and means for identity verification in the context of self-hosted address transfers, including how to determine whether a self-hosted address is owned or controlled by a customer.

1. Les prestataires de services sur crypto-actifs identifient et évaluent le risque de blanchiment de capitaux et de financement du terrorisme lié aux transferts de crypto-actifs effectués vers ou depuis une adresse auto-hébergée. À cette fin, les prestataires de services sur crypto-actifs disposent de politiques, procédures et contrôles internes.
2. Les prestataires de services sur crypto-actifs appliquent des mesures d’atténuation proportionnées aux risques identifiés. Ces mesures d’atténuation comprennent l’une ou plusieurs des actions suivantes:
  1. prendre des mesures fondées sur les risques pour identifier et vérifier l’identité de l’initiateur ou du bénéficiaire d’un transfert effectué depuis ou vers une adresse auto-hébergée ou du bénéficiaire effectif de l’initiateur ou du bénéficiaire de crypto-actifs en question, y compris en faisant appel à des tiers;
  2. exiger des renseignements supplémentaires sur l’origine et la destination des crypto-actifs;
  3. assurer une surveillance continue renforcée des transactions effectuées au moyen d’une adresse auto-hébergée;
  4. prendre toute autre mesure afin d’atténuer ou de gérer les risques de blanchiment de capitaux et de financement du terrorisme ainsi que le risque lié à l’absence de mise en œuvre et au contournement de sanctions financières ciblées.
1. Au plus tard le 10 juillet 2027, l’ALBC émet des orientations précisant les mesures d’atténuation visées au paragraphe 1, y compris:
  1. les critères et les moyens d’identification et de vérification de l’identité de l’initiateur ou du bénéficiaire d’un transfert effectué depuis ou vers une adresse auto-hébergée, y compris en s’appuyant sur des tiers, en tenant compte des dernières évolutions technologiques;
  2. les critères et les moyens permettant de vérifier si l’adresse auto-hébergée est ou non détenue ou contrôlée par un client.