CODE, Offering Optimal Solutions for Compliance with EBA’s Travel Rule Guidelines

San So
codevasp
Published in
9 min readAug 1, 2024

In July 2024, the European Banking Authority (EBA) released a comprehensive regulatory framework titled “Guidelines for information requirements related to transfers of funds and certain crypto-assets under Regulation (EU) 2023/111” (“Travel Rule Guidelines”).

This announcement is significant as it provides Virtual Asset Service Providers (VASPs or CASPs) with effective procedures and application methods for compliance with the Travel Rule ahead of its implementation in Europe, scheduled for December 30, 2024.

CODE aims to share key highlights and insights about our services that comply with EBA’s guidelines.

1. Establishing Procedures for Handling Incomplete Travel Rule Information

4.6. Transfers with missing or incomplete information in accordance with Articles 8, 12, 17 and 21 of Regulation (EU) 2023/1113

4.6.1. Risk-based procedures for determining whether to execute, reject or suspend a transfer in accordance with Articles 8(1), 12, 17(1) and 21(1) of Regulation (EU) 2023/1113

When virtual assets are transferred across countries, discrepancies in national regulations may result in transfers where the Travel Rule is not applied. Such differences may arise from the varying implementation timelines or transaction thresholds in different countries.

The EBA’s guidelines emphasize the need for internal policies to address ‘unverified deposits’ resulting from the absence of Travel Rule information due to these reasons. Virtual Asset Service Providers (VASPs or CASPs) generally have the following options:

Execution (Deposit): Proceed with the deposit after acquiring the Travel Rule information retrospectively. Rejection (Return): Return the assets if the information cannot be verified. Hold: Wait until the necessary information is obtained if neither deposit nor return is feasible.

CODE offers the ‘Search VASP by TXID’ feature, which allows for the identification of the originating VASP or sender information by querying the transaction’s TXID. This process ensures that incomplete information can be accurately and promptly supplemented, facilitating compliance with the Travel Rule.

2. Risk Assessment and Interoperability System for VASPs

C. Guidelines 3.1. on the interoperability of messaging or payment and settlement systems

The Guidelines highlight that a system’s architectures should be sufficiently robust to enable the transmission of information in a seamless and interoperable manner so that CASPs involved in the transfer chain can comply with the travel rule requirements.”

Paraphrase 26. “CASPs and ICASPs should take proportionate, risk-sensitive measures to assess:

a) the system’s ability to communicate with other internal core systems and with the messaging or payment and settlement systems of the counterparty of a transfer, and its compatibility with other blockchain networks.

The EBA guidelines emphasize the importance of a system architecture that enables seamless and interoperable information transfer to ensure VASPs can comply with Travel Rule requirements. Furthermore, CASPs and ICASPs must evaluate their system’s communication capabilities and compatibility with blockchain networks.

CODE implements the API communication method and IVMS101 (InterVASP Messaging Standard 101) messaging protocol to standardize and streamline the transfer of Travel Rule information. This design allows for the easy integration of Travel Rule information across all virtual assets, enabling VASPs to build and operate their systems with flexibility and ease.

Additionally, CODE conducts stringent risk assessments of VASPs by referencing the GDF VADDQ (Global Digital Finance Virtual Asset Due Diligence Questionnaire). The GDF VADDQ is based on the Wolfsberg Group’s CBDDQ (Correspondent Banking Due Diligence Questionnaire) and only VASPs that have been validated against the GDF VADDQ criteria are included in CODE’s Travel Rule alliance network.

By leveraging CODE’s Travel Rule solution, VASPscan effectively save resources needed for system interoperability and risk assessment. This facilitates the rapid exchange of information among virtual asset service providers, providing a secure and trustworthy network environment that maximizes interoperability and regulatory compliance capabilities.

3. Policy Development for Verifying Self-Hosted Wallet

4.8.2. Identification of a transfer from or to a self-hosted address

To determine whether or not a self-hosted address is used on the other end of a transfer, the originator’s CASP and the beneficiary’s CASP should rely on available technical means including but not limited to blockchain analytics, third-party data providers and identifiers used by messaging systems.

The EBA guidelines stress the importance of internal policies for self-hosted wallets, also known as personal wallets. The EBA has identified personal wallets as high-risk from a money laundering perspective and indicated that they should be subject to stricter regulatory oversight to overcome technical limitations in verifying ownership. Therefore, VASPs must be able to comply with Travel Rule requirements for self-hosted wallets by obtaining necessary information from users or utilizing blockchain analysis data, third-party data, or data from authorized regulatory bodies.

CODE provides a service that allows VASPs to clearly distinguish whether the recipient(beneficiary) is a VASP or not at the point of withdrawal request. VASPs can utilize CODE’s ‘Search VASP by Address’ feature to retrieve relevant information. Additionally, through active partnerships with data analysis providers, CODE enables cross-data verification of deposit and withdrawal addresses or TXIDs, allowing users to manage and respond to high-risk wallets.

By employing these measures, CODE ensures that VASPs can effectively address the challenges associated with self-hosted wallets, thereby enhancing compliance with the Travel Rule and improving overall security within the virtual asset ecosystem.

4. Establishing a Security Framework Compliant with GDPR

Recital 19 of Regulation (EU) 2023/1113 states that ‘the processing of personal data under this Regulation should take place in full compliance with Regulation(EU) 2016/679 (…)’ and, equally, that ‘the transfer of personal data to a third country is required to be carried out in accordance with Chapter V of Regulation (EU) 2016/679’. There are also other data protection mandates in the second paragraph of Article 25(4) of this Regulation which are separate from the ones addressed in these Guidelines.

The EBA guidelines stipulate that VASPs must fully comply with GDPR when processing and transferring personal data, emphasizing data integrity before and after information transfer. Given that the Travel Rule involves the exchange of user personal information, establishing a secure communication environment from a security perspective is paramount.

CODE adopts an end-to-end encrypted API communication method. This approach encrypts Travel Rule information so that only the receiving VASP can decrypt it. As a result, CODE cannot access users’ personal information, thereby maintaining a high level of security. By implementing these measures, CODE ensures that VASPs can comply with GDPR requirements while maintaining the integrity of personal data during the information exchange process. This reinforces the overall protection of the virtual asset ecosystem.

5. LEI: Requirements for Legal Entity with the Travel Rule

4.4.4. Providing an equivalent identifier to the LEI of the payer, the payee, the originator and the beneficiary in accordance with Articles 4(1), point (d), 4(2), point ©, 14(1), point (e), and 14(2), point (d), of Regulation (EU) 2023/1113

When a corporate entity is involved in the sending or receiving of virtual assets, compliance with the Travel Rule is mandatory. The EBA guidelines recommend using the Legal Entity Identifier (LEI) as the corporate identifier. The LEI is an international common identifier for legal entities.

To facilitate corporate clients, CODE collaborates with the Korea Securities Depository to offer an LEI issuance agency service and fee waiver benefits. This partnership aims to streamline the process for corporate entities, ensuring they can easily obtain and utilize LEIs for compliance with the Travel Rule.

Europe has implemented regulations for virtual assets somewhat later than South Korea, but these regulations are considered more stringent. The EBA’s announcement of the Travel Rule guidelines provides an opportunity for VASPs and Travel Rule solution providers to ensure they are well-prepared for regulatory compliance.

CODE offers a Travel Rule solution that meets global regulatory requirements while providing extensive interoperability, which has been adopted by many virtual asset service providers worldwide. Moving forward, CODE will continue to focus on enabling virtual asset service providers to comply with Travel Rule regulations safely and conveniently, ensuring the smooth operation of their businesses.

Source: EBA, Guidelines on information requirements in relation to transfers of funds and certain crypto-assets transfers under Regulation (EU) 2023/1113 Published July 4, 2024.

CODE, EBA 트래블룰 가이드라인 준수를 위한 최적 솔루션 제공

2024년 7월, 유럽 금융 감독 기관인 European Banking Authority(EBA)는 가상자산의 트래블룰 준수에 관한 포괄적인 규제 프레임워크인 “Guidelines for information requirements related to transfers of funds and certain crypto-assets under Regulation (EU) 2023/111”(“Travel Rule Guidelines”)을 발표했습니다.

이번 발표는 2024년 12월 30일에 예정된 유럽의 가상자산 트래블룰(TFR) 시행을 앞두고, VASP(가상자산 서비스 제공자 또는 CASP)들이 트래블룰 준수를 위한 효과적인 절차와 적용 방법에 대한 지침을 제공한다는 점에서 중요합니다.

코드(CODE)는 EBA의 가이드라인을 준수하는 우리의 서비스에 대해 주요 하이라이트와 인사이트를 공유하고자 합니다.

1. 불완전한 트래블룰 정보에 대한 처리 절차 마련

4.6 Regulation (EU) 2023/1113의 제8조, 제12조, 제17조 및 제21조에 따라 누락되거나 불완전한 정보가 있는 전송

4.6.1 Regulation (EU) 2023/1113 제8(1)조, 제12조, 제17(1)조 및 제21(1)조에 따라 전송을 실행, 거부 또는 보류할지 여부를 결정하기 위한 리스크 기반 절차를 마련해야 한다.

가상자산이 국가 간 이전되는 경우, 국가별 규제 정도 차이에 따라 트래블룰이 적용되지 않는 이체 건이 발생할 수 있습니다. 대표적으로 국가별 트래블룰 시행시기나 적용 금액 기준 등에서 차이가 발생합니다.

EBA의 가이드라인에서는 이러한 사유로 인해 트래블룰 정보가 없는 ’미확인 입고’에 대한 내부 정책을 마련해야 한다고 강조합니다. 이때 가상자산 사업자(Virtual Asset Service Provider / Crypto Asset Service Provider)들은 일반적으로 아래와 같은 옵션을 선택할 수 있습니다.

  • 실행(입고): 트래블룰 정보 사후 획득 후 입고 진행
  • 거부(반환): 정보 미확인 시 자산 반환
  • 보류: 입고나 반환을 할 수 없는 경우 필요한 정보를 획득할 때까지 대기

코드는 ‘TXID로 VASP 찾기’ 기능을 제공하여, 송신 VASP나 송신인 정보를 확인할 수 없는 경우 트랜잭션의 TXID를 조회하여 VASP를 식별하고 트래블룰 데이터를 요청하는 프로세스를 통해 불완전한 정보를 정확하고 빠르게 보완할 수 있게 합니다.

2. VASP 간 위험평가 및 트래블룰 상호 운용성 시스템 마련

C. 가이드라인 3.1. 메시징 또는 결제 및 정산 시스템의 상호 운용성에 관한 지침

CASP가 전송 체인에 포함된 경우 트래블 룰 요구사항을 준수할 수 있도록 정보 전송을 원활하고 상호 운용 가능하게 할 수 있는 시스템 아키텍처가 충분히 견고해야 한다고 강조한다.

Paraphrase 26. “CASP(암호자산 서비스 제공자)와 ICASP(중개 암호자산 서비스 제공자)는 비례적이고 위험에 민감한 조치를 취하여 다음을 평가해야 합니다:

a) 시스템이 다른 내부 핵심 시스템 및 송금 상대방의 메시징 또는 결제 및 정산 시스템과 통신할 수 있는 능력, 그리고 다른 블록체인 네트워크와의 호환성

EBA 가이드라인은 VASP가 트래블룰 요구사항을 준수할 수 있도록 정보 전송을 원활하고 상호 운용 가능하게 할 수 있는 시스템 아키텍처를 강조합니다. 또한, CASP와 ICASP는 시스템의 통신 능력과 블록체인 네트워크와의 호환성을 평가해야 합니다.

코드는 API통신 방식과 IVMS101 (InterVASP Messaging Standard 101) 메시징 프로토콜을 사용하여 트래블룰 정보 전송을 표준화하여, 통합하는데 용이하도록 구현하고 있습니다. 또한 모든 가상자산에 대한 트래블룰 정보 공유가 가능하게 설계됨으로서 VASP들은 쉽고 유연하게 시스템을 구축하고 운영할 수 있습니다.

한편, 코드는 GDF VADDQ를 참고하여 VASP에 대한 엄격한 위험평가를 실시하여, VASP 간 신뢰할 수 있는 트래블룰 연합 네트워크 환경을 제공합니다. GDF VADDQ 실사 항목은 GDF(Global Digital Finance) 그룹이 the Wolfsberg Group의 CBDDQ(Correspondent Banking Due Diligence Questionnaire)를 기초로 작성된 것으로 코드의 트래블룰 연합에는 GDF VADDQ 실사 항목을 검증받은 가상자산사업자들만이 이용하고 있습니다.

코드의 서비스는 트래블룰 솔루션을 이용하는 VASP들이 시스템에 대한 상호호환과 위험평가를 위해 소요되는 자원을 효과적으로 절약할 수 있게 하며, 가상자산 사업자간 신속하게 정보를 전달하게 함으로서 VASP들에게 안전하고 신뢰할 수 있는 네트워크 환경을 제공하여 상호 운용성과 규제 준수 능력을 극대화합니다.

3. 개인 지갑 정보 확인을 위한 정책 마련

4.8.2. 자가 호스팅 주소로부터 또는 자가 호스팅 주소로의 전송 식별

전송의 한 쪽 끝에 자가 호스팅 주소가 사용되는지 여부를 결정하기 위해 송신자의 VASP와 수신자의 VASP는 블록체인 분석, 제3자 데이터 제공자 및 메시징 시스템에서 사용되는 식별자를 포함하되 이에 국한되지 않는 기술적 수단을 활용해야 한다.

EBA 가이드라인은 개인 지갑이라고도 불리는 자가 호스팅 지갑(Self-Hosted Wallet)에 대한 내부 규정 마련을 강조합니다. EBA는 자금 세탁 관점에서 개인 지갑의 위험도를 높게 평가했으며, 소유권 검증에 대한 기술적 한계 극복을 위해 더 강력한 규제 적용 대상이 되어야 한다고 밝혔습니다. 따라서 VASP들은 필요에 따라 사용자에게 정보를 얻거나 블록체인 분석 데이터, 제3자 데이터, 공인된 규제당국의 데이터 등 방법 등을 통해 자가 호스팅 지갑에 대한 트래블룰도 준수할 수 있어야 합니다.

코드는 VASP들이 출고 요청 시점에 수신 측(Beneficiary)이 VASP 인지 아닌지를 명확하게 구분할 수 있도록 하는 서비스를 제공합니다. 가상자산 사업자들은 코드가 제공하는 ‘주소로 VASP 찾기’ 기능을 활용해 정보를 검색할 수 있습니다. 또한 코드는 데이터 분석 제공 업체들과의 활발한 파트너십을 통해 입출고 주소나 TXID에 대한 교차 데이터 검증이 가능하도록 하여 위험 지갑에 대한 관리 및 절차적인 대응이 가능할 수 있습니다.

4. GDPR을 준수하는 보안 체계 마련

규정 (EU) 2023/1113의 서문 19는 “이 규정에 따라 개인정보를 처리할 때는 반드시 규정 (EU) 2016/679을 완전히 준수해야 한다”라고 명시하고 있습니다. 또한 “제3국으로 개인정보를 전송할 때는 규정 (EU) 2016/679의 제5장에 따라야 한다”라고도 명시하고 있습니다.

EBA 가이드라인은 VASP가 개인 데이터 처리와 이전이 GDPR(Regulation (EU) 2016/679)을 완전히 준수해야 하며, 정보의 전송 전후의 데이터 무결성에 대해서 강조하고 있습니다. 트래블룰은 사용자의 개인정보가 포함되는 정보 교환인 만큼 보안 관점에서 안전한 통신환경을 구축하는 것이 무엇보다 중요합니다.

코드는 종단 간 암호화된 API 통신 방식을 채택하고 있습니다. 이는 송신 VASP가 수신 VASP만 복호화 할 수 있도록 트래블룰 정보를 암호화하는 방식으로, 트래블룰 솔루션사가 사용자의 개인 정보에 접근할 수 없기 때문에 높은 보안 수준을 유지합니다. 또한 코드는 VASP의 데이터 보호를 위한 엄격하고 보수적인 방식을 채택함으로서 가상자산 사업자의 데이터 주권을 수호하고 있습니다.

5. LEI: 법인의 트래블룰 준수를 위한 식별 정보 조건

4.4.4. Regulation (EU) 2023/1113의 제4(1)조, 제4(2)조, 제14(1)조 및 제14(2)조에 따라 LEI와 동등한 식별자를 제공해야 한다.

법인이 가상자산 송수신의 주체가 되는 경우에도 트래블룰은 필수 사항입니다. 이때 EBA 가이드라인에서는 법인 식별자로 LEI(Legal Entity Identifier)를 사용할 것을 권장합니다.

LEI는 법인 식별을 위한 국제 공통 식별자입니다. 코드는 법인 고객의 편의를 위해 예탁결제원과 협력하여 LEI 발급 대행 서비스와 수수료 면제 혜택을 제공합니다.

유럽은 대한민국에 비해 가상자산에 대한 규제 시행 시기는 다소 늦었지만, 그 규제의 강도는 더 엄격한 것으로 평가받고 있습니다. EBA의 트래블룰 가이드라인 발표는 VASP와 트래블룰 솔루션 제공사들이 규제 준수를 위한 환경을 잘 조성하고 있는지 점검할 수 있는 계기를 제공합니다.

코드는 글로벌 규제 요구사항을 충족하는 동시에 폭넓은 상호운용성을 제공하는 트래블룰 솔루션으로 전 세계 많은 가상자산 사업자들이 채택하여 사용하고 있습니다.

앞으로도 코드는 가상자산 사업자들이 안전하고 편리하게 트래블룰 규제를 준수하며, 사업을 운영할 수 있도록 집중과 최선을 다할 것입니다.

출처: EBA, Guidelines on information requirements in relation to transfers of funds and certain crypto-assets transfers under Regulation (EU) 2023/1113 Published July 4, 2024.

--

--