反洗钱课堂⑩：如何认定利用虚拟资产洗钱的犯罪行为？丨小安普法律课堂

随着技术手段的不断变化，商业模式越来越复杂，新时代的洗钱手段层出不穷。我们应该了解洗钱的方式，看穿洗钱的陷阱，避免一不小心成为洗钱的“帮凶”和“典当”。今天，小安援引相关专业报道，为大家详细介绍虚拟资产洗钱案件。

虚拟资产（Virtual Assets）及相关服务有利于刺激金融创新增长，提高经济运行效率，但其独特的特性也为洗钱、恐怖融资等犯罪活动创造了新的机会。近日，金融行动特别工作组（以下简称“FATF”）发布了一份关于虚拟资产洗钱和恐怖融资风险的报告。

报告提供了一系列虚拟资产洗钱犯罪案件，并提供了涉及的六大类风险指标，涵盖交易特征、交易模式、匿名性、客户身份信息、资金来源或资金渠道、地域风险等。

(一）

与交易特征相关的风险指标

以下指标描述了如何从虚拟资产交易特征中识别可疑情况。

风险指标：交易规模和交易频率

①小额、低于历史记录或低于报告阈值的虚拟资产交易。

② 短时间内进行多笔大额交易，大额交易发生后长期停止使用大额交易；不常用的账户突然开始大额交易。

③ 立即将虚拟资产转移给多个虚拟资产资产提供者，尤其是跨司法管辖区的虚拟资产提供者。

④ 将虚拟资产存入交易账户，在比特币柜台立即提取现金，不计交易费用；转换为多种类型的虚拟资产，再次产生额外的交易费用，没有合理的解释；将虚拟资产提供者的虚拟资产提取到私人账户，这将有效地将交易账户/虚拟资产提供者转变为洗钱渠道。

⑤资金来源不明：从被确定为持有被盗资金的虚拟资产地址或与被盗资金持有人相关的虚拟资产地址存入资金。

【案例】多个虚拟资产，多次向国外虚拟资产提供商转让

根据当地虚拟资产交换报告，大约 4 亿韩元（301,170 欧元）从网络钓鱼受害者账户中被盗，最终使用分层技术转换为虚拟资产。

触发警报的原因是有多个大额交易被转移到外国虚拟资产提供商的单个钱包中。

被盗的法币资金首先被转换成三种不同类型的虚拟资产，然后存入嫌疑人在当地虚拟资产提供商处持有的虚拟资产钱包中。

嫌疑人通过48个不同的本地虚拟资产提供商账户转账55次，最终将资金转移到位于国外的虚拟资产钱包，从而混淆了资金来源。 （来源：韩国）

(二）

与交易模式相关的风险指标

以下指标描述了如何从虚拟资产交易模式中识别可疑情况。

风险指标：涉及新用户的交易

①大额首存金额与客户身份信息不符。

②新用户试图交易大部分或全部虚拟资产余额，或大量提取部分或全部虚拟资产，试图从平台提取全部金额。由于大多数虚拟资产都有在线存款交易限额，大额洗钱也可以在柜台进行。

风险指标：涉及所有用户的交易

①涉及使用多个虚拟资产或多个账户的交易没有合理的解释。

②在一段时间内（如一天、一周、一个月等），一个或多个人从同一个IP地址频繁地将大量虚拟资产转移到同一个虚拟资产账户。

③来自许多无关账户的小额交易，随后转移到另一个账户或完全转换为法定货币。

④在存在潜在损失的情况下进行虚拟资产法币兑换（例如，当虚拟资产价值波动时，或与行业标准相比佣金费用异常高，尤其是在没有合理解释的情况下进行交易时）。

⑤将大量法币转换为虚拟资产，或将一种虚拟资产大量转换为其他类型的虚拟资产，且没有合理解释。

【案例】初始存款与客户身份信息不符

据调查，个人账户持有人疑似为犯罪分子在某社交媒体平台上招募的钱骡（money mule）。骡子，一种犯罪分子诱骗不知情的受害者或胁迫同伙使用他们的银行账户转移非法收入或洗钱的账户），有助于收集网上销售商品的索赔。

但是，这些资金似乎是由其他受害公司存入的，而不是销售。

存入的资金立即从个人银行账户划转，分期存入捷克一家股份公司持有的另一个账户，兑换成当地多家虚拟资产机构持有的虚拟资产。资产（比特币）。

这些虚拟资产随后会立即从账户中提取。除了提交可疑交易报告外，该银行还暂停了可疑转账，这使得随后没收了资金。

当地虚拟资产提供商也意识到收到的资金存在违规行为，并提供了有用的信息来协助调查。这些信息包括：购买虚拟资产；交易和其他客户尽职调查信息，例如 IP 地址、被滥用的身份证明文件的副本以及涉嫌买家的姓名。

这允许当局向银行询问更多信息（例如银行对账单）。

(三）

与匿名相关的风险指标

虚拟资产的匿名性增加了执法机构调查犯罪活动的障碍。为犯罪分子提供掩盖非法所得的渠道。识别虚拟资产的匿名交易需要对其他功能或业务逻辑进行全面分析。主要特点是：

①优先使用匿名性较高的虚拟资产，如匿名增强型加密货币（AEC）或隐私币。

②找一些未注册或未经授权的虚拟资产提供者通过P2P交易所网站转移资金，并向其客户收取比其他交易所更高的费用。有些交易会使用银行账户来促成这些P2P交易。

③来自虚拟资产地址或账户与黑市、可疑赌博网站和非法活动直接或间接相关。

④使用本地钱包、冷钱包（不受他人监管，比特币物理存储，安全系数高）跨境传输虚拟资产。

⑤进入虚拟资产提供商平台的用户使用代理或域名注册商（DNS）注册其互联网域名，禁止或修改域名所有者。

⑥使用暗网或其他类似软件关联的IP地址进入虚拟资产提供商平台，该软件允许匿名通信，包括加密邮件和VPN。合作伙伴之间使用各种匿名加密通信方式而不是虚拟资产提供者进行交易。

⑦来自同一个IP地址（或MAC地址）的控制 大量看似无关的虚拟资产账户，可能涉及使用注册到不同用户的shell钱包来隐藏彼此之间的关系。

⑧大量不明来源被用于与庞氏骗局虚拟资产等犯罪计划有关。

⑨与客户尽职调查或了解你的客户 (KYC) 流程明显不充分或不存在的虚拟资产提供商进行金融交易。

⑩使用虚拟资产 ATM 机（尽管这条路线的交易费用较高），以及交易发生在高犯罪活动的地方。单独使用ATM机本身并不足以成为危险信号，但在高风险地区与机器结合使用时，或者用于重复的小额交易，风险会更高。

【案例】阿尔法湾：暗网相关IP地址的使用

Alpha Bay 在 2017 年遭到黑客攻击 当局捣毁的最大暗网犯罪市场，在两年内被数十万人用于非法毒品、盗窃或伪造身份证件、非法访问设备、假冒商品、恶意软件和其他计算机黑客工具、枪支和有毒化学品。

该网站使用技术来隐藏其底层服务器的位置以及其管理员、版主和用户的身份。

Alpha Bay 供应商户使用多种不同类型的虚拟资产，2015 年至 2017 年间约有 200,000 名用户、40,000 家供应商和 250,000 个列表，促成了超过 10 亿美元的虚拟资产交易。

经过最终调查，2017 年 7 月，美国政府在外国当局的协助下，拆除了 Alpha7 Bay 的服务器，逮捕了系统管理员，并没收了 Alpha7 Bay 的所有实物和虚拟资产及其非法所得。

【案例】去中心化账户的使用

在本案中，犯罪分子在互联网上进行了大量毒品销售，不仅允许法币支付，还允许虚拟资产（比特币）。 ，EX代码，EXMO检查）。

以虚拟资产形式收到的非法资金首先转移到犯罪分子持有的去中心化比特币账户，然后进一步转移到不同交易所的其他比特币账户。这增加了追踪资金的难度。

同样，虚拟资产中的洗钱资金会在存入犯罪分子的银行卡账户之前转换回法定货币。经审讯，罪犯被定罪，判处有期徒刑七年，并处罚金。

(四）

关于客户身份信息的风险指标

异常客户身份指标包括：

风险指标：在创建帐户期间发现的违规行为

①创建不同名称的单独账户，以规避虚拟资产提供商对交易或提款的限制。

②从不来自受信任的 IP 地址、来自受制裁的司法管辖区的 IP 地址或以前标记为可疑的 IP 地址的交易。

③ 经常尝试从同一虚拟资产提供商的同一 IP 地址开户。

④对于机构客户虚拟资产洗钱，其互联网域名的注册地与其成立所在的司法管辖区不同，或者域名注册流程薄弱的司法管辖区。

风险指标：Client Persistence 识别过程出现异常

①KYC信息不完整或不充分，或客户拒绝配合查询KYC文件及资金来源。

②客户与交易的关系、资金来源或与交易对手的关系不了解或信息不准确。

③客户在开户过程中提供了伪造的身份证明文件。

风险指标：客户数据保存异常

①客户提供与其他帐户共享的身份或帐户凭据（例如非标准 IP 地址或 Flash cookie）。

②发起客户开户的IP地址与发起交易的IP地址不同。

2p>

③客户的虚拟资产地址出现在与非法活动有关的公共论坛上。

④与执法部门此前披露的犯罪信息有关。

风险指标：潜在的钱骡或欺诈受害者的身份信息简介

①付款人不熟悉虚拟资产技术或在线账户托管服务。这些人可能是由专业洗钱者招募的钱骡，也可能来自被骗子骗取非法收入转移而不知道其来源的钱骡。

②客户的年龄明显大于平台用户的平均年龄，开户并进行大量交易，表明他们可能是假钱骡资产或金融诈骗的受害者。

③协助贩毒业务。

④客户大量购买与其历史财务状况不符的虚拟资产。

风险指标：其他异常情况

①客户频繁更改身份信息，包括电子邮件地址、IP地址或财务信息，这也可能表明客户已被他人接管。

②客户全天频繁尝试从不同IP地址登录一个或多个虚拟资产提供商。l

③在虚拟资产信息字段中使用字母表示正在进行非法活动或购买 毒品或被盗信用卡信息等非法物品的交付很容易。

④一位客户与同一个人客户重复交易，导致大额盈利或亏损。

【案例】客户信息与常规大额增值交易不符

一家虚拟资产提供商（交易所）和一家金融机构（支付机构）向 FIU 提交了一份关于从客户开户时开始的大型虚拟资产交易的可疑交易报告。账户持有人进行了超过 180,000 欧元的各种虚拟资产买卖交易，与账户持有人的个人数据（包括职业和工资）不符。

分析发现，这些虚拟资产随后被用于：黑市交易；在线赌博；与没有足够的 AML 和 CTF 控制的虚拟资产提供商进行的交易，或之前参与过数百万美元洗钱调查的交易；在提供虚拟资产点对点交易的平台上开展业务。

账户持有人还使用各种不同的方式，例如汇款、网上银行和预付卡，在同一时间段内从他们的账户中转移一致数额的资金。账户持有人收到的资金似乎来自以现金、转账和银行系统购买虚拟资产（比特币）的个人网络，这些个人位于亚洲和欧洲的不同司法管辖区。

帐户持有人还通过来自非洲和中东的预付卡接收资金，这些资金又从意大利和国外筹集资金。这些资金随后被用于跨境转账和在线赌博，以及从意大利的 ATM 机提取现金。

(五）

关于资金来源或资金来源

风险指标

涉及与犯罪活动相关的资金来源或资金渠道的常见指标有：

①使用虚拟资产地址或银行卡与已知欺诈、勒索、暗网或其他非法网站相关的交易。

②从或以在线赌博服务为目的的虚拟资产交易来源。

③使用连接虚拟资产钱包的一张或多张信用卡和/或借记卡提取大量法币虚拟资产洗钱，或购买虚拟资产资产的资金来自信用卡的现金存款。

④账户或虚拟资产地址的存款明显高于普通账户，资金来源不明，然后兑换成法币，可能是资金被盗。

⑤ 资金来源和所有者信息缺乏透明度或信息不足，例如涉及使用空壳公司或首次代币发行（ICO）资金，投资者的个人数据可能无法获得，或通过信用卡/预付卡从在线支付系统接收交易，然后立即取款。

⑥客户资金直接来自第三方转换服务。

⑦客户的大部分财富来自投资虚拟资产或ICO投资。

⑧客户的财富来源不成比例地来自其他缺乏反洗钱和反恐融资控制的虚拟资产。

【案例】利用空壳公司转让虚拟资产

2019 年 5 月，美国执法部门根据法院命令查封了一个名为 DeepDotWeb (DDW) 的网站。据称，DDW 的所有者和运营商将 DDW 网站上的个人转介到暗网以获取数百万美元的回扣。这些回扣以虚拟资产的形式支付并存入 DDW 控制的比特币钱包。

为了隐瞒和掩饰总计超过 1500 万美元的非法收益的性质和来源，所有个人和运营商将非法回扣从他们的比特币钱包转移到其他比特币钱包，以及以空壳公司名义控制的银行账户，转移非法收益。

在五年的时间里，该网站从暗网收到了大约 8,155 次比特币回扣，实际交易价值总计约 800 万美元。通过一系列总计超过 40,000 的存款，比特币被转移到被告控制的 DDW 比特币钱包中，随后在 2700 多笔交易中被转移到不同的账户。这些比特币从 DDW 比特币钱包中取出时价值约 1500 万美元。

(六）

与地理风险相关的风险指标

地理风险指标包括：

①跨司法管辖区的比特币交易。

②虚拟资产交易的使用和控制存在严重缺陷。

③客户家庭将办公室搬迁到不受监管的地区或搬到没有明显业务往来的新地区。

【案例】比特币交易商无证经营货币交易业务

2019 年 4 月，被告人向美国 1000 多名客户（比特币）出售数十万美元的虚拟资产，经营无牌汇款业务，被判处两年有期徒刑。被告还被没收了 823,357 美元的利润。

在被告的营销业务中，被告用现金换取他人的虚拟资产，客户通过全国性的ATM或汇款服务向他付款，并获得超过当时服务汇率5%的溢价。

具体来说，他先是通过美国一家交易所获得比特币，在可疑银行账户被冻结后，被告又转向亚洲一家交易所。在 2015 年 3 月至 2017 年 4 月期间，被告使用该交易所在数百笔单独的交易中购买了价值 329 万美元的比特币。

被告还承认，他在 2016 年底至 2018 年初期间，将其存放在另一个国家的现金与贵金属交易商进行了分拆（每份申报要求低于 10,000 美元），发送了超过 100 万美元的可疑资金去美国。

以比特币为代表的虚拟资产具有快速性、跨境性、缺乏监管等多重特性。他们不仅可以混淆资金的来源或去向，还可以有效避免执法机构的刑事调查。金融行动特别工作组 (FATF) 关于虚拟资产洗钱和恐怖主义融资风险的报告旨在协助识别、侦查和预防涉及虚拟资产的犯罪。加密虚拟资产交易的匿名性带来的非法融资隐患正在推动相应的反洗钱监管。 （相关信息来源于FATF官网）

海量资讯，精准解读，尽在新浪财经APP