Hlavní navigace

Jak bezpečné je mít kryptoměny uložené na kustodiálních službách?

 Autor: Depositphotos
Přestože z kryptoměnové komunity zaznívá už léta jako mantra heslo „not your keys – not your coins“, trend je spíše opačný: stále větší množství kryptoměn se nalézá v nějaké formě kustodiální úschovy. Jaké jsou limity legální odpovědnosti takové úschovy?
Karel Wolf 18. 6. 2020
Doba čtení: 6 minut

Sdílet

Právě touto otázkou se zabývá měsíc stará, leč médii v době vydání prakticky přehlédnutá, 42 stran dlouhá akademická studie The Failed Hopes of Disintermediation: Crypto-custodian Insolvency, Legal Risks and How to Avoid Them výzkumníků Matthiase Haentjense, Tycho de Graafa a Ilyii Kokorina z Leiden Law School v Holandsku.

Před několika dny kanadský soud po dlouhém vyšetřování odtajnil pozadí spektakulárního kolapsu obří kanadské burzy QuadrigaCX, která po smrti jejího zakladatele a ředitele Geralda Cottena měla přijít o přístup ke klíčům kryptoměn za 190 milionů dolarů, tedy asi 4,3 miliardy korun (cena v době oznámení události), a požádala o ochranu před věřiteli. Vyšetřování ale odhalilo, že realita byla ve skutečnosti barvitější a burza (minimálně v pozdní fázi své existence) provozovala de facto klasické Ponzi. Podle velmi podobného modelu shodou okolností probíhaly i poslední měsíce Mt. Goxu. Kompenzace poškozených je přitom stále značně nejistá, respektive je téměř jisté, že se s částí svých prostředků již nikdy neshledají. Všechny závěry šetření je možné nahlédnout zde.

Právě zamítnutí nároků na revizi a umožnění výběru bitcoinů v případě Mt. Goxu (bitcoin nebylo podle rozsudku možné z pohledu práva vlastnit), nebo například loňský rozsudek k předloňskému hacku italské burzy BitGrail (konečné rozhodnutí florentského soudního dvora), kdy ani uživatelům, kteří se nestali přímo obětí hacku, nebylo umožněno vybrat na burze uložené krypto, přitom dobře ilustrují, jak vratká práva uživatelů v případě kustodiální úschovy kryptoaktiv ve skutečnosti jsou.

Insolvence provozovatele (v posledních letech například Cryptopia, Cointed GmbH, nebo již zmiňovaná QuadrigaCX a BitGrail) je navíc až třešnička na dortu, jen z vlastní zkušenosti mohu potvrdit, jak nepříjemné byly první chvíle po hacknutí Bitstampu v roce 2015 (který byl ve své době považovaný za jednu z nejbezpečnějších burz) nebo socializace ztráty po hacknutí Bitfinexu o rok později. Právě v takových chvílích si člověk uvědomí, jak nejistá jsou jeho práva ve srovnání s ekvivalentními regulovanými službami v rámci tradičního finančního systému.

Ani samotné krádeže kryptoměn přitom neklesají, naopak je jich již tolik, že si na ně všichni zvykli jako na nedílnou součást prostředí, a podobné události mají dokonce čím dál menší dopad na výkyv kurzů kryptoměn. Jen v roce 2019 bylo podle forenzní blockchainové společnosti CipherTrace různým způsobem ukradeno kryptoměn za 4,26 miliardy dolarů (160% nárůst oproti předchozímu roku), v prvních pěti měsících letošního roku se sice číslo drží „jen“ na 1,4 miliardy, i tak je to druhý největší nárůst za poslední tři roky a vyšší hodnota než za celý rok 2018.  

Sice dnes existují alternativy k tradiční kustodiální úschově bez ztráty možnosti obchodování nebo způsoby minimalizace rizika, jako je napojení hardwarové peněženky uživatele na API burzy a minimalizace doby přímé expozice kustodiální úschovy, přesto je díky exponenciálně rostoucím objemům kryptoměn v kustodiální úschově problematika aktuálnější než kdykoli dříve. 

Na právních detailech záleží

Podle studie škoda spojená se ztrátou kryptoměn z kustodiální úschovy, ať již kvůli hacku, nebo kvůli krachu burzy, bude záviset na způsobu úschovy a na tom, jak je definováno vlastnictví a transfer kryptoaktiv (podle toho se aplikuje smluvní nebo vlastnické právo), ale také na tom, k jakému náhledu na právní povahu kryptoměn se přiklání legislativa, pod kterou daná instituce spadá. To často, například při prozření, že se vaše kryptoprostředky nalézají v úschově Ltd. společnosti se sídlem na Britských Panenských ostrovech, nemusí být úplně příjemné zjištění, konsekvence totiž bývají dost zásadní.

Studie věnuje hodně prostoru zkoumání, zdali uživateli uložená kryptoaktiva jsou z pohledu práva součástí probíhající insolvence, nebo zdali mají uživatelé legální nárok na jejich výběr. V praxi zde zpravidla přichází na řadu lokální insolvenční a vlastnické právo, protože ale máme co do činění s internetem, který příliš nerespektuje hranice, vstupuje do hry ještě další faktor, a to různé navázané kolizní normy mezinárodního soukromého práva. 

„Vztah je komplikovaný nedostatkem harmonizovaných pravidel mezinárodního soukromého práva, která jsou vhodná pro velmi specifickou povahu kryptoměn a vztahy mezi zákazníky a správci kryptoaktiv,“ uvádí studie. 

Jako příklad situace, kdy soudy odmítly nároky zákazníků na vrácení aktiv kvůli jejich nejasné právní povaze, uvádí studie již zmiňované případy japonské burzy Mt. Gox (její pád vedl Japonsko k zavedení povinného licenčního systému pro kryptosměnárny) a italské BitGrail. V prvním případě se ukázalo, že bitcoiny nebyly z pohledu práva předmětem vlastnictví, ve druhém sehrálo roli údajné „smíchání kryptoaktiv“.

Případ BitGrailu byl z právního pohledu zajímavý i z dalších důvodů, například se dlouho řešil problém, na koho padá odpovědnost za celou situaci. Soud nakonec rozhodl v neprospěch burzy a jejího ředitele Francesca Firana. Napomohlo tomu ale do velké míry jen rozhodnutí Firana okamžitě neohlásit krádež kryptoměn okamžitě poté, co k ní došlo, ze strachu z veřejné reakce. Tím došlo k dalšímu zbytečnému růstu škod, což bylo pro soud zásadní. Kdyby ale majitel burzy postupoval podle protokolu, mohlo i rozhodnutí soudu vypadat jinak. Zajímavý je také fakt, že kdyby se soud odehrával v Holandsku, kde vznikala daná studie, byl by závěr soudu již úplně odlišný.

Na technickém způsobu uložení záleží stejně

Studie také upozorňuje na to, že správci ukládají kryptofondy uživatelů dvojím způsobem, na což uživatele explicitně neupozorňují. Řeč není o hot a cold peněženkách, ale o poolovaných (častá praktika, používají je třeba burzy Coinbase, Wirex, OKEx a další služby) a segregovaných adresách (méně populární, z těch velkých je využívá například burza Gemini).

Poolované prostředky logicky představují výrazně vyšší riziko, zejména protože prostředky původně připsané jednomu uživateli mohou být snadno využity ve prospěch jiného, a to bez vědomí původního uživatele. Autoři studie navrhují právní podchycení této situace buď úplným zákazem, nebo omezením nakládání s kryptoprostředky uživatelů v úschově. Technicky to lze ohlídat poměrně snadno, a to právě ukládáním uživatelských kryptoaktiv striktně na oddělené adresy namísto poolovaných.

Hlavní závěry studie jsou následující. Aby se risk ztráty kryptoaktiv při insolvenci správce snížil na minimum, měl by být uživatel pokaždé povinně informován, jestli správce plánuje kryptoaktiva používat, uživatelský nárok na kryptoměny během insolvence správce by se měl řídit ideálně vlastnickým právem a znovupoužití uložených kryptoaktiv by mělo být striktně limitováno, nebo nejlépe úplně zakázáno.

Jak by situace vypadala v ČR

Jaké praktiky při ukládání kryptoaktiv používají nejznámější (stále funkční) české burzy, se nám zjistit nepodařilo, co ale víme, je, že podle českého práva mezi provozovatelem burzy a uživateli vzniká smluvní vztah. V § 2913 občanského zákoníku existuje něco, čemu právníci říkají institut smluvní odpovědnosti, a podle něj má ten účastník, který smlouvu poruší, povinnost nahradit vzniklou škodu (odst. 1).

EBF20-tip-Uhl-Krátký_Vala_Menšík

Pozor, je zde ale důležitý háček, z povinnosti se lze vyvléci, když se ukáže, že v jejím plnění bránila mimořádná nepředvídatelná a nepřekonatelná překážka (odst. 2), pod což se dá krásně schovat právě i krádež nebo jiná nepředvídaná ztráta prostředků uložených na burze.

A přesně toho u nás společnosti podnikající v oboru často využívají, stačí do smlouvy se zákazníkem vložit klauzuli, že neodpovídají za vzniklou škodu v případě nepředvídatelných okolností. Pokud některou z těchto služeb používáte, schválně se podívejte, jestli to není také váš případ.