Hoe wij slaapwandelend de digitale euro ingaan: debat dringend noodzakelijk

Nieuwe fase digitale-europroject

De digitale euro is de afgelopen weken weer veelvuldig in het nieuws. Dit komt doordat de Europese Centrale Bank (ECB) heeft besloten om te beginnen met de volgende fase van het digitale-europroject. Daarin wordt het Eurosysteem technisch klaargemaakt voor een eventuele eerste uitgifte van een digitale euro. De voorbereidingsfase die volgde op de onderzoeksfase (vanaf 2021) en startte in 2023 is hiermee afgerond. Naar verwachting kunnen de eerste pilots in 2027 starten met daadwerkelijke uitgifte in 2029.^[1]

Privacy First heeft al eerder kenbaar gemaakt dat zij fundamentele zorgen heeft over de digitale euro.^[2] Nu steeds meer bekend wordt over het ontwerp van de digitale euro blijven deze zorgen onverminderd groot. Naar verwachting zal de invoering van de digitale euro ingrijpende gevolgen hebben voor de maatschappij en voor de rechten van burgers. Om die reden roept Privacy First op tot een veel steviger debat over de vraag of de digitale euro er moet komen en hoe de financiële privacy van burgers niet verder verslechtert.

Er ligt een voorstel om uitgifte juridisch mogelijk te maken, maar echte politieke discussie is er nog niet geweest in Nederland of Europa. Durft de politiek op enig moment nog nee te zeggen tegen een systeem waarin al zoveel is geïnvesteerd? Slaapwandelen wij niet collectief een systeem in waarvan onduidelijk is wat de voors en tegens zijn voor de maatschappij en de grondrechten van burgers?

Ten aanzien van de digitale euro speelt het volgende:

• Machtsconcentratie bij een Europese instantie (de ECB) die geen democratische verantwoording aflegt.
• De ECB is onvoldoende transparant; volwassen tegenspraak tegen het optreden van ECB ontbreekt en aansprakelijkstelling voor fouten is feitelijk onmogelijk.
• Spanning in de rol van ECB en de praktische uitvoering door financiële instellingen (banken en betaaldienstverleners), die de kosten aan de bedrijfsklant zullen doorberekenen.
• De ECB beslist over het ontwerp van het digitale euro-systeem, waaraan grote maatschappelijke risico’s zijn verbonden.
• De ECB duikt weg voor verantwoordelijkheid als er iets mis gaat in het systeem. Mechanismen ten gunste van gedupeerde burgers ontbreken.
• Alternatieven met minder risico’s voor de grondrechten van burgers worden niet overwogen.

Dit lichten we hierna toe.

De ECB gaat direct euro’s uitgeven aan burgers

De digitale euro moet een aanvulling op munten en biljetten worden. In tegenstelling tot digitaal geld dat commerciële banken uitgeven, gaat de ECB de digitale euro’s zélf uitgeven. Als het plan het haalt, kunnen Europeanen digitale euro’s in een zogeheten ‘wallet’ zetten en daarmee betalingen doen. Ook komt er een offline variant, die op cash zou lijken.

Als de ECB zelf digitale euro’s gaat uitgeven, leidt dit een nog grotere concentratie van macht bij de ECB dan nu al het geval is. Het is een onderbelicht onderwerp wat de gevolgen hiervan zullen zijn en welke impact dit kan hebben voor burgers.

Onvoldoende transparantie en tegenspraak

De ECB is in Europa gepositioneerd als een onafhankelijk instituut vanuit de gedachte dat de politiek geen invloed mag uitoefenen op de centrale bank. Als overheden directe zeggenschap zouden hebben over de centrale bank, zou de politiek in de verleiding kunnen komen de rente te veranderen om zo op de korte termijn een economische hausse te creëren of centrale-bankgeld te gebruiken om populaire maatregelen te financieren. Dit zou de economie ernstige schade toebrengen.

De positionering van de ECB als onafhankelijk instituut leidt ertoe dat de ECB een weinig transparante organisatie is. De ECB geeft uitleg over haar beleid aan de burgers van de EU door bijvoorbeeld vragen te beantwoorden in het Europees Parlement, maar het is nagenoeg onmogelijk de ECB aansprakelijk te houden voor fouten die zij maakt. Dit heeft hoofdzakelijk twee redenen.

Ten eerste hanteert het Europees Hof van Justitie hoge drempels voordat de ECB aansprakelijk geacht wordt. Zo zijn EU-instellingen als de ECB enkel aansprakelijk voor door hen veroorzaakte schade als sprake is van ‘ernstige schending’ van een regel van het EU-recht. Verder kan schade enkel geclaimd worden bij het Europees Hof. Dit is een hoge en kostbare drempel voor burgers, terwijl de doorlooptijd voor een zaak bij het Europees Hof al snel 2 á 3 jaar is. Een zoekopdracht in de database die alle rechtszaken tegen de ECB omvat, levert geen succesvolle claims tegen de ECB op.

De uitrol en het klantcontact ligt bij commerciële partijen

Hoewel de ECB de digitale euro zal uitgeven, zal deze uitsluitend worden gedistribueerd via commerciële banken en betaaldienstverleners. Deze partijen zullen verplicht worden de digitale euro beschikbaar te stellen aan het publiek. Zij zullen verantwoordelijk zijn voor het uitvoeren van alle handelingen die normaliter samenhangen met het openen en aanhouden van een gewone bankrekening, zoals antiwitwas-controles bij onboarding, transactiemonitoring en de klantenservice.

Een bijzondere functie die banken zullen moeten inrichten en laten functioneren is de zogeheten ‘watervalfunctionaliteit’. De verwachting is dat veel mensen het handig vinden om hun digitale euro-rekening te koppelen aan een gewone bankrekening. Omdat mensen waarschijnlijk maximaal 3.000 digitale euro mogen houden en de kans bestaat dat iemand boven dat bedrag uitkomt doordat hij digitale euro’s ontvangt, zal een watervalfunctie moeten worden ingericht, die het overtollige bedrag aan digitale euro’s automatisch overmaakt naar de gekoppelde bankrekening. Omgekeerd kan ook een tekort op de digitale eurorekening direct worden overgemaakt van de gekoppelde bankrekening (de omgekeerde watervalfunctie). Deze functionaliteit komt met risico’s.

De ECB houdt toezicht op de banken en betaaldienstverleners die de digitale euro moeten uitrollen in de markt. De ECB gaat dus controleren of banken en betaalinstellingen de distributie correct uitvoeren (en bijvoorbeeld aanverwante IT-risico’s goed managen) en consumenten die een digitale eurorekening aanhouden goed behandelen.

Tegen prijzen die ECB gaat monitoren

De ECB heeft beloofd dat de digitale euro gratis wordt voor consumenten. Omdat ontwikkeling, uitrol en in de lucht houden van de digitale euro veel geld kost^[3], zullen banken en betaalinstellingen de kosten die zij maken in rekening gaan brengen bij de bedrijven die de digitale euro (verplicht) moeten accepteren.

De kosten die de banken mogen rekenen, moeten volgens de regels^[4] ‘proportioneel’ zijn. De ECB zal monitoren of de vergoedingen die banken gaan vragen inderdaad evenredig zijn.

ECB beslist over ontwerp- en toepassingsmogelijkheden

Het ontwerp van het digitale euro-systeem wordt door de ECB bepaald. De voorgestelde regels voor introductie van de digitale euro stellen de grenzen waaraan de ECB zich zal moeten houden, maar de ECB heeft veel ruimte om tot eigen keuzes en invulling te komen.

Privacy First zal hier niet gedetailleerd ingaan op de mogelijkheden en risico’s die de digitale euro oplevert, maar wijst erop dat inrichting van de digitale euro geen puur technische discussie is. Introductie van de digitale euro betekent onder meer:

• Risico’s voor privacy, onder meer vanwege het optuigen van een database waarin de ECB alle betalingen gaat registreren. Deze database ligt binnen het bereik van inlichtingendiensten en politiediensten[5] en zal een belangrijk doelwit zijn van cyberaanvallen;
• De kans op programmeerbaar geld, dus geld dat uitsluitend voor bepaalde doeleinden gebruikt mag worden[6];
• De kans dat gebruik van de digitale euro feitelijk verplicht wordt, bijvoorbeeld omdat de overheid bepaalde subsidies of andersoortige uitkeringen uitsluitend in digitale euro’s uitkeert. Een burger die geen gebruik wil maken van de digitale euro zal dan geen aanspraak kunnen maken op de subsidie in kwestie (dat zal dan een ‘eigen keuze’ zijn);
• Risico’s op uitfasering van contant geld, terwijl dit de enige vorm van geld is die daadwerkelijk anonimiteit oplevert en toegankelijk is voor iedereen. Naarmate gebruik van de digitale euro toeneemt, zal contant geld uit roulatie genomen moeten worden om de door ECB uitgegeven geldhoeveelheid gelijk te houden of niet te veel te laten groeien;
• Sluipende invoering van de digitale identiteit (‘EUDI-wallet’ / ‘EDI-wallet’); om de online variant van de digitale euro te kunnen gebruiken zullen burgers een digitale wallet moeten hebben. Het koppelen of integreren van de digitale identiteit aan de digitale euro wordt hiermee waarschijnlijk.[7] Op dit moment is al sprake van het ontwerpen van regels waaronder banken verplicht worden gebruik te maken van de digitale identiteit.[8] Wordt gebruik van de digitale identiteit hierdoor alsnog verplicht?
• Een enorme concentratie van macht bij de ECB, terwijl democratische controle op de ECB ontbreekt en rechtszaken tegen de ECB niet alleen lang duren en kostbaar zijn, maar ook weinig kans op succes hebben;
• Toenemend risico voor cyberaanvallen op cruciale infrastructuur, nu de online versie van de digitale euro een extra laag complexiteit toevoegt aan de bestaande digitale betalingsinfrastructuur.

ECB duikt weg voor verantwoordelijkheid

Net zoals er bij het huidige betaalverkeer zaken fout kunnen gaan, zijn er bij het betalen met of ontvangen van digitale euro’s zaken die fout kunnen lopen. Zo kunnen ​​betalingen worden betwist, omdat het gekochte is beschadigd of er betaald is zonder toestemming van de betaler.  Ook ontstaan soms technische fouten waardoor bijvoorbeeld het transactiebedrag afwijkt of transacties twee keer worden uitgevoerd. Tot slot kan er sprake zijn van fraude zoals identiteitsfraude of onderschepping van betaalgegevens. Als dit soort fouten momenteel optreedt, kunnen betalers of ontvangers in de regel de bank of de winkelier aanspreken.

Voor transacties waarbij gebruik gemaakt zal worden van de digitale euro, kan uiteraard ook sprake zijn van (technische) fouten of fraude. De ECB geeft aan dat zij echter geen aansprakelijkheid hiervoor zal erkennen. Het zal altijd de bank, de betaaldienstverlener, de handelaar of, in sommige gevallen, de consument zijn die aansprakelijk is.^[9]

Het standpunt van de ECB is opmerkelijk want het strookt niet met het Europees Verdrag, waarin bepaald is dat de ECB aansprakelijk is voor fouten die zij maakt bij de taken die zij uitvoert.^[10] De ECB positioneert de digitale euro als risicoloos^[11], maar dit is misleidend. Er zijn immers allerlei soorten situaties te voorzien waarbij opgetreden fouten aan de ECB te wijten kunnen zijn.

Zo zou een gehackte digitale eurorekening waarbij automatisch geld wordt gestort in digitale euro’s zonder tussenkomst van de gebruiker (de omgekeerde waterval)  kunnen leiden tot het onbeperkt geld opnemen van de gekoppelde commerciële bankrekening. Verder maakt de digitale euro gebruik van bestaande betaalstructuren en zal gebruik van de euro daarmee blootgesteld zijn aan dezelfde risico’s die zich nu ook al voordoen bij gebruik van door banken uitgegeven digitaal geld.

De ECB als uitgever van de digitale euro moet rekening houden met het optreden van deze risico’s en zal deze niet zonder meer op andere partijen kunnen afwentelen. Voor getroffen gebruikers zal dus een laagdrempelig systeem moeten worden opgetuigd, waaronder zij geleden schade bij de ECB kunnen verhalen. Zonder zo’n systeem zullen gebruikers van de digitale euro met lege handen staan als fouten optreden die te wijten zijn aan de ECB.

Waar is de stem van burgers?

In 2022 organiseerde de Europese Commissie een ‘have your say’ over de digitale euro. Meer dan 19.500 Europese burgers namen de moeite om te reageren op deze consultatie.^[12] Geen enkele reactie was positief.

Vier jaar nadat de ECB begonnen is aan dit project, blijven veel vragen leven over nut en noodzaak van de digitale euro. De ECB blijft positief over de digitale euro en ook de Nederlandse regering heeft aangegeven positief tegenover de digitale euro te staan.^[13] Anderen twijfelen aan de toegevoegde waarde van een digitale euro.

Privacy First volstaat met de observatie dat onbekend is of de digitale euro werkelijk voorziet in een behoefte en wat de exacte gevolgen zullen zijn van invoering voor burgers. Tegelijkertijd is wel duidelijk dat de digitale euro grote risico’s met zich meebrengt en dat de ECB taken en rollen heeft en zal hebben bij ontwerp en uitrol, die een onevenwichtig systeem opleveren.

De ECB investeert al jaren in de ontwikkeling van de euro terwijl het democratische debat in de EU-lidstaten niet gevoerd wordt en besluitvorming zich ver weg afspeelt. De kans is hiermee groot, dat wij de digitale euro inwandelen zonder dat echt zicht bestaat op impact en risico’s en zonder dat mogelijke alternatieven met minder risico’s voor de grondrechten van burgers en minder machtsconcentratie bij de ECB worden overwogen.^[14]

Privacy First roept daarom de politiek op te voorkomen dat de uitrol van de digitale euro er zonder serieuze democratische discussie en legitimatie komt. Invoering van de digitale euro kan niet afhankelijk zijn van één enkele stemming in Europees verband, maar vergt een veel breder debat.

 

^[1] Progress on the preparation phase of a digital euro – Closing progress report

^[2] De digitale euro: opmaat naar massasurveillance op Europees niveau? | Privacy First

^[3] De ECB schat de kosten voor de commerciële sector op een bedrag tussen de 4 en 5,77 miljard euro. De banken schatten de kosten op ongeveer 18 miljard euro. Zie bijvoorbeeld Digital euro: one cost may hide another

^[4] Zie art. 17 van het Voorstel voor een Verordening betreffende de vaststelling van de digitale euro (‘de Verordening’): https://eur-lex.europa.eu/resource.html?uri=cellar:6f2f669f-1686-11ee-806b-01aa75ed71a1.0010.02/DOC_1&format=PDF

^[5] Art. 32 van de Verordening.

^[6] Zie o.a. pp. 8-9 van deze DNB publicatie: https://www.dnb.nl/media/espadbvb/central-bank-digital-currency.pdf

^[7] Zie p. 22 e.v. van het voor het Nederlandse Ministerie van Binnenlandse Zaken gemaakte rapport ‘Digitale decentrale waardeoverdracht voor de publieke sector in Nederland’: https://cris.vub.be/ws/portalfiles/portal/79975514/Rapport_Digitale_Decentrale_Waardeoverdracht_voor_de_publieke_sector_in_NL.pdf

^[8] Zie de consultatiereactie van Privacy First op voorstellen van de Europese Bankenautoriteit: https://privacyfirst.nl/artikelen/digitale-identiteit-wordt-sluipenderwijs-toch-verplicht/

^[9] A stocktake on the digital euro – Summary report on the investigation phase and outlook on the next phase p. 27.

^[10] Art. 340 van het Verdrag betreffende de werking van de Europese Unie.

^[11] Shifting payment landscape: what a digital euro will bring

^[12] A digital euro for the EU

^[13] BNC Fiche Digitale Euro: Kamerstuk 22112, nr. 3747 | Overheid.nl > Officiële bekendmakingen

^[14] Zie bijvoorbeeld https://www.norea.nl/nieuws/lancering-van-wero-belangrijke-stap-europese-digitale-souvereiniteit