Regulatorni pritisak na Web3: između usklađenosti i privatnosti
Razvoj Web3 ekosustava odvija se paralelno s pooštravanjem globalnih regulatornih zahtjeva. Smjernice FATF-a (posebno tzv. „Travel Rule“), europski okvir MiCA za kriptoimovinu i stroga pravila zaštite podataka iz GDPR-a stvaraju kompleksno okruženje u kojem se projekti moraju istodobno baviti sprječavanjem pranja novca (KYC/AML), zaštitom potrošača i očuvanjem privatnosti korisnika.
Tradicionalni odgovor na regulatorne zahtjeve jest izgradnja centraliziranih baza podataka: platforme prikupljaju osobne dokumente, adrese i financijske informacije, pohranjuju ih i dijele s trećim stranama kada to zahtijevaju zakoni ili partneri. U Web3 kontekstu takav pristup je problematičan iz nekoliko razloga:
- suprotan je načelu minimizacije podataka iz GDPR-a,
- stvara visoke sigurnosne i reputacijske rizike u slučaju curenja podataka,
- u kontradikciji je s decentraliziranim i samosuvereni identitet paradigama koje Web3 želi promovirati.
Rezultat je naizgled nerješiv paradoks: kako provoditi KYC/AML i druge regulatorne obveze bez stvaranja još jedne centralizirane baze osjetljivih osobnih podataka. U posljednjih nekoliko godina počinje se pojavljivati odgovor u obliku novog infrastrukturnog sloja temeljenog na kriptografiji – zero-knowledge (ZK) identitetu i tzv. „proof-based“ usklađenosti.
Od dijeljenja podataka do dijeljenja dokaza
Ključna promjena koju donosi ZK infrastruktura jest pomak s dijeljenja podataka na dijeljenje dokaza. Umjesto da platforma prikuplja i pohranjuje osobne podatke korisnika, specijalizirani Web3 identitetni servisi izdaju kriptografske vjerodajnice (verifiable credentials) koje potvrđuju određeno svojstvo ili status korisnika.
Primjeri takvih svojstava uključuju:
- korisnik je prošao KYC postupak kod ovlaštenog pružatelja usluge,
- korisnik je stariji od 18 godina,
- korisnik je rezident određene jurisdikcije (npr. EGP),
- korisnik nije na međunarodnim sankcijskim listama,
- korisnik zadovoljava određene investicijske kriterije (npr. kvalificirani ulagatelj).
Ono što je ključno jest da se sama podloga tih tvrdnji (npr. kopija osobne iskaznice, adresa stanovanja, detalji o zaposlenju) ne otkriva protokolu ili aplikaciji. Umjesto toga, korisnik prezentira zero-knowledge dokaz (ZK proof) da vjerodajnica ispunjava zadane uvjete. Platforma provjerava dokaz, a ne podatke.
Takav pristup već postoji u praksi. Rješenja poput zkKYC i drugih zero-knowledge KYC sustava omogućuju DeFi protokolima, platnim gatewayima i lancima za tokeniziranu stvarnu imovinu (RWA) da ispune regulatorne zahtjeve, a da nikada ne vide korisničke dokumente ili adrese. Identitet se provjerava, ali se ne izlaže.
Tehnička osnova: verifiable credentials, ZK dokazi i pametni ugovori
Zero-knowledge infrastruktura za identitet kombinira nekoliko komplementarnih tehnologija kako bi omogućila „proof-based“ usklađenost.
Verifiable credentials kao temelj identiteta
Verifiable credentials (VC) standardizirani su format za digitalne vjerodajnice. Ovlašteni izdavatelj (npr. KYC pružatelj usluge, banka ili regulatorno nadzirana institucija) provodi klasičan KYC proces off-chain: prikuplja dokumente, provjerava autentičnost i provodi AML screening. Umjesto da te podatke distribuira drugim sudionicima, izdavatelj kreira digitalnu vjerodajnicu koju kriptografski potpisuje.
Vjerodajnica je pohranjena kod korisnika (npr. u novčaniku za decentralizirani identitet) ili u specijaliziranom repozitoriju pod njegovom kontrolom. Na blockchain se, ako je potrebno, upisuje samo kriptografski commitment koji omogućuje kasniju verifikaciju bez otkrivanja sadržaja.
Zero-knowledge dokazi: dokaz bez otkrivanja
Zero-knowledge dokazi omogućuju da jedna strana (prover) dokaže drugoj strani (verifier) da određena tvrdnja vrijedi, bez otkrivanja dodatnih informacija. U kontekstu identiteta, to znači da korisnik može dokazati da vjerodajnica zadovoljava određeni uvjet (npr. „datum rođenja je prije 2006.“) bez otkrivanja stvarnog datuma rođenja.
Tehnološki, to se može implementirati različitim ZK sustavima (npr. zk-SNARK, zk-STARK, Bulletproofs), no s aspekta Web3 protokola bitno je da je dokaz:
- kompaktan i jeftin za verifikaciju na lancu,
- siguran u kriptografskom smislu,
- interoperabilan između različitih lanaca i aplikacija.
Pametni ugovori i on-chain provjera
Kada korisnik želi pristupiti određenom protokolu – primjerice DeFi platformi koja mora provoditi KYC/AML – njegov novčanik generira ZK dokaz na temelju vjerodajnice. Pametni ugovor na lancu provjerava dokaz koristeći javne parametre izdavatelja i, ako je dokaz valjan, omogućuje pristup ili transakciju.
Važno je da pametni ugovor iz dokaza ne može rekonstruirati osobne podatke. Na lancu ostaje samo minimalni trag: da je u određenom trenutku adresa prezentirala valjan dokaz određenog tipa. Time se:
- minimizira količina osobnih podataka podložnih GDPR-u,
- smanjuje rizik curenja podataka ili kompromitacije baze,
- zadržava revizijski trag potreban za nadzor i usklađenost.
Prednosti za regulirane subjekte i Web3 projekte
Za Web3 ekosustav i regulirane subjekte, ZK identitet donosi nekoliko strateški važnih prednosti.
Smanjena potreba za vlastitim bazama podataka
Burze, fintechovi, banke i drugi regulirani subjekti danas često moraju paralelno održavati vlastite KYC sustave i baze podataka. Uz standardizirane, kriptografski sigurne dokaze, mogu se osloniti na ovlaštene izdavatelje vjerodajnica i fokusirati na svoj osnovni poslovni model, umjesto na upravljanje osjetljivim podacima.
To smanjuje troškove usklađenosti, rizike od povreda podataka i kompleksnost IT infrastrukture. Istodobno, regulatorima se može demonstrirati da su uvjeti pristupa uslugama ugrađeni u pametne ugovore i da se provode automatski.
Samosuvereni, prenosiv identitet korisnika
Za korisnike, najveća prednost je samosuvereni i prenosiv identitet. Jednom obavljen KYC kod pouzdanog izdavatelja može se višekratno koristiti na više lanaca i dAppova bez ponovnog slanja dokumenata ili prolaska kroz dugotrajne procedure registracije.
Takav model:
- smanjuje trenje pri ulasku u nove usluge,
- korisniku daje kontrolu nad time kome i što otkriva,
- olakšava multichain iskustvo i prelazak između protokola.
Novi use-caseovi: od privatnog DeFi-ja do reputacijskog governancea
ZK identitet ne rješava samo regulatorne obveze, već otvara i nove tipove usluga koje su ranije bile teško izvedive bez odricanja od privatnosti:
- Privatne DeFi pozajmice uz dokaz kreditne sposobnosti – korisnik može dokazati da ispunjava određene kreditne kriterije ili ima povijest urednog vraćanja zajmova, bez otkrivanja cijele financijske povijesti.
- Geografski ograničene usluge – dApp može zahtijevati dokaz da je korisnik rezident određene države ili regije (npr. EGP) bez otkrivanja konkretne adrese ili grada.
- Reputacijski i statusni governance – u DAO strukturama moguće je uvesti glasanje temeljeno na statusu (npr. „samo verificirani korisnici“, „samo profesionalni ulagatelji“) ili reputaciji, bez otkrivanja stvarnog identiteta sudionika.
- Filtar protiv sankcioniranih adresa – protokoli mogu zahtijevati dokaz da korisnik nije na sankcijskim listama, bez objave njegovog punog imena ili drugih osobnih podataka.
Uloga europskih strategija i javne infrastrukture
Sljedeća faza razvoja ZK identiteta vjerojatno će biti obilježena standardizacijom i integracijom s javnim infrastrukturama. Europska strategija za blockchain i Web3 naglašava važnost interoperabilnosti, digitalnog identiteta i usklađenosti s pravilima zaštite podataka. Paralelno, inicijative poput europskog digitalnog identiteta (EUDI) i digitalnih putovnica proizvoda traže modele koji kombiniraju transparentnost i privatnost.
U tom kontekstu, ZK identitet može poslužiti kao zajednički sloj između reguliranog svijeta i otvorenih blockchain mreža:
- regulirane institucije izdaju ili priznaju verifiable credentials u skladu s pravnim okvirima,
- Web3 protokoli ih koriste kroz ZK dokaze bez pristupa osobnim podacima,
- regulatori dobivaju mogućnost nadzora usklađenosti kroz on-chain revizijske tragove, a da se ne kompromitira privatnost korisnika.
Takav model dobro se uklapa u principe GDPR-a, posebno u pogledu minimizacije podataka, ograničenja svrhe i prava korisnika na kontrolu nad vlastitim podacima. Istodobno, usklađen je s ciljevima MiCA-e da omogući sigurno i transparentno tržište kriptoimovine.
Izazovi i otvorena pitanja
Iako ZK identitet nudi uvjerljiv okvir, postoje i praktični izazovi koje treba adresirati prije šire primjene.
- Standardizacija – potrebni su interoperabilni standardi za verifiable credentials, ZK formate i metode provjere kako bi različiti lanci i protokoli mogli koristiti iste vjerodajnice.
- Povjerenje u izdavatelje – i dalje je nužno povjerenje u subjekte koji provode inicijalni KYC i izdaju vjerodajnice. Regulatorni nadzor i certifikacija tih izdavatelja bit će ključni.
- Upotrebljivost za korisnike – upravljanje digitalnim identitetom i vjerodajnicama mora biti dovoljno jednostavno da ga prosječni korisnik može razumjeti i sigurno koristiti.
- Regulatorno prepoznavanje – iako tehnologija omogućuje usklađenost, pravni okviri trebaju eksplicitno priznati ZK dokaze kao valjan način ispunjavanja obveza.
Prelazak na paradigmu kriptografski dokazive usklađenosti
Ako se ZK identitet nametne kao zajednički infrastrukturni sloj, rasprava o Web3 usklađenosti mogla bi se pomaknuti s binarne dihotomije „anonimnost protiv regulacije“ prema zrelijoj paradigmi: kriptografski dokaziva, ali selektivno vidljiva usklađenost.
U takvom modelu:
- regulatorne obveze su ugrađene u protokole i provode se automatizirano,
- korisnici zadržavaju kontrolu nad svojim podacima i dijele samo ono što je nužno,
- institucije dobivaju transparentnost i revizijske tragove bez masovnog prikupljanja PII-ja.
Zero-knowledge infrastruktura za identitet time ne postaje samo još jedan tehnički dodatak Web3 ekosustavu, već potencijalni temeljni sloj koji omogućuje suživot decentraliziranih tehnologija i reguliranog financijskog sustava. Privatnost se u tom okviru ne promatra kao prepreka usklađenosti, nego kao servis koji se isporučuje kriptografijom.
