Franse Crypto-investeerders Kwetsbaar Voor Fysieke Aanvallen: Overheidsdatabanken Als Nieuw Toneel Voor Misbruik

In Bobigny heeft een belastingmedewerker interne software gebruikt om dossiers samen te stellen van cryptocurrency-specialisten, miljardair Vincent Bolloré, gevangenismedewerkers en een rechter. Deze informatie werd doorgegeven aan criminelen die €800 betaalden om een gevangenisbewaker bij hem thuis aan te vallen in Montreuil. De betrokken medewerker had toegang tot gevoelige gegevens en haar beroep werd op 6 januari afgewezen, zo meldde de lokale media.

De relevantie van dit geval ligt niet alleen in de specifieke daden, maar in de manier waarop de doelwitten werden geselecteerd. De meest recente aanvallen zijn niet het resultaat van doxxing op Telegram of gehackte exchanges, maar het resultaat van het toegang krijgen tot overheidsidentiteitssystemen die met één query namen kunnen koppelen aan adressen, telefoonnummers en gezinsstructuren.

Een groeiend probleem in Frankrijk

De Franse Nationale Politie registreerde in 2024 maar liefst 93 onderzoeken naar schending van beroepsgeheim en 76 naar misbruik van databanken. De organisatie beschrijft de verkoop van overheidsdatabankopvragingen via sociale netwerken en het dark web als een “uberization” van het bestandsverkeer. Onlangs bracht een onderzoek van TF1 aan het licht dat er via Snapchat diensten worden aangeboden: €30 voor het opzoeken van voertuigregistraties, €150 voor een controle van een gezochte persoon, en €250 voor het opheffen van een oplegging aan een voertuig. Dit wijst op een gevaarlijke commodificatie van gevoelige informatie.

Het veiligheidsmodel van crypto gaat uit van onomkeerbaarheid, waarbij zelfbewaring het risico van tussenpersonen uitsluit. Echter, wanneer een aanvaller een echte identiteit verkrijgt, verandert de inhoud van het probleem van cryptografie naar dwang.

Stel je dit voor als maximale extractable value in de echte wereld, of IRL (in real life) MEV. Wanneer een transactie op-chain plaatsvindt, komt de maximale extractable value voort uit het zien van de transactieflow. In de fysieke ruimte onttrekken aanvallers waarde door als eerste toegang te krijgen tot de identiteitsstructuur en vervolgens de goedkoopste weg naar dwang te kiezen.

Volgens Le Parisien zijn aanvallen op crypto-investeerders toegenomen, wat de Franse regering ertoe heeft aangezet in augustus 2025 een decreet uit te vaardigen om de huisadressen van leiders in de cryptosector uit het handelsregister (RCS) te verwijderen. Dit besluit is bedoeld ter bescherming tegen fysieke agressie en intimidatie, hoewel handhaving, douane en belastingadministratie nog steeds toegang hebben.

Voorheen stonden de RCS-documenten de adressen van bedrijfsleiders openbaar toe, wat hen kwetsbaar maakte. Dit decreet sluit een belangrijk gat, maar de databases van belastingadministraties blijven toegankelijk voor duizenden ambtenaren, terwijl toezicht voornamelijk afhankelijk is van post-facto detectie van afwijkingen.

De risico’s van identiteitsmisbruik

Belastingsystemen bevatten gedetailleerde gegevens. Adressen worden bijgewerkt via belastingaangiftes, telefoonnummers komen naar voren in officiële correspondentie en gezinsstructuren blijken uit afhankelijkheidsverklaringen. De eenheidseconomieën zijn in het voordeel van aanvallers: een opzoeking kost enkele tientallen tot honderden euro’s, terwijl een succesvolle huisinval minstens vijf of zes cijfers kan opleveren.

In 2024 heeft ENISA 586 incidenten geregistreerd die EU-publieke administratie betroffen. Het dreigingsmodel draait niet om geavanceerde hacking, maar om insiders met legitieme toegang die gegevens extraheren voor secundaire markten. Ghalia C. bekende dat ze informatie verstrekte aan drie mannen die een gevangenisbewaker aanvielen. De €800-betaling wijst op een transactiemodel. Haar zoekgeschiedenis strekte zich uit van crypto-specialisten tot miljardair Bolloré, gezondheidsinspecteurs en rechters, wat erop wijst dat ze toegang verkocht en geen persoonlijke vendetta uitvoerde.

Crypto-houders vormen een bijzonder gunstig risico-winstprofiel voor fysieke dwang. Hun activa zijn zelf-bewaard, dus geen bankbevriezing of gerechtelijk bevel kan een gedwongen overdracht terugdraaien. Bovendien houdt een slachtoffer vaak aanzienlijke waarde vast die snel kan worden verplaatst. Rapportage kan hen blootstellen aan belastingcontrole waaraan ze mogelijk eerder hebben ontsnapt.

De beleidswijzigingen die de adressen van bedrijfsleiders uit openbare registraties verwijderen, duiden op een institutionele erkenning dat de fysieke risico’s in verband met crypto anders functioneren. Banken kunnen rekeningen bevriezen. Beleggingsoverdrachten kunnen worden teruggedraaid. Crypto-transfers zijn definitief.

Als identiteitsgegevens een schaars goed zijn, verwachten we drie reacties. Ten eerste, meer vertrouwelijkheid binnen registers, waarbij de adresonderdrukking door het RCS als voorbeeld dient. Ten tweede, striktere controles binnen overheidssystemen, terwijl de IGPN van Frankrijk gegevensmisbruik als een aparte categorie bijhoudt. Ten derde, een voortzetting van incidenten waarbij insiders toegang bieden voor verkoop, aangezien de economische modellen in het voordeel van aanvallers blijven.

De zaak in Bobigny onderstreept een paradox binnen regelgeving. Europese autoriteiten bevorderen transparantie in de crypto-sector via verplichte KYC (Know Your Customer), rapportage door portemonnee-aanbieders en tracking van DeFi-transacties om witwaspraktijken en belastingontduiking te bestrijden. Deze vereisten creëren gecentraliseerde databanken die identiteiten aan activa koppelen. Een uitgebreider databestand wordt waardevoller voor aanvallers.

Het voorgestelde belastingvoorstel voor 2026 in Frankrijk omvat een jaarlijkse belasting van 1% op crypto-holdings boven de €2 miljoen, waardoor ook zelf-bewaar- en offshore-holdings moeten worden verklaard. Dit creëert een honeypot: een door de overheid beheerde lijst van crypto-houders met een hoog nettovermogen, inclusief hun adressen.

De technische gemeenschap bekijkt crypto-beveiliging vooral vanuit key management, en dat is relevant voor aanvallen op de blockchain. De zaak in Bobigny maakt echter duidelijk dat key management irrelevant is wanneer fysieke dwang in het dreigingsmodel wordt geïntroduceerd. Seed phrases die op hardware wallets zijn opgeslagen bieden geen bescherming wanneer aanvallers weten waar je woont en met geweld binnenkomen. Het beveiligingsfalen vond plaats op een hoger niveau: in de identiteitslaag.

Een opkomende ‘service-economie’ in datavisualisatie

De “uberization”-formulering van de Franse politie is accuraat. Databasezoekopdrachten worden als goederen verhandeld, met transparante prijsstelling. De prijskaartjes van TF1 van €30 voor voertuigregistraties en €150 voor controles van gezochte personen tonen aan dat de markt is gecommercialiseerd. Verkopers zijn werknemers met legitieme toegang die het arbitragemodel herkennen: zoekopdrachten kosten hen niets, terwijl kopers honderden euro’s betalen en het risico van ontdekking laag is.

Wat ontbreekt aan tegenmaatregelen is een economisch model dat de eenheidsstructuur van de aanvaller evenaart. Terwijl Frankrijk individuele zaken kan vervolgen, blijft de onderliggende prikkelstructuur voor goedkope toegang tot waardevolle identiteitsgegevens bestaan. De adressenonderdrukking door het RCS helpt, maar lost het probleem niet op van de duizenden overheidsmedewerkers die legitieme toegang hebben tot belasting-, handhavings- en rechterlijke databases die alles bevatten wat een aanvaller nodig heeft.

Crypto belooft ontmediation: geen banken, geen poortwachters, geen vertrouwde derde partijen. Dit model werkt voor censuurbestendigheid en bescherming tegen inbeslagname. Maar het faalt wanneer de dreiging fysieke dwang is die wordt gefaciliteerd door overheidsidentiteitsystemen. De zaak in Bobigny maakt zichtbaar welke markstructuren doorgaans onopgemerkt blijven. Slachtoffers weten niet dat ze zijn opgezocht totdat de aanvallers bij hen aankomen.

Vraag & Antwoord

Wat zijn de gevolgen van het Bobigny-incident voor crypto-investeerders?
Het Bobigny-incident toont aan hoe kwetsbaar crypto-investeerders zijn geworden voor fysieke aanvallen, vooral als zij en hun persoonlijke gegevens niet voldoende beschermd zijn. Investeerders moeten zich bewust zijn van de risico’s en passende maatregelen nemen om hun identiteit en activa te beschermen.

Hoe gaat de Franse overheid om met de toenemende bedreigingen aan de crypto-sector?
De Franse overheid heeft recentelijk maatregelen genomen zoals het verwijderen van huisadressen van crypto-leiders uit het handelsregister en het versterken van de beveiliging van gevoelige informatie. Dit is een erkenning van de unieke risico’s die de crypto-sector met zich meebrengt.

Wat zijn de implicaties van het verstrekken van identiteitsgegevens door overheidsmedewerkers?
Het verkopen van identiteitsgegevens door overheidsmedewerkers vormt een serieuze bedreiging voor de veiligheid van individuen. Dit creëert niet alleen een markt voor illegale toegang tot gegevens, maar verhoogt ook het risico op fysieke aanvallen en afpersing.