DNB en AFM scherpen sanctiedruk aan, ook crypto moet direct handelen

De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) hebben op woensdag 1 april hun sanctiealert over maart 2026 gepubliceerd. Daarin wijzen de toezichthouders op wijzigingen in Europese en nationale sanctieregimes rond Iran, Bosnië en Herzegovina, Oekraïne en Rusland, cyberaanvallen, ISIS en Al Qa’ida en Sudan.

Voor banken, financiële instellingen en andere onder toezicht staande partijen is de opdracht helder: controleer direct of de nieuwe regels van toepassing zijn en voer verboden en bevriezingsmaatregelen onmiddellijk uit.

Voor de cryptosector is dat geen detail. Cryptodienstverleners werken in een markt waarin transacties snel verlopen, tegenpartijen vaak grensoverschrijdend zijn en geldstromen via wallets, exchanges, brokers en andere tussenpartijen door meerdere jurisdicties lopen.

Zo’n sanctiealert betekent in de praktijk vooral dat compliance-teams hun screening, monitoring en escalatieprocessen meteen opnieuw moeten toetsen.

De alert bestrijkt de periode van 1 maart tot en met 31 maart 2026 en noemt aanpassingen in meerdere gevoelige sanctieregimes. Het gaat om wijzigingen rond personen, entiteiten en lichamen in verband met de situatie in Iran, om maatregelen tegen Iran zelf, om sancties rond Oekraïne en Rusland en om beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen. Ook zijn er wijzigingen doorgevoerd voor entiteiten met banden met ISIS en Al Qa’ida en voor Sudan.

Dat onderstreept hoe breed het sanctielandschap inmiddels is. Voor instellingen betekent dat dat zij niet kunnen volstaan met een periodieke controle of een statische lijst.

De instructie van DNB laat weinig ruimte. Instellingen moeten nagaan of de verordeningen van toepassing zijn op hun klanten, deelnemers of beleggingen. Is dat zo, dan moeten zij de geboden en verboden direct toepassen.

Dat betekent onder meer tegoeden en economische middelen bevriezen, voorkomen dat die direct of indirect ter beschikking worden gesteld en voorkomen dat verboden financiële diensten worden verleend.

Juist die formulering is relevant. Sanctienaleving gaat niet alleen over bankrekeningen of effectenportefeuilles, maar over elke route waarmee waarde beschikbaar kan worden gemaakt aan een gesanctioneerde partij.

Daar zit de directe relevantie voor crypto-compliance. Een cryptoplatform kan niet volstaan met naam- en landenscreening bij onboarding. Nieuwe sanctiewijzigingen vragen vaak om een bredere controleketen: wallet-screening, transactiemonitoring, herbeoordeling van bestaande klanten, screening van uiteindelijke belanghebbenden, signalering van indirecte blootstelling en extra controles bij fiat on- en off-ramps.

Zeker bij regimes die raken aan Rusland, cyberaanvallen en terroristische organisaties neemt de druk toe om niet alleen formeel te screenen, maar ook sneller risicopatronen te herkennen.

De sanctiealert noemt expliciet ook cyberaanvallen die de Unie of haar lidstaten bedreigen. Voor crypto is dat extra relevant, omdat cybercriminaliteit, ransomware, gestolen fondsen en gesanctioneerde actoren in de praktijk vaak in hetzelfde risicodomein samenkomen.

Waar traditionele financiële instellingen vooral kijken naar rekeningen en transacties binnen bekende infrastructuur, moeten cryptobedrijven vaak al eerder beoordelen of een walletadres, tegenpartij of geldstroom verbonden kan zijn aan een verhoogd sanctierisico.

Het regime rond Oekraïne en Rusland blijft een van de scherpste dossiers. De maartalert noemt rectificaties en wijzigingen in beperkende maatregelen rond acties die de territoriale integriteit, soevereiniteit en onafhankelijkheid van Oekraïne ondermijnen of bedreigen, en ook wijzigingen die verband houden met destabiliserende activiteiten van Rusland.

Voor compliance-afdelingen betekent dat dat bestaande risicomodellen niet als statisch kunnen worden behandeld. Een klant of transactiestroom die vorige maand nog geen directe match opleverde, kan door een wijziging of rectificatie vandaag wél escalatie vereisen.

Hetzelfde geldt voor Iran. De toezichthouders melden op meerdere momenten in maart wijzigingen in beperkende maatregelen tegen personen, entiteiten en lichamen in verband met de situatie in Iran, en ook aanpassingen in sancties tegen Iran zelf.

Zulke updates vragen om snelle hercontrole van lijsten, systemen en klantdossiers. Voor cryptobedrijven die internationaal opereren of afhankelijk zijn van meerdere dataproviders is snelheid daarbij cruciaal. Vertraging in het verversen van sanctiedata kan direct een nalevingsrisico opleveren.

Voor Nederlandse crypto-aanbieders en andere partijen met blootstelling aan digitale activa is de boodschap duidelijk. Sanctiescreening kan geen los compliance-onderdeel meer zijn, maar moet verweven zijn met de hele operationele keten. Indirect beschikbaar stellen van waarde is daarbij minstens zo belangrijk als een directe relatie met een gesanctioneerde partij.

Tegelijk groeit de kans dat toezichthouders weinig begrip tonen voor het argument dat technologische complexiteit of afhankelijkheid van derden snelle naleving bemoeilijkt.

De waarschuwing van DNB en AFM is daarmee ook een signaal over de volwassenwording van de sector. Naarmate cryptodiensten sterker verweven raken met het reguliere financiële stelsel, groeit ook de verwachting dat sanctienaleving net zo snel, precies en aantoonbaar gebeurt als bij banken en beleggingsondernemingen.

De norm ligt niet meer bij het volgen van sancties op hoofdlijnen, maar bij direct kunnen ingrijpen, blokkeren en documenteren zodra een regime wijzigt.

Voor cryptobedrijven is de conclusie simpel. Wie sanctierisico nu onderschat, vergroot niet alleen de kans op reputatieschade, maar ook op directe problemen met toezichthouders, bankpartners en tegenpartijen.

De maartalert laat opnieuw zien dat het sanctielandschap in Europa voortdurend verschuift. In die werkelijkheid is compliance geen formaliteit, maar een voorwaarde om actief te kunnen blijven.