Một quy định mới về báo cáo thuế tại Anh đã chính thức có hiệu lực từ tháng 01/2024, yêu cầu các sàn giao dịch crypto phải cung cấp thông tin chi tiết về người dùng cho HMRC (Cơ quan thuế của Anh) cũng như cho các cơ quan thuế tại hơn 70 quốc gia khác. Tuy nhiên, các chuyên gia ngành hiện cảnh báo rằng quy định này có thể khiến các nhà đầu tư nhỏ lẻ bị đặt vào tình trạng nguy hiểm về mặt thể chất.
Đây không phải là lần đầu xuất hiện các lo ngại như vậy. Tại Pháp, một chính sách chia sẻ dữ liệu tương tự đã từng được cho là nguyên nhân dẫn đến làn sóng tội phạm tấn công bạo lực nhắm vào các nhà đầu tư nhỏ lẻ đang sở hữu crypto.
CARF thực sự yêu cầu những gì
Bộ quy tắc Crypto-Asset Reporting Framework (CARF), hay còn gọi là Khung báo cáo tài sản số, do OECD xây dựng, đã chính thức được Anh đưa vào luật cách đây hai tháng.
Luật này buộc mọi sàn giao dịch crypto hoặc đơn vị lưu ký ví tại Anh phải thu thập và báo cáo hằng năm một bộ dữ liệu tiêu chuẩn của người dùng cho HMRC, cơ quan thuế của Anh.
Những thông tin này bao gồm: họ tên đầy đủ, địa chỉ, ngày sinh, nơi cư trú về thuế, mã số thuế và toàn bộ lịch sử mua bán, trao đổi, chuyển tiền crypto của người dùng.
Hiện nay, đã có 76 quốc gia cam kết áp dụng quy trình này và con số này vẫn đang tăng lên. Từ năm 2027, HMRC sẽ tự động chia sẻ các thông tin nói trên với những quốc gia cũng đã triển khai CARF.
Các nền tảng lớn như Binance và Kraken đang hoạt động tại Anh đều phải thực hiện nghĩa vụ này.
Các cơ quan quản lý giải thích rằng bộ quy tắc này giúp chấm dứt lỗ hổng từng tạo điều kiện cho việc trốn thuế liên quan đến crypto. Các sàn giao dịch cũng phải thông báo cho người dùng rằng dữ liệu của họ có thể được chia sẻ với cơ quan chính quyền nước ngoài.
Tiền lệ tại Pháp
Freddie New, giám đốc chính sách tại Bitcoin Policy UK, cho rằng CARF không đơn giản chỉ là một cơ sở dữ liệu thuế mà còn có thể trở thành danh sách mục tiêu rất nguy hiểm.
Các chuyên gia an ninh mạng gọi điều này là một hiểm họa mới.
“Wrench attack” là thuật ngữ để chỉ các vụ việc mà tội phạm sử dụng bạo lực nhằm ép buộc các chủ sở hữu crypto giao nộp tài sản. Khi tội phạm đe dọa bản thân hoặc người thân của nhà đầu tư, công nghệ trở nên bất lực: khác với tài khoản ngân hàng truyền thống, không ai có thể đóng băng, đảo ngược hay thu hồi giao dịch crypto bị cưỡng chế.
“Nếu kẻ xấu có được dữ liệu này, ngay lập tức chúng có thể lọc ra các nhà đầu tư nhỏ lẻ dễ bị tấn công nhất và những người có nhiều tài sản nhất,” New chia sẻ trong hội thảo pháp lý do BeInCrypto tổ chức gần đây. “Sau đó, chúng chỉ việc chuẩn bị và tìm đến tận nơi để làm hại các nạn nhân.”
Ông nhắc đến trường hợp Pháp, nơi cũng từng trải qua kịch bản này. Pháp áp dụng chế độ báo cáo tương tự và những năm gần đây, các vụ tấn công bạo lực nhắm vào nhà đầu tư nhỏ lẻ sở hữu crypto gia tăng mạnh.
Các vụ án bao gồm bắt cóc, cắt ngón tay, tra tấn. Cơ quan điều tra còn phát hiện ít nhất một nhân viên thuế tại Pháp đã bán dữ liệu cá nhân của nhà đầu tư nhỏ lẻ cho mạng lưới tội phạm.
Vấn đề này không chỉ giới hạn tại Pháp.
Báo cáo tháng 07/2025 từ công ty phân tích blockchain Chainalysis cho thấy số vụ tấn công vật lý nhắm vào nhà đầu tư nhỏ lẻ năm 2025 có thể tăng gấp đôi so với bất kỳ năm nào trước đó.
Các nhà phân tích nhận thấy có sự liên quan trực tiếp giữa mức giá Bitcoin tăng và tần suất các vụ tấn công bạo lực. Chainalysis cũng cảnh báo nhiều vụ việc không được báo cáo công khai, nên số thực tế có thể còn cao hơn.
Điều khiến mọi chuyện trở nên khó giải quyết hơn là bởi CARF vốn không phải là chính sách do Anh tự thiết kế ngay từ đầu.
Một khuôn khổ toàn cầu, một điểm yếu tại địa phương
CARF không phải là sáng kiến riêng của Anh, và đây cũng là lý do vì sao rất khó để thay đổi. Toàn bộ 27 quốc gia thành viên EU cũng đã áp dụng quy trình này thông qua một chỉ thị riêng (DAC8), bắt đầu có hiệu lực từ tháng 01/2024.
Dion Seymour, giám đốc thuế crypto tại Andersen và cựu trưởng phòng chính sách crypto thuộc HMRC, cho biết trong cùng hội thảo rằng các hạn chế hiện tại là về cấu trúc.
“Vấn đề là CARF đã được OECD xây dựng và công nhận rồi,” Seymour cho biết. “Bây giờ nó đã được G20 phê chuẩn trên phạm vi toàn cầu.”
Ông giải thích rằng việc phê chuẩn này khiến mọi quốc gia đơn lẻ khó có thể đơn phương thay đổi quy định.
Hiện tại, bộ quy tắc đã đi vào thực thi, dữ liệu đang được thu thập, và các sàn giao dịch đã bắt đầu báo cáo. Câu hỏi lớn là liệu thông tin cá nhân của nhà đầu tư nhỏ lẻ có thực sự an toàn hay không tại Anh, vẫn còn phải chờ thời gian trả lời.
