Sinds 1 januari 2026 versterkt de Europese DAC8-richtlijn de traceerbaarheid van cryptotransacties, juist op het moment dat het aantal overvallen en geweldsdelicten in verband met digitale activa in Frankrijk toeneemt. In dit dossier analyseren we wat deze nieuwe transparantie betekent voor Franse beleggers, met uitleg van Cédric Fontaine, voormalig militair en politieagent, algemeen directeur van Lima Groupe.
Om de fiscale transparantie te verbeteren, voeren Frankrijk en zijn buurlanden steeds strengere regelgeving in met betrekking tot cryptovaluta’s en de houders daarvan. Sinds 1 januari 2026 verplicht de Europese DAC8-richtlijn dienstverleners op het gebied van crypto-activa om volledige informatie over hun klanten aan de belastingdienst door te geven. Tegelijkertijd voorziet een Frans wetsvoorstel er ook in om een jaarlijkse aangifte verplicht te stellen voor cold wallets van particulieren met een waarde van meer dan 5.000 euro.
Hoewel Frankrijk ongetwijfeld goede bedoelingen heeft, brengt het hiermee de houders van digitale activa in gevaar. Dit nieuwe initiatief creëert namelijk een zeer kritieke kwetsbaarheid, namelijk een gecentraliseerde digitale database die criminelen kunnen misbruiken.
Frankrijk verkeert onmiskenbaar in een crisis, met een golf van datalekken (waaronder mogelijk een afkomstig van het Ministerie van Binnenlandse Zaken), een toenemend aantal ontvoeringen in het land en een bescherming door de staat die als ontoereikend wordt beschouwd. Deze ongekende situatie maakt het land daarmee tot een geliefd doelwit voor de georganiseerde misdaad, waardoor investeerders helaas gedwongen worden zichzelf te beschermen via particuliere diensten of het land simpelweg te verlaten. Kunnen we het hen echt kwalijk nemen?
Een streven naar transparantie tegen elke prijs
Zo komt er in Frankrijk een einde aan een tijdperk. Sinds 1 januari 2026 verandert de DAC8-richtlijn namelijk het fiscale landschap voor houders van cryptovaluta in Europa. Volgens de Europese Commissie zal deze regelgeving CASP’s (Crypto Asset Service Providers), het Europese equivalent van PSAN’s (Prestataire de Services sur Actifs Numériques) in Frankrijk, verplichten om gedetailleerde informatie over de transacties van hun klanten te verzamelen en door te geven aan de belastingautoriteiten.
Opgemerkt moet worden dat Frankrijk al maatregelen op dit gebied had genomen. Zo is de verplichte aangifte van in het buitenland aangehouden crypto-rekeningen vereist via het CERFA-formulier 3916-bis, met boetes die kunnen oplopen tot 1.500 euro per niet-aangegeven rekening indien het vermogen meer dan 50.000 euro bedraagt. Wallets met een saldo van minder dan 5.000 euro vallen voorlopig echter buiten deze verplichting, zoals Grégory Raymond in zijn tweet aangeeft:
Info @TheBigWhale_ I Belastingheffing op cryptovaluta
Een amendement van de communisten is dinsdag aangenomen in de commissie van de Nationale Assemblee
Het stelt voor om houders van crypto-wallets in eigen beheer (@Ledger, @Metamask, @Rabby_io, @DeblockApp, enz.) om dit onder de aandacht te brengen van… pic.twitter.com/ywJ8ylomxZ— Grégory Raymond (@gregory_raymond) 11 december 2025
Volgens de Europese Commissie zijn deze maatregelen bedoeld om belastingfraude en het witwassen van geld tegen te gaan. Zo zal Frankrijk voortaan op de hoogte zijn van de activiteiten die via cryptovaluta-platforms worden uitgevoerd, waarbij de automatisch gegenereerde wallets voorlopig buiten bereik blijven, zoals het adviesbureau Deloitte terecht opmerkt:
In de praktijk zullen de lidstaten op de hoogte zijn van de activiteiten met digitale activa die door elke natuurlijke persoon worden uitgevoerd, waardoor hun belastingdiensten verzuimen bij de aangifte kunnen voorkomen.
Helaas centraliseert deze maatregel alle gevoelige informatie in overheidsdatabases, een perfect doelwit voor hackers, zeker gezien het feit dat datalekken in Frankrijk steeds vaker voorkomen.
Datalekken in de privésector en bij de overheid: een buitenkans voor criminelen
Sinds enkele jaren kent Frankrijk een sterke toename van datalekken, die zowel overheidsinstellingen als particuliere bedrijven treffen. Volgens een onderzoek van France 2 meldde de televisiezender:
Een explosieve toename van datalekken die talrijke Franse bedrijven en overheidsdiensten treft.
Nog verontrustender is dat tussen 2021 en 2024 de identiteitsgegevens van ten minste 14 miljoen Franse burgers zijn gecompromitteerd als gevolg van inbraken op gemeentelijke platforms.
Ook cryptobedrijven blijven niet gespaard en sommige zijn eveneens niet in staat om de gevoelige gegevens van hun klanten te beschermen. In juli 2020 kreeg de Franse unicorn Ledger, fabrikant van hardware wallets, te maken met een grootschalig datalek waarbij ongeveer een miljoen e-mailadressen van klanten, iets meer dan 250.000 postadressen en telefoonnummers werden blootgesteld, waarbij 16.000 Franse klanten direct werden getroffen.
Na deze hack werden de gestolen gegevens vervolgens verkocht op forums op het dark web. Daarom legde de CNIL in oktober 2024 Ledger een recordboete van 750.000 euro op wegens ontoereikende beveiligingsmaatregelen. Deze boete heeft echter noch de privacy van de slachtoffers hersteld, noch de personen schadeloosgesteld die daarna het slachtoffer werden van intimidatie via e-mails of phishingberichten.
Voorbeeld van een valse e-mail van Ledger (gedeeld door @_SaxX_ op X)
De gevolgen van dit datalek bleken rampzalig voor de houders van cryptovaluta. Volgens dit artikel in Le Monde uit 2024 meldde de krant dat:
De CNIL verklaarde tegenover Agence France-Presse dat Ledger “de gegevens van zijn klanten onvoldoende had beschermd” naar aanleiding van twee datalekken in 2020, waarbij persoonsgegevens van klanten en prospects van het bedrijf waren betrokken.
Om dit te verduidelijken: Ledger is in juli 2020 inderdaad het slachtoffer geworden van een onmiskenbaar datalek op zijn door Shopify gehoste website, waarbij 270.000 klantgegevens werden blootgesteld. Daar kwam nog een later datalek bij, waarbij malafide medewerkers van Shopify aanvullende gegevens exporteerden die betrekking hadden op nog eens 290.000 klanten van Ledger.
Begin 2026 werd het bedrijf opnieuw getroffen door een datalek via zijn e-commercepartner Global-e. Door dit incident kwamen de persoonlijke gegevens van bepaalde klanten die via het platform aankopen hadden gedaan, openbaar.
Uit een recent onderzoek is bovendien gebleken dat cybercriminelen een volledig profiel van hun doelwitten hebben opgesteld naar aanleiding van verschillende datalekken in de loop der jaren, waaronder het datalek bij Free in 2024. Clément Domingo, expert op het gebied van cyberbeveiliging, legt met name uit dat:
De groep cybercriminelen achter deze operatie heeft hoogstwaarschijnlijk de postgegevens van gebruikers van cryptovaluta gekoppeld aan andere datalekken.
Nog recenter, in de nacht van 11 op 12 december 2025, werd het Ministerie van Binnenlandse Zaken het slachtoffer van een datalek. De cyberaanval, waarvoor de hackersgroep BreachForums de verantwoordelijkheid heeft opgeëist, was namelijk gericht op de e-mailservers van de dienst.
Vervolgens beschrijven zij de details van hun aanval op hun forum en vermelden zij dat zij toegang hebben gekregen tot gevoelige databases, met name het register van strafrechtelijke antecedenten (TAJ), het register van gezochte personen (FPR) en niet te vergeten de onderling verbonden systemen die Interpol, de Algemene Directie van de Openbare Financiën (DGFIP) en de Nationale Sociale Zekerheid met elkaar verbinden, waardoor toegang werd verkregen tot persoonlijke dossiers van meer dan 16 miljoen personen.
De hackers hebben vervolgens een ultimatum gesteld aan de regering: een week om te onderhandelen, anders worden de gegevens verkocht aan de hoogste bieder of openbaar gemaakt, zoals @AureaLibe in zijn tweet op X uitlegt:
NIEUWSALARM | De hackers die beweren het ministerie van Binnenlandse Zaken te hebben gehackt, herhalen dat zij de Franse staat een ultimatum stellen. Als deze niet onderhandelt, dreigen zij de vermeende gestolen gegevens te verkopen of te lekken.
Hun bericht:
“Goedendag allemaal,
Wij zijn… pic.twitter.com/cq85hvgDJo
— Aurea (@AureaLibe) 15 december 2025
Ondanks deze hack, waarover veel wordt gesproken, lijkt de regering zich niet bewust te zijn van de ernst van de situatie. In dit verband heeft Laurent Nuñez, minister van Binnenlandse Zaken, de risico’s gebagatelliseerd door op RTL te verklaren dat er op dit moment geen “ernstige inbreuk” was geconstateerd, terwijl er in deze zaak al één persoon is gearresteerd.
Niettemin legt deze inbraak een huiveringwekkende kwetsbaarheid bloot. Immers, als een enkele persoon erin geslaagd is om de systemen van het ministerie van Binnenlandse Zaken te binnendringen, wat zou er dan gebeuren bij georganiseerde cybercriminelen of cybercriminelen die door staten worden gesteund?
Om het geheel nog erger te maken, komt het gevaar niet alleen van buitenaf. Afgelopen juli onthulde Le Parisien dat een ambtenaar van de Direction Générale des Finances Publiques ervan werd verdacht vertrouwelijke informatie door te spelen aan de georganiseerde misdaad. Als een belastingambtenaar omkoopbaar is en gevoelige gegevens van belastingplichtigen kan verkopen, hoe kan de regering dan de veiligheid van toekomstige databases in verband met DAC8 garanderen?
Een groeiende golf van ontvoeringen, een gewelddadige realiteit
Sinds 2023 wordt Frankrijk geteisterd door herhaalde ontvoeringen die voornamelijk gericht zijn op beleggers in cryptovaluta. De ontvoering die de meeste media-aandacht kreeg, was die van David Balland, medeoprichter van Ledger. De nationale gendarmerie van de regio verklaarde destijds:
Op de ochtend van 21 januari 2025 werd een echtpaar in hun woning in Vierzon, in het departement Cher, ontvoerd door een groep criminelen. David Balland is de medeoprichter van Ledger, een Frans bedrijf dat gespecialiseerd is in cryptovaluta.
Het losgeld werd duidelijk in cryptovaluta geëist, waarbij de ontvoerders een videobewijs leverden dat de ondernemer nog in leven was.
Enkele maanden later, in mei jongstleden, werd ook de vader van een andere ondernemer uit de sector ontvoerd en bijna 48 uur lang als gijzelaar vastgehouden in de buurt van Parijs. Ook deze criminelen eisten een vergoeding in cryptovaluta in ruil voor de gijzelaar.
Een ander alarmerend feit is dat een zwangere vrouw, de dochter van de CEO van Paymium, ternauwernood aan een ontvoering in het 11e arrondissement van Parijs is ontsnapt.
Op 18 december jongstleden werd een investeerderspaar uit de buurt van La Rochelle in hun woning vastgehouden. Zij werden vastgebonden en bijna twee uur lang geslagen om toegang te krijgen tot hun cryptowallet. Volgens lokale politiebronnen zouden de daders ongeveer 10 miljoen dollar aan cryptovaluta hebben buitgemaakt en beschikten zij over zeer gedetailleerde informatie over de bedragen die de slachtoffers in bezit hadden, informatie die was verkregen via een online gelekte dataset.
Sindsdien versnelt de neerwaartse spiraal: in slechts drie dagen tijd heeft Frankrijk drie aanvallen gekend, variërend van ontvoeringspogingen tot gerichte overvallen, wat een verontrustende ommekeer illustreert waarbij het bezit van cryptovaluta een fysiek risico kan vormen, zowel voor de belegger als voor zijn naasten.
De kritieke situatie die zich in Frankrijk voordoet, laat geen ruimte voor twijfel. Hoe meer de regelgeving de crypto-bezittingen van burgers transparant maakt voor de overheid, hoe meer criminelen hun doelwitstrategie zullen aanpassen door in te zetten op gevoelige gegevens, waarmee het volgende gezegde bewaarheid wordt: om gelukkig te leven, moeten we verborgen leven.
Een ontoereikende reactie van Frankrijk op het gebied van veiligheid
Geconfronteerd met de groeiende dreiging voor spelers in de cryptovaluta-sector heeft de regering een primaire beschermingsmaatregel ingevoerd die haar gebrek aan interesse in deze kwestie weerspiegelt. Het ministerie van Binnenlandse Zaken heeft dan ook aangekondigd dat:
Ondernemers in de cryptovalutasector zouden voorrang krijgen bij het bellen van het alarmnummer 17 en zouden briefings krijgen van de elite-eenheden van de Franse politie.
Deze maatregelen zijn eerder symbolisch dan geruststellend. Ondernemers in de sector voelen zich hierdoor geenszins veiliger, aangezien dit de kwetsbaarheid van gecentraliseerde datasystemen absoluut niet oplost. Erger nog, de regering lijkt de omvang van de toenemende dreiging wel degelijk te bagatelliseren, zoals Cédric Fontaine, CEO van Lima Protection, aangeeft:
Momenteel is de kosten-batenverhouding in het voordeel van de criminelen. De staat zal op haar niveau niets kunnen doen zolang we een laks rechtssysteem hebben.
Als gevolg van het onvermogen van het land om zijn burgers te beschermen, hebben enkele van de rijkste crypto-investeerders zich tot particuliere beveiligingsbedrijven gewend, waardoor er een tweedeling is ontstaan op het gebied van veiligheid binnen het land.
De vraag naar particuliere beveiliging is waarschijnlijk explosief gestegen, met name onder ondernemers en beleggers die grote portefeuilles beheren. Jethro Pijlman, CEO van Infinite Risks International, een gespecialiseerd beveiligingsbedrijf gevestigd in Nederland, deelde zijn observatie met Bloomberg:
We hebben meer aanvragen ontvangen, meer langetermijncontracten gesloten en een toename gezien van proactieve verzoeken van beleggers in cryptovaluta die niet overrompeld willen worden. Zij begrijpen dat slimme beveiligingsmaatregelen nu een integraal onderdeel zijn van hun operationele kosten.
Volgens Bloomberg zou Coinbase alleen al in 2024 tot 6,2 miljoen dollar hebben uitgegeven aan de persoonlijke beveiliging van zijn CEO, Brian Armstrong. Een sprekend voorbeeld van het feit dat ‘crypto-VIP’s’ tegenwoordig een aanzienlijk bedrag van zeven cijfers moeten uittrekken voor hun beveiliging.
Naast persoonlijke beveiligingsdiensten bestaan er ook goedkopere oplossingen, zoals die van Perimeter Lab. Deze Franse start-up, opgericht door drie voormalige medewerkers van Ledger, biedt een volledige audit aan waarmee crypto-investeerders hun kwetsbaarheden kunnen identificeren voordat deze worden uitgebuit.
Zo is het tijdperk aangebroken waarin de bescherming door de staat ontoereikend is en waarin alleen de rijksten zich beveiliging kunnen veroorloven die past bij de groeiende dreiging, wat een ineenstorting van de openbare veiligheid in Frankrijk weerspiegelt.
De situatie in Frankrijk verslechtert door deze dreigingen; we bevinden ons op een neerwaartse spiraal. Wij merken dit aan onze aanvragen, we zien het aan het aantal mensen dat wordt aangevallen, voegt Cédric Fontaine toe
Inderdaad, tussen de mogelijke hack van miljoenen gegevens van het Ministerie van Binnenlandse Zaken, de machteloosheid van de regering tegenover de cybercriminaliteitsgroep BreachForums, en de invoering van DAC8 met zijn gecentraliseerde database, lijkt Frankrijk een duidelijk doelwit op de rug van de Fransen te plaatsen zonder zich bewust te zijn van de impact van zijn acties.
