En ny brittisk skatteregel som började gälla i januari kräver att kryptobörser lämnar ut detaljerade användaruppgifter till HMRC och till skattemyndigheter i över 70 länder. Experter varnar nu för att regeln kan utsätta vanliga kryptoinnehavare för fysisk fara.
Oro finns redan. I Frankrike har en liknande regel lett till en våg av våldsbrott mot personer som äger krypto.
Vad CARF faktiskt kräver
Crypto-Asset Reporting Framework, kallad CARF, är en global OECD-standard som Storbritannien tog in i lagen för två månader sedan.
Lagen kräver att kryptobörser eller plånboksleverantörer i Storbritannien samlar in och rapporterar årligen en standardiserad uppsättning användardata till HMRC, Storbritanniens skattemyndighet.
Denna data innehåller fullständigt namn, adress, födelsedatum, skatterättslig hemvist, skatteidentifikationsnummer och en komplett lista över varje köp, försäljning, byte och överföring som användaren gör.
Hittills har 76 länder anslutit sig till systemet, och antalet ökar. Från 2027 börjar HMRC att dela information automatiskt med skattemyndigheter i andra länder som också använder CARF.
Stora plattformar som Binance och Kraken måste nu rapportera enligt den nya lagen i Storbritannien.
Myndigheterna säger att systemet stänger en lucka som länge gjort det lätt att smita undan kryptoskatt. Börserna måste också informera användare om att deras uppgifter kan delas med andra länder.
Frankrike-föregångaren
Freddie New, chef för policy på Bitcoin Policy UK, tycker att CARF skapar något farligare än en skattelista. Han menar att systemet skapar en mållista.
Säkerhetsforskare har ett begrepp för vad som kan komma att hända.
Vid en så kallad wrench-attack kan kriminella använda våld för att tvinga någon att lämna över sina krypto. Om någon hotar en person eller dennes familj hjälper ingen teknik. Till skillnad från ett bankkonto går det inte att frysa, återkalla eller få tillbaka kryptot som någon tvingat bort.
“Ondsinta personer som får tag på dessa uppgifter kan enkelt sortera dem efter hur lätta målen är och hur mycket pengar som finns,” sa New under ett juridiskt och reglerande panelsamtal arrangerat av BeInCrypto. “Sedan kan de bara packa sina väskor och ge sig ut för att skada folk.”
Han nämnde Frankrike som ett exempel där detta redan skett. Där används ett liknande kryptorapporteringssystem, och landet har sett en stor ökning av våldsbrott mot kryptoinnehavare de senaste åren.
Det har förekommit kidnappningar, avkapade fingrar och tortyr. Utredningar visade även att en korrupt anställd på den franska skattemyndigheten ska ha sålt kryptoinnehavares personuppgifter till kriminella nätverk.
Problemet finns inte bara i Frankrike.
En rapport från juli 2025 av blockchain-analysföretaget Chainalysis visade att 2025 ser ut att få dubbelt så många fysiska attacker mot kryptoinnehavare som något tidigare år.
Analytiker såg ett tydligt samband mellan stigande Bitcoin-priser och ökat våld. De varnade också för att många attacker aldrig rapporteras, vilket betyder att det kan finnas fler incidenter än vad statistiken visar.
Det är svårt att lösa problemet eftersom CARF inte var en brittisk idé från början.
Ett globalt ramverk, en lokal sårbarhet
CARF är ingenbart brittisk lösning, och just det gör det svårt att stoppa. Alla 27 EU-länder har infört det genom DAC8-direktivet, som också gäller sen januari.
Dion Seymour, skattechef för krypto på Andersen och tidigare HMRC-expert, påpekade under samma panel att begränsningarna är inbyggda i systemet.
“Problemet är att CARF redan skapats av OECD,” sa Seymour. “Det har godkänts av G20 över hela världen.”
Han förklarade att ett enskilt land nu inte kan ändra mycket på egen hand.
Systemet gäller redan, insamlingen av data har börjat och börserna rapporterar. Det återstår att se om dessa uppgifter stannar hos rätt myndigheter i Storbritannien.
