Aturan pelaporan pajak baru di Inggris yang mulai berlaku sejak Januari mewajibkan exchange kripto untuk menyerahkan data pengguna secara detail ke HMRC serta ke otoritas pajak di lebih dari 70 negara. Para ahli industri kini memperingatkan bahwa kerangka aturan ini bisa membahayakan holder kripto biasa secara fisik.
Kekhawatiran ini bukan hal baru. Di Prancis, aturan berbagi data yang hampir identik sudah terbukti terkait dengan gelombang kejahatan kekerasan yang menargetkan para holder kripto.
Apa Sebenarnya yang CARF Wajibkan
Crypto-Asset Reporting Framework atau CARF, adalah standar global rancangan OECD yang secara resmi diterapkan Inggris ke dalam undang-undang sejak dua bulan lalu.
Aturan ini secara hukum mewajibkan setiap exchange kripto atau penyedia wallet kustodian berbasis di Inggris untuk mengumpulkan dan melaporkan setiap tahun rangkaian data pengguna yang telah distandarisasi ke HMRC, otoritas pajak Inggris.
Data yang dimaksud mencakup nama lengkap, alamat, tanggal lahir, domisili pajak, nomor identifikasi wajib pajak, dan catatan lengkap setiap pembelian, penjualan, exchange, serta transfer yang dilakukan pengguna.
Sampai saat ini, 76 negara telah berkomitmen mengikuti aturan ini, dan jumlah tersebut terus bertambah. Mulai 2027, HMRC akan mulai membagikan data ini secara otomatis ke otoritas pajak di yurisdiksi lain yang juga sudah menerapkan CARF.
Platform besar seperti Binance dan Kraken yang beroperasi di Inggris kini termasuk yang wajib melakukan pelaporan ini.
Regulator menilai kerangka ini menutup celah yang selama ini memungkinkan penghindaran pajak kripto. Exchange juga harus memberitahu pengguna bahwa data mereka mungkin saja dibagikan kepada pemerintah asing.
Preseden Prancis
Freddie New, kepala kebijakan di Bitcoin Policy UK, menilai CARF menciptakan risiko yang jauh lebih berbahaya dari sekadar basis data pajak. Menurutnya, aturan ini menghasilkan daftar target.
Peneliti keamanan sudah memiliki istilah untuk situasi ini.
Wrench attack terjadi saat kriminal memakai kekerasan fisik untuk memaksa holder kripto menyerahkan aset mereka. Ketika kriminal mengancam seseorang atau keluarganya, teknologi tidak lagi bisa melindungi. Beda dengan akun bank yang diretas, tidak ada pihak yang bisa membekukan, membalikkan, atau menarik kembali transfer kripto yang dilakukan karena paksaan.
“Pelaku jahat yang mendapat data itu akan langsung bisa memilah target berdasarkan kelemahan dan jumlah uangnya,” ujar New saat panel hukum dan regulasi yang baru-baru ini digelar BeInCrypto. “Setelah itu, mereka hanya tinggal bersiap pergi untuk melakukan kekerasan fisik ke orang-orang yang jadi target.”
Ia mencontohkan Prancis sebagai negara yang sudah mengalami kejadian semacam ini. Prancis menjalankan aturan pelaporan kripto yang serupa, dan telah mencatat lonjakan tajam kasus kekerasan menargetkan para holder kripto dalam beberapa tahun terakhir.
Serangan yang terjadi meliputi penculikan, pemotongan jari, dan penyiksaan. Penyelidikan juga mengungkap setidaknya satu pegawai otoritas pajak Prancis yang korup diduga menjual data pribadi holder kripto ke jaringan kriminal.
Masalah ini tidak hanya terjadi di Prancis saja.
Laporan pada Juli 2025 dari perusahaan analitik blockchain Chainalysis menemukan bahwa 2025 berpotensi mencetak dua kali lipat jumlah serangan fisik ke holder kripto dibanding tahun-tahun sebelumnya.
Analis menemukan korelasi jelas antara kenaikan harga Bitcoin dan meningkatnya insiden kekerasan. Perusahaan itu juga mengingatkan bahwa banyak serangan tidak dilaporkan, sehingga kemungkinan angka sebenarnya lebih tinggi.
Yang membuat masalah ini sulit diatasi yaitu CARF memang bukan rancangan kebijakan Inggris sejak awal.
Sebuah Kerangka Global, Sebuah Kerentanan Lokal
CARF bukanlah temuan eksklusif Inggris, dan justru itulah yang membuat aturan ini sulit dilawan. Seluruh 27 negara Uni Eropa mengadopsinya melalui aturan paralel, yaitu DAC8, yang juga berlaku sejak Januari.
Dion Seymour, direktur pajak kripto di Andersen serta mantan pemimpin kebijakan kripto di HMRC, menerangkan dalam panel yang sama bahwa kendala yang dihadapi bersifat struktural.
“Permasalahannya sekarang, CARF sudah dibuat oleh OECD,” tutur Seymour. “CARF telah diratifikasi oleh G20 di seluruh dunia.”
Ia menjelaskan bahwa keputusan tersebut membatasi sejauh mana satu negara saja bisa melakukan perubahan sepihak.
Saat ini, framework tersebut sudah berjalan, pengumpulan data sedang berlangsung, dan exchange mulai melakukan pelaporan. Pertanyaan apakah data itu benar-benar aman di tangan yang tepat, masih harus dibuktikan di Inggris.
