Ich glaube es geht hier weniger um Phishing als um etwas viel Problematischeres.
Laut § 154 AO (hier nachzulesen: http://www.gesetze-im-internet.de/ao_1977/__154.html ) ist jeder der:
" (2) Wer ein Konto führt, Wertsachen verwahrt oder als Pfand nimmt oder ein Schließfach überlässt, hat sich zuvor Gewissheit über die Person und Anschrift des Verfügungsberechtigten zu verschaffen und die entsprechenden Angaben in geeigneter Form, bei Konten auf dem Konto, festzuhalten. Er hat sicherzustellen, dass er jederzeit Auskunft darüber geben kann, über welche Konten oder Schließfächer eine Person verfügungsberechtigt ist. "
Sollte es Simon also nicht möglich sein den wirtschaftlichen Berechtigen (= ultimate Beneficial Owner) jedes seiner 20k "User Konten" zu benennen - bzw. nicht nachweisen können woher das Geld der Einzahlungen kam und gegangen ist, kann man Ihm ganz schnell Beihilfe zur Geldwäsche anheften.
Siehe:
§ 261 Geldwäsche; Verschleierung unrechtmäßig erlangter Vermögenswerte
(3) Der Versuch ist strafbar.
(4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung einer Geldwäsche verbunden hat.
(5) Wer in den Fällen des Absatzes 1 oder 2 leichtfertig nicht erkennt, daß der Gegenstand aus einer in Absatz 1 genannten rechtswidrigen Tat herrührt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Das heißt jeder Fall von "Schmutzige EUR -> bitcoin24 -> bitcoins -> Überweisung irgendwohin" stellt eine (unwissentliche) Beihilfe zur Geldwäsche dar. Da ist dem Gesetzgeber egal ob Simon das gewusst hat. Da er als Betreiber der Seite verpflichtet ist solche Transaktionen nach besten Möglichkeiten zu verhindern. Und das geht nun nur mit Legitimation jedes einzelnen EUR Einzahlers. Warum denkt Ihr wohl hat Mt. Gox eine queue von ca. 16.000 Legitimationen? Die machen das ja nicht zum Spaß!