Від формальності до виживання: AML/KYC у криптосекторі після запуску MiCA

Ще кілька років тому багатьом криптопроєктам вдавалося працювати з формальними AML/KYC політиками — документами, створеними «для галочки» без реального впровадження. У 2025 році такий підхід майже гарантовано призведе до проблем із регулятором або платіжними партнерами.

З 30 грудня 2024 року в ЄС діє регламент MiCA (Markets in Crypto-Assets Regulation), який запроваджує нову модель ліцензування CASP для криптокомпаній. Це означає, що кожен бізнес, який працює з криптоактивами, зобов’язаний мати повноцінно впроваджені AML/KYC процедури, призначеного офіцера з фінмоніторингу (MLRO) та політики, які відповідають міжнародним стандартам і місцевому законодавству.

Міжнародна група з протидії відмиванню коштів (FATF) очікує, що у 2025 році Travel Rule буде повністю інтегрований у криптосервіси у понад 200 країнах. Це зобов’язує провайдерів обмінюватися даними про відправників і отримувачів транзакцій — незалежно від того, чи вони працюють у банківському секторі, чи у Web3.

Розбираємось з деталями регуляції крипторинку з Андрієм Данченко, СЕО юридичної компанії Inexis. 

Основні міжнародні вимоги у криптосекторі: AML, KYC, CDD/EDD, CASP, MiCA

AML (Anti-Money Laundering) у криптобізнесі — це не просто набір політик, які лежать на сервері, а постійна робота з відстеження фінансових потоків, виявлення підозрілих операцій і своєчасного подання звітів регулятору. Для компаній, що працюють із цифровими активами, ця система означає моніторинг транзакцій у реальному часі, аналіз аномальних шаблонів, ведення журналу інцидентів і призначення відповідальної особи — офіцера з фінмоніторингу (MLRO). Без такої функції компанія вже не зможе пройти перевірку чи отримати ліцензію.

Минулого року наш клієнт із Литви був змушений релокувати криптобізнес через різке посилення вимог, зокрема збільшення кількості обов’язкових AML-працівників і складніший контроль регулятора. 

KYC (Know Your Customer) — це процес, який дозволяє встановити особу клієнта ще до того, як він отримає доступ до сервісу. У криптосекторі це зазвичай передбачає перевірку паспорта або ID, підтвердження адреси проживання та обов’язковий скринінг по санкційних і PEP-списках. На цьому етапі також оцінюють ризиковий профіль клієнта, враховуючи країну проживання, джерело коштів і попередню транзакційну поведінку.

Для клієнтів, які потрапляють у категорію високого ризику, застосовують додаткові рівні перевірки. Базовий рівень — CDD (Customer Due Diligence) — передбачає стандартну ідентифікацію та мінімальний набір документів. Поглиблений рівень — EDD (Enhanced Due Diligence) — включає більш детальний аналіз, збір додаткових доказів походження коштів та, за потреби, пряму верифікацію через відео.

Регуляторні стандарти AML/KYC у криптосекторі стають дедалі жорсткішими, і вже з кінця 2024 року в ЄС діє новий режим CASP, передбачений регламентом MiCA. Це означає, що всі криптокомпанії повинні бути зареєстровані у місцевого регулятора, впровадити KYC-перевірку при транзакціях від 1,000 EUR (а в деяких країнах — навіть при менших сумах) та дотримуватися Travel Rule. Обов’язковими залишаються перевірки PEP, санкційних списків, джерел коштів, а також наявність затвердженої AML політики та призначеного офіцера з фінмоніторингу. 

Маємо клієнта в Польщі, який вже готується до переходу на CASP, незважаючи на те, що новий закон ще не прийняли і буде транзитний період для існуючих криптокомпаній: вже провели ІТ-аудит, впровадили політики та забезпечили найм AML-офіцера, щоб він міг податися на нову ліцензію без затримок.

У США підхід до провайдерів криптопослуг  більш схожий на банківський: FinCEN, SEC та OFAC розглядають їх як MSB (Money Services Businesses) та вимагають відповідної реєстрації. KYC тут проводиться ще до здійснення будь-якої фінансової операції, а Travel Rule застосовується при переказах понад $1,000. Обов’язковим є подання SAR/STR звітів і жорстка заборона на обслуговування клієнтів із країн, що перебувають у санкційних списках OFAC. 

Інший приклад з практики: криптокомпанія зіткнулась з проблемою відкриття рахунку через місцеву політику щодо VASP-компаній. Адаптували його AML-документи під міжнародні стандарти та підібрали нову платіжну установу, що працює за американськими вимогами. Тож, гнучкі рішення по світу ще є, незважаючи на загальний тренд на суворішу регуляцію ринку. З чого складається ефективна AML/KYC система

Підписуйтеся на наші соцмережі

Ефективна AML/KYC система — це не формальна вимога, а інструмент зниження ризиків та захисту бізнесу. Вона починається з якісної ідентифікації клієнта: перевірка документів і адреси ще до початку роботи, застосування сучасних методів відеоідентифікації та підтвердження даних у реальному часі. Далі йде оцінка ризиків — країна проживання, джерело коштів, історія транзакцій та поведінкові фактори.

Є кілька типів AML/KYC систем, зокрема:

Наступний етап — моніторинг транзакцій. Він передбачає відстеження руху коштів, виявлення аномальних шаблонів, автоматичне присвоєння ризикових балів і інтеграцію з блокчейн-аналітичними сервісами. У разі виявлення підозрілої операції потрібні механізми фіксації, ведення журналів і своєчасне звітування у FIU чи FinCEN. Підтримка системи в робочому стані забезпечується внутрішнім контролем, навчанням персоналу та регулярними аудитами.

Ключові елементи системи:

Для криптокомпаній перелік обов’язкових документів залежить від моделі роботи — чи це біржа, кастодіальний сервіс, емітент токенів або DeFi-платформа. У будь-якому випадку базовий пакет має визначати, як компанія проводить ідентифікацію клієнтів, які стандарти дотримується при моніторингу транзакцій, та яким чином фіксує і реагує на підозрілу діяльність. Сюди входить AML/KYC політика у внутрішньому та публічному форматі, політика конфіденційності з урахуванням GDPR, а також правила користування сервісом.

Важливим елементом є Risk Disclosure Statement, який прямо інформує користувачів про можливі ризики при роботі з криптовалютами. Окремо має бути розроблена санкційна політика — документ, який встановлює, з якими країнами та категоріями клієнтів компанія не працює. Для кожного типу криптодіяльності набір і деталізація політик можуть змінюватися, але принцип залишається незмінним: документи повинні бути не «для галочки», а інтегровані в реальні операційні процеси.

Наприклад, у Польщі клієнт придбав компанію з VASP-ліцензією, але без жодних впроваджених AML/KYC процедур. Тобто компанія не відповідала вимогам і могла втратити ліцензію, заради якої була ця угода. Далі готували AML/СFT політику, наймали місцевого AML-офіцера та підключали криптообмінник до KYC провайдера. Для легальної роботи потрібна не тільки ліцензія, а також правила користування платформою, політика конфіденційності, повідомлення про ризики та інші документи відповідно до вашої бізнес-моделі. 

Типові проблеми криптокомпаній 

Досвід роботи з різними юрисдикціями показує, що більшість труднощів криптосервісів повторюються з країни в країну. Найчастіше компанії не призначають AML-офіцера, що призводить до неможливості виконувати ключові регуляторні вимоги. В залежності від вимог країни потрібно коректно підібрати резидентного фахівця, або передати функцію на аутсорсинг.

Є поширена проблема — це формальні політики без реального змісту. Наприклад, у документах може бути вказано, що «співробітники повідомляють про підозрілі транзакції», але немає навіть контактної пошти чи чіткої процедури, як це зробити. Інший приклад — використання шаблонних політик без урахування специфіки бізнес-моделі: у компанії, яка зберігає активи клієнтів, відсутній опис відповідних процесів, а замість цього використовується стандартний документ під звичайний криптообмінник. Для регулятора чи платіжного партнера це сигнал, що політики створені «для галочки».

Платіжні системи також дедалі уважніше перевіряють якість AML/KYC-процедур. Їм може не сподобатися невизначеність із майбутнім ліцензуванням VASP під MiCA, відсутність локального MLRO чи нечітко прописані процедури щодо перевірки клієнтів і транзакцій. У результаті компанія ризикує отримати відмову у відкритті рахунку або підключенні до платіжки навіть при наявності всіх формальних документів. Саме тому варто регулярно проводити аудит політик і адаптувати їх під реальні операційні процеси, а також готувати їх у форматі, зрозумілому для банків і платіжних провайдерів.

Ще один сценарій — зміна регуляторних правил, коли залишатися у поточній юрисдикції компанії стає економічно чи операційно невигідно. Тут вже потрібно задуматися про релокацію в іншу країну так, щоб бізнес міг продовжувати роботу без перерв, і не втрачав фінансово. Світ великий — варіанти існують, шукайте під вашу модель. 

Чому потрібен AML офіцер і як його обрати

У більшості країн AML-офіцер (MLRO) є обов’язковою вимогою, закріпленою у законодавстві. Це не формальна посада, а ключова функція, яка відповідає за моніторинг транзакцій, виявлення підозрілих операцій, подання звітів у фінансову розвідку та організацію навчання персоналу. Якість виконання цих обов’язків безпосередньо визначає, чи зможе компанія уникати штрафів і блокувань.

Варто враховувати, що в більшості юрисдикцій MLRO повинен бути місцевим резидентом. Це створює додатковий виклик для компаній, які виходять на нові ринки: пошук і залучення такого спеціаліста може зайняти більше часу, ніж сам запуск бізнесу. Часто саме відсутність локального офіцера стає причиною відмови у видачі ліцензії чи відкритті рахунку.

Вибір AML-офіцера повинен враховувати його досвід, кваліфікацію та резидентний статус, адже в багатьох юрисдикціях ця посада має бути заповнена місцевим фахівцем. Для стартапів і невеликих компаній оптимальним рішенням часто стає аутсорсинг цієї функції, що дозволяє зменшити витрати без втрати контролю. Прикладом є релокація VASP із Литви до Польщі, де компанія залишила лише одного резидентного AML-офіцера, а решту процесів передала на аутсорсинг, зокрема автоматизовані KYC перевірки

Що врахувати при виборі AML-офіцера:

Чек-лист готовності до перевірки регулятора

Перевірки стають більш системними, а підхід регуляторів — глибшим. Формальної наявності документів недостатньо, адже інспектори звертають увагу на фактичне впровадження процедур. Компанія має бути готова швидко надати підтвердження, що процеси дійсно працюють — від актуальних політик і логів перевірок до звітів про навчання персоналу.

Заздалегідь варто провести внутрішню перевірку на предмет того, чи відповідають ваші методології оцінки ризиків останнім змінам у законодавстві. Зберігання історії транзакцій та клієнтських перевірок у форматі, зручному для аудиту, стає критично важливим. Це значно скорочує час відповіді під час інспекції та зменшує ризик претензій.

Мінімальні вимоги, які мають бути виконані до перевірки:

Так, запуск ефективної AML/KYC системи у криптосекторі потребуватиме інвестицій у кількох напрямках одночасно. Окремо слід врахувати додаткові витрати, які часто недооцінюють на старті. Сюди входить аудит ІТ-інфраструктури, налаштування Travel Rule (особливо якщо компанія проводить міжнародні перекази), регулярний внутрішній аудит і актуалізація політик. Для компаній, що працюють на кількох ринках, ці витрати можуть становити суттєву частку бюджету. Та завчасна робота з цими складовими дозволяє зменшити операційні витрати майже на 40% без втрати рівня відповідності.

Такий підхід не лише забезпечує відповідність закону, але й мінімізує ризики блокувань, штрафів і репутаційних втрат. Якщо плануєте працювати на глобальному ринку, питання AML/KYC стає стратегічним елементом бізнес-моделі, а не другорядним завданням, яке можна відкласти.