Качественная система комплаенса — это не ручная проверка паспортов, а комплексный процесс, состоящий из трех слоев: процедур принятия решений, AML-мониторинга транзакций и качественного сбора данных (KYC/SOF).
Разберем, как выглядит комплаенс-механизм изнутри, опираясь на современные стандарты FATF и реальную практику AML-офицеров.
Процедурный слой: алгоритм принятия решений
Фундамент любого VASP — это формализованный поток данных (Data Flow). Решение о блокировке или успешной обработке транзакции не может зависеть от настроения человека. Оно принимается в рамках каскадной модели оценки риска для каждого отдельного кейса. Механизм остается универсальным для всех.
Источник: AMLOfficer.
Этап I. Автоматическая предварительная оценка (DP-1, автоматически)
Первый этап определения риска — AML-проверка транзакции. Как только транзакция попадает на кошелек сервиса, она проходит через AML-сервис, который проверяет источник происхождения средств.
Задача. Автоматическая идентификация и фильтрация транзакций, содержащих индикаторы критического риска (Severe Risk), без вовлечения оператора.
Логика. AML-сервис проверяет транзакцию на наличие высокорисковых активов на кошельке отправителя (например, санкции, финансирование терроризма, программы-вымогатели, даркнет, скам).
Результат. Либо «Автоматическое подтверждение», либо «Красный флаг» (алерт).
Этап II. Квалификация риска (DP-2, вручную)
Алерт попадает к специалисту первой линии. Здесь происходит ручной анализ на проверку ложного срабатывания.
Кейс. Клиент перевел средства из миксера, но сумма незначительна, а история кошелька чистая.
Решение. Специалист оценивает риск-аппетит компании. Если транзакция попадает в категорию «Критический риск» (санкции, терроризм, программы-вымогатели, скам), создается полноценный инцидент (кейс).
Этап III. Глубокое расследование (команда по расследованиям)
Ключевой этап внутреннего комплаенса. Здесь подключается старший офицер.
Изучение кейса. Проводится глубокий OSINT, запрашиваются документы (KYC/SOF), строится граф связей.
DP-3 (вручную). Финальная оценка внутри компании.
Решение. Если клиент не смог объяснить происхождение средств или связь с нелегальной активностью очевидна (критический риск), VASP обязан подготовить отчет о подозрительных транзакциях (Suspicious Activity Report, Suspicious Transaction Report, SAR/STR) и передать его регулятору.
Этап IV. Регуляторный надзор
После отправки SAR инициатива переходит к финансовой разведке (FIU).
Анализ ответа. Регулятор анализирует полученные данные.
DP-4 (полуавтоматически). Оценка обоснованности подозрений на государственном уровне.
Решение. Если регулятор видит состав преступления, формируется отчет расследования и дело передается силовикам.
Этап V. Правоприменение (правоохранительные органы)
Финальная стадия: обменник выступает как свидетель, исполнитель или источник данных. Далее — уголовное расследование и судебное производство, итогом которых становится судебное решение (DP-5, вручную):
не виновен. Транзакция признается легитимной (легальная транзакция) и средства размораживаются;
виновен. Активы признаются нелегальными (нелегальная транзакция), следуют штрафы или конфискация.
Важно для VASP: после третьего этапа (отправки SAR) провайдер теряет контроль над процессом. Попытка вернуть средства пользователю на этапах IV и V без санкции уполномоченных органов может быть квалифицирована как нарушение закона.
OSINT как необходимый инструмент для обеспечения безопасности
OSINT-процесс внутри VASP должен быть формализован так же, как KYC и ончейн-анализ. Это предполагает наличие стандартизированной методологии: какие источники проверяются в первую очередь, как фиксируются скриншоты и ссылки, как оценивается надежность источников и как результаты OSINT интегрируются в итоговый риск-скоринг кейса.
OSINT не должен зависеть от субъективного подхода аналитика. Выводы обязаны быть воспроизводимыми, проверяемыми и понятными для внешнего аудитора или FIU.
Комбинация ончейн-аналитики и OSINT существенно повышает качество решений на уровне DP-3. Если AML-сервис сигнализирует о высоких рисках, но OSINT не подтверждает связь с реальной противоправной активностью, кейс может оставаться в статусе «повышенный риск без SAR» при усиленном мониторинге.
Если же OSINT выявляет признаки мошеннического проекта, активности на даркнет-площадках или обхода санкций — даже при частично «чистом» ончейн-трейсе — это становится основанием для эскалации, блокировки и подачи SAR/STR.
Таблица ниже предназначена для системной оценки рисков, выявленных в рамках OSINT, на уровнях DP-2/DP-3 и их прямой привязки к конкретным решениям — от проведения EDD и установления лимитов до блокировки и подачи SAR.
Красные флаги в OSINT для крипторасследований. Источник: AMLOfficer.
Примечание: указанные категории «красных флагов» используются исключительно для внутренней оценки риска и не подлежат прямому доведению до сведения клиента в рамках коммуникации, чтобы избежать раскрытия информации (tipping off) и нарушения требований AML-законодательства.
Теперь перейдем к следующему логическому уровню — AML‑триггерам, то есть ончейн‑ и поведенческим индикаторам, за которые адрес или транзакция попадает в высокорисковую зону и может быть заблокирована.
AML-триггеры: за что конкретно блокируют?
Все активы делятся на категории риска. «Чистота» транзакции зависит от того, откуда пришли деньги.
Источник: AMLOfficer.
Согласно классификации рисков, блокировка почти неизбежна при взаимодействии с категориями высокого и критического уровня. К ним относятся:
прямая или косвенная связь с торговыми площадками даркнета.
средства, связанные с мошенническими магазинами или скам-проектами;
инструменты для запутывания транзакционных следов;
средства, полученные путем вымогательства хакерами;
украденные активы;
адреса, находящиеся под санкциями.
Если ончейн- и OSINT-анализ показывает связь с этими категориями, обменник не «придирается» — он выполняет требование безопасности.
Инструментальный слой: чем анализируем?
Современный криптокомплаенс невозможен без AML-сервисов для анализа транзакций: VASP обязан проверять каждую из них.
Эффективный AML-сервис включает:
кластеризацию. Понимание, что адрес bc1q... принадлежит конкретной бирже или даркнет-площадке;
визуализацию графов. Отслеживание цепочки движения средств (Peeling chains, микширование);
оценку рисков. Присвоение транзакции уровня риска.
В рамках риск-ориентированного подхода компании используют несколько независимых AML-источников для валидации оценки рисков. Например, AMLOfficer выступает агрегатором и позволяет проверять транзакции и кошельки сразу через четыре AML-провайдера.
Слой данных: гайд по KYC/SOF
Самый сложный вопрос для VASP: какие документы запрашивать? Здесь работает принцип RBA (риск-ориентированный подход). Требования должны быть адаптивными.
Мы составили матрицу решений на основе юрисдикционных рисков. Используйте таблицу ниже как шпаргалку при настройке внутренних политик.
Матрица запроса документов для VASP. Источник: AMLOfficer.
KYC как индикатор для комплаенс‑решений
Для VASP и криптобирж KYC — это не просто «входной фильтр», а формализованный контур, через который проходит почти вся комплаенс-логика по клиенту и его транзакциям. KYC-профиль задает исходный уровень риска, глубину мониторинга и порог, после которого кейс уходит на ручную проверку или эскалацию до SAR/STR. Каждый этап DP — от автоматического скоринга до финальной эскалации — по сути отвечает на один вопрос: «Кого именно мы обслуживаем?».
Риск-ориентированный подход в KYC означает, что криптосервис заранее фиксирует в политике типы клиентов, продуктов и юрисдикций, а затем для каждого риск-профиля определяет набор обязательных комплаенс-контролей.
Для клиентов из полностью регулируемых юрисдикций (США, ЕС/MiCA, ОАЭ, Сингапур и др.) это, как правило, стандартный CDD: идентификация, проверка документов, санкции и PEP, цель деловых отношений.
Для высокорисковых клиентов или сложных структур применяется EDD — с расширенным пакетом, проверкой UBO и усиленным мониторингом. В матрицу процедур также вшиваются триггеры: какие события — рост объемов, выход на новые страны, связь с миксерами, негативные медиа — требуют обновления KYC-профиля и пересмотра лимитов.
KYC-политика должна ясно разграничивать «базовый KYC» и расширенную проверку пользователей. Источник средств (Source of Funds, SOF) объясняет, откуда получены деньги в рамках конкретной операции — например, зарплата, продажа актива или OTC-сделка. Источник благосостояния (Source of Wealth, SOW) описывает, как в целом сформировалось состояние клиента и соответствует ли оно его заявленному профилю.
Для большинства пользователей обычно достаточно точечного SOF по отдельным операциям. Полный SOW-пакет применяется при крупном обороте, работе с PEP, офшорными структурами и другими высокорисковыми профилями. Без удовлетворительного SOF/SOW по высокорисковому клиенту кейс не может быть «закрыт в зеленую» и должен либо оставаться под усиленным мониторингом, либо эскалироваться.
Чек-лист документов для KYC в криптосервисах
Базовый KYC (физлица, CDD). Обязательный минимум для открытия аккаунта и низких/средних лимитов:
персональные данные. ФИО, дата рождения, гражданство, адрес проживания, контактный телефон, email;
документ, удостоверяющий личность. Паспорт, ID‑карта, загранпаспорт, водительское удостоверение (если разрешено локальным законом);
подтверждение адреса. Счет за коммунальные услуги, банковская выписка, налоговое уведомление, официальное письмо госоргана, аренда/выписка из реестра — обычно не старше трех месяцев;
селфи/liveness check. Фото/видео с документом в руках либо биометрическая проверка через приложение;
подтверждение цели использования сервиса. Краткое описание (трейдинг, P2P, инвестиции, платежи).
Базовый KYC (юрлица, CDD). Для корпоративных клиентов и структур:
учредительные документы. Сертификат регистрации (Certificate of Incorporation), устав/Articles of Association, выписка из коммерческого реестра;
реквизиты компании. Полное наименование, юридический адрес, регистрационный номер, налоговый номер;
структура собственности и управления. Органиграмма (ownership chart), список директоров и лиц, имеющих право подписи;
документы по UBO (бенефициары с долей не ниже установленного порога, чаще 25%). ID и Proof-of-Address каждого бенефициара;
описание бизнеса. Вид деятельности, основные контрагенты/рынки, ожидаемые объемы и назначение операций в криптосервисе.
Дополнительные документы для EDD (усиленная проверка). Применяются к высокорисковым клиентам/юрисдикциям, PEP, сложным структурам и при аномальном поведении:
подтверждение дохода (для физлиц). Справка о заработной плате, трудовой контракт, налоговые декларации, выписки по банковским счетам, договоры купли‑продажи активов, наследство, дивиденды;
подтверждение легальности бизнеса (для юрлиц). Финансовая отчетность (аудированная при необходимости), ключевые договора/инвойсы по основным потокам, лицензии и разрешения регуляторов, если бизнес регулируется;
дополнительные анкеты по рискам. PEP‑декларация, сведения о должности, публичном статусе, странах присутствия, источниках капитала;
усиленные проверки СМИ и санкций (adverse media, расширенные санкционные/PEP‑списки) с фиксацией результатов в досье клиента.
Документы по Source of Funds (SOF). Запрашиваются под конкретные операции/потоки, если сумма, частота или ончейн‑риски выше порога:
банковская выписка, подтверждающая поступление средств, которые заходят в криптосервис;
инвойсы, договоры, акты по сделкам, за счет которых сформирован депозит (например, продажа товара/услуг);
подтверждение продажи активов: договоры и платежи по продаже недвижимости, авто, долей в бизнесе, ценных бумаг;
документы по криптоисточникам: выписки с других бирж, отчеты из кошельков, ончейн‑трассировка при миграции активов между сервисами.
Документы по Source of Wealth (SOW). Используются для крупных объемов, VIP‑клиентов, сложных офшорных структур, PEP и других высокорисковых категорий:
консолидированное описание истории состояния: краткое резюме клиента о том, как сформирован капитал (бизнес, инвестиции, наследство, продажа активов);
подтверждающие документы по ключевым источникам богатства: доля в бизнесе (учредительные документы, отчетность, дивидендные решения), инвестиции (брокерские отчеты, документы по продаже долей/акций), наследство/дарение (завещания, договоры дарения, решения суда), доход от профессиональной деятельности (контракты, гонорары, IP‑лицензии).
Внутренний чек‑лист по KYC‑файлу. Чтобы комплаенс‑решение было защищаемым, в KYC‑досье должны быть не только документы, но и метаданные:
лог всех версий анкеты клиента и обновлений данных;
дата и результат верификации документов (ID, адрес, UBO), используемый провайдер/метод;
скриншоты/отчеты по санкциям, PEP и adverse media с датой проверки;
решение по уровню риска, лимитам и необходимости EDD/SOF/SOW с указанием офицера и даты;
ссылки на связанные кейсы (алерты, расследования, SAR/STR), если они были.
KYC-риски и алгоритмы действий при их появлении
Источник: AMLOfficer.
Красные линии: злоупотребления и чрезмерный сбор документов
Важно помнить: VASP — это частная компания, а не прокуратура. В комплаенс-практике существует понятие «чрезмерных и неправомерных запросов информации» (Abusive Information Requests) — требований, нарушающих принцип минимизации данных (data minimisation principle).
Такой подход вытекает из риск-ориентированного подхода в AML (risk-based approach, AML-RBA), требований GDPR, а также из практики подразделений финансовой разведки (FIU): объем и глубина запрашиваемой информации должны быть пропорциональны выявленному уровню риска и обоснованы в досье клиента.
Согласно рекомендациям и здравому смыслу, офицер по комплаенсу не должен запрашивать у клиента:
банковские выписки третьих лиц (контрагентов клиента);
внутреннюю бухгалтерскую отчетность и налоговые декларации (если это не единственный способ подтвердить SoW для клиентов высокого риска);
нотариальные аффидевиты;
аудиторские заключения.
Запрос этих документов легитимен только при наличии официального запроса от компетентных органов (суд, правоохранительные органы). Включение их в стандартный чек-лист обменника — признак непрофессионализма и риск юридических претензий со стороны пользователей.
Эффективный комплаенс — это баланс между безопасностью бизнеса и возможностью достигать цели (конверсией). Для обеспечения этого баланса:
внедрите автоматический мониторинг на входе;
используйте матрицу рисков (см. таблицу выше), чтобы не мучить «чистых» клиентов излишними проверками.
Чтобы снизить риск работы с высокорискованными криптоактивами, используйте данные сразу нескольких AML-провайдеров. В AMLOfficer такой подход уже реализован.
Если ситуация требует более детального разбора, специалисты сервиса могут предоставить консультации и рекомендации.
Текст: команда AMLOfficer
