Блог Андрей Сало: Как миллиардные штрафы изменили финансовый мониторинг криптовалют

Еще несколько лет назад криптовалюты ассоциировались с анонимностью и отсутствием какого-либо контроля. Сегодня за транзакциями следят так же внимательно, как и за банковскими переводами. Регуляторы по всему миру последовательно стремятся распространить финансовый контроль на любые инструменты, которые могут использоваться для отмывания средств или финансирования терроризма. Известны резонансные дела, в которых крупнейшие биржи мира заплатили миллиарды долларов штрафов за игнорирование базовых правил финансового мониторинга.

Для начала разберёмся с терминами

Основой всего является AML (Anti-Money Laundering) — комплекс правовых норм и процедур, направленных на предотвращение использования финансовой системы для легализации незаконно полученных средств. Рядом с ним всегда стоит CFT (Countering the Financing of Terrorism) – противодействие финансированию терроризма. Ключевым инструментом в этой системе является KYC (Know Your Customer), процедура идентификации личности на основе официальных документов до начала любых операций. Если платформа обнаруживает признаки отмывания, она обязана направить SAR (Suspicious Activity Report) — сообщение о подозрительной операции — в орган финансовой разведки. Отсутствие таких сообщений, как будет показано ниже, стало одним из ключевых оснований для миллиардных штрафов.   Международный стандарт в этой сфере формирует FATF (Financial Action Task Force, или Группа по разработке финансовых мер борьбы с отмыванием денег), которая является межправительственной организацией, чьи 40 рекомендаций являются признанным глобальным ориентиром для более чем 200 юрисдикций. В 2019 и 2021 годах FATF распространила свои требования на поставщиков услуг в сфере виртуальных активов, которых в международной терминологии обозначают аббревиатурой VASP (Virtual Asset Service Provider). Это биржи, обменники, кастодиальные кошельки и т. д. В ЕС аналогом является понятие CASP (Crypto-Asset Service Provider), введенное Регламентом MiCA (Markets in Crypto-Assets Regulation) — главным регуляторным актом ЕС в сфере криптоактивов.   Одним из ключевых требований FATF является так называемое правило Travel Rule, и именно его внедрение сегодня представляет собой один из самых серьезных вызовов для криптоиндустрии. Название происходит от того, что информация об отправителе и получателе должна «путешествовать» вместе с переводом от одной платформы к другой.  

Как это работает и регулируется на практике?

Когда вы переводите деньги из одного банка в другой через систему SWIFT, вместе с платежом автоматически отправляется пакет данных: кто отправил, с какого счета, кому, на какой счет. Банк-получатель видит эту информацию ещё до того, как зачисляет средства. Если данных нет или они вызывают подозрения, банк может задержать или заблокировать платеж. Travel Rule — это то же самое требование, но для переводов криптовалюты между платформами.

Закрепленное в Рекомендации 16 FATF, оно обязывает платформу-отправителя до или одновременно с переводом передать платформе-получателю конкретный набор данных. Для физического лица это имя и фамилия отправителя и получателя, номера их кошельков или счетов, а для переводов, превышающих пороговую сумму, — также физический адрес, идентификационный номер или дата и место рождения. Платформа-получатель, в свою очередь, обязана проверить полученные данные, а если их нет или они неполны — принять меры вплоть до отказа в проведении перевода.

До 2019 года это требование существовало только для традиционных банковских переводов, однако стремительный рост рынка криптоактивов и многочисленные случаи их использования для обхода финансового контроля заставили FATF расширить сферу действия Рекомендации 16 на VASP. Исходя из логики регулирования, это вполне последовательный шаг, ведь если правила прозрачности переводов действуют в банках, нет оснований для освобождения от них криптоплатформ.

На практике внедрение Travel Rule оказалось технически сложной задачей. В отличие от банковской системы, где существует единая сеть SWIFT с унифицированными стандартами, криптоиндустрия является децентрализованной и насчитывает тысячи платформ в различных юрисдикциях с разными техническими системами, и где просто отсутствует общий стандарт передачи данных. Для решения этой проблемы отрасль разработала несколько технических протоколов обмена данными в рамках Travel Rule, а де-факто стандартом в ЕС стал IVMS 101 (InterVASP Messaging Standard) — унифицированный формат сообщений между VASP.

Отдельной сложностью являются переводы с участием так называемых некастодиальных (самостоятельно управляемых) кошельков, когда отправитель или получатель не использует платформу, а управляет своим кошельком самостоятельно. В таком случае нет другой платформы, которой можно передать данные. Регламент (ЕС) 2023/1113 (TFR) решает эту проблему следующим образом: если перевод на или с некастодиального кошелька превышает 1 000 евро, платформа обязана получить от своего клиента подтверждение того, что этот кошелек действительно принадлежит ему. Для меньших сумм достаточно зафиксировать адрес кошелька.

FATF рекомендует применять Travel Rule к переводам от 1 000 USD или EUR, но государства могут устанавливать более низкий порог. ЕС выбрал самый жесткий подход, введя нулевой порог для всех без исключения переводов. США установили порог в 3 000 USD. Япония и Сингапур применяют пороги, близкие к нулю, или минимальные пороги. Украина, в соответствии со статьёй 14 Закона Украины «О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путём, финансированию терроризма и финансированию распространения оружия массового уничтожения», установила порог в 30 000 грн для внутренних переводов, а при суммах выше этого порога требуется полный набор данных.

Помимо требований FATF и регулирования ЕС, в мире действует обширный массив национального законодательства. В США основой служат Bank Secrecy Act и правила FinCEN, обязывающие VASP регистрироваться в качестве Money Services Business и выполнять полный комплекс AML/KYC-требований. Комиссия по ценным бумагам и биржам (SEC) и Комиссия по торговле товарными фьючерсами (CFTC) дополнительно регулируют криптоактивы в зависимости от их правовой природы. В Великобритании действуют Закон о доходах от преступной деятельности 2002 года (Proceeds of Crime Act 2002) и Положения об отмывании денег 2019 года (Money Laundering Regulations 2019), а VASP обязаны регистрироваться в Управлении по финансовому регулированию и надзору (FCA). Япония стала одной из первых юрисдикций, полностью внедривших «Travel Rule». Закон о платежных услугах (Payment Services Act) устанавливает нулевой порог передачи данных, а VASP подлежат лицензированию в Агентстве финансовых услуг (FSA). В Сингапуре Закон о платежных услугах 2019 года (Payment Services Act 2019) ввёл обязательную регистрацию VASP с акцентом на риск-ориентированный подход, а порог Travel Rule составляет 1 500 сингапурских долларов.

Анонимность: гарантия или миф?

Блокчейн по своей природе представляет собой публичный неизменяемый реестр, и каждая транзакция зафиксирована навсегда и доступна для просмотра любому. Современные инструменты блокчейн-аналитики, в частности Chainalysis, Elliptic, TRM Labs, позволяют отслеживать движение средств между адресами, устанавливать связи между кошельками и по совокупности косвенных признаков идентифицировать реального владельца. Если адрес хотя бы один раз был связан с верифицированной учетной записью на бирже, банковским переводом или публично раскрытыми данными, вся предшествующая и последующая цепочка транзакций становится доступной для анализа. Именно благодаря этому правоохранительные органы неоднократно раскрывали крупные схемы отмывания денег с использованием криптовалют. Таким образом, распространенное мнение о полной анонимности криптовалют является ошибочным.

В то же время рынок разработал ряд инструментов, существенно затрудняющих отслеживаемость, в частности, с помощью миксеров (сервисов, смешивающих монеты разных пользователей, разрывая прямую цепочку связи между отправителем и получателем), privacy coins — монет типа Monero (XMR) или Zcash (ZEC), скрывающих сумму и участников транзакции. Децентрализованные мосты и кросс-чейн протоколы позволяют перемещать активы между различными блокчейнами, прерывая цепочку отслеживаемости. Большинство крупных бирж сегодня автоматически отказывают в приеме средств, прошедших через известные миксеры.

Именно из-за риска «загрязнения» активов важной практической рекомендацией для тех, кто осуществляет криптопереводы, является предварительная проверка кошелька контрагента. Если средства поступят с адреса, связанного с даркнет-маркетплейсом, миксером или субъектом, подпадающим под санкции, биржа может заморозить их даже у добросовестного получателя, поскольку «грязная» история привязана к самим монетам, а не к лицу. Для таких проверок существуют различные сервисы (AMLBot, Crystal Blockchain, Chainalysis KYT и т. д.).

Понимать, как AML-требования реализуются внутри платформ, важно и для бизнеса, и для конечного пользователя. Типичная AML-система VASP строится вокруг нескольких элементов. Первый — это верификация клиента, включающая базовую идентификацию, загрузку документа, видеоверификацию (liveness check) и технологию FaceMatch, которая сверяет изображение с документом. Следующим элементом является постоянный мониторинг транзакций. Алгоритмы анализируют операции на предмет подозрительных паттернов, в частности, необычно крупных сумм, нетипичной частоты переводов или связей с юрисдикциями повышенного риска. Третий — это скрининг в режиме реального времени по международным санкционным спискам. Четвертый — это процедура подачи SAR, где каждая платформа обязана иметь четко прописанный регламент отчетности о подозрительной активности в орган финансовой разведки. Центром всей системы является ответственный AML-офицер (Chief Compliance Officer или Money Laundering Reporting Officer, MLRO) — специально назначенное лицо, несущее личную ответственность за соблюдение платформой всех требований. Именно офицер принимает решение о направлении SAR, организует внутренние проверки и является первым ответственным лицом в случае регуляторной проверки. Во многих юрисдикциях отсутствие назначенного AML-офицера само по себе является нарушением.

Западный опыт: последствия игнорирования требований на уровне платформы

Вспомним показательное дело Binance. 21 ноября 2023 года Министерство юстиции США объявило о заключении соглашения с Binance, крупнейшей криптовалютной биржей в мире. Общая сумма штрафа составила более 4,3 млрд долларов, что стало одним из крупнейших корпоративных наказаний в американской правовой истории. Основатель и генеральный директор Чанпэн Чжао лично признал вину, выплатил 50 млн долларов и провел четыре месяца в федеральной тюрьме. Основной проблемой Binance было системное отсутствие AML-программы в течение 2017–2022 годов, а механизмы KYC либо не работали, либо легко обходились, и количество поданных SAR при обработке миллионов транзакций было фактически нулевым. Через платформу без надлежащего контроля проходили средства, связанные с российскими субъектами, подпадающими под санкции, и даркнет-маркетплейсами. Внутренняя переписка свидетельствовала о том, что комплаенс-офицеры осознавали эти недостатки, но предпочитали видимость соответствия вместо реального соблюдения требований.

Однако история с биржей Binance не завершилась в 2023 году. В феврале 2026 года Fortune и New York Times сообщили, что следователи обнаружили признаки того, что в 2024–2025 годах через платформу прошло более миллиарда долларов в USDT в кошельки, связанные с иранскими структурами. В частности, VIP-аккаунт, зарегистрированный на 79-летнего гражданина Китая, использовался для перевода 439 млн долларов в кошельки, впоследствии идентифицированные как связанные с организациями, подпадающими под санкции.

По сути схожим, хотя и меньшим по масштабу, является дело BitMEX. 15 января 2025 года суд в Нью-Йорке приговорил BitMEX (HDR Global Trading Inc.) к уплате 100 млн долларов США за нарушение Закона о банковской тайне (Bank Secrecy Act), в дополнение к ранее выплаченной сумме в размере 130 млн долларов США в рамках урегулирования с CFTC и FinCEN, в результате чего общая сумма превысила 200 млн долларов США. Ключевым выводом суда является то, что регуляторная неопределенность не является оправданием.

А как обстоят дела в Украине?

На фоне международной практики ситуация в Украине выглядит принципиально иначе. Закон Украины «О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения» уже распространяется на поставщиков услуг в сфере виртуальных активов, ведь такие субъекты включены в перечень тех, кто осуществляет первичный финансовый мониторинг, для них установлена обязательная проверка клиента при операциях на сумму от 30 000 грн, а надзор возложен на Министерство цифровой трансформации. В то же время профильный Закон «О виртуальных активах» № 2074-IX, принятый ещё в феврале 2022 года, до сих пор не вступил в силу из-за отсутствия необходимых изменений в Налоговый кодекс (законопроект № 10225-д находится на рассмотрении). Без этого нет ни Государственного реестра VASP, ни лицензированных поставщиков услуг, ни полноценной системы передачи данных между ними.

Фактически это означает, что полноценного финансового мониторинга криптовалютного рынка в Украине сегодня не существует. Основную нагрузку несут банки из-за контроля операций, возникающих в связи с p2p-торговлей. Если клиент регулярно получает переводы от незнакомых лиц на привязанную карту, банк может запросить объяснения относительно источника средств или временно заблокировать счет. Принципиально важно понимать, что банк в этом случае блокирует не криптовалюту, а средства на счете, то есть фиатную часть операции.

Другое дело, когда оплата за имущество или услугу осуществляется непосредственно в криптовалюте. В таком случае субъектом финансового мониторинга может выступить не сама биржа, а лицо, сопровождающее сделку. Нотариус, удостоверяющий договор купли-продажи с оплатой в криптовалюте, адвокат, оказывающий услуги в связи с такой сделкой, или аудитор, привлечённый к операции, — все они соответственно входят в круг субъектов первичного финансового мониторинга и имеют право, а при наличии оснований обязаны запросить подтверждение происхождения средств.

Таким образом, криптовалюта давно перестала быть пространством, находящимся вне какого-либо контроля.

Для бирж, обменников и других поставщиков услуг в сфере виртуальных активов AML-система не может быть формальностью или документом «для проверяющих». Платформы должны разрабатывать реальную внутреннюю политику с процедурами идентификации клиентов, мониторинга транзакций и реагирования на подозрительную активность, а персонал следует регулярно обучать.

Следует помнить, что анонимность криптовалют является условной, поскольку блокчейн фиксирует всё, и при необходимости цепочку транзакций можно восстановить. Стоит хранить подтверждения происхождения своих средств, так как банк, биржа, регулятор или налоговая рано или поздно могут об этом спросить.