Ще кілька років тому криптовалюти асоціювалися з анонімністю і свободою від будь-якого контролю. Сьогодні за транзакціями стежать так само уважно, як і за банківськими переказами. Регулятори в усьому світі послідовно прагнуть поширити фінансовий контроль на будь-які інструменти, що можуть використовуватися для відмивання коштів або фінансування тероризму. Існують резонансні справи, у яких найбільші біржі світу заплатили мільярди доларів штрафів за ігнорування базових правил фінансового моніторингу.
Для початку розберемось із термінами
Основою всього є AML (Anti-Money Laundering) – комплекс правових норм і процедур, спрямованих на запобігання використанню фінансової системи для легалізації незаконно одержаних коштів. Поруч із ним завжди стоїть CFT (Countering the Financing of Terrorism) – протидія фінансуванню тероризму. Ключовим інструментом у цій системі є KYC (Know Your Customer), процедура ідентифікації особи на основі офіційних документів до початку будь-яких операцій. Якщо платформа виявляє ознаки відмивання, вона зобов'язана направити SAR (Suspicious Activity Report), – повідомлення про підозрілу операцію до органу фінансової розвідки. Відсутність таких повідомлень, як буде показано нижче, стала однією з ключових підстав для мільярдних штрафів.
Міжнародний стандарт у цій сфері формує FATF (Financial Action Task Force, або Група з розробки фінансових заходів боротьби з відмиванням грошей), яка є міжурядовою організацією, чиї 40 рекомендацій є визнаним глобальним орієнтиром для більш ніж 200 юрисдикцій. У 2019 та 2021 роках FATF поширила свої вимоги на постачальників послуг у сфері віртуальних активів, яких у міжнародній термінології позначають абревіатурою VASP (Virtual Asset Service Provider). Це біржі, обмінники та кастодіальні гаманці тощо. В ЄС аналогом є поняття CASP (Crypto-Asset Service Provider), що запроваджене Регламентом MiCA (Markets in Crypto-Assets Regulation), головним регуляторним актом ЄС у сфері криптоактивів.
Однією з ключових вимог FATF є так зване правило Travel Rule, і саме його впровадження сьогодні є одним з найбільших викликів для криптоіндустрії. Назва походить від того, що інформація про відправника і отримувача має "подорожувати" разом із переказом від однієї платформи до іншої.
Як це працює та регулюється на практиці?
Коли ви переказуєте гроші з одного банку в інший через систему SWIFT, разом із платежем автоматично йде пакет даних: хто відправив, з якого рахунку, кому, на який рахунок. Банк-отримувач бачить цю інформацію ще до того, як зараховує кошти. Якщо даних немає або вони підозрілі, банк може затримати або заблокувати платіж. Travel Rule – це та сама вимога, але для переказів криптовалюти між платформами.
Закріплена у Рекомендації 16 FATF, вона зобов'язує платформу-відправника перед або одночасно з переказом передати платформі-отримувачу конкретний набір даних. Для фізичної особи це ім'я та прізвище відправника і отримувача, номери їх гаманців або рахунків, а для переказів вище порогової суми – також фізична адреса, ідентифікаційний номер або дата і місце народження. Платформа-отримувач, своєю чергою, зобов'язана перевірити отримані дані, а якщо їх немає або вони неповні – вжити дії аж до відмови у проведенні переказу.
До 2019 року ця вимога існувала лише для традиційних банківських переказів, проте стрімке зростання ринку криптоактивів і численні випадки їх використання для обходу фінансового контролю змусили FATF розширити сферу дії Рекомендації 16 на VASP. Керуючись логікою регулювання, це цілком послідовний крок, адже якщо правила прозорості переказів діють у банках, немає підстав для звільнення від них криптоплатформ.
На практиці виконання Travel Rule виявилося технічно складним. На відміну від банківської системи, де є єдина мережа SWIFT з уніфікованими стандартами, криптоіндустрія є децентралізованою із тисячами платформ у різних юрисдикціях, з відмінними технічними системами, і де просто немає спільного стандарту передачі даних. Для вирішення цієї проблеми галузь розробила декілька технічних протоколів обміну Travel Rule-даними, а де-факто стандартом у ЄС став IVMS 101 (InterVASP Messaging Standard) – уніфікований формат повідомлень між VASP.
Окремою складністю є перекази за участю так званих некастодіальних (самостійно керованих) гаманців, коли відправник або отримувач не використовує платформу, а управляє своїм гаманцем самостійно. У такому разі немає іншої платформи, якій можна передати дані. Регламент (ЄС) 2023/1113 (TFR) вирішує це тим, що якщо переказ на або з некастодіального гаманця перевищує 1 000 EUR, платформа зобов'язана отримати від свого клієнта підтвердження того, що цей гаманець справді належить йому. Для менших сум достатньо зафіксувати адресу гаманця.
FATF рекомендує застосовувати Travel Rule для переказів від 1 000 USD або EUR, але держави можуть встановлювати нижчий поріг. ЄС обрав найжорсткіший підхід, запровадивши нульовий поріг для всіх без винятку переказів. США встановили поріг у 3 000 USD. Японія та Сінгапур застосовують близькі до нуля або мінімальні пороги. Україна, відповідно до статті 14 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", встановила поріг у 30 000 грн для внутрішніх переказів, а вище цієї суми необхідний повний набір даних.
Окрім вимог FATF та регулювання ЄС, у світі діє широкий масив національного законодавства. У США основою є Bank Secrecy Act та правила FinCEN, що зобов'язують VASP реєструватися як Money Services Business і виконувати повний комплекс AML/KYC-вимог. Комісія з цінних паперів і бірж (SEC) та Комісія з торгівлі товарними ф'ючерсами (CFTC) додатково регулюють криптоактиви залежно від їхньої правової природи. У Великобританії діють Proceeds of Crime Act 2002 та Money Laundering Regulations 2019, а VASP зобов'язані реєструватися у Фінансовій службі регулювання (FCA). Японія стала однією з перших юрисдикцій, що повністю імплементувала Travel Rule. Payment Services Act встановлює нульовий поріг передачі даних, а VASP підлягають ліцензуванню в Агентстві фінансових послуг (FSA). У Сінгапурі Payment Services Act 2019 запровадили обов'язкову реєстрацію VASP з акцентом на ризик-орієнтований підхід, а поріг Travel Rule становить 1 500 сингапурських доларів.
Анонімність: гарантія чи міф?
Блокчейн за своєю природою є публічним незмінним реєстром та кожна транзакція зафіксована назавжди і доступна для перегляду будь-кому. Сучасні інструменти blockchain-аналітики, зокрема, Chainalysis, Elliptic, TRM Labs дозволяють відстежувати рух коштів між адресами, встановлювати зв'язки між гаманцями і за сукупністю непрямих ознак ідентифікувати реального власника. Якщо адреса хоча б одного разу була пов'язана з верифікованим акаунтом на біржі, банківським переказом або публічно розкритими даними, весь попередній і наступний ланцюг транзакцій стає доступним для аналізу. Саме завдяки цьому правоохоронні органи неодноразово розкривали великі схеми відмивання через криптовалюти. Тож, поширена думка про повну анонімність криптовалют є хибною.
Водночас ринок виробив низку інструментів, що суттєво ускладнюють простежуваність, зокрема, через міксери (сервіси, що змішують монети різних користувачів, розриваючи пряму ланцюжкову прив'язку між відправником і одержувачем), privacy coins – монети на кшталт Monero (XMR) або Zcash (ZEC), що приховують суму та учасників транзакції. Децентралізовані мости і cross-chain протоколи дозволяють переміщати активи між різними блокчейнами, перериваючи ланцюг простежуваності. Більшість великих бірж сьогодні автоматично відмовляють у прийомі коштів, що пройшли через відомі міксери.
Саме через ризик "забруднення" активів важливою практичною рекомендацією для тих, хто здійснює криптоперекази, є попередня перевірка гаманця контрагента. Якщо кошти надійдуть з адреси, пов'язаної з даркнет-маркетплейсом, міксером або санкційним суб'єктом, біржа може заморозити їх навіть у добросовісного одержувача, оскільки "брудна" історія прив'язана до самих монет, а не до особи. Для таких перевірок існують різні сервіси (AMLBot, Crystal Blockchain, Chainalysis KYT тощо).
Розуміти, як AML-вимоги реалізуються всередині платформ, важливо і для бізнесу, і для кінцевого користувача. Типова AML-система VASP будується навколо кількох елементів. Перший – це верифікація клієнта, що включає базову ідентифікацію, завантаження документа, відеоверифікація (liveness check) і технологія FaceMatch, яка звіряє зображення з документом. Наступним елементом є постійний моніторинг транзакцій. Алгоритми аналізують операції на предмет підозрілих патернів, зокрема, незвично великих сум, нетипової частоти переказів або зв'язків із юрисдикціями підвищеного ризику. Третій – це скринінг у реальному часі у міжнародних санкційних списках. Четвертий – це процедура подачі SAR, де кожна платформа зобов'язана мати чітко прописаний регламент звітування про підозрілу активність до органу фінансової розвідки. Центром всієї системи є відповідальний AML-офіцер (Chief Compliance Officer або Money Laundering Reporting Officer, MLRO), що є спеціально призначеною особою, яка несе персональну відповідальність за дотримання платформою всіх вимог. Саме офіцер приймає рішення про направлення SAR, організовує внутрішні перевірки і є першою відповідальною особою у випадку регуляторної перевірки. У багатьох юрисдикціях відсутність призначеного AML-офіцера сама по собі є порушенням.
Західний досвід: наслідки ігнорування вимог на рівні платформи
Пригадаємо показову справу Binance. 21 листопада 2023 року Міністерство юстиції США оголосило угоду з Binance, яка є найбільшою криптовалютною біржею світу. Загальна сума штрафу склала понад 4,3 млрд доларів, що стало одним із найбільших корпоративних покарань в американській правовій історії. Засновник і CEO Changpeng Zhao особисто визнав провину, сплатив 50 млн USD і провів чотири місяці у федеральній в'язниці. Центральною проблемою Binance була системна відсутність AML-програми впродовж 2017-2022 років, та механізми KYC або не працювали, або легко обходилися, а кількість поданих SAR при обробці мільйонів транзакцій була фактично нульовою. Через платформу без належного контролю проходили кошти, пов'язані з російськими санкційними суб'єктами та даркнет-маркетплейсами. Внутрішня переписка свідчила, що комплаєнс-офіцери усвідомлювали ці вади, але обирали видимість відповідності замість реального дотримання вимог.
Проте історія із біржею Binance не завершилася у 2023 році. У лютому 2026 року Fortune та New York Times повідомили, що слідчі виявили ознаки того, що у 2024-2025 роках через платформу пройшло понад мільярд доларів у USDT до гаманців, пов'язаних з іранськими структурам. Зокрема, VIP-акаунт, зареєстрований на 79-річного громадянина Китаю, використовувався для переказу 439 млн доларів до гаманців, згодом ідентифікованих як пов'язані з санкційними організаціями.
Схожою за суттю, хоча і меншою за масштабом, є справа BitMEX. 15 січня 2025 року суд у Нью-Йорку засудив BitMEX (HDR Global Trading Inc.) до сплати 100 млн USD за порушення Bank Secrecy Act, поверх раніше сплаченого врегулювання у 130 млн USD з CFTC та FinCEN, тому загальна сума перевищила 200 млн USD. Ключовим висновком суду є те, що регуляторна невизначеність не є виправданням.
А що в Україні?
На тлі міжнародної практики ситуація в Україні виглядає принципово інакше. Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" вже поширюється на постачальників послуг у сфері віртуальних активів, адже такі суб'єкти включені до переліку тих, хто здійснює первинний фінансовий моніторинг, для них встановлено обов'язкову перевірку клієнта при операціях від 30 000 грн, а нагляд покладено на Міністерство цифрової трансформації. Водночас профільний Закон "Про віртуальні активи" № 2074-IX, ухвалений ще у лютому 2022 року, досі не набрав чинності через відсутність необхідних змін до Податкового кодексу (законопроєкт № 10225-д перебуває на розгляді). Без цього немає ані Державного реєстру VASP, ані ліцензованих постачальників послуг, ані повноцінної системи передачі даних між ними.
Фактично це означає, що повноцінного фінансового моніторингу криптовалютного ринку в Україні сьогодні не існує. Основний тягар несуть банки через контроль операцій, що виникають у зв'язку з p2p-торгівлею. Якщо клієнт регулярно отримує перекази від незнайомих осіб через прив'язану картку, банк може запросити пояснення щодо джерела коштів або тимчасово заблокувати рахунок. Принципово важливо розуміти, що банк у цьому разі блокує не криптовалюту, а кошти на рахунку, тобто фіатну частину операції.
Інша історія, коли оплата за майно або послугу здійснюється безпосередньо у криптовалюті. У такому разі суб'єктом фінансового моніторингу може виступити не сама біржа, а особа, що супроводжує правочин. Нотаріус, який посвідчує договір купівлі-продажу з оплатою у криптовалюті, адвокат, що надає послуги у зв'язку з такою угодою, або аудитор, залучений до операції, – всі вони відповідно входять до кола суб'єктів первинного фінансового моніторингу і мають право, а за наявності підстав зобов'язані, запросити підтвердження походження коштів.
Таким чином, криптовалюта давно перестала бути простором поза будь-яким контролем.
Для бірж, обмінників та інших постачальників послуг у сфері віртуальних активів AML-система не може бути формальністю або документом "для перевіряючих". Платформи повинні розробляти реальну внутрішню політику з процедурами ідентифікації клієнтів, моніторингу транзакцій та реагування на підозрілу активність, а персонал слід регулярно навчати.
Слід пам'ятати, що анонімність крипти є умовною, оскільки блокчейн фіксує все і за необхідності слід транзакцій можна відновити. Варто зберігати підтвердження походження своїх коштів, бо банк, біржа, регулятор чи податкова рано чи пізно можуть про це запитати.