FATF — международные стандарты AML/CFT и их влияние на крипторынок

FATF (Financial Action Task Force) — межправительственный орган, разрабатывающий глобальные стандарты по борьбе с отмыванием денег и финансированием терроризма (AML/CFT). Рекомендации FATF формируют «язык» и практику комплаенса для банков, финтеха и криптосервисов (VASP) по всему миру: от идентификации клиентов и транзакционного мониторинга до правил передачи реквизитов при переводах (Travel Rule) и управления рисками юрисдикций.

FATF не выносит уголовных приговоров и не «закрывает» компании напрямую. Его сила — в бенчмарках и оценкиваемости: страны проходят взаимные оценки и получают статусы, влияющие на доступ к международным расчётам и отношению контрагентов. Для криптосектора это означает, что требования KYC/AML, санкционного скрининга и логирования становятся не опцией, а базой операционной модели (см. KYC/AML и регулирование крипторынка).

Роль FATF в крипте: почему это важно VASP

Единые определения и обязанности. FATF использует термин VASP (Virtual Asset Service Provider) — к нему относят криптобиржи, брокеров, кастоди, OTC-дески и иных посредников, организующих обмен/передачу/хранение виртуальных активов.
Подход, основанный на риске (RBA). Требования масштабируются под профиль риска клиента/юрисдикции/продукта, а не применяются «плоско».
Travel Rule для крипто-переводов. При трансграничных переводах между VASP передаются реквизиты отправителя/получателя выше порогов; это меняет архитектуру бэкендов и маршрутинг (см. ниже «Интеграция»).
Оценка стран и списки. Попадание страны в «серый/чёрный» список означает, что контрагенты будут повышать due diligence, задерживать расчёты или отказывать в доступе к услугам.

Что обычно попадает в «минимальный набор» требований к VASP

Область	Суть	Что делает VASP
KYC/KYB	Идентификация/верификация клиента и бизнеса	Сбор KYC-пакета, верификация документов, риск-скоринг (см. KYC/AML в крипте: как выстроить идентификацию клиентов и противодействие отмыванию)
Sanctions screening	Проверка санкционных/негативных списков	Скрининг при онбординге и по событиям; эскалация алертов
Transaction monitoring	Правила и сценарии AML-контроля	Мониторинг, расследования, отчёты SAR/STR
Travel Rule	Передача реквизитов при переводах между VASP	Подключение провайдеров/протоколов TR, роутинг по контрагентам
Recordkeeping	Хранение логов/документов	Политики хранения, контроль доступа, аудит
Risk governance	Политики, офицер комплаенса, обучение	RBA-матрицы, тесты, независимая проверка

Для ончейн-части пригодятся процессы из blockchain-аналитики: кластеризация адресов, оценка источника средств (SoF/SoW), риск-рейтинги контрагентов и связей.

Интеграция Travel Rule: практические модели

1) Провайдерские сети и хабы. VASP подключаются к совместимым провайдерам/сетям *Travel Rule*, которые маршрутизируют VASP-идентификаторы, атрибуты отправителя/получателя и статусы доставки. Критично обеспечить сопоставление «кто чей» в мультичейне и резервные маршруты на случай несовместимости.

2) «Интернализация» переводов. Если перевод идёт между аккаунтами внутри одного VASP, правило реализуется бэкендом, без внешнего обмена сообщениями.

3) Self-hosted кошельки (не VASP). Переводы на/с самокастодиальных адресов покрываются политиками доп. проверки риска (аттестация владения адресом, объём, гео, поведенческие паттерны). Здесь важны: чёткий UX, ончейн-сигналы и логика «разрешённых маршрутов» (см. Privacy Pools как пример приватности с комплаенсом и ERC-5564 для приватных адресов).

DeFi и интерфейсы: где проходит граница требований

Некастодиальные протоколы как код обычно вне прямого лицензирования, однако централизованные точки контроля (вэб-интерфейсы, API-шлюзы, RPC-роутеры) всё чаще внедряют интерфейсные меры:

маршрутизацию транзакций по «разрешённым» пулам/мостам (allow-list routes);
предупреждения/блокировки взаимодействия с высокорисковыми адресами;
логирование действий пользователя (в рамках политики приватности и закона).

Цель — снизить AML-риск, не ломая некастодиальную природу протокола. Подробнее — регулирование крипторынка.

Стейблкоины и FATF: ключевые риски для эмитента и платформ

Резервы/выкуп (redeem). От качества/ликвидности резервов зависит устойчивость; параллельно действует риск админ-функций (freeze/wipe) — см. blacklists у стейблкоинов.
Мультичейн-выпуски. Нужен консистентный учёт адресов контрактов по сетям и правила взаимодействия с мостами.
VASP-контур. Биржи/кастоди обязаны учитывать риск эмитента/сети, где доминирует оборот (см. USDT на Tron).

Оценки стран FATF и что это означает на практике

Взаимные оценки и последующий мониторинг. Страны проверяются на соответствие рекомендациям; по итогам — планы действий.
Серый/чёрный список. Юрисдикции с недостатками попадают в перечни, что ведёт к усиленному due diligence и де-факто «подорожанию» трансграничных потоков.
Эффект на крипту. VASP пересматривают географию онбординга, партнёрства с банками/провайдерами и лимиты для клиентов из таких стран.

Архитектура комплаенса для CEX/кастоди (sketch)

Onboarding-шлюз: KYC/KYB, санкционный скрининг, проверка деловой репутации.
On-chain risk: провайдеры ончейн-аналитики + внутренние правила (кластеризация, трассировка, SoF/SoW).
Travel Rule: интеграция с провайдерами/протоколами, адресация VASP-идентификаторов, ретраи.
Payments hub: маршрутизация сетей/кошельков, политика адресных книг, валидация memo/tag.
Case-management: алерты, расследования, SAR/STR, экспорт журналов.
Governance: офицер комплаенса, обучение, независимые тесты, аудит.

Частые заблуждения

«Мы не банк — значит, AML не про нас».

Если вы VASP или рядом с периметром — AML/CFT ваш операционный риск №1.

«DeFi обходит правила».

Код — децентрализован, но фронтенды/хостинг/платёжные шлюзы — нет. Требования «догоняют» через интерфейсные меры и партнёров.

«Travel Rule не нужен для self-custody».

Для не VASP — формально да, но VASP обязан компенсировать риск доп-проверками и логикой маршрутов.

«Ончейн-аналитика = слежка за всеми».

Это инструмент риск-менеджмента и расследований. Грамотное применение улучшает доступ к фиату и снижает ложноположительные срабатывания.

Чек-листы

Для VASP (ядро запуска)

Провайдеры KYC/KYB и санкционного скрининга подключены; политика RBA описана.
Интегрирован Travel Rule (минимум 1 сеть/хаб + бэкап-маршрут).
Встроен ончейн-риск (адресная книга, риск-скоринг, расследования).
Регламенты SAR/STR, хранение логов, разграничение доступа.
План обучения сотрудников и независимой проверки.

Для DeFi-интерфейсов

Предупреждения пользователю при рисковых маршрутах/адресах.
Маршрутизация по «белым» пулам/мостам там, где это уместно.
Локальные правила блокировки очевидно запрещённых направлений (юрисдикции/санкции).
Прозрачность: политика данных, контакты комплаенса.

Для пользователей

Держите лог операций (tx-ID, контрагенты, назначение), храните базовые документы для SoF/SoW.
Избегайте смешения «грязных» и чистых входов в одном кошельке.
Проверяйте сети/мемо/tag при вводе/выводе, делайте тестовый перевод.
Следуйте гигиене безопасности кошельков — см. защита от дренеров.

FAQ

FATF — это закон? Нет. Это стандарты и методология оценки. Страны внедряют их в национальные законы/правила. Но невыполнение стандартов приводит к реальным последствиям в доступе к услугам.

Кто такие VASP? Криптобиржи, брокеры, кастоди, OTC-провайдеры и иные посредники, организующие обмен/передачу/хранение виртуальных активов для клиентов.

Как DeFi может быть compliant? Через меры на уровне интерфейсов и партнёров: фильтры маршрутов, предупреждения, ончейн-сигналы риска, работа с приватностью без подрыва AML (см. Privacy Pools на Ethereum: приватность с комплаенсом через ZK-доказательства и ERC-5564 Stealth Addresses: приватные получатели в Ethereum без взаимодействия).

Чем полезна ончейн-аналитика? Позволяет проверять траекторию средств, оценивать риск контрагента и готовить материалы для внутренних/внешних расследований (см. Blockchain-аналитика: как работает, где применяется и какие есть ограничения).

Что такое «серый/чёрный списки»? Это перечни стран с недостатками AML/CFT-режима. Работа с такими юрисдикциями требует усиленного due diligence и влияет на сроки/стоимость операций.