KYC/AML — это набор процедур, который помогает криптосервисам (биржам, кастоди, финтех-приложениям) знать клиента (KYC/KYB) и противодействовать отмыванию/финансированию терроризма (AML/CFT). В крипте классический комплаенс дополняется ончейн-спецификой: проверкой адресов, графовым анализом транзакций и учётом функций эмитентов токенов (freeze/wipe; см. blacklists у стейблкоинов).
Для общих принципов и роли риск-подхода см. «Базовые принципы комплаенса». Здесь — практический «как сделать» по KYC/AML.
Термины и рамка
| Термин | Что означает | Для чего нужно |
|---|---|---|
| KYC | Идентификация и верификация личности физлица | Онбординг, доступ к продуктам, лимитам |
| KYB | Проверка компании и бенефициаров (UBO) | Аккаунты юрлиц, корпоративные лимиты |
| AML/CFT | Меры против отмывания и финансирования терроризма | Скрининг, мониторинг, отчётность |
| SoF/SoW | Source of Funds / Source of Wealth | Подтверждение происхождения средств/состояния |
| PEP/санкции | Политически значимые лица / санкционные списки | Риск-профилирование, запреты/ограничения |
| Travel Rule | Обмен данными между VASP при переводах | Трассируемость платежей VASP↔VASP |
Risk-Based Approach (RBA): глубина проверок и частота мониторинга должны соответствовать риску клиента/продукта/географии (см. гайд по комплаенсу).
Уровни KYC: от базового до расширенного
| Уровень | Когда применять | Что собираем | Примечание |
|---|---|---|---|
| Базовый | Низкий риск, минимальные лимиты | ФИО, дата рождения, гражданство/резидентство, адрес; фото документа; Liveness | Пороговые лимиты, без SoF |
| Стандартный | Средний риск/лимиты | + Подтверждение адреса (utility bill/выписка), селфи-сверка, проверка по санкциям/PEP | Типовой онбординг CEX/кастоди |
| Расширенный (EDD) | Высокий риск/объёмы, PEP, сложные схемы | + SoF/SoW (справки о доходах, налоговые, договоры), дополнительные документы | Эскалация к MLRO/Legal |
KYB (компании): регистрационные документы, структура владения и UBO, право подписи, профиль деятельности; для UBO — KYC уровня, соответствующего риску.
Документы и данные: чек-лист по типам клиентов
| Клиент | Обязательный пакет | По риску/EDD |
|---|---|---|
| Физлицо | Паспорт/ID, селфи/проверка живости, адрес | SoF/SoW, доп. документы, подтверждение статуса резидентства |
| Юрлицо | Устав/регистрация, выписка, директора, UBO, доверенности | Финотчётность/банковские письма, KYC по UBO, описание бизнес-модели |
| Фонды/НКО | Регистрация, попечители, UBO/контролёры | Источники финансирования, разрешительные документы |
Советы по UX: заранее показывайте список допустимых документов и срок давности (например, подтверждение адреса не старше 3 месяцев).
Санкционный и PEP-скрининг
- Проверяйте клиента, UBO и адреса на попадание в санкционные списки и PEP-реестры.
- Обновляйте списки ежедневно; логируйте версию/дату.
- При совпадении: классифицируйте как *false/true hit*, фиксируйте расследование, эскалируйте при необходимости.
Ончейн-слой: до вывода/приёма средств проверяйте адрес контрагента на риск-метки (взломы, darknet, санкции); после — делайте пост-мониторинг аномалий.
Источники средств (SoF) и источники состояния (SoW)
SoF подтверждает, откуда у клиента деньги для конкретного ввода/сделки: зарплата (выписка), продажа актива (договор + платёж), доход от бизнеса (отчётность). SoW описывает общее состояние клиента: накопления, портфель активов, наследство, дивиденды.
Рекомендации:
- Сопоставляйте объём транзакций с SoF/SoW и профилем клиента.
- Для криптодоходов — собирайте ончейн-ссылки/tx и подтверждения из интерфейсов (история торгов, депозиты/выводы).
- Для DeFi-доходов фиксируйте контракты/пулы и риски (де-пег, эксплойт).
Travel Rule (VASP↔VASP) — что действительно нужно сделать
- Определите, какие переводы подпадают (обычно между VASP; self-custody не охвачена).
- Настройте обмен полями (отправитель/получатель, суммы, идентификаторы) через совместимый протокол.
- Покройте edge-кейсы: несколько адресов, кросс-чейн, возвраты.
- Прозрачно коммуницируйте пользователю объём передаваемых данных.
Подробнее про этот и другие блоки — в общем руководстве.
Ончейн-мониторинг и аналитика
Цели: не допустить взаимодействия с рисковыми кластерами и вовремя выявлять аномалии.
Точки контроля:
- Pre-withdrawal скрининг адресов и смарт-контрактов (risk-сеты, санкции, фрод).
- Пост-мониторинг: каскады мостов, быстрые «цепочки» свежих адресов, нехарактерные суммы.
- Контекст стейблкоинов: учитывайте возможность freeze/wipe (см. blacklists) и сетевой контекст переводов (например, USDT в сети Tron).
Для non-custodial интерфейсов: выводите предупреждения при рисковом взаимодействии и давайте пользователю понятный выбор.
Политика данных и приватность
- Минимизация: собирайте только то, что нужно по RBA.
- Хранение: фиксируйте сроки и порядок удаления/обезличивания.
- Доступ: ролевая модель, принцип «минимально необходимого доступа».
- Безопасность: шифрование at-rest/in-transit, аудит логов, управление ключами.
- Запросы госорганов: корректная обработка, валидация и логирование.
AML-мониторинг и эскалации
| Сигнал | Примеры паттернов | Реакция |
|---|---|---|
| Аномалии объёма | Резкий рост депозитов/выводов, «дробление» | Уточнение SoF/SoW, лимиты, эскалация |
| Поведенческие риски | Быстрые круговые переводы, каскады мостов | Доп.проверка адресов, временная приостановка |
| Рисковые контрагенты | Darknet/взломные кластеры, санкции | Блок/отказ, SAR/STR по закону |
| Мультиаккаунт/подмена | Совпадения устройств/IP, cookie-сетки | Fraud-расследование, блокировка |
Фиксируйте таймлайны кейса, действия аналитика и финальные решения MLRO/Legal.
Non-custodial и DeFi: как оставаться «совместимыми» с KYC/AML
Если вы не храните ключи пользователей, у вас другие обязанности, но вы можете снижать риски:
- Профилактика в интерфейсе: симуляция транзакций, чёткие экраны подписи, предупреждения о рисковых адресах; см. крипто-дрейнеры 2025 и риски MPC-кошельков.
- Опциональные режимы: allowlist для корпоративных пользователей, поддержка «объяснимой приватности» (например, выводы через Privacy Pools с доказательством невиновности).
- Stealth-адреса для адресации: ERC-5564 скрывает получателя; заранее продумайте UX для предъявления доказательств «чистоты» при выводе на VASP.
- RWA/permissioned-пулы: часто требуют whitelist/KYC (см. токенизированные фонды).
Процессы и роли в компании
| Роль | Ответственность |
|---|---|
| MLRO / Head of Compliance | Политики AML/CFT, регистры рисков, отчётность |
| Sanctions/Screening | Апдейты списков, разбор совпадений, эскалации |
| KYC/KYB | Онбординг, refresh, запросы SoF/SoW |
| Fraud & On-chain | Мониторинг транзакций, расследования, риск-сеты |
| Legal | Трактовка норм юрисдикции, договоры, Travel Rule |
| Security/Dev | Хранение данных, доступы, безопасный UX |
Документы (минимум): политика AML/CFT, политика санкций, стандарты KYC/KYB, Travel Rule SOP, политика данных, план инцидент-респонса.
Внедрение KYC/AML: пошаговый план
1) RBA-матрица: сегментируйте клиентов/продукты/географии; назначьте уровни KYC и лимиты. 2) Провайдеры: выберите решения для KYC/KYB, санкций/PEP и ончейн-аналитики с нужным API и SLA. 3) Онбординг: спроектируйте потоки KYC/KYB, UX пошаговой загрузки доков, «ожидаемые сроки». 4) SoF/SoW: шаблоны запросов и приёмлемые доказательства для крипто/фиат-кейсoв. 5) Travel Rule: подключите шлюз VASP↔VASP, покройте edge-кейсы. 6) Мониторинг: pre-withdrawal адресов, поведенческие алерты, эскалации SAR/STR. 7) Политика данных: хранение/удаление, ротация ключей, аудит. 8) Обучение команды: плейбуки расследований, коммуникации с пользователями и банками. 9) Пост-аудит: регулярные ревью правил, ретроспективы кейсов, обновление матрицы RBA.
Таблицы-шпаргалки
| Сценарий криптосервиса | Режим KYC/AML | Особенности |
|---|---|---|
| Custodial (биржа/кастоди) | Полный KYC/KYB, санкции/PEP, Travel Rule | Сегрегация активов, ончейн-мониторинг, отчётность |
| Non-custodial кошелёк/интерфейс | Мягкий KYC (по риску) + ончейн-сигналы | Предупреждения, симуляция, без blind-signing |
| RWA/permissioned-пулы | Whitelist/KYC, санкции/PEP | Контроль доступа на смарт-контракте (см. фонды) |
| SoF/SoW: что подойдёт | Примеры документов |
|---|---|
| Зарплата/фриланс | Выписка из банка/платёжных систем, контракт |
| Продажа актива | ДКП/инвойс + платёжка, выписка |
| Доход от бизнеса | Налоговая/бух.отчётность, договоры |
| Криптодоход | История торгов/стейкинга, ссылки на tx/адреса, скриншоты интерфейсов |
Частые вопросы (FAQ)
Self-custody — нужен ли KYC? Для кошелька, где ключи у пользователя, KYC обычно не обязателен. Но при взаимодействии с VASP потребуется подтверждать адрес/личность.
Можно ли совместить приватность и комплаенс? Да. Используйте «объяснимую приватность»: выводы через Privacy Pools с доказательством «чистоты», а для адресации — stealth-адреса.
Что делать при санкционном совпадении? Не паниковать: проверить как *false/true hit*, зафиксировать расследование, при необходимости — блок/отказ, эскалация MLRO/Legal и уведомления по закону.
Как долго хранить KYC-данные? Зависит от юрисдикции и политики. В общем случае — фиксируйте сроки хранения и порядок удаления/обезличивания.
Чем KYC отличается от AML? KYC/KYB — «кто клиент». AML/CFT — «что он делает» и как вы это контролируете (скрининг, мониторинг, отчётность).