AML/CFT (ПОД/ФТ) требования для криптобирж и обменников в РФ и мире

⏱ Время чтения: 9 минут

Вместе с развитием крипторынка растет и внимание регуляторов. В центре этого внимания — правила AML/CFT (ПОД/ФТ), цель которых сделать так, чтобы финансовая система не использовалась для незаконных схем и чтобы деньги преступников не попадали в легальные обороты. 

В этой статье раскроем тему мер против отмывания денег. Вы узнаете, что такое AML/CFT, какие правила действуют для криптобирж, какие следуют штрафы за нарушения, кому и как внедрять KYC и AML системы.

Чтобы понять, как трансформируются правила AML/CFT и какие последствия это несет для крипторынка, мы побеседовали с Ириной Коржовой, главным юрисконсультом юридического департамента Банка России и кандидатом юридических наук. Она специализируется на правовом сопровождении цифровых финансовых платформ, проектах по KYC и AML-комплаенсу, а также исследует влияние научно-технического прогресса на деятельность компаний. В интервью эксперт анализирует ключевые тренды регулирования, типичные ошибки криптоплатформ, сложные вопросы для среднего бизнеса и новые ориентиры комплаенса в 2025 году.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Что такое AML/CFT и почему это важно для криптобирж?

Когда говорят о AML/CFT, имеют в виду два блока международных стандартов:

• Anti-Money Laundering — это меры по противодействию отмыванию денег.
  Пример: человек получил доход преступным путем (от продажи наркотиков или мошенничества), а потом хочет «замаскировать» его под законный — купить недвижимость, перевести через офшоры или использовать криптовалюту. AML-требования как раз и нужны, чтобы банки, биржи и обменники выявляли такие схемы и не допускали их.
• Countering the Financing of Terrorism — это меры против финансирования терроризма.
  Пример: террористическая группа может получать пожертвования в биткоинах и использовать их для закупки оружия или подготовки атак. CFT-направление такие переводы отслеживает и блокирует.

Обе задачи объединены в российской практике под названием ПОД/ФТ — Противодействие отмыванию доходов и финансированию терроризма.

Координировать борьбу с отмыванием денег и финансированием терроризма помогает международная организация FATF (Financial Action Task Force) — «Группа разработки финансовых мер борьбы с отмыванием денег». Она разрабатывает стандарты, которые потом внедряются в национальное законодательство. Например, FATF рекомендует, чтобы криптобиржи:

• знали своих клиентов (KYC — Know Your Customer: паспортные данные, адрес, проверка источника дохода);
• сообщали о подозрительных операциях в регуляторные органы;
• ограничивали анонимные транзакции.

Почему это важно для криптобирж и обменников

Криптовалюты изначально создавались как децентрализованные и анонимные, что удобно для обычных пользователей. Но также это привлекло мошенников и преступные организации. Если биржа не внедряет AML/CFT-систему, возникают:

• мошенничество и криминал — платформа может превратиться в «прачечную» для грязных денег;
• юридические последствия, так как без AML/CFT лицензии и разрешения биржа не сможет работать легально;
• репутационные потери, когда пользователи уходят туда, где безопаснее и прозрачнее.

И наоборот: биржа, которая внедряет AML/CFT, повышает доверие клиентов и инвесторов, а также получает «зеленый свет» для работы в разных странах.

AML/CFT требования в России

Законодательная база

Главный документ, регулирующий борьбу с отмыванием денег и финансированием терроризма в России, — это Федеральный закон от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

• Что регулирует закон:
  Он определяет, что считать «доходами, полученными преступным путем», кто отвечает за контроль и какие сделки подлежат особому вниманию.
• Кто обязан соблюдать:
  Кредитные организации, страховые компании, ломбарды, лизинговые фирмы, почтовые операторы, а теперь и операторы цифровых финансовых активов (ЦФА).
• Пороговые суммы:

• операции от 600 тыс. рублей и выше подлежат обязательному контролю;
• сделки с недвижимостью свыше 3 млн рублей также автоматически попадают под мониторинг;
• но если одна из сторон связана с экстремизмом или терроризмом — контроль проводится всегда, независимо от суммы.
• Обязанности организаций:

• проверять личность клиента и его бенефициаров (тех, кто реально получает выгоду от сделки);
• сообщать о подозрительных операциях в Росфинмониторинг не позднее следующего дня;
• разработать внутренние правила AML-контроля и назначить ответственного сотрудника.

Закон учитывает и исключения: например, если сумма сделки меньше 30 тыс. рублей (или 15 тыс. при обмене валюты), идентификация клиента не обязательна.

После вступления в силу закона «О цифровых финансовых активах» в России появился реестр операторов ЦФА, который ведет Центральный банк РФ. К операторам относятся компании, выпускающие токены или предоставляющие сервисы их оборота. Они обязаны:

• соблюдать все правила AML/CFT так же, как банки и брокеры;
• идентифицировать клиентов и проверять происхождение средств;
• сотрудничать с Росфинмониторингом.

Поэтому криптобиржи и обменники, которые хотят работать легально в России, должны входить в этот реестр и следовать тем же правилам, что и традиционные финорганизации (№ 259-ФЗ).

Обязательные процедуры 

Чтобы соответствовать AML/CFT-стандартам, компании должны внедрить целый набор практик:

• Мониторинг транзакций: отслеживание подозрительных операций (например, дробление платежей на суммы чуть ниже 600 тыс. руб.).
• Проверка клиентов (KYC): сбор паспортных данных, сведений о доходах, иногда даже происхождения средств.
• Сообщение о подозрительных сделках: любая сомнительная активность должна быть зафиксирована и передана в Росфинмониторинг.
• Внутренний аудит: регулярные проверки собственной системы AML-контроля.
• Прозрачность: готовность предоставлять информацию регуляторам и партнерам.

На практике многие криптобиржи дополнительно используют аналитические платформы, которые проверяют «чистоту» криптовалюты (историю ее движения). О сервисах расскажем ниже. 

Санкции за нарушения

Нарушение правил ПОД/ФТ в России карается достаточно строго. Основные меры ответственности прописаны в статье 15.27 КоАП РФ и связанных нормах:

• За отсутствие правил внутреннего контроля или несвоевременную регистрацию в Росфинмониторинге:

• штраф для должностных лиц — 10–30 тыс. рублей,
• для компаний — 50–100 тыс. рублей.
• За непредставление сведений в Росфинмониторинг:

• штрафы до 400 тыс. рублей для организаций,
• возможна приостановка деятельности на срок до 60 суток.
• За игнорирование обязанностей по блокировке или заморозке средств террористов:

• до 500 тыс. рублей штрафа,
• либо остановка работы компании.
• За серьезные нарушения, повлекшие финансирование терроризма или отмывание доходов:

• штрафы до 1 млн рублей,
• дисквалификация руководителей на срок до 3 лет.
• Особо тяжелые случаи (статья 15.27.1 КоАП РФ): оказание финансовой поддержки терроризму может стоить компании до 60 млн рублей штрафа.

Иными словами, для криптобирж и обменников, которые хотят работать в белую, игнорировать AML/CFT просто невозможно: это прямой путь к блокировке бизнеса и уголовным последствиям.

Как криптобиржам и обменникам соблюдать AML/CFT? 

Внедрение KYC/AML-систем 

Это первая и самая важная мера. Автоматический мониторинг транзакций нужен для того, чтобы биржа могла вовремя заметить подозрительные операции:

• дробление крупных сумм на мелкие переводы;
• резкие скачки активности по «спящему» кошельку;
• вывод средств на адреса, связанные с даркнетом или подсанкционными лицами.

Даже небольшому обменнику или стартапу важно внедрить базовую систему проверки. Для этого можно использовать бесплатные инструменты. Они позволяют проверить криптоадреса:

• показывают риски, связанные с конкретным кошельком;
• дают базовую визуализацию связей;
• позволяют протестировать систему перед покупкой профессионального решения.

Но у бесплатных платформ есть минус: они не дают полной картины, и данные часто обновляются с задержкой. Поэтому для бизнеса с большим количеством клиентов нужны профессиональные AML-решения, которые интегрируются в рабочие процессы. 

Российские программы для AML и KYC:

• «Контур.Фокус» — проверка юрлиц и ИП (банкротства, долги, связи с мошенничеством).
• «Криптонит» — мониторинг криптотранзакций и клиентов, адаптирован для банков и финтеха.
• «Спарк-Интерфакс» — анализ благонадежности контрагентов.
• AMLhub — проверка клиентов по санкционным и «черным» спискам, автоматическая отчетность для Росфинмониторинга.
  

Обучение сотрудников 

Любая — даже самая современная — система бесполезна, если сотрудники не понимают, как ей пользоваться. Поэтому обучение персонала — обязательное условие работы в криптоиндустрии.

Сейчас доступно множество онлайн-курсов для разных уровней:

• базовые программы, которые дают понимание, что такое AML и зачем нужен мониторинг;
• продвинутые курсы, где учат пользоваться аналитическими платформами, разбирать кейсы и готовить документы для регуляторов;
• отдельный блок — изучение особенностей криптовалют (анонимные монеты, DeFi, NFT).

Международные сертификации (например, ACAMS — Association of Certified Anti-Money Laundering Specialists) признаются во всем мире и показывают работодателям и регуляторам, что специалист владеет компетенцией на высоком уровне. Для криптобиржи это плюс и при найме сотрудников, и при взаимодействии с банками.

Подготовка отчетности 

Отчетность — это обратная связь криптобиржи с государством. Орган, который за это отвечает в России — Росфинмониторинг.

Нужно сдавать:

• сообщения о подозрительных операциях (любая транзакция, которая вызывает вопросы);
• сведения о клиентах, подпадающих под санкции или «черные списки»;
• регулярные отчеты о проведенных проверках и внедренных мерах AML.

Типичные ошибки при сдаче отчетности:

• несвоевременное уведомление о подозрительной транзакции (по закону это нужно сделать не позднее следующего дня);
• неполные данные о клиенте (например, указали только паспорт без подтверждения адреса);
• отсутствие внутреннего контроля (если регулятор запрашивает политику AML, а ее нет — это нарушение).

Чтобы избежать проблем, криптобиржи должны: 

1. Вести внутренние журналы операций.
2. Хранить всю документацию не менее пяти лет. 
3. Автоматизировать процесс подготовки отчетности с помощью специализированных решений.

Последние тренды и изменения: мнение эксперта. 

Ирина Коржова, главный юрисконсульт юридического департамента Банка России

— Какие новые требования по AML/CFT стали ключевыми для криптобирж и обменников в 2024–2025 годах в России и за рубежом?

Не столько появление абсолютно новых требований, сколько их ужесточение, детализация и глобальная гармонизация в соответствии со стандартами ФАТФ. Акцент смещается на сквозной контроль за движением активов и использование передовых технологий.

В мире

• Расширение действия правила «поездок» (переводов) (Travel Rule): требование обмениваться информацией о сторонах сделки распространяется не только на обмен криптоактивов на фиат, но и на сделки между криптоактивами (например, в Австралии с 2026 года).
• Непрерывный KYC (Continuous KYC): проверка клиентов становится не разовым событием, а постоянным процессом. Компании обязаны регулярно обновлять и перепроверять данные клиентов.
• Подход на основе «белых» и «черных списков» (Allow/Deny Lists): инициатива Банка международных расчетов (BIS) предлагает присваивать токенам AML-рейтинг на основе их истории перемещения по кошелькам. Низкий рейтинг может блокировать конвертацию в фиатные деньги.
• Автоматический обмен налоговой информацией (CARF): по инициативе ОЭСР и Швейцарии с 2027 года планируется автоматический обмен данными о криптооперациях между юрисдикциями для борьбы с уклонением от налогов и ОД/ФТ.
• Ужесточение лицензионных требований: в таких юрисдикциях, как Сингапур и Великобритания, ужесточаются требования к капиталу, наличию физического офиса и проверке руководящего состава компаний.

В России

• Деятельность обменников виртуальными активами напрямую не регулируется законами о ПОД/ФТ. Требования применяются к более крупным игрокам — операторам обмена цифровых финансовых активов (ЦФА) и информационных систем, в которых обращаются ЦФА.

— Какие ошибки чаще всего допускают криптоплатформы при внедрении процедур KYC/KYT?

Основные ошибки носят системный характер и связаны с недооценкой комплексного подхода.

1. Запоздалое внедрение комплаенс-процедур: компании часто внедряют комплаенс-процедуры постфактум, уже начав операции, что приводит к репутационным рискам и санкциям.
2. Формальный подход к KYC: проверка ограничивается сбором минимального набора документов без глубокого анализа источников происхождения средств, реального бенефициарного владения и профиля риска клиента.
3. Недооценка значимости мер KYT: компании фокусируются только на идентификации клиента при недостаточном внимании к непрерывному мониторингу транзакций и их связям в блокчейне.
4. Некорректное использование компаниями RegTech-решений: выбор неподходящих технологических решений, отсутствие их валидации и мониторинга эффективности.
5. Непонимание рисков новых продуктов: быстрый запуск услуг со стейблкоинами, NFT, децентрализованными финансами (DeFi) без предварительной оценки связанных с ними ОД/ФТ-рисков.

Как отмечает Европейское банковское управление (EBA), неэффективный KYC/мониторинг транзакций и непонимание рисков финтех-продуктов являются главными проблемами, о которых сообщают надзорные органы ЕС.

— Насколько реально для среднего по размеру криптообменника в РФ обеспечить полный AML-комплаенс? С какими основными трудностями они сталкиваются?

В текущих правовых условиях в РФ эта задача носит гипотетический характер, поскольку деятельность криптообменников прямо не регулируется законодательством РФ, включая законодательство о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Однако, если рассматривать гипотетический сценарий применения к ним требований, основные трудности были бы следующими:

• правовая неопределенность — отсутствие четких и адаптированных правил игры для именно обменников, а не крупных операторов;
• высокие операционные затраты — внедрение и поддержание систем KYC/KYT, закупка инструментов блокчейн-аналитики, содержание комплаенс-специалистов требуют значительных финансовых ресурсов;
• техническая сложность — необходимость интеграции с различными блокчейнами, анализа транзакций в режиме реального времени и борьбы с методами отмывания (миксеры);
• доступ к данным — отсутствие у средних игроков того же объема данных и аналитических мощностей, что у глобальных бирж, что снижает эффективность проверок.

— Как регуляторы используют блокчейн-аналитику для выявления подозрительных транзакций, и какие инструменты в ответ используют сами биржи?

Со стороны регуляторов

• Мониторинг соблюдения правила «поездок» (переводов) (Travel Rule), которое требует, чтобы все финансовые организации обменивались между собой информацией, идентифицирующей их клиентов.
• Расследование инцидентов — прослеживание цепочек транзакций после взломов бирж или крупных мошенничеств для идентификации кошельков и последующего запроса к биржам на заморозку средств.
• Проактивный анализ рисков — использование аналитических платформ (например, Chainalysis, Elliptic) для выявления паттернов, связанных с отмыванием, финансированием терроризма и санкционными лицами.

Со стороны бирж

• Инструменты KYT (Know Your Transaction) — автоматическое сканирование входящих и исходящих транзакций на связь с «черными списками», хакерскими кошельками, миксерами и санкционными адресами.
• Скоринг риска — присвоение транзакциям и кошелькам баллов риска на основе их истории.
• Интеграция с API — подключение к сторонним провайдерам блокчейн-аналитики для усиления собственных систем мониторинга.
• Использование ИИ и машинного обучения для выявления сложных и неочевидных схем отмывания.

Как показывает инициатива Министерства финансов США, фокус смещается на стимулирование использования инновационных технологий (ИИ, API, блокчейн-аналитика) для борьбы с нелегальной деятельностью.

— Ужесточение контроля: это больше угроза для рынка или стимул к его «оздоровлению»?

Это долгосрочный стимул к «оздоровлению» рынка. 

Для рынка в целом ужесточение контроля вытесняет с рынка недобросовестных участников, мошенников и компании со слабыми комплаенс-процедурами, что способствует: 

• повышению доверия со стороны институциональных инвесторов и традиционных финансовых институтов;
• снижению репутационных рисков для всей индустрии;
• стимулированию инвестиций в технологические решения для комплаенса (RegTech).

Для легального бизнеса ужесточение контроля влечет дополнительные издержки, однако создает предсказуемую среду, снижая риски штрафов и запретов на деятельность.

Угрозой ужесточение является только для тех бизнес-моделей, которые были построены на обходе регулирования. 

— На что криптобизнесу стоит обратить внимание, чтобы снизить риски штрафов и блокировок?

1. Проактивный и риск-ориентированный комплаенс: не формальное соблюдение, а интеграция оценки рисков ОД/ФТ во все бизнес-процессы, особенно при запуске новых продуктов (стейблкоины, DeFi, NFT).
2. Инвестиции в технологии (RegTech): внедрение продвинутых систем KYC/KYT, блокчейн-аналитики и, возможно, элементов ИИ для мониторинга. Важно не просто купить инструмент, а интегрировать его и валидировать результаты.
3. Полномасштабная имплементация в процедуры внутреннего контроля правила «поездок» (переводов) (Travel Rule): обеспечение корректного обмена информацией не только с фиатом, но и при крипто-крипто транзакциях, где это требуется.
4. Внимание к международным трендам: мониторинг не только локального, но и глобального регулирования (директивы ЕС, стандарты ФАТФ), так как оно задает общий вектор.
5. Подготовка к автоматическому обмену информацией (CARF): понимание того, какие данные будут собираться и передаваться между юрисдикциями, и приведение своих процессов в соответствие.
6. Усиление внутреннего контроля и подготовки кадров: регулярный аудит комплаенс-процедур и обучение сотрудников новым схемам мошенничества и методам их выявления.

Рынок криптовалют постепенно становится прозрачнее и безопаснее, но вместе с этим растет и цена соответствия новым правилам. Для бирж и обменников это не просто вопрос соблюдения буквы закона. От своевременного внедрения стандартов зависит доверие регуляторов, репутация в глазах пользователей. Компании, которые заранее выстраивают внутренние процессы комплаенса, оказываются в выигрыше: им легче привлекать инвесторов, заключать партнерства и работать на международных рынках.

Еще здесь встает вопрос профессиональной подготовки специалистов, которые смогут объединять технологическую и правовую экспертизу. Сегодня компании используют криптовалюты, строят продукты на блокчейне и создают новые ценности для потребителей. А блокчейн-юрист помогает проектировать бизнес-модели, соответствующие закону, внедрять комплаенс-системы и сопровождать криптопроекты на разных стадиях их развития, чтобы поддерживать долгосрочную и устойчивую работу.

Программа «Blockchain Lawyer» от Moscow Digital School создана именно для этого. На курсе вы разберете технологию блокчейна и смарт-контрактов, научитесь готовить решения о выпуске цифровых финансовых активов, поймете, как работают разные структуры привлечения инвестиций, и получите практику сопровождения проектов в сфере Web3, NFT, DeFi и метавселенных. 

Особое внимание уделяется внедрению комплаенс-процедур, созданию систем внутреннего контроля, юридическому сопровождению криптобирж, майнинговых компаний и обменников в разных юрисдикциях. Отдельные блоки посвящены судебной практике и налогообложению криптоактивов. Это насыщенная программа для тех, кто хочет работать на стыке права и технологий и видеть в крипторынке не хаос, а возможности.