Финнадзор отзывает VASP-лицензии в КР: причины и защита
Финнадзор с 2025 года ведёт массовый отзыв VASP-лицензий: под удар попали компании с дефектными AML-политиками, неукомплектованными комплаенс-командами и нарушениями Travel Rule. Лицензию можно потерять в течение нескольких недель — без права продолжать операции. В этом материале разобрана реальная ситуация клиента БЕКЕМ, которому удалось сохранить лицензию на этапе предписания, и описаны меры защиты, применимые системно.
Почему Финнадзор начал массовый отзыв VASP-лицензий в 2025–2026 годах?
Служба регулирования и надзора за финансовым рынком (Финнадзор) выдала первые VASP-лицензии после принятия Закона «О виртуальных активах» и поправок «Тамчы». Тогда требования к соискателям носили преимущественно формальный характер: уставный капитал 40–100 млн сомов, пакет документов, серверы в Кыргызстане. Часть операторов восприняла это как достаточное условие для постоянной работы.
Ситуация изменилась в 2025 году. Финнадзор провёл первый полноценный цикл надзорных проверок и обнаружил, что значительная часть лицензиатов не выстроила работающих систем противодействия отмыванию денег и финансированию терроризма (ПОД/ФТ). AML-политики существовали на бумаге, но не применялись операционно: транзакции не мониторились, профили клиентов не обновлялись, подозрительные операции не направлялись в Государственную службу финансовой разведки при МФ КР (ГСФР). Travel Rule — требование передавать данные об отправителе и получателе при переводах свыше установленного порога — игнорировался системно.
Параллельно поправки 2025 года ужесточили требования к стейблкоинам и RWA-токенам: операторы, работавшие с этими инструментами без расширенного раскрытия информации и резервного аудита, оказались вне закона. Финнадзор зафиксировал нарушения и перешёл от предписаний к отзыву. По информации рынка, в 2025 году лицензий лишились несколько десятков операторов — без предоставления льготного периода на устранение нарушений.
Это не ужесточение ради ужесточения. Кыргызстан находится под мониторингом FATF, и регулятор демонстрирует соответствие международным стандартам. Для действующих VASP это означает: надзорная активность будет только расти, а требования — становиться строже. Travel Rule обязателен для всех VASP в Кыргызстане — без него лицензия под угрозой.
Ситуация клиента: как предписание Финнадзора едва не стало основанием для отзыва
К БЕКЕМ в конце 2025 года обратилась криптообменная платформа — резидент с действующей VASP-лицензией Финнадзора. Компания специализировалась на обмене криптовалют для физических лиц и малого бизнеса, ежемесячный объём операций — несколько сот миллионов сомов. ПВТ-резидентство отсутствовало: компания работала в стандартном корпоративном режиме через ОсОО.
Финнадзор по итогам плановой проверки направил предписание с перечнем нарушений. Среди них: отсутствие автоматизированного мониторинга транзакций (AML-скрининг проводился вручную по выборке), нарушение Travel Rule в части передачи данных при исходящих переводах, неполная идентификация клиентов из категории повышенного риска (PEP-проверка не проводилась), а также несоответствие внутреннего регламента актуальным требованиям Закона «О ПОД/ФТ».
Срок устранения нарушений по предписанию составлял 30 дней. При невыполнении предписания Финнадзор был вправе инициировать отзыв лицензии. Руководство компании обратилось к нам на 14-й день после получения предписания — к тому моменту часть нарушений была устранена самостоятельно, но без фиксации в документации и без уведомления регулятора.
Для IT-компании выбор между ПВТ, ПКИ и обычным ОсОО зависит от структуры выручки и команды. Покажем расчёт экономии на вашей модели. Если вы уже получили предписание Финнадзора — каждый день сокращает возможности для защиты.
Обсудить IT-проектКак выстраивалась защита: задача и приоритеты
Задача формулировалась в трёх измерениях. Первое — юридическое: обеспечить соответствие предписанию до истечения 30-дневного срока и зафиксировать это соответствие документально. Второе — операционное: помочь компании выстроить работающую, а не декларативную систему AML/KYC, которая выдержит следующую проверку. Третье — стратегическое: оценить, насколько текущая корпоративная структура соответствует масштабу деятельности, и рассмотреть переход в ПВТ.
Юридическая команда провела экспресс-аудит за три рабочих дня. Аудит выявил, что фактически устранённые нарушения не были документально оформлены: новые процедуры внедрены, но регламенты не обновлены, сотрудники не прошли переаттестацию, уведомление в ГСФР о ранее выявленных подозрительных транзакциях не направлено. Это создавало риск повторного предписания даже после формального ответа на первое.
Параллельно была изучена структура транзакций за последние 6 месяцев. Часть операций с клиентами из юрисдикций повышенного риска проводилась без усиленной проверки (Enhanced Due Diligence). По требованиям FATF и Закона «О ПОД/ФТ» это самостоятельное основание для санкций регулятора — независимо от остальных нарушений.
На основе аудита был составлен план устранения с разбивкой по дням оставшегося 16-дневного окна. Каждый пункт плана — конкретное действие, ответственное лицо, форма документального подтверждения и срок.
Что именно было сделано за 16 дней?
На первом этапе (дни 1–4) актуализировали пакет внутренней документации: обновили AML-политику под требования поправок 2025 года, переработали процедуру идентификации клиентов с учётом категорий PEP и юрисдикций повышенного риска, сформировали матрицу транзакционного мониторинга с пороговыми значениями для автоматической маркировки. Все документы прошли согласование с комплаенс-офицером компании и были утверждены приказом генерального директора с датой, предшествующей ответу Финнадзору.
На втором этапе (дни 5–9) подготовили уведомления в ГСФР по ранее выявленным подозрительным транзакциям. Это был сложный момент: добровольное уведомление могло привлечь внимание к операциям, которые регулятор ещё не видел. Решение — подать уведомления немедленно, поскольку непредоставление сведений при наличии обязанности их подать квалифицируется значительно строже, чем добровольное раскрытие. Уведомления были направлены с сопроводительным письмом, объясняющим контекст.
На третьем этапе (дни 10–14) решили вопрос с Travel Rule. Компания не имела технической интеграции с поставщиком Travel Rule-решений. За четыре дня заключили договор с одним из аккредитованных AML/KYT-провайдеров и обеспечили тестовое взаимодействие для входящих и исходящих переводов. Технической документацией обменялись с регулятором как приложением к ответу на предписание.
На четвёртом этапе (дни 15–16) сформировали итоговый ответ Финнадзору: структурированный документ с таблицей нарушений, описанием принятых мер, ссылками на внутренние документы и сроками полного завершения технической интеграции. К ответу приложили 18 документов — от обновлённых регламентов до скриншотов тестовых транзакций через Travel Rule-решение.
ПВТ-резидентство обсуждалось отдельно: с учётом структуры выручки и численности команды переход давал экономию налоговой нагрузки около 80% против общего режима. Однако приоритет был отдан сохранению лицензии — этот вопрос перенесли на следующий квартал.
Результат и что произошло после подачи ответа
Финнадзор принял ответ и в течение 10 рабочих дней направил уведомление о признании предписания исполненным. Лицензия сохранена. Дополнительных предписаний в связи с добровольными уведомлениями в ГСФР не поступало — регулятор квалифицировал это как соответствующее поведение оператора.
Спустя три месяца Финнадзор провёл внеплановую проверку. По её результатам нарушений не выявлено. Travel Rule-интеграция работала в штатном режиме, AML-мониторинг функционировал автоматически, отчётность в ГСФР подавалась в установленные сроки. Комплаенс-офицер компании прошёл сертификацию по международному стандарту CAMS.
Компания также приступила к подготовке документов для получения ПВТ-резидентства. Расчёт показал, что экономия на налоге с доходов физлиц (5% вместо 10%) и нулевой налог на прибыль существенно улучшают юнит-экономику. Заявка была подана в администрацию ПВТ в феврале 2026 года.
Этот кейс показателен не уникальностью ситуации, а её типичностью. Большинство VASP, потерявших лицензии в 2025 году, оказались в аналогичном положении: нарушения существовали, предписания поступали, но реакция была либо запоздалой, либо формальной — без документального закрытия каждого пункта. Финнадзор не прощает «мы всё сделали, но не оформили».
Какие нарушения чаще всего приводят к отзыву VASP-лицензии?
На основе анализа публичных решений Финнадзора и опыта сопровождения VASP-клиентов можно выделить пять групп нарушений, которые регулятор квалифицирует как наиболее тяжкие.
Первая группа — системные дефекты AML. Это не отдельные пропущенные транзакции, а отсутствие работающего мониторинга как такового: нет автоматических алертов, нет процедуры расследования, нет документации по закрытым кейсам. Финнадзор при проверке запрашивает реестр алертов за период — если его нет, это само по себе основание для предписания.
Вторая группа — нарушения Travel Rule. Передача данных об отправителе и получателе при межплатформенных переводах обязательна в соответствии с FATF Recommendation 16. Операторы, не имеющие технической интеграции с Travel Rule-решением, нарушают этот стандарт при каждом исходящем переводе свыше порога. Финнадзор в 2025 году сделал это нарушение отдельным основанием для внеплановой проверки.
Третья группа — несоответствие уставного капитала. Требования к капиталу не статичны: поправки 2025 года изменили минимальный размер для ряда категорий операторов. Компании, не отслеживавшие изменения, оказались в нарушении без каких-либо операционных ошибок — просто по изменению нормативной базы.
Четвёртая группа — нарушения по стейблкоинам и токенам. Работа со стейблкоинами после поправок «Тамчы» требует дополнительного раскрытия: резервный аудит, информация о базовом активе, механизм выкупа. Операторы, которые не обновили документацию и публичное раскрытие, нарушили требования закона даже если их стейблкоин-продукт технически не изменился.
Пятая группа — серверы вне Кыргызстана. Требование о локализации серверов — одно из ключевых условий VASP-лицензии. Финнадзор при проверке запрашивает договоры с дата-центрами и технические документы, подтверждающие местонахождение серверов. Облачная инфраструктура, размещённая за рубежом без локальной копии, автоматически является нарушением.
Как выстроить защиту до получения предписания?
Превентивная защита дешевле реактивной в разы — и по времени, и по операционным последствиям. VASP, не проходившие внутреннего аудита после поправок 2025 года, работают с неизвестным уровнем регуляторного риска.
Минимальный набор превентивных мер включает несколько направлений. Документационный аудит: проверка актуальности AML-политики, KYC-процедур, внутреннего регламента под поправки 2025 года. Технический аудит: проверка работоспособности AML/KYT-мониторинга, наличия Travel Rule-интеграции, ведения реестра алертов. Капитальный аудит: сверка текущего уставного капитала с актуальными требованиями по категории деятельности. Кадровый аудит: наличие квалифицированного комплаенс-офицера и его актуальной сертификации. Инфраструктурный аудит: документальное подтверждение локализации серверов в Кыргызстане.
Отдельная тема — ПВТ-резидентство как инструмент налоговой оптимизации для VASP. Более 500 резидентов ПВТ работают в режиме нулевого налога на прибыль и нулевого НДС, выплачивая подоходный налог по ставке 5% вместо 10% и перечисляя 1% выручки в Дирекцию ПВТ. Для VASP с выручкой от $500 тыс. в год разница в налоговой нагрузке составляет несколько миллионов сомов ежегодно.
Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности. Если платформа совмещает операции с виртуальными активами и фиатные расчёты, необходимы оба документа. Это распространённое упущение, которое становится видимым при первой же надзорной проверке.
Что делать немедленно при получении предписания Финнадзора?
Получение предписания запускает жёсткий часовой механизм. Типовой срок на устранение нарушений — 30 дней, но Финнадзор вправе установить более короткий срок для критических нарушений. Промедление с привлечением юридической поддержки в первые дни существенно сужает пространство для манёвра.
В первые 24–48 часов необходимо зафиксировать дату получения предписания (с этой даты отсчитывается срок), провести внутреннюю встречу с руководством и комплаенс-офицером, составить список нарушений и предварительную оценку ресурсов на их устранение. Параллельно — не предпринимать никаких публичных заявлений и не направлять в Финнадзор частичных ответов без проработанной позиции.
В первую неделю: детальный аудит каждого нарушения из предписания, разработка плана устранения с конкретными сроками и ответственными, начало работы по технически сложным пунктам (Travel Rule-интеграция, обновление серверной инфраструктуры). Именно техническая часть требует максимального времени — юридическая документация закрывается быстрее.
В течение всего периода: документировать каждый шаг. Финнадзор при проверке исполнения предписания оценивает не только факт устранения нарушения, но и доказательства того, когда и как это было сделано. Внутренние приказы, датированные договоры с поставщиками, скриншоты с временными метками, акты о проведённом обучении — всё это формирует доказательную базу.
Срок обжалования решения Финнадзора — 30 дней. Если предписание содержит требования, которые компания считает незаконными или несоразмерными, это основание для параллельного обжалования — не вместо устранения нарушений, а наряду с ним.
Перспективы регулирования VASP в КР: чего ждать в 2026 году?
Регуляторная среда для VASP в Кыргызстане в 2026 году движется в сторону повышения требований по нескольким осям. Первая — стандарты ПОД/ФТ: FATF периодически пересматривает рекомендации, и Финнадзор транслирует изменения в национальное законодательство с лагом в несколько месяцев. Операторы, отслеживающие международные обновления, получают фору.
Вторая ось — RWA и стейблкоины. Поправки 2025 года заложили базовый регуляторный фрейм, но детализация требований к резервному аудиту, раскрытию информации и трансграничным переводам стейблкоинов продолжается. Операторы, работающие с этими инструментами, должны закладывать в операционный бюджет расходы на постоянный мониторинг нормативных изменений и обновление документации.
Третья ось — автоматизация надзора. Финнадзор анонсировал внедрение системы автоматического мониторинга VASP-транзакций с доступом регулятора к данным в режиме реального времени. Когда именно это будет реализовано — неизвестно, но направление задано. Операторы с ручным комплаенсом оказываются в структурно уязвимом положении.
Для компаний, рассматривающих получение VASP-лицензии в 2026 году, фактические требования к входу значительно выше формальных. Уставный капитал от 40–100 млн сомов — это лишь финансовый порог. Операционные требования: выстроенная AML-система с автоматическим мониторингом, действующий комплаенс-офицер с профильной сертификацией, договор с аккредитованным AML/KYT-провайдером, серверная инфраструктура в Кыргызстане, соответствие Travel Rule с первого дня работы. Подробнее о требованиях к структуре IT-бизнеса в КР — в материале «IT-право и виртуальные активы: Кыргызстан, ПВТ, VASP».
Материал носит информационный характер и не является юридической консультацией. Для решения конкретного вопроса обратитесь в юридическую фирму БЕКЕМ.
Актуально на: 19 января 2026 г.
Услуги БЕКЕМ по теме
Частые вопросы
1. Может ли компания продолжать работу после получения уведомления об отзыве лицензии?
Нет. Уведомление об отзыве лицензии означает, что все операции с виртуальными активами подлежат немедленному прекращению. Продолжение деятельности без действующей лицензии квалифицируется как незаконное предпринимательство по Кодексу о правонарушениях и Уголовному кодексу КР. Параллельно следует немедленно уведомить пользователей и предусмотреть порядок возврата их активов — это снижает риск гражданских претензий.
2. Какой срок на обжалование решения Финнадзора об отзыве VASP-лицензии?
Действующее законодательство КР предусматривает 30-дневный срок на подачу административного обжалования в вышестоящий орган. После получения ответа или при его отсутствии возможно обращение в суд. Пропуск срока административного обжалования существенно осложняет позицию в судебном разбирательстве, поэтому реагировать нужно немедленно после получения решения.
3. Чем отличается VASP-лицензия от платёжной лицензии НБКР?
Это принципиально разные документы для разных видов деятельности. VASP-лицензия выдаётся Финнадзором и разрешает операции с виртуальными активами: обмен, хранение, перевод криптовалют. Платёжная лицензия выдаётся НБКР и регулирует фиатные платёжные операции. Компании, совмещающие оба вида деятельности, обязаны получить оба документа отдельно.
Право-300 · Best Lawyers · 1 000+ дел с 2009 года
Ваша VASP-лицензия — под угрозой предписания или уже получено решение об отзыве? Каждый день сокращает пространство для манёвра. Передайте документы — разберём ситуацию и выработаем позицию.
Обсудить IT-проектСмежные материалы: ПВТ vs ПКИ в Кыргызстане: для кого что выгоднее, Обзор ICO и STO в Кыргызстане: требования к эмитенту токенов, Крупная сделка ОсОО в КР: одобрение и последствия нарушения. Подробнее о практике — на странице IT-право и виртуальные активы. Все материалы по аналитике — в разделе аналитики БЕКЕМ.