Практика: AML/KYC для VASP в Кыргызстане: требования Финнадзора 2026

Что такое VASP и почему AML/KYC стали приоритетом Финнадзора?

VASP (Virtual Asset Service Provider) — провайдер услуг с виртуальными активами: криптовалютные биржи, обменники, кастодиальные сервисы, платформы стейкинга и работы со стейблкоинами. В Кыргызстане регулирование VASP закреплено Законом о виртуальных активах с поправками «Тамчы» и последующими изменениями 2025 года, охватившими стейблкоины, RWA-токены и госмайнинг. Лицензирование проводит Финнадзор — Служба регулирования и надзора за финансовым рынком.

До 2025 года надзор носил преимущественно регистрационный характер: выдали лицензию — и компания работает. С середины 2025 года Финнадзор перешёл к содержательному надзору: проверяет реальную работу AML/KYC-систем, соответствие политик стандартам FATF, исполнение Travel Rule и качество отчётности в ГСФР. Результат — массовые предписания и отзывы лицензий у операторов, которые формально имели документацию, но не применяли её на практике.

Криптовалюта в Кыргызстане не является средством платежа — это принципиальный момент. VASP работают с виртуальными активами как с объектом гражданских прав, не как с деньгами. Но именно поэтому AML/KYC-требования не слабее, а в ряде аспектов строже, чем для обычных финансовых организаций: регулятор стремится исключить использование криптоинфраструктуры для обхода ПОД/ФТ-контроля. ПВТ-резидентство само по себе не освобождает VASP от требований AML — эти режимы действуют параллельно.

Конкретная картина по рынку: из числа VASP, получивших лицензии в 2022–2024 годах, к началу 2026 года значительная часть либо прошла принудительную реструктуризацию AML-политик, либо была лишена лицензий. Именно на этом фоне разворачивается описанный ниже кейс.

Ситуация клиента: криптообменник с формальной AML-документацией

К нам обратился криптовалютный обменник — резидент ПВТ, работающий с физическими лицами на территории Кыргызстана. Компания имела действующую VASP-лицензию Финнадзора, уставный капитал 40 млн сомов и полный пакет AML-документации: политику ПОД/ФТ, регламент KYC, матрицу рисков, формы анкет клиентов. На первый взгляд — полное соответствие требованиям.

Поводом для обращения стало уведомление Финнадзора о плановой надзорной проверке, назначенной на следующий месяц. Руководство компании хотело понять, насколько реальная операционная практика соответствует задокументированным процедурам — и есть ли риски получить предписание или приостановление лицензии.

При предварительном аудите документации и операционных процессов мы обнаружили четыре категории нарушений. Первая: AML-политика была разработана в 2023 году и не обновлялась с учётом поправок «Тамчы» и изменений 2025 года — в частности, не охватывала операции со стейблкоинами, которые компания начала проводить в 2024 году. Вторая: Travel Rule формально упоминался в документах, но технически не был реализован — компания не передавала данные о плательщике при транзакциях свыше установленного порога. Третья: KYC-анкеты не содержали обязательных полей для верификации источника средств у клиентов с транзакционной активностью выше среднего. Четвёртая: отчётность в ГСФР подавалась нерегулярно — два квартала из четырёх в 2025 году были пропущены.

Каждая из этих категорий сама по себе является основанием для предписания. В совокупности — это системный характер нарушений, при котором Финнадзор вправе инициировать процедуру приостановления лицензии без предварительного предписания об устранении.

Какие требования AML/KYC обязательны для VASP в 2026 году?

Базовая система требований к VASP в Кыргызстане строится на Законе о виртуальных активах, Законе о ПОД/ФТ и методологических рекомендациях Финнадзора, разработанных с учётом стандартов FATF. По состоянию на 2026 год обязательный минимум включает следующие блоки.

KYC — верификация клиентов. Каждый клиент проходит идентификацию до начала операционного обслуживания. Для физических лиц: удостоверение личности, ИНН, верификация адреса (при транзакционной активности выше порогового уровня), скрининг по санкционным спискам и спискам лиц, связанных с финансированием терроризма. Для юридических лиц — дополнительно UBO-раскрытие (конечный бенефициар). Усиленная проверка применяется к публичным должностным лицам (PEP), клиентам с высокорисковой юрисдикцией и операциям с нетипичным профилем.

AML-мониторинг транзакций. VASP обязан применять обязательный поставщик AML/KYT-сервиса для блокчейн-аналитики. Это означает, что каждая входящая и исходящая транзакция должна проходить скрининг через аккредитованного провайдера AML/KYT-услуг. Самостоятельная проверка без аккредитованного инструмента не принимается Финнадзором как надлежащее исполнение требования.

Travel Rule. При транзакции свыше установленного порога VASP-отправитель обязан передать VASP-получателю данные о плательщике (имя, адрес кошелька, ИНН или иной идентификатор) и бенефициаре. Если получатель — некастодиальный кошелёк (unhosted wallet), VASP обязан провести дополнительную верификацию и зафиксировать её результаты. Финнадзор рассматривает отсутствие технической реализации Travel Rule как критическое нарушение — вне зависимости от наличия соответствующего раздела в AML-политике.

Отчётность в ГСФР. Подозрительные транзакции и операции свыше установленных порогов подлежат обязательному сообщению в Государственную службу финансовой разведки. Сроки и форматы отчётности установлены методологическими указаниями; пропуск отчётного периода фиксируется как отдельное нарушение.

Как Финнадзор проводит надзорную проверку VASP?

Надзорная проверка VASP Финнадзором в 2026 году — это не формальная документальная ревизия, а содержательная оценка реального функционирования AML-системы. Проверка охватывает три уровня: документационный, операционный и технический.

На документационном уровне инспекторы запрашивают AML-политику, регламенты KYC и KYT, матрицу рисков, журналы сообщений в ГСФР, отчёты аккредитованного AML/KYT-провайдера, протоколы внутреннего комплаенса. Документы оцениваются на актуальность — наличие редакций, учитывающих изменения законодательства 2025 года, в том числе в части стейблкоинов и RWA. Политика 2022–2023 годов без обновлений автоматически расценивается как несоответствующая.

На операционном уровне проверяется, как процедуры применяются на практике. Инспекторы запрашивают выборку клиентских досье и сравнивают их с требованиями AML-политики: все ли поля заполнены, проведена ли верификация источника средств там, где это требуется, есть ли PEP-скрининг. Параллельно анализируется выборка транзакций: есть ли фиксация Travel Rule, корректно ли отработаны подозрительные паттерны, своевременно ли поданы сообщения в ГСФР.

Технический уровень — самый требовательный. Финнадзор запрашивает подтверждение интеграции с аккредитованным AML/KYT-провайдером: договор, логи скрининга, конфигурацию правил. Если компания использует собственную систему скрининга без аккредитации — это нарушение независимо от качества самой системы. ПВТ-резидентство даёт экономию налоговой нагрузки около 80% против общего режима, но не освобождает от этого технического требования.

По итогам проверки Финнадзор составляет акт с перечнем нарушений. При незначительных нарушениях выдаётся предписание об устранении с установленным сроком (как правило, 30–60 дней). При системных или критических нарушениях — предписание может сопровождаться приостановлением отдельных видов деятельности. Отзыв лицензии применяется при неисполнении предписания или при наличии нарушений, несовместимых с продолжением деятельности.

Решение: что и в каком порядке исправляли

После предварительного аудита у компании-клиента оставалось около трёх недель до начала проверки. Работа была организована в четыре параллельных направления.

Направление 1: Актуализация AML-политики. Мы провели полный пересмотр документа с учётом изменений законодательства 2025 года. В политику были внесены разделы об операциях со стейблкоинами, порядке работы с unhosted-кошельками, расширенной верификации при транзакциях с токенами RWA. Матрица рисков была пересмотрена: добавлены категории рисков, специфичные для текущего продуктового профиля компании. Все редакции зафиксированы с датой и подписью ответственного офицера по комплаенсу.

Направление 2: Техническая реализация Travel Rule. Компания не имела интеграции с VASP-протоколом для передачи данных. В сжатые сроки был заключён договор с аккредитованным провайдером Travel Rule-решения, проведена техническая интеграция и тестирование на выборке транзакций. Весь процесс был задокументирован: договор, акты о завершении интеграции, тестовые протоколы — как доказательная база добросовестного устранения нарушения.

Направление 3: Доработка KYC-анкет и клиентских досье. Существующие анкеты были переработаны с добавлением обязательных полей верификации источника средств. Для клиентов с транзакционным профилем выше среднего проведена ретроактивная проверка: запрошены недостающие документы, обновлены досье. Клиенты, не предоставившие документы в установленный срок, были переведены в статус ограниченного обслуживания.

Направление 4: Восстановление отчётности в ГСФР. Пропущенные квартальные отчёты были подготовлены и поданы в ГСФР с сопроводительным письмом, объясняющим причины задержки и описывающим меры по недопущению повторения. Параллельно был введён внутренний регламент контроля сроков отчётности с назначением ответственного сотрудника и автоматическим напоминанием.

Финнадзор в 2025 году отозвал лицензии у ряда VASP именно из-за дефектов AML-политик — в тех случаях, когда нарушения носили системный характер и не были устранены добровольно. Документирование факта добровольного устранения нарушений до начала проверки существенно меняет позицию компании при взаимодействии с инспекторами.

Результат: как прошла проверка и что зафиксировал Финнадзор?

Проверка прошла в запланированные сроки. Инспекторы запросили стандартный пакет документов, провели операционную выборку и техническую верификацию интеграции с AML/KYT-провайдером.

По итогам проверки Финнадзор выдал акт с двумя замечаниями. Первое — технического характера: некорректная конфигурация порогового значения скрининга в AML/KYT-системе (порог был установлен выше, чем требуется методологией). Второе — документационное: отсутствие в AML-политике явного раздела о порядке работы с децентрализованными кошельками при транзакциях с нулевым Travel Rule-контрагентом. Оба замечания не были квалифицированы как нарушения — они получили статус рекомендаций с предложением устранить в течение 60 дней.

Предписание об устранении нарушений выдано не было. Лицензия осталась действующей без каких-либо ограничений. Это принципиальный результат: компания находилась в зоне реального риска отзыва лицензии — с устаревшей документацией, нереализованным Travel Rule и пропущенной отчётностью. Подготовительная работа за три недели изменила итог проверки.

После проверки компания внедрила ещё два элемента, которые рекомендовал Финнадзор в ходе неформального диалога с инспекторами: квартальный внутренний аудит AML-системы с фиксацией результатов и ежегодное обучение сотрудников по ПОД/ФТ с документированием прохождения. Эти меры не обязательны по букве закона, но фактически являются индикатором зрелости комплаенс-системы при последующих проверках.

Типичные ошибки VASP при построении AML/KYC-системы

На основании этого и аналогичных кейсов можно выделить несколько устойчивых паттернов, которые приводят к предписаниям Финнадзора.

Ошибка 1: Одноразовая разработка документации. AML-политику разрабатывают при получении лицензии и не обновляют при изменениях законодательства или продуктового профиля. Если компания начала работать со стейблкоинами, а политика их не упоминает — это нарушение, даже при наличии общих формулировок о «виртуальных активах».

Ошибка 2: Travel Rule на бумаге. Компания включает Travel Rule в AML-политику, но не реализует его технически. Финнадзор проверяет не текст политики, а логи передачи данных. Отсутствие технической реализации — критическое нарушение.

Ошибка 3: Использование неаккредитованного AML/KYT-провайдера. Ряд VASP используют open-source инструменты блокчейн-аналитики или собственные разработки. Финнадзор требует аккредитованного провайдера — список поддерживается регулятором. Самостоятельный инструмент не засчитывается как надлежащее исполнение, даже если технически он превосходит аккредитованный.

Ошибка 4: KYC без верификации источника средств. Анкета клиента содержит базовые поля, но не содержит верификации происхождения средств для клиентов с повышенным транзакционным профилем. При этом методология Финнадзора требует усиленной проверки для определённых категорий клиентов — и её отсутствие фиксируется как пробел в KYC-системе. Travel Rule обязателен для всех VASP в Кыргызстане — без него лицензия под угрозой.

Ошибка 5: Нерегулярная отчётность в ГСФР. Отчётность воспринимается как формальность, пропущенные периоды не компенсируются. Финнадзор сопоставляет данные отчётности VASP с данными ГСФР — расхождения или пропуски становятся отдельным основанием для предписания.

Как VASP должен готовиться к надзорной проверке Финнадзора?

Надзорная проверка — не внезапное событие. Финнадзор, как правило, уведомляет о плановой проверке заблаговременно. Это окно можно и нужно использовать для подготовки.

Первый шаг — внутренний gap-анализ: сравнение реальной операционной практики с задокументированными процедурами. Практика показывает, что разрыв между политикой и реальностью существует почти у всех операторов — вопрос в его масштабе. Gap-анализ должен охватывать все пять блоков: KYC-документация, Travel Rule, AML/KYT-мониторинг, отчётность в ГСФР, обучение сотрудников.

Второй шаг — актуализация документации. Все изменения законодательства и продуктового профиля должны быть отражены в AML-политике с фиксацией даты редакции. Особое внимание — стейблкоинам, RWA-токенам и unhosted-кошелькам: именно эти категории наиболее часто оказываются вне зоны действия существующей политики.

Третий шаг — техническая верификация. Договор с аккредитованным AML/KYT-провайдером, корректность конфигурации пороговых значений, работоспособность Travel Rule-интеграции, полнота логов скрининга. Технические дефекты труднее устранить быстро — начинать нужно с них.

Четвёртый шаг — проверка отчётности. Все периоды ГСФР-отчётности должны быть закрыты. Пропущенные периоды лучше восстановить до проверки с сопроводительным письмом, чем ждать, когда их обнаружат инспекторы. Добровольное устранение нарушений фиксируется Финнадзором как позитивный фактор при оценке системности комплаенса.

Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности. Если компания совмещает оба вида, требования AML применяются независимо по каждой лицензии — без взаимного зачёта.

Стейблкоины и новые активы: что изменилось в регулировании в 2025–2026 годах?

Поправки к Закону о виртуальных активах 2025 года существенно расширили периметр регулирования. Три изменения критически важны для AML/KYC-практики.

Стейблкоины. До поправок стейблкоины находились в правовой серой зоне — закон упоминал виртуальные активы в целом, не выделяя фиатно-привязанные инструменты. Поправки ввели отдельные требования к VASP, работающим со стейблкоинами: усиленный мониторинг транзакций, специальные условия хранения резервов эмитента (если VASP выступает дистрибьютором), дополнительные требования к KYC при операциях с крупными суммами. Для обменников, принявших стейблкоины в 2024 году без обновления AML-политики, это прямой источник нарушений.

RWA-токены. Токенизированные реальные активы (Real World Assets) — ещё одна категория, получившая явное регулирование. При работе с RWA VASP обязан проводить дополнительную идентификацию базового актива и его эмитента, а также верифицировать юрисдикцию эмиссии. Это требование пересекается с KYC: анкета клиента должна содержать соответствующие поля.

Госмайнинг и крипторезерв. Поправки легализовали государственный майнинг и ввели концепцию государственного крипторезерва. Для VASP это означает появление нового типа контрагента — государственного оператора — с особым порядком верификации и пониженным риск-профилем. AML-политики, разработанные до этих изменений, не содержат соответствующих процедур.

Все три изменения требуют обновления AML-документации. Компании, получившие лицензии до 2025 года и не обновившие политику, автоматически находятся в зоне риска при любой надзорной проверке.

Практические выводы: что должен сделать каждый VASP прямо сейчас

Описанный кейс — не исключение. Это типичная ситуация для VASP, которые получили лицензию в период активного роста рынка и не поддерживали комплаенс-систему в актуальном состоянии. Финнадзор перешёл к содержательному надзору — и эта тенденция в 2026 году только усиливается.

Несколько конкретных действий, которые должен предпринять каждый лицензированный VASP до следующей проверки. Первое: провести gap-анализ AML-политики на предмет соответствия поправкам 2025 года — стейблкоины, RWA, unhosted-кошельки. Второе: верифицировать техническую реализацию Travel Rule — не наличие раздела в политике, а рабочую интеграцию с протоколом. Третье: убедиться, что используемый AML/KYT-провайдер аккредитован Финнадзором. Четвёртое: закрыть все пропущенные периоды отчётности в ГСФР. Пятое: проверить KYC-анкеты на предмет наличия полей верификации источника средств для клиентов с повышенным транзакционным профилем.

Эти пять действий устраняют наиболее распространённые основания для предписаний. Их выполнение до проверки — принципиально другой сценарий, чем устранение нарушений под давлением регулятора.

Подробный разбор налоговых аспектов работы в ПВТ, включая нулевые ставки НП и НДС и пятипроцентный подоходный налог, доступен в материале «Налоги в ПВТ Кыргызстана: 0% прибыль, 0% НДС, 5% подоходный». Операционные аспекты взаимодействия с банками — в материале «Открытие расчётного счёта для ОсОО в Кыргызстане». Контекст меморандума Binance с кыргызскими регуляторами — в разборе «Binance и Кыргызстан: меморандум 2025». Актуальный обзор всей практики цифрового права — на странице IT-право и виртуальные активы.