Чек-лист: VASP-лицензия в Кыргызстане: получение через Финнадзор 2026

Что такое VASP-лицензия и кому она нужна?

VASP (Virtual Asset Service Provider) — поставщик услуг с виртуальными активами. Согласно действующему законодательству КР, любое юридическое лицо, осуществляющее обмен, хранение, перевод криптовалют или управление цифровыми кошельками на коммерческой основе, обязано получить лицензию Финнадзора. Без неё деятельность квалифицируется как незаконное предпринимательство.

Закон «О виртуальных активах» с поправками «Тамчы» выделяет несколько типов VASP-деятельности: криптовалютный обменник, биржа (спотовая и деривативная), кастодиальный кошелёк, платёжный VASP, а также операторы стейблкоинов и RWA-токенов. Для каждого типа установлен свой порог уставного капитала и отдельные требования к инфраструктуре. Определить применимый тип лицензии необходимо до подачи заявки — от этого зависит весь пакет документов.

Криптовалюта в Кыргызстане не признаётся средством платежа, однако её обращение в рамках лицензированной деятельности прямо разрешено. Это принципиальное разграничение: VASP работает с виртуальными активами как с имуществом, а не как с деньгами. Данный факт влияет на налогообложение, бухгалтерский учёт и договорную документацию с клиентами.

Платёжная лицензия Национального банка КР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности. Если платформа сочетает криптовалютный обмен с фиатными платёжными операциями, потребуется лицензирование у обоих регуляторов. Смешение режимов — одна из частых ошибок при структурировании бизнеса.

Шаг 1. Предварительный аудит структуры: чек-лист готовности

Прежде чем подавать заявку в Финнадзор, необходимо убедиться, что корпоративная структура и финансовая база соответствуют минимальным требованиям. Это позволяет избежать отказа на стадии формальной проверки и не тратить время на доработку документов постфактум.

• Тип лицензии определён. Зафиксируйте в протоколе учредителей, какой именно вид VASP-деятельности планируется: обменник, биржа, кастодиальный кошелёк или комбинированный. От этого зависит порог уставного капитала и перечень регуляторных требований.
• Уставный капитал сформирован. Для обменника — не менее 40 млн сом, для биржи — не менее 100 млн сом. Капитал должен быть реально внесён на счёт до подачи заявки, а не задекларирован «в намерениях».
• ОсОО зарегистрировано в Минюсте КР. Иностранные юридические лица напрямую не получают VASP-лицензию — требуется кыргызское юридическое лицо. Регистрация ОсОО через Минюст занимает в среднем 5 рабочих дней при госпошлине 570 сом.
• Бенефициарные владельцы раскрыты. Финнадзор требует полного раскрытия цепочки собственников вплоть до физических лиц. Офшорные структуры с непрозрачным владением — основание для отказа. Подготовьте нотариально заверенные документы о структуре собственности.
• Руководители проверены на деловую репутацию. Генеральный директор и члены совета директоров не должны иметь судимостей за экономические преступления, банкротств в предыдущих компаниях или действующих санкций. Финнадзор проверяет это через запросы в МВД и международные базы данных.

ПВТ-резидентство даёт экономию налоговой нагрузки около 80% против общего режима. Если VASP-компания планирует работать в сфере IT-разработки смежных продуктов, совмещение с ПВТ стоит просчитать на этапе структурирования — ещё до регистрации ОсОО.

Шаг 2. Технические требования — что нужно подготовить до подачи?

Финнадзор проверяет не только документы, но и техническую инфраструктуру: серверы, системы безопасности, AML-инструменты. Технический аудит проводится как в ходе рассмотрения заявки, так и после получения лицензии в рамках надзорных проверок.

• Серверы размещены в КР. Требование прямо закреплено в Законе «О виртуальных активах»: вся ключевая инфраструктура — серверы с горячими и холодными кошельками, база данных клиентов, процессинг транзакций — должна физически находиться на территории Кыргызстана. Облачные решения с зарубежными дата-центрами не принимаются как основное размещение.
• AML/KYC-система внедрена и задокументирована. Требуется не просто установить программное обеспечение, но и разработать внутренние правила KYC: уровни верификации клиентов (базовый, расширенный, PEP), пороги транзакций для дополнительной проверки, процедуры заморозки и эскалации подозрительных операций. Финнадзор запрашивает эти документы в виде утверждённых внутренних политик.
• Travel Rule реализован через сертифицированного провайдера. Без подключения к решению Travel Rule (передача данных об отправителе и получателе между VASP при транзакциях) заявка не пройдёт. Выбор провайдера необходимо зафиксировать в заявке. Travel Rule обязателен для всех VASP в Кыргызстане — без него лицензия под угрозой даже после получения.
• Система мониторинга транзакций подключена. Требуется сертифицированный AML/KYT-провайдер для скрининга транзакций в блокчейне на предмет связи с санкционными адресами, даркнет-маркетплейсами и миксерами. Финнадзор проверяет наличие действующего договора с таким провайдером.
• Политика информационной безопасности разработана. Включает защиту горячих кошельков (не более 10–20% активов в горячем хранении), резервное копирование, шифрование клиентских данных, план реагирования на инциденты. Этот документ предоставляется в пакете заявки.

Финнадзор в 2025 году массово отзывал лицензии именно из-за технических дефектов: отсутствия реального мониторинга транзакций и формального выполнения KYC без реальной верификации. Технический пакет — не формальность, а ключевое основание для выдачи и сохранения лицензии.

Шаг 3. Документальный пакет для подачи в Финнадзор

Полный пакет документов подаётся в Финнадзор после завершения технической подготовки. Неполный пакет возвращается без рассмотрения, что обнуляет срок рассмотрения.

• Заявление по форме Финнадзора. Заполняется на русском языке, подписывается генеральным директором. Форма актуализирована в 2025 году после принятия поправок «Тамчы» — использовать только текущую версию с сайта fsa.gov.kg.
• Учредительные документы ОсОО. Устав в актуальной редакции, решение учредителей о создании, свидетельство о государственной регистрации из Минюста КР, справка из ГНС о постановке на налоговый учёт. Все документы — нотариально заверенные копии.
• Документы о бенефициарных владельцах. Паспорта всех физических лиц, владеющих 5% и более в уставном капитале, справки об отсутствии судимости (для иностранцев — апостилированные), подтверждение источника средств уставного капитала. Финнадзор применяет принцип «знай своего акционера» так же строго, как KYC к клиентам.
• Бизнес-план и финансовая модель на 3 года. Включает описание продукта, целевого рынка, источников дохода, прогноз транзакционного объёма, план достижения безубыточности. Финнадзор оценивает жизнеспособность бизнес-модели.
• AML/CFT-программа. Утверждённый внутренний документ, описывающий политику KYC, процедуры мониторинга транзакций, уровни эскалации, обучение персонала, отчётность перед ГСФР (Государственной службой финансовой разведки). Объём — от 30 страниц для базового варианта.
• Технический паспорт инфраструктуры. Описание серверной среды с адресами дата-центров в КР, схема архитектуры платформы, договоры с AML/KYT-провайдером и провайдером Travel Rule, политика информационной безопасности.
• Договор аренды офиса в КР. Финнадзор требует реального физического присутствия: адрес юридического лица должен соответствовать фактическому местонахождению операционного офиса. Виртуальный адрес не принимается.
• Сведения о руководящем составе. Резюме генерального директора, AML-офицера и технического директора с подтверждением квалификации, справки об отсутствии судимости, документы о профессиональном образовании. AML-офицер должен иметь сертификат CAMS или эквивалент.

Шаг 4. Кадровые требования: ключевые позиции для получения лицензии?

Финнадзор оценивает не только документы, но и команду: ключевые специалисты должны соответствовать квалификационным требованиям ещё до подачи заявки.

• AML-офицер (Compliance Officer). Обязательная позиция. Требуется профессиональный сертификат в области AML/CFT (CAMS, CGSS или признанный эквивалент), опыт работы в финансовом секторе не менее 3 лет. AML-офицер несёт персональную ответственность за исполнение внутренней программы ПОД/ФТ и взаимодействие с ГСФР. Аутсорсинг этой позиции не допускается — только штатный сотрудник.
• Технический директор (CTO). Должен подтвердить опыт в области blockchain-разработки или финтех-инфраструктуры. Финнадзор проверяет резюме и при необходимости проводит техническое собеседование. Нарушения в области информационной безопасности платформы — это также ответственность CTO.
• Генеральный директор. Должен постоянно проживать в КР или иметь доверенного представителя с широкими полномочиями. Финнадзор вправе вызывать директора на встречи в рамках надзорных мероприятий. При дистанционном управлении необходимо назначить исполнительного директора с резидентством в КР.
• Юридический советник (in-house или retained). Формально не входит в перечень обязательных позиций, однако на практике Финнадзор ожидает, что VASP имеет доступ к квалифицированной юридической поддержке для обработки запросов регулятора и взаимодействия с судами. Отсутствие юридической поддержки в 2025 году стало одной из причин отзыва нескольких лицензий.

Каждый IT-проект — уникальная комбинация юрисдикции, лицензии и контрактной структуры. Кадровый состав влияет не только на получение лицензии, но и на страхование ответственности, партнёрские соглашения с банками и условия листинга на международных площадках.

Шаг 5. Процедура рассмотрения заявки: сроки и этапы

Официальный срок рассмотрения заявки Финнадзором составляет около 1 месяца, однако на практике процесс занимает от 1 до 3 месяцев с учётом запросов дополнительных документов и технических проверок.

Процедура включает несколько последовательных этапов. Первый — формальная проверка комплектности пакета (7–10 рабочих дней): если пакет неполный, он возвращается без рассмотрения. Второй — содержательная экспертиза документов: Финнадзор анализирует AML-программу, финансовую модель, учредительные документы и квалификацию руководства. На этом этапе регулятор вправе запросить уточнения — срок ответа на запрос обычно составляет 10 рабочих дней. Третий — технический аудит инфраструктуры: представители Финнадзора или привлечённые технические эксперты проверяют серверную среду, AML/KYT-систему и реализацию Travel Rule. Четвёртый — принятие решения и выдача лицензии (или мотивированный отказ).

Лицензия выдаётся сроком на 5 лет. За 90 дней до истечения срока необходимо подать заявку на продление. Параллельное ведение нескольких видов VASP-деятельности требует либо расширенной лицензии, либо раздельного лицензирования через отдельные юридические лица — в зависимости от позиции Финнадзора по конкретной бизнес-модели.

Отказ в выдаче лицензии обжалуется в административном порядке или через МСЭД. Срок обжалования административного решения — 30 дней. Практика обжалований VASP-отказов в Кыргызстане пока немногочисленна, поэтому судебный исход сложно прогнозировать. Более эффективный путь — устранить основания отказа и подать новую заявку.

Шаг 6. Пост-лицензионные обязательства: что происходит после получения?

Получение VASP-лицензии — не финальная точка, а начало постоянного регуляторного комплаенса. Финнадзор проводит надзорные проверки, запрашивает отчётность и вправе приостановить или отозвать лицензию при нарушениях.

• Ежеквартальная отчётность в Финнадзор. Включает данные о транзакционном объёме, числе активных клиентов, количестве поданных отчётов о подозрительных операциях (SAR) в ГСФР, изменениях в корпоративной структуре. Форма отчётности утверждена Финнадзором.
• Ежегодный аудит AML-программы. Внутренний или внешний аудит системы ПОД/ФТ проводится не реже одного раза в год. Результаты аудита и план устранения выявленных нарушений предоставляются в Финнадзор по запросу.
• Уведомление об изменениях. Любое изменение в составе бенефициарных владельцев, руководящем составе, технической инфраструктуре, видах деятельности — требует предварительного согласования с Финнадзором. Самовольные изменения являются основанием для приостановления лицензии.
• Поддержание уставного капитала. Капитал должен постоянно поддерживаться на уровне не ниже лицензионного минимума. Временное снижение капитала — даже из-за операционных убытков — обязательно раскрывается регулятору.
• Хранение данных. Документы KYC и история транзакций хранятся не менее 5 лет. Серверы с этими данными должны оставаться в КР даже при прекращении деятельности до истечения срока хранения.
• Взаимодействие с ГСФР. VASP обязан подавать отчёты о подозрительных операциях в Государственную службу финансовой разведки. Пороги и процедуры подачи SAR установлены в Законе «О ПОД/ФТ». Задержка или непредставление SAR — основание для административной ответственности и последующего отзыва лицензии.

Стейблкоины, RWA и токены: дополнительные требования в 2026 году

Поправки «Тамчы» и последующие изменения 2025 года расширили регулирование на стейблкоины, токены реальных активов (RWA) и инструменты государственного майнинга. Для компаний, работающих с этими продуктами, стандартная VASP-лицензия может быть недостаточной.

Выпуск стейблкоина, привязанного к фиатной валюте или корзине активов, требует специального разрешения Финнадзора в дополнение к базовой VASP-лицензии. Эмитент обязан поддерживать резерв в размере 100% от объёма выпущенных токенов, размещённый в лицензированных кыргызских финансовых учреждениях или кастодианах. Порядок аудита резервов и раскрытия информации определяется нормативными актами Финнадзора 2025 года. Подробнее о правовой модели выпуска стейблкоинов — в материале «Стейблкоин в Кыргызстане: правовая модель выпуска и резервы».

RWA-токенизация (tokenization of real-world assets) — секьюритизация недвижимости, сырьевых товаров, долговых инструментов через блокчейн — регулируется на стыке Закона «О виртуальных активах» и законодательства о рынке ценных бумаг. Квалификация конкретного токена как ценной бумаги влечёт дополнительные требования Финнадзора по проспектам эмиссии и раскрытию информации. Этот вопрос необходимо прорабатывать до запуска продукта, а не после.

Для IT-компаний, планирующих IP-лицензирование из Кыргызстана в связке с VASP-структурой, рекомендуем ознакомиться с материалом «Новости: IP-лицензирование из Кыргызстана — структура договора».

Банковское сопровождение VASP: как открыть счёт?

Одна из практических сложностей при запуске VASP в Кыргызстане — банковское обслуживание. Большинство кыргызских банков настороженно относятся к крипто-компаниям даже при наличии лицензии Финнадзора. Ряд банков ввёл внутренние ограничения на обслуживание VASP без предварительного одобрения комплаенс-службы.

Для получения расчётного счёта потребуется предоставить банку полный пакет KYC-документов на компанию и бенефициаров, копию VASP-лицензии, AML-программу и описание источников средств. Банк самостоятельно принимает решение об открытии счёта — лицензия Финнадзора не обязывает банк открывать счёт. Подробнее об условиях для нерезидентов — в материале «Demir Bank и КИЦБ для бизнеса в КР: условия для нерезидентов».

Альтернативный путь — работа через зарубежные банки с корреспондентскими счетами в КР. Этот подход имеет ограничения по локальным операциям, однако позволяет начать деятельность до решения вопроса с местным банковским обслуживанием. Выбор банковской стратегии лучше согласовать с юридическим советником ещё до подачи заявки в Финнадзор.

Типичные ошибки при получении VASP-лицензии: как их избежать?

Анализ отказов Финнадзора и отзывов уже выданных лицензий позволяет выделить наиболее частые ошибки заявителей. Их устранение на этапе подготовки существенно повышает шансы на успешное прохождение процедуры.

• Номинальный капитал без реального внесения. Ряд заявителей пытается подтвердить уставный капитал будущими инвестициями или займами. Финнадзор принимает только средства, фактически зачисленные на счёт компании до подачи заявки.
• Шаблонная AML-программа. Копирование стандартных шаблонов без адаптации под конкретный продукт и бизнес-модель — наиболее распространённая причина отказа. Финнадзор выявляет несоответствия между описанными процедурами и реальной архитектурой платформы.
• Серверы за рубежом. Использование AWS, Azure или Google Cloud с зарубежными регионами как основной инфраструктуры нарушает требование о локализации. Необходимо либо арендовать мощности в кыргызских дата-центрах, либо создать собственный серверный узел.
• Отсутствие реального офиса. Виртуальные юридические адреса, коворкинги без постоянного присутствия персонала — не принимаются. Финнадзор проверяет физическое наличие операционного офиса.
• Неполное раскрытие бенефициаров. Сокрытие промежуточных холдинговых структур или непрозрачных номинальных схем — основание для немедленного отказа и внесения компании в список неблагонадёжных операторов.
• Несоответствие заявленной и реальной деятельности. Если платформа начинает операции до получения лицензии или выходит за рамки лицензированных видов деятельности, это квалифицируется как незаконное предпринимательство по Кодексу о правонарушениях КР и Уголовному кодексу КР.