Проверка: Криптобиржа в КР: лицензия и капитал 100 млн сом

Что проверяем и почему именно это?

Финнадзор в 2025 году массово отозвал лицензии у ряда VASP-операторов — причиной стали дефекты в AML-политиках и несоответствие технических требований. Это изменило стандарт проверки: регулятор теперь проводит более детальную экспертизу пакета документов ещё на этапе приёма заявления. Пропустить или формально заполнить хотя бы один из разделов — значит получить отказ или затянуть процесс до трёх месяцев вместо официального одного.

Чек-лист структурирован по трём блокам: корпоративная готовность (капитал, структура, органы управления), регуляторный комплаенс (AML, KYC, Travel Rule), техническая инфраструктура (серверы, безопасность, резервирование). Пройти все три блока до подачи заявки — обязательное условие.

Для IT-компании, выбирающей между ПВТ и обычным ОсОО, выбор структуры напрямую влияет на налоговую нагрузку: ПВТ-резидентство даёт экономию налоговой нагрузки около 80% против общего режима. Эта разница существенна при масштабировании. Детальное сравнение режимов — в материале IT-право и виртуальные активы: ПВТ и VASP в Кыргызстане.

Блок 1: корпоративная структура — пункты 1–5

Пункт 1. Регистрация ОсОО в Минюсте КР. Биржа должна быть зарегистрирована как юридическое лицо по кыргызскому законодательству — ОсОО или АО. Регистрация занимает в среднем 5 рабочих дней, госпошлина — 570 сомов. Иностранные участники могут владеть 100% долей без ограничений.

Пункт 2. Формирование уставного капитала 100 млн сомов. Капитал должен быть фактически оплачен до подачи заявления — наличие денег на расчётном счёте подтверждается банковской справкой. Номинальный капитал «на бумаге» без реального зачисления — основание для отказа. Для криптообменника (без биржевого функционала) порог ниже: 40 млн сомов (~$460 тыс.).

Пункт 3. Определение состава участников и бенефициаров. Финнадзор требует раскрытия всей цепочки собственности до конечного бенефициара — физического лица. Структуры с номинальными акционерами без раскрытия реального владельца не проходят проверку. Для каждого бенефициара с долей от 10% подготовьте паспорт, подтверждение источника средств и отсутствия судимостей.

Пункт 4. Назначение директора и комплаенс-офицера. Директор должен иметь профильный опыт в финансах или IT — Финнадзор проверяет резюме. Отдельно требуется комплаенс-офицер (AML/CFT): это может быть штатный сотрудник или привлечённый специалист, но его квалификация подтверждается документально. Совмещение должностей директора и комплаенс-офицера — распространённая ошибка заявителей.

Пункт 5. Разработка устава с нормами управления. Устав должен включать положения о порядке принятия решений по AML-рискам, приостановке операций и взаимодействии с регулятором. Стандартный устав ОсОО из шаблона Минюста не содержит этих норм — его придётся адаптировать. Без специализированных положений Финнадзор вернёт документы с замечаниями.

Блок 2: AML/KYC и регуляторный комплаенс — пункты 6–10

Пункт 6. Разработка AML/CFT-политики. Политика по противодействию отмыванию денег и финансированию терроризма — обязательный документ. Он должен описывать процедуры идентификации клиентов, мониторинга транзакций, формирования отчётности в ГСФР и внутреннего контроля. Финнадзор проверяет политику содержательно, а не формально — шаблонные документы отклоняются.

Пункт 7. Выбор и подключение AML/KYT-провайдера. По действующему законодательству КР VASP-оператор обязан использовать сертифицированного поставщика AML/KYT-услуг для мониторинга блокчейн-транзакций. Договор с провайдером входит в пакет документов для лицензирования. Самостоятельная разработка системы без аттестованного провайдера не принимается.

Пункт 8. Внедрение KYC-процедур. Биржа обязана идентифицировать клиентов до открытия торгового аккаунта: паспорт, подтверждение адреса, источник средств для крупных объёмов. Стандарт KYC включает три уровня — базовый, расширенный и усиленный (для PEP и нерезидентов). Процедуры описываются в отдельном регламенте, прилагаемом к заявке.

Пункт 9. Реализация Travel Rule. Travel Rule — FATF-стандарт передачи идентификационных данных при переводе виртуальных активов между VASP — применяется в Кыргызстане. Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности, но Travel Rule обязателен для обеих. Биржа обязана реализовать техническое решение для обмена данными с контрагентами (IVMS101 или аналог) до получения лицензии.

Пункт 10. Регистрация в ГСФР как субъект финансового мониторинга. Криптобиржа обязана встать на учёт в Государственной службе финансовой разведки при Минфине КР и настроить отчётность по подозрительным транзакциям. Регистрация в ГСФР — отдельная процедура, не связанная с лицензированием в Финнадзоре, но обе должны быть завершены до начала операционной деятельности.

Подробнее о содержании AML-политик и процедурах комплаенса — в материале VASP-комплаенс в Кыргызстане: AML-политики и процедуры.

Как устроена техническая инфраструктура и что проверяет Финнадзор?

Пункт 11. Размещение серверов в Кыргызстане. По требованиям Закона «О виртуальных активах» серверы VASP-оператора обязаны физически находиться в КР. Это означает аренду стойки или выделенного сервера в кыргызском дата-центре — облачные решения с серверами за рубежом не соответствуют требованию. Финнадзор запрашивает договор с провайдером дата-центра и технический акт приёма-передачи оборудования.

Пункт 12. Техническая документация платформы. Заявитель предоставляет описание архитектуры торгового ядра, кастодиального решения (горячий и холодный кошельки), системы управления ключами и плана восстановления при сбоях (disaster recovery plan). Минимальное требование к холодному хранению — не менее 95% активов клиентов без постоянного подключения к сети.

Пункт 13. Тестирование на проникновение (penetration test). Финнадзор требует результатов пентеста платформы, проведённого аккредитованной организацией, не позднее чем за 90 дней до подачи заявки. Отчёт включает описание методологии, найденных уязвимостей и принятых мер по их устранению. Тест охватывает веб-интерфейс, API, внутренние сети и криптографические компоненты.

Пункт 14. Страхование операционных рисков. Страховой полис, покрывающий киберриски и операционные потери, не закреплён как обязательный нормой закона, однако на практике его отсутствие замедляет процесс одобрения: комитет по лицензированию Финнадзора рассматривает наличие страхования как показатель зрелости системы управления рисками. Минимальная страховая сумма — рыночная стоимость активов под управлением биржи на дату подачи заявки.

Пакет документов: итоговый состав

После прохождения всех 14 пунктов формируется пакет для Финнадзора. Ниже — структура по разделам.

Корпоративные документы:

• Свидетельство о государственной регистрации ОсОО (Минюст)
• Устав с нормами AML-управления
• Решение участников о назначении директора
• Паспорта, CV и справки об отсутствии судимостей директора и комплаенс-офицера
• Раскрытие бенефициарной собственности (по каждому участнику с долей 10%+)
• Банковская справка об оплате уставного капитала (100 млн сом)

Регуляторный комплаенс:

• AML/CFT-политика (оригинал, за подписью директора)
• KYC-регламент (три уровня идентификации)
• Договор с AML/KYT-провайдером
• Техническое решение по Travel Rule (описание + интеграционная документация)
• Подтверждение регистрации в ГСФР

Техническая документация:

• Договор с кыргызским дата-центром
• Описание архитектуры платформы и кастодиального решения
• Отчёт о пентесте (не старше 90 дней)
• Disaster recovery plan
• Страховой полис (при наличии)

Срок рассмотрения заявки Финнадзором — официально около одного месяца; на практике, при полном и корректном пакете, процесс занимает в среднем 1–3 месяца. Лицензия выдаётся сроком на 5 лет.

Особые случаи: стейблкоины, токены и ПВТ-режим

Поправки «Тамчы» и дополнения 2025 года расширили регуляторное поле: биржи, работающие со стейблкоинами и токенизированными реальными активами (RWA), проходят расширенную проверку эмиссионных характеристик каждого инструмента. Перед листингом стейблкоина биржа подаёт уведомление в Финнадзор с описанием механизма обеспечения. Это не отдельная лицензия, но нарушение уведомительного порядка влечёт административные меры.

ПВТ-режим совместим с VASP-лицензией, но требует отдельной проверки: Дирекция ПВТ оценивает, относится ли деятельность биржи к разрешённым видам резидентской деятельности. Биржевое ядро и разработка ПО подпадают под ПВТ, а непосредственная эксплуатация торговой платформы — требует юридической квалификации применительно к конкретной бизнес-модели. Регистрация в ПВТ: подача в администрацию → учётная регистрация в ГНС за 5 дней → постоянный статус через 6 месяцев.

Для проектов ICO и STO на базе биржевой инфраструктуры применяются отдельные требования к эмитенту токенов — они подробно описаны в материале Пошагово: ICO и STO в Кыргызстане — требования к эмитенту токенов.

Криптовалюта в Кыргызстане не признаётся средством платежа — это ограничение распространяется и на биржи: расчёты с клиентами в кыргызских сомах за виртуальные активы должны идти через банковские счета, а не через криптокошельки напрямую.

Что мешает получить лицензию: типичные ошибки

По данным о заявках, поданных до конца 2025 года, наиболее частые причины отказа или возврата документов распределяются по трём категориям.

Капитал: банковская справка выдана раньше даты подачи заявки, а средства успели уйти со счёта; уставный капитал сформирован займами от аффилированных лиц без указания источника; справка не отражает требуемой минимальной суммы на конкретную дату.

AML-документация: политика скопирована с шаблона другой юрисдикции без адаптации к требованиям кыргызского законодательства; в регламенте отсутствует описание работы с PEP (политически значимыми лицами); нет процедуры заморозки активов по запросу ГСФР.

Техническая инфраструктура: пентест проведён более 90 дней назад; сервера формально зарегистрированы в КР, но фактически данные обрабатываются за рубежом; отсутствует описание механизма холодного хранения активов клиентов. Мораторий на проверки бизнеса не распространяется на лицензионный надзор Финнадзора и надзор НБКР — это прямые исключения из ограничений 2026 года.

Дополнительная точка риска — антимонопольное согласование при сделках M&A с долями в уже лицензированной бирже. Подробнее — в материале Чек-лист: антимонопольное согласование сделок в Кыргызстане — пороги.

Сроки и стоимость: ориентировочные параметры

Процесс от регистрации ОсОО до получения лицензии занимает в среднем 3–5 месяцев при условии, что пакет документов собирается параллельно с корпоративными процедурами. Последовательная схема (сначала регистрация, потом документы) удлиняет срок до 6–8 месяцев.

Ключевые затраты по этапам: регистрация ОсОО — от 570 сомов госпошлина плюс расходы на нотариуса и изготовление печати (~1 500–3 000 сомов); формирование уставного капитала — 100 млн сомов (должны оставаться на счёте до получения лицензии, после чего используются в операционной деятельности); AML/KYT-провайдер — рыночные ставки варьируются в зависимости от провайдера и объёма транзакций; пентест — ориентировочно от $5 000 до $15 000 в зависимости от сложности платформы; дата-центр в КР — аренда от $300–500/месяц за базовую конфигурацию.

Лицензионный сбор Финнадзора уточняйте на текущую дату непосредственно у регулятора — размер административного сбора периодически пересматривается. Данные о размере сбора на момент публикации в публичных источниках расходятся, поэтому цифру без актуального подтверждения в материале не приводим.

Дополнительные ресурсы по теме — в разделе Аналитика БЕКЕМ и на странице практики IT-право и виртуальные активы.