Проверка: VASP-комплаенс в Кыргызстане: AML-политики и процедуры

Почему Финнадзор отзывает лицензии VASP в 2026 году?

С момента принятия поправок «Тамчы» и последующих изменений 2025 года, закрепивших требования к стейблкоинам, RWA и государственному майнингу, Финнадзор усилил надзор за действующими лицензиатами. По сложившейся практике регулятора, проверка фиксирует три системных нарушения: формальные AML-политики, не отражающие реальные бизнес-процессы; отсутствие документированного контроля транзакций по правилу Travel Rule; неполнота KYC-досье по клиентам из юрисдикций с повышенным риском.

Финнадзор вправе приостановить лицензию без предварительного предупреждения при выявлении критических нарушений. Обжалование возможно через МСЭД, однако на практике восстановление деятельности занимает в среднем 3–6 месяцев даже при наличии правовых оснований. ПВТ-резидентство не освобождает от требований Закона о виртуальных активах — налоговые льготы ПВТ и комплаенс-обязательства существуют параллельно.

Travel Rule обязателен для всех VASP в Кыргызстане — без него лицензия под угрозой. Регулятор применяет стандарт FATF: при переводе виртуальных активов VASP обязан передавать информацию об отправителе и получателе транзакции. Технические решения для исполнения этого требования необходимо документально закрепить до начала проверки.

Этот чек-лист охватывает все критические области, по которым Финнадзор фиксирует нарушения. Пройдите его самостоятельно перед тем, как запрашивать внешний аудит комплаенса.

Как структурировать внутренние AML-политики VASP?

Внутренняя AML-политика — это не декларация намерений, а операционный документ, описывающий конкретные процедуры на каждом этапе клиентского пути. Финнадзор при проверке запрашивает именно этот документ первым и сверяет его с фактическими действиями сотрудников.

Политика должна охватывать: идентификацию и верификацию клиентов (KYC/KYB) с порогами и сроками; категоризацию клиентов по уровню риска (низкий, средний, высокий); порядок мониторинга транзакций в режиме реального времени; критерии для формирования отчёта о подозрительной операции (ОПО); порядок «заморозки» активов при получении запроса от ГСФР или по спискам санкций. Каждый из этих блоков описывается отдельным разделом с указанием ответственного подразделения и срока исполнения.

Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности. Если компания совмещает оба вида, AML-политики разрабатываются раздельно для каждого регулируемого направления, хотя могут включаться в единый комплаенс-пакет с чёткой разбивкой по регулятору.

Политику необходимо актуализировать не реже одного раза в год, а также при каждом изменении законодательства. Версионирование документов с датой утверждения и подписью руководителя — обязательное требование при проверке.

Контрольный список: 13 обязательных элементов VASP-комплаенса

Ниже — пошаговый перечень требований, организованных по логике проверки Финнадзора. Каждый пункт — конкретное действие или документ, наличие которого можно проверить за одну рабочую встречу.

Специфика комплаенса для стейблкоинов и токенизированных активов

Поправки 2025 года к Закону о виртуальных активах ввели отдельное регулирование для стейблкоинов и RWA (токенизированных реальных активов). AML-требования для этих категорий активов строже, чем для классических криптовалют, поскольку стейблкоины несут более высокий риск использования в схемах отмывания из-за ценовой стабильности и высокой ликвидности.

Для VASP, работающих со стейблкоинами, обязательны: расширенный скрининг адресов кошельков на предмет связи с санкционными юрисдикциями; процедуры верификации эмитента стейблкоина; отдельные правила мониторинга для операций стейблкоин/фиат. Токены RWA дополнительно требуют верификации базового актива и подтверждения прав собственности эмитента.

Криптовалюта не является средством платежа в Кыргызстане — это принципиальный момент при разработке AML-политик для VASP, обслуживающих торговые расчёты. Операции, внешне похожие на платёжные, должны квалифицироваться как обменные и подпадать под соответствующие правила мониторинга.

Государственный майнинг, закреплённый поправками 2025 года, создаёт новую категорию контрагентов для VASP. Взаимодействие с государственными майнинговыми операциями требует отдельного раздела в AML-политике с описанием порядка идентификации и мониторинга.

Взаимодействие с Финнадзором: что проверяют и как готовиться?

Финнадзор проводит два вида проверок VASP: плановые (по графику, с предварительным уведомлением) и внеплановые (при поступлении жалобы, запроса ГСФР или выявлении аномальных данных в отчётности). Мораторий на проверки бизнеса до 31 декабря 2026 года не распространяется на плановые и выездные проверки ГНС и на надзор финансовых регуляторов.

При плановой проверке инспектор запрашивает: полный пакет AML-документации; реестр клиентов с разбивкой по категориям риска; выборку KYC-досье (как правило, 20–30 досье по запросу); лог алертов и документированные решения по каждому алерту; договор с AML/KYT-провайдером; протоколы обучения сотрудников; отчёт независимого аудита. Неготовность предоставить любой из этих документов — автоматическое нарушение.

По сложившейся практике проверок, наиболее частые замечания: отсутствие даты актуализации AML-политики; KYC-досье без раздела «источник средств»; Travel Rule реализован технически, но не задокументирован в виде внутреннего регламента; алерты системы мониторинга не имеют документированных решений. Устранение каждого из этих замечаний после начала проверки не снимает ответственность — регулятор фиксирует состояние на дату проверки.

Для консультации по подготовке к проверке или аудиту AML-программы — ориентиры по IT-праву и виртуальным активам в Кыргызстане и каталог аналитических материалов БЕКЕМ.

Как VASP в ПВТ выстраивает комплаенс иначе?

VASP-резидент Парка высоких технологий получает налоговые преференции: 0% налога на прибыль, 0% НДС, 5% подоходный налог вместо 10%, взнос в Дирекцию ПВТ 1% от выручки. Режим бессрочный с 2024 года. Однако ПВТ-резидентство не освобождает от VASP-лицензии Финнадзора и всех связанных с ней комплаенс-требований.

На практике ПВТ-VASP сталкивается с двойной регуляторной нагрузкой: администрация ПВТ контролирует соответствие деятельности профилю резидента, Финнадзор — исполнение Закона о виртуальных активах. Внутренние регламенты должны учитывать оба вектора. Регистрация через администрацию ПВТ, затем учётная регистрация в ГНС в течение 5 дней и в течение 6 месяцев — постоянная регистрация. Для VASP к этому добавляется получение лицензии Финнадзора.

Уставный капитал для VASP-лицензии зависит от вида деятельности: криптобиржа требует 100 млн сомов (~1,15 млн долларов), обменник — 40 млн сомов (~460 тыс. долларов). ПВТ-резидентство не снижает эти пороги. Срок получения лицензии — в среднем 1–3 месяца на практике, официальный срок — около 1 месяца.

Для более детального понимания режима ПВТ — FAQ по ПВТ: бессрочный режим с ноября 2024 года. Налоговые аспекты майнинга в рамках и вне ПВТ разобраны в руководстве по налогу на майнинг в Кыргызстане.

Риски и последствия нарушения AML-требований

Финнадзор применяет меры реагирования в зависимости от тяжести нарушения. Предписание об устранении нарушений с установленным сроком — минимальная мера при технических недостатках документации. Приостановление лицензии — при системных нарушениях или неустранении предписания в срок. Отзыв лицензии — при грубых нарушениях, в том числе при отсутствии реального AML-контроля при формальном наличии политик.

Помимо регуляторных мер, нарушение требований ПОД/ФТ может повлечь уголовную ответственность руководителей VASP по нормам Уголовного кодекса КР. Уголовное преследование инициируется ГКНБ или МВД — как правило, по материалам расследования конкретных операций, а не по итогам плановых проверок Финнадзора.

Мораторий на проверки бизнеса не распространяется на уголовные дела. При возбуждении уголовного дела ГКНБ вправе провести обыск, изъять документацию и ограничить операции без предварительного уведомления. AML-документация в таком случае становится основным доказательством добросовестности руководства компании.

Выход участника из ОсОО при наличии действующей VASP-лицензии требует уведомления Финнадзора — изменение состава участников является лицензионным событием. Порядок этой процедуры описан в разборе о выходе участника из ОсОО в КР. Страница практики IT-право и виртуальные активы даёт полный обзор направления.

Чек-лист самопроверки перед аудитом

Используйте этот компактный список для быстрой самооценки перед внешним аудитом или проверкой Финнадзора. По каждому пункту ответьте: документ существует, актуален (дата не старше 12 месяцев), подписан уполномоченным лицом.

• AML/CFT-политика — версия с датой утверждения
• Данные AML-офицера переданы в Финнадзор
• KYC-процедура для физлиц с порогами верификации
• KYB-процедура для юрлиц с идентификацией бенефициаров
• Договор с сертифицированным AML/KYT-провайдером
• Технический протокол Travel Rule (OpenVASP / TRP / IVMS101)
• Правила мониторинга транзакций и матрица алертов
• Регламент подачи ОПО в ГСФР
• Процедура скрининга по санкционным спискам (ООН, OFAC, EU, ГСФР)
• Политика EDD для PEP и клиентов высокого риска
• Журнал обучения сотрудников (программа + список + тест)
• Политика хранения данных (5 лет, соответствие Закону об информации персонального характера)
• Отчёт независимого аудита AML-программы за последние 12 месяцев

Если хотя бы 3 пункта вызывают сомнение — состояние комплаенса требует немедленного внимания. Финнадзор при проверке запросит всё из этого списка.