AML/KYC для VASP в Кыргызстане: требования Финнадзора 2026
Кыргызстан — одна из немногих постсоветских юрисдикций с действующим законом о виртуальных активах и работающим лицензионным режимом Финнадзора. Для IT-компаний и финтех-стартапов, планирующих VASP-деятельность в КР, требования AML/KYC — это не рекомендации, а обязательные лицензионные условия: нарушение ведёт к отзыву лицензии и уголовным рискам. Ниже — ответы на вопросы, которые чаще всего задают разработчики и операторы виртуальных активов по состоянию на 1 января 2026 г.
Что такое VASP и на кого распространяются требования AML/KYC в Кыргызстане?
VASP (провайдер услуг виртуальных активов) — любое юридическое лицо, которое в рамках бизнеса осуществляет обмен, перевод, хранение виртуальных активов или управление ими. В Кыргызстане действие Закона «О виртуальных активах» и требования Финнадзора распространяются на всех VASP, работающих на территории страны, — включая криптобиржи, обменники, кастодиальные кошельки и платформы токенизации активов. Исключений по размеру бизнеса нет: если компания оказывает хотя бы один вид VASP-услуг, она обязана соответствовать требованиям AML/KYC.
Нужна ли лицензия Финнадзора для работы как VASP в Кыргызстане?
Да, лицензия Финнадзора обязательна. Для криптобиржи минимальный уставный капитал — 100 млн сомов (около $1,15 млн), для обменника — 40 млн сомов (около $460 тыс.). Срок официального рассмотрения заявки составляет примерно один месяц, на практике — от одного до трёх месяцев. Лицензия выдаётся сроком на пять лет. Работа без лицензии квалифицируется как незаконная предпринимательская деятельность по Кодексу о правонарушениях КР, а при крупном ущербе — по Уголовному кодексу КР.
Каковы минимальные требования к AML-политике VASP?
AML-политика VASP должна включать: процедуры идентификации клиентов (KYC) и верификации бенефициарных владельцев; оценку риска клиентов и транзакций; порядок мониторинга подозрительных операций и направления сообщений в Государственную службу финансовой разведки (ГСФР); процедуры хранения данных не менее пяти лет; назначение ответственного офицера по ПОД/ФТ. Финнадзор при выдаче лицензии и плановых проверках верифицирует полноту и работоспособность каждого из этих элементов.
Что такое Travel Rule и как он применяется к VASP в Кыргызстане?
Travel Rule — стандарт FATF, обязывающий VASP при переводе виртуальных активов передавать данные об отправителе и получателе контрагенту-VASP. В Кыргызстане этот стандарт имплементирован через Закон «О ПОД/ФТ» и требования Финнадзора. Передаче подлежат: имя, идентификационный номер, адрес кошелька отправителя и аналогичные данные получателя. Отсутствие технической инфраструктуры для исполнения Travel Rule является основанием для отказа в выдаче лицензии или её последующего отзыва.
Обязательно ли подключаться к поставщику AML/KYT-услуг?
Да, Финнадзор требует от VASP использования сертифицированного поставщика AML/KYT-услуг для мониторинга блокчейн-транзакций. Это условие лицензирования, а не рекомендация. На практике VASP подключаются к международным платформам аналитики блокчейна. Собственная разработка инструментов мониторинга допустима, но требует отдельного согласования с Финнадзором и соответствия методологическим стандартам регулятора. Нарушение этого требования в 2025 году стало одной из основных причин массового отзыва лицензий Финнадзором.
Где должны располагаться серверы VASP, работающего в Кыргызстане?
Серверы VASP, имеющего лицензию Финнадзора, обязаны физически располагаться на территории Кыргызстана. Это требование закреплено в Законе «О виртуальных активах» и является лицензионным условием. Облачные решения с инфраструктурой за рубежом не соответствуют требованию, если основные узлы обработки данных находятся вне КР. Гибридная архитектура (резервные серверы за рубежом при основном в КР) обсуждается с Финнадзором в индивидуальном порядке и на момент публикации не стандартизирована.
Применяются ли к VASP требования по идентификации бенефициарных владельцев?
Да. VASP обязаны идентифицировать бенефициарного владельца (конечного выгодоприобретателя) при открытии счёта юридическому лицу. Порог: прямое или косвенное владение долей от 10% или иной контроль над принятием решений. Данные бенефициара хранятся не менее пяти лет. При невозможности установить бенефициара деловые отношения не устанавливаются — это прямое требование Закона «О ПОД/ФТ». Финнадзор при проверке запрашивает реестры клиентов с данными о бенефициарах и протоколы их верификации.
Какие транзакции VASP обязан считать подозрительными и что с ними делать?
Признаки подозрительных операций определяются внутренней AML-политикой на основе рекомендаций FATF и методологических указаний ГСФР. Типичные индикаторы: транзакции с адресами из санкционных списков, нетипичные суммы и частота, использование миксеров и анонимайзеров, несоответствие профиля клиента характеру операции. При выявлении подозрительной операции VASP обязан направить сообщение в ГСФР в срок, установленный действующим законодательством КР, и не раскрывать информацию клиенту — нарушение запрета tipping-off влечёт отдельную ответственность.
Распространяются ли требования AML/KYC на стейблкоины и токенизированные активы?
Да. После принятия поправок «Тамчы» и дополнений 2025 года регулирование охватывает стейблкоины, токенизированные реальные активы (RWA) и другие цифровые инструменты, которые соответствуют определению виртуального актива по Закону «О виртуальных активах». Различие между «оплатными», «утилитарными» и «инвестиционными» токенами влияет на применимые требования лицензирования, однако базовые AML/KYC-обязательства действуют для всех видов, если компания квалифицируется как VASP.
Может ли ПВТ-резидент работать как VASP без отдельной лицензии Финнадзора?
Нет. Статус резидента ПВТ предоставляет налоговые преференции — 0% налога на прибыль, 0% НДС, 5% подоходный налог, взнос 1% в Дирекцию ПВТ — но не заменяет лицензию Финнадзора для ведения VASP-деятельности. Компания может совмещать оба статуса. ПВТ-резидентство не освобождает от обязанности по AML/KYC. Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности, их не следует смешивать при планировании структуры бизнеса.
Какова ответственность за нарушение требований AML/KYC для VASP?
Финнадзор вправе выдать предписание об устранении нарушений, наложить административный штраф, приостановить или отозвать лицензию. В 2025 году регулятор провёл массовый отзыв лицензий у ряда VASP — в числе оснований дефекты AML-политик и отсутствие квалифицированного AML-офицера. При наличии признаков легализации преступных доходов материалы передаются в ГКНБ и Генеральную прокуратуру КР. Уголовная ответственность наступает по Уголовному кодексу КР при умысле и крупном размере операций.
Каков порядок прохождения проверки Финнадзора по AML-комплаенсу?
Финнадзор проводит документарные и выездные проверки. При документарной проверке регулятор запрашивает: AML-политику, процедуры KYC, реестр клиентов с риск-классификацией, сведения об AML-офицере, договор с поставщиком KYT-услуг, журнал подозрительных операций. При выездной проверке инспекторы также оценивают IT-инфраструктуру и фактическое исполнение политик. Мораторий на проверки бизнеса до 31.12.2026 на лицензионный надзор Финнадзора не распространяется — проверки продолжаются в штатном режиме.
Нужно ли VASP регистрировать AML-офицера в Финнадзоре?
Да. Назначение ответственного сотрудника по ПОД/ФТ (AML-офицера) — лицензионное требование. Данные офицера раскрываются Финнадзору при подаче заявки и при смене сотрудника. К кандидату предъявляются требования к квалификации: профильное образование или опыт в области финансового мониторинга, отсутствие судимостей. Совмещение должности AML-офицера с иными ключевыми позициями допустимо в небольших компаниях, однако регулятор рекомендует разделение функций для снижения конфликта интересов.
Как VASP должен работать с клиентами из стран высокого риска по спискам FATF?
Клиенты из юрисдикций, включённых FATF в «серый» или «чёрный» список, относятся к категории высокого риска. VASP обязан применять усиленную надлежащую проверку (Enhanced Due Diligence): расширенный сбор документов, установление источника средств, одобрение старшим менеджментом, повышенная частота мониторинга. Ведение бизнеса с клиентами из стран «чёрного» списка FATF фактически исключено — контрагентские VASP из таких юрисдикций не смогут пройти верификацию по Travel Rule.
Какие документы нужны для получения VASP-лицензии Финнадзора?
Стандартный пакет включает: учредительные документы ОсОО, подтверждение уставного капитала (от 100 млн сомов для биржи, от 40 млн сомов для обменника), бизнес-план с описанием услуг, AML/KYC-политику, IT-документацию с подтверждением расположения серверов в КР, сведения об AML-офицере, договор с поставщиком KYT-услуг, данные о бенефициарных владельцах. Финнадзор вправе запросить дополнительные документы — подготовка полного пакета занимает в среднем один-два месяца.
Материал носит информационный характер и не является юридической консультацией. Для решения конкретного вопроса обратитесь в юридическую фирму БЕКЕМ.
Актуально на: 1 января 2026 г.
Услуги БЕКЕМ по теме
Подробнее о комплаенс-требованиях для операторов виртуальных активов — в материале VASP-комплаенс в Кыргызстане: AML-политики и процедуры. Вопросы корпоративного структурирования сделок — в обзоре крупные сделки ОсОО в КР: одобрение и последствия нарушения. Для IT-компаний, работающих с иностранными заказчиками, — SaaS-контракт из Кыргызстана: 9 ключевых пунктов. Общий раздел аналитики — все материалы БЕКЕМ. Обзор цифрового права в КР — IT-право и виртуальные активы в Кыргызстане: ПВТ и VASP.
Право-300 · Best Lawyers · 1 000+ дел с 2009 года
Для IT-компании выбор между ПВТ, VASP-лицензией и структурой комплаенса зависит от модели выручки и географии клиентов. Каждый IT-проект — уникальная комбинация юрисдикции, лицензии и контрактной структуры. Разберём вашу на встрече.
Обсудить IT-проект