Руководство: AML/KYC для VASP в Кыргызстане: требования Финнадзора 2026

Шаг 1. Как определить тип VASP-лицензии и требования к капиталу?

Первый шаг — выбрать тип лицензии в соответствии с планируемой деятельностью. Финнадзор различает криптовалютные биржи (обмен одних виртуальных активов на другие, включая обмен на фиатные деньги) и обменники (конвертация виртуальных активов в фиатные и обратно без операций актив–актив). Разграничение влияет как на требования к капиталу, так и на объём AML-обязательств.

Для криптовалютной биржи минимальный уставный капитал составляет 100 млн сом — около $1,15 млн по текущему курсу. Для обменника — 40 млн сом, около $460 тыс. Капитал должен быть оплачен к моменту подачи документов в Финнадзор. Декларирование не принимается: требуется подтверждение от банка о зачислении средств на расчётный счёт.

Закон о виртуальных активах с поправками «Тамчы» и поправками 2025 года добавил новые категории активов — стейблкоины и токены с привязкой к реальным активам (RWA). Если ваш продукт работает со стейблкоинами или RWA-токенами, это влечёт дополнительные требования по KYC-верификации контрагентов и резервированию. Определите тип активов до подачи документов — от этого зависит структура AML-политики.

Перечень видов деятельности, требующих VASP-лицензии, расширился в 2025 году. Кастодиальные кошельки, брокерские услуги с виртуальными активами и некоторые модели DeFi-платформ теперь также подпадают под лицензирование. Если модель бизнеса пограничная — уточните позицию Финнадзора до начала корпоративной подготовки.

ПВТ-резидентство даёт экономию налоговой нагрузки около 80% против общего режима. Часть VASP оформляется как резиденты Парка высоких технологий КР: ставка налога на прибыль 0%, НДС 0%, подоходный налог 5% вместо 10%. Подробнее о налоговых режимах — в материале Парк высоких технологий КР: бессрочный режим с ноября 2024.

Шаг 2. Какие корпоративные документы потребует Финнадзор?

Финнадзор при рассмотрении заявки проверяет не только AML-документацию, но и всю корпоративную структуру заявителя. Дефект в учредительных документах или непрозрачная цепочка бенефициарного владения — самостоятельное основание для отказа. Подготовьте корпоративный блок параллельно с разработкой AML-политики, а не последовательно.

Стандартный корпоративный пакет включает: устав ОсОО, решение учредителей о создании, протокол о назначении директора, справку из Минюста о государственной регистрации, справку об оплате уставного капитала, сведения о бенефициарных владельцах с долей от 10%. Для иностранных учредителей потребуются апостилированные или нотариально переведённые документы страны регистрации. Регистрация ОсОО осуществляется через Минюст КР, срок — в среднем 5 рабочих дней.

Сведения о бенефициарах — отдельный чувствительный раздел. Финнадзор проверяет физических лиц, являющихся конечными владельцами через цепочку юридических лиц. Если в структуре есть офшорные холдинги, необходимо раскрыть всю цепочку до физического лица. Непредставление достоверных сведений о бенефициарах — нарушение требований ПОД/ФТ по Закону о ПОД/ФТ.

Технические требования касаются инфраструктуры: серверы VASP должны быть физически размещены в Кыргызстане. Финнадзор вправе запросить договор с дата-центром и IP-адресацию. Облачные решения допустимы, если основной сервер с базой данных клиентов находится в КР. Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности: если ваш продукт одновременно работает с фиатом и криптовалютой, может потребоваться обе.

Шаг 3. Как разработать AML/CFT-политику, которую примет Финнадзор?

AML/CFT-политика — центральный документ всего пакета. Финнадзор оценивает не формальное наличие документа, а его содержательность: соответствует ли политика реальной модели бизнеса, описаны ли конкретные процедуры, назначены ли ответственные лица. Шаблонные политики, скопированные из открытых источников, проходят проверку редко.

Обязательные разделы политики: цели и область применения; описание рисков отмывания денег и финансирования терроризма применительно к вашей модели; процедуры KYC (Know Your Customer) — идентификация и верификация клиентов; процедуры CDD (Customer Due Diligence) — стандартная проверка; процедуры EDD (Enhanced Due Diligence) — усиленная проверка для высокорисковых клиентов; мониторинг транзакций; сообщение о подозрительных операциях в уполномоченный орган — ГСФР (Государственную службу финансовой разведки при МФ КР); хранение документов не менее 5 лет; обучение персонала.

Назначение AML-офицера — отдельное обязательное требование. Это физическое лицо с профессиональной квалификацией в области ПОД/ФТ. Финнадзор вправе запросить его CV, подтверждение обучения и описание должностных обязанностей. AML-офицер не может совмещать эту функцию с коммерческими операционными должностями — конфликт интересов является нарушением.

Политика должна описывать работу со стейблкоинами отдельно, если ваш VASP их обрабатывает. По поправкам 2025 года стейблкоины с привязкой к фиату и RWA-токены отнесены к отдельной категории виртуальных активов с повышенными требованиями к резервированию и KYC. Если продукт запускается без этого блока, а впоследствии добавляет работу со стейблкоинами — потребуется уведомление Финнадзора и обновление политики.

Скрининг по санкционным спискам — обязательная составляющая KYC. VASP в Кыргызстане проверяет клиентов и контрагентов по спискам ООН, OFAC и локальным спискам ГСФР. Скрининг должен быть автоматизирован и работать в режиме реального времени при онбординге и при каждой значимой транзакции.

Шаг 4. Подключение AML/KYT-провайдера: что требует регулятор?

Финнадзор обязывает VASP подключиться к внешнему AML/KYT-провайдеру — это требование не заменяется внутренними процедурами, а дополняет их. KYT (Know Your Transaction) — это мониторинг блокчейн-транзакций в реальном времени с присвоением рисковых оценок адресам и цепочкам переводов.

Провайдер должен быть признан Финнадзором или соответствовать его техническим требованиям. На практике используются решения, интегрированные с FATF-совместимыми реестрами рисковых адресов. Договор с провайдером входит в пакет документов для лицензирования. Финнадзор в 2025 году отозвал лицензии у ряда VASP — причина в дефектах AML-политик, в том числе в формальном подключении к KYT-провайдеру без реальной интеграции в процессы мониторинга.

Технически интеграция предполагает: API-подключение к KYT-системе; настройку автоматических алертов при высокорисковых транзакциях; процедуру рассмотрения алертов (alert management); документирование решений по каждому alert. Финнадзор при проверке запрашивает лог алертов и протоколы их рассмотрения — это прямой способ убедиться, что система работает, а не существует на бумаге.

Бюджет на KYT-провайдера существенно варьируется в зависимости от объёма транзакций. Для небольшого обменника с оборотом до $500 тыс. в месяц годовая стоимость подписки у крупных провайдеров ориентировочно составляет $15 000–40 000. Для биржи с большим объёмом стоимость рассчитывается индивидуально. Это нужно учесть при формировании бизнес-плана ещё до подачи заявки.

Шаг 5. Как выполнить требования Travel Rule?

Travel Rule в Кыргызстане применяется в соответствии со стандартами FATF. VASP при переводе виртуальных активов от установленного порогового значения обязан передавать информацию об отправителе и получателе вместе с транзакцией. Несоблюдение этого требования является самостоятельным основанием для отзыва лицензии.

Передаваемые данные об отправителе включают: имя, номер счёта (адрес кошелька), адрес (или другой идентификатор — дата рождения, национальный ID). Для получателя — имя и номер счёта. Эти данные должны быть доступны для Финнадзора и ГСФР по запросу. Хранение — не менее 5 лет.

Технически Travel Rule реализуется через протокол IVMS 101 (Interoperability Standard for Virtual Asset Service Providers) или совместимые решения. На рынке доступны специализированные Travel Rule-протоколы, интегрирующиеся с большинством основных блокчейнов и бирж. Выбор конкретного протокола зависит от партнёрской сети вашего VASP — убедитесь, что ваши ключевые контрагенты используют совместимое решение.

Транзакции с нелицензированными VASP или анонимными кошельками требуют EDD-процедур. Если контрагент не может подтвердить Travel Rule-совместимость, VASP вправе отказать в проведении операции. Фиксируйте такие отказы документально — это защита при регуляторной проверке. Travel Rule обязателен для всех VASP в Кыргызстане — без него лицензия под угрозой.

Шаг 6. Как подать документы в Финнадзор и пройти проверку?

Документы подаются в Финнадзор (fsa.gov.kg) в бумажном и электронном виде. Перечень документов утверждён внутренними регламентами Службы и может уточняться — рекомендуем запросить актуальный список перед подачей. Стандартный пакет: учредительные документы ОсОО, сведения о бенефициарах, AML/CFT-политика, договор с KYT-провайдером, описание технической инфраструктуры, бизнес-план, документы об уплате уставного капитала, CV и квалификационные документы AML-офицера и руководителей.

Официальный срок рассмотрения — около 1 месяца. На практике процедура занимает от 1 до 3 месяцев: Финнадзор направляет запросы на уточнение или дополнение документов, каждый раунд запросов удлиняет процедуру. Подготовьте полный пакет с первой подачи — это сокращает общий срок.

После подачи Финнадзор проводит проверку документов и при необходимости — выездную проверку технической инфраструктуры. На этом этапе проверяется физическое наличие серверов в КР, работоспособность KYT-интеграции и соответствие реальных процессов описанным в политике. Замечания фиксируются в письменном виде; у заявителя есть срок для их устранения.

Лицензия выдаётся сроком на 5 лет. После получения VASP обязан уведомлять Финнадзор об изменениях в структуре собственности, смене AML-офицера, существенных изменениях в бизнес-модели. Незамедлительного уведомления требуют факты подозрительных транзакций, поданных в ГСФР, и санкционные совпадения при скрининге.

Подробнее о нормативной базе VASP-регулирования — в материале Закон о виртуальных активах КР: основные нормы. Если вы одновременно рассматриваете регистрацию операционного ОсОО — документы и сроки описаны в материале Документы для регистрации ОсОО в Минюсте Кыргызстана.

Шаг 7. Как выстроить постлицензионный KYC-комплаенс?

Получение лицензии — начало, а не финал комплаенс-процесса. Финнадзор проводит плановые и внеплановые проверки действующих VASP. Основание для внеплановой проверки — жалоба, подозрительная активность, информация от ГСФР или зарубежных регуляторов. Мораторий на проверки бизнеса, действующий до 31.12.2026, не распространяется на надзор Финнадзора — это прямое исключение из общего правила.

KYC-процедура при онбординге клиента включает три уровня. Базовый (Tier 1): имя, дата рождения, гражданство, идентификационный документ — для клиентов с лимитом операций до установленного порога. Стандартный (Tier 2): дополнительно — адрес проживания, источник средств, верификация документа через liveness-check — для клиентов с операциями выше порога. Усиленный EDD (Tier 3): источник состояния, деловые отношения, онсайт-верификация — для PEP (политически значимых лиц), клиентов из высокорисковых юрисдикций и при превышении установленных порогов.

Периодический пересмотр клиентских досье обязателен. Минимальная частота для стандартных клиентов — раз в год, для высокорисковых — раз в полгода. Досье должно содержать актуальные документы: просроченный паспорт в клиентском досье — нарушение, фиксируемое при проверке.

Внутренний аудит AML-системы должен проводиться не реже одного раза в год. Результаты фиксируются в отчёте, который хранится и предоставляется по запросу Финнадзора. Отчёт внутреннего аудита — один из первых документов, которые запрашивает регулятор при проверке действующего VASP.

Обучение персонала — не формальность. Сотрудники, работающие с клиентами и транзакциями, должны знать признаки подозрительных операций, процедуру подачи внутреннего сообщения AML-офицеру и правила хранения данных. Финнадзор вправе провести тестирование персонала при выездной проверке. Зафиксированная некомпетентность сотрудников является отягчающим обстоятельством при наложении санкций.

Чек-лист: готовность VASP к проверке Финнадзора

Перед подачей документов и перед каждой плановой проверкой проверьте полноту следующих элементов системы:

• Уставный капитал оплачен и подтверждён банковской справкой (100 млн сом для биржи / 40 млн сом для обменника)
• Серверы с базой данных клиентов физически размещены в Кыргызстане
• AML/CFT-политика актуальна, охватывает стейблкоины и RWA-токены (если применимо)
• AML-офицер назначен, его квалификация подтверждена, нет конфликта интересов
• Договор с внешним KYT-провайдером действующий, интеграция функционирует
• Travel Rule-протокол внедрён, данные об отправителе/получателе передаются при операциях от порога
• Скрининг по санкционным спискам (ООН, OFAC, ГСФР) автоматизирован
• KYC разделён на уровни (Tier 1 / Tier 2 / EDD), процедуры описаны в политике
• Клиентские досье актуальны, документы не просрочены
• Лог алертов от KYT-провайдера ведётся, решения по каждому alert задокументированы
• Сообщения в ГСФР о подозрительных операциях подаются своевременно
• Внутренний AML-аудит проведён в последние 12 месяцев, отчёт хранится
• Персонал прошёл AML-обучение, документация об обучении хранится
• Сведения о бенефициарных владельцах в Финнадзоре актуальны