Руководство: VASP-комплаенс в Кыргызстане: AML-политики и процедуры

Шаг 1. Какую деятельность считать VASP и какая лицензия нужна?

VASP (Virtual Asset Service Provider) — оператор виртуальных активов, который предоставляет услуги третьим лицам: обмен, перевод, хранение, организацию торговли. Закон «О виртуальных активах» (с поправками «Тамчы» и поправками 2025 года) определяет несколько типов деятельности, каждый из которых требует отдельного разрешения Финнадзора.

Для криптобиржи минимальный уставный капитал составляет 100 млн сом (около $1,15 млн). Для обменника виртуальных активов — 40 млн сом (около $460 тыс.). Кастодиальные кошельки, брокерские услуги и передача виртуальных активов также входят в периметр регулирования. Если проект совмещает несколько видов деятельности, Финнадзор рассматривает их совокупно и применяет требования по наиболее строгому профилю.

Платёжная лицензия НБКР и VASP-лицензия Финнадзора — это разные документы для разных видов деятельности. Компания, занимающаяся расчётами в фиатных валютах и одновременно работающая с криптовалютой, может нуждаться в обеих. Смешение регуляторных периметров — одна из самых распространённых ошибок на этапе планирования.

До начала любых действий определите точный операционный профиль: какие услуги оказываются, в каком объёме, с какими клиентами и в каких юрисдикциях. Это определит весь последующий комплаенс-пакет.

Шаг 2. Корпоративная структура: что требует Финнадзор?

Финнадзор лицензирует только юридических лиц, зарегистрированных в Кыргызстане. Иностранная компания не может получить VASP-лицензию напрямую — необходимо учредить ОсОО или АО через Минюст КР.

Регистрация ОсОО в Минюсте занимает в среднем 5 рабочих дней, госпошлина — 570 сом. Уставный капитал в требуемом размере должен быть внесён до подачи лицензионного заявления. После регистрации компания встаёт на учёт в налоговых органах, открывает расчётный счёт в кыргызском банке и изготавливает печать.

Ключевые корпоративные требования для VASP: назначение комплаенс-офицера (AML-ответственного) — штатного сотрудника с соответствующей квалификацией; утверждение органа управления, члены которого проходят проверку деловой репутации; раскрытие структуры бенефициарного владения вплоть до физических лиц с долей от 10%. Финнадзор вправе отказать в лицензии, если лицо в управлении имеет судимость за экономические преступления или находится в санкционных списках.

Если компания планирует совмещать VASP-деятельность с резидентством ПВТ, структура строится в два этапа: сначала регистрация ОсОО, затем параллельная подача в Дирекцию ПВТ и в Финнадзор. ПВТ-резидентство даёт экономию налоговой нагрузки около 80% против общего режима — ставки 0% НП, 0% НДС, 5% НДФЛ и 1% в Дирекцию.

Шаг 3. Какие AML-документы нужно подготовить?

Пакет внутренней документации — центральный элемент лицензионного досье. Финнадзор проверяет не только наличие документов, но и их содержательность: шаблонные политики без адаптации к операционной модели компании становятся основанием для отказа или последующего отзыва лицензии.

Обязательные документы включают: AML/ПОД-программу (программа противодействия отмыванию денег и финансированию терроризма); процедуры KYC (идентификация физических лиц) и KYB (верификация юридических лиц); политику мониторинга транзакций с описанием пороговых значений и триггеров для подозрительных операций; политику реализации Travel Rule; политику управления комплаенс-рисками; порядок хранения и защиты персональных данных в соответствии с Законом «Об информации персонального характера».

AML-программа описывает: категории клиентов и их риск-профили, процедуры Enhanced Due Diligence (EDD) для высокорисковых клиентов, порядок взаимодействия с ГСФР при выявлении подозрительных операций, порядок обучения персонала (не реже одного раза в год). Программа утверждается советом директоров и подписывается руководителем компании.

Политика KYC для физических лиц фиксирует обязательные идентификационные данные (ИНН или аналог иностранного государства, паспортные данные, адрес проживания), порядок верификации документов, применение санкционного скрининга и скрининга PEP (политически значимых лиц) при каждой онбординге и периодически в ходе отношений. KYB для юридических лиц добавляет раскрытие UBO (бенефициарных владельцев) и анализ корпоративной структуры.

Все документы оформляются на русском языке; при необходимости — на кыргызском. Финнадзор вправе запросить нотариально заверенный перевод отдельных документов, если часть пакета подготовлена на иностранном языке.

Шаг 4. Travel Rule: как реализовать на практике?

Travel Rule обязывает VASP при каждом переводе виртуальных активов передавать информацию об отправителе и получателе контрагенту-VASP. Это стандарт FATF Рекомендации 16, применяемый в Кыргызстане ко всем лицензированным операторам. Отсутствие реализации Travel Rule — одна из задокументированных причин отзыва лицензий Финнадзором в 2025 году.

На практике реализация включает три компонента. Первый — техническая интеграция с протоколом передачи данных (IVMS 101 или аналог). Второй — процедуры верификации VASP-контрагента: убедиться, что принимающий оператор является лицензированным VASP, а не частным кошельком. Третий — политика обработки переводов в/из неидентифицированных кошельков (unhosted wallets): такие транзакции по умолчанию требуют EDD.

Порог, с которого применяется Travel Rule, в кыргызском регулировании привязан к эквиваленту суммы в соответствии с требованиями Закона «О ПОД/ФТ». Транзакции ниже порога также должны фиксироваться, но с упрощённым набором данных. Технически передача данных реализуется через API-интеграцию с провайдером Travel Rule-решений или через отраслевой протокол.

Внутренняя политика Travel Rule описывает: алгоритм действий при невозможности идентификации VASP-контрагента (отказ от транзакции или задержка до получения данных), порядок хранения данных (не менее 5 лет), порядок реагирования на запросы ГСФР. Политика согласовывается с AML-программой и не должна ей противоречить.

Шаг 5. Как подключить AML/KYT-провайдера?

Финнадзор требует от каждого VASP наличия обязательного поставщика AML/KYT-услуг (Know Your Transaction). KYT — это автоматический мониторинг блокчейн-транзакций на предмет связи с санкционными адресами, адресами из «тёмных» рынков, миксерами и иными высокорисковыми источниками. Подключение такого провайдера должно быть завершено до подачи лицензионного заявления.

При выборе провайдера VASP должен убедиться в следующем: провайдер покрывает те блокчейны, с которыми работает компания; система выдаёт оценку риска транзакции (risk score) в режиме реального времени или с минимальной задержкой; провайдер предоставляет документацию, подтверждающую методологию скрининга, для предъявления Финнадзору. Договор с провайдером включается в пакет документов для лицензирования.

Данные KYT-скрининга хранятся компанией и предоставляются ГСФР по запросу. Политика реагирования на алерты описывает: пороговые значения risk score, при которых транзакция автоматически блокируется; порядок ручной проверки транзакций с промежуточным score; порядок направления сообщения о подозрительной операции (СПО) в ГСФР.

Криптовалюты не признаются средством платежа в Кыргызстане, однако операции с ними полностью подпадают под режим ПОД/ФТ. Это означает, что требования к скринингу применяются в полном объёме вне зависимости от того, квалифицируется ли актив как платёжное средство.

Шаг 6. Техническая инфраструктура: требования к серверам

Серверы VASP обязаны физически находиться в Кыргызстане. Это требование действующего регулирования, и Финнадзор проверяет его соблюдение как на этапе выдачи лицензии, так и в ходе надзорных мероприятий. Использование облачных решений с серверами за рубежом без локального резервного хранилища — нарушение лицензионных условий.

Технические требования включают: организацию резервного копирования данных с заданной периодичностью; защиту персональных данных клиентов в соответствии с Законом «Об информации персонального характера»; систему управления инцидентами информационной безопасности; журналы операций и транзакций с возможностью восстановления данных за период не менее 5 лет.

Отдельный блок — хранение KYC-документов. Первичные документы клиентов (паспорта, подтверждение адреса, документы KYB) хранятся в зашифрованном виде с разграниченным доступом. Порядок уничтожения документов после истечения срока хранения фиксируется во внутренней политике защиты данных.

На практике большинство кыргызских VASP арендуют мощности в местных дата-центрах и дублируют их в резервном дата-центре на территории КР. Договоры аренды серверных мощностей с указанием физических адресов объектов включаются в пакет документов для Финнадзора.

Шаг 7. Подача заявки в Финнадзор: состав пакета

Финнадзор рассматривает лицензионные заявки по перечню, установленному в рамках регулирования на основе Закона «О виртуальных активах». Неполный пакет возвращается без рассмотрения — это продлевает процесс на срок, необходимый для устранения замечаний.

Стандартный состав пакета: нотариально заверенные копии учредительных документов ОсОО; свидетельство о государственной регистрации; документы, подтверждающие оплату уставного капитала (выписка с расчётного счёта); бизнес-план с описанием операционной модели, продуктов, целевых рынков и прогнозом финансовых показателей; полный пакет AML/KYC-политик (см. Шаг 3); договор с KYT-провайдером; сведения о членах органов управления (паспортные данные, резюме, справки об отсутствии судимости); сведения о бенефициарных владельцах с долей от 10%; документы, подтверждающие наличие серверов на территории КР; техническое описание платформы.

Если часть документов выдана иностранными органами, они должны быть легализованы (апостиль) и нотариально переведены на русский язык. Финнадзор вправе запрашивать дополнительные материалы в ходе рассмотрения — каждый запрос продлевает срок на период получения ответа.

Официальный срок рассмотрения — около 1 месяца. На практике с учётом запросов и доработок процесс занимает 1–3 месяца. Госпошлина за рассмотрение заявки уплачивается согласно действующему законодательству КР.

Шаг 8. Операционный комплаенс: что происходит после получения лицензии?

Получение VASP-лицензии сроком 5 лет — это начало, а не завершение комплаенс-работы. Финнадзор проводит надзорные мероприятия в отношении действующих лицензиатов; нарушения, выявленные в ходе надзора, могут повлечь предписание об устранении, приостановление или отзыв лицензии.

Обязательные элементы операционного комплаенса: регулярные тренинги персонала по AML/ПОД/ФТ (не реже одного раза в год для всех сотрудников, имеющих доступ к клиентским операциям); ежегодный внутренний аудит комплаенс-программы с подготовкой письменного отчёта; обновление AML-политик при изменении регуляторных требований или операционной модели; своевременная отчётность в ГСФР (сообщения о подозрительных операциях, пороговых транзакциях); мониторинг обновлений санкционных списков и PEP-баз.

Отдельный блок — управление стейблкоинами и токенизированными активами. Поправки 2025 года к Закону «О виртуальных активах» расширили периметр регулирования на стейблкоины и RWA (токенизированные реальные активы). VASP, работающие с этими инструментами, обязаны применять к ним те же AML-процедуры, что и к иным виртуальным активам, с учётом специфики рисков конкретного инструмента. Подробнее о налогообложении цифровых компаний читайте в материале Налоги в ПВТ Кыргызстана: 0% прибыль, 0% НДС, 5% подоходный.

Travel Rule применяется непрерывно: к каждой транзакции, соответствующей пороговому значению. Периодическая верификация VASP-контрагентов — не реже одного раза в квартал. Данные о переводах хранятся не менее 5 лет и предоставляются по запросу ГСФР или Финнадзора.

Чек-лист: VASP-комплаенс в Кыргызстане

• Определён операционный профиль и тип VASP-лицензии (биржа / обменник / кастодиальный кошелёк)
• Внесён уставный капитал: 100 млн сом для биржи, 40 млн сом для обменника
• ОсОО зарегистрировано через Минюст КР
• Назначен комплаенс-офицер (AML-ответственный) с подтверждённой квалификацией
• Утверждена AML-программа советом директоров
• Разработаны процедуры KYC (физические лица) и KYB (юридические лица)
• Разработана политика мониторинга транзакций с пороговыми значениями
• Разработана и реализована политика Travel Rule
• Заключён договор с KYT-провайдером, интегрирован скрининг транзакций
• Серверы физически расположены в Кыргызстане (договоры с дата-центрами)
• Подготовлена политика защиты персональных данных
• Бизнес-план для лицензионного досье подготовлен
• Документы о бенефициарных владельцах и органах управления собраны
• Полный пакет подан в Финнадзор
• После получения лицензии: тренинги персонала, ежегодный аудит, отчётность в ГСФР

Для актуальных требований к валютному регулированию для IT-компаний и специфике корпоративных сделок с иностранным элементом рекомендуем материал M&A в Кыргызстане: порядок сделки и антимонопольное согласование.