AML/KYC для VASP в Кыргызстане: требования Финнадзора 2026

Что такое VASP по кыргызскому праву и кого касаются AML-требования?

VASP (Virtual Asset Service Provider) — это организация, которая на профессиональной основе оказывает услуги с виртуальными активами: обмен криптовалют, хранение активов на кастодиальных кошельках, перевод между адресами, управление портфелями или выпуск токенов. Закон «О виртуальных активах» с поправками «Тамчы» и последующими редакциями 2025 года распространяет AML-обязательства на всех лицензированных VASP без исключений — вне зависимости от объёма операций, числа клиентов или модели монетизации.

Под действие режима попадают криптобиржи с уставным капиталом от 100 млн сом, обменные пункты виртуальных активов с порогом от 40 млн сом, провайдеры кастодиальных кошельков, эмитенты токенов, предполагающих вторичное обращение, и операторы платёжных систем, интегрирующих криптовалютный рельс. Нелицензированная деятельность в этом сегменте квалифицируется как незаконное предпринимательство по Уголовному кодексу КР.

На практике ошибка, которую делают молодые проекты, — полагать, что AML-программа нужна только крупным биржам. Финнадзор в 2025 году отозвал лицензии у ряда VASP именно из-за дефектов AML-политик: отсутствия актуализированных процедур, номинального назначения ответственного офицера и нефункционирующего мониторинга транзакций. Регулятор оценивает не бумагу, а работающую систему.

Ссылки на смежные темы: Криптообменник в КР: лицензия Финнадзора от 40 млн сом и IT-право и виртуальные активы в Кыргызстане.

Какие документы обязан разработать VASP для прохождения AML-комплаенса?

Финнадзор проверяет не только наличие документов, но и их содержание: регулятор вправе запросить любой внутренний акт в ходе надзорных мероприятий. Базовый пакет AML-документации включает несколько обязательных уровней.

Первый уровень — политика AML/CFT: основной документ, описывающий цели программы, методологию оценки рисков, распределение ответственности, порядок обучения персонала и механизмы внутреннего контроля. Политика утверждается советом директоров или единственным участником ОсОО и пересматривается не реже одного раза в год, а также при каждом изменении требований регулятора.

Второй уровень — процедуры KYC (Know Your Customer): пошаговые инструкции для идентификации клиентов при открытии счёта, верификации личности, обновлении данных (KYC Refresh) и усиленной проверке (Enhanced Due Diligence, EDD). Для физических лиц — паспорт, ИНН, подтверждение адреса, источник средств. Для юридических лиц — корпоративные документы, реестр бенефициаров, документы на уполномоченных лиц, источник происхождения активов компании.

Третий уровень — процедуры мониторинга транзакций: описание логики триггеров, пороговые значения для ручного анализа, сроки рассмотрения алертов, порядок эскалации и документирования решений. Без этого блока AML-система является декларативной и не выдержит надзорной проверки.

Четвёртый уровень — процедуры отчётности в ГСФР: форматы, сроки и каналы подачи отчётов о подозрительных операциях (STR) и операциях, подлежащих обязательному контролю (CTR). Финнадзор вправе запросить журнал поданных STR — его отсутствие при наличии явно подозрительных транзакций в истории системы трактуется как нарушение.

Пятый уровень — программа обучения персонала: планы обучения, тестирование сотрудников, документация о прохождении курсов. Регулятор обращает внимание на то, обучены ли сотрудники фронт-офиса — именно они первыми контактируют с клиентами и принимают первичные решения об идентификации.

Как работает KYC на практике: уровни верификации и пороговые значения

KYC в VASP строится по риск-ориентированному принципу: объём проверки соответствует уровню риска, который клиент или операция несут для оператора. Финнадзор не предписывает единый стандарт идентификации для всех — он требует, чтобы VASP самостоятельно разработал матрицу рисков и закрепил её в процедурах.

Упрощённая проверка (Simplified Due Diligence, SDD) применяется к клиентам низкого риска: резидентам КР с верифицированным ИНН, небольшими транзакционными объёмами и прозрачным источником средств. На этом уровне достаточно базового паспортного скана и подтверждения ИНН. Срок обновления данных — раз в три года.

Стандартная проверка (Customer Due Diligence, CDD) охватывает основную массу клиентов. Помимо документов удостоверения личности требуется подтверждение адреса, декларация об источнике средств и заполненный профиль клиента. Для юридических лиц — полный корпоративный пакет плюс раскрытие бенефициарного владельца (UBO) вплоть до физического лица с долей контроля свыше 25%.

Усиленная проверка (Enhanced Due Diligence, EDD) обязательна для политически значимых лиц (PEP), клиентов из стран с высоким риском по списку FATF, при транзакциях свыше установленных пороговых значений и при любых признаках необычного поведения счёта. EDD предполагает интервью с клиентом, расширенный сбор документов, непрерывный мониторинг операций и обязательное одобрение старшим офицером по комплаенсу.

Travel Rule обязателен для всех VASP в Кыргызстане — это стандарт FATF Рекомендации 16. При каждом переводе виртуальных активов VASP-отправитель передаёт VASP-получателю идентификационные данные инициатора и бенефициара. Данные включают полное имя, номер счёта (адрес кошелька) и физический адрес либо дату и место рождения. Ключевой операционный вопрос — как передавать эти данные, если контрагент является неидентифицированным кошельком (unhosted wallet). Финнадзор ориентируется на подход FATF: для unhosted wallets при транзакциях выше порога требуется дополнительная идентификация владельца.

Travel Rule обязателен для всех VASP в Кыргызстане — без него лицензия под угрозой. На практике реализация требует подключения к одному из совместимых Travel Rule-протоколов (TRISA, OpenVASP, VerifyVASP или аналогов) — это технический вопрос, который решается до получения лицензии.

Роль AML-офицера: кто это и какова его реальная ответственность?

Каждый лицензированный VASP обязан назначить ответственного сотрудника по AML/CFT — compliance officer или AML-офицера. Это физическое лицо, персонально ответственное перед Финнадзором за состояние системы внутреннего контроля. Назначение фиксируется в уставных документах и уведомлении в регулятор.

Требования к кандидату включают наличие профильного образования (юридическое, финансовое или в сфере информационной безопасности), отсутствие судимостей, прохождение сертификации по AML/CFT. Финнадзор вправе признать кандидата несоответствующим требованиям и потребовать замены — это блокирует выдачу лицензии.

Функции AML-офицера охватывают три блока. Во-первых, разработку и актуализацию внутренней нормативной базы: политик, процедур, матриц рисков, форм отчётности. Во-вторых, операционный надзор: анализ алертов от AML/KYT-системы, принятие решений по подозрительным операциям, подача STR в ГСФР. В-третьих, взаимодействие с регуляторами: ответы на запросы Финнадзора, ГСФР, ГКНБ, подготовка материалов к проверкам.

На практике небольшие VASP часто совмещают роль AML-офицера с другими функциями — это допустимо при условии, что человек фактически выполняет обязанности. Номинальное назначение без реального вовлечения — одна из причин, по которым Финнадзор отзывал лицензии в 2025 году. Регулятор проводит собеседования с AML-офицером в ходе проверок и оценивает его фактическую осведомлённость о транзакционном профиле компании.

Личная ответственность AML-офицера: при установленном факте сокрытия подозрительной операции или непредставления STR офицер несёт административную ответственность, а при наличии умысла — уголовную по Уголовному кодексу КР. Это не переносит ответственность с юридического лица, но добавляет персональный риск.

AML/KYT-провайдер: требования и критерии выбора

Финнадзор требует подключения сертифицированного AML/KYT-провайдера — организации, которая осуществляет скрининг блокчейн-адресов и транзакций на предмет связи с незаконной деятельностью. Без договора с таким провайдером заявка на VASP-лицензию не принимается к рассмотрению.

KYT (Know Your Transaction) — это автоматизированный мониторинг каждого входящего и исходящего перевода. Система в режиме реального времени проверяет адреса по базам санкционных списков, даркнет-маркетплейсов, миксеров, ранее скомпрометированных кошельков и присваивает транзакции риск-скор. При превышении порогового значения система генерирует алерт для AML-офицера.

Критерии выбора провайдера по требованиям Финнадзора: покрытие основных блокчейнов (Bitcoin, Ethereum, Tron, BNB Chain и иных, поддерживаемых VASP), поддержка стейблкоинов (USDT, USDC) как отдельных объектов скрининга, совместимость выходных данных с форматом отчётности ГСФР, наличие API для интеграции в операционную систему VASP, круглосуточный мониторинг и документированная методология.

Провайдер должен обеспечивать генерацию отчётов для регулятора — Финнадзор и ГСФР могут запросить детальную историю скрининга по конкретным транзакциям или клиентам. Хранение данных: не менее пяти лет с момента завершения деловых отношений с клиентом.

Ошибка, которая встречается на практике: VASP выбирает провайдера исключительно по цене без проверки совместимости форматов. В результате AML/KYT-система технически работает, но данные из неё невозможно выгрузить в формате, который принимает ГСФР — и регулятор трактует это как отсутствие надлежащего мониторинга. Этот вопрос нужно решать до подачи лицензионного пакета.

Что такое Travel Rule и как его выполнять технически?

Travel Rule — требование FATF Рекомендации 16, обязывающее VASP передавать идентификационные данные инициатора и бенефициара при каждом переводе виртуальных активов выше установленного порога. Кыргызстан имплементировал это требование через Закон «О ПОД/ФТ» и регуляторные требования Финнадзора к VASP. Порог применения соответствует стандарту FATF.

Данные, передаваемые при Travel Rule, включают: полное имя инициатора перевода; номер счёта или адрес кошелька инициатора; физический адрес инициатора или дату и место рождения; аналогичный набор данных для бенефициара. Данные должны быть верифицированы VASP-отправителем в рамках KYC-процедур — передача непроверенных сведений не освобождает от ответственности.

Техническая реализация требует выбора Travel Rule-протокола. На рынке существует несколько совместимых решений: TRISA (открытый стандарт), VerifyVASP, Notabene, Sygna Bridge. Финнадзор не предписывает конкретный протокол, но требует, чтобы выбранное решение обеспечивало взаимодействие с другими VASP — в том числе иностранными, поскольку значительная часть транзакций кыргызских платформ имеет международный характер.

Проблема unhosted wallets (некастодиальных кошельков): при переводе на адрес, не принадлежащий лицензированному VASP, VASP-отправитель не имеет контрагента, которому можно передать Travel Rule-данные. Позиция Финнадзора — при транзакциях выше порога VASP обязан самостоятельно верифицировать владельца принимающего адреса или применить усиленный мониторинг операции. На практике это означает либо запрос у клиента подтверждения принадлежности адреса, либо применение процедуры EDD.

ПВТ-резидентство даёт экономию налоговой нагрузки около 80% против общего режима — но не освобождает от AML-обязательств: резидент ПВТ, получивший VASP-лицензию, полностью подпадает под требования Финнадзора.

Отчётность в ГСФР: какие операции подлежат обязательному контролю?

ГСФР (Государственная служба финансовой разведки при Министерстве финансов КР) — орган, в который VASP направляет отчёты о подозрительных и контролируемых операциях. Закон «О ПОД/ФТ» устанавливает двухуровневую систему отчётности: обязательный контроль (CTR) и добровольное сообщение о подозрительных операциях (STR).

Операции обязательного контроля — это транзакции, превышающие установленный пороговый размер, вне зависимости от наличия признаков подозрительности. VASP обязан направить CTR-отчёт в ГСФР в течение трёх рабочих дней с момента проведения операции. Форма отчёта — по формату ГСФР, с детальным описанием сторон, суммы, вида актива и цели операции.

Отчёт о подозрительной операции (STR) направляется при наличии любых оснований полагать, что операция связана с отмыванием денег, финансированием терроризма или уклонением от санкций — вне зависимости от суммы. Признаки подозрительности: нетипичный транзакционный профиль для данного клиента, поступление средств с адресов из санкционных баз, необычная структура транзакций (дробление, циклические переводы), несоответствие операций заявленной цели бизнеса клиента.

Срок подачи STR — не позднее трёх рабочих дней с момента выявления подозрительной операции. На практике при выявлении серьёзных признаков нужно приостановить операцию и немедленно уведомить ГСФР — задержка трактуется как нарушение. Запрет на «типпинг» (уведомление клиента о поданном STR) строго соблюдается: AML-офицер не вправе сообщать клиенту о факте отчётности.

Хранение документации по всем операциям, попавшим в CTR или STR, — не менее пяти лет. ГСФР и ГКНБ вправе запросить эти материалы в рамках расследования без судебного постановления.

Какие нарушения AML чаще всего приводят к отзыву лицензии VASP?

Финнадзор в 2025 году провёл масштабный надзорный цикл, в результате которого ряд VASP лишился лицензий. Анализ оснований позволяет выделить системные причины — они актуальны и в 2026 году.

Первое — отсутствие реально работающей AML-программы. Компания формально разрабатывала документы перед выдачей лицензии, но не внедряла их операционно. AML/KYT-система была подключена, но алерты не обрабатывались, журнал решений не вёлся, STR в ГСФР за весь период деятельности не подавались. Финнадзор квалифицировал это как системное нарушение Закона «О ПОД/ФТ».

Второе — номинальный AML-офицер. Назначенный сотрудник не мог на собеседовании описать транзакционный профиль компании, не знал пороговых значений и не участвовал в разработке внутренних документов. Регулятор признал назначение фиктивным.

Третье — несоответствие AML/KYT-провайдера требованиям. Провайдер не поддерживал скрининг стейблкоинов, которые составляли основной объём транзакций VASP. По факту значительная часть оборота не проходила AML-проверку.

Четвёртое — нарушение Travel Rule. VASP не передавал данные по исходящим переводам, ссылаясь на технические ограничения. Финнадзор не принял технические трудности в качестве оправдания — требование применяется с момента выдачи лицензии.

Пятое — непредставление документов по запросу регулятора. В ходе проверки компания не смогла предоставить историю KYC-верификаций за предшествующий период — данные не архивировались должным образом. Уничтожение или утрата AML-документации приравниваются к нарушению.

Мораторий на проверки бизнеса до 31.12.2026 не защищает от надзорных действий Финнадзора в части AML: лицензионный надзор над VASP является исключением из действия моратория.

Стейблкоины и RWA: новые требования после поправок 2025 года

Поправки к Закону «О виртуальных активах» 2025 года (в том числе блок «Тамчы» и последующие редакции) ввели регулирование стейблкоинов и токенов реальных активов (RWA) как отдельных категорий. Это повлекло обновление AML-требований для VASP, работающих с данными инструментами.

Стейблкоины — токены, привязанные к фиатной валюте или иному резервному активу — теперь подлежат отдельной категории KYC-верификации. VASP обязан идентифицировать не только владельца, но и источник фиатного обеспечения при операциях с алгоритмическими стейблкоинами. Для USDT, USDC и аналогов, обеспеченных реальными резервами, требования аналогичны требованиям к прочим виртуальным активам.

RWA-токены (токенизированные реальные активы: недвижимость, ценные бумаги, товарные контракты) создают дополнительный слой KYC-обязательств: верификация базового актива, подтверждение права собственности эмитента на актив и соответствие операций с токенами нормам об обороте ценных бумаг или недвижимости. Финнадзор ещё не выпустил детального руководства по RWA, однако общие AML-принципы применяются в полном объёме.

Криптовалюта по-прежнему не является средством платежа в КР — это ключевое ограничение: VASP не вправе позиционировать свои услуги как платёжный инструмент для расчётов между резидентами. Допустимые операции — обмен, хранение, перевод как инвестиционные или спекулятивные инструменты.

Платёжная лицензия НБКР и VASP-лицензия Финнадзора — разные документы для разных видов деятельности. Их смешение — типичная ошибка стартапов, пытающихся запустить крипто-фиат-конвертацию с расчётами.

Внутренний аудит AML и подготовка к проверке Финнадзора

Финнадзор проводит как плановые, так и внеплановые надзорные проверки VASP. Внеплановые могут быть инициированы жалобой, информацией от ГСФР или ГКНБ либо аномалиями в транзакционной отчётности. Готовность к проверке — это не разовое мероприятие, а постоянный операционный режим.

Внутренний AML-аудит рекомендуется проводить не реже одного раза в год силами независимого подразделения или привлечённого консультанта. Аудит охватывает четыре направления: соответствие внутренней нормативной базы актуальным требованиям регулятора; операционную эффективность KYC-процедур (выборочная проверка досье клиентов); корректность работы AML/KYT-провайдера и обработки алертов; полноту и своевременность отчётности в ГСФР.

При подготовке к проверке Финнадзора VASP должен обеспечить мгновенный доступ к нескольким массивам данных: реестр клиентов с историей KYC-верификаций; журнал транзакций с результатами AML/KYT-скрининга; журнал алертов с решениями AML-офицера; архив CTR и STR-отчётов, поданных в ГСФР; документация по обучению персонала; версионированная история внутренних политик и процедур.

Распространённая практика — проведение pre-audit за один-два месяца до ожидаемой плановой проверки. Это позволяет выявить и устранить дефекты до прихода регулятора. Вопросы, которые Финнадзор задаёт в первую очередь: сколько STR подано за последние 12 месяцев? Кто принимал решения по алертам? Какой провайдер AML/KYT и что включает его контракт?

Санкции Финнадзора за нарушения AML/KYC: от предписания до уголовного дела

Система санкций за нарушение AML-требований строится по принципу эскалации: от предписания об устранении нарушений до уголовного преследования. Понимание этой шкалы помогает оценить реальные риски.

Предписание об устранении нарушений — первичная мера при выявлении технических дефектов AML-программы: неактуальных документов, пробелов в KYC-досье, несвоевременно обработанных алертов. VASP получает срок для устранения — как правило, от 30 до 90 дней. Неисполнение предписания влечёт применение более жёстких мер.

Штраф — назначается при систематических нарушениях или при повторном выявлении тех же дефектов. Размер штрафа для юридических лиц определяется в расчётных показателях по Кодексу о правонарушениях КР — суммы существенны для небольшого VASP.

Приостановление лицензии — применяется при выявлении серьёзных нарушений Travel Rule, непредставлении документов по запросу регулятора, отсутствии AML-офицера. В период приостановления VASP не вправе проводить операции — это операционная смерть для действующей платформы.

Отзыв лицензии — финальная мера при системных нарушениях или при невыполнении условий предписания. Повторное получение лицензии после отзыва возможно, но практически крайне затруднено: регулятор применяет повышенный стандарт к заявителям с историей отзыва.

Уголовная ответственность наступает при доказанном сокрытии подозрительных операций, умышленном непредставлении STR или при установлении связи VASP с операциями по легализации доходов. ГКНБ и МВД вправе возбуждать уголовные дела независимо от позиции Финнадзора. Мораторий на проверки бизнеса не распространяется на уголовные дела — они продолжаются.

Ссылки: Валютное регулирование для IT-компаний в Кыргызстане; подробнее о корпоративной структуре VASP — в материале Выход участника из ОсОО в КР.