Travel Rule для криптокомпаний в Кыргызстане: внедрение

Что такое Travel Rule и откуда он взялся?

Travel Rule сформировался как реакция международного сообщества на использование криптоактивов для отмывания денег и финансирования терроризма. Группа разработки финансовых мер FATF в 2019 году распространила на провайдеров услуг виртуальных активов требования, ранее применявшиеся только к банкам и платёжным системам: при переводе средств выше установленного порога VASP обязан передавать следующему участнику цепочки набор сведений об отправителе и получателе. Порог по стандарту FATF — 1 000 долларов США или эквивалент.

Суть требования проста: деньги «путешествуют» с информацией о владельце — отсюда и название. В традиционных финансах этот принцип работает через SWIFT и корреспондентские счета. В криптоиндустрии техническая реализация сложнее: блокчейн-адреса анонимны по своей природе, передача данных о пользователях требует дополнительной инфраструктуры — отдельных протоколов и программных решений.

Для кыргызского рынка это означает, что каждый VASP, обрабатывающий транзакции выше порога, должен встроить в свои операционные процессы механизм сбора, проверки и передачи персональных данных — до момента исполнения транзакции, а не после. Это разрыв с привычной логикой криптопереводов, где транзакция подтверждается в сети автоматически.

Финнадзор, выдавший к 2025 году несколько десятков VASP-лицензий, зафиксировал: большинство операторов имели формальные AML-политики с упоминанием Travel Rule, но технических систем для его исполнения не выстроили. Именно это стало одной из главных причин волны отзывов лицензий.

Как выглядит регулирование Travel Rule в Кыргызстане?

Кыргызстан имплементировал требования Travel Rule через Закон о виртуальных активах и подзаконные акты Финнадзора. Обязательства носят комплексный характер: они затрагивают как технические аспекты работы платформы, так и требования к внутренним политикам и документации.

Ключевые элементы регулирования в КР:

• Идентификация отправителя и получателя при переводах выше порогового значения (ориентир — 1 000 долларов или эквивалент).
• Передача данных VASP-контрагенту до или в момент исполнения транзакции.
• Хранение переданных и полученных данных в течение срока, установленного законодательством КР о ПОД/ФТ.
• Применение Enhanced Due Diligence при переводах в адрес VASP из юрисдикций без имплементации Travel Rule или из юрисдикций, включённых в списки FATF.
• Наличие документированной политики работы с самохостируемыми кошельками (unhosted wallets).

Финнадзор при лицензировании проверяет не только наличие соответствующих разделов в AML-политике, но и техническую готовность к исполнению: системы сбора KYC-данных, интеграцию с KYT-провайдером, журналы передачи данных. По сложившейся практике проверок, формальная политика без технической реализации приравнивается к отсутствию соответствия требованиям.

После принятия поправок «Тамчы» регулирование распространилось на стейблкоины и токены RWA. Travel Rule применяется к ним в полном объёме — так же, как к биткоину и эфиру. Это расширяет круг субъектов обязательства: платформы, работающие исключительно со стейблкоинами, не освобождены от требований.

Отдельный блок — взаимодействие с ГСФР (Государственной службой финансовой разведки). VASP обязан направлять в ГСФР сообщения о подозрительных операциях, в том числе о транзакциях, по которым не удалось получить требуемые данные от контрагента. Это создаёт петлю ответственности: неполучение данных по Travel Rule само по себе является основанием для сообщения в ГСФР.

Каков порядок передачи данных на практике?

Технически передача данных по Travel Rule происходит через специализированные протоколы межоператорского обмена. Ни SWIFT, ни стандартные API криптобирж для этого не предназначены — требуется отдельная инфраструктура. На рынке сложилось несколько подходов.

Первый — использование готовых платформ: Notabene, Sygna Bridge, Shyft Network, OpenVASP. Они обеспечивают маршрутизацию данных между VASP, шифрование передаваемых сведений и хранение логов. Финнадзор не обязывает использовать конкретное решение, однако при проверке запросит доказательство реальной передачи данных — журналы с временными метками, свидетельства интеграции.

Второй подход — внутренняя разработка интеграционного слоя. Крупные платформы с собственными инженерными командами иногда строят собственные решения. Это допустимо, но создаёт дополнительную регуляторную нагрузку: внутреннее решение должно пройти аудит и быть задокументировано в соответствии с требованиями Финнадзора.

Пошаговая логика исполнения Travel Rule при переводе выглядит следующим образом:

• Клиент инициирует перевод → VASP-отправитель проверяет, превышает ли сумма порог.
• Если превышает — VASP-отправитель собирает данные об отправителе из KYC-базы и запрашивает данные о получателе.
• VASP-отправитель определяет VASP-получателя (через реестры VASP или скрининг адреса).
• Данные передаются VASP-получателю через выбранный протокол до или в момент исполнения транзакции в блокчейне.
• VASP-получатель верифицирует полученные данные и сопоставляет с данными своего клиента.
• Оба VASP хранят записи о передаче в соответствии с требованиями закона о ПОД/ФТ.

Проблема возникает на третьем шаге: определить, является ли адрес-получатель кошельком другого VASP или самохостируемым кошельком, технически непросто. Для этого используются KYT-сервисы (Know Your Transaction) — Chainalysis, Elliptic, TRM Labs. Финнадзор требует наличия обязательного поставщика AML/KYT-услуг в инфраструктуре каждого VASP. Этот поставщик должен быть отражён в AML-политике и договоре.

Если адрес идентифицирован как самохостируемый кошелёк, включается отдельная процедура: VASP должен верифицировать принадлежность кошелька своему клиенту (ownership verification) — через подпись транзакции малой суммой или иной криптографический метод. Без верификации транзакция фиксируется как высокорисковая и может потребовать сообщения в ГСФР.

Какие риски несёт VASP при ненадлежащем исполнении?

Ненадлежащее исполнение Travel Rule создаёт многоуровневую систему рисков: регуляторные, операционные и уголовно-правовые. Они не исключают друг друга — одна недостаточно задокументированная транзакция может запустить цепочку последствий на каждом из уровней.

Регуляторные последствия — наиболее очевидные. Финнадзор вправе выдать предписание об устранении нарушений, приостановить действие лицензии или инициировать её отзыв. В 2025 году Финнадзор использовал этот инструмент массово: ряд VASP потерял лицензии именно из-за дефектов AML-политик, куда входило и несоответствие требованиям Travel Rule. Восстановление отозванной лицензии — отдельная сложная процедура с неопределёнными сроками.

Операционные риски связаны с контрагентами. Крупные иностранные VASP — криптобиржи, кастодианы, платёжные шлюзы — проводят собственный скрининг партнёров. VASP без подтверждённой Travel Rule-инфраструктуры рискует быть исключён из корреспондентских отношений. Это означает потерю доступа к ликвидности и невозможность обрабатывать транзакции с определёнными юрисдикциями.

Уголовно-правовые риски формируются при систематическом нарушении требований ПОД/ФТ. Закон о ПОД/ФТ предусматривает административную и уголовную ответственность за умышленное уклонение от выполнения обязательств по идентификации и передаче данных. Уголовный кодекс КР содержит составы, связанные с легализацией преступных доходов, — они применимы к должностным лицам VASP, сознательно игнорировавшим требования.

Финансовые потери складываются не только из штрафов: затраты на юридическое сопровождение, аудит и перестройку инфраструктуры после выявленных нарушений на практике превышают стоимость превентивного внедрения Travel Rule в несколько раз. Travel Rule-инфраструктура, выстроенная до начала операций, обходится значительно дешевле, чем её экстренная достройка под давлением регулятора.

Специфический риск для платформ, работающих со стейблкоинами и токенами RWA, — отсутствие чётких маппингов между эмитентом токена и VASP-статусом. Если платформа обрабатывает переводы стейблкоинов между кошельками клиентов, не применяя Travel Rule, она нарушает требования даже в случаях, когда считает себя «просто кастодианом».

Как соотносятся Travel Rule и требования AML/KYC?

Travel Rule — это один из компонентов более широкой AML/KYC-системы, но не её замена. Путаница между этими уровнями характерна для платформ, выстраивающих комплаенс самостоятельно без юридического сопровождения.

KYC (Know Your Customer) — это верификация личности клиента при регистрации на платформе. Финнадзор требует как минимум базовую верификацию: имя, документ, удостоверяющий личность, адрес. Расширенная верификация применяется при превышении оборотных порогов или при высокорисковых операциях. KYC — это входные данные, без которых Travel Rule технически невозможен: нельзя передать данные об отправителе, которых нет в базе.

AML (Anti-Money Laundering) — это система мониторинга транзакций на предмет подозрительности. KYT-сервисы анализируют историю блокчейн-адресов, выявляют связи с известными мошенническими схемами, даркнет-маркетплейсами, смесителями. Результат KYT-скрининга влияет на решение о проведении транзакции и на необходимость сообщения в ГСФР.

Travel Rule занимает промежуточное место: он активируется уже после прохождения KYC (данные об отправителе известны) и до или параллельно с AML-скринингом транзакции. Последовательность выглядит так: KYC (кто клиент?) → Travel Rule (кому и с какими данными отправляем?) → AML/KYT (чист ли адрес получателя?).

На практике эти три слоя должны быть интегрированы в единый технологический процесс, а не существовать как разрозненные модули. Финнадзор при проверке запрашивает сквозную документацию: от регистрации клиента до завершения транзакции с отражением каждого шага контроля. Разрывы в этой цепочке — например, KYC без интеграции с Travel Rule-протоколом — квалифицируются как системное нарушение.

Для ПВТ-резидентов в сфере цифровых активов требования идентичны: статус резидента Парка высоких технологий даёт налоговые льготы (0% налог на прибыль, 0% НДС, 5% подоходный налог), но не освобождает от AML/KYC/Travel Rule-обязательств. VASP-лицензия Финнадзора и ПВТ-статус — это параллельные треки, которые необходимо выстраивать одновременно.

Работа с самохостируемыми кошельками: где проходит граница?

Самохостируемые (unhosted, non-custodial) кошельки — одна из наиболее спорных зон в контексте Travel Rule. Пользователь, контролирующий свои приватные ключи напрямую, не является клиентом никакого VASP — и теоретически вне периметра требований. Однако VASP, принимающий перевод с такого кошелька или отправляющий средства на него, обязан принять меры.

По сложившейся практике регуляторов, применяющих стандарты FATF, при переводе VASP → unhosted wallet выше порога требуется верификация права собственности на кошелёк (ownership proof). Механизмы верификации: подписание транзакции микросуммой, криптографическая подпись сообщения с использованием приватного ключа, заявление клиента с подтверждением. Каждый VASP выбирает метод и фиксирует его в политике.

При переводе unhosted wallet → VASP ситуация симметрична: VASP-получатель не может «вернуть» данные отправителю, которого нет в системе. В этом случае Финнадзор ожидает применения Enhanced Due Diligence: запрос информации об источнике средств, повышенный KYT-скрининг адреса-отправителя, документирование оценки рисков.

Транзакции с адресами, помечёнными KYT-сервисами как высокорисковые (связанные с миксерами, даркнет-маркетплейсами, санкционными субъектами), подлежат блокировке или немедленному сообщению в ГСФР — независимо от того, custodial это кошелёк или unhosted. Travel Rule здесь создаёт дополнительный уровень документирования: VASP должен зафиксировать, что попытка передачи данных была предпринята, а её результат — задокументирован.

Ошибка многих платформ — считать, что отсутствие контрагента-VASP автоматически освобождает от обязательств. Это не так: Финнадзор ожидает наличия документированной политики для каждого сценария, включая unhosted-кошельки. Отсутствие такой политики — нарушение, выявляемое при стандартной проверке документации.

Для стейблкоинов ситуация дополнительно усложняется: переводы между кошельками в сети TRON или Ethereum происходят значительно быстрее, чем в сетях с длинными временами подтверждения блоков. Это сжимает временное окно для Travel Rule-проверок и требует автоматизации: ручная верификация в режиме реального времени технически невозможна при значительном объёме транзакций.

Как взаимодействовать с иностранными VASP при переводах?

Международные переводы между VASP — наиболее сложный операционный сценарий с точки зрения Travel Rule. Кыргызский VASP обязан исполнять требования КР-законодательства независимо от того, внедрил ли контрагент Travel Rule у себя.

Если VASP-получатель находится в юрисдикции, где Travel Rule имплементирован (ЕС, Швейцария, Сингапур, ОАЭ, ряд других), обмен данными происходит через общий протокол. На практике это означает, что оба VASP должны использовать совместимые решения или хотя бы поддерживать совместимые форматы передачи данных. Крупные международные биржи уже выстроили эту инфраструктуру — работа с ними технически проще.

Если контрагент находится в юрисдикции без имплементации Travel Rule, кыргызский VASP оказывается в ситуации «best efforts»: необходимо задокументировать попытку передачи данных, зафиксировать отказ или невозможность получения ответа, применить Enhanced Due Diligence и принять самостоятельное решение о проведении транзакции. Это решение должно быть мотивированным и задокументированным — для последующего представления Финнадзору.

Переводы в адрес VASP из юрисдикций, включённых в серые и чёрные списки FATF, требуют особого подхода. По действующей практике Финнадзора это одна из категорий, автоматически требующих сообщения в ГСФР при превышении порогов.

Travel Rule при работе с иностранными VASP требует также регулярного обновления реестра контрагентов. Статус VASP в иностранной юрисдикции может меняться: лицензия может быть отозвана, регулятор может изменить требования. Наличие устаревшего реестра контрагентов — типичное нарушение, выявляемое при проверках.

Для ПВТ-компаний, работающих с международными рынками, выстраивание сети верифицированных VASP-контрагентов — стратегическая задача. Без неё платформа фактически ограничена в географии операций: транзакции с непроверенными контрагентами создают неприемлемые регуляторные риски.

Документация и хранение данных: что требует Финнадзор?

Документационные требования — один из ключевых аспектов Travel Rule, который часто недооценивается при внедрении. Передача данных сама по себе недостаточна: VASP обязан хранить доказательства каждого обмена таким образом, чтобы Финнадзор мог верифицировать их при проверке.

Минимальный набор документации для каждой Travel Rule-транзакции включает: хэш передаваемых данных или запись о передаче с временной меткой, идентификатор транзакции в блокчейне, подтверждение от VASP-получателя (или документирование его отсутствия), результат KYT-скрининга адреса получателя и принятое решение о проведении транзакции.

Срок хранения записей определяется законодательством КР о ПОД/ФТ. По общему правилу — не менее пяти лет с момента завершения транзакции или окончания деловых отношений с клиентом. Для транзакций, по которым направлено сообщение в ГСФР, срок хранения может быть продлён по требованию ведомства.

Серверы VASP, хранящие персональные данные клиентов и записи о транзакциях, согласно действующим требованиям должны быть расположены на территории Кыргызстана. Это создаёт инфраструктурные ограничения: облачные решения с дата-центрами за рубежом не соответствуют требованию, если речь идёт о хранении персональных данных КР-резидентов.

На практике Финнадзор при проверке запрашивает выборку транзакций за определённый период и требует предоставить полную документацию по каждой из них. VASP, не имеющий автоматизированной системы хранения и извлечения записей, в этот момент оказывается в крайне уязвимой позиции: ручная сборка документов по отдельным транзакциям занимает дни, а регулятор устанавливает короткие сроки ответа.

Оптимальное решение — единая платформа, объединяющая KYC-данные, KYT-результаты, Travel Rule-журналы и записи о решениях комплаенс-офицера. Такие системы доступны как в составе крупных AML-платформ, так и в виде отдельных решений для управления делами. Выбор архитектуры зависит от объёма транзакций и технических возможностей команды.

Как связаны Travel Rule и лицензирование VASP в КР?

VASP-лицензия выдаётся Финнадзором на срок пять лет при соответствии ряду требований: уставный капитал не менее 100 млн сомов для криптобиржи или 40 млн сомов для обменника, наличие AML-политики, серверов на территории КР, обязательного поставщика AML/KYT-услуг. Travel Rule — часть этой системы требований, а не отдельная лицензия.

При первичном лицензировании Финнадзор оценивает документацию по Travel Rule: наличие соответствующих процедур в AML-политике, описание технической инфраструктуры, договор с KYT-провайдером. Фактическое соответствие проверяется в ходе последующих инспекций — как плановых, так и внеплановых.

Нарушения Travel Rule, выявленные в ходе проверки, имеют разную степень серьёзности. Незначительные процедурные отступления — например, неполное документирование отдельных транзакций — могут быть устранены по предписанию. Системное несоответствие — отсутствие технической инфраструктуры или умышленное игнорирование требований — является основанием для приостановления или отзыва лицензии.

Регуляторная песочница Финнадзора даёт стартапам ограниченное время на тестирование продукта без полного соответствия всем требованиям. Однако Travel Rule-требования действуют и в рамках песочницы: оператор обязан внедрить минимально необходимые процедуры даже в тестовом режиме. Подробнее о возможностях песочницы — в материале «Регуляторная песочница Финнадзора в КР: как попасть».

Для компаний, теряющих лицензию из-за нарушений AML/Travel Rule, путь к повторному лицензированию существенно сложнее. Финнадзор при повторной подаче учитывает историю предыдущей лицензии — включая основания отзыва. Анализ причин отзыва лицензий и стратегии защиты разобраны в материале «Финнадзор отзывает VASP-лицензии в КР: причины и защита».

Travel Rule — это обязательное условие для сохранения операционного статуса. VASP без работающей Travel Rule-инфраструктуры в 2026 году — это VASP под угрозой отзыва лицензии, независимо от качества других аспектов бизнеса.

Какова стоимость внедрения и как её оптимизировать?

Вопрос стоимости внедрения Travel Rule для кыргызских VASP — практический, а не абстрактный. Рынок предлагает решения в широком ценовом диапазоне, и выбор зависит от объёма операций, географии контрагентов и наличия собственной инженерной команды.

Готовые Travel Rule-платформы (Notabene, Sygna Bridge и аналоги) как правило работают по модели подписки с ценообразованием, привязанным к объёму транзакций. Для небольших VASP с ограниченным оборотом стартовые затраты на уровне нескольких сотен долларов в месяц вполне реальны. Для платформ с тысячами транзакций в день — затраты существенно выше, но и абсолютная стоимость в расчёте на транзакцию снижается.

KYT-провайдер — обязательный элемент инфраструктуры согласно требованиям Финнадзора — добавляет отдельную статью затрат. Chainalysis, Elliptic, TRM Labs предлагают разные модели лицензирования. Выбор провайдера влияет не только на стоимость, но и на качество скрининга: охват адресов, глубина истории, поддержка конкретных блокчейнов.

Дополнительные затраты на внедрение: разработка и обновление AML-политики (при отсутствии штатного специалиста — внешний консультант), интеграционные работы технической команды, обучение сотрудников, юридическое сопровождение для верификации соответствия требованиям Финнадзора.

Оптимизация затрат возможна за счёт: использования open-source решений (OpenVASP) для компаний с сильной инженерной командой, выбора KYT-провайдера с гибким ценообразованием под объём, совмещения Travel Rule-платформы с KYC/AML-системой в рамках единого решения, а также внешнего юридического сопровождения вместо содержания штатного комплаенс-офицера на начальном этапе.

Для ПВТ-резидентов ситуация дополнительно выгодна: экономия на налогах (0% НП, 0% НДС) создаёт финансовый буфер для инвестиций в комплаенс-инфраструктуру. Платформа, пренебрегающая Travel Rule ради краткосрочной экономии, рискует потерять лицензию и вместе с ней — все накопленные налоговые преимущества ПВТ-режима. Подробнее о релокации IT-бизнеса в КР с использованием ПВТ — в материале «IT-релокация из России в Кыргызстан: ОсОО + ПВТ за 3 недели».

Что изменилось после поправок «Тамчы» и в 2025–2026 годах?

Поправки «Тамчы» к Закону о виртуальных активах расширили периметр регулирования и добавили новые категории активов под действие Travel Rule. Параллельно Финнадзор ужесточил правоприменение: 2025 год стал первым годом массовых отзывов VASP-лицензий в КР.

Ключевые изменения, влияющие на Travel Rule-обязательства:

• Стейблкоины и токены RWA прямо включены в периметр Закона о виртуальных активах. Платформы, работавшие со стейблкоинами как «просто токенами», обязаны применять Travel Rule в полном объёме.
• Введено требование о государственном майнинге и крипторезерве — это затрагивает не операторов в прямом смысле, но создаёт прецедент государственного участия в крипторынке КР.
• Требования к AML/KYT-инфраструктуре конкретизированы: Финнадзор получил право проводить технические аудиты, а не только документальные проверки.
• Ответственность за нарушения Travel Rule персонифицирована: должностные лица VASP несут персональную ответственность за систематические нарушения.

В 2026 году Финнадзор продолжает курс на приведение кыргызского рынка VASP к стандартам FATF. Это означает: требования не смягчатся, а интенсивность проверок сохранится. Для платформ, ещё не завершивших внедрение Travel Rule, каждый месяц промедления — это месяц работы под регуляторным риском.

Отдельный тренд 2026 года — международная координация между регуляторами. Финнадзор взаимодействует с аналогичными ведомствами других юрисдикций в рамках многосторонних соглашений. Это означает, что нарушения кыргызского VASP могут стать известны иностранным регуляторам — со всеми последствиями для международного бизнеса платформы.

Для IT-компаний, рассматривающих КР как юрисдикцию для запуска крипто-продуктов, 2026 год — момент, когда регуляторная среда стала достаточно определённой для принятия взвешенных решений. Требования известны, практика правоприменения наработана, провайдеры решений доступны. Неопределённость начального периода регулирования позади — теперь речь идёт о дисциплине исполнения.

Практические рекомендации по внедрению Travel Rule

Внедрение Travel Rule — это проект с конкретными этапами, ресурсами и сроками. Ниже — систематизированный порядок действий для VASP, начинающего или завершающего внедрение.

Шаг первый: аудит текущего состояния. Необходимо оценить, насколько существующая KYC-база соответствует требованиям Travel Rule: какие данные собираются, в каком формате, возможна ли их автоматическая передача. Параллельно — аудит AML-политики: есть ли в ней раздел о Travel Rule, соответствует ли он актуальным требованиям Финнадзора.

Шаг второй: выбор технического решения. Исходя из объёма транзакций, географии контрагентов и архитектуры платформы — выбор между готовыми платформами и собственной разработкой. Для большинства VASP в КР на начальном этапе оптимальны готовые решения: они быстрее внедряются и имеют документацию, принятую Финнадзором.

Шаг третий: интеграция с KYT-провайдером. Этот шаг технически параллелен Travel Rule-интеграции, но юридически первичен: без обязательного AML/KYT-провайдера лицензия не выдаётся и не продлевается. Договор с провайдером должен быть отражён в AML-политике.

Шаг четвёртый: обновление AML-политики. Travel Rule-процедуры, политика для unhosted-кошельков, порядок работы с контрагентами без Travel Rule, процедура сообщений в ГСФР — всё это должно быть задокументировано в актуальной версии политики.

Шаг пятый: обучение персонала. Комплаенс-офицер и операционная команда должны понимать, когда и как применять Travel Rule, как действовать в нестандартных ситуациях (отказ контрагента, unhosted кошелёк, подозрительный адрес). Документирование прохождения обучения — для последующего представления Финнадзору.

Шаг шестой: тестирование и верификация. До запуска в промышленную эксплуатацию — тестирование всей цепочки на реальных или модельных транзакциях с документированием результатов. Финнадзор при проверке вправе запросить результаты внутреннего тестирования.

Шаг седьмой: поддержание актуальности. Travel Rule — не разовый проект. Требования меняются, технические решения обновляются, список VASP-контрагентов нуждается в актуализации. Регулярный (как правило, ежегодный) пересмотр AML-политики и технической инфраструктуры — обязательный элемент операционной модели.