Настройка compliance AML/KYC для криптопроекта
Настройка AML/KYC — это не разовая задача, а построение operational process. Документы без технической реализации — бумага. Техническая реализация без документов — нарушение compliance requirements. Нужно и то, и другое.
Компоненты полной AML/KYC программы
1. Risk-Based Approach (RBA)
Регуляторы требуют risk-based подход: ресурсы на compliance концентрируются там где риски выше. Это означает формальную классификацию клиентов и продуктов по риску.
Customer Risk Score:
| Фактор | Низкий риск | Средний риск | Высокий риск |
|---|---|---|---|
| Страна | EU, US, AU | ЮВА, LatAm | High-risk юрисдикции FATF |
| Тип клиента | Физическое лицо | Малый бизнес | Финансовое учреждение |
| Объём транзакций | < $1,000/мес | $1,000-$10,000 | > $10,000 |
| Источник средств | Известный, задокументирован | Частично известен | Неизвестен |
| PEP статус | Нет | Нет (родственник PEP) | PEP |
Aggregate Risk Score определяет CDD уровень: Simplified CDD (Low), Standard CDD (Medium), Enhanced CDD (High).
2. Customer Due Diligence (CDD) процедуры
Simplified CDD: минимальная верификация, мониторинг транзакций, без ongoing review. Для Tier 0-1.
Standard CDD: идентификация и верификация личности (документ + liveness), проверка PEP/sanctions, понимание цели бизнес-отношений. Для Tier 2.
Enhanced Due Diligence (EDD): Source of Funds + Source of Wealth документы, углублённый background check, регулярные reviews (ежегодно), мониторинг транзакций в реальном времени. Для Tier 3 и high-risk клиентов.
3. Политики и процедуры — разработка
AML/CFT Policy: master документ, описывает всю программу.
KYC Procedure: пошаговые инструкции для каждого tier — что собираем, как верифицируем, как документируем.
Transaction Monitoring Procedure: правила для alert генерации, процедура investigation, критерии для SAR.
SAR Procedure: когда подавать Suspicious Activity Report, в какой орган, в какие сроки (обычно 15-30 дней с момента обнаружения).
Record Retention Policy: как долго хранить KYC документы (обычно 5-7 лет), data security требования.
4. Технические системы
KYC провайдер: Sumsub / Onfido — интеграция webhook, tier management, applicant portal.
AML screening: Chainalysis KYT / Elliptic — wallet screening при депозитах и выводах.
PEP/Sanctions screening: ComplyAdvantage, Refinitiv, или аналог — скрининг при onboarding и периодически.
Transaction Monitoring: встроенный в Chainalysis или кастомный — alert rules для structuring, velocity, geographic anomalies.
Compliance CRM: система для управления compliance кейсами, review tasks, SAR drafts. Может быть custom или Hummingbird, ComplyAdvantage CRM.
5. Обучение персонала
FATF и большинство регуляторов требуют documented training программу:
- Annual AML training для всех сотрудников
- Enhanced training для compliance team и customer-facing staff
- Training records (дата, участники, содержание)
6. Compliance Officer функции
Compliance Officer (MLR Officer в UK, MLRO) несёт персональную ответственность за AML программу. Функции:
- Oversight of KYC/AML processes
- SAR submissions
- Regulatory reporting
- Internal audit coordination
- Regulatory change management (FATF, MiCA updates)
Ongoing compliance: что делать после запуска
Periodic review: ежегодный review AML policy на актуальность, обновление risk assessment.
Regulatory updates: FATF обновляет рекомендации, MiCA вводит новые требования — нужно отслеживать и имплементировать.
Internal audit: ежегодная независимая проверка AML программы. Может быть internal или external аудитор.
De-risking review: периодическая переоценка high-risk клиентов — актуален ли их risk score.
Сроки настройки
| Компонент | Срок |
|---|---|
| Risk Assessment + Policy разработка | 2-3 нед |
| KYC provider интеграция | 2-3 нед |
| AML screening интеграция | 1-2 нед |
| Transaction monitoring setup | 2-3 нед |
| Compliance dashboard | 2-3 нед |
| Staff training материалы | 1 нед |
Полная настройка AML/KYC compliance системы с нуля: 2-3 месяца.