Ще два роки тому криптокомпанії могли почати роботу, маючи мінімальний набір документів — часто завантажених із Google. В AML-політиці достатньо було згадати про верифікацію клієнтів, десь вказати призначення MLRO — і цього вистачало для відкриття рахунку або співпраці з платіжною системою. Але сьогодні цей підхід не просто неефективний — він ризикований.
З 2025 року AML-політика — це не текстовий файл, а комплекс процесів, які мають працювати в реальному часі. Компанію, яка не може це довести, не пустять до фінансової інфраструктури. Ні рахунку, ні платформи обміну, ні навіть реєстрації в деяких країнах — без функціональної AML-системи їх не буде.
Це вже не про “виглядає добре на сайті”, а про “працює і підтверджується діями”.
Статтю опубліковано на Dev.ua
Що змінилось для криптокомпаній? MiCA, CASP, Travel Rule
Головна зміна — це запуск регламенту MiCA у ЄС. Він встановлює чітку структуру для регулювання криптоактивів і створює статус CASP — провайдерів криптосервісів, які мають діяти за банківськими стандартами: KYC, внутрішні політики, навчання, аудит, локальний MLRO. Без цього — ліцензії не буде.
Паралельно реалізується Travel Rule — міжнародна ініціатива FATF, яка вимагає, щоб при транзакціях між двома сервісами передавались і зберігались дані про відправника й отримувача. Причому мова не лише про великі біржі. Навіть дрібний криптообмінник зобов’язаний інтегруватися з провайдерами, які підтримують Travel Rule. Це фундаментальна трансформація: криптоіндустрія вперше юридично прирівняна до банківського сектора — і по відповідальності, і по очікуваннях.
Чому політики без впровадження в криптобізнесі більше працюють
Одна з найчастіших помилок — написати політику, яка виглядає переконливо, але не має жодної практичної реалізації. Наприклад, у документі написано, що працівники мають повідомляти про підозрілі дії. Але не вказано, куди саме писати — немає ані форми, ані пошти, ані інструкції. Це неформально — а значить, не працює.
Інша класика — компанія вказує, що зберігає кошти клієнтів, але не описує процедури контролю доступу до гаманців, багатофакторну авторизацію чи логування дій. У документах — тиша. У платіжного партнера чи регулятора на це є чітка реакція: «відмова». Не тому, що правила суворі — а тому, що бізнес не продемонстрував здатності їх виконувати.
В епоху пост-MiCA такі “паперові процеси” — це вже не нейтральна помилка, а серйозний ризик для всієї компанії. Хочете, щоб ваші документи та процеси успішно пройшли комплаєнс – напишіть юристам Inexis, маємо реальний досвід.
Хто і що перевірить в криптобізнесі за кордоном?
У 2025 році стандартна перевірка компанії виглядає зовсім не так, як раніше. Регулятор, платіжна система або банк не обмежуються запитом «надішліть вашу політику». Вони хочуть побачити: чи призначено MLRO, чи він має реальні повноваження, чи є навчання персоналу, чи ведуться журнали перевірок, чи впроваджена Travel Rule.
Вимоги настільки конкретні, що деякі банки просять надати внутрішній roadmap переходу на CASP або письмове пояснення, як саме ваша команда реалізує процедури моніторингу транзакцій. У деяких випадках — навіть без запиту, достатньо того, що виявили розрив між заявленим і фактичним. А найпильніші не державні інституції, а комерційні — криптобанки, платіжні шлюзи, PSP. Їм не потрібен ризик у вигляді компанії, яка не розуміє, що таке KYC або MLRO.
Як платіжні системи реагують на слабкий AML в криптокомпаніях?
Платіжні партнери — найперші, хто «відсікає» компанії з недостатньо серйозним підходом до AML. Іноді відмова не супроводжується поясненням, але досвід показує — три найпоширеніші причини це:
- відсутність реального MLRO (наприклад, формальне призначення без повноважень і резидентства),
- відсутність чітких внутрішніх процедур (особливо KYC),
- невизначений статус щодо CASP-ліцензії (чи планує компанія її отримувати взагалі).
І якщо банки ще можуть вести діалог, то криптошлюзи, PSP чи агрегатори — просто відключають або не інтегрують зовсім. Їм не потрібен ризик. Вони не читають вашу політику — вони оцінюють, як вона працює на практиці. Якщо верифікація займає 5 хвилин, а підозрілі транзакції не фіксуються — це червоний прапор.
Чому AML офіцер не допоможе криптокомпанії пройти комплаєнс?
Міф, який досі живе в деяких криптостартапах: “Призначимо MLRO — і все буде добре”. Насправді — ні. Офіцер із фінмоніторингу — це лише одна ланка системи. Якщо немає описаних процедур, автоматизованого моніторингу або навіть плану дій у випадку виявлення порушення — він нічого не зробить. Реальні кейси показують: навіть кваліфікований MLRO без доступу до операцій, без ресурсів і підтримки команди не здатен забезпечити відповідність. І навпаки — правильно налаштована структура, де офіцер має повноваження, доступ до ризиків і підтримку, працює навіть у невеликій компанії.
Комплаєнс сьогодні — це командна гра. І якщо один гравець сильний, але поле — без ліній, правил і партнерів — грати неможливо.
Що реально допомагає криптобізнесу пройти перевірку?
Є кілька речей, які на практиці збільшують шанси пройти перевірку з першого разу:
- документоване навчання персоналу (журнали, підтвердження, дати);
- доступ до логів перевірок клієнтів, які зберігаються 5+ років;
- впроваджена risk-based методологія — не в теорії, а в системі оцінки кожного клієнта;
- внутрішній аудит — хоча б раз на рік, з зафіксованими результатами;
- наявність політик, адаптованих під вашу бізнес-модель, а не «універсальний шаблон».
Перевіряють не красивість документів, а життєздатність процесу. Якщо регулятор або банк бачить логіку в тому, що ви робите, і ця логіка підтверджується діями — навіть дрібні неточності не стануть фатальними.
Які висновки варто зробити криптопідприємцям вже зараз
У 2025–2026 крипторинок більше не є «диким заходом». Умови гри стали жорсткішими, а вхід на ринок — дорожчим. Але в цьому є і плюс: правила зрозумілі, і до перевірки можна реально підготуватись. Не варто відкладати створення чи оновлення AML/KYC системи — особливо, якщо ви плануєте вихід на європейський чи американський ринок. Криптобізнес, що буде відповідати цим стандартам, отримає не лише ліцензію — він отримає довіру ринку. А це — валюта, яка дорожча за будь-який токен.
