Mida peab fintechi AML/KYC programm sisaldama, et auditit läbida?

Kaheksa ehitusplokki: dokumenteeritud kogu ettevõtet hõlmav riskihinnang, kirjalikud poliitikad ja kontrollid, määratud vastavuskontrolli ametnik, CDD/KYC riskipõhise EDDga, jooksev ja tehingute seire, kahtlastest tegevustest teatamine rahapesu andmebüroole, andmete säilitamine tüüpiliselt viis aastat ning personali koolitus ja sõltumatu testimine. Iga element peab olema dokumenteeritud ja tõendatavalt toimiv.

Mis on uus ELi AML-pakett ja millal seda kohaldatakse?

2024. aasta pakett koosneb AMLRist (määrus (EL) 2024/1624), mis on ühtne reeglistik; AMLD6-st (direktiiv (EL) 2024/1640) järelevalve ja registrite kohta; ning AMLAst (määrus (EL) 2024/1620), Frankfurdis asuvast ELi rahapesu tõkestamise asutusest, mis on tegutsenud alates 2025. aasta keskpaigast. Enamikku AMLRi sätteid kohaldatakse alates 10. juulist 2027.

Millised on ELi läved, mis käivitavad kliendi suhtes rakendatavad hoolsusmeetmed?

CDD on alati nõutav ärisuhte loomisel, rahapesu kahtluse korral või kahtluste korral varasemate isikusamasuse andmete suhtes. Juhutehingute puhul liigub lävi tänaselt 15 000 eurolt 10 000 eurole AMLRi kohaselt alates 10. juulist 2027. CASPid rakendavad CDDd juhuslike krüptoülekannete suhtes üle 1000 euro.

Kas fintech vajab spetsiaalset AML-ametnikku?

Jah. Auditivalmis programm nõuab määratud vastavuskontrolli- või AML-ametnikku (sageli nimetatakse MLROks) selge volituse ja kõrgema juhtkonna vastutusega. See roll vastutab riskihinnangu eest, teostab järelevalvet seire ja teatamise üle ning on üks esimesi asju, mida järelevalveasutus tegevusloa andmisel ja kontrollimisel kontrollib.

Õigusnõustamine
•
26. juuni 2026
•
8 min lugemist

AML/KYC vastavus fintech-ettevõtetele: programm, mis läbib auditid

AML-programmi ei hinnata mitte kavatsuse, vaid selle järgi, mida järelevalveasutus saab kontrollida. Siit leiad, mida peab fintechi AML/KYC raamistik sisaldama, et auditile vastu pidada, kaardistatuna ELi 2024. aasta paketile ja 2027. aasta juuli AMLR horisondile.

Stiliseeritud isikusamasuse kontroll ja vastavuskontroll külmades sinistes toonides

Peamised järeldused

KYC (tunne oma klienti) on AML (rahapesu tõkestamise) isikusamasuse ja hoolsusmeetmete osa; KYC on osa AMList, mitte selle sünonüüm.
ELi 2024. aasta AML-pakett koosneb AMLRist (määrus (EL) 2024/1624), AMLD6-st (direktiiv (EL) 2024/1640) ja AMLAst (määrus (EL) 2024/1620); enamikku AMLRi sätteid kohaldatakse alates 10. juulist 2027.
Makseasutused, EMId, neopangad ja krüptovarateenuse osutajad on kõik kohustatud isikud ja peavad käitama täielikku AML/CFT programmi.
Juhutehingute kliendi suhtes rakendatavate hoolsusmeetmete lävi liigub tänaselt 15 000 eurolt 10 000 eurole AMLRi kohaselt; krüptoülekannete puhul rakendavad CASPid hoolsusmeetmeid üle 1000 euro.
Auditivalmis programm toetub kaheksale sambale: dokumenteeritud riskihinnang, kirjalikud poliitikad, määratud vastavuskontrolli ametnik, CDD/KYC, jooksev seire, kahtlastest tehingutest teatamine, andmete säilitamine ja sõltumatu testimine.

AML ja KYC ei ole sama asi

AML ehk rahapesu tõkestamine on kogu kontrollide programm, mida ettevõte käitab rahapesu ja terrorismi rahastamise avastamiseks ja ärahoidmiseks. KYC ehk tunne oma klienti on selle programmi isikusamasuse ja hoolsusmeetmete osa: selle kontrollimine, kes klient on ning kes lõppkokkuvõttes teda omab või kontrollib. KYC on osa AMList, mitte sünonüüm.

See eristus on auditil oluline. Järelevalveasutus ei küsi üksnes, kas sa kontrollid isikusamasusi; ta küsib, kas isikusamasuse kontroll asub dokumenteeritud, riskipõhise süsteemi sees, mille ümber on juhtimine, seire, teatamine ja testimine. Ettevõte, kes ajab hea kliendi vastuvõtu (onboarding) segi tervikliku AML-programmiga, on see ettevõte, kes auditi läbi kukub.

ELi AML-pakett ja 2027. aasta juuli horisont

2024. aastal võttis EL vastu ühtse, ühtlustatud AML-paketi, mis muudab vastavuse lähtetaset oluliselt. Selle teadmine, milline instrument mida teeb ja millal seda kohaldatakse, on programmi õigeks dateerimiseks hädavajalik.

Praktiline raamistus on järgmine: ettevõtted täidavad täna nõudeid kehtivate AML-direktiivide alusel ja lähevad vahetult kohaldatavale AMLRi reeglistikule üle alates 10. juulist 2027. Praegu üles ehitatud programm peaks juba AMLRi ette nägema, mitte hiljem selle jaoks ümber ehitatama.

AMLR - määrus (EL) 2024/1624: ühtne, vahetult kohaldatav AML-reeglistik, mis hõlmab CDDd, tegelikku kasusaamist, EDDd ja teatamist; enamikku sätteid kohaldatakse alates 10. juulist 2027.
AMLD6 - direktiiv (EL) 2024/1640: juhtimine ja järelevalve, rahapesu andmebürood ning tegelike kasusaajate registrid, üle võetud riigisisesesse õigusesse.
AMLA - määrus (EL) 2024/1620: asutab ELi rahapesu tõkestamise asutuse, mis asub Frankfurdis ja on tegutsenud alates 2025. aasta keskpaigast, andes välja tehnilisi standardeid ja alustades teatud kõrge riskiga piiriüleste üksuste otsest järelevalvet.

Kes peab nõudeid täitma?

AML-kohustused langevad nendele, keda ELi õigus nimetab kohustatud isikuteks. Krediidi- ja finantseerimisasutused kuuluvad selgelt kohaldamisalasse ning fintech-sektori jaoks hõlmab see sõnaselgelt makseasutusi, e-raha asutusi, neopanku ja krüptovarateenuse osutajaid.

Teisisõnu, kui sul on makse-, e-raha või MiCA litsents, ei ole täielik AML/CFT programm valikuline ega meeldiv lisaväärtus. See on litsentsi tingimus ja järelevalveasutused käsitlevad AML-nõrkust üha enam põhjusena tegevusloa andmist juba algselt edasi lükata või sellest keelduda.

Kliendi suhtes rakendatavad hoolsusmeetmed ja neid käivitavad läved

Kliendi suhtes rakendatavad hoolsusmeetmed (CDD) on kontrollide kogum, mida ettevõte käitab, et oma kliente tunda ja riskile hinnata. CDD on alati nõutav ärisuhte loomisel, rahapesu või terrorismi rahastamise kahtluse korral või kui on kahtlusi varem saadud isikusamasuse andmete suhtes. Ühekordsete tehingute puhul käivitavad CDD ka fikseeritud rahalised läved.

Läved muutuvad, seega märgi praegused ja tulevased näitajad koos. Juhutehingute puhul liigub ELi lävi tänaselt 15 000 eurolt 10 000 eurole AMLRi kohaselt alates 10. juulist 2027. Krüptot koheldakse rangemalt: CASPid peavad rakendama hoolsusmeetmeid juhuslike krüptoülekannete suhtes üle 1000 euro. AMLR kehtestab ka kogu ELi hõlmava sularahamakse ülempiiri 10 000 eurot, ehkki madalamad riigisisesed ülempiirid võivad kehtima jääda.

Alati: ärisuhte loomisel, rahapesu/terrorismi rahastamise kahtluse korral või kahtluste korral varasemate isikusamasuse andmete suhtes.
Juhutehingud: CDD alates 15 000 eurost täna, liikudes 10 000 eurole AMLRi kohaselt alates 10. juulist 2027.
Krüptoülekanded: CASPid rakendavad CDDd juhuslike ülekannete suhtes üle 1000 euro.
Sularaha: kogu ELi hõlmav sularahamakse ülempiir 10 000 eurot AMLRi kohaselt, võimalike madalamate riigisiseste ülempiiridega.

Tugevdatud hoolsusmeetmed ja tegelik kasusaamine

Tugevdatud hoolsusmeetmed (EDD) kohalduvad kõrgema riskiga olukordades ja tähendavad rohkem teavet, kõrgema juhtkonna heakskiitu ja tihedamat jooksvat seiret. Need on nõutavad riikliku taustaga isikute (PEPide), kõrge riskiga kolmandate riikidega seotud klientide ning keerukate või ebatavaliselt suurte tehingute puhul, millel puudub ilmselge majanduslik eesmärk. AMLRi kohaselt tuuakse EDD võrku ka väga suure väärtusega suhted, näiteks jõukad kliendid üle määratletud varaläve.

Tegelik kasusaamine on teine sammas, mida audiitorid tugevalt uurivad. Tegelik kasusaaja (UBO) on füüsiline isik, kes lõppkokkuvõttes omab või kontrollib klienti. AMLD6 alandab tuvastamise läve enam kui 25%-lt 25%-le või rohkemale osakutest või hääleõigustest ja nõuab üksikasjalikumaid, ELi-üleselt ühendatud keskregistreid, sealhulgas ELi-väliste üksuste kohta, millel on ELi seosed. Programm, mis ikka veel rakendab vana üle-25% kriteeriumi, on uue standardiga juba kooskõlast väljas.

Tehingute seire ja krüpto reisireegel

Kliendi tundmisest vastuvõtul ei piisa; ettevõte peab suhet pidevalt jälgima. Jooksev ja tehingute seire kontrollib tegevust kliendi oodatava profiili ning sanktsioonide, PEPide ja negatiivse meedia loendite vastu ning märgib anomaaliad ülevaatamiseks. See on mootor, mis muudab staatilised KYC-andmed elavaks riskijuhtimiseks.

Krüptoettevõtete jaoks on lisaks konkreetne kohustus, mida tuntakse reisireeglina (travel rule). Rahaülekannete määruse, määruse (EL) 2023/1113 kohaselt peab maksja ja saaja teave saatma krüptovara ülekandeid teenuseosutajate vahel, sõltumata summast. Ülekanded ise-majutatud rahakottidesse või neist üle 1000 euro käivitavad täiendava kontrolli, et klient rahakotti kontrollib.

Auditivalmis programmi kaheksa ehitusplokki

Järelevalveasutused kontrollivad dokumente ja otsuseid, mitte häid kavatsusi. Programm läbib auditi, kui iga järgnev ehitusplokk on olemas, kirja pandud, ettevõtte riskiga proportsionaalne ja tõendatavalt praktikas toimiv. Averium nõustab programmi ja selle õigusliku piisavuse osas tarnijaneutraalselt, nii et raamistik on ehitatud järelevalveasutusele vastu pidama, mitte konkreetse tööriista järgi.

Kogu ettevõtet hõlmav AML/CFT riskihinnang, dokumenteeritud ja ajakohastatud.
Sisemised poliitikad, kontrollid ja menetlused, mis on proportsionaalsed selle riskiga.
Määratud vastavuskontrolli/AML-ametnik (MLRO) kõrgema juhtkonna vastutusega.
CDD ja KYC vastuvõtul, sealhulgas isikusamasuse kontroll, UBO tuvastamine ja suhte eesmärk, riskipõhise EDDga.
Jooksev seire ja tehingute seire koos sanktsioonide, PEPide ja negatiivse meedia kontrolliga.
Kahtlastest tehingutest ja tegevustest teatamine (STR/SAR) riiklikule rahapesu andmebüroole.
Andmete säilitamine, mida reeglina hoitakse ELi AML-õiguse alusel viis aastat.
Personali koolitus ning programmi sõltumatu audit või testimine.

Seotud teenused

Õigusnõustamine Esindamine vaidlustes

Korduma kippuvad küsimused

Ehita AML-programm, mis peab kontrollile vastu

Averium kavandab AML/CFT programme, mida järelevalveasutused saavad kontrollida: dokumenteeritud riskihinnang, poliitikad, MLRO raamistik ja auditivalmidus, kaardistatuna ELi 2024. aasta paketile ja 2027. aasta juuli AMLRile. Tarnijaneutraalne, õiguslikult põhjendatud. Räägi meile, kus su programm täna seisab.

Räägi Averiumiga