Комплаенс ПОД/ФТ и KYC для финтеха: программа, проходящая проверки

AML, противодействие отмыванию денег, - это вся программа мер контроля, которую компания применяет для выявления и предотвращения отмывания денег и финансирования терроризма. KYC, идентификация клиента, - это компонент этой программы, отвечающий за установление личности и надлежащую проверку: подтверждение того, кто является клиентом и кто в конечном счете владеет им или контролирует его. KYC - это часть AML, а не его синоним.

Это различие важно при проверке. Регулятор спрашивает не только о том, проверяете ли вы личности; он спрашивает, встроена ли проверка личности в документированную, риск-ориентированную систему с управлением, мониторингом, отчетностью и тестированием вокруг нее. Компания, путающая хороший онбординг с полноценной программой ПОД/ФТ, - это та компания, которая не проходит инспекцию.

В 2024 году ЕС принял единый, гармонизированный пакет по ПОД/ФТ, существенно меняющий базовый уровень комплаенса. Понимание того, какой инструмент за что отвечает и когда применяется, необходимо для корректной датировки программы.

Практическая логика такова: сегодня компании соблюдают действующие директивы по ПОД/ФТ и переходят на свод правил AMLR прямого действия с 10 июля 2027 года. Программа, выстраиваемая сейчас, уже должна учитывать AMLR, а не перестраиваться под него позже.

Обязанности по ПОД/ФТ возлагаются на так называемых обязанных лиц в терминологии законодательства ЕС. Кредитные и финансовые учреждения прямо подпадают под действие правил, и для финтех-сектора это прямо включает платежные организации, организации электронных денег, необанки и поставщиков услуг по криптоактивам.

Иными словами, если у вас есть лицензия на платежи, электронные деньги или MiCA, полноценная программа ПОД/ФТ не является факультативной или желательной. Это лицензионное условие, и надзорные органы все чаще рассматривают слабость ПОД/ФТ как основание для отсрочки или отказа в авторизации в принципе.

Надлежащая проверка клиента (CDD) - это набор проверок, которые компания проводит, чтобы знать своих клиентов и оценивать их риск. CDD всегда требуется при установлении деловых отношений, при наличии подозрения в отмывании денег или финансировании терроризма либо при сомнениях в ранее полученных идентификационных данных. Для разовых операций CDD также запускается фиксированными денежными порогами.

Пороги меняются, поэтому следует указывать текущие и будущие значения вместе. Для разовых операций порог ЕС смещается с нынешних 15 000 евро до 10 000 евро в рамках AMLR с 10 июля 2027 года. Криптоактивы регулируются строже: CASP обязаны применять надлежащую проверку к разовым криптопереводам на сумму свыше 1 000 евро. AMLR также вводит общеевропейский лимит на платежи наличными в 10 000 евро, хотя более низкие национальные лимиты могут сохраняться.

Усиленная надлежащая проверка (EDD) применяется в ситуациях повышенного риска и означает больше информации, согласование на уровне руководства и более пристальный постоянный мониторинг. Она требуется в отношении публичных должностных лиц (PEP), клиентов, связанных с высокорисковыми третьими странами, и сложных или необычно крупных операций без очевидной экономической цели. В рамках AMLR в сферу EDD также включаются отношения с очень высокой стоимостью, например состоятельные клиенты с активами выше определенных порогов.

Бенефициарная собственность - другой столп, который аудиторы проверяют особенно тщательно. Бенефициарный владелец (UBO) - это физическое лицо, которое в конечном счете владеет клиентом или контролирует его. AMLD6 снижает порог идентификации с «более 25%» до «25% или более» долей или прав голоса и требует более детальных, взаимосвязанных в масштабах ЕС центральных реестров, в том числе для лиц вне ЕС, имеющих связи с ЕС. Программа, все еще применяющая прежний критерий «свыше 25%», уже не соответствует новому стандарту.

Знать клиента при онбординге недостаточно; компания обязана продолжать наблюдать за отношениями. Постоянный мониторинг и мониторинг операций сопоставляют активность с ожидаемым профилем клиента, а также со списками санкций, PEP и неблагоприятных сведений в СМИ и помечают аномалии для рассмотрения. Это тот механизм, который превращает статичные данные KYC в живое управление рисками.

Для криптокомпаний существует дополнительная, специальная обязанность, известная как правило о переводах (travel rule). В рамках Регламента о переводах денежных средств, Регламента (ЕС) 2023/1113, информация об отправителе и получателе должна сопровождать переводы криптоактивов между поставщиками независимо от суммы. Переводы на самостоятельно размещенные кошельки или с них на сумму свыше 1 000 евро запускают дополнительную проверку того, что клиент контролирует кошелек.

Регуляторы инспектируют документы и решения, а не добрые намерения. Программа проходит проверку, когда каждый из следующих строительных блоков существует, зафиксирован письменно, соразмерен риску компании и явно работает на практике. Averium консультирует по программе и ее правовой достаточности на вендорно-нейтральной основе, чтобы система была построена с расчетом выдержать надзорный орган, а не подстроиться под конкретный инструмент.