Комплаєнс ПВК/KYC для фінтеху: програма, що проходить аудити

ПВК, протидія відмиванню коштів, - це вся програма заходів контролю, яку веде компанія для виявлення та запобігання відмиванню коштів і фінансуванню тероризму. KYC, знай свого клієнта, - це компонент ідентифікації та належної перевірки цієї програми: встановлення того, хто є клієнтом і хто зрештою володіє ним чи контролює його. KYC є частиною ПВК, а не синонімом.

Це розмежування важливе під час аудиту. Регулятор запитує не лише про те, чи перевіряєте ви особи, а й про те, чи вбудована перевірка особи в задокументовану, засновану на ризиках систему з управлінням, моніторингом, звітуванням і тестуванням навколо неї. Компанія, яка плутає якісний онбординг із повноцінною програмою ПВК, - це компанія, яка провалює перевірку.

У 2024 році ЄС ухвалив єдиний, гармонізований пакет з ПВК, який істотно змінює базовий рівень відповідності. Знання того, який інструмент що робить і коли застосовується, необхідне для правильного датування програми.

Практична рамка така: компанії сьогодні дотримуються чинних директив з ПВК, а з 10 липня 2027 року переходять до зводу правил AMLR прямої дії. Програма, побудована зараз, уже має передбачати AMLR, а не перебудовуватися під нього згодом.

Обовʼязки з ПВК покладаються на тих, кого право ЄС називає зобовʼязаними субʼєктами. Кредитні та фінансові установи однозначно підпадають під дію, і для сектору фінтеху це прямо включає платіжні установи, установи електронних грошей, необанки та постачальників послуг з обігу криптоактивів.

Іншими словами, якщо ви маєте ліцензію на платежі, електронні гроші чи MiCA, повноцінна програма ПВК/ФТ не є опцією чи приємним доповненням. Це ліцензійна умова, і наглядові органи дедалі частіше розглядають слабкість ПВК як підставу відкласти чи взагалі відмовити в авторизації.

Належна перевірка клієнта (CDD) - це набір перевірок, які компанія проводить, щоб знати своїх клієнтів і оцінювати їхній ризик. CDD завжди потрібна під час встановлення ділових відносин, за наявності підозри у відмиванні коштів чи фінансуванні тероризму, або за наявності сумнівів щодо раніше отриманих ідентифікаційних даних. Для разових операцій CDD також запускають фіксовані грошові пороги.

Пороги змінюються, тож варто вказувати поточні та майбутні цифри разом. Для разових операцій поріг ЄС знижується з 15 000 євро сьогодні до 10 000 євро за AMLR з 10 липня 2027 року. Крипто регулюється суворіше: CASP повинні застосовувати належну перевірку до разових переказів криптоактивів понад 1 000 євро. AMLR також запроваджує загальноєвропейський ліміт готівкових платежів у 10 000 євро, хоча нижчі національні ліміти можуть зберігатися.

Посилена належна перевірка (EDD) застосовується до ситуацій підвищеного ризику й означає більше інформації, погодження на вищому рівні та пильніший постійний моніторинг. Вона потрібна для політично значущих осіб (PEP), клієнтів, повʼязаних із третіми країнами високого ризику, та складних чи незвично великих операцій без очевидної економічної мети. За AMLR відносини дуже високої вартості, як-от заможні клієнти понад визначені порогові активи, також потрапляють у поле EDD.

Бенефіціарна власність - інший стовп, який аудитори ретельно перевіряють. Бенефіціарний власник (UBO) - це фізична особа, яка зрештою володіє клієнтом чи контролює його. AMLD6 знижує поріг ідентифікації з понад 25% до 25% або більше акцій чи прав голосу та вимагає детальніших, взаємоповʼязаних у ЄС центральних реєстрів, зокрема для субʼєктів поза ЄС зі звʼязками в ЄС. Програма, яка все ще застосовує старий тест "понад 25%", уже не відповідає новому стандарту.

Знати клієнта на етапі онбордингу недостатньо; компанія має й далі стежити за відносинами. Постійний моніторинг і моніторинг операцій перевіряють активність на відповідність очікуваному профілю клієнта та проти санкційних списків, списків PEP і списків негативних згадок у медіа, позначаючи аномалії для розгляду. Це механізм, який перетворює статичні дані KYC на живе управління ризиками.

Для криптокомпаній є додатковий, специфічний обовʼязок, відомий як правило подорожей (travel rule). Згідно з Регламентом про перекази коштів, Регламентом (ЄС) 2023/1113, інформація про відправника та одержувача має супроводжувати перекази криптоактивів між постачальниками незалежно від суми. Перекази до або від самостійно розміщених гаманців понад 1 000 євро запускають додаткову перевірку того, що клієнт контролює гаманець.

Регулятори перевіряють документи та рішення, а не добрі наміри. Програма проходить аудит, коли кожен із наведених будівельних блоків існує, задокументований, пропорційний ризику компанії та явно діє на практиці. Averium консультує щодо програми та її юридичної достатності на нейтральній до постачальників основі, тож рамка будується так, щоб витримати наглядовий орган, а не підлаштуватися під конкретний інструмент.