Что такое процедура KYC
Термин "Know your customer/client" (KYC) или «Знай своего клиента» является неотъемлемой составляющей системы комплаенс любых финансовых учреждений, включая тех, которые оказывают услуги в сфере криптовалют. Это не только криптовалютные биржи и обменники, но еще и сервисы хранения криптовалют, кредитования, привлечения инвестиций и краудфандинга. Как и банки, деятельность которых в любой точке мира не может осуществляться без лицензии, все регулируемые (т.е. имеющие лицензию) криптовалютные сервисы в той или иной мере соблюдают стандарты в области процедур KYC.
Строгость процедур может разниться в зависимости от юрисдикции и вида деятельности. Но если сервис работает с фиатной валютой и имеет лицензию MSB (money services business), то вероятнее всего, что все процедуры проводятся в строгом соответствии с международными стандартами.
Как же надежность и качество биржи зависит от того, как она проводит процедуры KYC и почему лучше с подозрением относиться к тем сервисам, которые такие проверки не проводят? Команда ШАРД решила внести ясность в понятие KYC, рассказав об особенностях применения данной процедуры и рисках ее отсутствия.
В самом общем смысле KYC - это процедура проверки персональных данных пользователя сервисом финансовых услуг, чаще всего, с предоставлением скан-копий документов, подтверждающих личность, данных о месте жительства, работы, электронной почте и телефоне, иногда с предоставлением фотографии или видео пользователя. Обычно такую процедуру проходят пользователи при регистрации на криптовалютной бирже, либо при инициации или подтверждении операции по переводу/выводу криптовалюты.
Чем обусловлена необходимость прохождения KYC
Развитие международного сотрудничества в сфере борьбы с организованной преступностью, отмыванием денег, финансированием терроризма и распространением оружия массового уничтожения повлекло за собой появление международных стандартов в финансовой сфере, требующих от всех организаций, которые так или иначе проводят операции с деньгами или иными ценностями, принимать меры по недопущению обслуживания преступников и связанных с ними лиц. Подобные процедуры давно стали стандартами в банковской области и их соблюдения требуют МВФ, Совет по финансовой стабильности G20, Базельский комитет и надзорные органы всех стран мира, за исключением, пожалуй, Северной Кореи. В международных стандартах, установленных Группой разработки финансовых мер по борьбе с отмыванием денег (FATF) в Рекомендациях №9, №10, №22, №23 также прописаны обязанности финансовых учреждений проводить процедуры KYC и установлен запрет на ведение анонимных счетов. Рекомендация №15 устанавливает такие же требования и к бизнесам, связанным с оборотом криптовалют и электронных денег.
В России несмотря на то, что страна в полной мере соблюдает все международные стандарты, требования распространяются только на традиционные финансы, а оборот криптовалют находится в «серой» зоне, в связи с отсутствием соответствующего регулирования. Мы неоднократно писали про это, как и о том, что запрет на оборот криптовалют внутри страны, который хотят установить власти, может спровоцировать миграцию этого бизнеса в «черную» зону либо вовсе за пределы государства. Естественно, ни о каком соблюдении стандартов в сфере комплаенс говорить не придется. Также это скажется и на безопасности рядовых пользователей, о чем так заботится Банк России.
Этапы проведения KYC
Основные этапы процедуры – сбор и проверка данных. Сюда также относится комплексная проверка и постоянный мониторинг пользователей. Сам термин KYC можно перевести как «Надлежащая проверка клиента», которая условно делится на несколько этапов:
1. Идентификация клиентов (Customer Identification Program (CIP))
Это первая часть KYC, которая заключается в обычном сборе информации о клиенте. Банки, как правило, выполняют ее во время регистрации. Аналогично происходит и при регистрации на лицензированной криптовалютной бирже. В России, к слову, первичная удаленная идентификация, по общему правилу, вообще запрещена. Есть исключения в виде пилота удаленной биометрической идентификации, но в целом – запрещена.
2. Верификация и комплексная проверка клиентов (Customer Due Diligence)
Верификацию компания проводит после идентификации. Верификация проводится для того, чтобы подтвердить, что Вы это именно Вы. Верификацию, отчасти, проводят и ряд российских обменников, работающих в «серой» зоне. Но это происходит, по большей части, чтобы клиент не использовал явно ворованные данные кредитной карты или документа, удостоверяющего личность.
На всех лицензированных площадках верификация проводится с помощью специального ПО, позволяющего сравнить Вашу фотографию на документе с Вашим реальным фото, а также предотвратить использование чужих или поддельных документов.
Чем больше финансовых услуг Вам предоставляет компания, чем больше суммы Ваших операций, тем более подробно будут изучать информацию о Вас. Компания будет стремиться выяснить не являетесь ли Вы чиновником, может запросить источники Вашего дохода, а также проверит Вашу деловую репутацию на предмет наличия компрометирующей информации, причастности к скам-проектам либо финансовым мошенничествам.
3. Оценка риска и мониторинг
Постоянный мониторинг обеспечивает актуальность данных о клиенте и позволяет системе тщательно анализировать операции, вызывающие подозрения. В случае признания Ваших операций подозрительными, биржа может приостановить учетную запись и сообщить об операциях в регулирующие и правоохранительные органы. Также переоценка риска клиента может произойти при изменении, уточнении персональных данных, предоставленных пользователем при первичной регистрации. Чем выше риск клиента, тем больше пользователь будет ограничен в функционале: например, не сможет выводить/заводить криптовалютные средства свыше определённого лимита.
В чем риск биржи/обменника без KYC
Многие, вероятно, замечали, что часть криптовалютных бирж не обслуживают клиентов из США. Это связано с тем, что власти Соединенных Штатов имеют возможности расследования преступлений практически во всем мире, а также имеют возможность наказать владельцев сервиса, который обслуживая американцев, не в полной мере выполняет американские требования. Так, за несоблюдение требований в сфере противодействия отмыванию денег под американские санкции попали такие сервисы, как Chatex и SUEX. Поэтому те сервисы, которые связываются с гражданами США и их деньгами, должны соответствовать всем международным стандартам в сфере комплаенс.
По этим же причинам, злоумышленники отмывают незаконно полученные средства, как в фиатных деньгах, так и в криптовалюте, используя те сервисы, где проверки KYC не такие серьезные или же не проводятся вообще.
Встречается достаточно бирж и обменников, которые напрямую заявляют, что не применяют процедуры KYC. Эти сервисы не особо публикуют информацию о компании, стоящей за биржей, зарегистрированы в оффшорной юрисдикции, но, чаще всего, и не совершают никаких операций с фиатными деньгами (например). Либо подобные сервисы не разрешают их совершение не верифицированным пользователям.
Также, мошенники активно пользуются сервисами, где KYC проводится «для галочки». Основные способы «преодоления» KYC барьера это приобретение уже верифицированных аккаунтов с привязанными картами. Такие аккаунты предлагают на профильных форумах и телеграмм-каналах, в том числе в даркнете. Другой путь верификации – подделка документов, данные для которых также можно получить из баз данных, скачанных на теневых форумах об утечке. Лицензированные компании, в большинстве случаев, оперативно выявляют использование такой информации и блокируют аккаунты, зарегистрированные с ее помощью.
Никто не отменял использование услуг так называемых «дропов» - это человек, который за небольшое вознаграждение предоставляет свои документы и данные для оформления аккаунта. Впоследствии «дроп» может обратиться в правоохранительные органы с заявлением об утере документов, чтобы уйти от ответственности. Использование сервисов, которые закрывают глаза на KYC опасно для пользователя, так как такой сервис, находясь условно в «серой» зоне, сам может в любое время прекратить свою работу и исчезнуть среди пальм Сейшельских островов или Гренады.
Подобные сервисы не только способствуют их использованию мошенниками, но и сами могут стать жертвой хакеров, в связи с тем, что требования к безопасности собственной системы там обычно не такие высокие, как у регулируемых надзорными органами площадок. Хакеры могут получить доступ как к данным аккаунтов пользователей, так и к их средствам.
Ну и последний момент. В случае, если Вы сами стали жертвой мошенника, то доказать принадлежность аккаунта именно Вам будет проблематично, если процедура KYC не была пройдена, а если это еще и случилось по вине сервиса, то привлечь его к ответственности также вряд ли получится.
Использование непроверенных сервисов может привести к очень серьезным последствиям, поскольку мошенникам легче обойти процесс проверки и, в дальнейшем, избежать ответственности за свои преступления. Единственный способ действительно качественно проверить проект – доверить это команде профессиональных, опытных криминалистов и аналитиков, например, специалистам платформы ШАРД.
В ближайшее время мы планируем запустить сервис, позволяющий за один клик оценить надежность того или иного сервиса криптовалют. Наш рейтинг будет опираться на международные стандарты, прозрачность и доступность данных, наличие негативной информации в СМИ и наличие связей операций в криптовалюте с теневыми источниками.
В любом случае, незаменимым инструментом для оценки риска криптовалюты является аналитическая платформа ШАРД, которая позволяет проверить адреса контрагента, изучить его предыдущую крипто-активность на предмет участия в сомнительных рисковых сделках, связанных со скам-проектами, финансовыми пирамидами и другими подозрительными активностями.
Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками Вы можете сообщить на сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.