Ничего личного, просто AML!
Всем нам сегодня приходится жертвовать своей приватностью, чтобы присутствовать в цифровой реальности, получать доступ к сервисам и услугам. И ладно бы только это, вы можете и не подозревать, что нарушаете закон, а вполне вероятно, вы это делаете.
Адвокат Харви Сильвергейт в своей книге «Три уголовных преступления в день» утверждал, что каждый, сам того не желая, ежедневно совершает преступления. А если вдруг вы привлечете внимание властей, вся ваша личная информация будет использована против вас, даже если вы думаете, что законопослушны и не совершаете каких-либо незаконных действий.
Вы скажете: ну и что? Это обычная практика! Но, говоря словами Сноудена - «Утверждать, что вам нет дела до права на неприкосновенность частной жизни, потому что вам нечего скрывать, ничем не отличается от того, что вы не заботитесь о свободе слова, потому что вам нечего сказать».
Теперь, похоже, жертва приватности в виде разных процедур идентификации личности (KYC, Know Your Customer или “знай своего клиента”) может и вообще оказаться напрасной. Вы ведь уже слышали о европейской директиве AML5 (5th EU Anti-Money Laundering Directive) от FATF, вступившей в силу 10 января 2020, которая не только дополняет уже существующие нормы валютного рынка, но и устанавливает новые правила для криптоактивов в странах Евросоюза.
И несмотря на то, что большинство финансовых компаний стараются соответствовать директивам, соблюдая процедуры KYC и AML (противодействие отмыванию денег), существует путаница и эти термины часто подменяются, становясь, своего рода, минным полем для проектов, которые лишаются лицензий и могут попасть на штрафы.
Так, процедура KYC подразумевает идентификацию личности клиента путем сбора конфиденциальной информации (документы, банковские счета и т.д.). Регуляторы предоставляют сервисам самим решать, какую информацию собирать, не существует единого стандарта, а реализация отдана на откуп множеству частных компаний.
При этом, верификация происходит (или должна происходить) на самом раннем этапе взаимодействия с клиентом, прежде, чем сервис начнет непосредственно предоставлять свои услуги.
В контексте крипто-проектов, например, биржи, клиент не может внести свои средства до того, как он прошел все процедуры. Соответственно, если представим, что клиентские деньги прошли миксер или “немножечко серые”, то, по итогу, биржа попросту должна отказаться начинать работу с клиентом, превентивно обезопасив себя от даже самого факта открытия проблемного счета. Клиент также остается при своих средствах, что, обратите внимание, важный для понимания момент.
Однако, на текущий момент, ситуация не столь радужна. Несмотря на то, что сейчас большинство бирж ввели практику практически обязательной верификации пользователей, делают они это уже после начала активной работы с клиентом, предоставления ему услуг и, главное, приняв от него активы на свои балансы.
Несмотря на существование разных уровней верификации, у всех есть общий момент - если клиент не проходит проверку, он не имеет возможности в дальнейшем использовать свои средства, уже введенные на площадку.
Практика показала, что KYC, сама по себе, достаточно ненадежная процедура. Отсутствие четких и единых правил позволяет мошенникам просто подобрать ту биржу, которая использует наиболее уязвимый вариант KYC-провайдера (ведь единого стандарта нет). Случай с группировкой Lazarus показал, что процедуры можно и просто обмануть, используя поддельные документы. А с развитием технологии AI и нейросетей, создать образ несуществующего человека уже не составляет труда.
Кроме отсутствия единого стандарта на KYC, существует проблема надлежащего хранения личных данных, с которой столкнулись многие криптоплатформы в 2019 году. Для примера, в августе прошлого года произошла утечка личных данных клиентов Binance, конфиденциальная информация 60 тыс. пользователей оказалась в руках хакеров. Такой же скандал не обошёл стороной BitMEX и Coinbase, где были раскрыты электронные адреса пользователей.
Теперь обратимся к концепции AML. Это уже комплексный подход, объединяющий в себе, как идентификацию и верификацию, так хранение и обмен информацией (о пользователях, их доходах, перемещении активов) между финансовыми организациями и федеральными ведомствами. Все это подчиняется законодательным нормам отдельно каждой юрисдикции в соответствии с рекомендациями FATF. На платформу возлагается обязательство проверять и контролировать всю историю клиентских транзакций.
Врезка: Все понимаю, что подчинение требованиям выливается для бизнеса в дополнительные издержки. Кроме прямых затрат на новый персонал, бизнес теряет новых клиентов и ухудшает уровень обслуживание текущих. Но давайте, как профессионалы, попробуем все измерить и подсчитать. Интересно? Смотрите подробный отчет о настоящей цене исполнения всех требований AML (https://www.lexisnexis.com/risk/intl/en/resources/research/true-cost-of-aml-compliance-apac-survey-report.pdf)
По сути, KYC - это маленькая шестеренка в большом колесе AML, и как показала практика - очень уязвимая шестеренка.
Если говорить о применении AML в криптовалютной сфере, то тут однозначно все должно быть проще и прозрачнее, так как мониторинг “чистоты” криптовалютных активов напрямую относится к истории транзакций, записанных в блокчейне, которую невозможно изменить либо подделать. Это более надежно как инструмент проверки и защиты от нелегальной деятельности.
К тому же, еще одним отличием AML является то, что такой скоринг автоматически функционирует в фоновом режиме (т.е. пользователь об этом не знает и не принимает участия), в то время, как прохождение KYC вызывает у многих головную боль и может послужить причиной отказа пользоваться тем или иным сервисом, не только с точки зрения приватности, но из-за простого неудобства и траты времени.
Получается, в то время как весь финансовый мир собирает горы личной информации для отслеживания финансовых потоков и пресечения нелегальной деятельности, для криптовалютной индустрии в этом нет необходимости. Достаточно интегрировать инструменты позволяющие на входе верифицировать криптовалютные адреса, чтобы отсечь возможность депозита нелегальных средств. По функциональности это можно сравнить с обычным фаерволом, только этот призван отсечь подозрительные финансовые потоки.
И, что самое важное, можно сохранить как приватность пользователей, в соответствии с фундаментальной концепцией криптовалют, так и “чистоту” крипторынка, в очередной раз демонстрируя преимущества цифровых активов над традиционными финансовыми инструментами.
На рынке уже есть несколько решений, которые позволяют в автоматическом режиме осуществлять проверку криптоактивов и избежать трудностей с дальнейшим их использованием. Сомнительные средства теперь просто не попадут к вам в кошелек или же не смогут быть переведены на биржу - сохраняя вам средства (ведь эта крипта, даже если она незаконная, она ваша по праву распоряжения приватным ключом).
Давайте подытожим. Будем честными, регуляторы пришли, свободы стало чуть меньше, процедур и требований, наоборот, больше. Повальное увлечение бирж внедрением процедур KYC несет в себе значительные риски для пользователей, при этом мало чем помогая самим биржам, ведь новые директивы AML5 требуют проводить полный мониторинг финансовой активности. Страдает, в результате, качество сервиса, пользователь недоволен. В худшем из сценариев, ночной кошмар наяву - биржа или провайдер теряет предоставленные по KYC приватные данные, при этом сами средства на бирже также блокируют.
Разумный выход в такой ситуации - опциональный KYC и полный AML, который в автоматическом режиме постоянно проверяет все транзакции и сигнализирует сразу о возможных осложнениях, просто не допуская на баланс подозрительные средства. Можно даже поставить двойной заслон - с одной стороны, клиент оберегает себя от поступления на его счет от контрагентов и “друзей” активов, которые могут не понравиться контролирующим органам. С другой стороны, платформа со своей стороны контролирует прозрачность всех переводов, при этом никак не взаимодействуя с чувствительной информацией о клиенте.
Итог - все стороны безоговорочно выигрывают! Клиент не может принять или отправить грязные деньги, биржа их не принимает, а тот, кто уже владеет подозрительными средствами - продолжает ими владеть, соблюдая главные принципы криптовалют, где тот, у кого ключ - полноправный владелец и подчиняется только математическим принципам.
Вячеслав Демчук CEO amlbot.com