За інформацією від Coindesk, у 2022 році користувачі криптовалют втратили $4 млрд через різноманітні шахрайські схеми, атаки "rug pull" та взломи. Хоча збитки значно зменшилися у 2023 році, користувачі криптовалют все ще ставали жертвами шахраїв, втративши $2 млрд.
Для боротьби з цими викликами компаніям, що займаються криптовалютами, необхідно впроваджувати ефективні заходи з пом'якшення ризиків та запобігання шахрайству. Одним з таких заходів є KYC (Знай свого клієнта), який ми опишемо в цій статті.
Що означає KYC у криптоіндустрії?
Know Your Customer (KYC) — це процедура, яку використовують фінтех-компанії для перевірки осіб перед відкриттям для них нового рахунку. KYC перевірка спрямована на запобігання шахрайству, відмиванню грошей та іншим незаконним діям. Ця процедура також допомагає компаніям виконувати вимоги AML.
Як визначено Bank Secrecy Act (BSA) деякі компанії у сфері криптовалют розглядаються як банки і повинні виконувати вимоги цього закону, оскільки такі компанії здійснюють операції з обміну грошових коштів (наприклад, долари США) у криптовалюту (наприклад, біткоїн). Тому для них важливо мати програму KYC для дотримання законодавства.
KYC включає декілька етапів для підтвердження особи клієнта та перевірки наявності підозрілої активності перед наданням доступу до біржі криптовалют, гаманця або інших криптопродуктів.
Процес KYC включає чотири ключові елементи:
- Ідентифікація клієнта
CIP — перший етап при відкритті нового рахунку для клієнта. На цьому етапі потрібно підтвердити особу клієнта, використовуючи конкретні дані, такі як ім'я, дата народження, адреса та ідентифікаційний номер. Компанія перевіряє цю інформацію на достовірність, порівнюючи документи особи з офіційними базами даних.
- Перевірка клієнта
Після підтвердження особи клієнта потрібно оцінити ризик його незаконних дій. Для цього компанія перевіряє наявність клієнта у списках спостереження (наприклад, глобальні списки політично важливих осіб (PEP), осіб/організацій із спеціальним інтересом (SIP/SIE), родичів та близьких асоційованих осіб (RCA) та списки терористів) і аналізує попередні транзакції, кредитну історію та географічне розташування. Для розуміння діяльності та потенційних майбутніх дій бізнес-клієнтів потрібні додаткові документи, такі як біографії керівників та фінансові звіти.
- Розширена перевірка клієнта
Якщо на етапі CDD виявлені потенційні ризики, проводиться EDD, що включає збір додаткових документів, дослідження походження коштів, моніторинг транзакцій та проведення виїзних перевірок для більш глибокого розуміння профілю клієнта.
- Постійний моніторинг
Бізнеси клієнтів розвиваються, тому для виявлення будь-якої підозрілої активності або змін у ризик-профілі компанії проводиться регулярний моніторинг. Цей етап включає аналіз нових партнерств, бізнесів, відносин з постачальниками, ЗМІ та змін у керівництві.
Збір особистої інформації у процесі KYC викликає питання про безпеку особистих даних. За посиланнями можете прочитати, як дотримуватися CCPA і GDPR, та зробити збір та обробку персональних даних законною.
Які наслідки невиконання KYC?
Невиконання вимог AML/KYC для криптокомпаній може призвести до значних фінансових втрат і, у певних випадках, змусити компанії призупинити свою діяльність.
Наприклад, у 2023 році засновник платформи обміну криптовалюти Bitzlato Анатолій Легкодимов був визнаний винним у відмиванні грошей. Bitzlato позиціонувалась як платформа з мінімальною ідентифікацією користувачів і дозволяла реєструвати облікові записи на "фіктивних осіб". Прокуратура додала, що команда знала про злочинців, які використовували їхній сервіс. У рамках угоди про співпрацю Легкодимов погодився закрити Bitzlato і відмовитися від претензій на приблизно $23 млн, пов'язаних з активами, які були конфісковані у бізнесу.
У 2023 році штрафи, накладені на криптоіндустрію за недостатні програми AML, перевищили $5,8 млрд.
У 2024 році біржу Binance визнали винною у відмиванні грошей. Компанія погодилась сплатити понад $4 млрд в якості компенсації.
У березні 2024 року федеральні прокурори США звинуватили біржу криптовалют KuCoin у порушенні законів про боротьбу з відмиванням грошей. KuCoin обслуговувала понад 30 мільйонів клієнтів без впровадження програми KYC. Навіть після виконання вимог KYC у 2023 році процедура KYC не розповсюджувалась на існуючих клієнтів.
У квітні 2024 року Шакіб Ахмеда — колишнього інженера з безпеки Amazon — було визнано винним у крадіжці понад 12,3 мільйона доларів з двох криптовалютних бірж за допомогою експлойтів і засуджено до трьох років ув'язнення. Він атакував дві децентралізовані криптобіржі. У першому випадку Шакіб Ахмед використовував фальшиві дані про ціни, щоб отримати завищені комісії на суму приблизно 9 мільйонів доларів, а потім вивести ці комісії у вигляді криптовалюти. У другому випадку він скористався вразливостями смарт-контракту криптобіржі Nirvana, щоб придбати криптовалюту за цінами нижче запланованих, яку він оперативно перепродавав назад Nirvana за завищеними цінами. Шакіб Ахмед вкрав 3,6 мільйона доларів. Сума становила практично всі активи Nirvana, що призвело до закриття компанії незабаром після нападу.
Щоб приховати походження вкрадених коштів, Ахмед використовував обширні методи відмивання. До них входили проведення транзакцій з обміну токенів, переказ доходів від шахрайства з блокчейну Solana в Ethereum за допомогою обманних засобів, конвертація доходів від шахрайства в Monero, використання закордонних криптобірж і міксерів криптовалют, таких як Samourai Whirlpool.
Цей випадок ще раз нагадує, наскільки важливо впроваджувати AML/KYC для криптокомпаній.
У 2025 році криптовалютну біржу BitMEX оштрафували на 100 мільйонів доларів після того, як Комісія з торгівлі товарними ф'ючерсами США (CFTC) та Агентство з протидії фінансовим злочинам (FinCEN) виявили значні недоліки в її AML практиці та процедурі KYC. Невиконання компанією ефективної програми AML/KYC призвело до того, що вона дозволяла клієнтам торгувати анонімно, без перевірки їх особистих даних та оцінки потенційних ризиків, пов'язаних з переказами коштів на її платформі.
Потенційні наслідки невиконання вимог AML/KYC включають:
- Штрафи. Бізнеси, визнані винними у порушеннях AML/KYC, можуть отримати значні штрафи від регулюючих органів. В залежності від серйозності порушень ці штрафи можуть становити від тисяч до мільйонів доларів.
- Відкликання або призупинення ліцензії. Регулюючі органи можуть призупинити або відкликати ліцензії на криптобізнес, який не відповідає вимогам.
- Кримінальне переслідування. У серйозних випадках особи, пов'язані з бізнесом, можуть зіткнутися з кримінальними звинуваченнями.
- Конфіскація активів. Влада має право конфіскувати активи або кошти, що брали участь у підозрілих або незаконних транзакціях.
Регулюючі органи по всьому світу посилюють контроль за дотриманням законів про запобігання шахрайству, відмиванню грошей та інших протиправних дій. 2024 рік має стати роком реалізації глибоких заходів по AML/KYC для уникнення потенційних ризиків, фінансових втрат і шкоди репутації.
