Крипто- и финтех-компании обычно сталкиваются с проблемами не потому, что забыли фразу «risk-based approach». Проблема начинается раньше. Никто не закрепил владельца AML-файла, не описал, какая продуктовая линия попадает в регуляторный периметр, и не обновил контрольную логику после выхода в новый платежный или криптовалютный поток.
Именно в этом главный вопрос 2026 года. Не в том, важен ли AML. Важен. Вопрос в другом: сможет ли банк, платежный партнер или регулятор с одного честного прочтения понять ваш бизнес и увидеть, как реально устроены контроли. Здесь сходятся комплаенс-поддержка Corpenza, общий обзор AML, гид по выбору бухгалтера для иностранной компании и материал о типичных ошибках комплаенса, ведущих к штрафам.
Какой первый AML-вопрос стоит перед крипто- или финтех-компанией в 2026 году?
Первый вопрос касается периметра, а не документов. Нужно понять, какая деятельность регулируется, кто надзирает и не изменился ли бизнес-модель после запуска. FCA прямо пишет, что компания должна зарегистрироваться, если хочет оказывать криптоуслуги, подпадающие под Money Laundering Regulations, и если фирма действует в Великобритании, регистрация нужна до начала деятельности. В США руководство FinCEN 2019 года напоминает, что рамка Bank Secrecy Act для money services businesses может применяться к моделям, связанным с convertible virtual currency и стоимостью, заменяющей валюту.
Это важно, потому что многие финтех-основатели все еще считают, что лицензированный партнер закроет весь AML-вопрос за них. Иногда sponsor bank или EMI действительно несет основной лицензионный периметр. Но это не отменяет вашего собственного операционного файла. Логика онбординга, вопросы source of funds, ownership по эскалациям и реакция на риск все равно должны быть закреплены внутри компании. Меняется продукт, значит должен меняться и файл.
У криптокомпаний это проявляется еще жестче. Кошелек превращается в exchange-flow. Treasury-инструмент начинает затрагивать клиентскую стоимость. Появляется новый fiat on-ramp. Для продуктовой команды это может выглядеть как обычный релиз. Для AML это уже новая конфигурация риска.
Какие базовые AML-контроли ожидает увидеть регулятор?
Регулятор ожидает рабочий контрольный стек, а не красивую папку для data room. На AML-странице FCA указано, что фирмы под надзором по MLR должны проводить risk assessment, иметь appropriate systems and controls, выполнять due diligence, назначать MLRO и возлагать общую ответственность на директора или senior manager. Это и есть базовая форма программы в 2026 году.
На практике хороший AML-пакет выглядит скучно. Карта рисков по продуктам и клиентам. Матрица стран. Правила KYC. Триггеры EDD. Ответственный за санкционный screening. Сценарии мониторинга. Порядок suspicious activity escalation. Правила хранения данных. Отчетность для руководства. Надзор за vendors. Если какой-то из этих элементов живет только в голове одного человека, это не контроль. Это риск зависимости.
Финтех-команды часто ломаются на стыке продукта и комплаенса. Меняется onboarding journey. Принимается новый тип документа. Добавляется новый merchant segment. А policy-файл остается старым. Затем внешний партнер быстро находит разрыв. У криптокоманд типичная проблема иная. Мониторинг проектировали под маленький поток и не перестроили, когда скорость и объем транзакций выросли.
Как travel rule меняет AML-файл криптокомпании?
Она превращает данные о переводе в операционное требование. FCA пишет, что с 1 сентября 2023 года криптофирмы в Великобритании обязаны собирать, проверять и передавать информацию о переводах криптоактивов, то есть выполнять Travel Rule. В ЕС Регламент (EU) 2023/1113 об информации, сопровождающей переводы средств и некоторых crypto-assets, уже действует и применяется с 30 декабря 2024 года.
Это значит, что AML-файл больше не заканчивается на этапе клиентского KYC. Он должен заходить в сам трансферный поток. Какие данные собираются. Какие переводы ставятся на review. Как определяется counterparty. Что делать, если другая юрисдикция внедряет правило по другому календарю. Как фиксируются исключения. Кто принимает решение о выпуске перевода при неполных данных. Это нельзя прятать под расплывчатой строкой «ongoing monitoring».
Небольшие криптофирмы обычно ощущают трение именно здесь. Они покупают vendor-решение, предполагают, что вопрос закрыт, и не прописывают внутреннего владельца процесса. Регулятор не считает это выходом. Сама FCA подчеркивает, что фирма остается ответственной за compliance даже при использовании третьих лиц. Эту мысль стоит включить в любой план внедрения.
Где финтех-компании ошибаются даже без прямой крипто-экспозиции?
Они ошибаются там, где операционный рост обгоняет дисциплину файла. Приложение выходит в новую страну. Добавляется более рискованный сегмент клиентов. Растут очереди ручной проверки. Ответы на partner due diligence собираются из разрозненных папок. AML policy формально есть, поэтому всем кажется, что база закрыта. Чаще всего нет.
Типовые пробелы повторяются. Данные о beneficial ownership устаревают. Заметки по source of funds расходятся по разным каналам онбординга. Пороговые значения мониторинга остались на прошлогоднем объеме. Один compliance-аналитик фактически выполняет работу целой escalation-функции. А senior manager, указанный в policy, программой реально не управляет. Поэтому так важен материал о распространенных ошибках комплаенса. Штрафы обычно приходят после долгого периода обычного дрейфа.
Есть и финансовый слой. Быстрорастущий финтех может оптимизировать holding-структуру, налоговую архитектуру и коммерческий rollout. Хорошо. Но структура бизнеса все равно должна оставаться читаемой. Гид по международной налоговой оптимизации полезен только тогда, когда комплаенс-файл ясно объясняет ownership story и это может понять внешняя сторона.
Что должно входить в audit-ready AML pack в 2026 году?
В нем должно быть достаточно содержания, чтобы третья сторона увидела, как контроли реально работают. Не только то, что написано в policy. Обычно это актуальная risk assessment, распределение ролей, процедуры KYC и EDD, логика screening, правила transaction monitoring, обработка travel rule там, где она релевантна, цепочка incident escalation, governance evidence и признаки того, что программа обновляется вместе с бизнесом.
| Область | Что должно быть | Типичный сбой |
|---|---|---|
| Периметр | Карта услуг, стран и надзорной логики | Старый launch memo принимают за текущую правду |
| CDD | Правила по документам, триггеры EDD и ownership-checks | Разные каналы требуют разный набор доказательств |
| Мониторинг | Сценарии, escalation-шаги и evidence review | Пороговые значения заморожены, хотя объем вырос |
| Governance | Линия MLRO, ответственность senior manager и board reporting | Формально назначенные владельцы не ведут файл на практике |
Это тот момент, когда внешняя поддержка начинает окупаться. Corpenza может выровнять корпоративный файл, комплаенс-стек и консультационный контур в одном процессе. Цель не в более толстой policy. Цель в файле, который выдержит нормальную проверку.
Когда основателям нужно перестраивать AML-программу, а не латать ее?
Когда продукт, география, профиль клиента или транзакционный паттерн изменились быстрее, чем документация. Новый fiat rail. Новый token-flow. Трансграничный merchant onboarding. Embedded finance. Более рискованные юрисдикции. Переход из B2B в B2C. Это не маленькие правки. Они меняют форму risk assessment и мониторинга.
Не ждите, пока жесткий банковский questionnaire сам покажет, что файл устарел. Это поздно. Перестраивать нужно до следующего запуска, до следующего раунда и до крупного partner review. Короткая мысль. Важная.
Лучшие AML-программы 2026 года снаружи все равно выглядят просто. Четкий периметр. Четкая ответственность. Четкое доказательство. Внутри много деталей, но сам файл читается легко. Обычно именно в этом разница между обычным onboarding и месяцем оборонительного follow-up.
FAQ
Нужен ли каждой финтех-компании такой же AML-стек, как криптобирже?
Нет. Файл должен следовать реальной бизнес-модели и регуляторному периметру. Но любая компания с более рискованным онбордингом, платежными потоками или тяжелыми партнерскими проверками нуждается в защищаемом control pack.
Может ли внешний vendor полностью взять на себя travel rule?
Нет. Vendor может поддерживать процесс, но результат, исключения и evidentiary trail остаются на стороне фирмы.
Что обычно ломается первым в масштабирующейся crypto AML-программе?
Логика мониторинга и ownership по escalation. Скорость транзакций растет быстрее модели review.
Когда нужно обновлять данные о beneficial ownership?
Когда меняются ownership, control или клиентский риск, а также перед серьезными банковскими или партнерскими проверками.
Это юридическая консультация?
Нет. Это общая информация. AML-обязанности зависят от юрисдикций, продуктов, контрагентов и фактической операционной модели.
Это общая информация, а не юридическая или налоговая консультация. AML-, crypto- и payment-правила меняются, а корректная контрольная рамка зависит от ваших продуктов, юрисдикций и контрагентов.
