加密与金融科技公司通常不是因为忘了“risk-based approach”这句话而出问题。真正的麻烦更早出现。谁拥有AML文件没有写清楚,哪一条产品线进入监管边界没有定义,产品进入新的支付流或加密资产流后哪些控制必须同步调整,也没有真正落到文件里。
这才是2026年的核心问题。不是AML重不重要。它当然重要。真正的问题是,银行、支付合作方或监管机构能不能在认真读完一次之后,就看懂你的业务如何运转、风险如何被控制。Corpenza的合规支持、更宽口径的AML总览文章、为境外公司选择会计师的指南,以及关于会触发处罚的常见合规错误的文章,都属于同一个控制层。
2026年,加密或金融科技公司首先要问的AML问题是什么?
第一问是监管边界,不是文档数量。什么活动受监管,谁来监督,业务上线后模型有没有变化。FCA明确写道,如果你想提供落入反洗钱法规范围的加密资产服务,就必须注册,而且在英国开展相关业务的公司必须在开始前完成注册。美国方面,FinCEN 2019年的指引提醒市场,Bank Secrecy Act下的money services business框架可能适用于涉及convertible virtual currency以及替代货币价值的某些业务模型。
这件事重要,是因为很多金融科技创始人仍然以为持牌合作方会把AML问题全部兜住。有时sponsor bank或EMI确实承担主要牌照边界。没错。但这并不消除你自己的运营文件。谁拥有onboarding逻辑,谁回答source of funds问题,谁决定升级处理,谁把产品变化翻译成控制变化,这些责任仍然必须留在公司内部。产品变了,文件就要变。
在加密业务里,这个问题更尖锐。钱包功能变成exchange流程。Treasury工具开始接触客户价值。新的fiat on-ramp接入。对产品团队来说这可能只是新功能。对AML来说,它已经是新的风险结构。
监管机构希望在AML体系里看到哪些基础控制?
他们想看到的是能运转的控制栈,不是给data room准备的漂亮政策文件。FCA的反洗钱页面写得很直接,受MLRs监管的公司需要进行风险评估,建立适当的系统和控制,执行尽职调查,任命MLRO,并把总体责任交给董事或高级管理人员。这就是2026年的基本形状。
真正好的AML运营包看起来往往很普通。产品与客户风险图,国家矩阵,KYC规则,EDD触发条件,制裁筛查责任人,监测场景,可疑活动升级路径,记录保存规则,管理层报告,vendor监督。如果其中任何一项只存在于某个人脑子里,它就不是控制,而是依赖。
金融科技团队最常见的断点,出现在产品和合规的交接处。Onboarding流程变了。接受了新的文件类型。增加了新的merchant segment。政策文件却没有动。等到合作方尽调时,空白就暴露出来。加密团队常见的另一类问题是,监测机制是按小规模流量设计的,交易速度和体量起来之后却没有重做。
Travel rule会怎样改变加密公司的AML文件?
它把转账元数据变成了操作要求。FCA说明,从2023年9月1日起,英国加密资产企业必须收集、核验并共享加密资产转账信息,这就是Travel Rule。欧盟方面,关于资金及某些加密资产转移伴随信息的2023/1113号条例已经生效,并且自2024年12月30日起适用。
这意味着AML文件不能停在客户开户环节。它必须深入到转账流程本身。采集哪些数据。哪些转账要被拦下做review。如何识别counterparty。不同司法辖区以不同时点实施时怎么办。例外如何记录。信息不完整时谁有权限放行。所有这些,都不能被模糊地塞进“ongoing monitoring”一句话里。
小型加密公司通常最早在这里感受到摩擦。它们买了vendor工具,就以为流程问题已经解决,却没有写清内部所有权。监管机构不会把这当成干净的豁免路径。FCA自己的声明已经说得很清楚,即使使用第三方,合规结果仍由公司负责。这句话应该出现在每一个实施计划里。
即使没有直接加密业务,金融科技公司最常在哪些地方出错?
当运营增长快过文件纪律时,错误就会出现。应用进入新国家。更高风险的客户群被加入。人工审查队列变长。合作方尽调回复来自分散的文件夹。公司仍然有AML policy,所以大家都以为基础已经覆盖。往往没有。
常见空白很有规律。Beneficial ownership信息过期。不同onboarding渠道里的source of funds说明互相打架。监测阈值仍停留在去年的规模。一个合规分析师实际上在扛整个升级处理功能。政策里挂名的senior manager并没有真实管理该项目。这就是为什么常见合规失误那篇文章有价值。处罚往往来自长期的日常漂移,而不是突然事件。
这里还有财务层面。高速增长的金融科技公司可能会优化holding结构、税务路径和商业落地顺序。很好。但业务结构仍然必须可读。国际税务优化指南只有在合规文件能把ownership story讲清楚时才真正有帮助。
2026年,一份可审计的AML运营包应该包含什么?
它必须有足够的实质内容,让第三方看到控制是如何真实运作的,而不只是政策怎么写。通常应当包括最新风险评估、角色归属、KYC与EDD流程、筛查逻辑、交易监测规则、适用时的travel rule处理、incident escalation路径、治理记录,以及业务变化时程序同步变化的证据。
| 领域 | 应当存在的内容 | 常见失误 |
|---|---|---|
| 边界 | 服务、国家和监管逻辑映射 | 把旧的launch memo当成当前事实 |
| CDD | 文件规则、EDD触发和所有权核查 | 不同渠道要求的证明材料不一致 |
| 监测 | 场景、升级步骤和review证据 | 体量翻倍了,阈值却没改 |
| 治理 | MLRO汇报线、高管责任和董事会报告 | 文件里有名字,实际没人运营 |
这也是外部支持开始变得高效的节点。Corpenza可以把公司文件、合规控制层和咨询入口放进同一实施流程。目标不是让政策更厚。目标是让文件经得起审视。
创始人什么时候应该重建AML程序,而不是继续打补丁?
当产品、地域、客户结构或交易模式变化的速度快过文档更新时。新的fiat rail。新的token flow。跨境merchant onboarding。Embedded finance。更高风险的司法辖区。从B2B转向B2C。这些都不是小修小补。它们会改变风险评估和监测逻辑的形状。
不要等银行发来一份棘手问卷,才告诉你文件已经过时。那已经晚了。应当在下一次上线之前、下一轮融资之前、以及下一次重要合作方尽调之前完成重建。短句。很重要。
2026年最好的AML项目,从外面看仍然很简单。边界清楚,责任清楚,证据清楚。内部工作可以很细,但文件本身要读起来干净。这通常就是顺畅onboarding和数周防御式follow-up之间的差别。
常见问题
每一家金融科技公司都需要和加密交易所一样重的AML体系吗?
不需要。文件应当跟随真实业务模型和监管边界。但任何面对更高风险onboarding、支付流或密集合作方尽调的公司,都需要一套可辩护的控制包。
第三方vendor能否完全接管travel rule?
不能。Vendor可以支持流程,但结果、例外和证据链仍然归公司所有。
扩张中的加密AML项目最先坏掉的通常是什么?
通常是监测逻辑和升级处理责任。交易速度增长快于review模型,文件很快就和真实流量脱节。
Beneficial ownership数据应该何时更新?
当所有权、控制或客户风险事实发生变化时,以及重要银行或合作方审查之前。
这是不是法律意见?
不是。这是一般信息。AML义务取决于司法辖区、产品、交易对手和真实运营模型。
本文仅为一般信息,不构成法律或税务意见。AML、加密和支付规则会变化,正确的控制框架取决于你的产品、司法辖区和交易对手。
