AML-аудит при лицензировании: что проверяют регуляторы

Лицензия на работу с криптовалютой в России — это не бюрократическая формальность, которую можно решить за неделю. Это результат того, что у компании либо выстроен цифровой комплаенс, либо его нет. Регулятор проверяет именно это. И компании, которые считали AML необязательным элементом, обнаружат, что у них нет не документов — у них нет процессов, которые эти документы должны описывать.

До 1 июля 2026 года должна быть готова законодательная база. С 1 июля 2027 года вводится ответственность за нелицензированную деятельность по аналогии с незаконной банковской — вплоть до уголовной. У рынка есть год переходного периода. Для тех, кто начинает сейчас, этого достаточно. Для тех, кто ждет финального текста закона, — скорее всего, нет.

Что именно проверяет регулятор

Концепция ЦБ, опубликованная в декабре 2025 года, прямо перечисляет обязательные условия для работы на рынке: регистрация российского юридического лица, внедрение процедур KYC/AML, хранение данных на территории РФ, использование инструментов блокчейн-аналитики, соответствие требованиям информационной безопасности. Это не список пожеланий — это условия допуска.

Требования к обменникам, включаемым в реестр ЦБ, обсуждаются конкретные: минимальный уставный капитал 35 млн рублей, полное соблюдение 115-ФЗ наравне с банками, обязательная блокировка подозрительных операций, имущественная ответственность перед клиентом при ненадлежащем исполнении антифрод-функций — по аналогии с механизмом ответственности банков по 161-ФЗ. Пороговый объем операций, от которого возникает обязанность входить в реестр, обсуждается на уровне 3,5 млн рублей в месяц.

Для бирж требования жестче: лицензия ЦБ, не реестр. Это полноценная регуляторная проверка — по модели, аналогичной лицензированию профессиональных участников рынка ценных бумаг.

Три блока, которые проверяют в первую очередь

Правила внутреннего контроля. Это первое, что запрашивает регулятор. Документ должен существовать не как декларация, а как действующий регламент: кто отвечает за AML, какие операции подлежат обязательному контролю, как формируются сообщения в Росфинмониторинг, как фиксируются и хранятся данные. Отсутствие правил внутреннего контроля — административное нарушение по статье 15.27 КоАП: штраф для должностных лиц до 30 тысяч рублей, для компаний до 100 тысяч. Но это меньшая из проблем: без этого документа лицензия не выдается в принципе.

KYC-процедуры и идентификация клиентов. Регулятор проверяет не наличие анкеты клиента, а работоспособность системы верификации. Идентифицированы ли клиенты в соответствии с требованиями 115-ФЗ? Есть ли процедура верификации при превышении пороговых сумм? Как компания поступает с клиентами из стран с высоким риском? Как обновляются данные о клиентах при изменении их профиля риска? Пробелы в любом из этих пунктов — основание для отказа.

Мониторинг транзакций и блокчейн-аналитика. Это новый обязательный элемент, которого раньше не было. Концепция ЦБ прямо указывает: использование инструментов блокчейн-аналитики — условие лицензирования. Регулятор хочет видеть, что компания умеет проверять происхождение средств на уровне блокчейна, а не только на уровне документов клиента. Адрес контрагента должен проходить через систему риск-скоринга. Результаты должны фиксироваться и храниться.

Что проверяется дополнительно

Помимо трех базовых блоков, аудит при лицензировании включает несколько дополнительных элементов.

Хранение данных. Все операционные данные должны храниться на территории РФ. Срок хранения документации по 115-ФЗ — не менее пяти лет. Это требование распространяется на историю транзакций, данные о клиентах, результаты верификации, сообщения в Росфинмониторинг. Компании, использующие зарубежные облачные решения без локального хранения, — в зоне риска.

Подключение к Росфинмониторингу. Лицензированные операторы обязаны передавать информацию в Росфинмониторинг. Это означает не просто техническую интеграцию, но и наличие комплаенс-офицера, прошедшего обучение и зарегистрированного в системе. Несвоевременная регистрация — отдельный состав нарушения по той же статье 15.27 КоАП.

Обучение персонала. Регулятор проверяет, есть ли в компании регулярный внутренний аудит комплаенс-процедур и обучение сотрудников. Это подтверждение того, что система работает, а не существует только на бумаге.

Информационная безопасность. Отдельный блок: как защищены данные клиентов, есть ли политика доступа к чувствительной информации, как компания реагирует на инциденты. Для бирж с крупными объемами это может включать аудит инфраструктуры.

Почему AML-аудит нельзя делать в последний момент

Компании, которые подходят к лицензированию с вопросом «какие документы нужно подготовить», как правило, обнаруживают, что им нужно не готовить документы, а выстраивать процессы с нуля. Разница принципиальная: документы можно написать за две недели, процессы — нет.

Правила внутреннего контроля описывают то, что уже работает. Если нет истории транзакционного мониторинга, нет зафиксированных решений по подозрительным операциям, нет журналов проверок контрагентов — документ будет формальным, и регулятор это увидит.

Именно поэтому AML-аудит перед лицензированием — это оценка разрыва между тем, что есть, и тем, что должно быть. Такой аудит занимает от нескольких недель до нескольких месяцев, в зависимости от состояния текущих процессов.

Что делать сейчас

Переходный период, который предусматривает концепция ЦБ, — это окно для легализации, а не отсрочка. Компании, которые используют его для выстраивания реальных AML-процессов, к моменту подачи заявки окажутся в принципиально другом положении, чем те, кто будет действовать по ситуации.

Минимальный практический шаг — провести внутреннюю оценку текущего состояния комплаенса по трем ключевым блокам: правила внутреннего контроля, KYC-процедуры, блокчейн-аналитика. Для каждого блока — зафиксировать, что есть, чего нет и что нужно сделать для приведения в соответствие с требованиями 115-ФЗ и концепции ЦБ.

Инструменты для блокчейн-аналитики уже существуют и интегрируются в операционный процесс без длительного внедрения. Сервисы вроде КоинКит позволяют автоматически проверять адреса контрагентов, формировать отчеты о риск-профиле и фиксировать результаты проверок в документальном виде.