KYC для криптообменников и P2P-площадок: отличия от бирж

P2P-площадка и криптообменник — не «облегчённая версия» биржи, а отдельный класс платформ с другой логикой рисков и другими требованиями к идентификации. Биржа видит обе стороны сделки и контролирует расчёты. Обменник и P2P-площадка, как правило, нет: деньги ходят между физлицами, документы никто не проверяет, а учётная запись может принадлежать совсем другому человеку. KYC-верификация пользователей — вопрос операционной безопасности платформы.

Чем криптообменники и P2P-площадки отличаются от бирж по рискам

Биржа — посредник с полным контролем над расчётами. Она знает, кто покупает, кто продаёт, и держит средства клиентов внутри платформы до исполнения ордера. Криптообменник и P2P-площадка работают иначе: деньги уходят напрямую между физлицами через банковские переводы, СБП или карты третьих лиц, а платформа лишь фиксирует факт сделки.

Разные модели расчётов создают разные профили рисков. На бирже неизвестная личность пользователя — риск для регулятора. На P2P-площадке неизвестная личность контрагента — риск для каждого участника сделки и для самой платформы.

Три типа рисков, характерных именно для P2P и обменников:

• Подстановка личности. Учётная запись может быть куплена, арендована или зарегистрирована на подставное лицо («дропа»). Внешне сделка выглядит чистой: кошелёк не в стоп-листе, пользователь ничем не отличается от добросовестного, но деньги отправляет и получает совсем другой человек.
• Серые цепочки. Деньги приходят не от владельца учётной записи, а от его клиентов или посредников. Банк может расценить это как транзит от неизвестных лиц и триггер для проверки по 115-ФЗ.
• Несанкционированные возвраты. Покупатель крипты, он же плательщик по банковской операции, инициирует оспаривание перевода в своём банке уже после получения криптовалюты, заявив о несанкционированной операции. Продавец теряет актив, а его счёт попадает под подозрение: он получил деньги и «не вернул».

На бирже эти три сценария значительно менее вероятны благодаря внутренним расчётам и обязательному KYC при регистрации, хотя полностью не исключены. На P2P они случаются регулярно.

Какие требования к идентификации меняются в 2026 году

Законопроект «О цифровой валюте и цифровых правах», одобренный Правительством РФ и внесённый в Госдуму в апреле 2026 года, принят в первом чтении 8 мая 2026 года. По нему операции с цифровой валютой резидентов РФ должны будут проходить только через регулируемых посредников, включённых в реестр или получивших лицензию Банка России. Требование работать исключительно через таких посредников вводится поэтапно — с 1 июля 2027 года, тогда как сам закон при принятии вступает в силу с 1 июля 2026 года. С этого момента криптообменники и P2P-площадки, работающие с российскими пользователями, становятся субъектами финансового мониторинга по 115-ФЗ в части идентификации клиентов и мониторинга операций.

Для операторов P2P-площадок законопроект ставит прямой выбор: получить статус криптообменника с включением в реестр Банка России и соответствовать требованиям к минимальному уставному капиталу (35 млн руб.) и ПОД/ФТ — или прекратить работу с российским рынком. Отдельно установлен порог обязательного включения в реестр — оборот свыше 3,5 млн руб. в месяц. Это два разных критерия: первый — имущественный барьер входа, второй — операционный порог надзора.

Конкретные требования, которые вступят в силу при принятии закона:

• Идентификация каждого пользователя обязательна до первой операции.
• Документально подтверждённая личность с проверкой по государственным базам данных — паспорт РФ плюс сверка по реестрам.
• Хранение KYC-досье — не менее 5 лет с прекращения отношений с клиентом (п. 4 ст. 7 115-ФЗ). Обработка и сбор персональных данных — только с использованием баз данных на территории РФ (ч. 5 ст. 18 152-ФЗ в ред. с 01.07.2025).
• Назначение ответственного сотрудника по ПОД/ФТ.
• Передача сведений о подозрительных операциях в Росфинмониторинг.

Требование локализации данных критично для платформ, которые исторически использовали иностранные облачные сервисы для хранения KYC: оно уже действует по 152-ФЗ вне зависимости от принятия нового законопроекта.

Почему P2P-сценарии особенно чувствительны к 115-ФЗ

По действующему праву P2P-площадки формально не являются субъектами финансового мониторинга по 115-ФЗ напрямую — закон адресован банкам, профучастникам рынка ценных бумаг и ряду других организаций. Однако банки применяют 115-ФЗ не к криптоплатформе, а к банковскому счёту её пользователя. Блокировки происходят не на бирже, а на карте в Сбербанке, Т-Банке или любом другом банке.

Схема «чёрного треугольника» — наглядный пример. Пользователь продаёт крипту на P2P-площадке. Покупатель переводит ему деньги не со своей карты, а со счёта жертвы мошенничества. С точки зрения банка и правоохранительных органов продавец крипты получил деньги от мошеннической операции — даже если он об этом не знал. Следствие: блокировка счёта, запрос по 115-ФЗ, иногда вызов в МВД для дачи объяснений.

Для платформы это означает конкретные правовые риски:

• Если она не проводила идентификацию, она не может подтвердить, что учётная запись принадлежит реальному лицу.
• Если она не хранит документы о сделках, ей нечего предоставить по запросу регулятора или банка.
• Если у неё нет процедуры ПОД/ФТ, любой крупный инцидент превращается в регуляторный кейс.

Два сценария, которые прямо затрагивают платформу:

Дроп-схемы. Учётная запись зарегистрирована на реального человека, но фактически используется третьим лицом. Без проверки живого присутствия (liveness detection) при регистрации это обнаружить невозможно. С 2025 года введена уголовная ответственность за передачу банковских карт третьим лицам (ФЗ № 176-ФЗ от 24.06.2025, ст. 187 УК РФ); МВД отдельно предложило распространить аналогичную норму на передачу крипто-аккаунтов, законопроект на стадии обсуждения.

Серые цепочки. Профессиональный трейдер работает через посредников: его клиент переводит деньги, трейдер — крипту. Платформа видит верифицированную учётную запись с хорошей историей, но источник фиата остаётся неизвестным. Для банка это сигнал транзита. P2P-площадки, которые внедряют полноценный KYC, снижают оба риска: подстановка личности исключается через liveness и сверку с базами, серые цепочки становятся видны через мониторинг паттернов операций.

Как выстроить KYC для обменника без перегруза UX

Большинство обменников теряют пользователей не из-за самой верификации, а из-за того, как она встроена в интерфейс: лишние шаги, ручной ввод, ожидание оператора. Отказы на этапе KYC чаще всего связаны не с документами пользователя, а с архитектурой потока верификации. Единый API-запрос решает это: пользователь проходит верификацию один раз за 1–2 минуты и больше не замечает.

Базовый сценарий

Для обменника с российскими пользователями минимально необходимый KYC-контур включает три шага:

1. Проверка паспорта РФ — сканирование или фото документа с извлечением данных и сверкой по государственным базам.
2. Селфи с проверкой живого присутствия (liveness detection) — подтверждение, что человек за экраном совпадает с фото в документе и не является распечаткой, маской или дипфейком.
3. Проверка связки ФИО + телефон — дополнительный сигнал, что номер зарегистрирован на то же лицо.

После прохождения трёх шагов у платформы есть результат верификации документа, подтверждение живого присутствия и привязка к номеру телефона — минимальный пакет, достаточный для защиты при споре.

Когда включать усиленную проверку

Базовый контур охватывает большинство пользователей. Усиленный включается тогда, когда риск-правила фиксируют отклонение от нормального паттерна:

• Операция превышает пороговое значение (например, эквивалент 1 млн руб. в рамках ст. 6 115-ФЗ).
• Устройство пользователя ранее не встречалось на платформе (сигнал цифрового следа устройства — device fingerprint).
• Поведенческий паттерн отличается от обычного: нетипичный объём, нетипичный контрагент, нетипичное время.
• Параметры операции содержат признаки транзита.

В этих случаях платформа запрашивает дополнительные документы: подтверждение источника средств, ИНН, выписку. В усиленный контур попадает небольшая часть пользователей — те, чьи паттерны операций или объём сделок сработали как риск-сигнал.

Что хранить по каждому клиенту

По требованиям 115-ФЗ (ст. 7) платформа обязана хранить:

• Документы, удостоверяющие личность клиента.
• Сведения о сделках.
• Записи о результатах идентификации.
• Переписку и запросы по спорным операциям.

Срок хранения — не менее 5 лет с даты прекращения отношений с клиентом (не с даты идентификации) (п. 4 ст. 7 115-ФЗ). Пока клиент активен, пятилетний срок не исчисляется. Досье хранится в базах данных на территории РФ.

Какие процессы нужны для спорных операций

Несанкционированный возврат — обратная сторона P2P-модели. Пользователь продаёт крипту, получает подтверждение перевода и освобождает актив. Через несколько часов банк инициирует возврат: покупатель заявил, что перевод был несанкционированным. Если у платформы нет задокументированного следа сделки, доказать факт добровольного перевода практически невозможно.

Минимально необходимый след по каждой спорной операции:

• Результат KYC с временной меткой и идентификатором верификации.
• Отчёт о проверке живого присутствия — подтверждение, что в момент сделки перед камерой находился живой человек, владелец предъявленного документа.
• Цифровой след устройства (device fingerprint) — параметры устройства, с которого совершена операция. Помогает связать учётную запись с конкретным устройством при расследовании.
• Скриншоты переписки внутри платформы — подтверждение условий и факта оплаты.
• Журнал действий — время начала сделки, подтверждения, освобождения актива.

Процедура реагирования на спор строится из трёх шагов:

• Заморозка — операция приостанавливается согласно внутренним правилам платформы по жалобе контрагента или уведомлению банка.
• Сбор доказательной базы — выгрузка всех данных по сделке из перечня выше.
• Эскалация — передача пакета документов в банк, Росфинмониторинг или правоохранительные органы по запросу.

Без этого пакета документов платформа оказывается в заведомо невыгодной позиции при споре.

Когда покупатель крипты обращается в свой банк с заявлением о несанкционированном списании, банк проводит проверку по ст. 9 Федерального закона № 161-ФЗ и при выполнении клиентом предусмотренных законом условий (своевременное уведомление, отсутствие нарушения правил использования ЭСП) обязан вернуть средства заявителю. Счёт продавца при этом может оказаться под ограничениями: банк вправе отказать в проведении операций или запросить пояснения об экономическом смысле поступлений в рамках внутреннего контроля по 115-ФЗ. Если платформа не вела идентификацию пользователей, её продавец не сможет ни подтвердить добровольный характер сделки, ни обратиться за поддержкой к платформе — документальной базы для защиты попросту нет. При последующем запросе правоохранительных органов ни платформа, ни её пользователь не смогут восстановить доказательную цепочку операции.

Какая KYC-модель подходит бирже, обменнику и P2P-площадке

Три типа платформ работают с разной логикой расчётов, разными регуляторными обязательствами и разным уровнем риска — поэтому их KYC-архитектура тоже различается.

P2P-площадка несёт самый высокий операционный риск при самом слабом техническом контроле над расчётами. KYC-верификация пользователей — её главный инструмент защиты. Платформа с прозрачным процессом идентификации вызывает больше доверия у трейдеров, которые хотят избежать блокировок.

IDX — российская платформа онлайн-идентификации, работающая с криптоплатформами, МФО и операторами инвестиционных сервисов. Проверка паспорта РФ, liveness и сверка по государственным базам в режиме реального времени — результат за ~10 секунд. Интеграция через API.

Посмотреть решение для криптовалютных платформ →

Смотрите также:

• Анализ цифрового следа устройства: как device fingerprint помогает бороться с подменой личности в финтехе
• Как криптоплатформе не попасть под блокировку банковского счёта