KYC и AML на крипторынке: полный гид для платформ в РФ

Как криптоплатформам в России выстраивать KYC и AML в 2026 году, если часть требований уже действует, а часть пока остаётся проектом? Разбираем различия KYC и AML, этапы верификации и актуальные правовые рамки.

KYC и AML на крипторынке нужны для разных задач, но работают в одной связке. KYC отвечает за идентификацию клиента, а AML охватывает более широкий контур контроля операций и подозрительной активности. Для российского рынка в 2026 году важно учитывать один нюанс: часть требований уже закреплена в действующих нормах, а часть по-прежнему остаётся на уровне законопроекта. Поэтому единый обязательный режим для всех криптоплатформ пока нельзя считать окончательно действующим (карточка законопроекта № 1194918-8, Федеральный закон № 38-ФЗ, обзор ГАРАНТ по 38-ФЗ).

Что такое KYC и AML на криптоплатформе

KYC, Know Your Customer — это совокупность процедур идентификации и верификации клиента до допуска к операциям. На практике сюда входят сбор базовых сведений о человеке, проверка документа, сопоставление человека с документом, а также дополнительные проверки по реестрам и релевантным источникам риска.

AML, Anti-Money Laundering — это более широкий набор мер по противодействию отмыванию преступных доходов и финансированию терроризма. В этот контур обычно входят мониторинг операций клиента, выявление подозрительных сценариев, внутренняя эскалация, хранение досье и исполнение обязанностей перед уполномоченными органами.

На крипторынке эту связку проще всего понимать так: KYC отвечает на вопрос «кто перед нами», AML — на вопрос «что делает этот клиент и насколько это рискованно». Поэтому KYC выступает первым слоем комплаенс-контура, но не заменяет его целиком.

Исторически логика AML выросла из банковского регулирования, а затем была распространена на цифровые активы через международные стандарты и отраслевые практики. Для криптоплатформ это особенно заметно в технических процедурах KYC: при проверке документов, работе с биометрией и защите от попыток обойти верификацию с помощью фотографий, видеозаписей и масок.

Чем KYC отличается от AML

Параметр	KYC	AML
Главная задача	Установить и подтвердить личность клиента	Оценивать риск и выявлять подозрительную активность
Когда применяется	На входе в продукт и при значимых изменениях профиля	На всём протяжении отношений с клиентом
Основной объект проверки	Человек, его документ, биометрия, сведения из реестров	Операции, паттерны поведения, связи, маршруты перевода
Что является результатом	Верифицированный профиль клиента	Риск-модель, триггеры контроля, отчётность и меры реагирования
Что нельзя смешивать	KYC не заменяет мониторинг транзакций	AML не работает без качественной идентификации

В российском праве термин KYC не используется как самостоятельная юридическая категория. На практике ему соответствуют процедуры идентификации и обновления сведений о клиентах, правила внутреннего контроля, обучение сотрудников и порядок передачи информации в Росфинмониторинг, которые регулируются 115-ФЗ и подзаконными актами Банка России, Правительства РФ и Росфинмониторинга (официальный портал правовой информации, Росфинмониторинг, Банк России).

KYC‑процесс на криптоплатформе: этапы верификации пользователя

Ниже — типовой маршрут для высокорискового цифрового онбординга. Конкретный набор шагов зависит от бизнес-модели сервиса, пользовательского пути и того, подпадает ли компания под соответствующие требования 115-ФЗ.

1. Сбор базовых данных

На первом этапе платформа получает минимально необходимый набор идентификационных сведений и запрашивает документ. На практике в российских сценариях таким документом чаще всего выступает паспорт гражданина РФ.

2. Проверка документа

Следующий этап — распознавание полей документа и проверка его логической и формальной корректности. Обычно сюда входят извлечение основных атрибутов паспорта, проверка целостности данных и оценка признаков возможной подделки.

3. Селфи и сопоставление с документом

После проверки документа платформа должна убедиться, что документ предъявляет именно тот человек, который проходит регистрацию. На практике для этого используют фото или видеоселфи пользователя и сопоставляют их с изображением в документе.

4. Определение живости (Liveness detection)

Проверка живости нужна для того, чтобы отсечь сценарии с фотографией, записью с экрана, заранее подготовленным роликом или иным способом имитации присутствия человека. В современных KYC-решениях для криптоплатформ liveness уже воспринимается как базовый защитный слой цифрового входа, а не как дополнительная опция.

5. Проверки по реестрам и спискам риска

После подтверждения личности обычно добавляются проверки по перечням, реестрам и другим источникам риска. В зависимости от модели сервиса сюда могут входить проверка возраста, поиск по перечню террористов и экстремистов, сведения об исполнительных производствах, признаки банкротства, а также статус публичного должностного лица.

6. Риск-профиль и хранение досье

После онбординга платформа фиксирует результат проверки, уровень риска и дальнейшую логику работы с клиентом. Для субъектов, на которых распространяются требования 115-ФЗ, документы и сведения по идентификации подлежат хранению не менее пяти лет со дня прекращения отношений с клиентом, а в подзаконных требованиях Банка России аналогичный минимум закреплён для досье клиента (памятка Росфинмониторинга, требования к идентификации клиентов).

Какие риски закрывает KYC/AML для криптоплатформ

Снижение риска фрода на входе

Если платформа ограничивается только загрузкой документа без сверки лица, это повышает уязвимость процесса к регистрации по чужим данным, повторному использованию документов и атакам с дипфейками. Поэтому биометрический слой и механизмы защиты от подмены личности признаются базовыми мерами защиты цифрового входа.

Снижение комплаенс-риска

Качественная идентификация не закрывает весь AML-контур, но без неё невозможно корректно вести досье клиента, определять риски и объяснять банку или регулятору, кто именно совершал действия на платформе.

Повышение качества доказательной базы

Чем точнее зафиксирован путь клиента, тем проще восстановить картину действий при внутреннем расследовании, банковском запросе или споре о мошеннической операции. Для удалённого онбординга это особенно важно, поскольку доверие к клиенту формируется без очной встречи.

Законы и требования к KYC/AML для криптоплатформ в РФ в 2026 году

В российском регулировании крипторынка важно разделять то, что уже действует, и то, что пока только обсуждается на уровне законопроекта. Иначе легко смешать обязательные для бизнеса требования и нормы, которые пока остаются частью будущей модели регулирования. При этом общий вектор просматривается уже достаточно чётко: регулирование движется в сторону большей прозрачности криптоопераций, формализации статуса участников рынка и усиления требований к идентификации, хранению данных и внутреннему контролю.

Что уже подтверждено

Цифровая валюта признана имуществом для целей УК РФ и УПК РФ. Это следует из Федерального закона № 38-ФЗ от 20.02.2026, который закрепил соответствующие изменения в уголовно-правовом и уголовно-процессуальном регулировании (Федеральный закон от 20.02.2026 № 38-ФЗ, обзор ГАРАНТ по 38-ФЗ).
Федеральный закон № 221-ФЗ касается майнинга, майнинг-пулов и операторов майнинговой инфраструктуры. Он важен для рынка тем, что показывает направление регулирования. Регуляторная модель становится более детализированной, а значит, участникам рынка уже сейчас нужно готовиться к более формализованным требованиям, контролю и раскрытию сведений в зависимости от своей роли в экосистеме (разъяснение Росфинмониторинга, Федеральный закон № 221-ФЗ).
Требование о локализации персональных данных граждан РФ закреплено в части 5 статьи 18 Закона № 152-ФЗ. При сборе персональных данных оператор обязан обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных (текст статьи 18 на сайте Роскомнадзора, памятка Роскомнадзора).
Биометрические персональные данные требуют отдельного правового основания и корректно оформленной пользовательской документации. Статья 11 Закона № 152-ФЗ устанавливает специальные правила для обработки сведений, которые характеризуют физиологические и биологические особенности человека и используются для установления личности. Сценарии с селфи, сопоставлением лица с документом и проверкой живого присутствия нельзя описывать как обычную обработку персональных данных без дополнительных правовых оговорок (актуальная редакция статьи 11 Закона № 152-ФЗ в ГАРАНТ).

Часто задаваемые вопросы

Что такое KYC‑верификация на криптобирже в России?

KYC‑верификация на криптобирже в России — это подтверждение личности клиента по документу и, при дистанционной проверке, по селфи или видео для идентификации пользователя и снижения рисков фрода и AML‑нарушений.

Чем KYC отличается от AML?

KYC подтверждает, кто именно пришёл на платформу. AML отвечает за более широкий контур: мониторинг поведения, эскалацию подозрительных кейсов, хранение сведений и исполнение обязанностей по внутреннему контролю. Иными словами, KYC входит в AML-контур, но не исчерпывает его.

Обязаны ли все российские криптоплатформы внедрять KYC уже сейчас?

Единого режима, который уже сейчас одинаково обязывает все российские криптоплатформы внедрять KYC, пока нет, потому что законопроект № 1194918-8 остаётся на стадии рассмотрения в Госдуме (карточка законопроекта № 1194918-8). При этом для отдельных сегментов и субъектов финансового контура обязанности по идентификации и хранению сведений уже существуют, но автоматически переносить их на весь рынок криптобирж без привязки к конкретному правовому статусу нельзя.

Нужно ли получать согласие на селфи, face match и liveness?

Если платформа использует биометрические персональные данные для установления личности, нужно исходить из статьи 11 152-ФЗ: такая обработка допускается только при наличии письменного согласия, кроме прямо перечисленных законом исключений ( текст 152-ФЗ). Безопасная модель для KYC — заранее спроектированная документация, согласия и пользовательские уведомления, а не попытка подвести всё под общую формулу «достаточно договора».

Где в 152-ФЗ находится требование о локализации данных?

Корректная ссылка — часть 5 статьи 18 152-ФЗ. Она требует при сборе персональных данных граждан РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории России ( текст статьи 18 на сайте Роскомнадзора, памятка Роскомнадзора).

Как долго нужно хранить документы KYC?

Для субъектов, подпадающих под требования 115-ФЗ, документы и сведения по идентификации должны храниться не менее пяти лет после прекращения отношений с клиентом. Такой же минимум закреплён и в требованиях к досье клиента ( памятка Росфинмониторинга, требования к идентификации клиентов).