21.05.2026

KYC в 2026 году: что это, как работает и кому обязательно

Что такое KYC в 2026 году, как устроена процедура, кто обязан её проводить по 115-ФЗ, какие шаги проходит клиент и чем грозит отказ от идентификации. Базовый гид IDX.

KYC — процедура, с которой бизнес начинает работу с клиентом ещё до обслуживания: установить личность, оценить уровень риска и выполнить требования Федерального закона № 115-ФЗ. В 2026 году тема стала жёстче из-за разъяснения Банка России по лимиту 100 тыс. руб., новых правил дистанционной идентификации в МФК с 1 марта 2026 года и общего сдвига рынка от «сбора паспорта» к полноценному KYC-процессу с антифрод-проверками и журналированием действий.

Что такое KYC и зачем он нужен

KYC расшифровывается как Know Your Customer, «знай своего клиента». В международной практике процедура описана в материалах SWIFT по customer due diligence и в Рекомендации FATF № 10. На практике под KYC понимают связку процедур: идентификация, верификация, проверка по перечням, оценка риска и решение о приёме клиента на обслуживание.

KYC простыми словами

Если сервис просит ввести только ФИО и номер паспорта, полноценным KYC такую проверку называть нельзя. Зрелая процедура отвечает как минимум на три вопроса: кто перед компанией, можно ли ему оказывать услугу и нет ли у него повышенного риска по линии ПОД/ФТ, мошенничества и регуляторных нарушений. Требования к идентификации в контуре ПОД/ФТ закреплены в 115-ФЗ и международных стандартах FATF.

Зачем KYC нужен бизнесу

Для банка, МФО, инвестиционной платформы или криптосервиса KYC закрывает сразу несколько задач: снижает риск мошенничества, помогает выполнить требования 115-ФЗ, упрощает последующие проверки клиента и даёт доказательную базу на случай спора с регулятором или банком-партнёром. Для продуктовой команды KYC становится частью онбординга: при слабой проверке растёт fraud, при перегруженной падает конверсия.

Чем KYC отличается от CDD и EDD

В международной практике KYC рассматривают как общий контур проверки клиента, а CDD и EDD представляют собой уровни глубины этой проверки. Различие закреплено в Рекомендации FATF №10 и пояснено в Interpretive Note to Recommendation 10. CDD используется для базовой оценки клиента и его профиля, EDD применяют в сценариях повышенного риска: PEP, сложные корпоративные структуры, нестандартные транзакции.

На каких законах держится KYC в России

В России KYC нельзя объяснять только через удобство онбординга. Правовая база опирается прежде всего на 115-ФЗ, требования к идентификации клиентов и правила внутреннего контроля. В дистанционных каналах добавляется связка с 572-ФЗ о биометрии и 152-ФЗ о персональных данных.

Базовый закон: 115-ФЗ

Федеральный закон № 115-ФЗ устанавливает общую обязанность субъектов закона идентифицировать клиентов, их представителей, выгодоприобретателей и бенефициарных владельцев. На этом фундаменте держится вся KYC-модель в России: до начала обслуживания компания должна понять, с кем работает и в каком рисковом профиле находится клиент.

Что добавляет 572-ФЗ

Федеральный закон № 572-ФЗ регулирует использование биометрических персональных данных и работу с ЕБС как доверенной инфраструктурой идентификации и аутентификации. Актуальная нормативная база собрана в документах Единой биометрической системы. Для KYC в 2026 году это меняет архитектуру удалённой идентификации: документа и селфи уже недостаточно там, где закон или модель риска требуют использовать государственные биометрические механизмы.

Как сюда входит 152-ФЗ

Любой KYC-поток работает с персональными данными, а иногда и с биометрией. Состав, цель и сроки хранения данных нужно проектировать с оглядкой на обзор изменений в области персональных данных с 1 апреля 2026 года. Без этого антифрод и комплаенс начинают конфликтовать с требованиями по ПДн.

Почему KYC нельзя отделять от FATF

Российская логика KYC встроена в международную рамку FATF, где customer due diligence считается обязательным элементом AML/CFT-системы. Допустимость удалённой идентификации обоснована в Guidance on Digital Identity FATF и в самой Рекомендации FATF № 10. Главная идея FATF: цифровая идентификация допустима и может быть надёжной, если она строится на риск-ориентированном подходе и независимых, доверенных источниках данных.

Кто обязан проводить KYC в 2026 году

KYC обязателен далеко не одним банкам. Перечень субъектов закрепляет статья 5 115-ФЗ, а актуальный список поднадзорных категорий ведёт Росфинмониторинг.

Основные субъекты 115-ФЗ

К субъектам закона относятся банки, профессиональные участники рынка ценных бумаг, страховые компании, ломбарды, лизинговые компании, операторы по приёму платежей, микрофинансовые организации, операторы финансовых платформ, операторы ЦФА и другие категории, перечисленные в статье 5 115-ФЗ. В 2026 году вопрос «нужен ли мне KYC» обычно решается не маркетингом и не UX, а статусом бизнеса по закону.

Где KYC особенно критичен

К самым чувствительным зонам в 2026 году относятся МФО, платёжные сервисы, инвестиционные платформы и сервисы цифровых активов. После изменений для МФО с 1 марта 2026 года и публикации «Коммерсанта» об отсрочке штрафов для МФК за биометрию до 2027 года рынок одновременно получил новые обязанности и временную отсрочку санкций. Ошибки в идентификации быстро превращаются либо в мошенничество на входе, либо в регуляторные претензии.

Кому статья полезна, даже если субъект 115-ФЗ неочевиден

Тема важна продуктовым командам, интеграторам, DPO, antifraud-руководителям, гостиничным и BNPL-сценариям, где клиентский путь уже сейчас строится вокруг удалённой проверки документа и личности. Даже если бизнес формально не называет процесс KYC, по сути он решает те же задачи: проверить человека, снизить риск подмены личности и зафиксировать основания решения.

Как работает KYC на практике

Хороший KYC в 2026 году собран из нескольких этапов, а не из одного экрана регистрации. За «быстрой регистрацией» стоит последовательность проверок: контактный шаг, документ, проверка подлинности, биометрия, риск-логика и финальное решение. Внутри компании всё это собирается в трассируемый и юридически устойчивый процесс.

Типовой путь клиента

Во многих финтех-сценариях путь выглядит так:

Подтверждение телефона через SMS или звонок.
Загрузка паспорта или другого документа.
OCR и извлечение полей: ФИО, серия, номер, дата рождения, код подразделения и другие атрибуты.
Проверка документа на корректность, форматные ошибки и признаки подделки.
Селфи и проверка на живость (liveness detection) для защиты от фото, видео и дипфейков. Подробный разбор есть в обзоре «Liveness detection и защита от дипфейков: что должен уметь KYC-сервис в 2026».
Сверка лица (face matching) между селфи и фото в документе.
Проверки по перечням Росфинмониторинга, ограничениям и внутренним правилам риска.
Решение: одобрение, ручная проверка или отказ.

Где чаще всего ломается процесс

Слабых мест обычно три: плохое качество изображения документа, слабая защита от подмены (spoofing) и неправильная маршрутизация пограничных кейсов. Подробнее о том, как устроена проверка документа и на что смотреть при выборе подрядчика, разобрано в материале «Распознавание паспорта по API: как выбрать сервис и подключить за день».

Числовой пример

Возьмём онлайн-сервис, который обрабатывает 10 000 новых заявок в месяц. Если 3 % потока уходят на ручную проверку из-за слабого OCR, ненадёжной проверки на живость или отсутствия внятной риск-маршрутизации, получается 300 кейсов на ручной разбор. При росте до 100 000 заявок объём увеличивается до 3 000 кейсов в месяц. Команда теряет скорость онбординга, а затраты на операционку растут пропорционально.

Этап KYC	Что проверяется	Зачем это нужно
Документ	Реквизиты, полнота, структура, признаки подделки	Убедиться, что документ читается и не выглядит явно поддельным
Селфи и проверка на живость	Реальный человек перед камерой, а не фото или видео	Снизить риск подмены личности
Сверка лица	Совпадение лица с фото в документе	Связать документ и человека в одной сессии
Перечни и риск	Ограничения, признаки повышенного риска	Принять юридически и операционно устойчивое решение

Если в KYC‑потоке растёт доля manual review, пользователи часто «застревают» на селфи или появляются спорные кейсы по документам, можно мягко выровнять конверсию, отдельно настроив связку «проверка документа — liveness — риск‑маршрутизация».

Упрощённая и полная идентификация

В контентных материалах про KYC часто смешивают упрощённую и полную идентификацию, как будто речь об одном и том же. В 2026 году разница между ними стала особенно заметной из-за разъяснения Банка России по лимитам и специальных требований к дистанционным финансовым продуктам.

Что изменилось по переводам

Разъяснение Банка России фиксирует: при переводе без открытия банковского счёта на сумму более 100 тыс. руб. требуется полная идентификация или использование собственного банковского счёта. Для клиентов с упрощённой идентификацией без счёта лимит операций ограничен 100 тыс. руб., что подробно разобрано в обзоре лимитов на переводы Banki.ru.

Что изменилось для МФО

С 1 марта 2026 года для МФК действуют обязательные требования по биометрической идентификации клиентов при выдаче онлайн-займов. Для МКК аналогичный срок установлен на 1 марта 2027 года. При этом, как сообщает « Коммерсантъ» и подтверждает Banki.ru, Банк России до 1 января 2027 года воздерживается от применения мер надзорного характера к компаниям, которые не исполняют обязанность удалённой идентификации с использованием ГИС ЕБС.

В статье про KYC поэтому нельзя писать, будто с марта 2026 года рынок МФК уже массово штрафуют за отсутствие биометрии. Корректная формулировка другая: норма действует, подключение и переход к ЕБС остаются в повестке, но надзорные санкции по этой части временно отложены до начала 2027 года, что подтверждает IB-Bank.ru со ссылкой на письмо ЦБ.

Почему это важно не только МФО

Даже если бизнес не относится к микрофинансовому рынку, логика рынка уже изменилась: регулятор и клиенты ждут, что удалённая идентификация будет доказуемой, а не декоративной. Эта позиция подкреплена документами ЕБС и международным Guidance on Digital Identity FATF. Архитектура «загрузите паспорт и галочку согласия» в 2026 году выглядит устаревшей и слабой почти в любом чувствительном финтех-сценарии.

Какие риски возникают при слабом KYC

Слабый KYC опасен далеко не одним пропуском мошенника. К этому добавляется операционный хаос, спор с банком, претензия регулятора и проблемы с персональными данными.

Риски по 115-ФЗ и КоАП

Нарушения требований ПОД/ФТ влекут административную ответственность по ст. 15.27 КоАП РФ, размер санкций зависит от состава нарушения и его последствий. Для бизнеса серьёзен не только размер штрафа, но и сам факт претензии: после него обычно начинаются проверки процессов, журналов, анкет и внутреннего контроля. Юридически шаткая идентификация становится точкой входа для надзорной проверки.

Риски по перечням и ограничениям

Проверки по перечням нельзя считать формальностью. Перечень Росфинмониторинга объединяет лиц и организации, причастных к экстремистской деятельности или терроризму, а доступ для субъектов 115-ФЗ организован через личный кабинет. Если этот контур в KYC не встроен, у компании остаётся юридически опасная слепая зона.

Риски по персональным данным

Если KYC построен без учёта ПДн, бизнес получает двойную проблему: слабую идентификацию и одновременно нарушение правил обработки данных. После ужесточения ответственности санкции за повторные утечки могут доходить до 3 % годовой выручки и 500 млн руб., как разъясняют «Гарант» по 420-ФЗ и обзор 420-ФЗ на ppt.ru.

Что делать бизнесу в 2026 году

Сильный KYC в 2026 году строится вокруг маршрута принятия решения, а не вокруг отдельного модуля: какие данные собираются, как проверяется документ, где нужна проверка на живость, когда включается ручная проверка и как фиксируется результат. С такого ракурса видно, где бизнес теряет клиентов, а где пропускает риск.

Практический чеклист

Проверить, относится ли бизнес к субъектам 115-ФЗ и какие сценарии обслуживания попадают под обязательную идентификацию.
Разделить упрощённую и полную идентификацию по продуктам и лимитам согласно разъяснению Банка России.
Зафиксировать, какие данные реально нужны для цели KYC, а какие собираются «про запас».
Проверить, встроены ли в поток проверка на живость, контроль качества документа и риск-маршрутизация.
Отдельно описать fallback-сценарии: что делать, если OCR не уверен, фото размыто, лицо закрыто или скоринг не даёт однозначного решения.
Настроить журналирование и хранение результатов так, чтобы решение можно было объяснить через месяц и через год.

Где смотреть прикладные сценарии

Для отраслевых кейсов полезно отдельно смотреть материалы про KYC и AML на крипторынке и обзор изменений в области персональных данных с 1 апреля 2026 года. Именно там KYC перестаёт быть теорией и превращается в архитектуру продукта.

Часто задаваемые вопросы

Что такое KYC простыми словами?

KYC помогает компании понять, кто перед ней, можно ли обслуживать клиента и нет ли у него признаков повышенного риска. В базовой логике это сочетание идентификации, верификации и проверки по правилам ПОД/ФТ, закреплённым в Рекомендации FATF № 10.

Кому обязательно нужен KYC в России?

Прежде всего субъектам 115-ФЗ: банкам, МФО, страховым компаниям, профучастникам рынка ценных бумаг, операторам финансовых платформ, операторам ЦФА и другим категориям из статьи 5 закона. По факту похожие процессы нужны и сервисам с чувствительным удалённым онбордингом.

Можно ли считать KYC обычной проверкой паспорта?

Нет. Проверка паспорта остаётся только одним из элементов KYC. Полноценный процесс включает подтверждение личности, проверку на подмену, анализ риска, а в ряде сценариев ещё и проверки по перечням Росфинмониторинга и внутренним правилам комплаенса.

Что изменилось в KYC в 2026 году?

Главные изменения касаются двух вещей: лимит 100 тыс. руб. для переводов без счёта при упрощённой идентификации и новые требования к дистанционной идентификации в МФК с использованием ЕСИА и ЕБС с 1 марта 2026 года. При этом надзорные санкции для МФК за неисполнение этой обязанности временно отложены до 1 января 2027 года.

Чем опасен слабый KYC для бизнеса?

Слабая процедура повышает риск мошенничества, ошибок ручной проверки, отказов банков-партнёров, претензий по 115-ФЗ и проблем с персональными данными. В тяжёлых случаях дело доходит до штрафов до 500 млн руб., блокировок и переработки всего онбординга задним числом.

Можно ли пройти KYC полностью удалённо?

Да, для многих финтех-сервисов такой формат уже базовый сценарий. Надёжная удалённая процедура требует не только загрузки документа, но и проверки его качества, проверки на живость, сверки лица и понятной логики принятия решения, что подтверждает Guidance on Digital Identity FATF.

Какой первый вопрос должен задать себе бизнес перед внедрением KYC?

Сначала стоит ответить не на вопрос «какой виджет поставить на сайт», а на вопрос «какое решение должна принимать компания и на каких данных оно будет основано». От ответа зависит вся архитектура: от набора полей до глубины проверки и стоимости ручного ревью.