KYC (Know Your Customer / «Знай своего клиента»)
В международной практике KYC представляет собой комплекс процедур по идентификации и изучению клиента, оценке его риска и мониторингу операций. В российском праве термин KYC не используется напрямую, однако по смыслу ему соответствует совокупность обязанностей по идентификации, упрощённой идентификации, изучению клиента и оценке уровня риска, закреплённых прежде всего в Федеральном законе № 115-ФЗ о ПОД/ФТ и подзаконных актах Банка России и Росфинмониторинга.
Цель KYC в понимании регулятора — противодействие легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма. Для бизнеса это ещё и инструмент управления репутационным, кредитным и операционным риском.
KYC-верификация (идентификация и упрощённая идентификация)
KYC-верификация представляет собой подтверждение данных клиента и их проверку по официальным источникам: госреестры, базы МВД, ФНС, ПФР и другие. В России закон предусматривает несколько форм:
- идентификация — полный набор данных, в том числе дистанционная через ЕСИА и ЕБС, приравненная к личному присутствию в ряде случаев;
- упрощённая идентификация — для ограниченного набора операций и сумм.
Отказ клиента от идентификации, как правило, означает невозможность установить длительные отношения и провести большинство финансовых операций, за исключением режимов, которые закон прямо допускает без идентификации, например анонимные переводы до 15 000 рублей.
Требования KYC (требования к идентификации по 115-ФЗ)
Это минимальный набор данных и процедур, который обязаны выполнять субъекты ст. 5 Закона № 115-ФЗ: банки, профучастники рынка ценных бумаг, операторы по приёму платежей, МФО и другие. Организация обязана:
- установить ключевые сведения о клиенте, его представителях, выгодоприобретателях и бенефициарных владельцах;
- выяснить цели финансово-хозяйственной деятельности и источники происхождения средств;
- присвоить клиенту уровень риска и выстроить соответствующий режим мониторинга операций.
С 2025–2026 годов требования дополнительно уточняются и ужесточаются через изменения в 115-ФЗ и новые требования к правилам внутреннего контроля (ПВК).
KYC-данные (персональные данные в рамках KYC)
KYC-данные — это персональные данные клиента, которые финансовая организация собирает и обрабатывает для идентификации личности, оценки риска и выполнения обязанностей по ПОД/ФТ. В типичный профиль физического лица входят:
- базовые идентификаторы: ФИО, дата и место рождения, гражданство, ИНН, СНИЛС, контактные данные;
- документальные данные: реквизиты документов, удостоверяющих личность; для иностранных граждан — миграционные документы;
- финансово-деловой профиль: сведения о доходах, источниках средств, статусе ПДЛ, наличии статуса бенефициарного владельца;
- технические данные: IP-адрес, идентификаторы устройств, поведенческие метрики антифрод-систем;
- биометрические данные (при необходимости): изображение лица, образец голоса для дистанционной идентификации через ЕБС.
Правовой режим
KYC-данные подпадают под действие двух правовых режимов сразу.
Закон № 152-ФЗ «О персональных данных» устанавливает общие принципы: законность, ограничение цели, минимизация данных, безопасность, права субъекта на доступ, исправление и удаление.
Закон № 115-ФЗ о ПОД/ФТ создаёт специальный режим, который в ряде случаев ограничивает права клиента по 152-ФЗ: организация обязана собирать определённые данные и хранить их, даже если клиент возражает или требует удаления. Нормы ПОД/ФТ имеют приоритет перед общим правом субъекта на удаление в части информации, обязательной для хранения.
Основания обработки
Большинство KYC-операций опирается не на согласие клиента, а на иные основания по ст. 6 Закона № 152-ФЗ:
- исполнение обязанностей, установленных федеральными законами (115-ФЗ, 161-ФЗ, 353-ФЗ и другими);
- исполнение договора: банк или МФО не может заключить договор, не собрав необходимых данных;
- защита прав и законных интересов оператора при оценке комплаенс-риска.
Согласие клиента остаётся важным, когда организация выходит за рамки строго необходимого KYC: передаёт данные третьим лицам в маркетинговых целях, ведёт расширенное профилирование сверх требований ПОД/ФТ или использует данные в иных, не предусмотренных договором целях.
Локализация
С 1 июля 2025 г. вступила в силу новая редакция ч. 5 ст. 18 Закона № 152-ФЗ (введена ФЗ от 28.02.2025 № 23-ФЗ): при сборе персональных данных граждан РФ их запись, систематизация, накопление и хранение должны осуществляться с использованием баз данных на территории России. Для KYC-процессов это означает следующее:
- основной контур хранения KYC-данных клиентов-граждан РФ должен находиться в России;
- использование зарубежных облачных платформ и SaaS-сервисов для первичной записи и хранения таких данных недопустимо без «российского якоря»;
- трансграничная передача данных после их первичной локализации в РФ возможна, но требует соблюдения условий ст. 12 Закона № 152-ФЗ и уведомления Роскомнадзора.
Нарушение требований локализации грозит административной ответственностью: штрафы до 10 млн рублей, при повторном нарушении до 18 млн рублей.
Сроки хранения
Сроки хранения KYC-данных определяются не только политикой компании, но и прямыми требованиями 115-ФЗ: сведения об идентификации и операциях клиента хранятся не менее пяти лет после прекращения отношений или проведения последней операции. Запрос клиента на удаление персональных данных не может быть удовлетворён в части информации, обязательной для хранения по 115-ФЗ. Организация обязана разграничить, что можно удалить, а что нет, и сообщить об этом клиенту.
KYC-профиль / анкета клиента
В российской практике KYC-профиль оформляется как анкета (досье) клиента, фиксирующая собранные сведения и результаты оценки риска. Кредитные организации ведут такие анкеты по формам, установленным Банком России (в частности, Положение № 499-П); для некредитных финансовых организаций действуют иные акты Банка России и Росфинмониторинга.
Ошибки, противоречия или сокрытие значимой информации (статус публично-должностного лица, реальный бенефициар, источник средств) повышают риск-класс клиента и могут стать основанием для отказа в операциях, расторжения договора и направления сведений в Росфинмониторинг.
KYC-статус и лимиты операций
Результат KYC-процедур — присвоенный клиенту статус, от которого напрямую зависят доступные лимиты и функции:
| Статус | Описание | Лимиты (с 30.05.2025) |
|---|---|---|
| Неперсонифицированный (анонимный) | Минимум данных, без идентификации | До 15 000 руб. за операцию |
| Упрощённо идентифицированный | Расширенный набор данных, без полного комплекта документов | До 100 000 руб. за операцию и остаток |
| Идентифицированный | Полный набор сведений и документов | Максимальные лимиты, полная линейка услуг |
Прохождение KYC превращает электронный кошелёк в полноценный финансовый инструмент: открывается доступ к переводам на банковские счета других лиц, снятию наличных и трансграничным операциям в пределах, установленных 161-ФЗ и актами Банка России.
KYC в крипто- и ЦФА-инфраструктуре
В сфере цифровых активов регулирование опирается на Закон № 259-ФЗ «О цифровых финансовых активах, цифровой валюте», который разграничивает ЦФА и цифровую валюту (криптовалюту) и прямо закрепляет, что цифровая валюта не является законным средством платежа на территории РФ.
Операторы информационных систем и операторы обмена ЦФА, а также криптобизнесы, работающие с резидентами РФ, внедряют KYC-процедуры по нескольким причинам:
- исполнение требований 115-ФЗ при наличии статуса субъекта финансового мониторинга;
- снижение риска блокировок банковских операций клиентов по признаку сомнительных операций;
- соответствие международным рекомендациям FATF по виртуальным активам.
KYC-компании и KYC-сервисы (RegTech)
KYC-компании в строгом юридическом смысле — это субъекты ст. 5 Закона № 115-ФЗ: именно они обязаны проводить идентификацию, оценку риска и мониторинг клиентов. Параллельно на рынке работают RegTech-провайдеры, которые не несут обязательств по ПОД/ФТ напрямую, но поставляют технологии: дистанционная идентификация, проверка документов и биометрии, скоринг по базам данных.
Для RegTech-сервисов принципиально важны два аспекта:
- соответствие требованиям 152-ФЗ и актам по защите информации (класс ИСПДн, аттестация/сертификация по линиям ФСТЭК/ФСБ при необходимости);
- легальная интеграция с государственными системами (ЕСИА, ЕБС, СМЭВ) только в пределах предоставленных законом полномочий и заключённых соглашений.
Часто задаваемые вопросы (FAQ)
1. В чём разница между KYC и идентификацией по 115-ФЗ?
KYC — международный рыночный термин, охватывающий весь цикл работы с клиентом: первичную проверку личности, оценку риска, мониторинг операций и периодическое обновление данных. Российский закон не использует слово «KYC», но закрепляет аналогичный по смыслу набор обязанностей в 115-ФЗ. На практике KYC и идентификация по 115-ФЗ описывают одни и те же процедуры, но с разных точек зрения: международного бизнеса и российского регулятора.
2. Нужно ли брать согласие клиента на обработку его KYC-данных?
Не всегда. Большинство KYC-операций осуществляется на основании закона (115-ФЗ) или договора, что является самостоятельным правовым основанием по ст. 6 Закона № 152-ФЗ. Согласие необходимо, когда обработка выходит за эти рамки: передача данных партнёрам в маркетинговых целях, расширенное профилирование, использование информации в целях, не предусмотренных договором.
3. Может ли клиент потребовать удалить свои KYC-данные?
Частично. Право на удаление (ст. 21 Закона № 152-ФЗ) не распространяется на сведения, которые организация обязана хранить по 115-ФЗ, как правило не менее пяти лет после прекращения деловых отношений. Организация должна разграничить, какие данные удалить можно, а какие нет, и письменно уведомить об этом клиента.
4. Что изменилось для KYC-данных с точки зрения хранения в 2025 году?
С 1 июля 2025 г. вступила в силу новая редакция ч. 5 ст. 18 Закона № 152-ФЗ: при сборе персональных данных граждан РФ их первичная запись, систематизация и хранение должны осуществляться исключительно с использованием баз данных на территории России. Для бизнеса это означает: зарубежные облачные KYC-платформы без «российского якоря» создают прямой регуляторный риск — штрафы Роскомнадзора до 18 млн рублей за повторное нарушение.
5. Кто несёт ответственность за KYC, если компания пользуется внешним RegTech-сервисом?
Большинство компаний-субъектов 115-ФЗ подключают готовые RegTech-платформы через API. Такие сервисы берут на себя интеграцию с государственными базами данных (МВД, ФНС, СМЭВ), проверку документов, сравнение биометрии и антифрод-скоринг. Юридическая ответственность за идентификацию остаётся за обязанной организацией — субъектом ст. 5 Закона № 115-ФЗ.
RegTech-провайдер поставляет технологию, но юридически субъектом финансового мониторинга не является. Примером такого RegTech-провайдера на российском рынке является IDX (iidx.ru): платформа автоматизирует онлайн-идентификацию и верификацию личности, помогая субъектам 115-ФЗ исполнять требования закона без создания собственной технической инфраструктуры.
Актуально по состоянию на март 2026 г.
