Когда на компанию распространяются правовые требования AML/KYC
Требования по идентификации клиентов и противодействию отмыванию денег затрагивают значительно больший круг организаций, чем принято считать. Обязанности по проведению KYC-процедур возникают не только у банков, но и у широкого спектра компаний, работающих с денежными средствами, цифровыми активами или оказывающих финансовые услуги.
Виды компаний и операций, подпадающих под AML/KYC-законодательство
В российском правовом поле субъектами 115-ФЗ признаются организации, осуществляющие операции с денежными средствами или иным имуществом. К ним относятся кредитные организации, профессиональные участники рынка ценных бумаг, страховые компании, негосударственные пенсионные фонды, ломбарды, лизинговые компании, операторы по приёму платежей и факторинговые организации.
С развитием цифровой экономики под регулирование попали операторы финансовых платформ, операторы инвестиционных платформ, операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, а также операторы обмена цифровых финансовых активов. Микрофинансовые организации, потребительские кооперативы и организаторы азартных игр также обязаны проводить идентификацию клиентов.
Особое внимание законодательство уделяет операциям с недвижимостью и драгоценными металлами. Риэлторские организации при совершении сделок купли-продажи недвижимости на сумму от 3 млн рублей, организации почтовой связи при переводе денежных средств, а также ювелирные магазины при операциях с драгоценными металлами и камнями обязаны идентифицировать клиентов.
На международном уровне требования распространяются на криптовалютные биржи, краудфандинговые платформы, P2P-сервисы денежных переводов и провайдеров виртуальных активов (VASP). В юрисдикции Европейского союза под действие регулирования попадают трастовые компании, нотариусы, адвокаты при проведении финансовых операций для клиентов, аудиторы и налоговые консультанты.
Пороговые значения операций варьируются в зависимости от типа деятельности: для банковских операций — от 600 тыс. рублей для физических лиц и от 3 млн рублей для юридических лиц при снятии наличных; для операций с недвижимостью — от 3 млн рублей; для покупки ценных бумаг за наличный расчёт — от 600 тыс. рублей. При этом организации вправе устанавливать более низкие пороги идентификации по внутренним правилам контроля.
Основные источники требований: 115-ФЗ, ФЗ-152, рекомендации FATF, GDPR
Федеральный закон №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма» формирует основу российского AML-регулирования. Закон определяет круг субъектов, устанавливает обязательные процедуры идентификации, верификации и обновления данных клиентов, требования к внутреннему контролю и передаче информации в Росфинмониторинг. За невыполнение требований предусмотрены штрафы до 1 млн рублей для организаций и приостановление деятельности до 90 суток.
Федеральный закон №152-ФЗ «О персональных данных» регламентирует обработку персональных данных при проведении KYC. Закон устанавливает правовые основания для сбора биометрических данных, требования к защите информации, порядок трансграничной передачи и права субъектов персональных данных. С января 2025 года вступили в силу поправки, ужесточающие требования к локализации данных граждан РФ и усиливающие контроль за их трансграничной передачей.
Рекомендации FATF (Financial Action Task Force) представляют международный стандарт в области ПОД/ФТ, признанный 200+ юрисдикциями. 40 рекомендаций FATF охватывают риск-ориентированный подход к идентификации, меры должной осмотрительности (Customer Due Diligence), усиленную проверку политически значимых лиц (PEP), требования к хранению данных и внутреннему контролю. Россия как член FATF обязана имплементировать эти стандарты в национальное законодательство.
General Data Protection Regulation (GDPR) применяется к любым компаниям, обрабатывающим данные резидентов ЕС, независимо от местонахождения самой компании. Регламент устанавливает принципы минимизации данных, ограничения целей обработки, требования к документированию процессов и получению согласий. Штрафы за нарушение GDPR достигают 20 млн евро или 4% от годового оборота компании. При проведении KYC для европейских клиентов необходимо балансировать между обязательными требованиями по идентификации и правами субъектов на удаление данных, что создаёт правовую коллизию между AML-обязанностями и privacy-правами.
Национальные регуляторы постоянно усиливают требования: Банк России в 2024 году ввёл обязательную биометрическую идентификацию для ряда операций, а с июля 2025 года вступают новые требования к идентификации бенефициарных владельцев. Международные санкционные режимы также влияют на KYC-процедуры, требуя проверки клиентов по спискам OFAC, ООН, ЕС и национальным перечням экстремистов и террористов.
Требования KYC 115-ФЗ: кто обязан соблюдать и какие данные собирать
Федеральный закон №115-ФЗ формирует правовой фундамент системы противодействия отмыванию доходов в России. Закон устанавливает конкретные обязанности по идентификации клиентов для широкого круга организаций, определяет объём собираемой информации и регламентирует процедуры её обработки. Несоблюдение этих требований влечёт существенные финансовые и репутационные риски.
Субъекты 115-ФЗ и случаи, когда идентификация клиента обязательна
Статья 5 закона 115-ФЗ определяет исчерпывающий перечень организаций, обязанных проводить идентификацию. К ним относятся кредитные организации, профессиональные участники рынка ценных бумаг, страховые и лизинговые компании, операторы связи при предоставлении услуг подвижной связи, микрофинансовые организации, кредитные потребительские кооперативы, ломбарды, операторы по приёму платежей, организаторы азартных игр и операторы лотерей.
С 2024 года к субъектам 115-ФЗ добавились операторы финансовых платформ, операторы инвестиционных платформ, а также операторы обмена цифровых финансовых активов. Криптовалютные биржи и обменники, работающие с российскими клиентами, также обязаны соблюдать требования закона после вступления в силу поправок о цифровых валютах.
Идентификация становится обязательной при заключении договора банковского счёта или вклада, осуществлении операций с денежными средствами на сумму от 15 000 рублей (для почтовых переводов — от 50 000 рублей), операциях с недвижимостью свыше 3 млн рублей. Для операций по обмену валюты порог составляет эквивалент 40 000 рублей, для покупки ценных бумаг за наличные — 200 000 рублей.
Организации обязаны идентифицировать клиента независимо от суммы операции при наличии подозрений в легализации доходов или финансировании терроризма. Это требование распространяется на любые необычные сделки, не соответствующие целям деятельности клиента или не имеющие очевидного экономического смысла.
Обязательный объём данных о клиентах, представителях, выгодоприобретателях и бенефициарах
Положение Банка России №499-П устанавливает минимальный перечень сведений для идентификации физических лиц: фамилия, имя, отчество (при наличии), дата рождения, реквизиты документа, удостоверяющего личность, данные миграционной карты и документа, подтверждающего право пребывания в РФ для иностранных граждан, адрес места жительства или места пребывания, ИНН (при наличии), СНИЛС, контактная информация.
Для юридических лиц обязательными являются наименование, ИНН, ОГРН, адрес местонахождения, сведения о лицензиях на право осуществления деятельности, подлежащей лицензированию. Дополнительно устанавливаются сведения о целях установления деловых отношений, предполагаемом характере отношений, финансовом положении, деловой репутации, источниках происхождения денежных средств.
Особое внимание уделяется установлению бенефициарных владельцев — физических лиц, которые прямо или косвенно владеют более 25% в капитале клиента-юридического лица либо имеют возможность контролировать его действия. При невозможности выявления бенефициарного владельца им признаётся единоличный исполнительный орган.
С января 2025 года вступили в силу изменения, обязывающие организации устанавливать принадлежность клиентов и их бенефициаров к публичным должностным лицам (ПДЛ), включая иностранных ПДЛ, должностных лиц публичных международных организаций, а также их супругов, близких родственников и связанных с ними лиц.
Порядок идентификации, верификации и обновления KYC-данных по 115-ФЗ
Идентификация проводится на основании оригиналов документов или надлежащим образом заверенных копий. Для физических лиц основным документом является паспорт гражданина РФ, для иностранных граждан — паспорт иностранного государства с отметками о въезде или миграционная карта.
Упрощённая идентификация допускается для операций без открытия счёта на сумму до 15 000 рублей, переводов без открытия счёта до 200 000 рублей в месяц при условии прохождения клиентом удалённой идентификации через Единую систему идентификации и аутентификации (ЕСИА) или Единую биометрическую систему (ЕБС).
Организации обязаны обновлять сведения о клиентах не реже одного раза в год при повышенной степени риска, не реже одного раза в три года при стандартной степени риска. При низкой степени риска обновление проводится при возникновении сомнений в достоверности имеющихся сведений. Актуализация данных также требуется при изменении идентификационных сведений клиента.
Верификация предполагает подтверждение достоверности полученных данных с использованием оригиналов документов, сведений из достоверных источников, перекрёстной проверки информации. С 2024 года организации обязаны проверять действительность паспортов граждан РФ через сервисы МВД России.
Требования 115-ФЗ к хранению документов и информации KYC
Документы, являющиеся основанием для проведения операций, и сведения по идентификации клиентов подлежат хранению в течение пяти лет со дня прекращения отношений с клиентом. Информация о движении средств по счетам и об операциях клиентов также хранится пять лет с даты совершения операции.
Хранение осуществляется в форме, позволяющей воспроизвести документы в неизменном виде. Допускается хранение в электронном виде при условии использования квалифицированной электронной подписи и соблюдения требований к защите информации. Документы должны быть доступны для предоставления уполномоченным органам в течение пяти рабочих дней с момента получения запроса.
Организации обязаны обеспечивать конфиденциальность и защиту хранимой информации от несанкционированного доступа, копирования, распространения. При этом должна быть обеспечена возможность оперативного поиска и предоставления документов по запросам Росфинмониторинга и правоохранительных органов.
При прекращении деятельности организации документы передаются на хранение в государственный архив либо правопреемнику. Уничтожение документов до истечения установленных сроков хранения влечёт административную ответственность.
Ответственность и санкции за нарушение KYC-требований 115-ФЗ
Административная ответственность по статье 15.27 КоАП РФ предусматривает штрафы для должностных лиц от 30 до 50 тысяч рублей, для юридических лиц — от 400 тысяч до 1 млн рублей за неисполнение требований законодательства в сфере ПОД/ФТ. Повторное нарушение влечёт дисквалификацию должностных лиц на срок до трёх лет и приостановление деятельности организации до 90 суток.
Непредставление сведений в Росфинмониторинг влечёт штраф от 200 до 400 тысяч рублей для организаций, от 20 до 30 тысяч для должностных лиц. За разглашение информации о принимаемых мерах противодействия легализации доходов предусмотрен штраф до 50 тысяч рублей для граждан, до 500 тысяч — для юридических лиц.
Банк России вправе ограничить или запретить отдельные операции кредитной организации, ввести запрет на привлечение денежных средств физических лиц, отозвать лицензию при систематическом нарушении требований 115-ФЗ. Для некредитных финансовых организаций предусмотрены предписания об устранении нарушений, ограничение действия лицензии, исключение из реестра.
Уголовная ответственность по статье 174.1 УК РФ наступает за легализацию денежных средств, приобретённых лицом в результате совершения им преступления, и предусматривает лишение свободы до семи лет со штрафом до 1 млн рублей. Неисполнение обязанностей по контролю может квалифицироваться как соучастие в легализации преступных доходов при доказанном умысле.
Росфинмониторинг ведёт перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму. Включение в данный перечень влечёт блокировку счетов и невозможность проведения операций до исключения из списка.
KYC и ФЗ-152: как легально обрабатывать персональные данные при идентификации
Процедуры KYC неразрывно связаны с обработкой персональных данных клиентов — паспортных данных, биометрических характеристик, контактной информации, сведений об имуществе и доходах. При этом компании, внедряющие KYC-системы, сталкиваются с двойным регулированием: с одной стороны, закон 115-ФЗ обязывает их собирать и хранить определённый объём информации о клиентах, с другой — ФЗ-152 накладывает жёсткие ограничения на обработку персональных данных. Разберём, как соблюсти баланс между этими требованиями и избежать штрафов от Роскомнадзора.
Правовые основания обработки персональных данных в KYC-процессах
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» требует наличия правового основания для любой обработки персональных данных. В контексте KYC таких оснований может быть несколько, и выбор конкретного основания зависит от статуса организации и характера её деятельности.
Для субъектов 115-ФЗ (банки, страховые компании, платёжные агенты, микрофинансовые организации) основным правовым основанием выступает исполнение обязанности, предусмотренной законом (п. 2 ч. 1 ст. 6 ФЗ-152). Закон о противодействии легализации доходов прямо обязывает эти организации идентифицировать клиентов, проверять их данные и хранить соответствующую информацию в течение пяти лет. Это означает, что согласие клиента на обработку персональных данных в рамках обязательной идентификации не требуется — достаточно уведомить его о факте и целях обработки.
Компании, не являющиеся субъектами 115-ФЗ, но внедряющие KYC для управления рисками (маркетплейсы, криптобиржи, онлайн-сервисы), опираются на исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) или легитимный интерес оператора. При использовании легитимного интереса организация должна обосновать необходимость KYC-проверок для защиты от мошенничества, предотвращения финансовых потерь или обеспечения безопасности платформы. Важно документально зафиксировать это обоснование и провести оценку баланса интересов — права клиентов на приватность не должны нарушаться непропорционально.
Для обработки биометрических данных (распознавание лица, отпечатки пальцев) требуются усиленные правовые основания. Согласно ст. 11 ФЗ-152, биометрию можно обрабатывать только при наличии письменного согласия субъекта или в случаях, предусмотренных законодательством о противодействии терроризму и экстремизму. С июля 2024 года вступили в силу изменения, позволяющие обрабатывать биометрические данные для однократного прохода на территорию организации без согласия, но для постоянной идентификации в KYC-системах согласие остаётся обязательным.
Требования ФЗ-152 к уведомлению, политике обработки и назначению ответственного
Перед началом обработки персональных данных в рамках KYC организация обязана выполнить ряд организационных требований, установленных ФЗ-152.
Уведомление Роскомнадзора — первый обязательный шаг. До начала обработки персональных данных оператор должен направить в территориальное управление Роскомнадзора уведомление, содержащее сведения о целях обработки, категориях субъектов и персональных данных, сроках обработки и мерах защиты. Для KYC-систем важно корректно указать цели: «идентификация и верификация клиентов», «исполнение требований законодательства о противодействии легализации доходов», «предотвращение мошеннических операций». Уведомление подаётся через портал Роскомнадзора, рассматривается в течение 30 дней. Неподача уведомления влечёт штраф до 75 тысяч рублей для юридических лиц.
Политика обработки персональных данных должна быть разработана и опубликована на сайте организации до начала сбора данных. В политике для KYC-процессов необходимо отразить: правовые основания обработки для каждой категории данных; объём собираемых данных (ФИО, паспортные данные, СНИЛС, ИНН, биометрия); цели использования каждой категории данных; сроки хранения (минимум 5 лет для субъектов 115-ФЗ); порядок уничтожения данных после истечения сроков; меры защиты информации; права субъектов и порядок их реализации; контакты ответственного за обработку персональных данных.
Назначение ответственного за организацию обработки персональных данных обязательно для всех операторов с 1 сентября 2022 года. Ответственный координирует работу с персональными данными, контролирует соблюдение требований законодательства, взаимодействует с Роскомнадзором и субъектами персональных данных. В контексте KYC ответственный также должен обеспечивать согласованность процедур идентификации с требованиями 115-ФЗ и внутренними правилами ПОД/ФТ.
Требования к безопасности, хранению и ограничению доступа к KYC-данным
KYC-данные относятся к категории персональных данных, требующих повышенной защиты. Постановление Правительства РФ №1119 устанавливает четыре уровня защищённости персональных данных. Для типовых KYC-систем, обрабатывающих данные более 100 000 субъектов, применяется второй уровень защищённости (УЗ-2), требующий комплекса организационных и технических мер.
Технические меры защиты включают использование сертифицированных ФСТЭК и ФСБ средств защиты информации: межсетевые экраны, системы обнаружения вторжений (СОВ), средства антивирусной защиты, системы контроля целостности. Для биометрических данных обязательно применение средств криптографической защиты при передаче и хранении — шифрование по ГОСТ или использование квалифицированной электронной подписи. Все действия с KYC-данными должны фиксироваться в журналах аудита с невозможностью их модификации в течение срока хранения.
Организационные меры предполагают разграничение доступа к данным по принципу минимальной необходимости. Доступ к полным KYC-данным предоставляется только сотрудникам, непосредственно осуществляющим идентификацию и проверку клиентов. Остальные подразделения получают доступ к обезличенным или частичным данным. Обязательно ведение журнала учёта лиц, допущенных к обработке персональных данных, с указанием уровня доступа и перечня доступных операций.
Требования к хранению устанавливают обязательное размещение серверов с KYC-данными на территории России (ч. 5 ст. 18 ФЗ-152). Исключение составляют случаи, предусмотренные международными договорами, но для стандартных KYC-процедур локализация обязательна. Резервное копирование должно осуществляться с той же степенью защиты, что и основное хранилище. После истечения сроков хранения данные подлежат гарантированному уничтожению с составлением акта.
Трансграничная передача персональных данных в KYC-системах
Международные компании и платформы, работающие с клиентами из разных стран, сталкиваются с необходимостью трансграничной передачи KYC-данных. ФЗ-152 устанавливает строгие правила такой передачи, нарушение которых может привести к блокировке деятельности в России.
Страны с адекватным уровнем защиты — первый и самый простой вариант. Роскомнадзор утвердил перечень из 47 государств, обеспечивающих адекватную защиту персональных данных. В него входят страны ЕС, Канада, Израиль, Аргентина, Новая Зеландия и другие. При передаче KYC-данных в эти юрисдикции достаточно стандартного уведомления Роскомнадзора и включения информации о трансграничной передаче в политику обработки.
Страны без адекватной защиты требуют дополнительных гарантий. Для передачи данных в США, Китай, ОАЭ и большинство других стран необходимо получить письменное согласие субъекта на трансграничную передачу с указанием конкретной страны и целей передачи. Альтернативой может служить включение в договор с иностранным партнёром обязательств по защите персональных данных в соответствии с российским законодательством, но на практике получить такие гарантии от крупных международных провайдеров KYC-услуг проблематично.
Использование международных KYC-платформ создаёт дополнительные риски. Многие глобальные решения хранят данные в облачных инфраструктурах Amazon AWS, Microsoft Azure или Google Cloud, серверы которых расположены за пределами России. Формально это нарушает требование о локализации данных российских граждан. Решением может стать гибридная архитектура: первичное хранение на российских серверах с передачей за рубеж только обезличенных данных или результатов проверки без персональной информации.
Права субъектов данных и их реализация в рамках KYC
ФЗ-152 предоставляет субъектам персональных данных широкий спектр прав, которые должны соблюдаться даже при обязательной идентификации по 115-ФЗ.
Право на доступ к своим данным позволяет клиенту запросить информацию о том, какие его персональные данные обрабатываются в рамках KYC, с какими целями, кому передаются и на каком правовом основании. Оператор обязан предоставить эту информацию бесплатно в течение 30 дней. Для KYC-систем рекомендуется автоматизировать этот процесс через личный кабинет, где клиент может видеть собранные о нём данные и историю их использования.
Право на исправление неточных данных особенно актуально для KYC, где ошибки могут привести к блокировке операций. Клиент вправе потребовать исправления или дополнения своих данных, предоставив подтверждающие документы. Оператор обязан внести изменения в течение 7 рабочих дней или мотивированно отказать. При этом изменение данных не должно противоречить требованиям 115-ФЗ о достоверности идентификационных сведений.
Право на удаление данных (право на забвение) в контексте KYC имеет существенные ограничения. Субъекты 115-ФЗ не могут удалить данные клиента до истечения пятилетнего срока хранения, даже при отзыве согласия или прекращении договорных отношений. Однако после истечения этого срока данные должны быть уничтожены в течение 30 дней, если нет других законных оснований для хранения (судебные споры, налоговые проверки).
Право на ограничение обработки позволяет клиенту потребовать прекращения использования его данных для маркетинговых целей или передачи третьим лицам, не связанным с KYC-проверками. Это право не распространяется на обязательную идентификацию, но касается дополнительных способов использования данных.
Риски и штрафы за нарушение ФЗ-152 при проведении KYC
Нарушение требований ФЗ-152 при организации KYC-процедур может повлечь серьёзные санкции, размер которых существенно вырос после изменений в КоАП РФ в 2024 году.
Штраф от 100 до 300 тысяч рублей для юридических лиц. Типичное нарушение: сбор биометрических данных для KYC без письменного согласия или обработка избыточного объёма данных, не предусмотренного 115-ФЗ.
Штраф от 60 до 100 тысяч рублей. К этой категории относятся: отсутствие технических средств защиты соответствующего уровня, нарушение порядка доступа к данным, утечки информации по вине оператора. При повторном нарушении штраф увеличивается до 500 тысяч рублей.
Штраф от 1 до 6 миллионов рублей для первичного нарушения и от 6 до 18 миллионов при повторном. Это самые серьёзные санкции, которые могут применяться при использовании зарубежных KYC-платформ без соблюдения требований о хранении данных россиян на территории РФ.
Штраф от 40 до 80 тысяч рублей. Игнорирование запросов клиентов о предоставлении информации об обработке их данных или непредставление сведений по требованию регулятора.
Помимо административных штрафов, грубые нарушения могут привести к внесению в реестр нарушителей прав субъектов персональных данных с последующей блокировкой сайта на территории России. Для KYC-платформ это означает фактическую невозможность ведения бизнеса.
Важно понимать, что соблюдение ФЗ-152 при организации KYC — это не просто формальное требование, а необходимое условие для построения доверительных отношений с клиентами и защиты от репутационных рисков. Правильно выстроенная система обработки персональных данных в рамках KYC позволяет одновременно выполнить требования антиотмывочного законодательства и обеспечить права клиентов на защиту их персональной информации.
Международные стандарты KYC FATF: ключевые требования к идентификации клиентов
Группа разработки финансовых мер борьбы с отмыванием денег (FATF) — межправительственная организация, основанная в 1989 году по инициативе G7, которая устанавливает международные стандарты и разрабатывает политики для борьбы с отмыванием денег и финансированием терроризма на национальном и международном уровнях. Рекомендации FATF, последний раз обновлённые в октябре 2025 года, формируют комплексную и согласованную систему мер, которые страны должны внедрять для противодействия отмыванию денег, финансированию терроризма и распространению оружия массового уничтожения.
Стандарты FATF носят универсальный характер — они приняты более чем 200 странами и признаны глобальным эталоном в области ПОД/ФТ. Для российских компаний, работающих с международными клиентами или планирующих выход на зарубежные рынки, соответствие требованиям FATF становится обязательным условием успешной интеграции в мировую финансовую систему.
Роль FATF и базовые требования к KYC/Customer Due Diligence
FATF определяет Customer Due Diligence как фундаментальный элемент противодействия отмыванию денег. Рекомендация 10 FATF запрещает финансовым организациям вести анонимные счета или счета на вымышленные имена и устанавливает обязательные процедуры надлежащей проверки клиентов.
Меры CDD должны применяться при установлении деловых отношений, проведении разовых операций свыше установленного порога (15 000 долларов США/евро), при подозрении в отмывании денег или финансировании терроризма, а также при сомнениях в достоверности ранее полученных идентификационных данных.
Базовый комплекс мер Customer Due Diligence включает четыре обязательных компонента. Первый — идентификация клиента и проверка его личности с использованием надёжных независимых источников документов, данных или информации. Второй — выявление бенефициарного владельца и принятие разумных мер для проверки его личности, чтобы финансовая организация была уверена в том, кто является конечным бенефициаром. Третий компонент требует понимания и получения информации о целях и предполагаемом характере деловых отношений. Четвёртый элемент — постоянный мониторинг деловых отношений и тщательное изучение операций для обеспечения их соответствия знаниям организации о клиенте.
Интерпретативная записка к Рекомендации 10 детально развивает концепции факторов риска в отношениях с клиентами, лиц, действующих от имени конечного бенефициара, и специальные положения для полисов страхования жизни. Если финансовая организация не может выполнить требования CDD, она обязана воздержаться от установления деловых отношений с клиентом или прекратить их, если они уже начаты.
Risk-based подход FATF к оценке клиентов, бенефициаров и операций
FATF пересмотрела свои стандарты, заменив термин «соразмерный» на «пропорциональный» во всех рекомендациях и интерпретативных записках, что подчёркивает важность риск-ориентированного подхода в борьбе с ОД/ФТ. Этот подход позволяет организациям распределять ресурсы эффективно, направляя усилия на области повышенного риска и применяя упрощённые меры для клиентов с низким уровнем риска.
Предложенные изменения в Рекомендацию 1 направлены на более широкое и эффективное применение риск-ориентированного подхода, особенно на улучшение идентификации низких рисков и расширенное использование упрощённой надлежащей проверки и регулятивных исключений. Организации должны оценивать риски на основе нескольких ключевых факторов: тип клиента (физическое лицо, юридическое лицо, трастовая структура), географическое расположение клиента и его операций, используемые продукты и услуги, каналы поставки услуг.
FATF рекомендует странам выявлять секторы с низким риском ОД/ФТ путём проведения национальных или субнациональных оценок рисков, что позволяет финансовым организациям и установленным нефинансовым предприятиям и профессиям внедрять меры ПОД/ФТ, пропорциональные фактическим рискам. Для клиентов с высоким уровнем риска применяются усиленные меры проверки, включая дополнительную верификацию источников средств и богатства, более частый мониторинг операций, ограничения на типы и объёмы проводимых транзакций.
Важным элементом риск-ориентированного подхода является концепция многоуровневой проверки клиентов (tiered CDD), которая позволяет предоставлять базовые услуги с минимальной верификацией личности и открывать доступ к дополнительным услугам по мере улучшения подтверждения личности. Этот механизм особенно эффективен для расширения финансовой доступности при сохранении контроля над рисками ОД/ФТ.
Повышенные меры KYC для PEP, высокорисковых стран и необычных операций
Рекомендация 12 FATF требует от стран внедрения мер, обязывающих финансовые организации иметь соответствующие системы управления рисками для определения, являются ли клиенты или бенефициарные владельцы публичными должностными лицами (PEP), и если да — применять дополнительные меры помимо стандартной надлежащей проверки.
FATF определяет PEP как лиц, которым доверены видные государственные функции в иностранном государстве, например, главы государств или правительств, высокопоставленные политики, старшие правительственные, судебные или военные чиновники, руководители государственных корпораций, влиятельные деятели политических партий. Определение также распространяется на членов семей и близких соратников PEP, поскольку они представляют схожие репутационные риски.
Для иностранных PEP всегда применяются усиленные меры должной осмотрительности, включая получение одобрения высшего руководства перед установлением или продолжением деловых отношений, принятие разумных мер для установления источника богатства и источника средств, а также проведение усиленного постоянного мониторинга деловых отношений. Для внутригосударственных PEP и PEP международных организаций финансовые учреждения должны принимать разумные меры для определения статуса клиента, а затем оценивать риск деловых отношений.
Примерами красных флагов при работе с PEP являются использование корпоративных структур для сокрытия собственности, несоответствие предоставляемой информации общедоступным данным (таким как декларации об активах и официальные зарплаты), ведение бизнеса с PEP из стран повышенного риска или секторов высокого риска.
Для транзакций с юрисдикциями повышенного риска FATF требует применения усиленных мер проверки, включая получение дополнительной информации о клиенте и бенефициарном владельце, получение информации о предполагаемом характере деловых отношений, получение одобрения высшего руководства для установления или продолжения деловых отношений. Организации должны регулярно обновлять списки юрисдикций повышенного риска на основе заявлений FATF и проводить усиленный мониторинг всех транзакций, связанных с этими территориями.
Требования FATF к хранению данных, отчётности и внутреннему контролю KYC
Рекомендация 11 FATF устанавливает, что необходимые записи должны храниться не менее пяти лет после окончания деловых отношений с клиентом или после проведения разовой операции, чтобы организации могли выполнять информационные запросы компетентных органов ПОД/ФТ. Это помогает регулирующим органам реконструировать транзакции для целей расследования или судебного преследования.
FATF рекомендует хранить следующие документы в рамках обязательств по ведению учёта ПОД/ФТ: записи о транзакциях, как внутренних, так и международных, все документы, полученные в процессе надлежащей проверки клиентов, такие как официальные идентификационные документы. Записи должны быть достаточными для реконструкции отдельных транзакций и предоставления доказательств в случае судебного преследования за преступную деятельность.
Внутренний контроль KYC по стандартам FATF требует создания многоуровневой системы управления. Организации должны разработать внутренние политики, процедуры и средства контроля ПОД/ФТ, утверждённые на уровне высшего руководства. Необходимо назначить сотрудника по вопросам соблюдения требований на управленческом уровне с достаточными полномочиями и ресурсами. Программы постоянного обучения сотрудников должны охватывать выявление PEP, понимание связанных рисков и протоколы проведения усиленной надлежащей проверки.
Организации должны внедрить систему мониторинга транзакций для выявления потенциального отмывания денег и других видов деятельности, которые могут привести к мошенничеству, обнаруживать и идентифицировать любую подозрительную активность для поддержания соответствия требованиям ПОД/ФТ. Регулярный независимый аудит должен проверять адекватность и эффективность системы внутреннего контроля.
Отчётность о подозрительных операциях является критически важным элементом системы FATF. Финансовые организации обязаны незамедлительно сообщать о любых подозрительных транзакциях соответствующим органам, независимо от суммы операции или её завершения. При этом запрещено информировать клиента о подаче сообщения о подозрительной операции — нарушение этого требования влечёт серьёзные санкции.
Соблюдение стандартов FATF обеспечивает не только формальное соответствие международным требованиям, но и создаёт эффективную систему защиты бизнеса от рисков вовлечения в схемы отмывания денег и финансирования терроризма. Для российских компаний, стремящихся к международному развитию, внедрение этих стандартов становится обязательным условием успешной интеграции в глобальную финансовую систему.
KYC и GDPR: требования к персональным данным в рамках AML/KYC
Европейский регламент защиты персональных данных GDPR, действующий с мая 2018 года, создаёт жёсткую рамку для обработки персональных данных при проведении процедур KYC. Организации, проводящие идентификационные проверки, обязаны обеспечить полную прозрачность относительно дальнейшего использования собираемых данных. При этом финансовые институты продолжают выполнять требования по противодействию отмыванию денег, находя баланс между защитой приватности и обязательствами по AML.
Законные основания обработки KYC-данных по GDPR (legal obligation, legitimate interest, consent)
GDPR устанавливает три основных законных основания для обработки персональных данных в рамках KYC-процедур.
| Категория | Описание |
|---|---|
| 1. legal obligation (правовая обязанность) | Финансовые организации обрабатывают данные клиентов для выполнения требований национального законодательства по AML/CTF. В России это 115-ФЗ, в ЕС — директивы AMLD5 и AMLD6. |
| 2. legitimate interest (законный интерес). | Организации могут полагаться на законный интерес для автоматизации AML и KYC проверок при условии документирования оценки законного интереса (LIA) с положительным заключением. Это основание применяется для дополнительных проверок благонадёжности, предотвращения мошенничества и защиты от репутационных рисков. |
| 3. consent (согласие). | GDPR требует, чтобы согласие было конкретным, информированным и свободно данным, гарантируя полное понимание клиентами целей использования их данных. Согласие применяется для сбора данных сверх обязательного минимума или для дополнительных целей обработки. Важно, что клиенты могут отозвать согласие в любой момент, что создаёт операционные сложности для KYC-процессов. |
Принципы GDPR, влияющие на KYC (минимизация, ограничение цели и сроков хранения)
Принцип минимизации данных требует собирать только информацию, необходимую для конкретной цели. Бизнес должен внедрять KYC-процедуры, собирающие исключительно данные, необходимые для верификации личности и соответствия применимым регуляциям. На практике это означает отказ от избыточных полей в анкетах и постоянную оценку необходимости каждого элемента данных.
Принцип ограничения цели (purpose limitation) запрещает использование данных для целей, отличных от изначально заявленных. Если документ запрашивается для KYC-проверок, он не может использоваться для маркетинговых целей без информирования и согласия клиента. Финансовые организации обязаны чётко разграничивать данные для регуляторных целей и коммерческого использования.
Принцип ограничения сроков хранения создаёт противоречие между требованиями GDPR и AML-законодательством. Согласно GDPR, персональные данные должны храниться только в течение времени, необходимого для заявленных целей. Однако правовые обязательства AML/CFT могут требовать хранения данных дольше (часто пять лет или более). Организации решают это противоречие через документирование правовых оснований для продлённого хранения.
Права субъектов данных и их ограничения из-за AML/KYC-обязанностей
GDPR предоставляет субъектам данных обширный набор прав: доступ к данным, исправление неточностей, удаление информации («право быть забытым»), ограничение обработки и переносимость данных. Клиенты имеют право на доступ к своим данным и понимание того, как они обрабатываются, право на исправление некорректных или неполных данных, а также право на удаление данных при определённых обстоятельствах.
Однако AML-обязательства существенно ограничивают эти права. Финансовые организации не могут удалить KYC-данные по требованию клиента, если это противоречит обязательствам по хранению документов согласно AML-законодательству. Право на ограничение обработки также не применяется к данным, необходимым для выполнения правовых обязанностей.
В 2024 году дело JU против Scalable Capital GmbH изменило взгляд заинтересованных сторон на KYC-процедуры в рамках GDPR. Суд ЕС подтвердил приоритет компенсации вреда субъектам данных, что усилило ответственность организаций за безопасность KYC-информации.
Передача KYC-данных за пределы EEA и выбор процессоров/субпроцессоров
Трансграничная передача KYC-данных из Европейской экономической зоны требует соблюдения строгих условий GDPR. GDPR ограничивает передачу персональных данных из EEA в «третьи страны». Организации могут передавать данные только в страны с адекватным уровнем защиты, признанным Европейской комиссией, или при наличии подходящих гарантий.
Для передачи данных используются стандартные договорные условия (SCC), обязательные корпоративные правила (BCR) или явное согласие субъекта данных. Соглашения об обработке данных (DPA) регулируют, как данные собираются, хранятся и обрабатываются, и часто являются достаточными для удовлетворения требований трансграничной передачи между США и ЕС.
При выборе процессоров и субпроцессоров для KYC-систем организации обязаны проверять их соответствие GDPR. Важно оценивать общий уровень доверия к провайдеру KYC-решений: его ценности, сертификации (ISO 27001, PVID, FIDO для биометрии), а также аудиты (тесты на проникновение, GDPR), которым подвергается компания. Договоры с процессорами должны содержать обязательства по защите данных, ограничения на дальнейшую передачу и право на аудит.
Документирование KYC-обработки: DPIA, реестр операций, privacy by design/by default
Оценка воздействия на защиту данных (DPIA) обязательна для KYC-систем, использующих новые технологии или обрабатывающих данные с высоким риском. Учитывая значительные риски, связанные с AML и KYC проверками на базе ИИ, проведение DPIA является обязательным для организаций. DPIA помогает выявить риски для прав и свобод субъектов данных и определить соответствующие меры по их снижению.
GDPR требует, чтобы DPIA содержала: систематическое описание операций обработки и их целей; оценку необходимости и соразмерности операций обработки; оценку рисков для прав и свобод субъектов данных; меры по устранению рисков, включая гарантии и механизмы безопасности.
Реестр операций по обработке данных (ROPA) документирует все KYC-процессы организации. Внутренние политики и процедуры, а также реестр операций обработки должны точно отражать деятельность по обработке, осуществляемую через системы ИИ. Реестр включает категории данных, цели обработки, категории получателей, сроки хранения и описание технических и организационных мер безопасности.
Принципы privacy by design и privacy by default требуют встраивания защиты данных в KYC-системы на этапе проектирования. Это означает использование псевдонимизации, шифрования, минимизацию доступа к данным и автоматическое применение максимальных настроек приватности. В 2025 году DPIA приобрели повышенное значение из-за введения комплексных регуляций конфиденциальности по всему миру, таких как обновлённые руководящие принципы GDPR и Закон ЕС об ИИ.
Организации должны регулярно пересматривать и обновлять документацию по мере изменения KYC-процессов и развития регуляторных требований, обеспечивая постоянное соответствие как требованиям защиты данных, так и обязательствам по борьбе с отмыванием денег.
Как совместить требования 115-ФЗ, ФЗ-152, FATF и GDPR в единой KYC-политике
Построение единой KYC-системы, соответствующей одновременно российскому законодательству и международным стандартам, требует системного подхода к гармонизации норм. Компании сталкиваются с необходимостью балансировать между жёсткими требованиями 115-ФЗ по обязательной идентификации, ограничениями ФЗ-152 на обработку персональных данных, рекомендациями FATF по риск-ориентированному подходу и принципами минимизации данных GDPR.
Ключ к успешной интеграции всех требований — создание многоуровневой архитектуры процессов, где каждый элемент KYC-системы проектируется с учётом наиболее строгих норм из всех применимых режимов. Такой подход исключает конфликты между требованиями и минимизирует риски санкций со стороны различных регуляторов.
Определение применимых режимов в зависимости от юрисдикций бизнеса и клиентов
Первым шагом к построению комплексной KYC-политики становится точное определение применимых правовых режимов. Для российской компании, работающей с местными клиентами, базовым набором будут 115-ФЗ и ФЗ-152. При выходе на международные рынки или обслуживании иностранных клиентов добавляются требования FATF через национальное законодательство стран присутствия и GDPR для европейских резидентов.
Критерии определения применимых режимов включают место регистрации юридического лица, физическое местонахождение серверов обработки данных, резидентство клиентов и характер предоставляемых услуг. Компания, зарегистрированная в России, но предлагающая услуги гражданам ЕС через интернет, подпадает под действие GDPR независимо от наличия представительства в Европе. Аналогично, использование платёжных систем или корреспондентских счетов в странах FATF автоматически накладывает обязательства по соблюдению международных AML-стандартов.
Матрица применимости формируется через анализ трёх уровней: географии бизнес-операций, типов клиентов и видов финансовых транзакций. Для каждой комбинации определяется максимально строгий набор требований, который становится базовым для данного сценария. При этом учитывается экстерриториальное действие отдельных норм — GDPR применяется к любой обработке данных граждан ЕС, а требования OFAC США могут затрагивать операции в долларах независимо от местонахождения сторон.
Карта данных и процессов KYC: согласование требований 115-ФЗ с ограничениями ФЗ-152 и GDPR
Создание единой карты данных начинается с инвентаризации всех категорий информации, требуемой различными режимами. 115-ФЗ устанавливает минимальный обязательный набор: ФИО, дата рождения, гражданство, реквизиты документа, ИНН, адрес регистрации. FATF добавляет требования по бенефициарным владельцам и источникам средств. GDPR и ФЗ-152 накладывают ограничения на объём собираемых данных принципом минимизации.
Согласование достигается через создание модульной структуры данных с тремя уровнями: обязательный минимум по 115-ФЗ, расширенный набор для клиентов повышенного риска согласно FATF, дополнительные данные, собираемые только с явного согласия субъекта. Каждому уровню соответствует отдельное правовое основание обработки: исполнение требований закона для первого, легитимный интерес для второго, согласие для третьего.
Процессная карта выстраивается по принципу максимальной автоматизации с сохранением контрольных точек для соблюдения всех норм. Первичная идентификация выполняется по стандартам 115-ФЗ с одновременной фиксацией законного основания обработки для ФЗ-152 и GDPR. Верификация документов проводится с использованием технических средств, минимизирующих человеческий фактор и время хранения копий. Оценка рисков автоматизируется через скоринговые модели, соответствующие методологии FATF, с документированием каждого решения для последующего аудита.
Критически важным становится разграничение доступа к данным. Сотрудники AML-подразделения получают полный доступ к информации по 115-ФЗ, но ограниченный — к дополнительным данным. IT-специалисты работают только с обезличенными или псевдонимизированными массивами. Маркетинговые подразделения исключаются из процессов обработки KYC-данных полностью, получая только агрегированную статистику.
Набор обязательных внутренних документов по AML/KYC и персональным данным
Документальная база единой KYC-системы формируется из трёх блоков: политики верхнего уровня, операционные регламенты и формы для взаимодействия с клиентами. Базовым документом становится комплексная политика KYC/AML, интегрирующая требования всех применимых режимов. Она определяет общие принципы, роли и ответственность, описывает архитектуру системы внутреннего контроля.
Политика обработки персональных данных разрабатывается с учётом требований как ФЗ-152, так и GDPR, даже если европейский регламент формально не применяется. Такой подход обеспечивает готовность к международной экспансии и упрощает взаимодействие с иностранными партнёрами. Документ включает исчерпывающий перечень целей обработки, категорий данных, сроков хранения, мер защиты и прав субъектов.
Правила внутреннего контроля по ПОД/ФТ детализируют процедуры идентификации, выявления подозрительных операций, блокирования средств и взаимодействия с Росфинмониторингом. Отдельными приложениями оформляются методики оценки риска клиентов, критерии отнесения к категориям риска, индикаторы необычных операций. Для соответствия FATF добавляется раздел по работе с PEP (публичными должностными лицами) и клиентами из высокорисковых юрисдикций.
Операционный уровень включает детальные инструкции для каждой роли в KYC-процессе: специалистов первой линии, проводящих идентификацию; аналитиков, оценивающих риски; комплаенс-офицеров, принимающих решения по сложным случаям. Отдельно прописываются процедуры эскалации, порядок документирования решений, формы отчётности.
Клиентская документация унифицируется для всех каналов обслуживания. Формы согласий на обработку персональных данных составляются с учётом требований GDPR о конкретности и отзывности. Уведомления об обработке включают всю информацию, требуемую статьями 13-14 GDPR и статьёй 18 ФЗ-152. Договоры дополняются положениями об идентификации по 115-ФЗ и праве запроса дополнительных документов.
Настройка сроков хранения и удаления KYC-данных с учётом 115-ФЗ, FATF и GDPR
Гармонизация сроков хранения представляет одну из наиболее сложных задач при интеграции различных режимов. 115-ФЗ требует хранения документов по идентификации не менее пяти лет с момента прекращения отношений с клиентом. FATF рекомендует аналогичный срок для обеспечения возможности расследований. GDPR и ФЗ-152 требуют удаления данных сразу после достижения целей обработки.
Решение находится в создании дифференцированной системы хранения. Данные, необходимые исключительно для соблюдения 115-ФЗ, переводятся в архивное хранилище с ограниченным доступом сразу после прекращения отношений с клиентом. Доступ к архиву предоставляется только для ответа на запросы регуляторов или правоохранительных органов. Технически это реализуется через отдельную базу данных с усиленным шифрованием и детальным логированием всех обращений.
Для активных клиентов устанавливаются промежуточные сроки пересмотра необходимости хранения отдельных категорий данных. Копии документов, использованные для идентификации, могут заменяться хеш-суммами или криптографическими отметками после успешной верификации. Биометрические шаблоны удаляются немедленно после сопоставления с документами, сохраняется только факт успешной проверки.
Автоматизация процессов удаления становится критически важной для соблюдения принципа ограничения хранения. Система должна автоматически отслеживать истечение сроков для каждой категории данных и инициировать процедуры удаления или анонимизации. При этом сохраняется аудиторский след, подтверждающий факт и дату удаления, что необходимо для демонстрации соблюдения требований при проверках.
Организация контроля соблюдения требований: роли, аудиты, регулярное обновление KYC-политики
Эффективная система контроля строится на принципе трёх линий защиты. Первая линия — операционные подразделения, непосредственно выполняющие KYC-процедуры. Они несут ответственность за качество идентификации, полноту собираемых данных и соблюдение установленных процедур. Вторая линия — подразделение комплаенс, контролирующее соответствие процессов установленным политикам и нормативным требованиям. Третья линия — внутренний аудит, проводящий независимую оценку эффективности всей системы.
Для каждой линии защиты назначаются ответственные лица с чётко определёнными полномочиями. Офицер по ПОД/ФТ, требуемый 115-ФЗ, координирует взаимодействие с Росфинмониторингом и обеспечивает выполнение требований российского законодательства. DPO (Data Protection Officer) отвечает за соблюдение требований ФЗ-152 и GDPR. Риск-менеджер контролирует соответствие процедур оценки клиентов рекомендациям FATF.
Программа аудитов включает ежеквартальные проверки критических процессов и ежегодный комплексный аудит всей KYC-системы. Проверяется качество идентификации по выборке клиентских досье, своевременность обновления данных, корректность оценки рисков, полнота направления сообщений в Росфинмониторинг. Отдельное внимание уделяется техническим аспектам: защищённости хранилищ данных, работоспособности механизмов удаления, целостности аудиторских логов.
Регулярное обновление политик и процедур синхронизируется с изменениями законодательства и регуляторной практики. Устанавливается ежегодный цикл планового пересмотра с возможностью внеочередных изменений при существенных новациях в нормативной базе. Мониторинг изменений ведётся по четырём направлениям: российское законодательство, европейское регулирование, рекомендации FATF, правоприменительная практика.
Обучение персонала проводится дифференцированно в зависимости от роли в KYC-процессе. Базовый курс по основам ПОД/ФТ и защите персональных данных обязателен для всех сотрудников. Специализированные программы разрабатываются для специалистов по идентификации, аналитиков, IT-специалистов, руководителей. Эффективность обучения проверяется через тестирование и анализ качества выполнения процедур.
Система показателей эффективности (KPI) охватывает все аспекты KYC-процесса: скорость и качество идентификации, процент ложноположительных срабатываний системы мониторинга, своевременность направления сообщений регуляторам, количество обоснованных жалоб клиентов на обработку персональных данных. Регулярный анализ KPI позволяет выявлять проблемные зоны и оперативно корректировать процессы.
Соблюдение правовых требований AML/KYC требует системного подхода, при котором нормы 115-ФЗ, ФЗ-152, рекомендации FATF и принципы GDPR образуют единую комплаенс-политику. Российское законодательство устанавливает базовые обязанности по идентификации клиентов и хранению данных, международные стандарты дополняют их риск-ориентированным подходом и усиленными гарантиями защиты персональных данных. Компании, работающие с клиентами из разных юрисдикций, должны одновременно выполнять самые строгие требования каждого режима, документировать процессы и регулярно актуализировать внутренние процедуры.
Грамотно выстроенная KYC-система защищает бизнес от санкций регуляторов, минимизирует репутационные риски и открывает доступ к международным рынкам. Инвестиции в технологии автоматизации идентификации, верификации и мониторинга клиентов окупаются за счёт снижения операционных затрат, сокращения числа ложных срабатываний и ускорения онбординга добросовестных пользователей. Регулярный аудит процедур и обучение персонала помогают поддерживать высокий уровень комплаенса и оперативно адаптироваться к изменениям в нормативной среде.
