Контакти
+380-97-105-76-33
logo

Блокування чесних користувачів криптовалют

31.08.2025 Автор: Володимир Булдижов

Це не юридична консультація.
Тільки поради щодо операційних ризиків.

Крипта за банківськими правилами у 2025 році

У 2025 році вас можуть заблокувати не за умисел, а за чужий бруд. Це норма, а не виняток.

Правила посилюються. Офф-рамп став головною точкою болю. Хочете витрачати крипту – грайте за банківськими правилами.

Як не потрапити під жорна, коли ви чесний, але комплаєнс має іншу думку.

Гайки затискаються

Часто чуємо: “Багато років займаюся криптою. Ніколи не перевіряв її чистоту. У мене ніколи не було проблем з її переведенням у готівку”.

Час не стоїть на місці. У багатьох юрисдикціях, починаючи із Заходу і просуваючись на Схід, правила стають жорсткішими не тільки щодо криптовалют, а й у традиційній фінансовій системі. Навіть якщо сьогодні ви самостійно зберігаєте свої кошти, в якийсь момент вам, найімовірніше, доведеться звернутися до банків. Пора це планувати.

Умовно, ще вчора можна було купити автомобіль за готівку, а сьогодні вже потрібен банківський рахунок. Не кажучи вже про купівлю нерухомості. Справа йде до того, що без платіжної картки ви не купите комп’ютер або смартфон.

Рано чи пізно, прямо або непрямо, ви з’єднуєте ваші криптогаманці з тими чи іншими банками. Вони в обидва боки обмінюються інформацією про вас із державою, криптобіржами, платіжними системами та іншими компаніями фінсектору. Відповідно, наближається день, коли держава отримає повну інформацію про всі ваші криптогаманці, пов’язані з цими компаніями.

Незважаючи на початкове призначення блокчейна й криптовалют як наддержавних активів, регулятори постійно намагаються дотягнутися до управління ними. Результати цих прагнень неоднозначні.

Уряди не можуть керувати консенсусом децентралізованих монет, на відміну від централізовано випущених токенів, таких як CBDC (цифрові валюти центральних банків). Замість цього регулятори й правоохоронні органи націлені на інфраструктуру, сервіси та користувачів.

Переважно це робиться за допомогою контролю офф-рампа, ончейн-аналітики та санкційних списків. Офф-рамп – це виведення (конвертація) криптовалюти в фіатні (звичайні) гроші на централізованих криптобіржах (CEX), платформах необанків, P2P або OTC-десках. Офф-рамп – це одна з ключових точок контролю.

Зі свого боку, багато звичайних банків через регуляторні ризики ставляться до криптооперацій насторожено, якщо не вороже. Оскільки правила офф-рампа сильно різняться й постійно змінюються, навіть обережні користувачі перечіпляються.

Штрафи, санкції та обмеження з боку бірж і банків не завжди справедливі. З погляду корпоративної або персональної безпеки ці ризики цілком можна ставити в один ряд з іншими ризиками безпеки.

Коротко

  1. Вивчайте закони й практику їх застосування.
  2. Розділяйте чисту й брудну (підозрілу) криптовалюту по різних гаманцях.
  3. Користуйтеся сервісами KYT.
  4. Збирайте скріншоти з доказами законності або хоча б сумлінності.
  5. Заздалегідь приготуйте процедури для етапів до, під час і після транзакції, а також на випадок блокування.

Ризики AML/CFT на біржах і в банках

Методи й засоби державного впливу на криптовалюти пов’язані з AML (протидія відмиванню грошей) та CFT (боротьба з фінансуванням тероризму). Ці методи й засоби спричиняють нові ризики, які значно підвищилися останнім часом. Вони продовжують зростати навіть для досвідчених користувачів, які часто їх недооцінюють.

Навіть якщо ви не маєте злого наміру, факт випадкового отримання криптовалюти із сумнівного джерела може призвести до блокування облікового запису CEX або необанку, заморожування активів, відмови від обслуговування й навіть кримінальних звинувачень.

Це не єдиний ризик. Навіть якщо CEX або необанк не проти транзакції, і навіть якщо у вашій юрисдикції не заборонено криптовалюту, під час її переказу до звичайного банку він має право запросити підтвердження законності джерела коштів. Якщо ви не зможете надати переконливі докази, банк може припинити з вами відносини.

Регулятори посилюють вимоги до банків і бірж, фактично переносячи частину ризиків на одержувачів платежів. Тобто, найчастіше, на тих, хто продає свої послуги або товари за криптовалюту.

Тому потрібно пристосовуватися до вимог і мінімізувати ризики. Для цього вам потрібно їх вивчати, і почати з основ анонімності криптовалют. Досвідчені користувачі можуть пропустити міні-глосарій та наступну частину статті. 

Міні-глосарій

  • AML/CFT – Anti-Money Laundering and Combating the Financing of Terrorism – протидія відмиванню грошей і боротьба з фінансуванням тероризму.
  • KYC – Know Your Customer – “знай свого клієнта” – системи та процедури ідентифікації клієнтів.
  • KYT – Know Your Transaction – “знай свою транзакцію” – оцінка ризику ончейн-адрес і транзакцій.
  • CEX – Centralized EXchange – централізована біржа (кастодіальна платформа).
  • DEX – Decentralized EXchange – децентралізована біржа (зазвичай некастодіальна).
  • TXID – Transaction ID – ідентифікатор транзакції.
  • UTXO – Unspent Transaction Output – невитрачений вихід у ланцюжках на основі UTXO.

Відносна анонімність блокчейна

Багато користувачів криптовалют вважають, що блокчейн забезпечує анонімність. Однак на практиці більшість популярних мереж є псевдонімними (псевдоанонімними).

У більшості популярних монет, таких як біткоїн (BTC), ефір (ETH), тезер (USDT) і USD Coin (USDC), транзакції публічні та назавжди зберігаються в мережі. Хто завгодно може відстежити повну історію рухів коштів. Для звичайних користувачів це може призвести до зниження рівня конфіденційності порівняно з фіатними грошима.

Сучасні аналітичні інструменти дають змогу зіставити адреси та пов’язати їх із конкретними особами на основі шаблонів поведінки, IP-адрес, участі в KYC (процедурах ідентифікації користувача), публічних дій (наприклад, мінтингу NFT) тощо. Така деанонімізація активно використовується біржами, регуляторами, слідчими й навіть зловмисниками.

Власники криптовалют можуть зберігати відносну анонімність, доки їм не доводиться переводити криптовалюту у фіат. Це критично важливий момент для розуміння суті брудних транзакцій і пов’язаних із ними ризиків. Розберемо детальніше, як саме вони виникають.

Війна приватності та комплаєнсу

З одного боку, навіть часткова анонімність криптовалют приваблює всіляких правопорушників. Сучасні методи відмивання грошей використовують не тільки DEX (децентралізовані біржі), NFT (невзаємозамінні токени), криптоміксинг, а й складніші технологічні стратегії. Наприклад, створення підроблених особистостей або компаній шляхом комбінування реальної та вигаданої інформації, а також поєднання мікротранзакцій із кросчейн-транзакціями. Тобто, “стрибки” між мережами (chain-hopping), наприклад, через THORChain. Злочинці автоматизують ці стратегії.

З іншого боку, держави й правоохоронці намагаються не відставати. Вони всіляко прагнуть знизити анонімність криптовалют і відстежувати всі транзакції. Міжурядова організація FATF (Financial Action Task Force) задає глобальні стандарти щодо віртуальних активів, включно з правилом передачі даних (Travel Rule). Регламент Європейського Союзу MiCA (Markets in Crypto-Assets Regulation) вводить додаткові вимоги до постачальників послуг у Євросоюзі. Головне в боротьбі з незаконними коштами – процедури й системи KYC (Know Your Customer), а також AML/CFT.

У цьому конфлікті держав і злочинності страждають інтереси сумлінних користувачів. Ми вже описували в нашому блозі юридичний та етичний боки подібного конфлікту інтересів. Рано чи пізно суспільство навчиться жити й працювати з цими протиріччями. А поки що пересічні користувачі криптовалют перебувають між “молотом і ковадлом” закону та злочинності. Тож вони змушені оцінювати та враховувати можливості й обмеження різних технологій і систем, якими користуються держави та правопорушники.

Звідси виникають дві групи ризиків для добросовісних користувачів. По-перше, йдеться про ненавмисне отримання коштів, походження яких пов’язане зі злочинною діяльністю. Це так звані брудні транзакції. По-друге, не виключені санкції, пов’язані з помилками систем AML/CFT. Тому вивчимо ці системи краще.

Як влаштовані системи AML/CFT

Для AML/CFT фактори ризику (“жовті” й “червоні” прапори) – це:

  • Пряма або непряма згадка в історії підсанкційних адрес.
  • Застосування користувачем технологій, які приховують особисту інформацію. Наприклад, використання кросчейнів, криптоміксерів, Monero тощо.
  • Транзакції з країн зі слабким регулюванням або з нерегульованих бірж. Це переважна більшість DEX і деякі CEX.
  • Підозрілі розміри, частота або патерни транзакцій. Наприклад, багато дрібних транзакцій нижче порогів звітності або миттєве виведення коштів після транзакції.
  • Підозрілі профілі відправників і одержувачів. Наприклад, відмова від надання документів у рамках вимог KYC, часта зміна IP-адрес тощо.

У систем AML/CFT немає єдиного “терміну давності”. Глибина аналізу історії залежить від провайдера. Це означає, що навіть якщо транзакція відбулася багато років тому, вона може бути пов’язана з нещодавно виявленою незаконною діяльністю. Цей зв’язок буде враховано в поточній оцінці ризику.

Сучасні системи AML/CFT зазвичай визначають джерела ризиків із відстеженням десятків транзакційних стрибків. Це дає змогу аналітикам відстежувати кошти через безліч етапів і посередників. Ваші кошти можуть бути заблоковані, навіть якщо ви отримали їх із, здавалося б, законного джерела, але воно, своєю чергою, отримало їх із незаконного. Система AML/CFT біржі може ідентифікувати цей прихований зв’язок, оскільки аналізується весь ланцюжок транзакцій до вихідного джерела коштів. 

Інструменти класифікують ризик як прямий і непрямий, а політики біржі визначають, що робити з непрямим впливом. Тому навіть сумлінні користувачі можуть ненавмисно стати учасниками схем відмивання грошей, якщо вони не усвідомлюють історію походження своїх коштів.

Водночас, традиційні системи AML/CFT часто не справляються з новими тактиками правопорушників. Причини – жорсткі правила, розрізнені дані та застарілі моделі оцінки ризиків. Помилкові спрацьовування, як і раніше, поширені, тому чесні користувачі, як і раніше, потрапляють під фільтри.

Головне правило зниження ризику

З чого почати зниження ризику неправомірних звинувачень у незаконних транзакціях? Думайте категоріями рівнів ризику. Вважайте всю криптовалюту такою, що належить до одного з трьох типів:

  • Чиста. Підтверджене походження й пройдена перевірка KYT.
  • Невизначена. Доказів поки що не зібрано.
  • Брудна. Згідно з KYT або AML/CFT, брала участь у санкціях, зломах, міксерах тощо.

Ставтеся до будь-якого гаманця, який коли-небудь стикається з банками або податками, як до “регульованої поверхні”. Дотримуйтесь правил, установлених цими установами. Якщо вони не праві, сперечайтеся з ними, але не дійте в обхід.

Відповідно, зберігайте підозрілі та чисті кошти на різних гаманцях/рахунках. Ніколи не змішуйте їх. Це не юридична гарантія, а всього лише практичний спосіб спрощення перевірок і розслідувань. Припустимо, що деякі монети надійшли вам зі старих, неперевірених джерел. Вам слід тримати ці гаманці окремо від гаманців і акаунтів із чистою криптою, купленою нещодавно на біржах із сучасними процедурами KYC і AML/CFT.

Якщо раптом ви колись через незнання, без злого умислу, купили на ваш криптогаманець 100 USDT в обмінному пункті, який не перевірив ваш паспорт, то вам не варто продавати цю криптовалюту на великій регульованій біржі. У будь-якому разі уникайте тактик “очищення” (міксерів, DEX, переходів ланцюжками тощо), оскільки багато бірж розглядають їх як фактори ризику й можуть загострити ситуацію або повідомити про проблему.

Якщо ви категорично не сприймаєте брудну крипту, вживайте заходів завчасно. Використовуйте три окремі гаманці:

  1. Вхідний. Приймає тільки нові засоби.
  2. Перевірочний. Зберігає кошти до закінчення перевірки.
  3. Основний. Використовується тільки після проходження перевірок.

Жодних бічних рухів між цими гаманцями. Потоки тільки так: Вхідний → Перевірочний → Основний. Не поповнюйте гаманець для перевірки з основного гаманця “тільки один раз”. Це порушує аудиторський слід.

🧭 Перевірка реальності. Міксери, DEX і чейн-хопінг виглядають як намір заплутати більшість сучасних інструментів. Тому не чекайте на співчуття.

KYT. Ваш особистий сигнал тривоги заздалегідь

Важливий захід зниження ризику – використання персональних інструментів AML, тобто KYT (Know Your Transaction). Також часто застосовується поняття “wallet/address screening” (перевірка гаманця або адреси). Рідше зустрічається термін KYA (Know Your Address). Такі перевірки особливо корисні перед отриманням крипти або її переведенням із холодних гаманців на великі біржі.

Наприклад, застосовуйте сервіси скринінгу на основі API або платформ Chainalysis, Elliptic, TRM Labs або подібних. Цей список просто для ілюстрації, хоча ми намагалися підібрати сервіси, що співпрацюють із великими біржами. Вибирайте сервіси за їхньою репутацією, покриттям ваших юрисдикцій і відповідністю вашим біржам.

Часто процес перевірки адрес відправників спрощено до трьох кроків: вставити адресу, натиснути “Перевірити”, отримати звіт. Персональні KYT дають орієнтир, але не гарантують юридичної сумісності з корпоративними AML/CFT, наприклад, біржовими. Для великих операцій використовуйте кілька незалежних сервісів KYT. Документуйте результати перевірок.

Якщо ви продаєте послуги або товари за криптовалюту, яку в майбутньому плануєте виводити в банк, фіксуйте в договорах із контрагентами адреси їхніх гаманців і перевіряйте їх у сервісах KYT. Якщо адреса потенційного контрагента брудна, то або попросіть у нього іншу, або перейдіть на фіатні розрахунки, або відмовтеся взаємодіяти з цим контрагентом.

Якщо адреса контрагента виглядає як чиста, це не гарантує, що прихований “бруд” не виявиться пізніше. Тоді вам для власного захисту може стати в пригоді договір із цим контрагентом, скріншоти й звіти перевірки його адреси в сервісах KYT.

Не діліться із сумнівними суб’єктами й не публікуйте у відкритому доступі адреси ваших KYC-акаунтів. Інакше на них може надійти брудна крипта в найбільш невідповідний момент.

Це короткий посібник. Детальніші приклади процедур для етапів до, під час і після угоди наведено наприкінці статті. Тепер трохи про автоматизацію.

Автоматизація KYT

Перш ніж створювати механізми контролю “блокування перед транзакцією”, поставтеся до перевірки адрес як до чогось незалежного від конкретної біржі. Внутрішні політики біржі часто відрізняються від загальнодоступної аналітики. Припускайте невідповідності та плануйте запасні варіанти.

Під час автоматизації процесів гаманців використовуйте універсальні хуки для перевірки адрес (наприклад, від авторитетних постачальників аналітики), щоб попереджати або блокувати транзакції. Не вважайте, що внутрішня логіка AML будь-якої біржі збігається з тим, що показують сторонні інструменти.

Шукайте сервіси KYT ближче до бірж. Coinbase анонсувала API KYT у 2022 році й досі просуває інструменти для забезпечення відповідності. Вони заслуговують на увагу. Однак у поточній загальнодоступній документації для розробників KYT не розкривається безпосередньо.

Що робити, якщо ви отримали брудну крипту

Брудна крипта прийшла на некастодіальний гаманець

Що робити, якщо нелегальні кошти потрапили у ваш чистий некастодіальний гаманець?

Ізолюйте його та призупиніть витрати. Вважайте брудними всі безпосередньо пов’язані з ним гаманці, поки не отримаєте професійну консультацію. Повернення коштів не обнуляє аналітичні оцінки автоматично. Тому будьте готові документувати контекст при взаємодії з біржею або необанком.

Брудна крипта прийшла на кастодіальний гаманець

Що робити, якщо ви отримали брудну крипту на ваш чистий кастодіальний гаманець? Наприклад, на акаунт криптобіржі або необанку. Цей випадок складніший. Ваші головні дії:

  1. Заморозьте операції. Не переміщуйте кошти далі, не об’єднуйте їх з іншими, не обмінюйте та не виводьте їх.
  2. Скористайтеся альтернативними сервісами KYT для підтвердження або спростування висновку про незаконне джерело коштів. Збережіть скріншоти.
  3. Не чекайте на блокування вашого акаунта. Невідкладно зв’яжіться з кастодіаном, який зберігає ключі від вашого гаманця. Наприклад, зі службою підтримки біржі або необанку. Опишіть детально ситуацію, вашу сумлінну поведінку й надішліть докази.
  4. У разі серйозних сум зверніться за консультацією до юриста, який працює з криптовалютами і AML-правом.
  5. Документуйте всі дії з кастодіаном (скріншоти, листування, трасування). Це може знадобитися під час спілкування з ним, регуляторами, банками або правоохоронними органами.

Такі дії показують вашу сумлінність і часто допомагають уникнути блокування рахунків і подальших юридичних наслідків. Детальніші процедури, структури та шаблони на випадок блокування ви знайдете наприкінці цієї статті.

Якщо ваш акаунт все-таки було заблоковано через підозри систем AML/CFT, незважаючи на сумлінне отримання коштів, список дій той самий. Якщо не допомагає, надсилайте скарги вищим інстанціям, регуляторам, наглядовим і судовим органам.

Сучасні процедури AML/CFT часто спочатку застосовують санкції, а потім вимагають у користувача доводити свою невинність. Аргумент, пов’язаний із презумпцією невинуватості, може спрацювати в одній юрисдикції, але бути марним в іншій. Тому, якщо йдеться про великі суми, не дійте поодинці. Швидко найміть юриста, який спеціалізується на криптовалютах.

🧭 Перевірка реальності. Якщо вас забанили на біржі, не геройствуйте самотужки. Найміть юриста з досвідом суперечок із цією біржею.

AML/CFT звичайних банків

Вище ми обговорювали в основному AML/CFT криптопроєктів: бірж, платіжних систем тощо. Їхні вимоги часто перекриваються за базовими принципами (KYC, KYT, санкційні списки), хоча істотно різняться за порогами, процедурами та документацією.

Банки – це окрема тема. Вони пов’язані з кореспондентськими мережами й картковими системами. Тому їхні фільтри ризику, процедури й аудиторські сліди, як правило, суворіші та повільніші. Подивимося на ситуацію 2025 року.

Вимоги, норми й практика AML/CFT звичайних банків змінюються з часом та залежно від конкретної країни і конкретного банку. Від криміналізації криптовалюти, як у Китаї, до легалізації та прийняття, як на Мальті.

Реальна ситуація з коштами, виведеними з крипти, наприклад, у європейських банках досить різноманітна. Це залежить від політики конкретного банку й профілю клієнта. У низці банків невеликі суми іноді проходять без додаткових запитів.

В інших випадках банк просить безліч документів. Чекайте вимог надання документів про походження коштів, договорів, інвойсів, податкових декларацій, офіційних перекладів усіх документів мовою країни банку, нотаріальних засвідчень, апостилів та оформлення згідно зі специфічними вимогами банку.

Нарешті, в інших випадках при спробі легалізувати криптовалюту в банку не допомагають узагалі жодні документи. Навіть офіційні контракти з компанією-оператором криптовалютного ринку з ліцензією, виданою тією ж державою, що видала ліцензію цьому банку.

Навіть якщо місцеве законодавство дозволяє операції з криптовалютою, банки обережні. Вони мають вимоги й ризики санкцій на рівні міжнародних інститутів: платіжних систем і силових органів. На практиці в деяких випадках бюрократія означає м’яку відмову.

Проте ми підготували для вас чеклисти дій і документів, які можуть допомогти вам як з біржами, так і з банками. Ці чеклисти наведено в самому кінці нашої статті.

🧭 Перевірка реальності. Якщо ви торкаєтеся фіатних рейок, ви граєте за правилами банку.

Підсумуємо

Ми розглянули ризики санкцій за ненавмисну участь у незаконних криптовалютних транзакціях, санкцій через помилки систем AML/CFT і ризик банківських обмежень.

Що якщо ви занадто пізно дізналися про все це? Що якщо з історичних причин на ваших гаманцях виявилося занадто багато криптовалюти, придбаної без KYC і не перевіреної KYT? Почніть із перевірки адрес ваших криптогаманців у персональних сервісах KYT.

Якщо ваш гаманець отримав оцінку “високий ризик”, врахуйте, що це може бути хибнопозитивний результат, але будьте готові до боротьби. Напишіть нам, і ми розповімо про подальші дії.

У будь-якому разі, не намагайтеся використовувати для очищення грошей DEX, кросчейни, Monero, криптоміксери тощо. Як ми писали вище, це все – фактори ризику для AML/CFT. Тому очевидно, що цим ви тільки погіршите ситуацію. Це рекомендація щодо операційного ризику, а не юридичний вердикт. Проблема в тому, як ці патерни інтерпретуються сьогодні інструментами комплаєнсу.

Набір і характер юридичних криптовалютних ризиків постійно змінюється. З’являються нові види збоїв і втрат, а також більш витончені методи шахрайства та відмивання грошей. Регуляторні системи відстають від темпів інновацій і створюють суттєві незручності сумлінним користувачам. Тому вони мають постійно оновлювати свої знання та адаптувати практики безпеки.

Ця стаття дає вам початкове введення в ризики AML і не замінює професійний сервіс. Ми допомагаємо вибудувати процеси скринінгу й доказову базу під ваші юрисдикції та банки. Якщо вам потрібна допомога в зборі пакетів доказів KYT, взаємодії з біржами/банками, або якщо ви маєте будь-які інші питання або завдання, пов’язані з інформаційною безпекою, законністю або легалізацією криптовалют, звертайтеся до нас.

Бонус. Чеклисти й шаблони для продавців за крипту

Нижче представлено практичні контрольні списки й шаблони для постачальників товарів та послуг, що продаються за криптовалюту. Ви можете скопіювати ці приклади у свій план дій і адаптувати їх під себе.

До транзакції

  1. Перевірка клієнта. Запитайте реквізити компанії покупця, бенефіціарів, сайт, домени, юридичну адресу, договір/SoW, посилання на профіль у LinkedIn. Підготуйте інвойс.
  2. KYT та адресний скринінг. Дізнайтеся адресу контрагента й свою адресу у 2+ незалежних постачальників із різними графами ризиків. Збережіть усі вихідні знімки екрана, PDF-звіти та їхні хеші SHA-256. Звірте мітки санкцій, даркнету, зломів, міксерів, гемблінгу тощо.
  3. Юрисдикції та санкційні ризики. Переконайтеся, що контрагент і ланцюжок постачальників не входять до санкційних списків. Якщо є сумніви, відмовтеся або вимагайте інший актив/канал.
  4. Чистий гаманець. Розгляньте використання нової некастодіальної адреси під клієнта, без минулих входів. Для кастодіальних депозитів генеруйте свіжу адресу на CEX і перевіряйте, що мережа збігається.
  5. Мережа й актив. Зафіксуйте тікер, мережу, chain ID, формат адреси, необхідність Memo/Tag для деяких монет. Мережеві помилки незворотні.
  6. Планування тестової транзакції. Погодьте з контрагентом невеликий пробний переказ для перевірки адреси, мережі та працездатності.
  7. Правила супроводу. Домовтеся про те, хто платить комісію, як підтверджується оплата, що вважається фактом виконання, і які вікна часу допустимі.
  8. Докази походження коштів. Запросіть у контрагента експортовані історії або посилання блокчейн-експлорерів, які не розкривають конфіденційні дані й не порушують його політику.
  9. Банківський офф-рамп. Якщо плануєте виведення у фіат, заздалегідь проговоріть із банком документи та ліміти, щоб не “впертися в стіну” після отримання крипти.
  10. План фіксації доказів. Підготуйте папку “Crypto-Deal-Case YYYY-MM-DD” і чеклист, чим та як фіксуєте кожну дію.
  11. Політика заморозки й ескалації. Пропишіть заздалегідь, що ви робите за червоних прапорів. Ніяких “очищень”, тільки пауза й ескалація через певну кількість днів.
  12. Податкові та бухоблікові нюанси. Уточніть, які дані потрібні бухгалтерії для подальшої звітності.

Під час транзакції

  1. Підтвердження параметрів. Повторно звіряєте актив, мережу, суму, адресу, Memo/Tag і дедлайн в одному повідомленні.
  2. Тестовий переказ. Отримуєте й фіксуєте TXID тестової суми, робите KYT на вхід, зберігаєте скріншоти блокчейн-експлорера з видимими датою/часом.
  3. Основний платіж. Отримуєте TXID. До проходження перевірки: для ланцюжків UTXO – не консолідуєте входи, для ланцюжків на основі акаунтів – не проводите свіпінгу й не пересилаєте далі.
  4. Повторний KYT. В UTXO-мережах перевіряєте входи/UTXO; у мережах, заснованих на акаунтах, – вхідні транзакції/депозити акаунта. Зберігаєте PDF-звіт.
  5. Логування. Фіксуєте хеш транзакції, курс на момент отримання, комісію, скрін статусу “confirmed N/required M”.
  6. Зв’язок із контрагентом. Підтверджуєте отримання, надсилаєте посилання на TXID, фіксуєте листування.
  7. Гігієна ключа гаманця. Не здійснюєте паралельних транзакцій з витратами з однієї й тієї ж адреси до завершення перевірок, щоб уникнути змішування чистих і підозрілих UTXO.
  8. Якість даних. Перевіряєте, що експортовані звіти читабельні, мають дату та ідентифікатори.
  9. Документи. Підписуєте акт про отримання оплати в криптовалюті або підтвердження платежу, прив’язуєте його до TXID.
  10. Файли-докази. Одразу складаєте все в підготовлену папку кейсу. Додаєте рядки “ім’я файлу + SHA-256” у README.md, по одному на кожен артефакт.

Після транзакції

  1. Фінальний KYT.  Робите підсумковий звіт щодо отриманих коштів та адреси, на якій вони лежать, і зберігаєте в кейс.
  2. Маркування адрес. Позначаєте свої адреси як “комерційні” й “виконані” у вашій внутрішній базі, щоб не перевикористовувати без потреби.
  3. Бухоблік і податки. Фіксуєте вартість активу на момент отримання, курс, комісію, номер інвойсу і клієнта.
  4. План руху коштів. Узгоджуєте наступний крок. Якщо вам необхідно переказати кошти, використовуєте нове місце призначення, щоб уникнути змішування. Конвертація на CEX, стейблкоїни, подальший ончейн-платіж або фіат-виведення через банк.
  5. Попередня комунікація з банком. Якщо офф-рамп, заздалегідь надсилаєте комплект документів: договір/SoW, інвойс, TXID, KYT-звіти та пояснення економічного сенсу платежу.
  6. Зберігання та сегментація. Не змішуєте вхідні кошти різних клієнтів без потреби. Консолідації робите після “охолодження” й перевірок.
  7. Архівація кейсу. Запаковуєте папку кейсу в архів із контрольною сумою, складаєте в безпечну хмару/сховище, прописуєте термін зберігання (retention).
  8. Зворотний зв’язок клієнту. Коротко повідомляєте, що платіж прийнятий і верифікований, прикладаєте акт.
  9. Оновлення процедур. Якщо спливли нові прапори, додаєте їх у стандартні операційні процедури.

Якщо блокування

  1. Спокій і фіксування. Зберігаєте лист/повідомлення майданчика, номер тікета, причину, дату/час, робите скріншоти кабінету.
  2. Пакет сумлінності. Готуєте набір документів. Договір/SoW, інвойс, листування, TXID, KYT-звіти від двох провайдерів, опис бізнес-смислу операції, джерела коштів контрагента в межах розумного.
  3. Відповідь комплаєнсу. Пишете ввічливого структурованого листа, просите конкретику щодо прапорів, пропонуєте альтернативні KYT-звіти, наголошуєте на відсутності наміру та готовності співпрацювати.
  4. Ескалація. Якщо немає руху, просіть переведення тікета старшому менеджеру з комплаєнсу або фінансової безпеки й зберігаєте всі SLA-порушення.
  5. Альтернативна верифікація. Прикладаєте звіти інших аналітичних провайдерів, вказуєте на можливі хибнопозитивні спрацьовування та контекст транзакції.
  6. Юридична підтримка. За необхідності підключаєте юриста з фінкомплаєнсу. Не вчиняєте дій, які можна трактувати як спробу обходу заходів.
  7. Варіанти розблокування. Пропонуєте часткове виведення “чистої” частини з підтвердженням аналізу або повернення коштів відправнику, якщо це допускається політикою сервісу. Це варіант для переговорів, а не ваше право.
  8. Регулятор, омбудсмен, суд. Якщо кошти не розблоковані задовго, ухвалюєте рішення з юристом щодо подальших дій: скарга до профільного регулятора або омбудсмена, якщо це передбачено у вашій юрисдикції, або судовий позов.
  9. Пост-мортем. Документуєте причини, оновлюєте чеклісти та процедури, щоб знизити ризик повторення.

Структура папок кейсу

Crypto-Deal-Case_2025-08-28_Client-Name/
  00_Admin/
  00_Admin/0Z_README.md
  00_Admin/hashes.txt
  01_Contract_SoW_Invoice/
  02_Communication_Proof/
  03_Onchain_TXIDs/
  04_KYT_Reports_Multi-Vendors/
  05_Screenshots_Explorers/
  06_Banking_Offramp_Docs/
  07_Accounting_Tax/
  08_Postmortem_Notes/
  09_Legal_Correspondence/
  README.md

Журнал транзакцій (CSV)

date_utc,client,asset,network,amount,fee,from_address,to_address,txid,confirmations,rate_usd,notes
2025-08-28T12:34:56Z,Acme Ltd,USDC,Ethereum,12345.67,3.21,0xFROM,0xTO,0xTXID,64,1.00,”test tx ok; KYT clean”

Чернетка листа в комплаєнс

Тема: Запит щодо конкретних деталей стосовно прапорів AML/CFT — Acme Ltd

Доброго дня, шановна команда забезпечення відповідності вимогам.
Ми отримали повідомлення про призупинення операції через підвищений ризик.
  • Кейс. Клієнт Acme Ltd, оплата за договором №123 від 2025-08-15 за послуги MSSP.
  • Деталі. Актив USDC в мережі Ethereum, TXID 0xTXID, дата 2025-08-27. Сума 12345,67.
  • Докази. Додаємо договір/інвойс, SoW, листування, KYT-звіти від [провайдер-1] і [провайдер-2], скріншоти блокчейн-експлорера, опис економічного сенсу угоди.
  • Прохання. Будь ласка, перегляньте та розблокуйте, або повідомте конкретні прапорці/категорії ризику та перелік документів для розблокування. Будь ласка, підтвердьте отримання та очікувані терміни.

Ми готові надати вам звіти альтернативних провайдерів KYT та додаткову інформацію щодо джерела коштів.
Вкажіть, будь ласка, відповідального менеджера/департамент для прямого зв’язку.

Дякуємо.

Додаткові сервіси

Можливо, вас також зацікавить:
Впровадження відповідності вимогам закону про кіберстійкість EU CRA Впровадження відповідності вимогам закону про кіберстійкість EU CRA Відповідність вимогам директиви кібербезпеки EU NIS 2 Відповідність вимогам директиви кібербезпеки EU NIS 2 Аудит відповідності вимогам безпеки Аудит відповідності вимогам безпеки Аудит смарт-контрактів Аудит смарт-контрактів Керована відповідність вимогам Керована відповідність вимогам Впровадження й експертиза КСЗІ Впровадження й експертиза КСЗІ Впровадження відповідності вимогам GDPR і послуги DPO Впровадження відповідності вимогам GDPR і послуги DPO Впровадження відповідності вимогам PCI DSS Впровадження відповідності вимогам PCI DSS Впровадження VDA ISA й сертифікація ENX TISAX Впровадження VDA ISA й сертифікація ENX TISAX Впровадження відповідності й звітність SOC 2 Впровадження відповідності й звітність SOC 2
#web3 #аудит_відповідності #блокчейн #стандарти_безпеки

Інші записи

04/06/2025
Огляд ШІ-інструментів пентестів 2025 року
Читати
23/03/2025
Злом Bybit та інші найбільші криптовалютні інциденти
Читати
Дивитись усі