Комплаенс в финтехе: как криптостартапы противостоят мошенникам

Сегодня каждый криптопользователь стремится к тому, чтобы свести к минимуму интеракцию с различными финансовыми учреждениями и максимально автоматизировать все процессы. Поэтому с каждым годом увеличивается количество финтех-стартапов, которые в большинстве своем призваны минимизировать количество рутинных операций, повысив при этом уровень сервиса. Теперь все хотят брать кредиты через приложения на смартфоне, совершать денежные переводы в другие страны быстро и без комиссий, покупать криптовалюту в два клика — и все это становится возможным благодаря финтеху. Однако упрощение и оптимизация всех процессов часто плохо сочетаются с долгими и требовательными процедурами комплаенса, отчего компании подвергают себя значительному риску, особенно в связи с тем, что регулирующие органы применяют к финтеху те же критерии, что и, например, к традиционным банкам. Какое значение для компании имеет отсутствие регулятивных норм, на какие ухищрения идут недобросовестные пользователи, чтобы обойти верификацию, и какие инструменты использовать, чтобы этого избежать — рассказывает Наталья Карташова, комплаенс-офицер криптостартапа Itez, который позволяет покупать биткоины с помощью банковских карт VISA и MasterCard в быстром и безопасном режиме.

Что такое комплаенс и почему это важно?

Комплаенс — это внутренняя система контроля и управления рисками. Она призвана обеспечивать соответствие деятельности компании требованиям государственных органов и регуляторов, всевозможным юридическим нормам, а также законам, правилам, рекомендациям и стандартам, которые меняются в зависимости от юрисдикции.

Проще говоря, это внутренняя система правил и процедур, которая помогает нам не нарушать законы самим и не давать мошенникам нарушать законы, используя наш сервис. Имея дело с комплаенсом, вы часто будете сталкиваться с такими аббревиатурами, как KYC (know your customer), AML (anti-money laundering) и CTF (counter terrorism financing). В этом и заключается основная суть: знать своего клиента, чтобы противодействовать отмыванию денег и финансированию терроризма. Я думаю, можно не объяснять, почему это важно.

А кто такой комплаенс-офицер и чем он занимается в компании?

Комплаенс-офицер — это сотрудник, который следит за тем, чтобы работа компании соответствовала как местному законодательству, так и внутренним правилам организации. Мы продумываем и составляем внутренние комплаенс-процедуры и следим за тем, чтобы они были интегрированы во все процессы работы компании. В частности, это касается того, чтобы благодаря чёткому и соответствующему всем стандартам процессу верификации клиентов компания не вела дел с нежелательными лицами, фигурантами санкционных списков, террористами и лицами, занимающимися отмыванием денег, или же более тщательно проверяла клиентов, находящихся в категории высокого риска. К таким относятся, например, PEP — политически значимые персоны.

Сотрудник, отвечающий за комплаенс, должен свободно ориентироваться в сфере деятельности компании и знать, в каких именно аспектах могут возникнуть нарушения нормативных требований. Это особенно важно для всех, кто работает в финтехе, и, в частности, для тех, кто связан с криптовалютами из-за постоянных изменений в законодательном поле. Буквально этим летом FATF (Financial Action Task Force on Money Laundering), являющаяся межправительственной организацией и регулирующая мировые стандарты для борьбы с отмыванием денег, выпустила новые рекомендации для компаний, работающих с цифровыми активами. В частности, это значит, что теперь все поставщики криптовалютных услуг должны соблюдать процедуры AML и CFT по аналогии с традиционными финансовыми компаниями. А я думаю, что каждый, кто когда-либо открывал счет в банке, брал кредит или как-то ещё сталкивался с верификацией в финансовых структурах, знает, что это за процесс.

С другой стороны, понятно, что это только рекомендации, и каждая отдельная юрисдикция сама принимает решение об их имплементации в законодательство, тем более, что на эти процессы выделили целый год, однако все оказались на разных стадиях принятия новых правил игры. Большинство крупных игроков сразу заявили о готовности реструктуризации под новые условия: OKEx убрала из листинга все анонимные монеты, Ripple подписала соглашение с сервисом для контроля за использованием XRP, биржи сотрудничают с государственными структурами, модернизируют процессы KYC, вводят новые «многоуровневые» процедуры.

Но на самом деле, пока всё выглядит как желание поставить «галочку» для регулятора и продолжать работу. К сожалению, с этим согласно множество специалистов индустрии, так как архитектура большинства блокчейнов и бизнес-модели небольших компаний и стартапов несовместимы с требованиями FATF. К примеру, разработчик сервиса биткоин-платежей Bottle Pay, которое специализировалось на небольших платежах внутри мессенджеров, в декабре сообщил о закрытии компании. По их словам, объем и тип дополнительных личных данных, которые им пришлось бы собирать о своих пользователях уничтожили бы весь User Experience (пользовательский опыт), а они не были готовы подстраиваться под новую действительность. Таких примеров пока немного, но к концу июня их число явно увеличится, в связи с тем, что FATF огласила свои рекомендации в июне 2019 года и дала год на их реализацию.

А что ещё хуже — увеличится количество компаний, которым придётся уйти в тень и вести бизнес нелегально, чтобы оставаться на плаву.

В чём заключаются особенности комплаенса именно в криптокомпаниях?

Из-за того, что интерес к криптовалютам не угасает, государственные регуляторы пытаются выработать свой подход к их введению в полноценное обращение в рамках существующей правовой базы. Но, поскольку в данный момент эти процессы зачастую находятся только на стадии разработки или, в лучшем случае, имплементации, работа комплаенс-офицера в сфере криптовалют заметно усложняется, а риски существенно увеличиваются.

Другой проблемой является то, что большинство пользователей при работе с криптовалютами стремятся сохранить анонимность, чего мы, естественно, позволить не можем. Точнее можем, но тогда сумма транзакций должна оставаться в пределах лимита. Наша компания зарегистрирована в Эстонии, где сейчас действует лимит в €1000, при этом не имеет значения, осуществляется ли покупка одним платежом или несколькими. При сумме ниже €1000 идентификация пользователя не обязательна, однако у нас в Itez установлен лимит в €300, чтобы максимально обезопасить сервис от недобросовестных пользователей и финансовых махинаций. Зато мы постарались сделать процесс идентификации максимально простым и быстрым.

На какие ухищрения идут пользователи, чтобы остаться анонимными?

Поверьте, человеческое воображение не имеет пределов. Юзеры придумывают массу способов, чтобы обойти верификацию: от самых банальных вариантов, вроде обработки фотографий в фотошопе, до украденных документов и карточек и даже фото-масок других людей, надетых на себя. Они готовы на многое ради своей анонимности.

Часто, пытаясь обойти наш лимит в €300, указываются разные адреса электронной почты для совершения сделок с нескольких аккаунтов на суммы, не превышающие установленный лимит. В этом случае мы сравниваем фингерпринты (цифровые отпечатки устройств), полученные при анализе пользователей, и можем выделить совпадающие паттерны, к примеру, в настройках браузера, которые указывают на то, что один и тот же человек пытается провести несколько сделок и обойти лимиты сервиса.

Но в целом, конечно, от таких ситуаций никто не застрахован, и единственным решением проблемы является ручная проверка загруженных документов, поиск следов внешнего вмешательства в фотографии, кропотливое сравнение всех файлов, поиск дополнительной информации, и, желательно, персональный контакт с пользователем. К нашему сожалению, зачастую из-за большого потока юзеров такие меры практически не применимы.

Что делает комплаенс-офицер, если обнаружился пользователь из санкционных или других списков?

Каждый случай в работе комплаенс-офицера индивидуален. Если обнаружен человек из списка политически значимых персон, это не значит, что он не может быть пользователем сервиса — это лишь означает, что деятельность такого лица требует более тщательного контроля для предотвращения коррупции. Если в сервисе зарегистрировался пользователь с территории, входящей в список стран повышенного риска, вполне может оказаться, что постоянное место жительства у него уже давно в совершенно другом месте и, как резидент другой страны, он может вести абсолютно легальную деятельность — просто всё это требует более тщательной проверки и запроса дополнительных документов.

Однако в случае обнаружения пользователя, замеченного в финансовых махинациях, отмывании денег или каким-либо образом связанного с террористическими организациями, мы обязаны немедленно доложить об этом в соответствующую инстанцию. В нашем случае, в соответствии с частью 1 статьи 49 главы 5 Закона о противодействии отмыванию денег и финансированию терроризма, «немедленно» означает, что в течение 2 рабочих дней Financial Intelligence Unit of the Estonian Police and Border Guard Board (бюро информации по отмыванию денег Департамента полиции и пограничной охраны Эстонии) ждет от нас подробного отчета с приложением всех имеющихся по этому вопросу документов. И, естественно, мы ни при каких обстоятельствах не можем сообщать об этом юзеру.

Каковы ближайшие перспективы работы комплаенс-офицера в сфере блокчейна и криптовалют?

В первую очередь, мы очень надеемся на скорейшее внедрение биометрической системы аутентификации пользователей. Такой, которой можно было бы пользоваться на любом современном смартфоне, где идентификация производилась бы по отпечатку пальца или, например, комбинации звучания голоса и изображения лица. В последнем случае основной принцип работы основывается на записи изображения лица пользователя в процессе произнесения им, например, кодовой фразы и определения изменений мимических характеристик лица — это существенно бы повысило уровень безопасности.

Ну и, конечно, мы с нетерпением ждем распространения технологии Telegram Passport, с помощью которой стандартную верификацию можно будет, наконец, проходить так же просто, как и зарегистрироваться в Facebook: один раз загрузил документы и в дальнейшем верифицируйся себе в пару кликов. Такого рода унифицированный способ авторизации однозначно облегчит жизнь всем пользователям в категории low-risk и сервисам, запрашивающим базовый пакет документов для идентификации.

В завершение статьи хочется выразить слова надежды, что недобросовестных пользователей будет становиться меньше, а технологий по их обнаружению — больше. И если с технологиями — всё более-менее успешно, то над уменьшением недобросовестных пользователей ещё придётся поработать.