Дотримання вимог AML у 2026: Витрати, терміни, реальні штрафи
4,3 мільярда доларів. Це була угода Binance з Міністерством юстиції США, FinCEN та OFAC у листопаді 2023 року, і вона залишається найвищою позначкою для порушень правил AML у криптовалютах. Однак це не найновіший випадок. У лютому 2025 року OKX сплатила 504 мільйони доларів для врегулювання паралельної справи Міністерства юстиції. У листопаді того ж року Центральний банк Ірландії оштрафував Coinbase Europe на 21,46 мільйона євро за те, що вона не контролювала 30 мільйонів транзакцій на суму 176 мільярдів євро. У березні 2025 року сервери Garantex були вилучені в США, Німеччині та Фінляндії. Закономірність зрозуміла. Заходи AML у криптовалюті більше не є епізодичними. Вони є безперервними. Вони залежать від юрисдикції. Вони є дорогими.
Для будь-якого оператора бізнесу з віртуальними активами дотримання вимог AML у 2026 становить семизначну річну вартість. Три ліцензійні схеми (EU MiCA, UK FCA, Singapore DTSP) були успішно завершені протягом одного дванадцятимісячного періоду. Стейблкоїни зараз забезпечують 84% усіх незаконних операцій у мережі. Профіль загрози фінансових злочинів змінювався швидше, ніж будь-яка програма дотримання вимог, написана до 2024 року, може це охопити. Це практичний стан справ у цій галузі з доданими цифрами.
Що означає відповідність вимогам AML у 2026
AML (протидія відмиванню грошей) – це правова та операційна база, яку банки та криптовалютні фірми використовують для запобігання потраплянню злочинних коштів до своїх продуктів. Ці кошти мають різні форми: доходи від злочинної діяльності, ухилення від сплати податків, шахрайство, виплати програм-вимагачів, ухилення від санкцій. Метою будь-якої програми AML є запобігання відмиванню грошей, боротьба з уже існуючими схемами відмивання грошей та запобігання потраплянню потоків відмивання грошей та фінансування тероризму у фінансову систему. У криптоконтексті ця база була розширена Рекомендацією FATF 16 у 2019 році. У США Закон про банківську таємницю тепер застосовується до підприємств, що надають грошові послуги, включаючи криптовалютні фірми. AML базується на чотирьох операційних основах. Програма ідентифікації клієнтів (CIP). Належна перевірка клієнтів (CDD) з посиленими тригерами належної перевірки, які відповідають вимогам належної перевірки основних рамок. Постійний моніторинг транзакцій з обов'язком повідомляти про підозрілу діяльність відповідному підрозділу фінансової розвідки. Скринінг на предмет санкцій. Знай свого клієнта, або KYC, – це лише компонент ідентифікації. Найважча робота виконується після адаптації. Ви повинні виявляти підозрілі транзакції в режимі реального часу, подавати відповідний звіт до відповідного органу у встановлений термін і робити це, поки клієнти очікують безперебійного продукту.
Для криптобізнесу це означає кілька речей. Вам потрібно знати свого клієнта. Вам потрібно знати, які кошти вони переводять. Вам потрібно знати, звідки надійшли ці кошти. І вам потрібно перевірити, чи немає жодної адреси, імені чи контрагента у списку санкцій. Рівень зусиль залежить від ризику та юрисдикції. Різні країни по-різному налаштовують правила. Саме тут картина 2026 стає цікавою.
2026 Таблиця показників правозастосування: ціна помилок
Скільки насправді коштує збій у системі AML у 2026? Емпіричною відповіддю є арка правозастосування з 2022 року. Кожен випадок створював прецедент, і останні вийшли далеко за рамки лише американської моделі.
| Дата | Фірма | Штраф | Авторитет | Чому |
|---|---|---|---|---|
| Жовтень 2022 року | Біттрекс | 29,28 млн доларів США | FinCEN + OFAC | понад 116 000 транзакцій із санкціонованими юрисдикціями, загалом 263 млн доларів США |
| Листопад 2023 року | Бінанс | 4,3 млрд доларів США | Міністерство юстиції США + ФінСЕН + Управління з контролю за іноземними активами (OFAC) | Системні збої в боротьбі з відмиванням коштів, 5-річний моніторинг FinCEN, вихід США з ЄС |
| Березень 2025 року | Гарантекс | Видалення | США + Німеччина + Фінляндія | Санкціоновано OFAC з 2022 року, продовжує свою діяльність |
| Лютий 2025 року | Оклахома-Хіллз | 504,3 млн доларів США | Міністерство юстиції | Підозрілі трансакції на суму понад 5 млрд доларів США за 2018-2024 роки, конфіскація 420 млн доларів США + штраф 84 млн доларів США |
| Листопад 2025 року | Coinbase Europe | 21,46 млн євро | Центральний банк Ірландії | 30 млн транзакцій не контролювалися протягом 12 місяців (вартість 176 млрд євро) |
| Грудень 2025 року | Паксфул | 3,5 млн доларів США | ФінЦЕН | Підозрілі потоки понад 500 мільйонів доларів, вплив Ірану/КНДР/Венесуели |
Варто виділити дві закономірності. По-перше, правоохоронні органи більше не зосереджені в Сполучених Штатах. Європол та Центральний банк Ірландії тепер діють самостійно. Вони не чекають на повні повноваження AMLA. По-друге, справа Garantex показує, що самі лише санкції не зупиняють біржу, яка не відповідає вимогам. OFAC (Управління з контролю за іноземними активами) наклало санкції на Garantex у квітні 2022 року. Біржа працювала майже три роки. Вона зупинилася лише тоді, коли правоохоронні органи фізично вилучили сервери.
Вартість серйозного порушення правил боротьби з відмиванням грошей тепер охоплює накази про припинення та утримання, багатомільярдні штрафи, кримінальний моніторинг та примусовий вихід з ринку. 4,3 мільярда доларів збитків Binance все ще є головною темою. Справи OKX та Coinbase Europe встановлюють більш релевантні орієнтири для середнього за розміром CASP, який розглядає ризики.
Стейблкоїн Півот та злом Bybit
Звіт Chainalysis про криптозлочини 2026 змістив рамки проблеми незаконного фінансування. Загальний обсяг незаконних операцій у мережі досяг 154 мільярдів доларів у 2025 році. Це на 162% більше, ніж у попередньому році. З них 84% стосувалися стейблкоїнів, порівняно з 63% у 2024 році. Сплеск був зумовлений організаціями, що перебувають під санкціями. Надходження на санкціоновані адреси зросли на 694% у річному обчисленні. Майже все це надійшло від російського стейблкоїна A7A5, підкріпленого рублем, який перемістив 93,3 мільярда доларів менш ніж за дванадцять місяців. Значна частина цього пройшла через біржу Grinex.
Найяскравішим випадком 2025 року став злом Bybit. 21 лютого північнокорейська група Lazarus Group, що працює в рамках кластера TraderTraitor, вивела 1,5 мільярда доларів в Ethereum з холодного гаманця Bybit через скомпрометований фронтенд SafeWallet. Протягом п'яти днів приблизно 400 мільйонів доларів було переведено через децентралізовані біржі, кросчейн-мостові мережі та конвертації в Bitcoin. Жодних коштів не було повернуто. Північнокорейські державні суб'єкти вкрали понад 2 мільярди доларів протягом 2025 року, найуспішнішого року в їхній історії крадіжки криптовалюти.
Для команди AML є два аспекти. По-перше, перевірки контрагентів лише за допомогою аналітики ланцюга вже недостатньо. Шляхи відмивання тепер використовують незмінні смарт-контракти, атомні свопи та бриджінг протягом кількох годин після крадіжки. По-друге, емітенти стейблкоїнів тепер є найпотужнішою точкою перешкод у ланцюгу. Заморожування правильної адреси Tether або Circle є ефективнішим, ніж будь-яке постфактумне відстеження.
Календар відповідності 2026: MiCA, UK FCA, MAS
Три з чотирьох основних західних юрисдикцій одночасно досягають структурних термінів AML. Усі вони протягом дванадцяти місяців. Криптофірма, яка працює в них, повинна планувати три ліцензійні треки паралельно.
| Юрисдикція | Рамка | Кінцевий термін | Вплив | Поріг |
|---|---|---|---|---|
| ЄС | MiCA + Регламент про переказ коштів | 1 липня 2026 року | Усім CASP, що мають статус «упереджених» постачальників послуг з управління активами (CASP), потрібна повна авторизація; ESMA підтвердила у квітні 2026, що продовжень не буде. | Нуль (від CASP до CASP) |
| ЄС | Нагляд за AMLR + AMLA | 10 липня 2027 року | AMLR замінює AMLD5/6; AMLA надає прямий нагляд за 40 суб'єктами господарювання з найвищим рівнем ризику | Стандартизовано по всьому ЄС |
| Велика Британія | Повна авторизація FCA для криптовалют | Вересень 2026 | Відкривається вікно заявки; автоматичне перенесення з існуючої реєстрації AML не відбувається | За режимом |
| Сінгапур | Структура MAS DTSP | 30 червня 2025 року (прийнято) | Ліцензія DTSP потрібна для фірм, що обслуговують за кордоном; MAS заявила, що «зазвичай не видає» її | За режимом |
| Глобальний | Рекомендація FATF 16 | Поточний | Правило подорожей: 73% юрисдикцій мають законодавство, 59% його не застосовують | Базовий курс 1000 доларів США/євро |
AMLA – це нове Європейське агентство з боротьби з відмиванням грошей (AML). Воно розташоване у Франкфурті та розпочало офіційну діяльність 1 липня 2025 року. Його мандат охоплює як відмивання грошей, так і протидію фінансуванню тероризму. Вперше дотримання нормативних вимог щодо AML/CFT знаходиться під керівництвом одного органу ЄС. Першим завданням AMLA є узгодження приблизно шістдесяти фрагментованих національних органів нагляду за AML в рамках єдиного зводу правил. Прямий нагляд за сорока найризиковішими організаціями ЄС розпочнеться у 2028 році. Штраф Центрального банку Ірландії на суму 21,5 мільйона євро щодо Coinbase Europe у листопаді 2025 року є раннім сигналом. Національні органи влади не чекають на повні повноваження AMLA.
Прогалина в Правилах щодо подорожей вражає. Цільове оновлення FATF за 2025 рік показало, що 73% зі 117 юрисдикцій, які дозволяють VASP, ухвалили законодавство відповідно до Рекомендації 16, проте 59% досі не застосовують його. Регламент ЄС про переказ коштів виходить за рамки FATF: він встановлює нульовий поріг для переказів між CASP, тобто кожен переказ між регульованими організаціями повинен містити повну інформацію про бенефіціара.
Вартість AML: Зарплати постачальників та співробітників з дотримання вимог
Це та частина дотримання правил боротьби з відмиванням коштів, про яку рідко говорять у освітньому контенті. Середній за розміром CASP, який керує власною програмою, стикається з низкою чітких статей витрат. Цифри не малі.
| Компонент | Приклади постачальників | Річний гурт | Нотатки |
|---|---|---|---|
| Аналітика блокчейну (KYT) | Ланцюговий аналіз KYT + реактор | 120 тис.–250 тис. євро | Часто найбільший окремий рядок |
| Перевірка гаманця | Еліптичний навігатор | 80 тис.–180 тис. євро | Іноді замінюють на Chainalysis |
| Транзакційний ризик | TRM Labs | 60 тис.–150 тис. євро | Найдешевший з трьох основних |
| KYC / ідентифікація | Сумсуб, Ондато, Труліоо | На основі місць | Масштаби з обсягом адаптації |
| Правило подорожі | Нотабене, правило подорожей Sumsub, TRISA | Підписка | Ціноутворення прив’язане до обсягу повідомлень VASP |
| Перевірка санкцій | LSEG / LexisNexis World-Check | На основі місць | Щоденне оновлення списків OFAC SDN, ЄС, Великобританії |
Тільки інструменти для серйозної операції середнього розміру коштують від 300 000 до 700 000 євро на рік. Це до будь-яких витрат на заробітну плату. Далі йдуть люди. Спеціаліст з комплаєнсу в криптовалюті, що базується в США, заробляє в середньому 159 792 долари (ZipRecruiter, 2025). Посади головного спеціаліста з комплаєнсу в середньому становлять 200 000 доларів. Лондонський MLRO має 130 000-180 000 фунтів стерлінгів (посібник Morgan McKinley 2025). Додайте одну посаду помічника з комплаєнсу. Чисельність персоналу зараз перевищує 400 000 доларів у США або 220 000 фунтів стерлінгів у Великій Британії. Серйозна програма боротьби з відмиванням грошей у регульованому CASP рідко обходиться в межах 1 мільйона доларів загалом. Це включає юридичного консультанта, аудит та інфраструктуру.
Ці цифри пояснюють, чому питання «створити» проти «купити» зараз є центральним для кожного, хто починає використовувати криптовалютні платежі. Закони про боротьбу з відмиванням грошей та вибір стеку відповідності можуть визначити, чи є бізнес взагалі життєздатним.
Створення проти купівлі: коли передавати боротьбу з відмиванням грошей платіжному процесору на аутсорсинг
Малому або середньому крипто-торговцю не потрібно наймати MLRO та ліцензувати трьох постачальників аналітики. Платіжний процесор бере на себе зобов'язання щодо боротьби з відмиванням грошей (AML) як провідна фінансова установа. Торговець інтегрує API. PSP здійснює ліцензування, KYC, перевірку, подання SAR та дотримання правил подорожей. Саме так позиціонують себе такі провайдери, як Plisio, BitPay та CoinGate. AML – це продукт, а не доповнення.
Дерево рішень досить чітке. Візьмемо приблизно 50 мільйонів доларів як поріг обсягу. Нижче цього значення, в одній юрисдикції, без регульованої діяльності VASP (зберігання, обмін, грошові перекази), шлях PSP майже завжди перемагає. Вище порогу виграє внутрішня підтримка завдяки налаштуванню, контролю даних та операційній гнучкості. Витрати перестають бути уникнутими.
Гібридна модель зараз домінує для середніх операторів. Регульований постачальник послуг CASP використовує сторонню компанію для однієї або двох нішевих послуг, таких як маршрутизація за правилами подорожей. Ключове питання не в тому, яка модель дешевша. Ключове питання в тому, яка модель перекладає ризик ліцензування на потрібну організацію.
Tornado Cash, смарт-контракти та межа OFAC
Окремі команди з дотримання вимог щодо зміни політики повинні впровадити це. 26 листопада 2024 року Апеляційний суд п'ятого округу США у справі Ван Лун постановив, що незмінні смарт-контракти не є «майном» згідно із Законом про міжнародні надзвичайні економічні повноваження. 21 березня 2025 року OFAC офіційно скасував санкції щодо міксера Tornado Cash. Кримінальне переслідування співзасновника Романа Шторма триває, судовий розгляд призначено на 14 липня 2025 року.
На практиці для команди AML це означає скоріше точний, ніж розширений підхід. Сам протокол більше не може бути санкціонований, але конкретні адреси гаманців можуть бути та залишатися у списку OFAC SDN (понад 12 000 записів станом на березень 2026). Взаємодія з протоколом сама по собі не є порушенням санкцій. Надсилання коштів на санкційовану адресу або отримання коштів з неї все ще є порушенням. Політики взаємодії смарт-контрактів повинні бути написані на рівні адреси, а не на рівні протоколу, з перевіркою, пов'язаною з OFAC SDN та еквівалентними списками ЄС та Великої Британії. Велика Британія консолідувала свої списки: станом на 28 січня 2026 року Консолідований список OFSI було закрито, і Санкційний список Великої Британії тепер є єдиним джерелом.
Перевірка реальності правила крипто-подорожей
Згідно з Рекомендацією 16 Правила подорожей Групи з розробки фінансових заходів боротьби з відшкодуванням шкоди (FATF), постачальники віртуальних помічників у сфері послуг (VASP) повинні передавати інформацію про ініціатора та одержувача переказів на суму понад 1000 доларів США/євро. Станом на Цільове оновлення FATF за 2025 рік, 73% юрисдикцій, що дозволяють VASP, ухвалили законодавство, але 59% з них не забезпечили його виконання. ЄС йде далі, ніж FATF, встановлюючи нульовий поріг для переказів між CASP відповідно до Регламенту про переказ коштів.
Що стосується операційної діяльності, то у Звіті Notabene про стан правил подорожей за 2025 рік (опитано 91 VASP) було виявлено, що 100% респондентів зобов'язалися дотримуватися правил подорожей до кінця 2025 року, а також що кількість фірм, які блокують зняття коштів, зросла на 431% у порівнянні з минулим роком. Інфраструктура дозріла: Notabene, Sumsub Travel Rule, TRISA та Veriscope є операційними системами. Проблемою, що залишається, є сумісність між конкуруючими мережевими провайдерами, фрагментація, яка, ймовірно, посилиться протягом наступних двох років.
Що насправді має робити програма AML у 2026
Позбавлена маркетингового рівня, програма дотримання вимог AML у 2026 криптофірмі має дев'ять конкретних зобов'язань. Призначений співробітник з дотримання вимог MLRO або AML із задокументованими повноваженнями. Структура CIP та CDD на основі ризиків з тригерами EDD для клієнтів з високим рівнем ризику та політично значущих осіб (PEP). Перевірка санкцій на відповідність OFAC SDN, консолідованому списку ЄС, списку санкцій Великобританії з постійною повторною перевіркою. Моніторинг транзакцій із задокументованими правилами та порогами. Звітність про підозрілу діяльність (подання SAR та CTR) до відповідного FIU у визначені терміни. Впровадження Правил подорожей для переказів, що перевищують поріг (нуль у ЄС, 1000 доларів США в усьому світі). Незалежне щорічне тестування програми. Постійне навчання персоналу, задокументоване та датоване. Ведення обліку протягом відповідного періоду зберігання (зазвичай п'ять років).
Ці рамки відрізняються в деталях, але операційний мінімум однаковий для FinCEN, FCA, MAS та ЄС після AMLA. Правила боротьби з відмиванням грошей та ширші закони зблизилися швидше, ніж очікувала більшість операторів. Глобальні правила боротьби з відмиванням грошей тепер перехресно пов'язані на рівні регуляторних вимог, а не національних рамок. Програми дотримання вимог щодо боротьби з відмиванням грошей більш узгоджені між регуляторами, ніж будь-коли. Зусилля щодо дотримання вимог колись обмежувалися кореспондентським банкінгом та традиційними фінансовими послугами. Тепер вони поширюються на кожен регульований криптоканал. Штрафні випадки 2022-2025 років зосереджені навколо порушень у двох напрямках: моніторинг транзакцій у великих масштабах та подання SAR на основі того, що було виявлено в результаті моніторингу. Спочатку працюйте над цими двома аспектами. Ефективне дотримання вимог щодо боротьби з відмиванням грошей – це здебільшого нудна робота. Ви робите ці дві речі послідовно для мільйонів транзакцій та кожного клієнта у вашій книзі.
