• Головна
  • Думки експертів
  • Посилення вимог процедур протидії відмиванню коштів, отриманих злочинним шляхом, та комплаєнсу (KYT, KYV)
Думки експертів

Посилення вимог процедур протидії відмиванню коштів, отриманих злочинним шляхом, та комплаєнсу (KYT, KYV)

Тетяна Дмитренко
Оновлено:

Зміст

Посилення вимог процедур протидії відмиванню коштів, отриманих злочинним шляхом, та комплаєнсу (KYT, KYV)

Ми всі знайомі з принципом KYC (Know Your Customer — Знай свого клієнта), який є ключовим елементом дотримання вимог законодавства у сфері боротьби з відмиванням коштів (ПВК/ФТ). Він дозволяє ідентифікувати осіб, з якими укладаються фінансові угоди. Аналогічно, існує концепція KYT (Know Your Transaction — Знай свою транзакцію), яка спрямована на розкриття деталей запланованої транзакції, включаючи оцінку ризиків, пов’язаних із нею.

Отримавши інформацію про транзакції, суб’єкти фінансового моніторингу можуть ефективніше запобігати відмиванню коштів, ідентифікуючи потенційні «червоні прапорці». Розгляньмо детальніше, що таке KYT.

Що таке KYT?

Know Your Transaction (KYT) — це захід зі зниження ризиків, який передбачає збір ключової інформації про транзакцію для кращого її розуміння, перевірки відповідності діяльності клієнта та виявлення ознак відмивання коштів чи інших фінансових злочинів.

KYT доповнює процедуру належної перевірки клієнта (CDD), допомагаючи сформувати його профіль і оцінити рівень ризику. Адже саме транзакційні дані дозволяють перевірити відповідність дій клієнта його задекларованому профілю.

Завдяки аналізу фінансових операцій суб’єкт фінансового моніторингу може виявляти підозрілі дії й оперативно на них реагувати. KYT дозволяє визначити, чи відповідає транзакція звичній поведінці клієнта, чи є вона підозрілою.

Навіщо потрібен KYT?

У межах режиму ПВК/ФТ фінансові установи застосовують KYC для ідентифікації клієнтів (наприклад, шляхом збору даних про кінцевих бенефіціарів, адрес, контактів тощо). Проте лише KYC недостатньо для повного розуміння клієнта чи оцінки рівня ризику — це можливо лише за умови аналізу транзакцій. Саме тому KYT є вирішальним.

KYC допомагає виявити підозрілих осіб, але навіть «чистий» клієнт може бути залучений до відмивання коштів. Необхідно оцінювати кожну транзакцію та її відповідність раніше зібраним KYC-даним.

Значущість KYT зросла через збільшення обсягів транзакцій з криптовалютами, які відзначаються анонімністю та децентралізованістю, — це підвищує загрозу відмивання коштів. KYT є критично важливим і для електронних переказів, зокрема міжнародних.

Відповідно до вимог антилегалізаційного законодавства, банки та постачальники послуг, пов’язаних з оборотом віртуальних активів (VASP), повинні розкривати інформацію про відправника та одержувача коштів або активів і передавати її контрагенту, дотримуючись правила FATF Travel Rule («Правило подорожей»), що створює механізм для безперебійного обміну інформацією про ініціатора та бенефіціара між VASP. Дотримання «Правила подорожей» є неповним без процесу «Знай свого відповідного VASP» (KYV). KYC виявляє ризики, пов’язані з особою, а KYT — з самою транзакцією.

У межах боротьби з ризиками відмивання грошей та фінансування тероризму FATF видала міжнародні рекомендації для VASP щодо отримання інформації про сторони (ініціатора та бенефіціара), що беруть участь у транзакції з віртуальними активами (VA), та обміну нею з контрагентом на стороні отримувача.

«Правило подорожей» має на меті створити прозорість для клієнтів, залучених до транзакцій із віртуальними активами, щоб виявляти та запобігати використанню екосистеми віртуальних активів для відмивання грошей та фінансування тероризму. Для їх впровадження VASP повинен дотримуватися наступних фундаментальних елементів:

  • Збір інформації: VASP, що замовляє або ініціює транзакцію з віртуальними активами (від якого ініціатор ініціює транзакцію з віртуальними активами), повинен зібрати необхідну інформацію про сторони транзакцій.

    Окрім інформації, зібраної в межах процесу «Знай свого клієнта», VASP повинен отримати ім’я та адресу ініціатора та бенефіціара транзакції з віртуальними активами, а також ідентифікаційну адресу гаманців VA, що використовуються в транзакції.

    У випадках, коли VASP не може ідентифікувати або перевірити інформацію про ініціатора чи бенефіціара, транзакцію не слід виконувати, а також необхідно розглянути необхідність повідомлення про запропонований переказ як про підозрілу діяльність.

  • Обмін інформацією: VASP, що відправляє актив, повинен поділитися зібраною інформацією з VASP, що приймає актив або є бенефіціаром, коли ініціюється переказ віртуальних активів. Таким чином, кожен переказ віртуальних активів повинен супроводжуватися інформацією про ініціатора та бенефіціара.
  • Перевірка інформації про клієнта: перевірка зібраної інформації є критично важливою. VASP, що замовляє або відправляє кошти, повинен використовувати надійні джерела для перевірки інформації ініціатора. Відповідальність за перевірку даних бенефіціара покладається на самого бенефіціара або VASP, що приймає кошти, перед завершенням переказу VA. Під час перевірки VASP повинні перевірити сторони та гаманці на наявність зв'язку зі списками санкцій або будь-яким чорним списком, або на причетність до будь-яких фінансових злочинів.

  • Ведення належного обліку: VASP – як відправник, так і одержувач – повинні вести належний облік зібраної та отриманої інформації. Ця інформація має бути надана органам влади на запит.

    У межах впровадження «Правила подорожей», перед обміном інформацією про клієнтів – ініціатора та бенефіціара – VASP повинні спочатку ідентифікувати контрагента VASP.

Розуміння «Знай свого відповідного VASP» (KYV)

Коли здійснюються транзакції з віртуальними активами (цифрові токени, криптовалюти, незамінні токени тощо), у транзакції може бути залучено більше одного VASP (наприклад, криптобіржа, управляючий портфелем (адміністратор) VA або постачальник послуг зберігача тощо). У таких випадках для одного VASP проведення KYV є таким же важливим, як і виконання процесу «Знай свого клієнта» (KYC).

KYV також відомий як Due Diligence (належна перевірка VASP-контрагента), що зосереджується на ідентифікації VASP-контрагента та оцінці потенційного ризику його експлуатації в конкретній транзакції VA за участю даного контрагента.

KYV подібний до KYC, з тією різницею, що ідентифікується сторона – у випадку KYC клієнт, тоді як у випадку KYV це відповідний VASP.

У межах KYV, VASP повинен ідентифікувати контрагента (VASP), залученого до транзакцій, включаючи його правовий статус, структуру власності та контролю. Вкрай важливо переконатися, що транзакція стосується контрагента, який має належну ліцензію. Для підтвердження цього необхідно отримати відповідні документи, такі як бізнес-ліцензії та корпоративні документи.

Крім того, важливо оцінити рівень регуляторного нагляду, ступінь застосовності та дотримання правил боротьби з відмиванням коштів VASP-контрагентом. Для цього VASP може запросити політики та процедури контрагента щодо боротьби з відмиванням коштів/фінансуванням тероризму.

Необхідно отримати детальну інформацію про місце здійснення діяльності VASP та домени, які використовуються VASP, включаючи інформацію про обсяг високоризикових транзакцій, що обробляються VASP. Крім того, по можливості, наявність VASP необхідно перевірити у юрисдикційному списку регульованих VASP.

Контрагента VASP та кінцевих бенефіціарних власників також слід перевірити на присутність у санкційному списку та виявити будь-які негативні згадки у засобах масової інформації, пов'язані з фінансовими злочинами. Маючи інформацію про контрагента, необхідно провести оцінку ризиків, щоб виявити та оцінити ризик, який він становить для бізнесу. 

Процес KYV має бути завершений перед ініціюванням першого переказу VA або обміну інформацією про клієнта. VASP зобов’язані впроваджувати передові інструменти та рішення, що дозволяють дотримуватися вимог «Правила подорожей». Такі технології повинні базуватися на певній спільній універсальній мові, яка також забезпечує безперебійний обмін інформацією між іноземними контрагентами.

Крім того, для подолання вразливостей, спричинених швидкістю переказу віртуальних коштів, необхідно впровадити в оперативну діяльність VASP програмне забезпечення, яке підтримує ідентифікацію та перевірку даних клієнта, ініціатора та бенефіціара в режимі реального часу.

Будь-які технологічні нововведення зазвичай сприймаються неоднозначно, оскільки вони порушують звичний хід подій і викликають у користувачів почуття невпевненості. Хоча фінансові технології суттєво підвищують зручність і швидкість здійснення операцій, вони водночас створюють нові ризики, зокрема можливості для шахрайства. Однією з таких загроз є технологія deepfake — інструмент, здатний спричинити серйозні зловживання не лише у FinTech, а й в інших галузях, якщо його не контролювати.

Deepfake-технології, які можуть надзвичайно точно імітувати реальну взаємодію, підривають довіру до цифрових фінансових сервісів. Проблема поглиблюється тим, що станом на сьогодні бракує надійних інструментів для їх виявлення та стримування. FinTech наразі перебуває у критичній точці, де поширення deepfake загрожує довірі користувачів і загальній стабільності сектору. Стрімкий розвиток генеративного ШІ та технологій deepfake вимагає від учасників ринку впровадження превентивних заходів. 

Відповідно до останнього звіту платформи Sumsub, лише у 2023 році кількість випадків використання deepfake у фінансових технологіях зросла на 700 % порівняно з попереднім роком.

Технологія deepfake базується на штучному інтелекті та призначена для створення максимально реалістичних зображень, відео або аудіо за участю реально існуючих людей. Її найчастіше використовують для накладення облич чи голосів одних осіб на відео або аудіо з іншими. Такі цифрові фальсифікації виглядають надзвичайно переконливо та можуть точно відтворювати зовнішність і голос людини.

Зі зростанням доступності та точності deepfake зростає й ризик їх використання у шахрайських схемах — від онлайн-банкінгу до внутрішньої корпоративної комунікації. Фінансові установи опиняються перед викликом: нові види шахрайства, засновані на deepfake, ставлять під сумнів саму ідею довіри, безпеки та конфіденційності даних.

Імітація особистостей клієнтів, керівників або інших важливих фігур у фінансових транзакціях відкриває широкі можливості для зловживань. У серці цієї технології лежать методи машинного навчання, які аналізують величезні масиви даних — зображення, відео, аудіо — та навчаються точно відтворювати міміку, жести, інтонації.

Шахрайство у фінансовій сфері існує стільки ж, скільки й сама галузь. Якщо раніше це були підроблені чеки або крадіжка особистих даних, то сьогодні шахраї користуються цифровими інструментами. І технологія deepfake стала ще одним потужним інструментом у їхньому арсеналі.

Deepfake суттєво підвищує ризики, дозволяючи створювати дуже правдоподібні відео чи аудіо, в яких імітуються реальні люди. Такий контент може бути використаний для обману — наприклад, видаючи шахрая за банківського працівника, керівника компанії або навіть самого клієнта під час фінансової операції. Тому впровадження процедур KYT набуває першочергової уваги.

KYT дозволяє виявляти наступні елементи транзакцій:

  • Деталі всіх сторін (відправника, одержувача, рахунки або криптогаманці);
  • Географію операцій (зокрема IP-адресу);
  • Суму транзакції; та
  • Дату здійснення.

KYT — це не разова дія, а постійний моніторинг транзакцій. Завдяки даним про транзакції та профіль клієнта, суб’єкт фінмоніторингу може виявляти шаблони, тренди або підозрілі відхилення.

Рекомендації щодо покращення процесу KYT:

✅ Надавайте KYT такого ж значення, як і KYC

KYC без KYT та  KYV не забезпечить повної оцінки ризику клієнта. Лише разом ці інструменти гарантують ефективне дотримання ПВК/ФТ.

✅ Аналізуйте всі доступні дані

Збирайте максимум інформації: про учасників транзакції, дати, суми, географію, ідентифікатори (наприклад, хеш у блокчейні).

✅ Визначайте правила виявлення аномалій

Створіть алгоритми виявлення нетипових шаблонів: частота, сума, одержувачі, країни, час доби тощо. Автоматичні сповіщення при відхиленнях — ключовий інструмент.

✅ Забезпечте якість даних

Високоякісні дані — основа для точних рішень. Інвестуйте в системи управління даними, здійснюйте стандартизацію й очищення даних.

✅ Узгоджуйте KYT із регуляторними вимогами

Слідкуйте за оновленнями в національному законодавстві та рекомендаціями FATF. 

✅ Використовуйте сучасні технології

Автоматизація KYT — найефективніший шлях. Застосовуйте рішення зі штучним інтелектом (Artificial Intelligence), машинним навчанням (Machine Learning), обробкою національної мови (Natural Language Processing), роботизованою автоматизацією процесів (Robotic Process Automation) для обробки великих масивів даних у реальному часі.

✅ Навчайте персонал

Співробітники повинні володіти навичками збору, аналізу та інтерпретації транзакційних даних. Надання доступу до аналітичних інструментів має супроводжуватися відповідним навчанням.

✅ Повідомляйте про підозрілі транзакції

Усі підозрілі дії мають бути зафіксовані та передані внутрішньому відповідальному (офіцеру з ПВК/ФТ), а також національній фінансовій розвідці (FIU).

✅ Забезпечте конфіденційність даних

Як і KYC, KYT та  KYV передбачають обробку конфіденційної інформації. Дані повинні бути зашифровані, захищені та не використовуватися не за призначенням.

Якщо ви впроваджуєте KYT самостійно, скористайтеся описаними порадами для досягнення якості. Співпраця з фахівцями UMDS може допомогти вам обрати, налаштувати та впровадити оптимальні рішення для управління KYT-процесом та ризиками ПВК/ФТ.

Оновлено:
Тетяна Дмитренко

Думки експертів

Думки експертів

Обов’язкова частка у спадщині: баланс інтересів спадкодавця та спадкоємців

Тетяна Жук
Все про статутний капітал: розмір, як формується та для чого потрібен компанії
Думки експертів

Все про статутний капітал: розмір, як формується та для чого потрібен компанії

Ірина Цимбалюк
Думки експертів

Що таке DORA? Або чому не варто панікувати

Іванна Прєснякова
Думки експертів

Як українцям повернути податки в Європі: частина 2

Олена Кузнечікова