Думки експертів

ПАРТНЕРСТВО: яким має і яким може бути (частина 1)

Тетяна Дмитренко

Зміст

ПАРТНЕРСТВО: яким має і яким може бути (частина 1)

Сучасний кримінальний світ стрімко освоює цифрові активи, постійно створюючи нові механізми обходу контролю і санкційних режимів. Проте, у відповідь на ці виклики активно розвивається публічно-приватне партнерство, що поєднує зусилля державних правоохоронних органів, фінансових регуляторів та приватних блокчейн-аналітичних компаній.

Одним з найяскравіших прикладів ефективної співпраці є операція «Destabilise», яка була проведена міжнародною командою правоохоронних органів Serious and organised crime (SOC) у партнерстві з блокчейн-аналітичною компанією Elliptic. Ця операція виявила масштабну мережу роздрібного продажу наркотиків у Лондоні, контрольовану російськими злочинцями, та допомогла ліквідувати злочинні групи, які використовували криптовалюту для анонімізації своїх доходів.

Elliptic розробила систему на основі штучного інтелекту, здатну ефективно виявляти відмивання грошей за допомогою біткоїн-транзакцій. Виявлено, що частина коштів, які відмивалися через ці мережі, походила від кіберзлочинів, зокрема, від атак програмами-вимагачами. Компанія також виявила, що понад 90 китайських компаній пропонують доставку прекурсорів для виробництва фентанілу, причому майже всі вони використовують для розрахунків криптовалюту.

Варто зазначити, що кримінальний бізнес нерідко знаходить способи уникнути повної ліквідації завдяки корупційним зв’язкам із правоохоронними органами. Відбувається своєрідне «перезавантаження» злочинних структур – одні платформи закриваються, натомість одразу починають працювати їхні наступники. Саме так відбулося з відомими даркнет-маркетами: платформа Hydra поглинула Alphabet, яка перед тим ліквідувала RAMP, а після закриття Hydra виникли нові майданчики Omg! Omg! та Blacksprut.

Аналогічні тенденції спостерігаються і серед конвертаційних платформ, де закриття одних часто збігається із запуском інших, заздалегідь підготовлених і готових до продовження діяльності.

Однак, незважаючи на це, позитивні кейси ефективної взаємодії публічного та приватного секторів створюють оптимістичний сценарій. Наприклад, робоча група при FATF, у складі якої працюють приватні експерти блокчейн-аналітичних компаній, зокрема Chainalysis, TRM labs, розробляє міжнародні рекомендації та керівництва щодо ризик-орієнтованого підходу у сфері криптоактивів і провайдерів послуг з віртуальними активами (ППВА).

Особливу увагу варто приділити роботі експертів ГО «Українська сучасна цифрова наука» (UMDS), які здійснили важливі відкриття у діяльності мережі криптообмінників, через які російські підсанкційні компанії та приватні особи виводили свої активи за кордон, ухиляючись від санкцій. Завдяки їхній роботі були виявлені численні схеми використання криптовалют для обходу санкційних обмежень, що дало змогу правоохоронним органам України та міжнародним партнерам застосувати конкретні заходи блокування цих каналів.

Отже, незважаючи на динамічну природу злочинного світу та його здатність адаптуватися, публічно-приватне партнерство із залученням провідних блокчейн-аналітичних компаній демонструє реальну ефективність у протидії злочинам та корупційним схемам у сфері цифрових активів.

Блокчейн на сторожі: як аналітика викриває криптовалютні злочини

Санкції можуть закрити веб-сайт, але вони не здатні стерти слід у блокчейні. В криптовалютному світі, де транзакції назавжди закарбовані в розподіленому реєстрі, злочинці залишають цифрові «відбитки пальців». Саме ці сліди навчилися читати аналітичні компанії — Global Ledger, Crystal Blockchain, AMLbot, Chainalysis, TRM labs, Elliptic, Merkle Science та інші. Вони стоять на передовій, виявляючи та запобігаючи фінансовим злочинам, пов’язаним з криптовалютами, допомагаючи правоохоронцям усього світу. Їхні інструменти та методи, від трасування платежів і кластеризації гаманців до виявлення міксерів і санкційних маркерів, дозволяють викривати складні схеми відмивання грошей, фінансування тероризму та ухилення від санкцій. Як працює ця блокчейн-розвідка, і які червоні прапорці сигналізують про криптовалютні махінації?

Методи блокчейн-розвідки: трасування, кластеризація, міксери

Кожна транзакція в блокчейні залишає слід, і трасування дозволяє «простежити» шлях коштів через ланцюжок адрес. Експерти UMDS описують, як злочинці нерідко розбивають великі суми на дрібні частини – прийом, відомий як smurfing (дроблення платежів), щоб обійти порогові ліміти підозрілих операцій. Наприклад, замість однієї транзакції на $100 000 можна провести десятки переказів по $5 000, сподіваючись залишитися непоміченим. Втім, алгоритми виявлення аномалій сьогодні навчені розпізнавати підозріле дроблення та інші патерни.

Інший метод приховання слідів – peel chains, «ланцюжки очистки». Зловмисники перекидають кошти послідовно через цілу низку нових гаманців меншими порціями, щоб ускладнити прослідковування. Класичний приклад: вкрадені $1 млн. можуть бути розподілені на 10 гаманців по $100 тис., з кожного з яких далі переказують дедалі менші суми на інші адреси. Так утворюються багатошарові ланцюги відмивання, але сучасна аналітика здатна розгортати цей клубок назад, ідентифікуючи кластер пов’язаних гаманців.

Кластеризація адрес – це ключовий інструмент, що використовується всіма блокчейн-аналітичними компаніями. За допомогою алгоритмів вони групують різні криптовалютні адреси, які з високою ймовірністю контролюються однією особою чи організацією. Наприклад, якщо кілька біткоїн-адрес регулярно здійснюють транзакції між собою або мають спільні характеристики витрат, аналітики об’єднують їх у кластер. Це дозволяє розглядати розрізнені транзакції як частини єдиної схеми. Експерти UMDS підкреслюють, що реальний час має значення: їхні інструменти забезпечують кластеризацію та атрибуцію транзакцій у режимі реального часу, аби встигати за швидкими маневрами злочинців.

Втім, найбільший виклик – коли злочинці навмисно намагаються «відмити» походження коштів за допомогою спеціальних сервісів. Міксери (tumblers) – це програми чи платформи, що змішують монети різних користувачів, розбиваючи їх на випадкові частини і перемішуючи, перш ніж повернути «чисті» кошти новим адресатам. Таким чином розривається прямий зв’язок між відправником і одержувачем. Наприклад, знаменитий сервіс Bitcoin Fog понад 10 років відмивав біткоїни, поки його оператора не заарештували у 2021 році за звинуваченнями у відмиванні сотень мільйонів доларів у криптовалюті. Сучасні блокчейн-інструменти навчилися розпізнавати шаблони мікшування та ідентифікувати адреси, пов’язані з популярними міксерами, навіть якщо самі транзакції анонімізовані. Експерти відзначають, що використання міксерів або монет з підвищеною анонімністю (як-от Monero) автоматично підвищує рівень ризику транзакції. 

Ще один сигнал – ланцюгові “стрибки” (chain hopping), тобто переведення активів між різними блокчейнами. Якщо користувач швидко конвертує, скажімо, біткоїн у ефір, потім в Monero і назад у біткоїн, це може свідчити про спробу заплутати сліди, особливо коли таке крос-чейн переміщення відбувається серійно. Для аналітиків це додатковий пазл, адже доводиться відстежувати транзакції між різними мережами, часто залучаючи дані з децентралізованих бірж та бріджів (мостів між блокчейнами).

Санкційні мітки та червоні прапорці ризику

Не менш важливий напрямок блокчейн-аналітики – моніторинг виконання санкцій та виявлення пов’язаних адрес. Міжнародні органи, як-от OFAC (Офіс контролю за іноземними активами США), публікують чорні списки криптогаманців, пов’язаних із тероризмом, кіберзлочинністю чи підсанкційними режимами. Проте, відомі адреси – лише верхівка айсберга. Аналітичні системи блокчейн-аналітичних компаній позначають санкційні маркери не лише на самих цих гаманцях, а й відстежують непрямі зв’язки: якщо «чистий» на перший погляд гаманець отримував кошти від санкційного (навіть через кілька проміжних хопів), він теж позначається як високоризиковий. 

Такі інструменти дозволяють автоматично сигналізувати біржам і банкам: "Увага, кошти можуть мати санкційне походження!"

Аналітичні компанії також напрацювали цілий набір червоних прапорців – типових ознак підозрілих транзакцій. Ось декілька з топ-10 сигналів ризику:

  • Дроблення транзакцій (smurfing): нетипове розбиття великих сум на багато дрібних переказів за короткий період.
  • Підозріла активність “очищення” (peel chain): багатоетапне перекачування коштів через низку гаманців з поступовим зменшенням сум.
  • Нестандартна частота руху коштів: раптове та швидке переміщення великої суми через нові адреси або одразу після її отримання (нормальні користувачі зазвичай тримають активи довше, або ж торгують у певних межах).
  • Неузгоджений обсяг торгів: якщо адреса приватної особи раптом проводить обіг, що не відповідає профілю (наприклад, студент раптом отримує кілька мільйонів у крипті).
  • Зв’язки з високоризиковими юрисдикціями: надходження або відправлення крипти через гаманці, пов’язані з країнами-ізгоями чи офшорами, відомими як хаби відмивання.
  • Взаємодія з даркнетом: перекази на адресу відомого маркетплейсу даркнету або з нього (де торгують наркотиками, зброєю тощо).
  • Використання міксерів: участь адреси у сервісі мікшування коштів чи регулярні перекази на кластер, пов’язаний з міксерами.
  • Перекази на власні кластеризовані гаманці: коли адресатами є десятки нових гаманців, які, як визначено алгоритмами, належать тій самій особі, – спроба розпорошити та приховати активи.
  • Часті міжмережеві обміни (chain hopping): як згадувалося, швидкі переходи між блокчейнами без видимої потреби.
  • Анонімні монети: надсилання коштів у Monero, Zcash чи інші privacy-коїни і назад може свідчити про намір сховати слід.

Звичайно, кожен з цих факторів окремо не гарантує злочину. Але комбінація кількох тривожних індикаторів вимагає негайної уваги відділів з аналізу ризиків в сфері протидії відмиванню коштів та фінансуванню тероризму (ПВК/ФТ).

 Сучасні платформи на кшталт Global Ledger Protocol, Crystal Expert, AMLbot або Merkle ScienceCompass можуть автоматично виставляти сумарний ризиковий рейтинг гаманцю чи транзакції, враховуючи всі ці критерії. Якщо ризик високий, рахунок блокується або принаймні запитуються додаткові дані (джерела коштів, верифікація особи тощо). Відділам з аналізу ризиків ПВК/ФТ доцільно розробити власну програму оцінки та управління ризиків в сфері ПВК/ФТ, тобто детально виписати процедури оцінки ризиків, реагування на високий ризик та шляхи його пом’якшення, документування високоризикових транзакцій та звітування наглядовим органам по них. Програмні продукти блокчейн-аналітичних компаній стануть у нагоді при побудові таких процедур, особливо щодо виконання вимог KYT (Знай свою транзакцію), яка набуває статусу провідної складової процедури з ПВК/ФТ.

Тетяна Дмитренко

Думки експертів

Думки експертів

Особливості розрахунку скорегованого прибутку КІК (частина 2)

Олена Кузнечікова
Облікова ставка НБУ: що це, як вона впливає на інфляцію
Думки експертів

Облікова ставка НБУ: що це, як вона впливає на інфляцію

Ірина Цимбалюк
Як зареєструвати ФОП: інструкція з відкриття
Думки експертів

Як зареєструвати ФОП: інструкція з відкриття

Ірина Цимбалюк
Думки експертів

Податковий комплаєнс у сфері трансфертного ціноутворення у Великій Британії

Євген Курілов