Криптовалютная KYC-верификация требует безопасного соответствия

Хотя большинство криптобирж проверяют пользователей с помощью автоматизированной проверки документов (в более чем 95 % случаев), некоторые платформы проводят видеозвонки для верификации KYC в режиме реального времени — для высокорисковых аккаунтов или когда автоматизированные системы выявляют проблемы. Такие звонки добавляют человеческий уровень проверки в рамках расширенной процедуры должной осмотрительности (EDD) и затрагивают менее чем 5 % пользователей. В условиях роста числа случаев мошенничества и утечек данных понимание этого процесса становится ключевым фактором обеспечения безопасности и соответствия нормативным требованиям в криптоиндустрии. Ниже приведено полное руководство — от принципов работы таких звонков до передовых практик как для бирж, так и для трейдеров.

Основные выводы

Звонки для верификации KYC добавить человеческий элемент к проверке личности помимо загрузки документов.
Они укрепляют Борьба с отмыванием денег (AML)) соблюдение требований за счёт добавления ручной проверки в случаях повышенного риска, например, для физических лиц, занимающих публичные должности (PEP), пользователей из стран, находящихся под санкциями, или аккаунтов со странной активностью в транзакциях. Это соответствует Финансовая группа по борьбе с отмыванием денег (FATF) Рекомендация 15, которая требует проведения усиленной проверки клиентов (EDD) для таких счетов. — глобальный орган по установлению стандартов в области противодействия отмыванию денежных средств и финансированию терроризма, чьи руководящие принципы влияют на регулирование в более чем 200 юрисдикциях.
Новые технологии, такие как Самоуправляемая цифровая идентификация (SSI) и Доказательства с нулевым разглашением (ZKP) показывают перспективы для будущей верификации с сохранением конфиденциальности, однако по состоянию на 2025 г. остаются на стадии пилотного проекта и не получили регуляторного одобрения для KYC в криптовалютах. Сегодня биржи и пользователи обязаны соблюдать централизованные протоколы KYC с шифрованием хранимых данных и механизмами контроля доступа для обеспечения безопасности информации.

Аутсорсинг колл-центра: Многие обмены используют специализированные аутсорсинг финансовых услуг для эффективной обработки безопасных звонков KYC.

Что такое проверочный звонок KYC в криптовалюте?

Звонок для верификации KYC в криптоиндустрии — это живая голосовая или видеосессия, проводимая биржей или поставщиком услуг по соблюдению нормативных требований для подтверждения личности пользователя. В отличие от электронной верификации KYC (eKYC), которая основана исключительно на загрузке документов, такие звонки включают взаимодействие в реальном времени для подтверждения информации. Живые верификационные звонки НЕ входят в стандартную процедуру онбординга пользователей в криптоиндустрии. Крупнейшие биржи, такие как Binance, Bybit, Coinbase и Kraken, верифицируют более 95 % пользователей с помощью автоматизированной eKYC: загрузка удостоверения личности, фотография «селфи» и получение одобрения в течение 5–20 минут — без какого-либо участия человека.

Звонки зарезервированы для случаев усиленной проверки клиентов (EDD):

1. Сбой автоматической проверки:

Проблемы с качеством документа (размытое фото, повреждённый документ удостоверения личности, просроченный документ)
Сбой проверки живости (селфи не совпадает с удостоверением личности, предположительно deepfake)
Проверка адреса не завершена (документ, подтверждающий адрес, устарел или в нем указано другое имя)

2. Высокий риск: срабатывание индикаторов запускает ручную проверку:

Физическое лицо, выполняющее публичные функции (PEP): Должностное лицо правительства, судья, военнослужащий или член семьи
Страна с высоким уровнем риска: Пользователь из стран, включённых в чёрный или серый список ФАТФ, или из санкционированных регионов
Большие объемы транзакций: Депозиты свыше 10 000 USD в день или вывод средств свыше 50 000 USD в месяц (пороговые значения зависят от биржи)
Подозрительные шаблоны: Быстрые циклы пополнения и вывода средств, подключения к сервисам микширования, адреса кошельков с пометкой «требует внимания»

3. Регуляторные требования:

Запрос правительства о дополнительной проверке в ходе аудита
Обмен внутренними флагами оценки рисков для ручного анализа учетной записи
Межплатформенные отчёты о подозрительной активности (SAR)

Почему операторы связи избегают звонков, когда это возможно:

Стоимость: 15–30 долларов США за звонок против 0,50–2 долларов США за автоматизированную процедуру eKYC
Масштабируемость: Специалисты по соблюдению нормативных требований могут обрабатывать 10–20 звонков в день, тогда как автоматизация обрабатывает миллионы.
Проблемы пользователя: Проблемы с планированием встреч и несоответствие часовых поясов снижают коэффициент конверсии
Скорость: Звонки занимают 1–3 дня (планирование + проверка), в то время как автоматизация занимает 5–20 минут

Цель звонков для верификации KYC:

По мере того как криптобиржи продолжают масштабировать операции по обеспечению соответствия требованиям, интеграция передовых инструментов становится необходимой не только для безопасности, но и для удобства пользователей. Многие платформы внедряют решения, аналогичные современным финтех-системам, объединяя автоматизацию на основе ИИ с этапами верификации, выполняемыми людьми. Использование надежных Программное обеспечение для обслуживания клиентов в сфере финтеха может помочь биржам оптимизировать процессы KYC, эффективно управлять звонками для верификации и соблюдать баланс между соответствием нормативным требованиям и бесперебойным клиентским опытом. Для команд, желающих внедрить структурированную систему обеспечения конфиденциальности и соответствия требованиям, ознакомьтесь с нашими Чек-лист соответствия требованиям конфиденциальности данных.

Чтобы обрабатывать рабочие процессы верификации в больших объёмах, многие платформы полагаются на специализированные колл-центр для криптовалютной биржи которая поддерживает безопасные звонки для идентификации и верификации клиентов (KYC), мгновенную верификацию пользователей и взаимодействие с клиентами, соответствующее требованиям нормативных органов.

1. Соответствие нормативным требованиям:

США: Соответствие требованиям Закона о банковской тайне (Bank Secrecy Act, BSA), установленным Управлением по борьбе с отмыванием денег (FinCEN). Криптобиржи, классифицированные как предприятия, оказывающие денежные услуги (Money Services Businesses, MSBs), обязаны внедрять программы по противодействию отмыванию денег (AML), проводить надлежащую проверку клиентов (Customer Due Diligence, CDD) и представлять отчёты о подозрительной деятельности (Suspicious Activity Reports, SARs) в отношении операций на сумму ≥5 000 долларов США, вызывающих подозрение.
ЕС: Соблюдайте рамочную директиву ЕС «Рынки криптоактивов» (MiCA) (вступает в силу в декабре 2024 г.) и Директивы ЕС о противодействии отмыванию доходов (AMLD5/6) (пятая и шестая Директивы о противодействии отмыванию доходов), которые обязывают поставщиков услуг виртуальных активов (VASP) применять процедуры KYC, основанные на оценке рисков.
Глобально: Соответствие Рекомендации 15 ФАТФ, распространение полного объема обязательств по борьбе с отмыванием денег и финансированием терроризма (AML/CFT) на криптовалютный сектор. Правило о передаче данных требует обмена информацией об отправителе и получателе для транзакций на сумму ≥3000 USD (США) или ≥1000 EUR (ЕС).

2. Предотвращение мошенничества:

Обнаружение синтетических личностей (поддельных удостоверений личности, созданных на основе реально украденных данных и вымышленной информации).
Предотвращение несанкционированного доступа к аккаунтам (злоумышленник с украденными документами не сможет пройти проверку по видеосвязи в реальном времени).
Блокировка финансирования терроризма и уклонения от санкций (проверка по списку OFAC).

3. Усиленная проверка клиентов (EDD):

CDD — это базовая верификация (удостоверение личности + адрес + базовый скрининг рисков) для всех пользователей.
EDD — это углубленное расследование для счетов с высоким уровнем риска: ПДЛ, крупные транзакции, подозрительные шаблоны.
Звонки позволяют сотрудникам по вопросам соответствия задавать вопросы об источнике средств и оценивать достоверность пользователя в режиме реального времени.

4. Звонки для идентификации клиента (KYC) против электронной идентификации клиента (eKYC) только по документам:

Характеристика	Автоматизированная электронная идентификация (стандартная)	Ручной просмотр документов	EDD с проверочным звонком
Используется для	95 % и более пользователей	Неудачная автоматическая верификация (нечеткие документы)	Счета с высоким уровнем риска (должностные лица публичных органов, крупные объемы, подозрительные признаки)
Процесс	Идентификатор загрузки → Селфи → Верификация с помощью ИИ	Человек проверяет документы, звонок не требуется	Ручная проверка + запланированный видеозвонок/аудиозвонок
Время до одобрения	5–20 минут	1–2 рабочих дня	1–3 рабочих дня (в зависимости от расписания)
Обнаружение живого присутствия	Расширенные функции (трехмерное сканирование лица, обнаружение моргания, отслеживание движения головы)	Н/Д (статический анализ документа)	Интерактивное видео в реальном времени (максимальная достоверность)
Показатель выявления мошенничества	85-90%	90-95%	95-98%
Стоимость обмена	0,50–2,00 долл. США за проверку	5–15 долларов США за отзыв	15–30 долларов США за звонок
Масштабируемость	Неограниченно (миллионы в день)	Умеренный (сотни в день)	Очень ограниченное количество (10–20 звонков/сотрудник/день)
Пользовательский опыт	Бесшовная и мгновенная обратная связь	Ожидание проверки человеком	Проблемы с планированием, координация часовых поясов
Соответствие нормативным требованиям	Соответствует требованиям к должной осмотрительности (FATF, FinCEN)	Улучшенная проверка документов	Полный набор данных о клиенте (EDD) в соответствии с нормативными требованиями по борьбе с отмыванием денег (AML)
Примеры платформ	Bybit Уровень 1, Binance Подтверждено, Coinbase Базовый	Большинство крупных бирж для пограничных случаев	Редко; используется традиционными банками и регулируемыми брокерами, входящими в криптоиндустрию

Примечание: Эти методы НЕ являются взаимоисключающими. Все проверки по умолчанию выполняются с помощью автоматизированной процедуры eKYC. Ручная проверка запускается в тех случаях, когда автоматизация не может уверенно подтвердить подлинность документов. Звонки являются финальным уровнем эскалации для аккаунтов, требующих усиленной проверки клиентов (Enhanced Due Diligence) в соответствии с нормативными требованиями.

Роль звонков для верификации KYC в обеспечении соответствия криптовалютных требований

Как голосовые звонки для верификации вписываются в систему соблюдения требований в сфере криптовалют

Криптобиржи применяют многоуровневую систему KYC, установленную ФАТФ и национальными регуляторами:

Уровень 1 — базовая проверка клиентов (Customer Due Diligence, CDD):

Применяется к: Все пользователи, независимо от размера транзакции
Процесс: Автоматизированный eKYC (загрузка удостоверения личности + селфи + верификация адреса)
Проверка: Аутентификация документов на основе ИИ + биометрическое сравнение лиц
Время: 5–20 минут
Пример: Bybit Уровень 1 (вывод средств до 1 млн долларов США в день), Coinbase Basic

Уровень 2 — расширенная проверка документов:

Применяется к: Пользователи с непонятными документами ИЛИ со средним объёмом транзакций (от 10 000 до 50 000 долларов США в месяц)
Процесс: Человеческий сотрудник по соблюдению нормативных требований проверяет документы вручную, звонок не осуществляется
Проверка: Проверка подделки фотографии, просроченности удостоверений личности и согласованности адресов
Время: 1–2 рабочих дня
Пример: Bybit Уровень 2 (вывод средств до 2 млн долларов США в день)

Уровень 3 — расширенная проверка (EDD) с совершением звонков:

Применяется к: Счета с высоким уровнем риска в соответствии с нормативными актами по борьбе с отмыванием денег
- Физические лица, выполняющие публичные функции (PEP)
- Пользователи из юрисдикций с высоким уровнем риска по FATF
- Объемы транзакций, превышающие пороговые значения (более 50 000 USD в месяц; значение зависит от биржи)
- Флаги подозрительной активности (смешивание сервисов, санкционированные кошельки)
Процесс: Ручная проверка + запланированный верификационный звонок (видео/голосовой)
Проверка: Офицер по соблюдению требований проводит интервью с пользователем, подтверждает источник средств и оценивает ответы на предмет признаков мошенничества
Время: 1–3 рабочих дня (в зависимости от расписания)
Пример: Обязательно для институциональных аккаунтов (хедж-фонды, внебиржевые дески) и лиц с высоким чистым капиталом

Почему используется многоуровневый подход?

Ориентированный на оценку рисков: Рекомендация 1 ФАТФ требует применения мер, соразмерных риску (не применяйте усиленную проверку клиентов ко всем пользователям — это приведёт к неоправданным затратам ресурсов).
Пользовательский опыт: Пользователи с низким уровнем риска получают быстрое одобрение; пользователи с высоким уровнем риска проходят тщательную проверку.
Экономическая эффективность: Автоматизированный eKYC обрабатывает 95 % обращений; дорогостоящие звонки сохраняются только для 5 % случаев, в которых они действительно необходимы.

Давление со стороны регуляторов:

Регион	Регулирующий орган	Требования к идентификации клиента (KYC)	Штрафы за несоблюдение	Примечания
Соединённые Штаты	ФинЦЕН (принудительное исполнение требований по ПОД/ФТ), SEC (ценные бумаги), Комиссия по торговле товарными фьючерсами (CFTC) (товары)	• Регистрация МСБ в FinCEN • Внедрение программы по борьбе с отмыванием денег (BSA) • Сбор: имя, дата рождения, адрес, номер социального страхования • Подтвердите: удостоверение личности, выданное государственными органами • Подавать SAR на подозрительную деятельность на сумму ≥ 5 000 долларов США • Правило о путешествии средств: передавать информацию об отправителе и получателе для транзакций на сумму ≥ 3000 долларов США	• FinCEN оштрафовал 17 криптоплатформ Всего 210 млн долларов США в 2023 году • Bittrex: урегулирование на сумму 53 млн долларов США (2022 г.) • Возможны уголовные обвинения за умышленные нарушения	Также требуются государственные лицензии (например, лицензия BitLicense штата Нью-Йорк)
Европейский союз	ЕБА (Европейское банковское управление) Национальные подразделения финансовой разведки (Подразделения финансовой разведки)	• Соответствие регуляторным требованиям MiCA (вступает в силу в декабре 2024 г.) • Внедрение Директивы ЕС о противодействии отмыванию денежных средств (5-й и 6-й директивы) • Сбор данных: полное имя, дата рождения, адрес, гражданство, идентификационный номер налогоплательщика • Проверка: удостоверение личности, выданное государственными органами, и документ, подтверждающий адрес проживания • Проверка на наличие политически значимых лиц (PEP) • Правило о путешествии средств: операции на сумму ≥ €1000	• Revolut: Штраф в размере 3,5 млн евро (Литва, апрель 2025 г.) по недостаткам в области ПОД/ФТ • Barclays: Штраф в размере 42 млн фунтов стерлингов (Управление по финансовому регулированию Великобритании, июль 2025 г.) по причине недостаточного KYC	MiCA создаёт единые рамки (ранее фрагментированные по странам)
Великобритания	Управление по финансовым услугам (FCA) Управление по финансовому регулированию и надзору (Financial Conduct Authority)	• Регистрация в Управлении по финансовому регулированию и надзору (FCA) для криптовалютных компаний • Углубленная проверка клиентов на основе оценки рисков • Сбор: имя, дата рождения, адрес • Подтвердить: удостоверение личности и документ, подтверждающий адрес регистрации, в течение 3 месяцев • Улучшенная верификация для ПДЛ • Постоянный мониторинг	• Высокие штрафы за незарегистрированную деятельность • Управление по финансовому регулированию и надзору (FCA) отклонило более 75 % заявок криптовалютных компаний (2021–2023 гг.)	После Брекзита Великобритания следует собственным правилам (а не MiCA), но они согласованы с FATF.
Азиатско-Тихоокеанский регион — Сингапур	МАС Монетарное управление Сингапура	• Лицензия на оказание платежных услуг • Полная идентификация клиентов (KYC) до открытия счёта • Сбор: удостоверение личности, адрес, информация о трудоустройстве, источник средств • Срок исполнения для транзакций более 20 000 сингапурских долларов	• Отзыв лицензии • Уголовная ответственность за осуществление деятельности без лицензии	Один из самых строгих режимов в Азии
Азиатско-Тихоокеанский регион — Южная Корея	FSC (Финансовая комиссия) KoFIU	• Система верификации по настоящему имени (2018) • Криптокошельки, привязанные к банковским счетам с одинаковыми названиями • Сертификация в области кибербезопасности по стандарту ISMS • Закон о защите пользователей виртуальных активов (2023 г.)	• Консолидация рынка: большинство небольших бирж прекратили свою деятельность из-за высоких затрат на соблюдение требований	Полностью запретить анонимную торговлю
Азиатско-Тихоокеанский регион — Япония	FSA Финансовое агентство	• Регистрация криптобиржи • Стандартная процедура KYC: удостоверение личности + адрес + селфи • Постоянный мониторинг • Сегрегация активов клиентов	• Взлом Coincheck (2018 г.): временная утрата лицензии, внедрение усиленных мер безопасности	Динамично развивающаяся нормативно-правовая база, способствующая инновациям при обеспечении надзора
Канада	FINTRAC, КСА/IIROC (провинциальные ценные бумаги)	• Регистрация МПБ в FINTRAC (с 2014 г.) • Регистрация ценных бумаг на провинциальном уровне • Полное соответствие требованиям KYC и AML • Криптовалюты рассматриваются как имущество (налог на прирост капитала)	• Штрафы за незарегистрированные операции • Жёсткое применение с 2014 года (обусловлено опасениями по поводу финансирования терроризма)	Чёткая нормативно-правовая база, высокий уровень соблюдения требований

Ключевые аббревиатуры:

AML: Борьба с отмыванием денег
CDD: Проведение надлежащей проверки клиентов (базовый KYC)
Расчетная дата доставки: Расширенная проверка (для высокорисковых клиентов)
Политически значимое лицо (PEP) Политически значимое лицо
САР: Отчет о подозрительной активности
ФАТФ: Финансовая группа по противодействию отмыванию денег (глобальные стандарты)
Правило о путешествиях: Требование к раскрытию информации об отправителе и получателе при крупных транзакциях

Пошаговый процесс проверки KYC для криптовалютных операций по телефону

Для эффективного управления большим объемом запросов на верификацию многие биржи интегрируют программное обеспечение для обслуживания клиентов в сфере финтеха, которое автоматизирует планирование, отслеживает рабочие процессы верификации и обеспечивает последовательное взаимодействие на всех этапах процесса KYC.

Шаг 1. Подготовка к звонку (за 24–48 часов до запланированного звонка)

Что происходит:

Пользователь получает уведомление по электронной почте/SMS: «Для вашей учетной записи требуется верификация с расширенной проверкой клиентов. Пожалуйста, назначьте верификационный звонок в течение 7 дней, чтобы избежать ограничений для учетной записи».
Электронное письмо включает:
- Ссылка на онлайн-систему бронирования (календарь с доступными временными слотами)
- Чек-лист необходимых документов
- Технические требования (стабильное подключение к интернету, веб-камера, микрофон)
- Преобразование часовых поясов (если пользователь находится в другом регионе, чем команда по соблюдению требований)

Документы, которые необходимо подготовить:

1. Фотоудостоверение, выданное государственными органами (основной документ, удостоверяющий личность):

Принято: Паспорт, национальный удостоверение личности, водительские права
Требования:
- Должен быть действительным (не просроченным — проверьте дату окончания срока действия!)
- Все четыре угла видны на фото/скане
- Нет бликов и теней, затрудняющих чтение текста
- Цветное фото (не черно-белое)
- Выдано уполномоченным государственным органом
Не принято: Студенческие билеты, пропуска сотрудников, просроченные документы, ксерокопии

2. Подтверждение адреса (датировано не ранее чем за 3 месяца до настоящего времени):

Принято:
- Квитанция об оплате коммунальных услуг (электричество, вода, газ, интернет)
- Выписка из банка (с указанием имени и адреса)
- Договор аренды или найма (подписанный арендодателем)
- Документ, выданный государственными органами и содержащий адрес (справка о налогах, регистрация избирателя)
Требования:
- Имя в документе должно точно совпадать с именем в удостоверении личности
- Полный адрес виден (улица, город, почтовый индекс)
- Выдано в течение последних 90 дней (некоторые биржи принимают справки, выданные в течение последних 6 месяцев)
- Оригинальный документ, а не скриншот или изменённая версия
Не принято: Счета за мобильный телефон (различаются в зависимости от оператора), выписки по кредитной карте (проблемы конфиденциальности), гостиничные чеки

3. Документы, подтверждающие источник средств (если запрошены командой по соблюдению нормативных требований):

Для сотрудников: Справки о заработной плате (за последние 2–3 месяца), трудовой договор
Для владельцев бизнеса: Регистрация бизнеса, налоговые декларации, учредительные документы
Для инвесторов: Выписки брокерских счетов, документы о продаже недвижимости, документы о наследовании
Для трейдеров криптовалют: История транзакций с других бирж, налоговые декларации с указанием доходов от криптовалют

4. Адрес кошелька в блокчейне (если требуется биржей):

Зачем это нужно: Команды по соблюдению требований проверяют, не связан ли ваш адрес для вывода средств с кошельками, включёнными в санкционные списки (список OFAC), сервисами микширования или известными мошенническими адресами.
Как предоставить: Скопируйте адрес своего кошелька из MetaMask/Ledger/Trust Wallet и вставьте его в форму обмена.
Что они проверяют: Биржа проводит анализ блокчейна (Chainalysis, Elliptic) для просмотра истории транзакций и выявления рискованных связей.

Чек-лист технической настройки:

1. Интернет и устройства:

Стабильное подключение к интернету (минимум 5 Мбит/с для исходящей передачи — проверьте на speedtest.net)
Компьютер или смартфон с исправно работающей камерой (проверьте в режиме «селфи»)
Рабочий микрофон (проверьте с помощью приложения для записи голоса)
Тихая, хорошо освещённая комната (без подсветки сзади — сидите лицом к окну или лампе)
Скачайте необходимую платформу для видеозвонков (Zoom, Skype или пользовательскую платформу биржи)
Протестируйте платформу за 24 часа до звонка (для некоторых платформ требуются разрешения браузера на доступ к камере и микрофону)

2. Избегайте типичных ошибок:

Использование VPN во время звонка (вызывает тревогу — команда по соблюдению требований видит несоответствие IP-адресов)
Принятие звонка в автомобиле или на публичном месте (фоновый шум, плохое освещение, проблемы с конфиденциальностью)
Присутствие третьих лиц без предварительного одобрения (выглядит подозрительно)
Несоответствие имени (в удостоверении личности указано «Роберт Смит», а в документе, подтверждающем адрес проживания, — «Боб Смит»; используйте юридически полное имя)
Просроченные документы (проверяйте даты окончания срока действия за 48 часов до звонка, а не утром в день звонка)

3. Назначение звонка:

Воспользуйтесь онлайн-системой бронирования биржи (ссылка на календарь в электронном письме)
Выберите время, когда вы бодры (не раннее утро, если вы еще сонные)
Учитывайте часовой пояс: если команда по соблюдению нормативных требований находится в США, а вы — в Азии, выберите вечернее время (их утро).
Добавить буфер в 30 минут (на случай, если предыдущий звонок затянется)
Отметить в календаре, установить напоминание на телефон за 1 час до события

4. Если вы пропустили запланированный звонок:

Большинство сеансов позволяют 1 бесплатную перенос даты
После 2+ пропусков без предупреждения: учётная запись может быть ограничена (режим «только просмотр»)
Некоторые компании взимают плату за перенос встречи ($10–25) после первого пропуска.

Шаг 2: Подтверждение личности (первые 5–10 минут звонка)

Звонок начат:

Сотрудник по соблюдению требований представляет себя: «Здравствуйте, это [Имя] из группы по соблюдению требований регулирования компании [Exchange]. Я провожу вашу проверку в рамках расширенной процедуры надлежащей осмотрительности. Этот звонок будет записан в целях соблюдения нормативных требований. Согласны ли вы на запись?»
Пользователь должен дать явное согласие: «Да, я даю согласие.» (Если согласие не получено, звонок не может быть осуществлён в соответствии с GDPR и законами о защите персональных данных)

Визуальная проверка:

Шаг 2а: Представление документа

Оператор: «Пожалуйста, поднесите свой [паспорт/удостоверение личности] к камере так, чтобы были видны все четыре угла. Убедитесь, что документ хорошо освещён.»
Пользователь показывает удостоверение личности в камеру (не сканирование и не фотография удостоверения личности)
Сотрудник проверяет признаки вскрытия:
- Голограммы, водяные знаки, элементы защиты
- Согласованность шрифтов (у поддельных удостоверений личности часто несовместимые шрифты)
- Качество фотографии (профессиональная фотография против напечатанной фотографии, приклеенной на бланк)
- Срок действия (все еще действителен?)

Шаг 2б: Проверка живости в реальном времени

Оператор: «Теперь, пожалуйста, посмотрите прямо в камеру. Я попрошу вас выполнить несколько действий, чтобы подтвердить, что вы — реальный человек, а не предварительно записанное видео или глубокий фейк».
Возможные сообщения, которые может получить пользователь:
- «Поверните голову медленно влево… теперь вправо.»
- «Улыбнитесь.»
- «Моргните дважды.»
- Поднимите руку и помашите.
- Назовите ваше полное имя и дату рождения.
На что обращает внимание оператор:
- Естественные движения (негибкие движения = потенциальный дипфейк)
- Тени перемещаются корректно (согласованность освещения)
- Голос совпадает с движением губ (синхронизация аудио и видео)
- Оперативный ответ на непредвиденные запросы (не могут быть предварительно записаны)

Шаг 2в: Сравнение биометрических данных

Офицер использует разделённый экран: живое видео — слева, фотография из удостоверения личности — справа
Сравнивает:
- Строение лица (скулы, линия челюсти, форма носа)
- Цвет глаз, цвет волос (с учетом старения, изменений причёски)
- Отличительные особенности (родинки, шрамы, татуировки, видимые на фотографии в удостоверении личности)
Некоторые платформы используют ИИ-ассистированное сопоставление лиц:
- Программное обеспечение вычисляет показатель схожести (например, совпадение на 97 %)
- Сотрудник принимает окончательное решение (ИИ оказывает поддержку, но не принимает решение)

Шаг 2d: Проверка биографических данных (одновременно с видеозвонком)

Во время разговора с пользователем офицер по соблюдению требований (или другой сотрудник команды) выполняет:
- Проверка на соответствие санкциям OFAC: Находится ли пользователь в каких-либо запрещённых списках? (список SDN, санкции ЕС, санкции ООН)
- Поиск в базе данных ПЭП: Является ли пользователь политически значимым лицом? (должностное лицо государственных органов, судья, военнослужащий)
- Проверка негативных упоминаний в СМИ: Есть ли какие-либо новостные статьи, связывающие пользователя с мошенничеством, отмыванием денег или терроризмом?
- Анализ адреса кошелька: Если предоставлено, проверьте с помощью Chainalysis/Elliptic следующее:
  - Подключения к заблокированным кошелькам (например, адреса, связанные с КНДР)
  - Использование сервисов для смешивания средств (Tornado Cash, Blender.io)
  - Платежи за выкуп программ-вымогателей, транзакции на даркнет-рынках
Если появляются тревожные сигналы: оператор делает запись и может задать дополнительные вопросы позже в ходе звонка (не сталкивает пользователя с этим немедленно, за исключением случаев серьёзного риска).

Сколько это занимает времени:

Простой случай (пользователь с низким уровнем риска, чётко идентифицирован): 5 минут
Сложный случай (просроченное удостоверение личности, требуется несколько проверок живости): 10–15 минут

Если личность не может быть подтверждена:

Оператор: «На данный момент я не могу с уверенностью подтвердить вашу личность. Вам необходимо повторно отправить более четкие документы и перенести встречу на другое время. Наша команда направит вам электронное письмо со специфическими требованиями».
Распространённые причины сбоя:
- Фотография в удостоверении личности устарела (более 15 лет, внешность человека изменилась кардинально)
- Плохое качество видео (пикселизация, лаги при подключении)
- Нервное поведение пользователя (чрезмерное потоотделение, избегание зрительного контакта — может быть обусловлено культурными особенностями, но вызывает тревогу)
- Подозрение на кражу личных данных (кто-то использует украденные документы)

Шаг 3: Интервью по вопросам соответствия (10–20 минут)

Что оценивают офицеры по соблюдению требований:

Согласованность: ответы соответствуют представленным документам? (например, указано «Я учитель», но нет документов, подтверждающих трудоустройство)
Достоверность: насколько ответы конкретны и уверены или, наоборот, расплывчаты и уклончивы?
Факторы риска: Есть ли признаки отмывания денег, уклонения от санкций или использования «номинального» аккаунта (действия от имени скрытого бенефициарного владельца)?

Категория вопроса 1: Источник средств

Цель: Проверьте, что денежные средства, поступающие на платформу, происходят из законных источников, а не являются доходом от преступной деятельности.

Оператор: Какой будет основной источник средств, которые вы будете использовать на этой платформе?

Хорошие ответы (конкретные, проверяемые):

«Я инженер-программист в компании [Company]. Моя годовая зарплата составляет $X. Я прикрепил(а) свои две последние выписки по заработной плате».
«Я владею небольшим бизнесом — кофейней. Я предоставил(а) документы о регистрации бизнеса и налоговую декларацию, подтверждающие ежегодный доход в размере $X».
«Недавно я продал(а) недвижимость и получил(а) $X. Ниже прилагаю договор купли-продажи и подтверждение банковского перевода.»
«Я получил(а) наследство в размере $X от имущества моей бабушки. У меня есть завещание и документы исполнителя завещания».
«Я торгую криптовалютой с 2020 года на [Другая биржа]. Ниже приведена моя история транзакций и налоговые декларации, в которых указано, что мой капитал вырос на $X».

Плохие ответы (расплывчатые, тревожные сигналы):

«Я трейдер.» ← Слишком расплывчато (торговец чем? для кого? какой доход?)
«У меня есть сбережения.» ← Как вы накопили сбережения? За счёт какого дохода?
Друг прислал мне деньги. ← Кто? Почему? Сколько? (Возможное отмывание денег)
«Я предпочитаю не говорить». ← Невозможно продолжить выполнение EDD без раскрытия источника средств
«Я веду бизнес.» ← Какой вид бизнеса? Зарегистрирован ли он? Есть ли какие-либо документы?

Категория вопроса 2: Объём транзакций и шаблоны

Цель: Оцените, соответствует ли активность аккаунта заявленному источнику средств (например, не указывайте «зарплата $50 тыс.», а затем вносите депозиты по $500 тыс. в месяц).

Оператор: «Каков ваш ожидаемый ежемесячный объём транзакций на нашей платформе? Пополнения и вывод средств.»

Хорошие ответы:

«Я планирую ежемесячно инвестировать из своей зарплаты около 5 000–10 000 долларов США в биткоин и эфириум на длительный срок. Я не планирую заниматься дейтрейдингом».
«Мой бизнес приносит выручку в размере 50 000 долларов США в месяц. Я буду конвертировать 10–20 % этой суммы в стейблкоины для оплаты международным поставщикам, то есть примерно 10 000 долларов США в месяц».
«Я ликвидирую свои криптовалютные активы с другой биржи в течение следующих 3 месяцев — примерно на общую сумму 100 000 долларов США, выводя средства на свой банковский счёт.»

Плохие ответы:

«По возможности.» ← Расплывчато, не помогает в оценке рисков
«Зависит от обстоятельств». ← О чём? Сотруднику полиции нужен хотя бы приблизительный диапазон
«Посмотрим, как пойдёт.» ← Не полезно для оценки рисков отмывания денег
КРУПНЫЙ КРАСНЫЙ ФЛАГ: «Я буду вносить по 500 000 долларов США ежемесячно» но заявленный источник средств — это Зарплата 60 000 долларов США ← Несоответствие дохода и деятельности = потенциальное отмывание денег

Категория вопроса 3: Цель использования криптовалют

Цель: Отличайте законное использование (инвестиции, платежи) от незаконного (обход санкций, покупки в даркнете)

Оператор: «Какова ваша цель использования криптовалюты? Инвестиции, торговля, платежи, другое?»

Хорошие ответы:

«Долгосрочные инвестиции. Я верю в биткоин как в защиту от инфляции».
«Я фриланс-графический дизайнер, работаю с международными клиентами. Я использую стейблкоины для получения оплаты быстрее, чем при банковских переводах».
«Я торгую альткоинами с целью получения прибыли. Ежегодно уплачиваю налог на прибыль от операций с ценными бумагами.»
«Я изучаю протоколы DeFi для фермерства доходности. Я понимаю риски».

Плохие ответы (тревожные сигналы):

«Вывести деньги из [санкционированной страны].» ← Уклонение от санкций
«Я не доверяю банкам, криптовалюту невозможно отследить». ← Недопонимание + возможное противоправное намерение
По соображениям конфиденциальности. ← Хотя законные соображения конфиденциальности существуют, такая формулировка вызывает опасения в контексте борьбы с отмыванием денег (AML)
«Я не могу вам этого сказать». ← Немедленный сигнал тревоги для соблюдения требований

Категория вопроса 4: Предыдущий опыт работы с криптовалютой

Цель: Проверьте историю пользователя, выявите возможную историю приостановки аккаунта на других биржах

Оператор: Вы пользовались другими криптовалютными биржами ранее? Какими именно?

Хорошие ответы:

«Да, я пользуюсь [Coinbase/Binance/Kraken] уже 3 года. С моим аккаунтом проблем не было».
«Нет, это мой первый криптокошелёк. Я новичок в криптовалюте».
«Ранее я пользовался(-ась) [Exchange X], но перехожу на вашу платформу из-за более низких комиссий / лучших функций».

Плохие ответы:

Моя учетная запись была заблокирована на [бирже X]. ← Сотрудник спросит, почему (мошенничество? Нарушение требований по ПОД/ФТ?)
Список из 10+ бирж, приведённый подряд ← Поведение, характерное для смены учётных записей (возможно, заблокированный пользователь создаёт новые учётные записи)
«Не помню.» ← Если пользователь — опытный трейдер, он должен помнить основные платформы

Категория вопроса 5: Место жительства и налоговый статус

Цель: Проверьте, что пользователь не находится в стране с ограничениями (санкционированная страна или США, если биржа там не лицензирована)

Оператор: «Где вы сейчас проживаете? Какое у вас гражданство/налоговое резидентство?»

Хорошие ответы:

«Я проживаю в [город, страна]. Я являюсь гражданином и налоговым резидентом этой страны».
«Я гражданин США, проживаю в Сингапуре. Я подаю налоговые декларации в обеих странах».
«Я родился(ась) в [Страна А], но сейчас постоянно проживаю в [Страна Б]. Вот мой вид на жительство.»

Плохие ответы (тревожные сигналы):

Несоответствие IP-адресов: Пользователь указал, что живёт в Великобритании, однако его IP-адрес показывает подключение из Ирана (санкционированная страна, используется VPN).
«Я часто путешествую, у меня нет постоянного адреса.» ← Сложно оценить юрисдикцию и риски несоответствия требованиям
«Я из [санкционированной страны], но использую аккаунт друга». ← Нарушение правил использования учетной записи «соломенного человека»
Отказывается отвечать ← Невозможно завершить EDD без раскрытия юрисдикции

Дополнительные вопросы для клиентов с высоким чистым капиталом и институциональных клиентов:

Если пользователь вносит депозит на сумму $1 млн и более:

Вы инвестируете от имени кого-либо еще или этот аккаунт предназначен исключительно для вашего личного использования? (Проверка бенефициарного владения)
«Ваш работодатель знает, что вы совершаете эти транзакции?» (Если средства от бизнеса)
Будете ли вы получать средства от третьих лиц или только вносить собственные средства? (Тревожный сигнал: сторонний платёж)

Для бизнес-аккаунтов:

Какой тип вашей коммерческой организации? ООО, акционерное общество, индивидуальный предприниматель?
«Кто являются бенефициарными владельцами (физические лица, владеющие долей в капитале 25 % и более)?»
«В вашей компании есть сотрудник, отвечающий за соблюдение требований по противодействию отмыванию денег (AML)?»

Красные флаги, на которые обращают внимание сотрудники по соблюдению нормативных требований:

Во время собеседования сотрудники проходят обучение по выявлению следующих признаков:

Сценарные ответы: Похоже на чтение с заранее подготовленного документа (возможно, инструктируемое мошенничество)
Чрезмерная нервозность: Потливость, избегание зрительного контакта, длительные паузы (важен культурный контекст — в некоторых культурах зрительный контакт менее прямой)
Несоответствия: Говорит: «Я врач», но в документах указано трудоустройство на складе
Уклончивые ответы: Отклоняет вопросы, даёт уклончивые ответы
Чрезмерная самоуверенность: «Я знаю все правила, я уже делал(а) это раньше» (опытный мошенник?)
Нетерпеливость: Сотрудник спешит, требует немедленного одобрения (срочность = потенциальная мошенническая схема)

Сколько это занимает времени:

Случай с низким уровнем риска (очевидный источник средств, последовательная история): 10 минут
Случай высокого риска (крупные суммы, сложная структура бизнеса): 20–30 минут

Шаг 4: Постзвонковый анализ и принятие решения (через 24–48 часов после звонка)

Что происходит после завершения звонка:

Немедленные действия (первый час):

Сотрудник по соблюдению требований завершает внутреннюю проверку Форма оценки р ngисков:
- Уровень достоверности верификации личности: Успешно / Неуспешно / Неясно
- Надёжность источника средств: Высокая / Средняя / Низкая
- Риск, связанный с шаблоном транзакций: Низкий / Средний / Высокий
- Результат проверки на санкции/ПЭП: чисто / совпадение (требуется передача в вышестоящие инстанции)
- Общая рекомендация: одобрить / отклонить / запросить дополнительную информацию

Критерии принятия решений:

ОДОБРИТЬ аккаунт (если выполнены все условия):

Личность подтверждена с уверенностью более 95 % (совпадение лица, проверка живости пройдена)
Источник средств задокументирован и заслуживает доверия (справки о заработной плате, документы, подтверждающие предпринимательскую деятельность, налоговые декларации)
Нет попаданий по санкциям/ПЭЛ ИЛИ статус ПЭЛ допустим (не высокий риск, связанной с политической должностью)
Ответы соответствуют представленным документам
Нет тревожных сигналов при анализе кошелька в блокчейне (если применимо)

ЗАПРОСИТЬ ДОПОЛНИТЕЛЬНУЮ ИНФОРМАЦИЮ (если есть пробелы):

Проверка личности выполнена не полностью (старое фото, требуется обновлённый документ, удостоверяющий личность)
Источник средств частично подтвержден (требуются дополнительные выписки из банка и подтверждение трудоустройства)
Незначительные несоответствия, которые можно устранить (различное написание имени, устаревший адрес в квитанции за коммунальные услуги)

ОТКЛОНИТЬ аккаунт / ПРИОСТАНОВИТЬ БЕССРОЧНО (если обнаружены серьёзные тревожные сигналы):

Неудачная верификация личности (подозрение на поддельный документ, несоответствие лица, обнаружение глубокого фейка)
Неподтвержденный источник средств (расплывчатые ответы, отсутствие документации, несоответствие между доходом и транзакциями)
Санкции применены (совпадение со списком OFAC, запрет для страны)
Высокорисковый ПЭП (действующий государственный служащий в юрисдикции, подверженной коррупции)
Подозрительные шаблоны активности (кошелек связан с сервисами микширования, рынками даркнета, вымогательским ПО)
Если отклонено из-за мошенничества/санкций: Обмен файлами Отчет о подозрительной деятельности (SAR) с ФинЦЕН (США) или соответствующим подразделением ФИУ (Группа финансовой разведки) в других юрисдикциях

Хранение и сохранность данных:

Где хранятся данные KYC (НЕ в блокчейне):

Зашифрованные хранилища данных (EDV): Безопасные базы данных с шифрованием AES-256
Контроль доступа: Просмотр доступен только уполномоченным сотрудникам по вопросам соответствия, прошедшим двухфакторную аутентификацию.
Период хранения:
- США (FinCEN): 5 лет после закрытия счёта
- ЕС (GDPR): 5–10 лет (срок зависит от законов стран-членов ЕС о противодействии отмыванию денег)
- Великобритания (FCA): 5 лет после окончания деловых отношений
Резервные системы: Избыточное хранилище (AWS, Google Cloud) в нескольких географических регионах для обеспечения аварийного восстановления

Что такое «KYC в блокчейне»?

Текущая реальность (2025): Большинство бирж НЕ хранят данные KYC в публичных блокчейнах по следующим причинам:
- Законы о конфиденциальности: Право на удаление данных в соответствии с GDPR вступает в противоречие с неизменяемостью блокчейна (удалить данные из блокчейна невозможно)
- Риск ответственности: Утечка данных привела к тому, что документы, удостоверяющие личность, стали доступны всему миру на постоянной основе
- Нет нормативных требований: FinCEN, MiCA и FCA НЕ обязывают использовать KYC на основе блокчейна
Экспериментальные варианты использования: Некоторые проекты используют:
- Аттестации в блокчейне: Криптографическое подтверждение того, что «Пользователь X прошёл проверку KYC у поставщика Y» (персональные данные не хранятся, только булево значение: verified=true)
- Хешированные идентификаторы: Хранение криптографического хэша документов (а не самих документов) в целях подтверждения их существования
- Разрешённые блокчейны: Приватные реестры, доступные только для авторизованных сторон (банков, бирж)
Итог: «KYC в блокчейне» в 2025 году находится в основном на теоретической стадии или стадии пилотного проекта. Стандартной практикой остаются централизованные зашифрованные базы данных.

Хронология уведомлений пользователя:

Сценарий 1: ОДОБРЕНО

Временные рамки: Через 24–48 часов после звонка (иногда в тот же день, если случай простой)
Тема письма: «Подтверждение вашей учетной записи [Exchange] завершено»
Содержимое электронного письма:
- «Хорошие новости! Ваша проверка в рамках расширенной процедуры должной осмотрительности одобрена.»
- Ваш аккаунт теперь полностью подтвержден. Вы можете:
  - Внести фиатные средства (банковский перевод, кредитная карта)
  - Торгуйте всеми поддерживаемыми криптовалютами
  - Выводить средства до [более высоких лимитов, например, 100 000 USD/день]
  - Доступ к расширенным функциям (торговля с использованием маржи, стейкинг, продукты «Заработать»)
Статус панели управления: Зелёная галочка «Проверено»

Сценарий 2: ТРЕБУЕТСЯ ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Временные рамки: Через 12–24 часа после звонка
Тема письма: Требуется действие: необходимы дополнительные документы
Содержимое электронного письма:
- «Мы проверили ваш звонок для верификации, но нам нужны дополнительные документы:»
  - Пожалуйста, предоставьте обновлённое подтверждение адреса (ваш счёт за коммунальные услуги выставлен 4 месяца назад, нам нужен счёт, выставленный не более чем 3 месяца назад).
  - Пожалуйста, загрузите выписки с заработной платы за ещё два месяца для подтверждения дохода.
  - Пожалуйста, уточните источник средств для [конкретной транзакции]
- Ответьте в течение 7 дней, чтобы избежать ограничений для аккаунта.
Статус панели управления: Оранжевый восклицательный знак «Ожидает: требуется действие»

Сценарий 3: ОТКЛОНЕНО

Временные рамки: Через 24–72 часа после звонка (процесс занимает больше времени из-за внутренней проверки и юридической экспертизы перед отклонением)
Тема письма: «Обновление проверки вашей учетной записи [Exchange]»
Содержание электронного письма (осторожная формулировка для минимизации юридической ответственности):
- «После тщательной проверки мы не можем подтвердить ваш аккаунт в настоящее время.»
- «Это решение основано на наших политиках управления рисками и регуляторных обязательствах.»
- Конкретная причина, как правило, не раскрывается во избежание:
  - Уведомление пользователя о подаче SAR (в США запрещено раскрывать информацию о подаче SAR)
  - Юридические споры («Вы назвали меня мошенником!»)
  - Предоставление пошаговой инструкции мошенникам для улучшения поддельных документов в следующий раз
- «Вы можете снять имеющиеся средства [если применимо], но не можете пополнять счет или осуществлять сделки. Счет будет закрыт через 30 дней.»
- «Это решение является окончательным. Создание новой учетной записи запрещено.»
Статус панели управления: Красный крестик «Проверка не удалась»

Что делать, если пользователь не согласен с решением?

Процесс подачи апелляции (отличается в зависимости от биржи):

Некоторые биржи позволяют подавать апелляции:
- Пользователь отправляет письменное объяснение и дополнительные доказательства
- Отдельный обзор офицером по соблюдению требований (не тем же лицом, которое приняло первоначальное решение)
- Окончательное решение в течение 14 рабочих дней
Большинство бирж НЕ разрешают подавать апелляции в следующих случаях:
- Санкционные ограничения (совпадение со списком OFAC = безусловно)
- Подтвержденная мошенническая активность (поддельный документ удостоверения личности, проверенный экспертами-криминалистами)
- Регуляторный запрет (например, гражданин США пытается использовать биржу, лицензированную не в США)

Если апелляция отклонена:

Пользователь должен использовать другую биржу (если это применимо)
Невозможно создать новую учетную запись под другим именем (мошенничество с личностью)
Возможно, потребуется проконсультироваться с офицером по соблюдению требований на новой платформе и объяснить причину предыдущего отказа (если спросят).

Хранение данных и права пользователей:

Что происходит с записями звонков и документами?

Хранится безопасно: Зашифровано, ведётся журнал доступа (аудиторский след того, кто просматривал данные)
Срок хранения: 5–10 лет в соответствии с законами о противодействии отмыванию денег (даже если аккаунт закрыт)
Права пользователей (GDPR, CCPA):
- Право на доступ: Пользователь может запросить копию своих данных KYC.
- Право на исправление: Пользователь может исправить ошибки (неверный адрес, опечатку)
- Право на удаление («право быть забытым»): Пользователь может запросить удаление ПОСЛЕ окончания срока хранения (а не в течение 5–10-летнего периода).
- Право на переносимость данных: Пользователь может запросить данные KYC в машиночитаемом формате (чтобы передать их на другую биржу)

Как запросить свои данные:

Свяжитесь со службой поддержки обмена контактами: «Я запрашиваю свои данные KYC в соответствии со Статьей 15 GDPR».
Обмен данными должен быть выполнен в течение 30 дней (GDPR) или 45 дней (CCPA)
Получить: копию удостоверения личности, подтверждение адреса, расшифровку звонка (возможно, с частичным редактированием), заметки по оценке рисков

Проблемы безопасности и конфиденциальности

Риски централизованных систем KYC (и как отрасль реагирует на них)

Риск № 1: Массовые утечки данных

Угроза:

Централизованные базы данных, в которых хранятся миллионы идентификаторов пользователей, адреса и селфи, представляют собой высокую ценность для хакеров.
Единственное нарушение безопасности может привести к утечке данных всей пользовательской базы (в отличие от децентрализованного хранилища, где данные каждого пользователя хранятся отдельно)

Реальные примеры:

Ledger (компания, производящая аппаратные кошельки, июль 2020 г.):

Что произошло: База данных маркетинга скомпрометирована: раскрыты данные 272 000 клиентов
Утечка данных: Имена, почтовые адреса, номера телефонов, адреса электронной почты
Воздействие: Используется для фишинговых атак («Ваше устройство Ledger требует обновления — нажмите здесь») и попыток физического хищения (преступники знали адреса держателей криптовалюты)
Ответ Ledger: Улучшенная сегментация базы данных, нанят специалист по информационной безопасности (CISO), запущена программа вознаграждений за обнаружение уязвимостей
Источник: Официальное заявление Ledger, отчёты об аудите безопасности

Poly Network (платформа DeFi, август 2021 г.):

Что произошло: Взлом на сумму 610 млн долларов США (позднее средства были возвращены), но также произошло нарушение безопасности данных KYC.
Утечка данных: Идентификаторы пользователей, история транзакций (идентификаторы государственных органов не хранятся, так как это платформа DeFi)
Примечание: Подчёркивает, что даже некастодиальные платформы с минимальной процедурой KYC подвержены рискам

Недавние инциденты (2023–2025 гг.) (неподтверждённые утверждения):

Binance (2023): В сообщении на хакерском форуме утверждалось, что доступны для продажи 10 000 документов KYC (Binance отрицает взлом и заявляет, что документы были получены в результате старой фишинговой атаки)
Coinbase (2024): Подтвержденного взлома нет, однако в деле об инсайдерской торговле выяснилось, что сотрудники имели широкий доступ к данным пользователей
Примечание. Всегда проверяйте официальное заявление биржи: многие сообщения о «взломах» являются фишинговыми мошенничествами.

Как биржи снижают риски:

Сегментация базы данных: PII (имя, адрес) хранятся отдельно от финансовых данных (история транзакций)
Шифрование данных в состоянии покоя: AES-256 для хранящихся документов
Шифрование в процессе передачи: TLS 1.3 для передачи данных
Регулярные аудиты безопасности: Ежегодное тестирование на проникновение сторонними организациями (CertiK, Quantstamp)
Программы вознаграждения за обнаружение уязвимостей: Платите хакерам за поиск уязвимостей до того, как это сделают злоумышленники (например, Coinbase платит до 250 000 долларов США за каждую критическую ошибку).

Риск № 2: Угрозы изнутри

Угроза:

Сотрудники, имеющие доступ к базе данных KYC, могут украсть данные или продать их преступникам.
Сотрудники по соблюдению нормативных требований, службы поддержки клиентов и ИТ-персонал могут иметь законный доступ, но злоупотреблять им

Реальные примеры:

Coinbase (внутреннее расследование, 2024 г.):

Что произошло: Сотрудник получил несанкционированный доступ к учетным записям пользователей и передал информацию внешней стороне.
Принятое действие: Сотрудник уволен, возбуждено уголовное дело, Coinbase внедрила более строгие меры контроля доступа
Урок: Даже авторизованные сотрудники с доступом представляют угрозу

Binance (предположительно, 2023 г.):

Заявка: Бывший сотрудник, предположительно, утечку 10 000 документов KYC
Ответ Binance: Нарушение отрицается: документы якобы относятся к фишинговой атаке 2019 года, а не к утечке из внутренних источников
Продолжается: Расследование со стороны компаний, специализирующихся на информационной безопасности

Как биржи снижают риски:

Управление доступом на основе ролей (RBAC): Служба поддержки клиентов видит только имя и баланс счета; сотрудники отдела соответствия видят полные документы KYC.
Принцип минимальных привилегий: Предоставляйте минимально необходимый доступ для выполнения служебных обязанностей
Журналирование доступа: Каждое отображение данных регистрируется с указанием временной метки, идентификатора сотрудника и причины доступа.
Регулярные аудиты: Проверяйте журналы доступа раз в квартал на наличие подозрительных паттернов (например, сотрудник просмотрел 1000 учетных записей за один день — это тревожный сигнал).
Проверка биографических данных: Расширенная проверка для команды по соблюдению нормативных требований (проверка кредитной истории, уголовных записей)
Соглашения о неразглашении (NDA): Юридические контракты с штрафами за неправомерное использование данных

Риск № 3: Регуляторные штрафы за нарушения

Угроза:

GDPR (ЕС), CCPA (Калифорния) и другие законы о защите персональных данных предусматривают серьёзные штрафы за недостаточную защиту данных

Реальные штрафы:

Revolut (Литва, апрель 2025 г.):

Нарушение: «Постоянные недостатки» в предотвращении отмывания денег (AML), неадекватные процедуры идентификации клиентов (KYC)
Хорошо: 3,5 млн евро
Причина: Быстрый рост (добавление миллионов пользователей) без масштабирования команды по обеспечению соответствия требованиям, что привело к слабой верификации
Источник: Пресс-релиз литовского регуляторного органа

Barclays (Великобритания, июль 2025 г.):

Нарушение: Не удалось собрать достаточное количество информации о клиенте в рамках процедуры KYC; недостаточный контроль за транзакциями
Хорошо: 42 млн фунтов стерлингов (примерно 53 млн долларов США)
Контекст: Традиционный банк, но урок применим и к криптовалютам: регуляторы не принимают в качестве оправдания фразу «мы слишком быстро росли».
Источник: Уведомление о применении мер принуждения от Управления по финансовому регулированию Великобритании (FCA)

Штрафы за нарушение правил GDPR в случае утечки данных (ЕС):

Максимальный штраф: 20 млн евро или 4 % от годового глобального дохода, в зависимости от того, какая сумма БОЛЬШЕ
Примеры:
- British Airways (2020 г.): штраф в размере 20 млн фунтов стерлингов за утечку данных клиентов (первоначально 183 млн фунтов стерлингов, снижен по апелляции)
- Marriott (2020 г.): штраф в размере 18,4 млн фунтов стерлингов за нарушение, повлекшее утечку данных 339 млн гостей
Примечание: Никто из крупных криптобирж пока не получил максимальный штраф за нарушение GDPR, однако такой риск существует

Как биржи снижают риски:

Сертификат SOC 2 Type II: Ежегодный аудит, подтверждающий меры безопасности (управление доступом, шифрование, реагирование на инциденты)
Киберстрахование: Политики, охватывающие расходы, связанные с нарушением безопасности (уведомление, мониторинг кредитной истории пострадавших, юридические издержки)
План реагирования на инциденты: Готовый сценарий действий при нарушениях безопасности (уведомление пользователей и регулирующих органов в течение 72 часов с момента обнаружения в соответствии с требованиями GDPR)
Минимизация данных: Храните только обязательные данные KYC (не собирайте номера социального страхования, если это не требуется по закону)
Регулярное удаление: Удаление учётных записей по истечении срока хранения (5–10 лет) для снижения рисков

Смена отраслевого подхода: постепенный отказ от централизованного хранения данных

Текущая реальность (2025):

Более 95 % бирж по-прежнему используют централизованные зашифрованные базы данных (требование регуляторов, проверенная технология)
Децентрализованные альтернативы (SSI, KYC в блокчейне) находятся только на стадии пилотного проекта.

Экспериментальные подходы:

1. Пилотные проекты по самоуправляемой идентификации (SSI):

Что: Пользователи хранят документы KYC в собственном цифровом кошельке (мобильное приложение) и передают биржам криптографическое подтверждение
Статус: Пилотные проекты ЕС по eIDAS 2.0, Агентство цифровых технологий Японии тестирует систему с использованием идентификатора My Number
Внедрение: Менее 1 % пользователей криптовалют имеют учётные данные SSI в 2025 году
Регуляторное одобрение: НЕ одобрен в качестве замены традиционной процедуры KYC регуляторами США (FinCEN, SEC, CFTC)

2. Доказательства с нулевым разглашением (ZKP) для выборочного раскрытия информации:

Что: Подтвердите, что «мне больше 18 лет» или «я не проживаю в стране, в отношении которой введены санкции», не раскрывая точную дату рождения или местоположение.
Статус: Экспериментально (протоколы Polygon ID, zkMe)
Ограничение: Регуляторы требуют полной верификации документов, а не только булевых подтверждений

3. Федеративная идентификация и верификация клиентов (KYC) (совместная проверка на биржах):

Что: Пользователь проходит верификацию один раз с помощью поставщика KYC (Jumio, Onfido) и получает криптографический сертификат, который принимается несколькими биржами.
Статус: Некоторое распространение (Sumsub, KYC-Chain используются несколькими платформами)
Вызов: Ответственность (кто несет ответственность в случае поддельных учетных данных?)

Временные рамки для массового внедрения:

2025-2026: Продолжение пилотных проектов, отсутствие значимых регуляторных одобрений
2027-2028: Возможная регуляторная база ЕС для SSI (если пилотные проекты eIDAS 2.0 окажутся успешными)
2030+: Возможное массовое внедрение (не гарантируется)

Итог для пользователей и бирж на сегодня:

Использовать централизованный KYC с шифрованным хранилищем, средствами контроля доступа и аудита (соответствует требованиям, подтверждено)
Не полагайтесь исключительно на SSI/ZKP (не одобрено регулирующими органами в 2025 году)
Следите за инновациями (может стать опцией через 5+ лет)

Проблемы конфиденциальности в криптовалюте

Потеря анонимности для трейдеров.
Риск несанкционированного использования конфиденциальных данных третьими сторонами.

Примеры случаев нарушения безопасности

Взлом Coinbase: Атака изнутри привела к утечке идентификаторов, адресов и финансовой информации.
Инцидент с Binance: На хакерском форуме опубликовали утечку с заявлением о получении доступа к данным пользователей, предоставленным в рамках процедуры KYC.

Кейсы: неудачи и улучшения

Кейс № 1: Утечка данных Ledger (июль 2020 г.)

Что произошло:

Фон:

Ledger — производитель аппаратных кошельков (не криптобиржа, но хранит данные клиентов, аналогичные данным KYC)
База данных маркетинга взломана, в результате чего раскрыты данные 272 000 клиентов
К злоумышленнику попали: имена, почтовые адреса, номера телефонов, адреса электронной почты, данные о заказах
Финансовые данные и криптовалютные активы не были скомпрометированы (устройства Ledger остались защищёнными)

Временные рамки:

Июнь 2020 г.: Первоначальное нарушение безопасности произошло (Ledger не было известно об этом)
14 июля 2020 г.: Ledger обнаружила несанкционированный доступ к базе данных интернет-магазина
29 июля 2020 г.: Ledger опубликовал отчёт об инциденте в области безопасности и уведомил 9500 пользователей о том, что их подробные данные были скомпрометированы.
Декабрь 2020 г.: Полная база данных (272 000 записей) была скомпрометирована на хакерском форуме RaidForums.
2021-2023: Жертвы сообщили о физических угрозах, атаках методом фишинга и попытках замены SIM-карты.

Влияние на пользователей:

Фишинговые кампании:

Атакующие отправили электронные письма: Ваше устройство Ledger было скомпрометировано
Поддельные сайты Ledger, собирающие сид-фразы (12–24 слова — ключи для восстановления)
Оценка ущерба — более $10 млн, похищенных с помощью фишинга (пользователи вводили сид-фразы на поддельных сайтах)

Физические угрозы безопасности:

Преступники знали точные адреса владельцев криптовалюты
Несколько сообщений о:
- Угрожающие письма: «Мы знаем, что у вас есть криптовалюта. Переведите 5000 долларов в BTC, иначе мы нанесём удар по вашей семье».
- Попытки вторжения в жилище (редкие, но имели место как минимум в 3 задокументированных случаях)
- «Атаки с использованием гаечного ключа» (физическое принуждение к раскрытию мнемонической фразы)

Долгосрочные последствия:

- Данные жертв ВСЁ ЕЩЁ циркулируют в даркнете в 2025 году (спустя 5 лет)
- Продолжающиеся фишинговые кампании, направленные на клиентов Ledger
- Подан коллективный иск (урегулирован на неуказанную сумму)

Кейс № 2: Внутренняя угроза в Coinbase (2024 г.)

Что произошло:

Инцидент:

Сотрудник Coinbase получил несанкционированный доступ к учетным записям пользователей
Передача конфиденциальной информации о клиенте третьей стороне (личность не раскрывается)
Обнаружено внутренними системами мониторинга Coinbase

Временные рамки:

Q1 2024: Сотрудник начал несанкционированный доступ (точная дата начала не раскрывается)
Второй квартал 2024 г.: Команда безопасности Coinbase зафиксировала необычные шаблоны доступа к аккаунту
Июнь 2024 г.: Запущено внутреннее расследование
Июль 2024 г.: Сотрудник уволен, в ФБР возбуждено уголовное дело
Август 2024 г.: Coinbase уведомила пострадавших пользователей и предложила бесплатный мониторинг кредитной истории.

Масштаб:

Количество затронутых аккаунтов: не раскрывается (Coinbase ссылается на продолжающееся расследование)
Типы полученных данных: имена клиентов, балансы, история транзакций (пароли и коды двухфакторной аутентификации не были скомпрометированы)

Что это говорит о внутренних угрозах:

Почему инсайдеры представляют угрозу:

Законный доступ: Сотрудники по соблюдению требований, службы поддержки клиентов и ИТ-персонал должны иметь возможность просматривать данные пользователей для выполнения своих служебных обязанностей.
Сложно обнаружить: В отличие от внешних хакеров, внутренние злоумышленники используют авторизованные учетные данные (без срабатывания оповещений о переборе паролей)
Целевые клиенты с высокой ценностью: Недовольные сотрудники, сотрудники, испытывающие финансовые трудности, или подкупленные внешними субъектами

Распространённые сценарии угроз со стороны внутренних лиц в криптоиндустрии:

Кража данных для продажи: Сотрудник экспортирует базу данных KYC и продаёт её в даркнете (от 10 до 50 долларов США за документ, удостоверяющий личность)
Манипуляция учетной записью: Служба поддержки клиентов изменила адрес для вывода средств на кошелёк злоумышленника
Информация о фишинге: Сотрудник утечки адресов электронной почты и номеров телефонов пользователей в фишинговые группировки
Шпионаж: Конкурент подкупает сотрудника для получения данных о торговле и аналитики поведения пользователей

Как Coinbase обнаружила и отреагировала на инцидент:

Механизмы обнаружения:

Журналирование доступа: Просмотр каждой учетной записи клиента регистрируется с указанием идентификатора сотрудника, временной метки и причины.
Обнаружение аномалий: ИИ выявил необычный паттерн (сотрудник просмотрел более 500 аккаунтов за неделю, при норме 10–20)
Сравнение с аналогами: Система сравнивает доступ сотрудника с доступом коллег, занимающих аналогичную должность (отклонение от нормы = сигнал тревоги)
Контрольные журналы: Ежеквартальные ручные проверки учетных записей с высоким уровнем привилегий (сотрудники по вопросам соответствия, администраторы)

Действия ответа:

Уволенный сотрудник немедленно покинул компанию (в тот же день его сопроводили из здания)
Отменён доступ ко всей системе, учётные данные отключены
Судебно-криминалистическое расследование: проверены все учётные записи, к которым был осуществлён доступ, и все загруженные файлы
Подано уголовное заявление в ФБР (инсайдерская торговля, несанкционированный доступ к компьютерным системам)
Уведомлены затронутые пользователи в течение 30 дней (соответствие требованиям GDPR/CCPA)
Предложено 2 года бесплатного мониторинга кредитной истории (стандартная мера по смягчению последствий утечки данных)

Улучшения, внедрённые после инцидента:

Процедуры экстренного доступа: Действия с высоким уровнем риска (просмотр аккаунтов «китов» на сумму более 1 млн долларов США) требуют одобрения двумя сотрудниками
Случайные аудиты: 10 % журналов доступа сотрудников проверяются выборочно еженедельно (а не только раз в квартал)
Поведенческая аналитика: Модели машинного обучения прогнозируют риск угрозы со стороны внутренних пользователей на основе шаблонов доступа и сигналов от отдела кадров (например, недавние дисциплинарные взыскания, неудачные результаты аттестации).
Минимизация данных: Служба поддержки клиентов видит только идентификатор транзакции, а не полное имя и адрес, если они не требуются для конкретного обращения.

Уроки для индустрии криптовалют:

1. Принцип минимальных привилегий:

Плохо: Все агенты службы поддержки клиентов могут просматривать полные документы KYC.
Хорошо: Поддержка уровня 1 видит только имя и баланс на счёте; поддержка уровня 2 (при эскалации) видит полные данные KYC; сотрудники отдела соответствия — единственная группа с неограниченным доступом.

2. Мониторинг доступа:

Плохо: Ведение журналов доступа, но никогда не просматривать журналы (имитация безопасности)
Хорошо: Автоматическое обнаружение аномалий + еженедельные выборочные проверки + ежеквартальные полные проверки

3. Проверка биографических данных и постоянный мониторинг:

До трудоустройства: проверка кредитной истории, уголовных дел (финансовые трудности = риск угрозы со стороны сотрудников)
Во время трудоустройства: отслеживайте тревожные сигналы (резкие изменения образа жизни, чувство обиды, частый доступ к аккаунтам пользователей с высоким уровнем состояния)

4. Разделение обязанностей:

Плохо: Одно и то же лицо, которое занимается вводом пользователей в эксплуатацию, также может одобрять вывод средств.
Хорошо: Команда по онбордингу ≠ команда по эксплуатации ≠ команда по соблюдению требований (система взаимного контроля)

5. Культура безопасности:

Регулярное обучение по вопросам безопасности: «Что делать, если вам предложили взятку», «Как сообщить о подозрительном коллеге»
Защита информаторов: анонимная горячая линия для сообщения об угрозах изнутри
Выходные интервью: при увольнении сотрудника немедленная отмена учётных данных и анализ всей его недавней активности

Кейс № 3: положительный пример — подтверждение резервов Kraken (процесс продолжается)

Что они сделали правильно:

Фон:

После краха FTX (ноябрь 2022 г.), который выявил неправомерное использование клиентских средств, биржам пришлось доказывать свою платёжеспособность.
Kraken внедрён Доказательство резервов (PoR) + меры по обеспечению прозрачности

Ключевые методы:

1. Проверка дерева Меркла (криптографическое подтверждение резервов):

Пользователи могут убедиться, что их баланс включен в общие резервы Kraken.
Процесс:
1. Kraken публикует криптографический хеш всех пользовательских балансов
2. Каждому пользователю присваивается индивидуальный хеш (их баланс + «соль»)
3. Пользователь проверяет, входит ли его хеш в опубликованное дерево Меркла.
4. Гарантирует, что Kraken не может фальсифицировать резервы (математика не сойдётся, если они лгут)

2. Аудиты со стороны третьих лиц:

Независимые аудиторы (Armanino LLP) проверяют, что резервы в блокчейне соответствуют депозитам пользователей.
Публикуется ежеквартально (а не как одноразовый пиар-трюк)
Аудиты охватывают: Bitcoin, Ethereum, USDT, USDC и более 100 других активов

3. Прозрачная коммуникация:

Публикации в блоге, объясняющие методологию PoR (а не просто «доверьтесь нам»)
Инструменты с открытым исходным кодом для проверки пользователями своего включения

4. Меры безопасности KYC:

Сертифицировано по стандарту SOC 2 Type II (ежегодные аудиты мер защиты данных)
Программа вознаграждений за обнаружение уязвимостей: от 100 до 100 000 долларов США за выявление уязвимостей безопасности
Регулярное обучение сотрудников вопросам информационной безопасности (симуляции фишинговых атак, повышение осведомлённости об угрозах со стороны внутренних источников)

Почему это важно для KYC:

Доверие через прозрачность:

Пользователи охотнее проходят верификацию KYC, если доверяют мерам безопасности биржи.
PoR не имеет прямого отношения к KYC, но демонстрирует общую операционную целостность

Культура безопасности мирового уровня:

Если биржа активно инвестирует в прозрачность резервов, она, скорее всего, также инвестирует в защиту данных KYC.
Красный флаг: биржа, которая отказывается проходить аудит, вероятно, скрывает и другие проблемы (слабая идентификация клиентов (KYC), неэффективные меры по борьбе с отмыванием денег (AML), частичное резервирование).

Регуляторное доверие:

Обмены с высоким уровнем соответствия требованиям (включая идентификацию клиентов — KYC) и финансовой прозрачностью = снижение регуляторных рисков
Упрощение установления партнёрских отношений с банками, подключения фиатных шлюзов и получения лицензий в новых юрисдикциях

Уроки для пользователей:

Выберите биржи с:

Сертификат SOC 2 Type II или ISO 27001 (подтверждает наличие мер безопасности)
Публичные аудиты безопасности (тесты на проникновение, программы вознаграждения за обнаружение уязвимостей)
Прозрачный реагирование на инциденты (в случае утечки данных они немедленно сообщают об этом, а не скрывают)
Четкая политика конфиденциальности (какие данные KYC хранятся, в течение какого срока и кто имеет к ним доступ)

Избегайте обменов, которые:

Отказаться от аудита со стороны третьих лиц («по причинам, связанным с защитой собственности»)
Имеет историю утечек данных с неудовлетворительной реакцией (задержка с уведомлением, обвинение пользователей)
Отсутствуют четкие условия обслуживания и политика конфиденциальности
Анонимная команда (некому нести ответственность)

Инновации в звонках для верификации KYC

Инновация № 1: Расширенная биометрическая аутентификация (действующая технология, 2025 г.)

Что используется сегодня:

1. Распознавание лиц (наиболее распространённый метод):

Как это работает в звонках KYC:

Пользователь держит удостоверение личности перед камерой → Оператор делает фотографию удостоверения личности
Пользователь выполняет проверку живости (моргание, поворот головы, улыбка)
Программное обеспечение на основе ИИ извлекает ориентиры лица из обоих изображений:
- Фотография удостоверения личности (2D-изображение)
- Видеотрансляция в реальном времени (трёхмерное сканирование лица с использованием датчиков глубины, если они доступны, или анализ движения)
Сравнивает ключевые функции:
- Расстояние между глазами, ширина носа, форма линии челюсти, структура скул
- Генерирует показатель сходства: совпадение от 0 до 100 %

Поставщики технологий:

Onfido: Проверка документов и лица с помощью ИИ (используется Revolut, Coinbase)
Jumio: Обнаружение живости + сравнение лиц (используется Airbnb, Uber и несколькими криптобиржами)
Sumsub: Биометрическая верификация с защитой от подделки (используется Bybit и несколькими платформами DeFi)

Показатели точности (отраслевые стандарты на 2025 г.):

Фактический показатель принятия (TAR): 98–99,5 % (корректное сопоставление легитимных пользователей)
Уровень ложных совпадений (FAR): 0,01–0,1 % (мошенники ошибочно приняты)
Процент ложноотрицательных решений (FRR): 0,5–2 % (законные пользователи ошибочно отклонены из-за плохого освещения или устаревшего фото в удостоверении личности)

Методы защиты от подделки:

Атака: Фото фотографии (распечатайте фото для удостоверения личности и поднесите его к камере)
Защита: Обнаружение живого человека (моргание, движение головы невозможно при использовании статичного изображения)
Атака: Записанное заранее видео
Защита: Случайные команды (офицер просит выполнить неожиданное действие, например «дотроньтесь до носа»; такие команды нельзя предварительно записать)
Атака: Видео с глубоким фейком (сгенерированное ИИ лицо)
Защита: Анализ текстуры (у глубоких фейков неестественная текстура кожи, несогласованность освещения), обнаружение микровыражений (у настоящих лиц присутствуют тонкие непроизвольные движения, которых нет у глубоких фейков)
Атака: 3D-маска (силиконовая маска лица реального человека)
Защита: Инфракрасные датчики обнаруживают тепловые паттерны (настоящая кожа против силикона) и выполняют картирование глубины (у маски отсутствуют естественные контуры лица)

2. Голосовая биометрия (появляется в процессах KYC для криптовалют):

Как это работает:

Во время звонка по процедуре KYC пользователь говорит (отвечает на вопросы)
Программное обеспечение анализирует характеристики голоса:
- Презентация: Частота колебаний голосовых связок
- Тон: Качество голоса, тембр
- Каденс: Ритм и темп речи
- Маркеры ударения: Региональные особенности произношения
Создаёт уникальный «голосовой отпечаток» (аналог отпечатка пальца, но для голоса)
Сравнение с будущими звонками: если тот же пользователь позвонит повторно, голос должен совпадать.

Сценарии использования:

Первоначальная проверка: Подтвердите, что пользователь не использует программное обеспечение для изменения голоса.
Повторная верификация: Если пользователь теряет устройство двухфакторной аутентификации и обращается в службу поддержки, чтобы восстановить доступ, его личность подтверждается с помощью голосовой биометрии.
Предотвращение мошенничества: Обнаружить, если кто-то другой (член семьи, злоумышленник) использует аккаунт

Поставщики технологий:

Nuance (Microsoft): Используется банками для аутентификации при телефонном банковском обслуживании
Pindrop: Обнаруживает поддельные звонки и синтетические голоса
VoiceVault: Многофакторная аутентификация с использованием голосовой биометрии

Точность:

Равный показатель ошибок (EER): 1–2 % (точка, в которой ложно положительные совпадения = ложно отрицательные совпадения)
Лучше, чем пароли: Голос сложнее похитить, чем пароль или PIN-код

Ограничения:

Шум окружающей среды (фоновая музыка, транспорт) снижает точность
Болезнь (простуда, ангина) временно изменяет голос
Старение (изменения голоса с течением лет, требуется повторная регистрация)
Проблемы конфиденциальности (голосовые данные = чувствительные биометрические данные; в соответствии с GDPR требуется явное согласие)

3. Поведенческая биометрия (передовые технологии, ограниченное внедрение):

Что это такое:

Анализ того, КАК пользователь взаимодействует с устройством в процессе KYC:

- Шаблоны ввода текста: Скорость, ритм и нажим при вводе информации
- Движения мыши: Скорость, траектория, шаблоны нажатий
- Жесты для сенсорного экрана: Скорость свайпа, сила нажатия пальцем (мобильные устройства)
- Угол наклона устройства: Как пользователь держит телефон во время селфи

Как происходит обнаружение мошенничества:

Мошенник, использующий украденные документы, будет демонстрировать иные поведенческие паттерны по сравнению с законным пользователем.
Пример: законный пользователь спокойно заполняет форму, мошенник торопится (нервничает, пытается отправить форму до обнаружения)

Поставщики технологий:

BioCatch: Поведенческая биометрия для обнаружения мошенничества (используется банками)
Бесключевой: Биометрическая аутентификация без паролей

Текущий статус криптовалют (2025 г.):

Экспериментально: Менее 5 % криптобирж используют поведенческую биометрию для идентификации клиентов (KYC).
Более распространённые: Используется для выявления мошеннических транзакций (необычные торговые паттерны)

Ограничения:

Высокий уровень ложных срабатываний (пожилые пользователи печатают медленно, это не означает мошенничества)
Проблемы конфиденциальности (постоянный мониторинг вызывает ощущение вторжения в личную жизнь)
Требуется большой набор данных для установления базового уровня (не работает для новых пользователей)

Конфиденциальность и этические вопросы, связанные с биометрией:

Соответствие GDPR/CCPA:

Биометрические данные = «особая категория» в соответствии с GDPR (чувствительные персональные данные)
Требуется:
- Явное согласие (не может быть подразумеваемым, должно быть получено в результате добровольного выбора с использованием четких формулировок)
- Ограничение цели (данные можно использовать только в заявленной цели, а не для других целей в дальнейшем)
- Минимизация данных (хранение только необходимых биометрических данных)
- Право на удаление (пользователь может запросить удаление после закрытия аккаунта)

Риски, связанные с хранением данных:

Опасность: Централизованная биометрическая база данных = высокоприоритетная цель для хакеров
Уникальная проблема: Пароли можно сбросить; биометрические данные — нет (ваше лицо остается неизменным)
Смягчение последствий: Некоторые системы хранят биометрические шаблоны (математическое представление), а не исходные изображения (шаблоны сложнее подвергнуть реверс-инжинирингу).

Предвзятость и дискриминация:

Ранние системы распознавания лиц имели более высокий процент ошибок при:
- Лица не-белой расы (обучено в основном на данных белой расы)
- Женщины (обученные в основном на мужских лицах)
- Пожилые люди (прогрессирование возраста не учитывается)
Отраслевая реакция (2020–2025 гг.): диверсифицированные обучающие наборы данных, регулярные аудиты на наличие предвзятости, отчёты о прозрачности

Опасения по поводу слежки:

Биометрические данные могут быть переданы правительствам (по запросам правоохранительных органов)
Расширение сферы применения (биометрические данные KYC используются для рекламы и отслеживания пользователей)
Лучшая практика: Биржи должны обязаться НЕ передавать биометрические данные третьим лицам, за исключением случаев, когда это требуется по закону (судебные постановления, расследования в рамках законодательства о противодействии отмыванию денег).

Инновация № 2: Самоуправляемая цифровая идентификация (SSI) — перспективная технология, только на стадии пилотного проекта

ВАЖНОЕ ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ — ПРОЧИТАЙТЕ СНАЧАЛА:

Проверка соответствия нормативным требованиям (2025):

Регуляторы США (FinCEN, SEC, CFTC) НЕ одобрили SSI в качестве замены традиционной процедуре KYC.
Менее 1 % криптобирж принимают учетные данные SSI в 2025 году
Только пилотный этап: ЕС, eIDAS 2.0; Японское агентство по цифровым технологиям проводит тестирование
Массовое внедрение: Самое раннее — 2027–2028 гг. (при условии успешного завершения пилотных проектов, что не гарантировано)
Требования на сегодня: Биржи ОБЯЗАНЫ использовать централизованную процедуру KYC с верификацией документов, шифрованное хранение данных и сохранение записей в соответствии с требованиями FinCEN/ФАТФ.

Итог: технология SSI — это перспективное решение для БУДУЩЕГО, однако в 2025 году она не может заменить традиционную процедуру KYC для целей регуляторного соответствия.

Что такое самоуправляемая цифровая идентификация (SSI)?

Концепция:

Пользователи управляют своими собственными данными об идентификации (документами, удостоверениями), а не полагаются на централизованные органы власти (правительство, биржи, банки).
Идентификатор, хранящийся в цифровом кошельке пользователя (мобильное приложение или аппаратное устройство)
Пользователи выборочно предоставляют учетные данные проверяющим с использованием криптографических доказательств

Ключевые компоненты:

1. Децентрализованные идентификаторы (DID):

Уникальный идентификатор, не контролируемый никаким центральным органом
Формат: did:example:123456789abcdefghi (как URL, но для идентификации)
Основан на блокчейне (Ethereum, Polygon, Hyperledger Indy) для защиты от несанкционированного изменения и проверки подлинности
Пользователь владеет приватными ключами; только он может обновлять или отзывать DID.

2. Проверяемые учётные данные (VC):

Цифровые удостоверения, выданные доверенными сторонами (государством, университетом, работодателем, поставщиком услуг KYC)
Примеры:
- Вопросы государственных органов: «Этот человек старше 18 лет» (удостоверение возраста)
- Проблемы с поставщиком KYC: «Этот человек прошел верификацию личности [дата]» (данные KYC)
- Проблемы с университетом: «Этот человек окончил вуз со степенью бакалавра компьютерных наук в 2020 году».
Криптографически подписано издателем (нельзя подделать)
Хранится в кошельке пользователя, а не в базе данных эмитента

3. Доказательства с нулевым разглашением (ZKP):

Криптографический метод: доказать, что вы обладаете информацией, не раскрывая саму информацию
Пример: подтвердить фразу «Мне больше 18 лет», не раскрывая точную дату рождения
Как это работает (упрощённо):
1. Криптографическое доказательство, генерируемое кошельком пользователя: «Дата рождения — до 2007 года»
2. Верификатор (обмен) криптографически проверяет подтверждение
3. Результат: ИСТИНА/ЛОЖЬ, однако проверяющий никогда не видит фактическую дату рождения

Как будет работать SSI для KYC в криптовалюте (теоретически):

Шаг 1. Пользователь проходит верификацию один раз (с помощью надежного поставщика услуг KYC):

Пользователь посещает провайдера KYC (Onfido, Sumsub, государственное учреждение)
Отправка документов (удостоверение личности, подтверждение адреса, селфи)
Поставщик KYC проверяет личность
Выпуск верифицируемого удостоверения (VC) пользователю в его цифровой кошелёк:
- «Пользователь [DID] подтвержден [поставщиком KYC] [дата]»
- Уровень верификации: полная KYC-проверка (удостоверение личности + адрес + биометрия)
- Криптографически подписано поставщиком KYC

Шаг 2. Пользователь регистрируется на криптобирже:

Вместо повторной загрузки документов пользователь предоставляет верифицированный сертификат (VC) из кошелька.
Биржа проверяет:
- Подпись ВС действительна (этот ВС действительно выдан поставщиком KYC)
- Сертификат VC не истек и не отозван
- Пользователь управляет DID (подтверждает владение с помощью приватного ключа)
Биржа принимает видеозвонок в качестве подтверждения личности (повторная загрузка удостоверения личности не требуется)

Шаг 3: Постоянно — пользователь контролирует данные:

Пользователь может отозвать доступ, если служба обмена неправомерно использует данные
Пользователь обновляет учетные данные в кошельке (переехал по новому адресу? Обновите верифицированный сертификат подтверждения адреса)
Пользователь переносит учетные данные на новую биржу (переносимая учётная запись)

Преимущества SSI (если бы она получила широкое распространение):

1. Конфиденциальность:

Exchange не хранит оригиналы удостоверяющих личность документов (только криптографическое подтверждение того, что пользователь прошёл верификацию)
Снижение риска нарушения безопасности (отсутствует централизованная база данных идентификаторов, которую можно взломать)
Избирательное раскрытие информации (пользователь предоставляет только необходимые сведения: подтверждение возраста, но не точную дату рождения)

2. Управление пользователями:

Пользователи владеют своими данными и могут отозвать доступ.
Портативные учетные данные (однократная проверка, использование везде)
Прозрачность (пользователь видит точно, какие данные передаются каждому проверяющему лицу)

3. Экономическая эффективность для обменов:

Снижение затрат на KYC (отпадает необходимость повторной верификации пользователя, если он предоставляет действительный верифицированный сертификат от доверенного поставщика)
Более быстрое подключение (мгновенная проверка при наличии действительного VC)
Меньшая ответственность за хранение данных (не храните документы пользователей)

Текущие ограничения и вызовы (почему технология пока не стала мейнстримом в 2025 году):

1. Признание регуляторами:

Регуляторы США требуют, чтобы биржи независимо верифицировали пользователей и вели учетные записи.
FinCEN: «При использовании KYC-процедур третьей стороны необходимо проводить должную проверку поставщика» (биржи не могут слепо доверять венчурным компаниям)
ФАТФ: требует «надежных, независимых источников документов» для проведения процедур установления личности клиента (одного только видеоконтроля может быть недостаточно)
Итог: Даже если у пользователя есть верифицированный аккаунт (VC), биржа может по-прежнему потребовать проверки документов для соблюдения требований регуляторов.

2. Пробелы в стандартизации:

Несколько конкурирующих фреймворков SSI: Sovrin, uPort, Polygon ID, Dock.io (универсального стандарта пока нет)
Проблемы совместимости (VC, выданные Sovrin, могут не работать с кошельками uPort)
Стандарты W3C (DID, VC) существуют, однако их реализация сильно различается

3. Доверие к эмитентам:

Биржа должна доверять поставщику KYC, который выдал верифицированный сертификат (VC) (а что, если у поставщика низкие стандарты верификации?)
Вопрос об ответственности: если мошенник использует поддельный виртуальный кредит (VC), кто несёт ответственность — пользователь, эмитент или биржа?
Проблемы отзыва (если пользователь попадает под санкции, как все биржи узнают об отзыве ВС?)

4. Пользовательский опыт:

Большинство пользователей не понимают, что такое SSI (им необходимо управлять приватными ключами и разбираться в кошельках).
Потеря ключа = потеря идентификации (для приватных ключей нет функции «сбросить пароль»)
Сложность (проще просто загрузить удостоверение личности повторно, чем настраивать кошелёк SSI)

5. Техническая масштабируемость:

Проверка в блокчейне может быть медленной (перегрузка сети Ethereum)
Стоимость (комиссии за транзакции в блокчейне за привязку DID и выпуск верифицированных сертификатов)

Текущие пилотные проекты SSI (2025 г.):

Европейский союз — eIDAS 2.0:

Что: Регламент ЕС об электронной идентификации и услугах доверия
Статус: Пилотный этап, цель — кошельки цифровой идентификации, совместимые с SSI, к 2026 году
Область применения: Удостоверения личности, выданные государственными органами, водительские удостоверения, медицинские записи, дипломы об образовании
Актуальность криптовалют: Может выдать удостоверение личности «гражданин ЕС», но НЕ заменяет полную процедуру KYC (биржи по-прежнему требуют подтверждение адреса проживания и происхождения средств)

Япония — интеграция цифрового агентства My Number:

Что: Исследование блокчейн-сертификатов для национального удостоверения личности (My Number)
Инвестиции: 20 млрд иен (~200 млн долл. США) на инфраструктуру SSI
Партнеры: NTT Data и Sony разрабатывают системы самоуправляемых удостоверений личности (SSI) для сотрудников и граждан
Статус: Внутренние корпоративные сценарии использования (идентификаторы сотрудников), KYC-процедуры с использованием криптовалют пока не доступны для публичного использования

США — ограниченные пилотные проекты:

DHS (Министерство внутренней безопасности): Протестирована технология SSI для пересечения границы (удостоверения личности путешественников)
Штаты (Иллинойс, Вайоминг): Исследование цифровых водительских удостоверений с использованием принципов SSI
Криптовалюта: Федеральное одобрение использования SSI для KYC в сфере криптовалют отсутствует (FinCEN по-прежнему требует традиционные методы)

Инициативы отрасли:

Гражданский: Платформа SSI для верификации личности (партнёрства с некоторыми криптопроектами)
Идентификатор полигона: Конфиденциальная идентификация в блокчейне Polygon
Dock.io: Платформа проверяемых учётных данных (используется некоторыми HR- и образовательными платформами, не относится к основному направлению криптовалют)

Реалистичные сроки внедрения SSI в процесс KYC для криптовалют

2025–2026 гг.: продолжение пилотных проектов

Больше бирж экспериментируют с SSI для уровней низкого риска (например, лимиты на вывод средств) менее 1000 долл. США/день
Регуляторные «песочницы» (UK FCA, Singapore MAS) тестируют соответствие стандарту SSI.

2027–2028 гг.: возможные нормативно-правовые рамки

Если пилотные проекты eIDAS 2.0 в ЕС завершатся успешно → ЕС может одобрить использование SSI для выполнения определённых требований KYC
США: Маловероятно до 2028 года (регуляторная инерция, сначала акцент на регулировании стейблкоинов)

2030 г. и позже: массовое внедрение (оптимистичный сценарий)

SSI становится опцией для бирж (не заменой, а дополнением к традиционной процедуре KYC)
Пользователи с удостоверениями личности, выданными государственными органами (SSI), могут пройти ускоренную верификацию.
Биржи по-прежнему применяют традиционную процедуру KYC для пользователей без SSI.

Альтернативный сценарий: SSI остаётся нишевым решением

Сохраняются регуляторные опасения (ответственность, доверие к эмитентам)
Низкий уровень внедрения пользователями (слишком сложный интерфейс, опасения по поводу управления ключами)
Централизованный KYC с шифрованием остаётся доминирующим

Что это означает для пользователей и бирж СЕГОДНЯ:

Для пользователей:

Не ждите, пока SSI начнёт использоваться в криптовалютах (это произойдёт не раньше чем через 5 лет)
Полное традиционное KYC с биржами с использованием зашифрованного хранилища и соответствием стандарту SOC 2
Следите за развитием стандарта SSI, но не полагайтесь на него для немедленного доступа

Для обмена:

Соблюдение требований централизованной процедуры KYC (FinCEN, MiCA)
Участвуйте в пилотных проектах SSI, если вы находитесь в регуляторной «песочнице» (Великобритания — FCA, Сингапур — MAS)
Не отказывайтесь от традиционной процедуры KYC в пользу только SSI (нарушение требований регулятора)

ВАЖНО: Текущее состояние внедрения SSI (2025)

Хотя технология SSI уже зрелая (стандарты W3C утверждены, работают несколько фреймворков), регуляторное признание пока отсутствует.

ОГРАНИЧЕНО: Технологии готовы к использованию: децентрализованные идентификаторы (DID), проверяемые учётные данные и доказательства с нулевым разглашением уже готовы к промышленному применению.

Только для регуляторных пилотных проектов:

ЕС: изучение технологии SSI с использованием eIDAS 2.0 и EBSI (Европейская инфраструктура блокчейн-сервисов) — этап пилотного проекта
США: SEC, FinCEN и CFTC НЕ одобрили SSI в качестве замены традиционной процедуре KYC.

Низкий уровень массового внедрения: Менее 1 % криптобирж принимают учётные данные SSI в 2025 году Реалистичный график:

2025–2026 гг.: продолжение пилотных проектов в ЕС
2027–2028 гг.: Возникновение потенциальных нормативно-правовых рамок при успешном завершении пилотных проектов
2030 г. и позже: возможное повсеместное внедрение (не гарантировано)

ИТОГО: Криптобиржи ОБЯЗАНЫ сегодня поддерживать централизованные процедуры KYC, соответствующие требованиям регуляторов. Самостоятельно управляемые удостоверения личности (SSI) выглядят перспективно для будущего, однако в 2025 году они не смогут заменить традиционные методы верификации для обеспечения соответствия нормативным требованиям.

Повторно используемые документы для идентификации клиента (KYC)

Проверенные учетные данные в блокчейне, используемые на нескольких платформах без необходимости их повторной отправки.
Снижает дублирование данных и затраты на хранение.

Рекомендации для пользователей: как подготовиться к звонкам по процедуре KYC

1. Подготовка документа (за 48 часов до звонка)

Удостоверение личности, выданное государственными органами:

Проверьте срок действия (должен быть действителен как минимум 1 месяц)
Сделайте качественное фото при хорошем освещении (если загружаете):
- Все четыре угла видны
- Нет бликов и теней
- Текст читаем
- Цветное фото (не черно-белое)
Имейте при себе удостоверение личности в оригинале во время звонка (сотрудник может попросить показать оригинал).

Подтверждение адреса:

Должен быть выдан не ранее чем за 3 месяца (некоторые биржи принимают документы, выданные не ранее чем за 6 месяцев)
Имя должно точно совпадать с именем в удостоверении личности
Полный адрес виден (улица, город, почтовый индекс)
Принимаемые документы:
- Квитанция об оплате коммунальных услуг (электричество, вода, газ, интернет)
- Выписка из банка
- Договор аренды
- Документ, выданный государственными органами и содержащий адрес (справка о налогах, регистрация избирателя)
НЕ принимается (обычно):
- Счета за мобильный телефон (некоторые платежные системы не принимают)
- Выписки по кредитным картам (проблемы конфиденциальности)
- Квитанции об оплате гостиницы, временное проживание

Источник средств (если запрошено):

Сотрудники: последние 2–3 расчётных листка и трудовой договор
Владельцы бизнеса: регистрация бизнеса, налоговые декларации (за последние 2 года)
Инвесторы: выписки брокерских счетов, документы о продаже недвижимости
Трейдеры криптовалют: история транзакций с других бирж, налоговые декларации с указанием доходов от криптовалют
Будьте конкретны: «Я зарабатываю $X в год в компании [работодатель]», а не «У меня есть сбережения».

2. Техническая настройка

За 24 часа до звонка:

Проверьте скорость интернета (минимум 5 Мбит/с на загрузку — используйте speedtest.net)
Проверка камеры: сделайте селфи и проверьте качество изображения (достаточное освещение, лицо четко видно)
Проверка микрофона: запись голосовой заметки и воспроизведение для проверки чёткости
Скачайте платформу для видеозвонков (Zoom, Skype или пользовательскую платформу) и проверьте разрешения (разрешите доступ к камере и микрофону).
Выберите тихую комнату:
- Нет фонового шума (телевизор, музыка, транспорт)
- Хорошо освещено (сидите лицом к окну или лампе, а не спиной к источнику света)
- Частная (без перерывов из-за семьи, соседей по комнате)

Устройство:

Предпочтительно использовать компьютер (больший экран, более стабильная работа по сравнению с телефоном)
Если вы используете телефон: встаньте или оперите его на что-нибудь (не держите в руках — видео будет дрожать)
Полностью зарядите устройство (звонок может занять 30 минут)

3. Во время звонка — что делать и чего не делать

DO:

Будьте вовремя: Присоединитесь к звонку за 2–3 минуты до начала
Наденьте соответствующую одежду: Бизнес-кэжуал (проявляет уважение и профессионализм)
Имейте при себе удостоверение личности: Сотрудник может попросить предъявить оригинальный документ
Ответьте четко: Говорите в обычном темпе, не торопитесь
Будьте честны: Если вы не знаете ответа, скажите «Я не знаю» (не угадывайте).
Попросить уточнения: Если вопрос непонятен, попросите сотрудника переформулировать его.
Предоставьте конкретные ответы:
- Плохо: «Я трейдер»
- Хорошо: «Я инженер-программист в компании [Company], получаю $X в год».
Сохраняйте спокойствие: Волнение — это нормально, но не уклоняйтесь от ответов

НЕ НАДО:

Используйте VPN: Вызывает тревогу (несоответствие местоположения IP-адреса и указанного места жительства)
Присутствуют ли другие люди: Если предварительное одобрение не получено (супруг/супруга при совместном счете)
Многозадачность: Не проверяйте электронную почту и не просматривайте веб-страницы во время звонка (это проявления неуважения и вызывает подозрения).
Давайте расплывчатые ответы:
- Плохо: «У меня есть бизнес»
- Хорошо: «Я владею кофейней, зарегистрированной в [городе], с годовым доходом $X».
Срочно: Прежде чем ответить, уделите немного времени размышлению.
Аргументируйте: Если сотрудник запросит дополнительные документы, предоставьте их (споры замедляют процесс).

4. Безопасность и защита конфиденциальности

Перед отправкой документов:

Проверьте, что биржа является легитимной:
- Проверьте доменное имя (фишинговые сайты используют похожие URL: coinbaze.com вместо coinbase.com)
- Ищите HTTPS (значок замка в браузере)
- Сверка с официальными аккаунтами в социальных сетях и магазинами приложений
Не загружайте документы KYC в:
- Вложения электронной почты (не зашифрованы)
- Мессенджеры (WhatsApp, Telegram — небезопасны для передачи конфиденциальных документов)
- Сторонние веб-сайты, которые заявляют, что могут «предварительно верифицировать» вас
Загружайте файлы только через официальный портал обмена (HTTPS, авторизованный аккаунт)

Защита ваших данных:

Используйте уникальный пароль для учетной записи обмена (не используйте пароли, применяемые на других сайтах)
Включить двухфакторную аутентификацию (предпочтительно с помощью приложения-аутентификатора, а не SMS)
Контроль активности аккаунта: проверка истории входов в систему и адресов для вывода средств
После закрытия аккаунта: запрос на удаление данных по истечении срока хранения (5–10 лет)

Красные флаги (потенциальный фишинг/мошенничество):

Электронное письмо с просьбой отправить удостоверение личности в ответ на письмо (биржи никогда этого не делают)
Звонящий запрашивает пароль, код двухфакторной аутентификации или сид-фразу (НИКОГДА не сообщайте эти данные)
Срочный срок выполнения («Подтвердите в течение 1 часа, иначе аккаунт будет удалён») — у законных бирж срок подтверждения составляет 7 и более дней.
Запрос на установку программного обеспечения на ваш компьютер во время звонка (потенциальное вредоносное ПО)

5. Что делать, если что-то пойдет не так?

Если звонок прервался/возникли технические проблемы:

Немедленно отправьте письмо в службу поддержки: «Звонок прервался в [время]. Можно ли перенести его на другое время?»
Большинство сеансов позволяют 1 бесплатную перенос даты (без штрафа)

Если вы не поняли вопрос:

Скажите: «Не могли бы вы переформулировать этот вопрос?» или «Что именно вам нужно узнать?»
Не угадывайте и не выдумывайте ответы (несогласованность = тревожный сигнал)

Если сотрудник вызывает подозрения (возможная мошенническая схема):

Подтвердите личность: «Можете ли вы назвать свой идентификатор сотрудника? Я свяжусь со службой поддержки Exchange для подтверждения».
Положите трубку и наберите официальный номер службы поддержки (с сайта, а не тот, что назвал звонивший)

Если проверка не удалась:

Спросите, почему: «Какие документы нуждаются в улучшении?»
Повторно отправьте более четкие документы (с лучшим освещением, действительное подтверждение адреса)
Некоторые биржи позволяют подавать апелляции (письменное объяснение + дополнительные доказательства)

Если учетная запись ограничена после звонка:

Проверьте электронную почту по конкретной причине
Если четкая причина не указана: может означать, что заявление о подозрительной деятельности (SAR) подано (биржа не может раскрывать информацию)
Вывести оставшиеся средства (если разрешено) и закрыть аккаунт
Не создавайте дублирующую учетную запись (мошенничество, пожизненный бан в отрасли)

Региональные различия

Регион	Подход	Заметные требования
США	Обязательная проверка личности	Правила CIP, соответствие требованиям AML
ЕС	Скрининг на основе оценки рисков	Директивы AMLD5/AMLD6
Азиатско-Тихоокеанский регион	Соблюдение требований до начала оказания услуг	Пороговые значения AUSTRAC и MAS

Соблюдение конфиденциальности и нормативных требований: текущая реальность и будущее видение

Фундаментальное противоречие

Потребности пользователей в области конфиденциальности:

Пользователи не хотят, чтобы их персональные данные (удостоверение личности, адрес, селфи) хранились в централизованных базах данных (риск утечки).
Пользователи не хотят повторно загружать документы на каждую биржу (это однообразно и отнимает много времени).
Пользователи хотят контролировать свои данные (кто получает к ним доступ и на какой срок).

Требования к соблюдению нормативных требований:

Регуляторы требуют от бирж верификации личности, ведения записей и подачи отчетов о подозрительных операциях (SAR)
FinCEN, MiCA, FCA требуют хранить документы в течение 5–10 лет
Независимая верификация (нельзя полагаться исключительно на самоудостоверение пользователя)

Проблема:

Максимальная конфиденциальность (пользователь полностью контролирует свои данные, никакие данные не хранятся централизованно) противоречит нормативным требованиям (биржи обязаны хранить записи и осуществлять независимую верификацию).
Текущая процедура KYC = жертва конфиденциальности ради соответствия требованиям

Что работает СЕГОДНЯ (2025): меры по повышению конфиденциальности в рамках централизованной процедуры KYC

1. Зашифрованные хранилища данных (EDV):

Что: Шифрование AES-256 для всех сохранённых документов KYC
Контроль доступа: Только уполномоченные сотрудники по соблюдению требований с включённой двухфакторной аутентификацией (MFA) могут расшифровать данные
Польза: Даже в случае взлома базы данных данные остаются зашифрованными (бесполезны без ключей)
Ограничение: Не устраняет централизованное хранение, а лишь защищает его

2. Минимизация данных:

Принцип: Собирайте только те данные, которые требуются законодательством, ничего лишнего
Пример:
- Не собирайте: номер социального страхования (если его сбор не требуется по закону), девичью фамилию матери, историю трудоустройства (кроме случаев, когда это требуется EDD).
- Сбор: имя, дата рождения, адрес, удостоверение личности, выданное государственными органами (минимум для проведения клиентской due diligence)
Польза: Меньше хранимых данных = меньшая поверхность атаки в случае взлома

3. Ограничение цели (принцип GDPR):

Правило: Используйте данные KYC ТОЛЬКО для верификации, а не для других целей
Пример:
- Не используйте данные KYC для таргетированной рекламы («Мы видим, что вам 35 лет, вот объявление о пенсионном фонде»).
- Использовать данные KYC исключительно для проверки на предмет отмывания денег (AML), санкционных проверок и подтверждения возраста

4. Права пользователей на данные (GDPR, CCPA):

Право на доступ: пользователь может запросить копию своих данных KYC.
Право на исправление: пользователь может исправлять ошибки (неверный адрес, ошибки в написании имени)
Право на удаление: после истечения срока хранения (5–10 лет) пользователь может запросить удаление
Право на переносимость: пользователь может запросить данные KYC в формате, пригодном для машинной обработки (для передачи на другую биржу)

5. Поставщики сторонних услуг KYC (частичная повторная используемость):

Как это работает: Проверьте один раз с помощью Sumsub/Jumio/Onfido и используйте результат на нескольких биржах.
Польза: Пользователь загружает документы один раз, а не при каждом обмене
Ограничение: Всё ещё централизовано (данные хранятся у поставщика KYC), риск нарушения конфиденциальности в случае взлома поставщика

Экспериментальные технологии (НЕ соответствуют требованиям KYC для криптовалют в 2025 г.):

1. Доказательства с нулевым разглашением (ZKP):

Обещание: Подтвердите, что «мне больше 18 лет», не раскрывая точную дату рождения
Текущий статус: Экспериментальные (Polygon ID, zkMe, Aztec)
Почему не принято:
- Регуляторы требуют полной верификации документов (а не только булевых подтверждений)
- Вопросы ответственности (если ZKP является мошенническим, кто несёт ответственность?)
- Техническая сложность (пользователи не понимают, как генерировать ZKP)

2. Самоуправляемая цифровая идентификация (SSI):

Обещание: Пользователи хранят учетные данные в собственном кошельке и делятся ими выборочно.
Текущий статус: Пилотный этап (режим ЕС eIDAS 2.0, Цифровое агентство Японии)
Почему не принято:
- Регуляторы США (FinCEN, SEC, CFTC) НЕ одобрили SSI для KYC в сфере криптовалют.
- Менее 1% бирж принимают учётные данные SSI.
- Требование регулятора: биржи должны самостоятельно проверять и вести учет (одного SSI недостаточно)

3. Аттестации KYC в блокчейне:

Обещание: Криптографическое подтверждение «пользователь проверен» в блокчейне без хранения документов
Текущий статус: Очень ограниченная (некоторые проекты DeFi используют, но не основные централизованные биржи)
Почему не принято:
- Конфликт GDPR: неизменяемость блокчейна против «права на удаление»
- Регуляторы требуют хранения документов (одного подтверждения в цепочке недостаточно)
- Риск нарушения конфиденциальности: публичный блокчейн = любой желающий может увидеть сообщение «Пользователь X подтвердил личность [дата]» (это приводит к деанонимизации).

Реалистичный путь вперёд (2025–2030 гг.):

Краткосрочные меры (2025–2027 гг.): постепенное улучшение защиты конфиденциальности

Более надежное шифрование (постквантовая криптография)
Улучшенный контроль доступа (архитектура нулевого доверия)
Более частые аудиты (пенетрационные тесты ежеквартально, аудит SOC 2 ежегодно)
Федеративная KYC (совместные поставщики, такие как Sumsub — проверка один раз, использование на нескольких биржах)

Среднесрочный период (2027–2029 гг.): гибридные подходы

Пилотные проекты SSI набирают обороты (возможно, будет одобрена версия EU eIDAS 2.0)
Биржи могут принимать удостоверения SSI и традиционные методы верификации (избыточно, но соответствует требованиям регуляторов)
Ончейн-аттестации, используемые для журналов аудита (записи в блокчейне «проверка выполнена», документы хранятся вне блокчейна)

Долгосрочная перспектива (после 2030 г.): возможная децентрализованная идентификация клиентов (оптимистичный сценарий)

Регуляторы одобрили ZKP для выборочной раскрытия информации (подтверждение возраста без указания даты рождения)
SSI становится основным стандартом (цифровые удостоверения личности, выданные государством, принимаются биржами)
Федеративные сети идентификации (однократная верификация через государственные органы, использование во всех финансовых услугах)

Альтернативный сценарий: конфиденциальность остаётся ограниченной

Регуляторная инерция (правительства не одобряют новые технологии достаточно быстро)
Проблемы ответственности остаются актуальными (кто несёт ответственность в случае сбоя SSI/ZKP?)
Централизованный KYC с шифрованием остаётся доминирующим (повышает конфиденциальность, но при этом остаётся централизованным)

Что пользователи могут сделать СЕЙЧАС для защиты конфиденциальности:

1. Выберите биржи с высоким уровнем безопасности:

Ищите: SOC 2 Type II, сертифицировано по стандарту ISO 27001
Проверка: прозрачность политики конфиденциальности (какие данные хранятся, в течение какого срока и кто имеет к ним доступ)
Проверка: отсутствие истории серьезных нарушений безопасности ИЛИ надлежащая реакция в случае нарушения (оперативное уведомление, устранение последствий)

2. Минимизируйте передаваемые данные:

Проверяйте учётные записи только на тех биржах, которыми вы будете активно пользоваться (не создавайте аккаунты «просто чтобы посмотреть»).
Если биржа запрашивает необязательные данные (например, информацию об истории трудоустройства при выполнении базовых операций с ценными бумагами), уточните причину такого запроса.

3. Использование инструментов, обеспечивающих конфиденциальность (при условии их разрешённого применения):

Monero, Zcash для транзакций (криптовалюты с повышенной конфиденциальностью) — НО многие биржи исключают их из списка торгуемых активов из-за проблем, связанных с соблюдением требований по противодействию отмыванию денег (AML).
Децентрализованные биржи (DEX) для торговли без прохождения KYC — НО ограниченные возможности пополнения фиатными деньгами, работает только для крипто-в-крипто-обмена

4. Осуществление прав на данные:

После закрытия аккаунта запросить удаление данных (после истечения срока хранения)
Периодически запрашивайте копию ваших данных (убедитесь, что не хранится ничего лишнего)

5. Контроль утечек данных:

Используйте haveibeenpwned.com, чтобы проверить, не фигурирует ли электронная почта в известных утечках данных
Если произошло нарушение обмена данными, немедленно:
- Изменить пароль (используйте уникальный пароль, который нигде больше не используется)
- Включите двухфакторную аутентификацию, если она еще не включена.
- Контроль фишинга (письма, выдаваемые за сообщения от Exchange)
- Рассмотрите возможность заморозки кредитного рейтинга (если документы, удостоверяющие личность, были скомпрометированы)

Вывод: реальность звонков для верификации KYC в 2025 году

Основные выводы:

1. Звонки для идентификации клиентов (KYC) редки и не являются стандартной практикой

Более 95 % пользователей криптовалют проходят верификацию с помощью автоматизированной процедуры eKYC (загрузка удостоверения личности и фото «селфи») за 5–20 минут.
Живые проверочные звонки используются ТОЛЬКО для расширенной проверки клиентов (Enhanced Due Diligence)менее 5 % пользователей):
- Физические лица, выполняющие публичные функции (PEP)
- Пользователи из стран с высоким уровнем риска (страны, включённые в чёрный список ФАТФ)
- Большие объемы транзакций (свыше 50 000 USD в месяц; сумма зависит от биржи)
- Флаги подозрительной активности (смешивание сервисов, санкционированные кошельки)

2. Соответствие нормативным требованиям является обязательным условием

США (FinCEN), ЕС (MiCA), Великобритания (FCA), страны Азиатско-Тихоокеанского региона (MAS, FSA, FSC) — все они обязывают криптобиржи выполнять требования KYC.
Штрафы за несоблюдение требований: Revolut — 3,5 млн евро (2025 г.), Barclays — 42 млн фунтов стерлингов (2025 г.), FinCEN — совокупные штрафы на сумму 210 млн долларов США (2023 г.)
Требуемый срок хранения записей: 5–10 лет в соответствии с нормативными актами по борьбе с отмыванием денег (AML)

3. Централизованный KYC по-прежнему является стандартом (несмотря на опасения по поводу конфиденциальности)

Самоуправляемая цифровая идентификация (SSI), доказательства с нулевым разглашением (ZKP) и аттестации в блокчейне находятся на экспериментальной стадии (пилотный этап).
Менее 1 % бирж принимают децентрализованные учётные данные в 2025 году
Регуляторы США НЕ одобрили SSI/ZKP в качестве замены традиционной процедуре KYC.
Сроки для массового внедрения: не ранее 2027–2028 гг. (оптимистичный сценарий)

4. Пользователи и обмены несут ответственность

Для пользователей:

Подготовьте действительные документы (удостоверение личности, подтверждение адреса проживания за последние 3 месяца, подтверждение источника происхождения средств — при запросе)
Выбирайте биржи с высоким уровнем безопасности (соответствие стандартам SOC 2 и ISO 27001, прозрачные политики конфиденциальности)
Понимайте, когда звонки необходимы (триггеры высокого риска, а не стандартная проверка)
Защитите свои данные (уникальные пароли, двухфакторная аутентификация, избегайте фишинга, отслеживайте утечки данных)

Для обмена:

Внедрение KYC на основе оценки рисков (автоматизированное для низкорисковых клиентов, только звонки — для высокорисковых)
Безопасное хранение данных (шифрование AES-256, управление доступом, регулярные аудиты)
Обучайте сотрудников, отвечающих за соблюдение нормативных требований (сертифицированных CAMS, регулярное обучение по выявлению мошенничества, культурной чувствительности)
Прозрачная коммуникация (четкие причины звонков, сроки и последствия)

Дорога вперёд: реалистичные ожидания

2025–2027 гг.: Поэтапное улучшение

Ожидается: повышение точности биометрической идентификации, ускорение автоматической верификации, совместное использование поставщиков KYC (модель Sumsub)
Не стоит ожидать: массового внедрения SSI, замены централизованных баз данных KYC на блокчейне

2027–2029 гг.: Возможные гибридные модели

Потенциал: ЕС одобрил eIDAS 2.0 (удостоверения личности на основе технологии SSI, выдаваемые государственными органами)
Биржи могут принимать: SSI + традиционную верификацию (избыточно, но удовлетворяет требованиям регуляторов)
В США вряд ли одобрят SSI до 2028 года (сначала будет сделан акцент на регулировании стейблкоинов)

2030 г. и позже: децентрализованный KYC (оптимистичный сценарий)

Если будут установлены нормативные рамки, SSI может дополнять (но не заменять) традиционную процедуру KYC.
Пользователи с цифровыми удостоверениями личности, выданными государством, проходят ускоренную верификацию
НО: Регуляторная инерция и опасения по поводу ответственности могут сохранить доминирование централизованной процедуры KYC

Финальные мысли: доверие через прозрачность

Звонки для верификации KYC в криптовалюте, хотя и неудобны для небольшого процента пользователей, проходящих такую проверку, выполняют важнейшую функцию: они защищают целостность финансовой системы и одновременно позволяют законным пользователям получать доступ к криптовалютным сервисам.

Отрасль находится на переломном этапе:

Регуляторы требуют подотчетности (подтвержденной штрафами на сумму более 210 млн долларов США)
Пользователи требуют конфиденциальности (нарушения в Ledger и Coinbase подчеркивают риски)
Технологии предлагают потенциальные решения (SSI, ZKP), однако регуляторное одобрение отстает

На данный момент оптимальный путь действий следующий:

Обмены: Инвестируйте в безопасность (шифрование, аудиты, обучение), будьте прозрачны (четкие политики, оперативное уведомление о нарушениях безопасности)
Пользователи: Выберите надежные биржи, подготовьте необходимые документы и ознакомьтесь со своими правами (доступ к данным, удаление данных по истечении срока хранения)
Регуляторы: Предоставьте четкие рекомендации по новым технологиям (пилотные проекты SSI, фреймворки ZKP), чтобы стимулировать инновации при соблюдении требований регуляторов.

По мере созревания индустрии криптовалют можно ожидать постепенного перехода к методам верификации, обеспечивающим конфиденциальность, — однако радикальных изменений в одночасье не произойдет. Будущее KYC будет строиться на доверии, прозрачности и технологическом прогрессе в рамках требований регуляторов.

Вопросы и ответы

Сколько времени занимает звонок для верификации KYC?

Обычно 10–20 минут в зависимости от сложности.

Какие документы требуются?

Фотоудостоверение личности, выданное государственными органами, подтверждение адреса проживания и, возможно, подтверждение источника средств.

Могу ли я торговать без прохождения верификации KYC по телефону?

В некоторых юрисдикциях разрешён ограниченный доступ, однако крупные биржи требуют полного прохождения процедуры KYC.

Что произойдет, если я не пройду звонок?

Возможно, вас попросят повторно отправить документы, или ваш аккаунт останется ограниченным.

Защищает ли звонок с проверкой личности (KYC) меня от хакеров?

Это снижает риск мошенничества, однако защита собственного входа в систему и кошелька имеет первостепенное значение.

Принимается ли децентрализованный KYC регуляторами?

Принятие растёт, особенно в юрисдикциях, соответствующих GDPR и инновациям в области блокчейна.

Читать далее:

Игровой исходящий звонок Стратегии повышения продаж для малого и среднего бизнеса

Поддержка клиентов в видеоиграх Стратегии повышения лояльности игроков

Центр входящих контактов Преимущества руководства и лучшие практики

Подробнее Промышленность

Смотреть все →

21 мая 2026 г.
По:Хуэй Нгуен
Промышленность
без комментариев

Что такое колл-центр для электронной коммерции?

Колл-центр для электронной коммерции помогает интернет-магазинам оперативно и последовательно отвечать на вопросы клиентов до и после покупки. Если ваша команда сталкивается с проблемами заказов, возвратами, вопросами о доставке, трудностями при оформлении заказа или ростом объема запросов в службу поддержки, правильная организация работы колл-центра позволит сохранить продажи, повысить удовлетворенность клиентов и упростить масштабирование без возникновения хаоса в поддержке. Что такое колл-центр для электронной коммерции? Просто…

21 мая 2026 г.
По:Хуэй Нгуен
Промышленность
без комментариев

Аутсорсинг клиентской поддержки SaaS: ведущие партнеры, преимущества и как выбрать

Поддержка SaaS становится сложнее по мере того, как количество обращений растёт быстрее, чем ваша команда может масштабироваться. Если вы рассматриваете возможность передачи поддержки клиентов SaaS на аутсорсинг, в этом руководстве объясняется, что это такое, когда это имеет смысл, как это работает, какие риски следует учитывать, как обычно формируется цена и какие провайдеры заслуживают включения в краткий список. Цель проста: помочь вам выбрать партнёра, который улучшит обслуживание клиентов…

Программное обеспечение для звонков Игровые приложения

27 апреля, 2026
По:Хуэй Нгуен
Промышленность
без комментариев

9 лучших приложений для голосового чата в играх (сравнение 2026 года)

Если ваш внутриигровой голосовой чат отключается, товарищи по команде не слышат ваши призывы, или ваш отряд работает на разных платформах, вам нужно лучшее программное обеспечение для звонков в играх. В этом руководстве вы узнаете, что такое "игровое программное обеспечение для звонков", как его выбрать и какие инструменты лучше всего подходят для реальных игровых задач. Почему голосовой чат важен для современных геймеров “Программное обеспечение для вызова...

Сделать общение идеальным

Криптовалютная KYC-верификация требует безопасного соответствия

Основные выводы

Что такое проверочный звонок KYC в криптовалюте?

Звонки зарезервированы для случаев усиленной проверки клиентов (EDD):

Почему операторы связи избегают звонков, когда это возможно:

Цель звонков для верификации KYC:

Роль звонков для верификации KYC в обеспечении соответствия криптовалютных требований

Пошаговый процесс проверки KYC для криптовалютных операций по телефону

Шаг 1. Подготовка к звонку (за 24–48 часов до запланированного звонка)

Документы, которые необходимо подготовить:

Чек-лист технической настройки:

Шаг 2: Подтверждение личности (первые 5–10 минут звонка)

Шаг 3: Интервью по вопросам соответствия (10–20 минут)

Категория вопроса 1: Источник средств

Категория вопроса 2: Объём транзакций и шаблоны

Категория вопроса 3: Цель использования криптовалют

Категория вопроса 4: Предыдущий опыт работы с криптовалютой

Категория вопроса 5: Место жительства и налоговый статус

Дополнительные вопросы для клиентов с высоким чистым капиталом и институциональных клиентов:

Шаг 4: Постзвонковый анализ и принятие решения (через 24–48 часов после звонка)

Что происходит после завершения звонка:

Критерии принятия решений:

Хранение и сохранность данных:

Хронология уведомлений пользователя:

Что делать, если пользователь не согласен с решением?

Хранение данных и права пользователей:

Проблемы безопасности и конфиденциальности

Риски централизованных систем KYC (и как отрасль реагирует на них)

Риск № 1: Массовые утечки данных

Риск № 2: Угрозы изнутри

Риск № 3: Регуляторные штрафы за нарушения

Смена отраслевого подхода: постепенный отказ от централизованного хранения данных

Текущая реальность (2025):

Экспериментальные подходы:

Временные рамки для массового внедрения:

Итог для пользователей и бирж на сегодня:

Проблемы конфиденциальности в криптовалюте

Примеры случаев нарушения безопасности

Кейсы: неудачи и улучшения

Кейс № 1: Утечка данных Ledger (июль 2020 г.)

Что произошло:

Влияние на пользователей:

Кейс № 2: Внутренняя угроза в Coinbase (2024 г.)

Что произошло:

Что это говорит о внутренних угрозах:

Как Coinbase обнаружила и отреагировала на инцидент:

Уроки для индустрии криптовалют:

Кейс № 3: положительный пример — подтверждение резервов Kraken (процесс продолжается)

Что они сделали правильно:

Почему это важно для KYC:

Уроки для пользователей:

Инновации в звонках для верификации KYC

Инновация № 1: Расширенная биометрическая аутентификация (действующая технология, 2025 г.)

Что используется сегодня:

Конфиденциальность и этические вопросы, связанные с биометрией:

Инновация № 2: Самоуправляемая цифровая идентификация (SSI) — перспективная технология, только на стадии пилотного проекта

Что такое самоуправляемая цифровая идентификация (SSI)?

Как будет работать SSI для KYC в криптовалюте (теоретически):

Преимущества SSI (если бы она получила широкое распространение):

Текущие ограничения и вызовы (почему технология пока не стала мейнстримом в 2025 году):

Текущие пилотные проекты SSI (2025 г.):

Реалистичные сроки внедрения SSI в процесс KYC для криптовалют

Что это означает для пользователей и бирж СЕГОДНЯ:

Повторно используемые документы для идентификации клиента (KYC)

Рекомендации по внедрению звонков KYC для криптобирж

1. Подход, основанный на оценке рисков (Рекомендация FATF № 1)

2. Безопасность и хранение данных

3. Аудиты и сертификация сторонних организаций

4. Обучение офицера по соответствию

5. Общение с пользователями и прозрачность

Рекомендации для пользователей: как подготовиться к звонкам по процедуре KYC

1. Подготовка документа (за 48 часов до звонка)

2. Техническая настройка

3. Во время звонка — что делать и чего не делать

4. Безопасность и защита конфиденциальности

5. Что делать, если что-то пойдет не так?

Региональные различия

Соблюдение конфиденциальности и нормативных требований: текущая реальность и будущее видение

Фундаментальное противоречие