0_nNRQO34LUr33BVFL (1)30 вересня 2013 р. Ripple отримала електронного листа, в якому інвестор запропонував придбати її XPR токени на $250 000.00 доларів.

Компанія, відповідно до останнього роз’яснення регулятора, надіслала інвестору форму для проходження KYC, яку попросила заповнити та надіслати назад з необхідними документами. На це інвестор відповів, що KYC — це звісно прикольно, але він з легкістю може купити токени в іншому місці, де не вимагатимуть стільки паперової роботи.

Перед керівництвом Ripple постав вибір: або дотримуватися вимог закону та залишитися без грошей, або отримати гроші і сподіватися, що пронесе (в хорошому сенсі).

На одній із шальок терезів $250 000.00 доларів, на іншій — ваш ангел законослухняності. Заплющте очі, уявіть $250 000.00 доларів на вашій картці Приватбанку і прислухайтеся до своєї правосвідомості.

Вгадайте, яке рішення прийняв менеджмент Ripple. Що оберете ви?

Відповіли?

Якщо ваша правосвідомість сказала вам: «Ну добре, але це було востаннє», то ви вчинили так само, як і Ripple та пречудово почували б себе до моменту, коли ви поставили підпис під угодою з прокуратурою північної Каліфорнії, за якою ви погодилися заплатити $700 000.00 доларів штрафу за недотримання закону.

Що таке комплаєнс?

Якщо просто, то комплаєнс — це система, створена для того, аби компанія працювала відповідно до зовнішніх (закони) та внутрішніх (інструкції, політики) вимог, створених часто комплаєнс-офіцером, який знаходиться на вершині комплаєнс-ланцюжка (піраміди).

Важко сказати, коли точно народився комплаєнс. Однією із відправних точок вважають прийняття закону Foreign Corrupt Practices Act в 1977 (Закон про корупцію за межами США).

Цей Закон був реакцією на Вотергейтський скандал та розслідування SEC (Комісії з Цінних паперів США), яка встановила, що численні американські корпорації давали хабарі за кордоном для отримання державних контрактів.

Іншим етапом у розвитку комплаєнсу була справа Енрон, і, як наслідок, прийняття закону Сарбейнса-Окслі, що ввів підвищені вимоги до корпоративної та фінансової звітності компаній.

Як виглядає комплаєнс?

Оскільки комплаєнс — це система, яка включає низку стандартів та положень, а також заходів, якими ці правила впроваджуються та виконуються, ця система повинна мати документальне вираження. Найчастіше вона оформлюється у вигляді політики чи програми та затверджується керівним органом компанії, за дотриманням ж слідкує комплаєнс-офіцер або менеджмент.

Нижче декілька прикладів найбільш поширених комплаєнс-програм:

Список не є вичерпним і може включати різні програми та політики залежно від сфери діяльності компанії. Тут для прикладу список політик Volkswagen, компанії, яка минулого року на своїй шкірі випробувала наслідки недотримання комплаєнс-стандартів.

Гортаючи всі ці програми та політики може видатися, що в один момент щось пішло не так: що якийсь із менеджерів, із запаленими від work-life balance очима психанув і почав вигадувати все нові й нові види комплаєнсу, як Дар’я Донцова свої романи, і що цього божевільного вже не спинити.

Тож чи є в комплаєнсу справжня цінність та корисність? Відповіді на питання дає аналіз кейсу Ripple.

Передумовою кейсу було роз’яснення FinCEN (Служба і із фінансових розслідування США) 2013 р., в яких Служба дала визначення криптовалютам та основним учасникам ринку (user, administrator, exchanger).

FinCEN також прирівняла administrator та exchanger до money transmitter, тобто осіб, що займають переказом коштів та входять в категорію MSB (money services business — фінансові установи), та зобов’язала дотримуватися вимог фінансового законодавства за Bank Secrecy Act (Закон про банківську таємницю).

Після видачі роз’яснення у стосунках криптобізнесу та законодавства про протидію відмиванню коштів встановилося відносне затишшя, яке проіснувало до 2015 р., коли FinCEN опублікувала результати розслідування проти Ripple.

Все закінчилися мировою угодою, в якій Ripple визнала порушення,зобов’язуючись їх усунути та сплатити штраф.

Чому виник кейс?

У списку фактів та порушень FinCEN, посилаючись на своє роз’яснення 2013 р., визначила Ripple як administrator та exchanger, оскільки компанія випустила та здійснювала продаж (обмін) XRP на долари.

Оскільки така діяльність підпадає під визначення фінансової діяльності, то компанія повинна була дотримуватися низки вимог, а саме — прийняти програму з протидії відмивання грошей, яка щонайменше включає:

  1. політики, процедури та внутрішній контроль, які дозволяють здійснювати поточний моніторинг фінансових транзакцій та перевірки клієнтів;
  2. визначає особу (комплаєнс-офіцер), яка відповідальна за дотримання комплаєнс програми та вимог закону;
  3. забезпечує навчання персоналу з метою виявлення підозрілих транзакцій;
  4. забезпечує незалежний аудит по перевірці та дотриманню програми.

Крім цього компанія зобов’язана впровадити процедури для ідентифікації осіб, які здійснюють транзакції, а також повідомляти про підозрілі транзакції.

Ripple цих вимог не дотримувалась, за що і отримала штраф. Чому такого розміру? Читайте факт 28 із списку фактів та порушень:

«30 вересня 2013 р. XRP II (Ripple) електронною поштою домовилась про транзакцію приблизно $250 000 дол. США для продажу віртуальної валюти XRP із сторонньою особою. XRP II надіслала (“KYC”) форму та попросила повернути її разом з належною ідентифікацією, щоб перейти до транзакції.

Особа відповіла, що зможе купити XRP в іншому місці, де не вимагають стільки «паперової роботи». Протягом декількох годин Ripple домовилась електронною поштою відмовитися від вимог KYC та здійснити транзакцію. Інформація з відкритих джерел вказує на те, що ця особа, інвестор в Ripple Labs, здійснила три федеральних злочини та була засудженою до в’язниці».

Як показує цей кейс, недотримання закону коштує дорожче, ніж потенційні вигоди від його порушень. Цінність та корисність комплаєнсу полягає у створенні захисного механізму, який попереджатиме та недопускатиме такі кейси.

Чи є якісь особливості комплаєнсу для криптопроектів?

Так, є. Тут застосовні і найбільш корисні такі види комплаєнсу:

  • з протидії відмивання коштів, отриманих злочинним шляхом та фінансування тероризму (AML/KYC and CTF Compliance);
  • комплаєнс щодо дотримання законодавства про випуск цінних паперів при (Security Crypto Compliance або Token Compliance Program);
  • GDPR комплаєнс (GDPR Compliance).

AML/KYC and CTF compliance

AML/KYC and CTF compliance — це найважливіший вид комплаєнсу для криптобізнесу, який залучає чи спрямовує інвестиції або так чи інакше працює із фінансовими транзакціями.

Законодавство з протидії відмивання коштів було першим застосоване до транзакцій з криптовалютами, окрім згаданої вище FINCen. На важливості дотримання AML/KYC вимог наголошували британська FCA, швейцарська FINMA та сінгапурська MAS.

Основною метою цього виду комплаєнсу є встановлення ефективної системи управління ризиками, пов’язаними із відмиванням коштів та фінансуванням тероризму. Для цього в першу чергу виконуються KYC-вимоги відповідного національного та (або) міжнародного законодавства.

KYC — це абревіатура трьох англійських слів know your customer (знай свого споживача), правило, згідно з яким компанії повинні належним чином ідентифікувати (встановити) та верифікувати (підтвердити) особу, а також перевірити походження коштів при здійсненні транзакції понад певну суму. Для фінансових установ діє також ще правило KYCC — know your customers customer (знай клієнтів свого споживача), яке зобов’язує банки знати природу походження коштів клієнтів своїх клієнтів.

Оскільки завдання у належній ідентифікації та верифікації, то компанія зазвичай запитує певні документи, що підтверджують особу (наприклад, водійське посвідчення чи паспорт) та підтверджують її місце проживання та походження коштів (тут можуть запитувати квитанції за сплату різноманітних рахунків, які підтвердять ваше місце проживання та банківські виписки, які доведуть, що у вас були законні кошти для здійснення інвестицій).

Більш того, без дотримання належних KYC-процедур ІСО-проекту варто забути про лістинг токену на топових біржах, не кажучи вже про відкриття банківського рахунку.


Security Crypto Compliance або Token Compliance Program

Оскільки залучення коштів через ІСО шляхом випуску токенів є дуже подібним до залучення фінансування шляхом емісії акцій (IPO), існує високий ризик того, що токен містить ознаки цінних паперів. Тому на проект, що випускає сек’юритизовані токени, покладається обов’язок дотримуватися законодавства з цінних паперів. Недотримання якого має наслідок… ну ви й так здогадуєтеся, які наслідки має недотримання законодавства, особливо якщо мати справу з американськими регуляторами.

Crypto compliance потрібний проектам, які або випускають власні токени (криптовалюту), або надають поради з інвестування в криптовалюти, зберігають чи торгують іншим токенами (криптовалютами). Crypto compliance може бути двох видів:

  • Загальний. Потрібний ІСО-проектам, полягає в тестуванні токену, який проект планує випустити за тестами для цінних паперів. Зачасту проекти обмежуються лише американськими тестами — Howey Test, Risck Capital Test, Family Resemblance Test, проте, насправді токен необхідно також тестувати за законодавством країни емісії, та країн, де токен буде продаватися.
  • Поглиблений. Потрібний для бізнесу, який дає професійні інвестиційні поради (investment advice), сам інвестує чи зберігає токени та іншу криптовалюту.

В цьому разі розробляється політика, що включає заходи та механізми, користуючись якими проект:

a) мінімізує ризик звинувачення в випуску/інвестувані/торгівлі не зареєстрованих цінних паперів; або

b) оперує сек’юритизованими цінними паперами у відповідності із законодавством.


GDPR комплаєнс (GDPR compliance)

Тут все просто, (насправді ні).

Повністю зрозумілим є лише те що, GDPR набрав чинності та вже з’явилися перші кейси застосування регламенту, а тому його вимог потрібно дотримуватися, якщо ви в той чи інший спосіб моніторите, збираєте чи обробляєте персональні дані громадян ЄС.

Для відповідності GDPR, перш за все, потрібно привести всі документи та політики у відповідність до регламенту. Також необхідно запровадити технічні (наприклад, шифрування) та організаційні заходи захисту персональних даних, налагодити роботу з персоналом та підрядниками. Є ще купа менших, але від того не менш важливих нюансів, які індивідуальні та залежать від кожного випадку.


Якщо підсумувати, то комплаєнс — це система, яка страхує компанію від основних для неї загроз та ризиків. Чи потрібна вона? Закони, а відповідно і обов’язок їх дотримуватися ніхто не відміняв, тому відповідь очевидна.

Питання в іншому. Яка з того користь? Тут все залежить від самої компанії, а точніше від її ставлення до процесу. Якщо ставлення серйозне і комплаєнс програма прийнята не для «пташечки», а належно виконується, то в такому разі комплаєнс працює на компанію та дозволяє запобігти фінансовим і репутаційним втратам.