Політика AML

Розділ 1: Вступ

1.1 Мета Політики

Метою цієї Політики є розробка та впровадження ефективних заходів, спрямованих на запобігання відмиванню коштів (AML), фінансуванню тероризму (CTF) та іншим незаконним діям, пов’язаним із використанням цифрових активів. Політика спрямована на забезпечення дотримання законодавства та міжнародних стандартів у сфері AML та KYC.

Основними завданнями цієї Політики є:

• Дотримання вимог законодавства та міжнародних норм щодо протидії відмиванню коштів і фінансуванню тероризму;
• Захист репутації компанії шляхом впровадження прозорих і ефективних процедур верифікації клієнтів і моніторингу транзакцій;
• Мінімізація фінансових і юридичних ризиків, пов’язаних із можливими санкціями та штрафами;
• Забезпечення безпеки та конфіденційності даних клієнтів, що особливо важливо в умовах роботи з цифровими активами;
• Запобігання незаконним операціям з криптовалютами, які можуть бути використані для відмивання коштів або фінансування тероризму.

Таким чином, ця політика є не лише інструментом дотримання законодавства, а й основою для захисту компанії від залучення до незаконної діяльності та створення безпечного середовища для наших клієнтів.

1.2 Законодавчі та нормативні вимоги

Політика AML/KYC компанії базується на дотриманні міжнародних і національних правових норм і стандартів, спрямованих на запобігання відмиванню коштів, фінансуванню тероризму та захисту даних клієнтів.

Компанія зобов’язана дотримуватись таких основних законодавчих та нормативних вимог:

1. Міжнародні стандарти:
   • Рекомендації Групи розробки фінансових заходів боротьби з відмиванням коштів (FATF), які є основою для створення ефективних заходів на міжнародному рівні;
   • Принципи та стандарти Базельського комітету з банківського нагляду, що регулюють фінансову діяльність і управління ризиками;
   • Рекомендації Європейського Союзу щодо боротьби з відмиванням коштів і фінансуванням тероризму.
2. Національні закони та нормативні акти: Політика спрямована на дотримання вимог національного законодавства щодо відмивання коштів, фінансування тероризму та захисту персональних даних. Компанія зобов’язана дотримуватись усіх чинних нормативних актів, що регулюють діяльність у сфері цифрових активів.
3. Галузеві стандарти та найкращі практики: Містять вимоги до верифікації клієнтів, моніторингу транзакцій, захисту персональних даних і запобігання шахрайству. Ці практики відповідають міжнародним стандартам AML і KYC.
4. Регулювання діяльності обмінників та фінансових установ: Компанія дотримується усіх вимог, що застосовуються до обмінних платформ і фінансових установ у сфері цифрових активів, включно з внутрішнім контролем і звітністю.

Такий підхід забезпечує дотримання нормативних вимог і створює безпечне, прозоре та законне бізнес-середовище для наших клієнтів.

1.3 Обов’язки компанії щодо дотримання AML, CTF і KYC

У межах своєї діяльності сервіс зобов’язується дотримуватись міжнародних стандартів і національних вимог у сферах:

• AML (Anti-Money Laundering) — протидія відмиванню коштів, отриманих злочинним шляхом;
• CTF (Combating the Financing of Terrorism) — запобігання фінансуванню тероризму;
• KYC (Know Your Customer) — політика «Знай свого клієнта», спрямована на ідентифікацію та перевірку особи користувача.

Компанія зобов’язана вживати всіх необхідних заходів для дотримання цих стандартів і недопущення використання сервісу з протиправною метою. Зокрема, компанія зобов’язана:

• Розробка і впровадження внутрішніх процедур: Компанія повинна розробити та впровадити внутрішні процедури, які відповідають вимогам AML, CTF і KYC та спрямовані на запобігання незаконному використанню сервісу. Процедури мають регулярно оновлюватися відповідно до змін у законодавстві.
• Ідентифікація і верифікація клієнтів (KYC): Усі клієнти повинні проходити ретельну ідентифікацію перед початком співпраці. Компанія має збирати та перевіряти персональні дані клієнтів, а також верифікувати документи з використанням доступних технологій.
• Перевірка клієнтів за санкційними списками (AML, CTF): Компанія має регулярно перевіряти клієнтів у міжнародних санкційних списках та списках ризиків. За наявності ризику мають бути вжиті відповідні заходи.
• Оцінка ризиків і підхід на основі ризик-орієнтованої моделі: Компанія повинна оцінювати ризики клієнтів залежно від профілю, географії, виду діяльності та обсягів транзакцій і застосовувати додаткові заходи.
• Моніторинг транзакцій і виявлення підозрілих операцій: Компанія повинна здійснювати постійний моніторинг усіх транзакцій з метою виявлення підозрілих дій, що можуть свідчити про відмивання коштів.
• Збереження даних та звітність: Компанія повинна забезпечити зберігання даних клієнтів та їхніх транзакцій згідно із законом. Підозрілі дії мають бути задокументовані та готові до передачі регуляторам.
• Навчання персоналу: Усі працівники, які працюють із клієнтами або транзакціями, повинні регулярно проходити навчання з питань AML, CTF і KYC.
• Взаємодія з державними органами: Компанія повинна взаємодіяти з державними та регуляторними органами, надавати необхідну інформацію та допомагати в розслідуваннях.
• Внутрішній аудит і регулярна оцінка системи: Компанія повинна регулярно проводити аудит ефективності процедур AML/KYC/CTF і вчасно їх оновлювати відповідно до нових умов.

Розділ 2: Принципи та Загальні Положення

2.1 Загальні положення

Компанія твердо дотримується принципів протидії відмиванню коштів (AML), фінансуванню тероризму (CTF), а також дотримання всіх вимог, пов'язаних з ідентифікацією клієнтів (KYC). Ми усвідомлюємо важливість захисту нашого сервісу від використання у незаконних цілях і тому беремо на себе зобов’язання щодо забезпечення високих стандартів відповідності.

Компанія гарантує, що:

• Усі операції, що здійснюються через сервіс, відповідають законодавчим вимогам та принципам прозорості;
• Ми дотримуємось політики нульової толерантності до будь-якої незаконної діяльності, пов’язаної з відмиванням коштів, фінансуванням тероризму та іншими злочинами;
• Ми зобов’язані мінімізувати ризики, пов’язані з AML і CTF, та здійснюємо моніторинг дій клієнтів, перевірки та контроль транзакцій;
• Відповідальність за виконання цієї політики лежить на всіх рівнях організації — від керівництва до співробітників, які обслуговують клієнтів і транзакції;
• Принцип "знай свого клієнта" є основою всіх наших процедур і дозволяє проводити належну перевірку кожного клієнта;
• Ми зобов'язуємось регулярно переглядати та оновлювати наші внутрішні процедури відповідно до змін у законодавстві та нових ризиків.

Компанія повністю усвідомлює свою роль у забезпеченні безпеки фінансових операцій і дотримується принципів чесності, прозорості та законності в усіх аспектах діяльності.

2.2 Принципи протидії відмиванню коштів та фінансуванню тероризму

Компанія будує свою діяльність на основі таких принципів для ефективної протидії відмиванню коштів і фінансуванню тероризму:

• Дотримання законодавства та міжнародних стандартів: Ми зобов'язані дотримуватись усіх чинних законів, рекомендацій FATF, вимог регуляторів та найкращих світових практик у сфері AML/CTF.
• Принцип "Знай свого клієнта" (KYC): Ми забезпечуємо ретельну ідентифікацію та верифікацію всіх клієнтів відповідно до стандартів KYC. Кожен клієнт має надати достовірну інформацію, яка перевіряється з використанням доступних інструментів і технологій.
• Ризик-орієнтований підхід: Ми застосовуємо підхід, заснований на оцінці ризиків, для прийняття рішень щодо перевірки клієнтів і їхніх транзакцій.
• Запобігання незаконному використанню сервісу: Компанія повинна запобігати будь-яким спробам використання сервісу для відмивання коштів або фінансування тероризму. Застосовуються механізми моніторингу, перевірки санкційних списків і сучасні технології виявлення підозрілих дій.
• Прозорість та звітність: Ми зобов’язані забезпечувати прозорість діяльності та своєчасне повідомлення про підозрілі дії до відповідних органів. Всі випадки документуються.
• Навчання персоналу: Усі співробітники, залучені до роботи з клієнтами, повинні проходити регулярне навчання з питань AML та CTF.
• Конфіденційність даних клієнтів: Компанія повинна забезпечити захист персональних даних клієнтів відповідно до чинного законодавства та запобігати витоку інформації.
• Запит додаткових даних для верифікації: У разі потреби компанія може запросити у клієнта додаткову інформацію для підтвердження мети та законності транзакції, зокрема:
  • На що мали бути обміняні отримані кошти (валюта і сума);
  • Адреса гаманця для виплати (якщо у криптовалюті);
  • Банк, номер картки, валюта і сума (для фіатних виплат);
  • Електронна пошта клієнта;
  • IP-адреса клієнта;
  • Додаткова інформація з заявки (номер телефону, месенджери, ПІБ та інше).

Ці заходи покликані забезпечити прозорість транзакцій і запобігти використанню сервісу у незаконних цілях.

2.3 Визначення термінів

У рамках цієї політики важливо чітко визначити основні терміни, які використовуються для реалізації процедур AML/KYC. Ці визначення допомагають гарантувати, що всі сторони (співробітники компанії, клієнти та партнери) правильно розуміють значення термінів і понять. Важливо, щоб ці визначення були точними й відповідали міжнародній практиці та стандартам. Кожен з наведених термінів відіграє ключову роль у забезпеченні дотримання компанією законодавчих і нормативних вимог, а також у створенні ефективної системи захисту від фінансових злочинів.

2.3.1 AML (Anti-Money Laundering)

AML (Anti-Money Laundering) — це міжнародний термін, який охоплює різні заходи та процедури, спрямовані на запобігання відмиванню коштів. Відмивання грошей — це процес перетворення незаконно отриманих коштів у такі, що виглядають легальними. Ці кошти можуть походити, наприклад, від торгівлі наркотиками, корупції або інших злочинів. У межах системи AML компанія зобов’язана впроваджувати внутрішні процедури для моніторингу та аналізу операцій, ідентифікації клієнтів (через KYC) і блокування підозрілих транзакцій. Мета AML — гарантувати, що фінансові послуги не використовуються з незаконною метою.

2.3.2 CTF (Combating the Financing of Terrorism)

CTF (Combating the Financing of Terrorism) — це сукупність процедур, спрямованих на виявлення та блокування фінансових потоків, які можуть бути використані для підтримки терористичної діяльності. Важливо, щоб фінансові сервіси не сприяли переказу коштів на користь терористичних організацій. CTF включає ідентифікацію клієнтів, моніторинг їхніх операцій, а також перевірку на зв’язки з терористичними групами. Для цього використовуються санкційні списки та аналіз джерел фінансування. Основна мета — запобігти фінансуванню тероризму через фінансову систему.

2.3.3 KYC (Know Your Customer)

KYC (Know Your Customer) — це процес, у межах якого компанія перевіряє та ідентифікує свою клієнтську базу. Основна мета KYC — забезпечити, що компанія має чітке уявлення про своїх клієнтів, а також розуміє цілі та характер їхніх фінансових операцій. Процес включає збір персональних даних (ім’я, дата народження, адреса) та перевірку цих даних через різні джерела (наприклад, паспорт або інші офіційні документи). Це допомагає уникнути співпраці з особами, що можуть бути причетні до відмивання коштів або фінансування тероризму, а також сприяє зміцненню довіри між клієнтом і компанією.

2.3.4 KYT (Know Your Transaction)

KYT (Know Your Transaction) — це процес моніторингу та аналізу транзакцій, який дозволяє компанії виявляти підозрілі або нетипові фінансові операції. KYT зосереджується саме на транзакціях, а не лише на клієнтах, що дає змогу своєчасно виявляти ознаки фінансових злочинів. За допомогою KYT компанія може помітити незвичні схеми або аномалії у русі коштів, такі як великі перекази за короткий час або спроби обійти встановлені ліміти. Моніторинг транзакцій є невід’ємною частиною комплексного підходу до AML і CTF.

Ці визначення є основою для розробки та впровадження процедур AML/KYC і повинні бути зрозумілі всім учасникам процесу. Чітке розуміння термінів допомагає мінімізувати ризики, пов’язані з незаконною діяльністю, та забезпечити відповідність нормативним вимогам.

Розділ 3: Ідентифікація та верифікація клієнтів (KYC)

3.1 Процедури ідентифікації клієнтів

Компанія зобов’язується виконувати процедури ідентифікації та верифікації клієнтів відповідно до законодавства України, міжнародних стандартів боротьби з відмиванням коштів та фінансуванням тероризму (AML/CTF), а також з урахуванням рекомендацій FATF. Метою процедур KYC є належне встановлення особи клієнта, оцінка рівня ризику та запобігання використанню платформи для протиправної діяльності. Усі клієнти, що користуються сервісом обміну цифрових активів, підлягають обов’язковій ідентифікації до початку операцій.

Процедури ідентифікації клієнтів проводяться до надання доступу до послуг платформи та включають збір, перевірку й верифікацію персональних даних на підставі офіційних документів. Клієнт надає документ, що посвідчує особу, підтвердження адреси проживання (за потреби), а також проходить біометричну або відеоідентифікацію з використанням автоматизованих інструментів. Верифікація здійснюється із залученням спеціалізованих KYC-сервісів, які перевіряють достовірність документів, відповідність даних та, за потреби, наявність клієнта в санкційних чи інших ризикових списках. Повторна ідентифікація проводиться у разі зміни даних клієнта, підвищення рівня ризику або за запитом регуляторних органів. Усі отримані дані зберігаються в зашифрованому вигляді та доступні лише уповноваженим співробітникам у рамках внутрішніх процедур безпеки.

3.1.1 Документи, необхідні для верифікації

• Для фізичних осіб — резидентів України:
  • Паспорт громадянина України (старого зразка «книжка» або ID-картка), або чинне водійське посвідчення;
  • Закордонний паспорт;
  • Ідентифікаційний код (РНОКПП);
  • Документ, що підтверджує адресу проживання (наприклад, квитанція за комунальні послуги, виписка з банку — не старше 3 місяців).
• Для іноземних громадян:
  • Паспорт або інший документ, що посвідчує особу;
  • Посвідка на проживання або інші документи, що дозволяють перебування в Україні;
  • Підтвердження адреси проживання.
• Додатково:
  • Селфі з документом або відеоідентифікація для перевірки збігу особи;
  • У окремих випадках — інформація про походження коштів (за запитом).

3.1.2 Відеофіксація та повторна перевірка

З метою підвищення надійності ідентифікації та виключення випадків шахрайства компанія застосовує процедуру відеофіксації клієнта під час верифікації. Відеофіксація здійснюється за допомогою автоматизованих рішень або вручну співробітниками служби комплаєнсу. Клієнт повинен записати відео, на якому демонструє своє обличчя та оригінал документа, що посвідчує особу, дотримуючись інструкцій системи.

Повторна перевірка особи здійснюється у таких випадках:

• У разі виявлення невідповідностей або підозр у достовірності даних;
• У разі зміни персональних даних;
• У разі переведення клієнта до категорії з підвищеним ризиком;
• На запит регуляторних органів або в рамках періодичного перегляду даних.

Результати відеоідентифікації зберігаються в зашифрованому вигляді й доступні лише уповноваженим працівникам для цілей контролю та аудиту.

3.2 Перевірка за санкційними списками

У рамках процедури ідентифікації компанія зобов’язана перевіряти всіх клієнтів на наявність у міжнародних та національних санкційних списках. Перевірка виконується автоматично за допомогою спеціалізованих рішень, а у разі сумнівних збігів може проводитися вручну співробітниками комплаєнс-відділу.

Основні джерела санкційних даних:

• Списки, затверджені Радою національної безпеки і оборони України (РНБО);
• Санкційні списки ООН, ЄС, OFAC (США), HMT (Велика Британія) та інших міжнародних органів;
• Реєстри осіб, причетних до фінансування тероризму, поширення зброї, торгівлі людьми та іншої протиправної діяльності.

У разі збігу або обґрунтованих підозр компанія:

• Призупиняє реєстрацію або блокує чинний акаунт;
• Повідомляє відповідні державні органи згідно із законодавством України;
• Документує всі дії та зберігає результати перевірки.

Платформа не обслуговує клієнтів, які включені до санкційних списків, а також осіб, що мають з ними прямі чи опосередковані зв’язки.

3.3 Заходи щодо політично значущих осіб (PEP)

Сервіс застосовує посилені заходи ідентифікації та контролю щодо політично значущих осіб (PEP), їхніх родичів та осіб, пов’язаних з ними діловими або іншими близькими стосунками.

До PEP належать:

• Посадові особи органів державної влади, місцевого самоврядування, правоохоронних та судових органів;
• Вищі посадові особи іноземних держав;
• Керівники міжнародних організацій і центральних банків.

У разі виявлення PEP:

• Клієнт зобов’язаний надати додаткову інформацію про походження коштів і джерела доходів;
• Проводиться розширена перевірка на наявність зв’язків із корупцією чи незаконною діяльністю;
• Рішення щодо подальшого обслуговування приймає керівництво компанії або відповідальний за AML/CTF співробітник;

Наявність статусу PEP не означає автоматичну відмову в обслуговуванні, але вимагає особливого підходу і постійного контролю.

3.4 Ризик-орієнтований підхід до роботи з клієнтами

Сервіс застосовує ризик-орієнтований підхід (Risk-Based Approach, RBA) при ідентифікації та обслуговуванні клієнтів, що дозволяє зосередити ресурси на найбільш вразливих напрямках та ефективно запобігати використанню платформи у протиправних цілях.

У рамках цього підходу:

• Кожному клієнту присвоюється рівень ризику (низький, середній, високий) на основі критеріїв: країна резидентства, тип документів, характер і обсяги операцій, статус PEP, історія транзакцій;
• До клієнтів із високим рівнем ризику застосовуються посилені заходи перевірки та постійний моніторинг операцій;
• Рівень ризику може переглядатися у процесі співпраці з клієнтом при зміні його активності або виявленні нових обставин.

Ризик-профілювання виконується автоматично із застосуванням внутрішніх алгоритмів і, за потреби, коригується співробітниками комплаєнс-відділу.

Розділ 4: Моніторинг і аналіз транзакцій (KYT)

4.1 Процес аналізу транзакцій

Сервіс здійснює постійний моніторинг транзакційної активності користувачів з метою виявлення підозрілих, нетипових або потенційно незаконних операцій, включаючи ознаки відмивання коштів і фінансування тероризму. Усі вхідні та вихідні транзакції аналізуються в автоматичному режимі за допомогою алгоритмів оцінки ризиків, а також можуть додатково перевірятися вручну співробітниками служби комплаєнсу. Аналіз охоплює такі параметри транзакцій, як обсяг, частота, напрям переказів, поведінкові особливості користувача та передбачувані джерела походження активів.

Особлива увага приділяється операціям, що не відповідають встановленому транзакційному профілю користувача або демонструють ознаки відхилення від звичної активності. Транзакції, що здійснюються з використанням анонімайзерів (VPN, TOR), з підозрілих криптоадрес або перевищують встановлені порогові значення, підлягають додатковій перевірці. У разі виявлення ознак підозрілості операція може бути тимчасово призупинена до завершення аналізу. За потреби співробітники комплаєнсу можуть запросити у користувача роз’яснення, підтверджувальні документи або відомості про походження коштів.

Усі дії щодо аналізу транзакцій, включаючи автоматичні сигнали, рішення співробітників та супровідне листування, фіксуються та зберігаються в інформаційній системі протягом терміну, встановленого чинним законодавством. Сервіс забезпечує високий рівень захисту персональних даних та обмежує доступ до аналітичної інформації лише уповноваженим працівникам.

Застосовуваний підхід до аналізу транзакцій ґрунтується на концепції Know Your Transaction (KYT) — принципі, згідно з яким кожна операція підлягає оцінці на предмет прозорості, відповідності заявленій меті, джерела походження коштів і потенційних ризиків. KYT є невід’ємною частиною системи протидії відмиванню коштів і дозволяє вчасно виявляти підозрілі дії як у крипто-фіатних, так і в крипто-криптовалютних операціях.

4.2 Використання блокчейн-аналітики для оцінки ризиків

Сервіс застосовує технології блокчейн-аналітики для оцінки ризиків, пов’язаних із походженням цифрових активів, та виявлення потенційно незаконної або підозрілої діяльності. Аналіз здійснюється із використанням спеціалізованого програмного забезпечення, яке дозволяє відстежувати історію переміщення криптовалют, виявляти зв’язки з адресами, що брали участь у незаконних операціях, та оцінювати рівень ризику криптогаманців.

Особлива увага приділяється ознакам, що можуть свідчити про можливий зв’язок із даркнет-ринками, шахрайством, відмиванням коштів, фінансуванням тероризму, криптомікшерами (tumblers/mixers), сервісами анонімізації та санкційними адресами. Аналіз охоплює як крипто-фіатні, так і крипто-криптовалютні транзакції, включаючи випадки, коли обидві сторони операції знаходяться поза юрисдикцією України, але транзакція проводиться через сервіс.

Застосовувана аналітика дозволяє класифікувати транзакції та адреси за рівнями ризику (низький, середній, високий), а також виявляти підозрілі поведінкові шаблони. У разі виявлення високого рівня ризику сервіс має право призупинити транзакцію, запитати додаткову інформацію у користувача або відмовити в її виконанні.

Дані, отримані в результаті блокчейн-аналізу, використовуються виключно в межах процедур комплаєнс-контролю та внутрішнього управління ризиками. Інформація може передаватися державним або міжнародним регулюючим органам у випадках, передбачених чинним законодавством або на підставі відповідних юридичних запитів.

4.3 Проблеми з анонімними криптовалютами

Сервіс визнає підвищені ризики, пов’язані з використанням анонімних криптовалют, таких як Monero (XMR), Zcash (ZEC), Dash та інших цифрових активів, орієнтованих на посилену конфіденційність і утруднення відстеження транзакцій. Такі активи створюють суттєві труднощі для перевірки походження коштів (KYT) і можуть використовуватися для приховування фактів відмивання коштів, обходу санкційних обмежень або фінансування незаконної діяльності.

З метою управління ризиками сервіс може обмежити або повністю заборонити операції з анонімними криптовалютами. Якщо такі активи дозволено до обміну, до користувача застосовуються посилені заходи перевірки, включаючи глибокий аналіз джерела коштів, додаткову верифікацію особи та оцінку транзакційної поведінки.

Сервіс залишає за собою право відхилити операцію або відмовити в обслуговуванні, якщо використання анонімних активів не дозволяє достовірно встановити джерело коштів або транзакція містить ознаки можливого правопорушення. Крім того, сервіс може повідомляти про такі випадки відповідні регулюючі або правоохоронні органи згідно з чинними нормами права.

4.4 Процедури блокування та заморожування коштів

Сервіс залишає за собою право блокувати або заморожувати кошти користувачів у випадках, коли транзакції або дії клієнта викликають обґрунтовану підозру в причетності до незаконної діяльності, порушення законодавства або суперечать політиці комплаєнсу та внутрішнім процедурам управління ризиками. Блокування може стосуватися як окремої операції, так і всіх активів на рахунку користувача.

Підставами для блокування можуть бути:

• Наявність збігів із санкційними списками або особами підвищеного ризику;
• Аномальна транзакційна активність, що не відповідає профілю користувача;
• Відмова користувача надати додаткову інформацію за запитом служби комплаєнсу;
• Ознаки відмивання коштів, фінансування тероризму або інших фінансових злочинів.

У разі блокування сервіс повідомляє користувача про обмеження, за винятком випадків, коли розголошення інформації може завадити розслідуванню або суперечити вимогам регуляторів. У разі потреби сервіс співпрацює з відповідними державними чи міжнародними структурами та надає всю необхідну документацію, включаючи підстави та хронологію дій щодо заморожування коштів.

Кошти залишаються замороженими до з’ясування всіх обставин, надання необхідної документації або завершення розслідування. Рішення про остаточний статус коштів приймається на підставі результатів внутрішньої перевірки або згідно з розпорядженням компетентних органів.

4.5 Реакція на підозрілі транзакції

Сервіс здійснює оперативну реакцію на будь-які транзакції, що можуть містити ознаки підозрілості або потенційно протиправної діяльності. Підозрілою вважається транзакція, яка відхиляється від звичайної поведінки користувача, має незвичну структуру, розмір або напрям, а також пов’язана з адресами чи контрагентами, що викликають сумніви щодо походження коштів, географії або зв’язку з ризиковими секторами.

При виявленні такої транзакції система автоматично генерує повідомлення для служби комплаєнсу, яка негайно проводить аналіз за допомогою доступних інструментів, включаючи блокчейн-аналітику та дані з відкритих і закритих джерел. Сервіс може запросити у користувача додаткову інформацію або документи, що підтверджують легальність походження коштів і мету транзакції. До отримання відповіді та завершення аналізу виконання операції може бути призупинене.

У разі підтвердження підозрілості транзакції сервіс документує відповідну подію, вживає заходів згідно з внутрішніми процедурами та, за потреби, повідомляє компетентні органи відповідно до чинного законодавства. Сервіс дотримується політики нульової толерантності до спроб використання своєї інфраструктури для цілей відмивання коштів, фінансування тероризму або інших незаконних дій.

Реакція на підозрілі транзакції є невід’ємною частиною системи управління ризиками та базується на принципах доброчесності, правової визначеності та конфіденційності.

4.5.1 Приклади підозрілих операцій

З метою підвищення ефективності виявлення та запобігання підозрілим діям сервіс використовує перелік типових ознак операцій, що можуть свідчити про високий ризик або можливе порушення законодавства. Нижче наведено приклади транзакцій, які вважаються підозрілими та підлягають додатковому аналізу з боку служби комплаєнсу:

• Транзакції, що суттєво перевищують звичайні обсяги операцій користувача без обґрунтованих причин або попередньої активності;
• Часті дрібні перекази, спрямовані на обходження лімітів або автоматичних перевірок (структурування);
• Використання раніше не зареєстрованих гаманців, адрес або платіжних засобів без пояснень;
• Раптова зміна транзакційної активності, наприклад, перехід від рідкісних операцій до інтенсивних переказів;
• Використання сервісів анонімізації, таких як TOR, VPN, проксі або криптомікшери;
• Перекази, пов’язані з адресами, згаданими в санкційних, кримінальних або даркнет-реєстрах;
• Операції від імені третіх осіб без прозорої причини або явного зв’язку з власником акаунта;
• Спроби уникнення процедур KYC/AML, включаючи відмову надати документи або приховування інформації;
• Транзакції, що не відповідають заявленій меті використання сервісу (наприклад, приватний обмін на суми, характерні для бізнесу).

Перелік підозрілих ознак не є вичерпним і може доповнюватися на основі накопиченого досвіду, рекомендацій міжнародних організацій, змін у законодавстві та внутрішнього аналізу ризиків. Кожна підозра розглядається індивідуально з урахуванням контексту, профілю користувача та характеру операцій.

4.5.2 Документація та звітність для контролюючих органів

Сервіс веде ретельний облік усіх випадків виявлення підозрілих транзакцій, відмов в обслуговуванні, блокувань коштів та інших дій, пов’язаних з управлінням ризиками та дотриманням норм AML/CTF. Уся інформація документується із зазначенням дати, часу, суті події, дій, вжитих співробітниками служби комплаєнсу, та супровідної переписки або підтверджувальних матеріалів.

За результатами аналізу підозрілої активності сервіс формує внутрішній звіт, який зберігається у захищеній системі відповідно до вимог законодавства та стандартів інформаційної безпеки. Доступ до таких матеріалів мають лише уповноважені працівники або представники компетентних органів за офіційним запитом.

За наявності правових підстав або відповідно до внутрішньої політики сервіс здійснює передачу відомостей про підозрілі транзакції до уповноважених державних або міжнародних органів, що здійснюють контроль за дотриманням норм протидії відмиванню коштів та фінансуванню тероризму. Така передача відбувається з дотриманням усіх вимог законодавства, включаючи строки, формат звітності та конфіденційність наданої інформації.

Зберігання документації, пов’язаної з підозрілими операціями та діями щодо них, здійснюється протягом встановленого терміну, достатнього для можливого проведення розслідувань, перевірок або аудиту. Сервіс також забезпечує можливість надання звітності на вимогу регуляторів у найкоротші строки та у відповідному форматі.

Розділ 5: Внутрішній контроль та безпека

5.1 Програма внутрішнього контролю

Компанія розробляє, впроваджує та підтримує ефективну систему внутрішнього контролю для забезпечення відповідності стандартам протидії відмиванню коштів (AML), фінансуванню тероризму (CTF) та політиці «Знай свого клієнта» (KYC). Програма внутрішнього контролю спрямована на мінімізацію ризиків, пов’язаних з незаконними фінансовими операціями, і повинна відповідати нормам міжнародного законодавства та вимогам національних регуляторів.

Основні елементи програми внутрішнього контролю включають:

• Визначення та аналіз ризиків: Регулярна оцінка ризиків для компанії, пов’язаних із клієнтами, транзакціями та країнами з високим рівнем ризику, а також виявлення вразливих місць у процесах;
• Контроль дотримання процедур AML/KYC/CTF: Забезпечення виконання всіх процедур перевірки та моніторингу транзакцій відповідно до чинних норм, включаючи автоматизовані системи перевірки даних клієнтів і транзакцій;
• Призначення відповідального працівника: Визначення уповноваженої особи або групи, відповідальної за впровадження, контроль та оновлення програм дотримання вимог AML/KYC/CTF;
• Навчання та підвищення кваліфікації персоналу: Обов’язкова програма навчання для всіх працівників компанії, що працюють з клієнтами, операціями та безпекою, з метою підтримання високого рівня обізнаності щодо ризиків та правил дотримання вимог AML/KYC/CTF;
• Регулярний внутрішній аудит та перегляд: Проведення регулярних перевірок і аудитів для оцінки ефективності системи внутрішнього контролю, а також своєчасне внесення змін і вдосконалень відповідно до нових загроз і вимог законодавства.

5.2 Призначення відповідального працівника за дотримання AML/CTF

Компанія призначає відповідального працівника, який відповідатиме за дотримання політики протидії відмиванню коштів (AML), запобігання фінансуванню тероризму (CTF) і процедури «Знай свого клієнта» (KYC). Цей працівник повинен мати необхідні повноваження для реалізації та контролю всіх заходів, пов’язаних із дотриманням стандартів AML/KYC/CTF, і діяти в інтересах забезпечення безпеки фінансових операцій на сервісі.

Основні обов’язки відповідального працівника включають:

• Контроль за дотриманням законодавства та внутрішніх процедур: Відповідальний працівник слідкує за тим, щоб усі процеси, пов’язані з верифікацією клієнтів, моніторингом транзакцій і перевіркою за санкційними списками, відповідали чинним нормативним вимогам і внутрішнім стандартам компанії;
• Оновлення та адаптація політик: Регулярний перегляд та оновлення політик і процедур відповідно до змін законодавства, нових загроз і ризиків, а також рекомендацій міжнародних органів;
• Навчання та наставництво: Проведення навчальних програм для працівників, підвищення обізнаності з питань AML/KYC/CTF і забезпечення правильного застосування стандартів на всіх рівнях;
• Взаємодія із зовнішніми органами: Відповідальний працівник співпрацює з державними та регуляторними органами, включаючи органи фінансового моніторингу, надає їм необхідну інформацію за запитом і координує дії у випадку розслідувань або перевірок;
• Моніторинг ефективності системи: Оцінка ефективності системи внутрішнього контролю та моніторинг дотримання політик AML/KYC/CTF, включаючи перевірку роботи автоматизованих систем і процедур.

Відповідальний працівник має бути незалежним від інших операційних процесів, щоб гарантувати неупередженість і високий рівень дотримання вимог. Усі дії, пов’язані з його обов’язками, документуються для забезпечення прозорості та можливості відстеження.

5.3 Навчання працівників

Компанія впроваджує обов’язкову програму навчання працівників щодо дотримання політики протидії відмиванню коштів (AML), запобігання фінансуванню тероризму (CTF) та процедури ідентифікації клієнтів (KYC). Навчання проводиться регулярно та охоплює всі ключові аспекти, необхідні для ефективного виявлення та запобігання потенційно незаконній або підозрілій діяльності.

Програма навчання включає:

• Вступ до нормативних вимог: Ознайомлення працівників з основами законодавства, міжнародними стандартами та внутрішніми процедурами у сфері AML/CTF/KYC;
• Ідентифікація підозрілих дій: Навчання методам виявлення ознак відмивання коштів, використання анонімних сервісів, обходу контролю, структурування операцій та інших форм протиправної поведінки;
• Використання систем моніторингу та аналізу: Інструктаж з роботи з інструментами автоматизованого аналізу транзакцій, перевірки клієнтів і ведення внутрішньої документації;
• Практичні кейси та сценарії: Вивчення прикладів із реальної практики, включаючи помилки, допущені в індустрії, і способи їх запобігання;
• Обов’язки працівників: Усвідомлення ролі кожного працівника в системі внутрішнього контролю, важливості дотримання процедур та наслідків недотримання політики комплаєнсу.

Навчання проводиться під час працевлаштування, а також регулярно — не рідше одного разу на рік або при внесенні суттєвих змін до процедур. Додаткові позапланові тренінги можуть проводитися у разі виявлення нових загроз, змін у законодавстві або внутрішній політиці.

Усі факти проходження навчання фіксуються та зберігаються в кадровій та комплаєнс-справі працівника як підтвердження його обізнаності та кваліфікації згідно з чинною політикою безпеки компанії.

5.4 Захист даних клієнтів та кібербезпека

Компанія вживає всіх необхідних заходів для забезпечення безпеки персональних даних клієнтів, а також для захисту інформаційних систем від несанкціонованого доступу, втрати даних, кібератак та інших загроз. Комплексний підхід до кібербезпеки є невід’ємною частиною політики комплаєнсу та внутрішнього контролю компанії.

Основні напрями захисту включають:

5.4.1 Політики інформаційної безпеки

Компанія розробляє та впроваджує внутрішні регламенти і політики з управління інформаційною безпекою, зокрема:

• Контроль доступу до персональних даних та критично важливої інформації;
• Використання захищених каналів зв’язку та шифрування при передачі й зберіганні даних;
• Застосування багатофакторної автентифікації та регулярне оновлення програмного забезпечення;
• Системи виявлення та запобігання вторгненням, а також журналювання подій безпеки;

Усі системи зберігання й обробки даних відповідають вимогам локального та міжнародного законодавства щодо захисту персональних даних.

5.4.2 Захист від несанкціонованого доступу

Компанія впроваджує технічні та організаційні заходи для запобігання несанкціонованому доступу до інфраструктури, зокрема:

• Обмеження прав доступу на основі ролей (RBAC);
• Моніторинг активності користувачів і автоматичне сповіщення про підозрілі дії;
• Контроль доступу сторонніх підрядників і постачальників ІТ-послуг;
• План реагування на інциденти, що включає негайне інформування уповноважених співробітників і призупинення операцій у разі виявлення загроз.

Захист даних клієнтів розглядається як пріоритет у зміцненні довіри до сервісу та дотриманні вимог AML/KYC/CTF.

Розділ 6: Обмеження ризику та доступу

6.1 Управління ризиками при роботі з клієнтами

Сервіс застосовує ризик-орієнтований підхід у взаємодії з клієнтами, спрямований на виявлення, оцінку та зниження потенційних ризиків, пов’язаних із відмиванням доходів, фінансуванням тероризму та іншими протиправними діями. Такий підхід дозволяє диференціювати рівень контролю та перевірки залежно від індивідуальних характеристик клієнта та його активності.

Основні елементи управління ризиками включають:

• Оцінка профілю клієнта: На етапі реєстрації та під час обслуговування сервіс аналізує джерело коштів, геолокацію, тип діяльності, транзакційну активність та інші фактори, що впливають на рівень ризику;
• Класифікація клієнтів за рівнем ризику: Усі користувачі розподіляються за категоріями (низький, середній, високий ризик) на основі сукупності факторів. Залежно від рівня ризику застосовуються відповідні заходи KYC, моніторингу та перевірки;
• Додаткові заходи при підвищеному ризику: У разі виявлення ознак високого ризику (наприклад, належність до PEP, використання анонімізуючих сервісів, походження з країн з високим рівнем корупції) проводиться поглиблена перевірка та посилюється моніторинг дій клієнта;
• Динамічний перегляд ризику: Рівень ризику клієнта може бути переглянутий у разі зміни транзакційної поведінки, оновлення інформації, появи нових ризиків або за ініціативою служби комплаєнсу.

Підхід до управління ризиками постійно вдосконалюється з урахуванням рекомендацій міжнародних організацій, змін у законодавстві та накопиченого досвіду.

6.2 Обмеження для клієнтів з країн з високим рівнем ризику

У межах реалізації ризик-орієнтованого підходу сервіс встановлює спеціальні обмеження щодо користувачів, які зареєстровані або ведуть діяльність у юрисдикціях, віднесених до високоризикових.

До країн та регіонів з високим рівнем ризику належать:

• Юрисдикції, включені до офіційних списків високого ризику FATF (Група розробки фінансових заходів боротьби з відмиванням грошей);
• Території, що перебувають під міжнародними санкціями;
• Країни з системними проблемами у сфері протидії відмиванню доходів і фінансуванню тероризму;
• Регіони, у яких відсутній належний рівень регулювання криптовалютного сектору або правозастосування у сфері AML/CTF.

Обмеження можуть включати:

• Заборону на реєстрацію нових облікових записів;
• Блокування окремих операцій або доступу до певних функцій сервісу;
• Обов’язкове проходження розширеної перевірки (Enhanced Due Diligence);
• Відмову в обслуговуванні або закриття акаунта на розсуд служби комплаєнсу.

Сервіс залишає за собою право застосовувати жорсткіші заходи залежно від поточної геополітичної ситуації, оновлень санкційних списків, звітів міжнародних організацій та інших зовнішніх факторів.

Список країн з високим рівнем ризику регулярно оновлюється на основі аналізу даних FATF, ЄС, ООН, OFAC та інших авторитетних джерел.

6.3 Заборонені операції та дії

Сервіс суворо забороняє здійснення операцій, які можуть бути пов’язані з відмиванням доходів, фінансуванням тероризму, обходом санкцій або іншими протиправними діями. Це стосується як дій клієнтів, так і використання сторонніх платформ, що знаходяться в зоні підвищеного ризику.

Відповідно до посилених вимог міжнародних стандартів AML/CTF та внутрішньої політики комплаєнсу, сервіс запроваджує обмеження на операції, пов’язані з надсиланням або отриманням цифрових активів через окремі ресурси, визнані високоризиковими.

Заборонено здійснювати транзакції, якщо у процесі беруть участь такі платформи або організації:

• Lazarus Group;
• Lazarus Group;
• Hydra;
• Garantex;
• Tornado Cash;
• Blender.io;
• Genesis Market;
• ChipMixer;
• Trocador.app;
• Shinbad.io;
• Anonexch.io;
• Bitpapa;
• Nobitex;
• Grinex.io;
• Rapira.net;
• CommEx;
• Capitalist.net;
• BitMart;
• Gate.io;
• BitMEX;
• MEXC;
• UniSwap.

Важливо: якщо клієнт здійснює транзакцію з використанням однієї з вищевказаних платформ, операція може бути негайно призупинена, а кошти — заблоковані на невизначений термін. Також сервіс має право запросити додаткові документи та пояснення в межах розширеного контролю.

Сервіс залишає за собою право:

• Оновлювати та доповнювати список заборонених платформ без попереднього повідомлення;
• Відмовляти в обслуговуванні користувачам, які прямо або опосередковано взаємодіють із переліченими ресурсами;
• Передавати інформацію про такі дії до компетентних органів відповідно до чинного законодавства.

Актуальна версія списку заборонених ресурсів доступна на сайті сервісу та регулярно оновлюється. Клієнти зобов’язані самостійно відстежувати зміни та враховувати ці обмеження при здійсненні транзакцій.

6.4 Система запобігання шахрайству

Компанія розробляє та впроваджує систему запобігання шахрайству з метою мінімізації ризиків, пов’язаних з незаконною діяльністю, а також для захисту інтересів клієнтів. Ця система повинна включати кілька ключових елементів:

1. Моніторинг транзакцій у реальному часі Система має забезпечувати автоматизований моніторинг усіх транзакцій, що проходять через сервіс. Особлива увага приділяється великим транзакціям, а також операціям, які можуть бути пов’язані з шахрайством або іншими незаконними діями;
2. Використання алгоритмів для виявлення підозрілих транзакцій Для виявлення аномальних і підозрілих операцій компанія використовує сучасні алгоритми та моделі машинного навчання, які аналізують поведінку користувачів, частоту та суми транзакцій, а також інші фактори ризику;
3. Перевірка на типові схеми шахрайства Особлива увага приділяється операціям, пов’язаним з типовими шахрайськими схемами, такими як фішинг, скам, подвійні платежі, несанкціоновані перекази та маніпуляції з криптовалютними адресами.
4. Процес призупинення та блокування транзакцій Якщо транзакція викликає підозру, система автоматично призупиняє її та сповіщає команду комплаєнсу для подальшого аналізу. У разі підтвердження шахрайства операція може бути заблокована, а кошти — заморожені до з’ясування всіх обставин;

Компанія зобов’язана постійно вдосконалювати систему запобігання шахрайству та оновлювати її відповідно до нових загроз і методів захисту.

6.5 Зупинка транзакцій з підозрілими характеристиками

Компанія зобов’язана впровадити механізми для негайної зупинки транзакцій, які мають ознаки підозрілих або незаконних дій. Це стосується операцій, які можуть бути пов’язані з відмиванням грошей, фінансуванням тероризму, шахрайством або порушенням чинного законодавства.

Процес зупинки транзакцій з підозрілими характеристиками включає такі етапи:

1. Кроки зупинки включають:
   • Великі суми переказів без очевидної економічної причини;
   • Операції, пов’язані з регіонами або країнами з високим ризиком;
   • Транзакції з використанням анонімних криптовалют або сервісів;
   • Невідповідність між джерелом коштів і передбачуваними діями клієнта.
2. Сповіщення команди комплаєнсу При виявленні підозрілих операцій система автоматично сповіщає відповідальних співробітників комплаєнсу для подальшого аналізу.
3. Призупинення транзакцій Усі операції, що визнані підозрілими, мають бути призупинені до завершення остаточної перевірки. Це стосується як вхідних, так і вихідних транзакцій.
4. Документування усіх призупинених транзакцій Усі призупинені транзакції повинні бути належним чином зафіксовані в системі, а інформація про них має бути доступна для внутрішнього аудиту та зовнішніх перевірок.
5. Додаткові заходи перевірки У разі необхідності компанія може запитати додаткові документи або інформацію від клієнта для уточнення деталей операції та виявлення можливих ознак шахрайства чи порушень.
6. Періодичний перегляд та оновлення критеріїв підозрілих операцій Компанія регулярно переглядає та оновлює критерії підозрілих транзакцій, щоб вони відповідали актуальним загрозам та стандартам безпеки.

Якщо клієнт продовжує здійснювати операції з високим ризиком або підозрілими характеристиками, компанія може прийняти рішення про блокування його акаунта.

Розділ 7: Правові наслідки

7.1 Відповідальність за порушення Політики

Компанія суворо дотримується всіх вимог чинного законодавства та міжнародних стандартів у сфері AML, CTF та KYC. У разі виявлення порушень політики з боку клієнта, включаючи надання неправдивої інформації, спроби обійти процедури ідентифікації або використання сервісу з незаконною метою, компанія має право застосувати такі заходи:

1. Блокування акаунта клієнта — у випадку серйозних порушень акаунт може бути заблоковано для запобігання подальшим незаконним діям;
2. Відмова в наданні послуг — у разі суттєвого порушення компанія може відмовити клієнту в подальшому обслуговуванні;
3. Документування порушення — усі випадки порушення політики мають бути задокументовані та передані для внутрішнього аудиту або перевірки регулюючими органами.

Компанія також залишає за собою право передати інформацію про порушення до правоохоронних органів для проведення розслідування.

7.2 Взаємодія з державними органами

Компанія зобов’язана співпрацювати з державними органами, регуляторами та правоохоронними структурами у сфері боротьби з відмиванням коштів та фінансуванням тероризму. У разі підозри у вчиненні злочину або порушенні закону компанія зобов’язана:

1. Надати інформацію на запит регуляторів — зокрема щодо підозрілих транзакцій, клієнтів або операцій;
2. Сприяти розслідуванням — компанія має надавати необхідну інформацію та документи для розслідування підозрілої або незаконної діяльності;
3. Забезпечити доступність даних для перевірки — усі дії компанії щодо дотримання вимог AML, CTF та KYC мають бути прозорими для контролюючих органів.

7.3 Припинення обслуговування клієнта та блокування акаунта

Компанія залишає за собою право припинити обслуговування клієнта у випадках:

1. Виявлення порушення законодавства або внутрішньої політики — якщо клієнт використовує сервіс для вчинення незаконних дій, таких як відмивання коштів або фінансування тероризму;
2. Підозри в шахрайстві або введенні в оману — у разі надання неправдивої або неповної інформації з метою обходу процедур ідентифікації та верифікації;
3. Порушення умов користування — якщо клієнт порушує угоду або вимоги до здійснення транзакцій.

У таких випадках акаунт клієнта може бути заблоковано, а транзакції — заморожено до завершення розслідування.

7.4 Обов’язки щодо звітності та передачі даних до правоохоронних органів

Компанія зобов’язана виконувати всі вимоги щодо звітності відповідно до місцевого законодавства та міжнародних стандартів. Це включає:

1. Звіти про підозрілі операції — компанія зобов’язана подавати звіти про підозрілі операції до правоохоронних і регуляторних органів, якщо транзакції мають ознаки відмивання грошей або фінансування тероризму;
2. Регулярна звітність щодо дотримання AML/CTF — компанія повинна регулярно надавати інформацію про дотримання вимог AML, CTF та KYC, якщо це передбачено законодавством.

Компанія також зобов’язана своєчасно інформувати органи контролю про будь-які зміни, які можуть вплинути на дотримання законодавства у цій сфері.

Розділ 8: Додатки та додаткові ресурси

8.1 Посилання на закони та нормативні акти

У цьому розділі наведено перелік усіх застосовних міжнародних і національних законів, постанов і нормативних актів, які регулюють діяльність компанії в сфері протидії відмиванню коштів (AML), фінансуванню тероризму (CTF) та ідентифікації клієнтів (KYC). Усі ці документи є обов’язковими до виконання і забезпечують відповідність міжнародним та локальним вимогам.

Приклади нормативних актів, які можуть бути включені до цього розділу:

1. Міжнародні стандарти FATF (Financial Action Task Force) — рекомендації для країн щодо боротьби з відмиванням коштів і фінансуванням тероризму;
2. Директиви Європейського Союзу з AML/CTF — нормативні акти, що регулюють політику протидії відмиванню коштів і тероризму для країн-членів ЄС;
3. Закон США про банківську таємницю (Bank Secrecy Act) — закони, що регулюють діяльність фінансових установ у США;
4. Закони та постанови місцевих регуляторних органів — залежно від юрисдикції, в якій працює сервіс.

8.2 Санкційні списки

У цьому розділі зазначено санкційні списки, на підставі яких компанія перевіряє своїх клієнтів і їхні транзакції. Ці списки можуть бути як національними, так і міжнародними та використовуються для забезпечення відповідності вимогам боротьби з відмиванням коштів і фінансуванням тероризму.

Приклади санкційних списків:

• Санкційний список ООН;
• Санкції ЄС та інших міжнародних організацій;
• Санкційний список США (OFAC) — Управління контролю за іноземними активами Мінфіну США;
• Санкційний список Великої Британії (HM Treasury);
• Список осіб, пов’язаних із фінансуванням тероризму та міжнародною злочинністю.

8.3 Шаблони та форми для подання документів

Компанія може запросити у клієнта надання додаткових документів або інформації в межах процесу ідентифікації та верифікації, а також для виконання зобов’язань за AML, CTF і KYC. Запити будуть надсилатися згідно з установленими процедурами та вимогами законодавства. Усі необхідні форми та інструкції для подання документів будуть надані клієнту в процесі взаємодії. Компанія гарантує, що всі надані дані будуть використовуватися виключно для забезпечення безпеки та дотримання законодавства.

8.4 Рекомендовані стандарти безпеки та захисту даних

Компанія зобов’язується дотримуватися суворих стандартів безпеки та захищати дані клієнтів від несанкціонованого доступу, витоку та інших загроз. У цьому розділі описано загальні принципи безпеки, які можуть застосовуватися на міжнародному рівні.

Приклади заходів безпеки:

• Шифрування даних під час передавання — захист усіх даних клієнтів за допомогою сучасних алгоритмів шифрування;
• Протоколи безпеки для зберігання даних — застосування безпечних методів зберігання та захисту даних від витоків;
• Заходи з недопущення несанкціонованого доступу — впровадження ефективних систем захисту даних;
• Рекомендації щодо використання двофакторної автентифікації (2FA) — додатковий захист облікових записів клієнтів.