AML (Anti-Money Laundering) – це комплекс правових, адміністративних і технічних заходів, спрямованих на запобігання використанню фінансової системи для легалізації (відмивання) доходів, отриманих злочинним шляхом, а також фінансування тероризму. AML-перевірка – це практична процедура в межах цієї системи. Вона дозволяє бізнесу оцінювати ризики клієнтів, виявляти підозрілі операції та підтверджувати законність походження коштів.
Глобальним стандартом AML є 40 рекомендацій FATF (Financial Action Task Force) – міжурядової організації, якої дотримуються понад 200 юрисдикцій. Усі суб'єкти фінансового ринку – від банків до криптобірж – зобов'язані впроваджувати AML-програми відповідно до стандартів FATF.
AML не є одноразовою перевіркою – це безперервний процес моніторингу клієнтів, транзакцій і ризиків протягом усього терміну обслуговування. Відсутність або неефективність AML-програми несе не лише регуляторні санкції, але й кримінальну відповідальність керівництва компанії.
AML, KYC, KYT і CDD: як пов'язані поняття
Навколо AML існує кілька суміжних термінів, які часто плутають. Нижче – порівняльна таблиця:
|
Термін |
Тип |
Мета |
Хто застосовує |
|
AML (Anti-Money Laundering) |
Система заходів |
Запобігання відмиванню коштів і фінансуванню тероризму |
Фінансові установи, крипто-біржі, FinTech |
|
KYC (Know Your Customer) |
Процедура ідентифікації |
Верифікація особи клієнта |
Складова частина AML |
|
KYT (Know Your Transaction) |
Моніторинг транзакцій |
Аналіз руху коштів у реальному часі |
Криптовалютні платформи |
|
CDD (Customer Due Diligence) |
Перевірка клієнта |
Оцінка ризику клієнта на основі профілю |
Банки, брокери, FinTech |
|
EDD (Enhanced Due Diligence) |
Посилена перевірка |
Поглиблена перевірка клієнтів з високим ризиком (PEP, санкції) |
При підвищеному ризику |
Ключовий принцип: KYC є складовою частиною AML, але не замінює її. AML охоплює не лише ідентифікацію клієнта при реєстрації (KYC), але й постійний контроль поведінки вже верифікованих клієнтів через моніторинг транзакцій (KYT) і регулярне оновлення оцінки ризику (CDD).
Хто зобов'язаний проводити AML-перевірки: суб'єкти
AML-вимоги поширюються на широкий спектр компаній і професійних учасників ринку. Їх перелік визначається національним законодавством та міжнародними стандартами FATF:
- Банки і небанківські фінансові установи – банки, МФО, страховики, кредитні спілки, платіжні сервіси.
- Криптовалютні платформи (VASP) – біржі, обмінники, кастодіальні гаманці, DeFi-сервіси, NFT-платформи.
- FinTech-компанії – електронні гаманці, P2P-кредитні платформи, платіжні шлюзи.
- Брокери та інвестиційні фонди – компанії з управління активами, форекс-дилери.
- Гемблінг та беттинг – онлайн-казино, букмекери (у більшості ліцензійних юрисдикцій).
- Нефінансові суб'єкти – нотаріуси, аудитори, адвокати, ріелтори, ювелірні магазини при операціях від встановленого порогу.
В Україні перелік суб'єктів первинного фінансового моніторингу закріплений у Законі №361-IX. Суб'єкти зобов'язані призначити відповідального за фінансовий моніторинг, затвердити внутрішню AML-програму та звітувати до Держфінмоніторингу.
Кроки AML-перевірки: від ідентифікації до звітності
AML-перевірка – це багатоетапний процес, який дозволяє фінансовим установам оцінювати ризики клієнтів і контролювати законність фінансових операцій.
- KYC (Know Your Customer) – ідентифікація та верифікація клієнта. Збір паспортних даних, підтвердження адреси, фото або відеоселфі, для юридичних осіб — документи про реєстрацію і бенефіціарного власника (UBO).
- Скринінг санкційних списків і PEP – перевірка клієнта за переліками OFAC (США), EU sanctions list, РНБО України та списком публічних осіб (PEP). Підхід до PEP – обов'язкова посилена перевірка (EDD).
- Оцінка ризику (CDD) – присвоєння клієнту рівня ризику: низький, середній або високий. Критерії: юрисдикція, сфера діяльності, обсяги транзакцій, наявність зв'язків з ризиковими контрагентами.
- EDD (Enhanced Due Diligence) – для клієнтів з високим ризиком: додаткові документи, підтвердження джерела коштів, поглиблена перевірка структури власності.
- Моніторинг транзакцій (KYT) – постійний аналіз фінансових операцій: автоматичне виявлення підозрілих патернів (дроблення, кругові платежі, операції з ризиковими юрисдикціями).
- Звітування (SAR) – при виявленні підозрілої активності суб'єкт зобов'язаний подати Suspicious Activity Report (SAR) до уповноваженого органу (в Україні – Держфінмоніторинг).
Важливо: AML-програма має бути задокументована, затверджена керівництвом і регулярно оновлюватися – не рідше одного разу на рік або при зміні регуляторних вимог.
AML для криптовалютних платформ: специфіка і вимоги MiCA
Криптовалютний сектор є зоною підвищеної AML-уваги з боку регуляторів. З 30 грудня 2024 року в ЄС набрав чинності регламент MiCA (Markets in Crypto-Assets): усі VASP (Virtual Asset Service Provider) зобов'язані отримати ліцензію і впровадити AML/KYC-програми відповідно до єдиних стандартів.
Специфіка AML для крипто включає:
- KYT і блокчейн-аналітику: кожна транзакція прив'язана до адреси гаманця — AML-системи (Chainalysis, Elliptic, Scorechain) аналізують ризик-скоринг адрес, відстежуючи зв'язки з даркнетом, хакерськими атаками, шахрайськими схемами.
- Travel Rule: при переказах від $1000 (або €1000 в ЄС) VASP зобов'язаний передавати ідентифікаційні дані відправника і отримувача коштів іншій платформі. Це вимога FATF Recommendation 16.
- Ризик-скоринг гаманців: перед прийомом депозиту або виплатою, платформа перевіряє ризик-скор адреси гаманця — чи не пов'язана адреса з санкційними особами, крадіжками або відмиванням.
Порушення AML у крипто обходиться надзвичайно дорого: у 2025 році BitMEX сплатив $100 млн штрафу CFTC та FinCEN за відсутність ефективної AML/KYC-програми, яка дозволяла клієнтам торгувати анонімно.
AML-регулювання в Україні: Закон №361-IX і Держфінмоніторинг
В Україні основою системи протидії відмиванню коштів та фінансуванню тероризму є Закон від 06.12.2019 №361-IX
«Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення». Офіційний текст закону доступний на порталі Верховної Ради України.
Основні вимоги Закону №361-IX для суб'єктів:
- Призначити відповідального за фінансовий моніторинг (compliance officer) і затвердити внутрішні правила.
- Ідентифікувати клієнтів при встановленні ділових відносин і при операціях від порогових сум (від 30 тис. грн – додаткові ризик-заходи, від 400 тис. грн – обов'язкова реєстрація).
- Зберігати документи AML-перевірки не менше 5 років.
- Звітувати до Держфінмоніторингу про порогові та підозрілі операції.
З 1 жовтня 2025 року набрали чинності оновлені вимоги НБУ: банки зобов'язані ідентифікувати відправника і отримувача у всіх транзакціях та обмінюватися інформацією в реальному часі. Фінансовий моніторинг розширився на небанківські установи, включаючи NovaPay, Monobank та інших платіжних провайдерів.
Відповідальність за порушення AML: штрафи та кейси
Санкції за порушення AML-вимог охоплюють адміністративну та кримінальну відповідальність:
- Регуляторні штрафи: НБУ у вересні 2025 р. застосував заходи впливу до 3 банків і 10 небанківських установ за порушення фінансового моніторингу. NovaPay отримала штраф 90 млн грн за розголошення параметрів моніторингу.
- Кримінальна відповідальність: за ст. 209 ККУ (легалізація доходів) – позбавлення волі до 12 років для посадових осіб.
- Міжнародні прецеденти: BitMEX — $100 млн (США, 2025); KuCoin – відповідальність за відсутність AML/KYC до 2023 р.; Bitzlato – ліквідація і $23 млн конфіскованих активів.
Ефективна AML-програма – це не лише формальна відповідність вимогам регулятора, а насамперед елемент системи ризик-менеджменту бізнесу. Вона допомагає зменшувати ризики репутаційних втрат, регуляторних санкцій і блокування фінансових операцій. Окремо важливою є її роль у стабільному розвитку компанії та виході на міжнародні ринки. Компанії, які впроваджують якісний AML-комплаєнс на ранньому етапі, зазвичай уникають значно вищих витрат у майбутньому – під час регуляторних перевірок, банківського моніторингу або масштабування бізнесу.
Назад