Новые правила работы банков: что нужно знать о KYC/AML

Верификация на бирже
Верификация на бирже — сегодня большая проблема для технологических компаний, финансовых организаций и для правительственных учреждений. Не менее остро эта задача стоит и перед криптоотраслью: с одной стороны, требуется соблюдать необходимую приватность и защищать данные пользователей от взломов и «третьей стороны», с другой — надо что-то делать с ростом мошенничества с криптовалютой.

Правила KYC / AML, предлагая свое решение проблемы идентификации, обеспечивают приятие криптовалют в обществе, но в то же время, они вызывают конфликт между пользователями и регуляторами. Давайте рассмотрим, в чем состоит это противоречие, что собой представляют сами правила, как пройти верификацию на бирже и соответствовать всем правилам KYC/AML.

  • Что такое верификация на бирже
  • Регулирование криптоотрасли и роль GDPR
  • Что такое KYC и ALM Что такое KYC
  • Что такое AML
  • Какие данные нужно раскрыть
  • Как пройти верификацию на бирже
  • Плюсы и минусы верификации на бирже
  • Что такое верификация на бирже

    Верификация на бирже

    — это процесс проверки данных пользователя криптовалютной биржи с целью подтверждения личности. Клиент должен предоставить свои данные, такие как копии паспорта, ИНН, выписок из банковских счетов для подтверждения прописки, и дать согласие на обработку и проверку информации представителями криптовалютной биржи.

    Для финансовых регуляторов и правительств KYC и AML имеют решающее значение как способ для предотвращения преступлений, связанных с отмыванием денег, кражами и другими незаконными действиями. Использование этих политик легализует криптоотрасль. Вот почему они важны.

    ☝️

    Когда верификация на бирже является обязательным элементом, регулирующие органы уверены в законности совершенной сделки.

    Таким образом, пользователь подтверждает, что является законопослушным гражданином, и у государства нет оснований для претензий к нему.

    Итак, верификация на бирже обеспечивает:

    • Безопасность клиентов, так как повышают надежность проекта/команды и всех участников операций;
    • Соблюдение биржами обмена криптовалют международных норм, способствующих массовому принятию криптовалют;
    • Защиту проектов, частично доказывая, что проекты — не афера;
    • Безопасность инвестиций — никто не хочет принимать участие в финансировании преступников или «отмывателей» денег.

    Говоря о преимуществах цифровой идентификации, нужно отметить, что благодаря ей миллиарды людей имеют доступ к финансовым системам. Другое дело — развивающиеся страны, где более чем у 1,2 млрд нет такой возможности как раз из-за отсутствия идентификации клиентов и проверки подлинности транзакции.

    Сочетание KYC и AML ставит человека в центр индустрии финансовых услуг и контролирует его личные данные.

    Система верификации в Unihost

    При обращении к нам мошенника, есть два варианта развития событий:

    • Приятный вариант. Запрашиваем документы у мошенника и определяем, что его карта ворованная (либо человек просто отказывается проходить верификацию или не отвечает на наше письмо). Делаем возврат средств как можно быстрее — это избавляет нас от потенциальной жалобы со стороны банка, а соответственно и от чарджбэков.
    • Приятный и недопустимый вариант. Запрашиваем документы у мошенника, неправильно определяем их подлинность и предоставляем услугу (нашу или партнеров). Банк присылает запрос на возврат средств, мы его делаем и теряем средства. Иногда теряем еще $20, если банк не стал тратить время на официальный запрос и сделал чарджбэк. Ситуация разыгрывается по сценарию со Степаном в начале статьи — у продавца остаются одни убытки.

    Чтобы максимально снизить риски, мы верифицируем сначала транзакцию, потом клиента, а потом его заказ. Первое защищает нас от уже известных мошенников, второе — от новоявленных, а третье — от абуз.

    Верификация транзакции

    При новом заказе от неверифицированного клиента, мы:

    1. Проверяем его по модулю FraudRecord. Это международная база ненадежных клиентов, мошенников и прочих нехороших.
    2. Проверяем количество неудачных попыток оплаты. Если их менее двух — всё ОК. Если их больше — переходим к верификации клиента и ставим метку «подозрительный».
    3. Проверяем, уникален ли IP клиента. Часто уже заблокированные из-за фрода клиенты создают новые аккаунты на другие имена.
    4. Проверяем соответствие гео-IP со страной биллинга. Очень многие мошенники платят картами из Европы и США, но сами находятся в СНГ или Китае.

    При повторных заказах и продлениях, клиенту нужно пройти только пункт 2.

    Верификация клиента

    Верификация личности нужна для того, чтобы убедиться, что клиент является живым человеком и удостовериться, что платежный метод действительно принадлежит ему. Для этого мы запрашиваем у клиента документы, подтверждающие его личность.

    Принимаются только документы государственного образца из следующего списка:

    • Паспорт (Passport);
    • Идентификационная карточка (Identity Card, он же ID) — аналог паспорта во многих странах;
    • Водительское удостоверение (Driving Licence) с фотографией;
    • Свидетельство о временном гражданстве (Temporary Resident Card)
    • Свидетельство о временном/постоянном виде на жительство (Residence permit)

    Мы тщательно проверяем все документы на соответствие госстандартам. Хотя зачастую подделка определяется с первого взгляда. Так, один из клиентов прислал паспорт с датой рождения «30 декабря 1792 года».

    Для проверки платежного метода, мы требуем фото банковской карты (с видимой лицевой стороной, но закрытым CVV) или скриншот оплаты из PayPal, где видно, что оплата была совершена на нашем сайте. Этот пункт уже привычен многим.

    Верификация проекта

    Мы просим описать проект при заказе сервера или VPS. Причем простые «сайт для мы отправляем обратно с просьбой рассказать подробнее: чем занимается клиент/компания, что будет размещено на сайте. Ведь клиентом может быть сайт детского порно, а это уже проблема.

    Если проект планирует рассылать письма, мы требуем доказательства того, что база данных получателей была собрана самим клиентом, а сами получатели прошли double opt-in проверку.

    Список проектов, которые мы не принимаем:

    • DDoS-атаки других ресурсов;
    • сканеры портов;
    • сайты, призывающие к террористической деятельности, жестокости, насилию и т.п.;
    • детское порно, зоофилия и прочая чернуха;
    • исходящий спам;
    • фишинговые сайты.

    Регулирование криптоотрасли и роль GDPR

    Законность верификации на бирже

    Один из таких примеров — Общие Положение о защите данных (GDPR), как раз направленное на унификацию норм защиты данных пользователей в государствах Евросоюза (ЕС). GDPR вступило в силу совсем недавно — 25 мая 2020 года. Так, в соответствии с положением, пользователи и организации должны соблюдать нормы KYC/AML (знай своего клиента/отмывание денег), разработанные для обеспечения безопасности данных клиентов.

    ☝️

    В настоящее время США, Великобритания и многие другие страны также сделали правила KYC и AML неотъемлемой частью своих нормативно-правовых баз криптовалюты.

    Однако нормы KYC и AML являются также и основным препятствием для криптозащиты, так как противоречат одной из основополагающих идей блокчейна — анонимности. Иначе говоря, криптовалютные транзакции должны быть анонимными и недоступными для отслеживания. Но поскольку регуляторы озабочены проблемой киберпреступности, то как раз анонимность вызывает у них непереносимую мигрень. Именно поэтому сейчас все чаще встречается необходимость прохождения верификации на биржах криптовалют.

    Что такое KYC и ALM

    Цифровая идентификация KYC и ALM

    ☝️

    Они считают, что отсутствие такого контроля чревато катастрофическими последствиями для финансовой и территориальной безопасности государств.

    Фактически, это и есть настоящая причина, по которой власти стремятся ограничивать рынок криптовалют и вводят обязательную верификацию на биржах криптовалют.

    Несмотря на разные подходы, для любого правительства ликвидация анонимности — задача №1. Соответственно, анонимные счета все чаще запрещают. Так, в Южной Корее власти запретили все анонимные криптосчета.

    Что такое KYC

    KYC как элемент верификации на бирже

    • Проверку личности и подтверждение гражданства;
    • Проверку пользователя на участие в незаконной деятельности;
    • Изучение источника средств и пункта назначения;
    • Поиск подозрительных транзакций или оценка слишком больших объемов транзакций.

    Целью KYC является, главным образом, отсев тех, кто по какой-либо причине не имеет права пользоваться услугой. Например, несовершеннолетние, незарегистрированные иммигранты или люди с криминальным прошлым. Причем информация из собранной базы данных должна предоставляться правоохранительным органам для расследования преступлений.

    Что такое AML

    AML похож на KYC, но сфокусирован на «борьбе с отмыванием денег», когда незаконно полученные доходы пытаются преобразовать в «чистые» и «законные» активы. Процесс AML включает:

    • Мониторинг транзакций на сумму свыше $10 тыс.;
    • Требование сообщать об определенных видах операций;
    • Контроль движения монет как за рубежом, так и внутри страны;
    • Получение информации KYC для подтверждения личности человека, и проверки, не был ли он причастен к незаконной деятельности.

    Эти шаги призваны помочь распознать и изъять незаконные средства и предотвратить преступления.

    Риски, связанные с фродом

    Как вы уже поняли, фрод — это плохо. Давайте теперь конкретизируем это «плохо» и выделим перечень рисков, которые он несет для любой компании, а также Unihost, как для хостинг-провайдера.

    Прямые потери на комиссиях за чарджбэки

    Все финансовые риски за транзакцию несёт продавец, как получатель средств. А значит, ему и принимать меры для противодействия мошенничеству. И если эти меры недостаточны и продавец допустил неправомерную оплату средств, то при возврате средств банк накажет продавца штрафом в $20.

    Советую ввести процедуру Customer Due Diligence для всех заказов.

    Абузы

    На клиентов, которые используют услуги для неправомерных целей (продажа краденых кредитных карт, фишинг, DDoS-атаки и т.д.) приходят абузы. Абузы — это официальные запросы с требованием прекратить неправомерную деятельность.

    Естественно, таких ненадежных клиентов нужно блокировать и возвращать им уплаченные средства. Естественно, это негативно влияет на нашу репутацию у платежного процессинга.

    Репутация у платежного процессинга

    Наличие чарджбэков и возвратов средств плохо отражается на репутации у платежного процессинга. Кроме того, у любого процессинга существуют ограничения на объем рефандов в процентном показателе от месячного оборота и частоту рефандов. Превышение ограничений может привести к штрафным санкциям от платежного процессинга, вплоть до полного отказа сотрудничать. Советую лишний раз проверить клиента, чем потерять партнера — платежного процессера.

    Правовые риски

    Правовые риски связаны с политикой противодействия отмыванию денег (AML) и несоответствия какому-либо закону или указу. Может включать в себя что угодно: начиная от штрафов, заканчивая уголовными делами.

    В современном правовом поле СНГ, этот риск минимален. Но учитывать его всё равно стоит. Чтобы минимизировать риски, внедряйте систему верификации клиента по CDD.

    Какие данные нужно раскрыть

    Данные для верификации на бирже

    Основным направлением процедур KYC / AML является проверка личности и подтверждение места жительства.

    Требуется, чтобы пользователь предоставлял точную информацию, в противном случае он попадает в категорию подозрительных лиц и будет подвергнут строгому процессу расследования на предмет мошеннических действий.

    Для прохождения верификации на бирже пользователю потребуется предоставить паспорт, водительские права или другой правительственный идентификатор.

    Недопустима форма идентификации по кредитной карте, профилю соцсетей, студенческому билету, если удостоверяющий документ не имеет фотографии или истек срок его годности.

    В случае инвесторов также производится проверка на состояние собственного капитала (если человек заявляет, например об $1 млн). От пользователя потребуют подтвердить наличие активов.

    Важно соблюдать период предоставления информации о себе, иначе проверка будет дисквалифицирована. Длительность обработки может затягиваться до 4 недель

    , начиная с момента завершения процесса подачи заявки KYC.

    Откуда берется фрод?

    Если бы саму карточку украли — всё было бы понятно. Но как можно украсть данные карточки, которую Степан постоянно носит в кошельке?

    Вот основные способы:

    1. Степан вводит данные своей карты на сайте с низким уровнем защиты (например, без SSL-сертификата) и их перехватывает мошенник.
    2. Степан переходит по ссылке и логинится в свой кошелек PayPal, но не замечает, что адрес домена — pavpai.com. Благодаря фальшивой странице, мошенник получает доступ к кошельку Степана и может им распоряжаться по своему усмотрению. Такие подставные сайты называют фишинг.
    3. Степан вставил свою карту в банкомат, который оборудован скимминговым устройством. Устройство считало данные его карты и теперь у мошенника полный доступ.
    4. Степан не позаботился о безопасности своего кошелька и в качестве пароля от интернет-банкинга установил дату своего рождения. Так как Степан — человек публичный и информация о дате его рождения общедоступна, мошеннику было несложно подобрать пароль.
    5. В интернете абсолютно свободно продаются десятки тысяч данных ворованных карт и PayPal аккаунтов. И это — в открытой сети. В Dark Net этот бизнес уже давно поставлен на поток.

    Как пройти верификацию на бирже

    Процесс прохождения верификации на бирже

    1. Найти на сайте биржи соответствующий раздел для верификации.
    2. Ввести достоверные
      личные данные.
    3. Прикрепить сканы документов для подтверждения личности и прописки.
    4. В большинстве случаев сделать селфи.
    5. Нажать на кнопку «Отправить на верификацию».
    6. Дождаться верификации на бирже.

    Ниже мы рассмотрим процесс верификации на бирже поэтапно.

    Для регистрации новой учетной записи — например, на бирже Binance — пользователю необходимо выполнить следующие шаги:

    • В верхнем меню веб-сайта отыщем кнопку «Регистрация» и нажмем на нее;

    Страница биржи Binance

    • В форму введем адрес электронной почты и пароль, который должен включать не менее 8 символов, состоящих из букв и цифр. Подтвердите галочкой, что вы совершеннолетний;

    Форма для регистрации аккаунта

    • На ваш емейл будет отправлено письмо с информационной ссылкой, на которую нужно будет нажать, получив таким образом доступ к учетной записи;
    • После подтверждения капчей, что вы не бот, вас предупредят о возможных рисках на платформе. Нужно подтвердить, что они вам известны;

    Предупреждение о рисках

    • После откроется страница вашей учетной записи;

    Аккаунт

    • Далее перед верификацией учетной записи вас попросят включить двухфаторную идентификацию (2FA);

    Форма для включения 2FA

    • Затем заполняйте поля формы для идентификации учетной записи, причем информация должна обязательно соответствовать вашему ID. Это и есть начало KYC;

    Форма для идентификации

    • В целом, верификация на бирже занимает 7-14 дней. Вам нужно будет подтвердить свою личность документом с фотографией — иногда может быть запрошен снимок через веб-камеру устройства. И доказать место своего проживания, например, предоставив счет за коммунальные услуги или выписку из банка.

    Вот и вся процедура.

    Также посмотрите пошаговую видео инструкцию по прохождению верификации на бирже Binance:


    Пошаговая инструкция верификации на бирже Binance

    Фрод на практике

    Рассмотрим практический пример Фрода:

    1. Степан — обычный человек. Доверчивый, немного наивный. Предложения увеличить доход на 10 сантиметров в месяц задевают Степана за больное место, и он оплачивает курс по увеличению дохода. Но он не учел, что сайт, на котором он производил оплату, — небезопасный, и данные его банковской карты перехватываются мошенником.
    2. Мошенник ищет способы «слить» полученные деньги, находит продавца и покупает у него продукт за $100 с украденной карты. Совет 1: всегда хорошо иметь anti-fraud систему, которая определит Мошенника и не позволит ему даже совершить оплату на сайте.
    3. Продавец — еще зеленый новичок, поэтому любая продажа для него — шампанское и овации. Он еще не верит во Фрод, поэтому идет к своему поставщику и покупает продукт за $80, который позже продает мошеннику, не имея ни малейшего понятия о том, что он на самом деле мошенник, а деньги ворованные. На первый взгляд, продавец заработал $20 и всё хорошо. Увы, ненадолго. Совет 2: без тщательной проверки платежа нельзя рассчитываться с партнерами.
    4. Прошел месяц и Степану что-то невесело — доход не увеличился, а даже наоборот — деньги с банковской карты активно пропадают. Степан нервно смотрит выписку по счету и пытается понять, куда же деваются его кровно заработанные: «Так, это $100 за курс по увеличению дохода, это $20 за ужин в ресторане… А это еще что за $100? В это время я спал, я не мог совершить этот платеж, да и не заказывал я кроссовки на Амазоне!»
    5. Степан в панике бежит в свой банк и слезно просит вернуть деньги.
    6. Банк удовлетворяет заявку — налицо несанкционированная активность с банковской карты их клиента. Банк запрашивает принудительный возврат средств (чарджбэк) со счета продавца ($100), а также взимает комиссию $20 за то, что произошел чарджбэк. Совет 3: в обязанность продавца входит проверка платежа на мошенничество, а если будет факт мошенничества — банк взимает штраф. Банк почти всегда удовлетворяет заявку клиента (чарджбэк).

    Итоги истории:

    • Степан счастлив, потому что получил свои деньги назад и может найти новый курс для увеличения дохода.
    • Банк выполнил заявку клиента, повысил свою репутацию в его глазах и выполнил требования AML/KYC/CIF политик (см. ниже).
    • Платежный процессинг сделал себе пометку о том, что продавец, которого он обслуживает, допускает мошеннические платежи и может быть сам замешан в мошенничестве. Через N подобных случаев платежный процессинг просто откажется предоставлять услуги этому продавцу.
    • Поставщик заработал денег на заказе продавца, он не обязан делать возврат.Защита от мошенничества — проблема продавца.
    • Мошенник получил возможность получить продукт бесплатно (то есть, за чужие деньги).
    • Ну а продавец несет $200 убытка ($80 поставщику, $100 вернулись Степану и $20 — штраф банка). В целом, продавец в этой истории выглядит примерно так:

    Рейтинг
    ( 1 оценка, среднее 5 из 5 )
    Понравилась статья? Поделиться с друзьями: