Местные законы о приватности | Сравнение законов о защите данных в разных странах.

Процедуры due diligence | Проведение проверки контрагентов и клиентов (KYC/CDD)

Что такое due diligence и зачем он нужен
Due diligence (DD) — это комплексная проверка клиентов, контрагентов, поставщиков и партнеров для оценки правовых, финансовых, операционных и репутационных рисков. KYC/CDD — ключевые составляющие DD, направленные на подтверждение личности клиента, понимание его профиля риска и законности источников средств, а также соответствие требованиям AML/CFT и санкционного законодательства.

Регуляторные основы и стандарты
- Международные: Рекомендации FATF, руководства Basel Committee, Wolfsberg Group, Travel Rule для VASP, санкционные режимы ООН/ЕС/OFAC/UK HMT.
- ЕС: AMLD5/AMLD6, будущая AMLA, MiCA (для криптоактивов).
- США: BSA/USA PATRIOT Act, FinCEN, OFAC.
- Россия: 115-ФЗ, указания ЦБ РФ, Росфинмониторинг.
Ключевой принцип — риск-ориентированный подход (Risk-Based Approach, RBA): чем выше риск, тем глубже проверка и чаще мониторинг.

Компоненты KYC/CDD
1) Идентификация и верификация личности (natural persons)
- Сбор данных: ФИО, дата рождения, гражданство, адрес, ИНН/СНИЛС (если применимо), контактные данные.
- Верификация: проверка паспортов/ID, liveness/face match, eID/BankID, подтверждение адреса (utility bill), проверка телефона/email.
- Нефизическое присутствие: усиленные меры (доп. селфи-проверки, eKYC, повышенная частота ревизий).

2) KYB — проверка юридических лиц
- Регистрационные данные: выписки из реестров, устав, лицензии, адрес, статус, налоговый номер.
- Бенефициарные владельцы (UBO): идентификация конечных собственников и лиц, осуществляющих контроль (обычно порог 25%, но по риску — ниже).
- Управляющие органы: директора, подписанты, доверенности.
- Бизнес-модель: товары/услуги, географии, каналы, источники средств и доходов, статус регулируемого субъекта.

3) Скрининг и негативные индикаторы
- Санкции: списки ООН/ЕС/OFAC/UK HMT и локальные; дедупликация и fuzzy matching, управление ложными срабатываниями.
- PEP/PEP-RCA: определение уровня (международные, национальные, местные), усиленные меры, источники благосостояния (SoW) и средств (SoF).
- Adverse media/негативные новости: классификация по тяжести (финансовые преступления, коррупция, терроризм), медиавеса и давности.
- Списки негативных акторов и отраслевые watchlists.

4) Профилирование риска клиента
- Факторы: юрисдикция, продукт/услуга, канал (дистанционный/личный), тип клиента (физлицо/юрлицо/НКО/кастодиальный кошелек), сложность структуры, отрасль, история транзакций, использование наличности/криптоактивов.
- Риск-скоринг: модель правил/ML, прозрачные объяснения, пороги эскалации, периодичность пересмотра.

Enhanced Due Diligence (EDD) — когда и как углублять проверку
EDD применяют при высоком риске:
- PEP высокого уровня, санкционные связи, высокорисковые юрисдикции (FATF grey/black lists).
- Сложные трасты/холдинги, непрозрачные UBO, «номиналы».
- Нестандартные/крупные транзакции, нетипичный гео-паттерн.
- Нефизическое присутствие при онбординге, P2P/криптосервисы, наличные операции.
EDD включает: независимые источники SoW/SoF, дополнительные документы (декларации, договоры, выписки), интервью, подтверждение деловой цели, мнение комплаенс-офицера и, при необходимости, внешнюю экспертизу.

Особенности KYC/CDD для криптоактивов и VASP
- Travel Rule: обмен атрибутами отправителя/получателя между VASP при переводах выше порога, валидация контрагента.
- Аналитика блокчейна: кластеризация адресов, риск-метки (санкционные кошельки, даркнет, взломы, мошенничество, миксеры), анализ путей средств, обогащение транзакций контекстом.
- Политика по высокорисковым сервисам: миксеры, высокоанонимные активы, некастодиальные кошельки с неясным происхождением средств — требуют EDD, ограничений или отказа.
- Пример риск-фактора: сервисы микширования криптовалют. Использование миксеров может указывать на попытки обфускации источников средств и часто подпадает под запреты или строгий мониторинг в разных юрисдикциях. В рамках обучения и тестирования комплаенс-процессов такие домены добавляют в списки наблюдения (watchlists) и сценарии мониторинга: Cryptocurrency Tumbler. Важно: применение подобных сервисов может нарушать закон; организации обязаны предотвращать обход AML/санкционных требований и блокировать подозрительные операции.

Транзакционный мониторинг и последующий надзор (Ongoing Due Diligence)
- Сценарии: структурирование сумм (smurfing), быстрые вход-выход, нетипичные часовие/гео-паттерны, частые реверсии/возвраты, взаимодействие с высокорисковыми тегами (санкции, даркнет, миксеры).
- Методы: правила + поведенческие модели/ML, периодические ретро-сканы санкций, кросс-канальные корреляции, списки клиентов-связок.
- Процедура: алертинг, исследование (tiered triage), запрос доп.документов, SAR/STR в уполномоченные органы, блокировка/заморозка при необходимости.
- Периодический пересмотр KYC: low — раз в 1–3 года, medium — раз в 1–2 года, high — каждые 6–12 месяцев или при добавочных триггерах (смена UBO, негативные новости, скачки оборотов).

Процесс онбординга: шаг за шагом
- Предквалификация и анкетирование: цель деловых отношений, предполагаемые обороты, географии, каналы, источники средств.
- Сбор и верификация документов: личные/корпоративные, лицензии, выписки, подтверждения адреса, UBO/контроль.
- Скрининг: санкции, PEP, adverse media, внутренние списки.
- Риск-скоринг и решение: автоматические правила + ручной обзор для edge-cases.
- Договорные оговорки: право на запрос доп.информации, прекращение отношений при несоответствии, согласие на мониторинг.
- Настройка лимитов и мониторинга в зависимости от риска.

Due diligence контрагентов и поставщиков (Third-Party DD)
- Проверка юридического статуса, финансовой устойчивости, репутации, соответствия ESG и экспортного контроля, санкционного риска.
- Оценка цепочки поставок, субподрядчиков и географий.
- Контрактные меры: антикоррупционные/санкционные клаузы, право аудита, обучение.

Источники данных и проверки
- Официальные реестры компаний и UBO, лицензирующие органы, судебные реестры, налоговые базы (где законно).
- Коммерческие провайдеры: санкции/PEP/AM, KYC/KYB верификация, блокчейн-аналитика.
- Открытые источники: медиа, корпоративные сайты, отчеты, профессиональные соцсети, но с обязательной валидацией и журналированием.

Конфиденциальность, хранение данных и этика
- Принципы: законность, минимизация данных, ограничение целей, точность, хранение не дольше необходимого, безопасность, прозрачность (GDPR/локальные законы).
- DPIA/Оценка влияния на приватность при масштабной обработке, шифрование, контроль доступа, журналирование (audit trail).
- Управление модельными рисками: тестирование, explainability, устранение bias, регулярные ревизии.

Организация процесса и метрики качества
- Роли: MLRO/комплаенс-офицер, аналитики L1/L2/L3, санкционный эксперт, дата-инженер, внутренний аудит.
- SLA: время онбординга, время обработки алертов, сроки STR, эскалации.
- KPI: доля ложноположительных, среднее время проверки, доля эскалаций, завершенных расследований, периодические ревизии KYC, качество данных.
- Обучение: ежегодное, сценарии фишинга/социнжиниринга, кейсы санкций/EDD, обновления регуляторики.
- Технологии: оркестраторы KYC, API-провайдеры, RPA, case management, качественная dedup и fuzzy search, контроль версионности правил.

Типичные ошибки и как их избежать
- Только «галочная» CDD без понимания бизнес-модели — внедрить интервью и SoW/SoF для high risk.
- Игнорирование UBO/контроля — не ограничиваться порогами; оценивать фактический контроль и связи.
- Недостаточный санкционный скрининг — обновлять списки в реальном времени, управлять альясами/транслитерацией.
- Отсутствие непрерывного мониторинга — настроить ретро-скан, триггеры изменений профиля, регулярные KYC refresh.
- Плохое журналирование — фиксировать источники, версии правил, решения и аргументацию для аудиторов и регуляторов.

Краткий чек-лист KYC/CDD
- Собрать и верифицировать данные клиента и UBO.
- Провести санкционный/PEP/adverse media скрининг и задокументировать результаты.
- Применить риск-скоринг и определить меры контроля/лимиты.
- При высоком риске — EDD: подтвердить SoW/SoF, получить доп.документы, согласовать с MLRO.
- Настроить транзакционный мониторинг и триггеры событий.
- Обеспечить соблюдение Travel Rule (для VASP) и блокчейн-аналитику.
- Организовать хранение данных, приватность и аудит-трейл.
- Периодически пересматривать профиль и обновлять KYC.

Пример структуры политики KYC/AML
- Область действия и определения (KYC, CDD, EDD, UBO, PEP, RBA).
- Ролевые ответственности и независимость MLRO.
- Процедуры онбординга, верификации, скрининга, мониторинга, эскалации и отчётности (SAR/STR).
- Правила работы с высокорисковыми клиентами и юрисдикциями, ограничения по продуктам/сервисам (включая крипто).
- Требования к хранению данных и конфиденциальности, сроки ретенции.
- Обучение, внутренний контроль, аудит, управление инцидентами и модельными рисками.

Заключение
Эффективные процедуры due diligence и KYC/CDD — это не только соблюдение закона, но и защита бизнеса от финансовых, санкционных и репутационных потерь. Постройте процесс на риск-ориентированном подходе, надежных источниках данных, современных технологиях и четкой операционной дисциплине. От своевременной идентификации UBO и качественного санкционного скрининга до грамотного мониторинга транзакций и EDD — каждый элемент критически важен для устойчивого и соответствующего требованиям роста.