В предыдущем выпуске этой серии были очерчены четыре широкие категории, которые могут привести к блокировке активного счёта: мониторинг транзакционных паттернов, ончейн-скрининг адресов, сообщения третьих сторон и защитные триггеры на стороне пользователя. Первая категория — та, о которой пользователи спрашивают чаще всего, обычно в виде той или иной версии вопроса «я ничего не делал, почему мой счёт пометили?». Этот гид отвечает на этот вопрос на том уровне, на котором отрасль действительно работает. Он описывает категории сигналов, которые регулируемые финансовые учреждения обязаны отслеживать. Он не описывает внутренние правила какой-либо конкретной платформы, включая Bitbase.

«Подозрительное» — это не ярлык, который та или иная биржа придумывает самостоятельно. Это категория, определяемая международными механизмами противодействия отмыванию денег и непрерывно обновляемая через публичные отчёты.

Институциональная история проходит через три вехи. Закон США о банковской тайне (Bank Secrecy Act) 1970 года ввёл отчёты о валютных операциях («CTR») — первое федеральное требование сообщать о наличных операциях сверх порога и первое официальное признание того, что поведение, призванное обойти этот порог, само по себе является сигналом. Группа разработки финансовых мер борьбы с отмыванием денег («FATF»), учреждённая в Париже в 1989 году странами G7, с тех пор публикует регулярные Typologies Reports — основанные на конкретных случаях каталоги того, как отмывание денег, финансирование терроризма и связанные злоупотребления действительно проявляются в финансовых системах. После 2013 года методология блокчейн-аналитики возникла как третий слой, применяя распознавание паттернов на уровне адресов к данным публичного реестра.

Большинство регулируемых финансовых учреждений — банки, брокерские компании, операторы денежных переводов, криптобиржи — сходятся к весьма схожим измерениям мониторинга. Причина структурна: они подотчётны одному и тому же своду международных стандартов. FATF Recommendation 10 (надлежащая проверка клиента), Recommendation 11 (ведение учёта) и Recommendation 20 (информирование о подозрительных операциях) образуют общий стержень.

Замечание о терминологии, прежде чем перейти к категориям. Практики AML называют сигналы мониторинга «red flag indicators» («индикаторами тревоги») — наблюдаемыми паттернами, которые заслуживают дальнейшего внимания, а не выводами о правонарушении. В этом гиде слово «сигнал» употребляется именно в этом смысле.

Структурирование — это хрестоматийный сигнал AML. Концепция предшествует криптовалютам на десятилетия. В своей первоначальной форме эпохи BSA структурирование означало дробление одного крупного наличного депозита на несколько меньших, каждый из которых чуть ниже порога, запускавшего подачу CTR, чтобы обойти требование об отчётности. Закон США рассматривает структурирование как отдельное преступление с 1986 года, когда 31 U.S.C. § 5324 — положение Закона о банковской тайне — сделал его таковым.

Причина, по которой этот паттерн столь устойчиво помечается, состоит в том, что его можно наблюдать без какого-либо доступа к намерению клиента. Системе мониторинга не нужно знать, почему транзакции имеют именно такой размер. Ей нужно лишь наблюдать, что они стабильно оказываются чуть ниже порогов отчётности, что они приходят необычными скоплениями или что они распределяются по счетам так, что статистически больше напоминают уклончивое структурирование, чем нормальную коммерческую деятельность.

В крипте у структурирования есть варианты. Дробление крупного перевода на несколько меньших переводов к одному и тому же контрагенту или от него. Маршрутизация схожих сумм через несколько счетов под разными именами. Тестовые транзакции на малые суммы, за которыми сразу следует крупная, в последовательности, повторяющей известные сценарии отмывания. FATF в Updated Guidance for a Risk-Based Approach to Virtual Assets and VASPs (июнь 2019 г., пересмотрено в октябре 2021 г.) называет эти паттерны в своём каталоге типологий.

Две характеристики структурирования как сигнала. Во-первых, отслеживается паттерн, а не какая-либо отдельная транзакция. Отдельная транзакция ниже любого порога ничем не примечательна. Регистрируется форма последовательности. Во-вторых, поверхностная видимость структурирования сама по себе не подразумевает противоправного намерения — многие законные модели поведения (регулярные платежи поставщикам стандартизированными суммами, зарплатные циклы, рутинное дробление подписок) могут порождать поверхностное сходство. Именно поэтому сигнал запускает проверку, а не вывод.

Каждый счёт по мере использования формирует поведенческую базовую линию. Её измерения знакомы всякому, кто читал банковскую выписку: типичные источники средств, типичные контрагенты, типичные категории активов, типичные размеры транзакций, типичное время. Сама базовая линия не раскрывается владельцу счёта, и для целей мониторинга в этом нет необходимости.

Когда активность отклоняется от этой базовой линии так, что превосходит объяснимое нормальной изменчивостью, счёт попадает на проверку. Отклонения, которые часто привлекают внимание, укладываются в несколько паттернов: увеличение размеров транзакций на порядок; сдвиг источников средств с устоявшихся каналов на новые; новые контрагенты, сосредоточенные в регионах повышенного риска. Регистрируются и быстрые изменения в составе активов — например, счёт, который долго торговал активами с высокой капитализацией, вдруг прокручивает череду токенов с низкой ликвидностью. То же касается транзакций, сгруппированных в необычное время относительно установившегося ритма счёта.

Базовая линия по своей конструкции не носит карательного характера. Её функция обратна: она задаёт стандарт сравнения, позволяющий системе трактовать нормальную активность счёта как нормальную, а не считать каждую транзакцию по умолчанию заслуживающей проверки. Цена такого подхода в том, что любое достаточно резкое отклонение от базовой линии, даже имеющее безобидное объяснение, регистрируется как сигнал.

На практике жизненные события с законными объяснениями могут порождать отклонения от базовой линии. Наследование средств, продажа бизнеса, получение крупного бонуса, начало новой инвестиционной стратегии или просто возобновление активности после долгого периода бездействия — всё это может проявиться как отклонения. У системы мониторинга нет доступа к глубинной причине. Она регистрирует форму изменения. Верификация, предоставляемая пользователем в ходе проверки, — это механизм, через который объяснение попадает в запись.

Формулировка по сути: отклонение от базовой линии — не вердикт о том, что что-то не так. Это отметка системы о том, что картина изменилась и что человеку-проверяющему стоит взглянуть.

FATF и её региональные органы непрерывно публикуют Typologies Reports с 1990-х годов. То же делают и национальные подразделения финансовой разведки — FinCEN в Соединённых Штатах, FCA в Соединённом Королевстве, AUSTRAC в Австралии и другие. Эти отчёты представляют собой основанные на конкретных случаях каталоги того, как определённые паттерны злоупотреблений проявлялись в наблюдаемых случаях: мошенничество с захватом счёта, цепочки лейринга в операциях по отмыванию денег, схемы манипулирования рынком, потоки платежей по программам-вымогателям, методы обхода санкций.

Системы мониторинга используют эти типологии как референсные шаблоны. Когда активность счёта обнаруживает достаточное сходство с известной типологией — по транзакционным паттернам, профилям контрагентов, времени и другим признакам — оценка сходства пересекает порог, и счёт попадает на проверку. Это и есть то, что понимают под «сопоставлением с типологиями».

Важны две характеристики.

Во-первых, сопоставление носит вероятностный характер. Система мониторинга не объявляет в каком-либо бинарном смысле, что счёт «соответствует» той или иной схеме отмывания денег. Она выдаёт оценку сходства, которая может быть высокой, умеренной или низкой. Совпадения с низкой уверенностью всё равно нуждаются в проверке, потому что цена пропуска реального случая выше цены отсева ложного срабатывания. Эта асимметрия издержек и есть причина, по которой мониторинг на стадии сигнала спроектирован как избыточно охватывающий.

Во-вторых, типологии обновляются. Появляются новые паттерны злоупотреблений; старые эволюционируют; каталог непрерывно пересматривается. Поведение счёта, не дававшее совпадения полгода назад, сегодня может дать совпадение — не потому, что счёт изменился, а потому, что библиотека типологий расширилась и охватила вновь выявленный паттерн. Это одна из причин, по которым мониторинг описывают как непрерывный, а не как проверку в какой-либо одной точке времени.

Чем сопоставление с типологиями не является — это установлением того, что счёт занимается деятельностью, которую описывает типология. Это наблюдение, что поверхность поведения, по признакам, которые система способна измерить, напоминает известный паттерн достаточно, чтобы оправдать более пристальный взгляд человека.

Первые три типа сигналов читают поведение пользователя. Этот четвёртый тип читает нечто иное: историю происхождения средств пользователя.

Публичные фреймворки блокчейн-аналитики — разработанные такими фирмами, как Chainalysis, Elliptic и TRM Labs, примерно с 2013 года — поддерживают обширные библиотеки риск-меток на уровне адресов, выведенных из публичных ончейн-данных, публичных расследований и раскрытий правоохранительных органов. Распространённые категории включают: адреса, связанные с подсанкционными OFAC субъектами; адреса, управляемые известными миксерами; адреса, связанные с публично атрибутированными эксплойтами, инцидентами хищений или платежами по программам-вымогателям; адреса, ассоциированные с даркнет-рынками; адреса, замешанные в подтверждённых мошеннических операциях.

Когда средства поступают на биржевой счёт с адреса, несущего одну из этих меток, принимающий счёт может попасть на проверку независимо от собственного поведения пользователя. Исходящее направление работает так же: адрес вывода, совпадающий с меткой санкций или хищения, вызывает сопоставимое внимание. Регламент Европейского союза о переводах средств (Transfer of Funds Regulation), вступивший в силу одновременно с MiCA, формализует параллельную обязанность VASPs обмениваться информацией об отправителе и получателе для переводов сверх установленных порогов.

Практический вывод для пользователя в том, что происхождение средств, а не только их назначение, может влиять на статус счёта. Пользователь, получивший перевод, история происхождения которого ему неизвестна, может обнаружить, что принимающий счёт требует верификации. Это структурная особенность того, как ончейн-прозрачность взаимодействует с обязательствами AML: цепочка публична, метки — это публичная методология, и регулируемые учреждения обязаны читать и то, и другое.

Как и в случае предыдущих трёх типов сигналов, совпадение с меткой адреса — это триггер проверки, а не вывод. Многие ассоциации с метками снимаются после того, как пользователь предоставляет документальное подтверждение источника средств.

Эта формулировка проходит через каждый предыдущий раздел.

В каждой из четырёх категорий действие системы одно и то же: сигнал запускает обязанность провести проверку. Проверка выполняется людьми, как правило при содействии пользователя. Пользователя просят предоставить контекст — объяснения, документацию, подтверждающие записи. Сигнал, объяснение пользователя и объективные факты, доступные проверяющему, вместе определяют, что произойдёт дальше.

Сигнал сам по себе — это не установление того, что что-то не так. Это отметка, заслуживающая внимания. Большинство сигналов после проверки снимаются. Меньшая доля ведёт к дальнейшим шагам, таким как дополнительная верификация или ограничения счёта. В случаях, связанных с подозрением на серьёзное злоупотребление, эскалация к соответствующим органам следует юридически определённым путём. Пропорции не публикуются ни одной платформой, потому что это свело бы на нет функцию мониторинга.

Для пользователя, чей счёт был помечен, вывод прямой. Проверка носит процедурный характер. Содействие в выполнении запросов на верификацию, предоставление точной документации и использование официальных каналов клиентской поддержки — единственные относящиеся к делу действия. Нет более быстрого пути, нет человека «внутри», с которым можно договориться, нет приёма для «снятия сигнала». Система спроектирована, чтобы взвешивать доказательства. Соразмерный ответ — предоставить их.

Читайте далее. Предыдущий выпуск этой серии: Why Exchanges Run Strict Account Controls: A Plain-Language Guide to KYC and Account Holds.