Обычный повседневный бизнес - продуктовые магазины, рестораны или салоны красоты - могут спокойно обслуживать любых клиентов без выяснения личности. Кассир не просит вас показать паспорт, чтобы продать буханку хлеба, и уж точно не интересуется происхождением средств, которыми вы расплачиваетесь за стрижку. Более того, в большинстве цивилизованных стран отказ в обслуживании клиента, не желающего раскрывать своё имя, возраст, гражданство и место жительства, будет воспринят как вопиющая дискриминация.
Но как только мы переходим в сферу высоколиквидных активов - например, криптовалют, - картина меняется. Здесь норма другая: бизнес обязан знать своего клиента (Know Your Customer, KYC). От пользователя требуют документы, селфи с паспортом, подтверждение адреса проживания, а иногда и выписки со счетов.
Сторонники жёсткого регулирования объясняют это просто: обед в ресторане не перепродашь, а криптовалюту - легко. Поэтому ресторан не сможет стать звеном в цепочке заметания следов преступной деятельности, а криптовалютный бизнес сможет. Считается, что высокая ликвидность делает цифровые активы идеальным инструментом для преступников.
На самом деле, это серьёзное заблуждение. В блокчейнах информация о транзакциях сохраняется навечно. Даже если сегодня какую-то цепочку сложно распутать до конкретного человека, никто не может гарантировать, что завтра не появятся новые аналитические алгоритмы. И они, кстати, уже появляются: правоохранительные органы успешно применяют блокчейн-аналитику (достаточно вспомнить, как Минюст США изъял биткоины, похищенные при взломе Bitfinex, на сумму более 3,6 млрд долларов).
Но главный вопрос кроется в другом: правильно ли, что обязанность выяснять, кто именно пользуется услугами и откуда у него средства на это, должна быть возложена на сам бизнес? Я считаю, что нет. И вот почему.
Удар по конкуренции: как KYC вредит стартапам
Представьте себе, что вы запускаете новый криптовалютный бизнес. Вы вкладываете средства в разработку, тратите колоссальные усилия на маркетинг, привлекаете первых клиентов. И вот они приходят, а вы встречаете их требованием: "Покажите паспорт, сделайте селфи, расскажите, где вы взяли деньги". Какова будет реакция?
Клиенты молча уйдут. Не потому, что им есть что скрывать, а потому что вы - никто на рынке. Перед крупной компанией, которая работает десять лет и которой доверяют миллионы других людей, человек готов раскрыться: ей есть что терять репутационно. Перед вами - нет. И это рациональное поведение: если сервис исчезнет, обанкротится и перестанет защищать данные, угрозы мошенничества или кражи личности останутся с клиентом и не исчезнут вместе с вашим бизнесом.
Результат предсказуем: вместо здоровой конкуренции, которая ведёт к снижению цен и улучшению сервиса, рынок монополизируется гигантами. Новые компании, которые могли бы предложить лучшие условия и инновационные продукты, просто не получают шанса. KYC превращается в классический барьер "regulatory capture", надёжно защищающий существующих лидеров. Рынок криптовалют, который мог бы стать образцом открытой конкуренции, превращается в олигополию.
Иллюзия приватности, или принудительное согласие
Во многих странах действуют строгие законы о защите персональных данных. Их базовый принцип: сведения о человеке нельзя собирать без его добровольного согласия. Человек имеет право на тайну частной жизни, право не сообщать всему миру, какие услуги он потребляет.
Но на практике без прохождения KYC человек де-факто оказывается отрезан от целых классов услуг: прежде всего, финансовых. Отказ потенциального клиента раскрыть информацию о себе требует от бизнеса автоматически отказать ему в услуге.
В 2025 году сам FATF - главный мировой инициатор такого регулирования - признал, что непропорциональные требования создали непредвиденные последствия: огромное число законопослушных людей оказались отрезаны от легальной финансовой системы просто из-за отсутствия нужных документов или нежелания раскрывать личность. Особенно остро, по утверждению FATF, это затрагивает беженцев, мигрантов, людей без банковских счетов - тех, кого государство призвано защищать.
Показательна и позиция Суда ЕС: в 2022 году он признал недействительным правило, делавшее данные о бенефициарных владельцах компаний доступными любому представителю широкой общественности, указав на несоразмерное вмешательство в частную жизнь. Суд напомнил, что такое вмешательство должно быть продиктовано необходимостью и соразмерно цели. Но почему-то на требования KYC даже в Европе эти принципы не распространяются.
Данные как приманка: KYC создаёт то, с чем призван бороться
Один из самых важных аргументов против обязательного KYC носит сугубо практический характер. Когда бизнес вынужден собирать миллионы паспортов и селфи, его серверы превращаются в лакомый кусок для киберпреступников. И эта угроза не теоретическая.
Ещё в 2019 году стало известно о хакере под псевдонимом ExploitDOT, который на даркнет-площадке Dread предлагал около 100 000 документов, собранных в рамках KYC крупными криптобиржами: Binance, Poloniex, Bitfinex, Bittrex. Происхождение данных осталось спорным: биржи отрицали взлом своих систем, а данные могли быть украдены у стороннего провайдера услуг KYC. Но именно это делает инцидент ещё более показательным: цепочка хранителей ваших персональных данных длиннее, чем вы думаете, и уязвимой может оказаться любая её точка.
В мае 2025 года произошло то, что уже невозможно было списать на неясность источника: биржа Coinbase публично признала, что киберпреступники подкупили группу подрядчиков службы поддержки, работавших за рубежом, и те передали им персональные данные клиентов (имена, адреса, телефоны, частичные номера социального страхования и сканы удостоверений личности, поданных при KYC-верификации). Пострадал 69 461 пользователь. Биржа отказалась платить выкуп в 20 миллионов долларов, но оценила возможные убытки от инцидента в 180 - 400 миллионов долларов.
Осенью 2025 года исследователи кибербезопасности обнаружили незащищённую базу данных криптоплатформы NCX, содержавшую свыше 5 миллионов записей, включающих прямые ссылки на KYC-документы пользователей. Всё это лежало в открытом доступе из-за ошибки конфигурации MongoDB. Никакого взлома: просто база данных не была закрыта от публичного доступа.
В общем, лучший способ защитить чужие персональные данные - не хранить их вовсе. Каждый новый оператор, собирающий паспортные данные, - это новый риск. KYC создаёт не просто реестры клиентов, а цели для преступников. Зная имя, адрес, биометрию и источник активов человека, злоумышленник получит всё необходимое для того, чтобы выдать себя за него.
Кто должен ловить преступников: полиция или бизнес?
Правоохранительные органы получают налоги за свои услуги: в частности, за расследование преступлений и борьбу с незаконными финансовыми потоками. Бизнес получает деньги за оказание своих услуг. Но процедуры KYC - это фактический перенос полицейских функций на частный сектор: бизнес обязан идентифицировать клиентов, проверять санкционные списки, анализировать происхождение средств, доносить о подозрительных транзакциях. И при этом государство не выплачивает ему ни копейки компенсации из налогов, которые за это заплачены. Если бизнес ошибается - платит штраф. Если не ошибается - всё равно несёт огромные расходы на систему, которая, строго говоря, является государственной функцией.
Самое разрушительное во всём этом - данные об эффективности. Рональд Пол, исследователь из Университета Ла Троб (Австралия), в своей широко цитируемой работе, опубликованной в журнале Policy Design and Practice, установил, что расходы на комплаенс превышают реально изъятые у преступников средства более чем в сто раз.
Бизнес платит сотни миллиардов долларов в год (глобальные расходы на комплаенс превышают 200 миллиардов долларов ежегодно), а результат ничтожен. Кто в здравом уме захочет нести такие бессмысленные издержки? Вот и государства не хотят - и перекладывают их на бизнес, а в конечном итоге на потребителя.
Иногда этот механизм приобретает откровенно политическое измерение. В феврале 2022 года в Канаде во время протестов дальнобойщиков правительство воспользовалось тем, что в финансовых и криптовалютных организациях есть сведения об участниках акции, и дало таким организациям рекомендации применять "Чрезвычайный закон" для заморозки поступлений в их адрес. Бизнес оказался в роли политического инструмента, а граждане лишились доступа к собственным деньгам. Два года спустя суд признал эти действия неконституционными, но деньги были уже заморожены, а граждане на своей шкуре прочувствовали масштаб угрозы.
Рынок уже вынес свой вердикт
Реакция рынка уже очевидна. В криптовалютной среде существует огромный, устойчивый запрос на сервисы без KYC: люди готовы мириться с неудобствами, искать обходные пути, переплачивать - лишь бы не передавать документы незнакомым компаниям с неизвестными методами хранения данных.
Но переплачивать-то зачастую и не приходится! Rabbit.io может предложить клиентам лучшие курсы обмена криптовалют в том числе и потому, что у нас нет расходов, связанных со сбором, обработкой и хранением данных клиентов. Естественно, что если у потребителя есть выбор, то он предпочтёт получать услуги там, где их стоимость ниже. Поэтому наши клиенты и выбирают нас. И поэтому же навязывать бизнесу KYC - это фактически убивать его.
Наши пользователи - не преступники и не конспирологи. Это люди с вполне понятной мотивацией: совершить сделку по лучшему курсу и без необходимости раскрывать свою личность тогда, когда это не нужно. Когда я покупаю яблоки на рынке, продавец не спрашивает у меня паспорт. Когда я прошу в магазине разменять деньги, никто не интересуется, зачем мне понадобились другие купюры. Почему цифровые транзакции должны быть устроены принципиально иначе?
Вместо заключения
Требование KYC создаёт систему, в которой издержки распределены несправедливо. Бизнес платит за функцию государства. Добросовестный пользователь платит за то же самое своими деньгами и дополнительно рискует своими данными. Новые компании разоряются из-за конкурентного преимущества крупных игроков. А реальные нарушители находят обходные пути, пользуясь среди прочего и теми реестрами данных, которые собирает бизнес в рамках процедур KYC.
Если государства считают, что надзор за финансовыми потоками необходим, нужно честно обсуждать: кто за это платит, кто несёт ответственность и почему частный бизнес должен выполнять полицейские функции в ущерб себе и своим клиентам. Нужно обратить внимание на то, что обязательный тотальный KYC - это дорогостоящий и малоэффективный инструмент, который превращает добросовестных участников рынка в подозреваемых, а их данные - в мишень для преступников.
