У многих основателей проектов EMI вопросы AML поднимаются слишком поздно. Сначала обсуждается коммерческая модель. Затем продукт. Потом банковская часть. Затем начинает формироваться пакет документов для лицензирования, и только в этот момент все вспоминают, что в состав заявления должна входить и система мер по противодействию отмыванию денег.
Именно такая последовательность — один из самых быстрых способов сделать лицензионное досье слабым и неубедительным.
Соблюдение AML-требований для заявителей на лицензию EMI не должно сводиться к последнему набору внутренних документов, который добавляют перед подачей заявления. Регулятор ожидает, что эта система изначально встроена в саму бизнес-модель. Если заявитель намерен выпускать электронные деньги, привлекать клиентов дистанционно, быстро переводить средства, работать в нескольких юрисдикциях либо использовать агентов и внешних исполнителей, то AML-система должна существовать до того, как будет окончательно собран пакет на лицензию, а не после. Руководящие документы EBA по авторизации прямо указывают на это, требуя, чтобы заявители на лицензию EMI представляли конкретные сведения о механизмах внутреннего контроля AML/CFT как часть пакета документов на получение разрешения. Те же подходы применяются и к EMI через рамку PSD2, которая в соответствующей части распространяется и на учреждения электронных денег.
Именно с этого нужно начинать. Регулятора не интересует, есть ли у вас формальная AML-инструкция. Его интересует, способно ли ваше учреждение с первого дня в реальной деятельности выявлять, отбирать, эскалировать, документировать и сообщать о рисках финансовых преступлений.
Что регулятор на самом деле пытается понять
Когда надзорный орган читает AML-раздел заявления на лицензию EMI, он обычно пытается ответить на несколько вполне практических вопросов.
Понимают ли учредители, где именно в этой бизнес-модели находятся риски отмывания денег и финансирования терроризма? Является ли модель принятия клиентов убедительной? Понимает ли компания свои категории клиентов? Связаны ли правила контроля операций с реальным поведением по операциям? Четко ли определено, кто отвечает за AML? Можно ли эффективно контролировать деятельность, переданную партнерам или внешним исполнителям, силами самой EMI? Можно ли без путаницы передавать подозрительные случаи на рассмотрение и направлять сообщения о них?
Эти вопросы имеют значение еще и потому, что сектор EMI остается в зоне пристального AML-внимания. В своем заключении о рисках ML/TF за 2025 год EBA указало, что компетентные органы все чаще оценивают присущий сектору учреждений электронных денег риск отмывания денег и финансирования терроризма как значительный или очень значительный, а также отмечают повторяющиеся слабые места в таких областях, как постоянный контроль, идентификация клиента, внутренний контроль и сообщение о подозрительных операциях.
Поэтому AML-раздел лицензионного досье EMI — это не просто текст о соблюдении требований. Это вопрос доверия к заявителю.
Почему типовые AML-пакеты обычно не работают
Распространенная ошибка в проектах EMI — использование типовых AML-документов, которые могли бы относиться почти к любой финансовой организации.
Такой подход создает видимость готовности, но редко выдерживает реальную проверку. Типовой документ может упоминать проверку клиента, санкционный контроль, постоянный контроль операций и сообщение о подозрительных случаях, но при этом не говорить ничего полезного о фактическом профиле риска конкретного заявителя. Если регулятор не видит, как AML-модель связана с продуктами EMI, каналами работы, юрисдикциями, типами клиентов, характером операций и отношениями с третьими лицами, заявление начинает выглядеть искусственным.
Руководящие документы EBA по авторизации не требуют абстрактных AML-принципов. Они требуют конкретные элементы: оценку риска ML/TF у заявителя, процедуры выполнения обязанностей по проверке клиента, процедуры выявления и сообщения о подозрительных операциях, порядок AML-обучения, сведения о лице, ответственном за AML/CFT, механизмы контроля за актуальностью процедур, надзор за агентами, филиалами и дистрибьюторами, а также AML-руководство для сотрудников.
Именно поэтому одной универсальной формы недостаточно. Регулятор хочет видеть систему контроля, которая относится именно к этой EMI, а не к некоему абстрактному учреждению.
Начинать нужно с оценки рисков, а не с папки политик
Самый полезный способ выстроить AML-систему для EMI — начать с карты рисков.
До подготовки процедур заявитель должен уметь объяснить, откуда именно возникает риск. EMI может быть подвержена повышенному риску из-за того, что обслуживает более рискованные категории клиентов, поддерживает быстрые онлайн-операции, полагается на дистанционное установление отношений с клиентом, работает сразу в нескольких юрисдикциях или использует посредников, таких как агенты, дистрибьюторы или программные партнеры. Даже внешне простой продукт может создавать сложный профиль финансовых преступлений, если всерьез учитывать географию, способы пополнения, логику погашения и цепочки операций.
Руководящие документы EBA по факторам риска ML/TF требуют, чтобы организации выявляли и оценивали риски ML/TF, связанные с деловыми отношениями и разовыми операциями, и соразмерно этим рискам определяли глубину проверки клиента. Надзорные органы, в свою очередь, должны применять эти документы при оценке достаточности AML/CFT-оценки рисков и соответствующих процедур у компаний.
Поэтому правильнее строить AML-раздел не по принципу «сначала написать политику, а потом добавить формулировки о рисках». Логика должна быть обратной. Сначала определяется среда риска. Затем из нее вытекают процедуры.
Проверка клиента должна соответствовать тому, как EMI действительно привлекает клиентов
Проверка клиента — одна из самых удобных точек для регулятора, чтобы понять, серьезен ли заявитель или только хорошо оформил документы.
Если EMI собирается принимать клиентов дистанционно, в заявлении должно быть объяснено, как устанавливается личность клиента, какие источники данных используются, как учреждение работает с бенефициарной собственностью, как присваивается оценка риска, когда применяется усиленная проверка и что происходит в случае неполных или противоречивых сведений. Если EMI планирует работать с корпоративными клиентами, пользователями с большими объемами, трансграничными отношениями или сложными цепочками владения, досье не должно ограничиваться описанием модели приема розничных клиентов для электронного кошелька и оставлять все остальное в расплывчатом виде.
Именно поэтому проверку клиента в EMI нельзя рассматривать как стандартную схему, скопированную из другого лицензионного пакета. Она должна отражать реальный периметр бизнеса. Руководящие документы EBA по авторизации прямо требуют, чтобы заявители на лицензию EMI описывали процедуры, действующие у них для выполнения обязанностей по проверке клиента.
На практике регуляторы обычно читают этот раздел с одной мыслью: может ли эта компания объяснить, кого она будет принимать, как будет их проверять и в каких случаях откажет?
Контроль операций должен выглядеть как рабочий механизм, а не как декоративное описание
Во многих досье EMI инструменты контроля операций упоминаются так, будто одного названия поставщика достаточно для решения вопроса.
Это не так. Надзорные органы мало интересует сам факт наличия программы, если заявитель не может объяснить, что именно в ней настроено. Их интересует логика срабатывания сигналов, настройка пороговых значений, порядок проверки случаев, маршрут эскалации и связь контроля с конкретными продуктами, которые EMI собирается предлагать.
Именно поэтому особенно важно отраслевое заключение EBA за 2025 год. В нем были отмечены недостатки в постоянном контроле и ненадлежащая настройка систем контроля и фильтрации в секторе EMI, а также указано, что надзорные органы проводят углубленные проверки, сосредоточенные как раз на вопросах приема клиентов и контроля операций.
Сильный раздел о контроле операций у EMI поэтому звучит практически. В нем объясняется, что именно контролируется, почему определенные сценарии важны, кто рассматривает сигналы, как документируются случаи и как учреждение извлекает выводы из ложных срабатываний и пропущенных признаков. Слабый раздел ограничивается фразой, что все операции контролируются в соответствии с применимым законодательством.
Сообщение о подозрительных операциях требует ясного порядка действий, а не общего обещания
Легко написать, что подозрительные операции будут сообщаться. Намного сложнее показать, что EMI действительно сможет сделать это в условиях срочности и нагрузки.
Лицензионное досье должно ясно показывать внутренний маршрут передачи информации. Кто делает первичную эскалацию? Кто рассматривает случай? Кто принимает решение о наличии подозрения? Кто направляет сообщение? Как обрабатываются срочные случаи? Что происходит, если учреждение не может завершить проверку клиента, но уже видит подозрительное поведение? Это операционные вопросы, а не теоретические рассуждения.
Это особенно важно и в чешском контексте. FAÚ указывает, что обязанное лицо должно сообщать о подозрительной операции без неоправданной задержки, а если того требуют обстоятельства — немедленно. Чешский AML-закон также определяет содержание и логику сообщения о подозрительной операции.
Поэтому EMI не должна описывать сообщение о подозрительных операциях как общую обязанность. Оно должно быть описано как действующий внутренний процесс с четко установленной ответственностью, сроками и доказательной базой.
AML-управление — это место, где многие заявители на EMI начинают выглядеть неубедительно
Даже технически неплохо выстроенная AML-система может выглядеть слабой, если ответственность размыта.
В заявлении на лицензию EMI должно быть ясно показано, кто отвечает за AML на уровне руководства и кто отвечает за ежедневное выполнение функции соблюдения требований. Этому лицу недостаточно просто должности в организационной структуре. Нужны четко определенные полномочия, доступ к информации, линии подчиненности и достаточный организационный вес, чтобы при необходимости оспаривать решения бизнеса.
Руководящие документы EBA о должностных лицах, ответственных за AML/CFT, указывают, что организации должны назначать члена руководящего органа, который несет конечную ответственность за выполнение обязанностей в сфере AML/CFT, а также четко определять роль должностного лица по AML/CFT и его взаимодействие с руководством. Эти документы также подчеркивают, что такое лицо должно обладать достаточными полномочиями, а руководящий орган должен получать достаточно полную и своевременную отчетность по AML/CFT.
В этом и заключается разница между AML-управлением и AML-декорацией. Одно создает подотчетность. Другое просто добавляет имя в организационную схему.
Передача функций внешним исполнителям не переносит AML-ответственность
Это один из самых важных моментов для заявителей на лицензию EMI, использующих сторонних поставщиков.
Внешний инструмент KYC не освобождает EMI от обязанности понимать, как именно устроена логика приема клиентов. Внешняя система контроля операций не освобождает EMI от обязанности самостоятельно управлять правилами обработки сигналов. Партнерский канал продаж не отменяет необходимость AML-надзора. Ответственность всегда остается за регулируемым учреждением.
Руководящие документы EBA по авторизации требуют, чтобы заявитель объяснил, каким образом для целей AML/CFT будут контролироваться филиалы, агенты и дистрибьюторы и почему такие arrangements не увеличивают риск ML/TF у самого заявителя. Они также требуют более широких механизмов управления и внутреннего контроля, способных отслеживать переданные вовне функции и сохранять качество внутреннего контроля.
Именно здесь многие досье начинают шататься. Заявитель описывает поставщика, но не описывает надзор за ним. Указывает платформу, но не показывает ответственного внутри EMI. Ссылается на договорные обязанности, но не раскрывает права на проверку, выборочные проверки, периодичность отчетности, маршруты эскалации и порядок замены поставщика. Регуляторы замечают такой пробел очень быстро.
Заявителям на лицензию EMI в Чехии следует строить AML-систему вокруг реального местного регулирования
Для проектов, ориентированных на Чехию, AML-пакет не должен составляться как общий общеевропейский комплект документов с последующей спешной локализацией.
На странице ČNB, посвященной лицензированию EMI, указано, что образцы заявлений и содержание их приложений определяются чешским регулированием, а более широкие лицензионные материалы ČNB связывают заявления в сфере платежных услуг и электронных денег с режимом закона о платежной системе. Чешские AML-обязанности при этом в первую очередь основаны на законе № 253/2008 Sb., а сообщения о подозрительных операциях направляются в FAÚ.
Отсюда следует практический вывод: AML-раздел заявления на лицензию EMI должен с самого начала быть согласован с чешской юридической терминологией, чешской практикой отчетности и реальными ожиданиями надзорного органа, с которыми заявитель столкнется уже после получения разрешения, а не только на этапе подачи документов.
Более сильный подход к AML в EMI
Наиболее полезная установка такова: AML — это часть операционной модели, а не внешнее ограничение по отношению к ней.
Если EMI собирается расти за счет скорости, дистанционного приема клиентов, трансграничного охвата или инфраструктуры, обеспечиваемой внешними исполнителями, то AML должно быть встроено в эти решения с самого начала. Чем точнее AML-система отражает реальную бизнес-модель, тем естественнее выглядит весь лицензионный пакет. Становится понятной система управления. Становится понятным контроль операций. Становится понятной кадровая модель. Становится понятным надзор за переданными вовне функциями.
Поэтому AML-требования для заявителей на лицензию EMI — это не столько вопрос подготовки текстов, сколько вопрос архитектуры всей системы.
Как помогает AMS Europe
AMS Europe помогает заявителям на лицензию EMI выстраивать AML-системы, основанные на фактическом объеме лицензии, реальной модели операций и логике, по которой регулятор оценивает документы.
Обычно это включает подготовку или переработку оценки рисков ML/TF, описание системы приема клиентов и контроля операций, определение AML-управления, выстраивание порядка отчетности и эскалации, согласование внешне обеспечиваемых элементов с внутренним надзором и подготовку AML-приложений так, чтобы они усиливали всю лицензионную позицию, а не ослабляли ее.
Для чешских проектов это также означает согласование AML-направления с требованиями ČNB к подаче документов и с практическими обязанностями, вытекающими из чешского AML-закона и правил отчетности перед FAÚ.
Планируете получать лицензию EMI или пересматриваете существующую структуру?
Итог
Регулятор редко говорит: «У этого заявителя слишком хорошо выстроена AML-структура».
Гораздо чаще проблема обратная. Досье выглядит общим. Ответственность размыта. Контроль операций описан слишком абстрактно. Передача функций внешним исполнителям раскрыта недостаточно. Оценка рисков выглядит как формальность. И тогда заявление начинает производить впечатление бизнеса, который просит разрешение до того, как построил систему контроля, необходимую для того, чтобы это разрешение заслужить.
Более сильное заявление на лицензию EMI не пытается скрыть, что риск существует. Оно показывает, что учреждение понимает, где именно этот риск находится, и уже заранее решило, как будет им управлять.
FAQ
Какие AML-документы должен подготовить заявитель на лицензию EMI?
Как минимум регулятор ожидает оценку рисков ML/TF, процедуры проверки клиента, процедуры сообщения о подозрительных операциях, описание AML-управления, порядок обучения, надзор за агентами или дистрибьюторами, если это применимо, а также AML-руководство или аналогичную внутреннюю документацию. Эти элементы прямо предусмотрены руководящими документами EBA по авторизации и должны быть адаптированы к реальной бизнес-модели заявителя.
Нужно ли EMI назначать ответственное за AML лицо до получения лицензии?
Да. В заявлении должно быть четко указано лицо, ответственное за соблюдение требований AML/CFT, а также подтверждены его опыт и компетентность. Кроме того, необходимо объяснить его место в системе управления и взаимодействие с высшим руководством в соответствии с ожиданиями EBA.
Достаточно ли передать прием клиентов внешнему исполнителю для соблюдения AML-требований?
Нет. Передача функций внешнему исполнителю может поддерживать AML-систему, но не переносит регуляторную ответственность с EMI на поставщика. Заявитель должен показать, что он контролирует процесс, включая надзор за поставщиком, проверку качества и четкие механизмы эскалации.
Как должна быть организована внутренняя система сообщения о подозрительных операциях?
Регулятор ожидает четко определенный внутренний процесс, а не общее заявление о намерении. В заявлении должно быть объяснено, кто выявляет подозрение, кто рассматривает и принимает решение, кто направляет сообщение и в какие сроки это делается, с четко закрепленной ответственностью и документированием.
Кому направляются сообщения о подозрительных операциях в Чехии?
В Чехии сообщения о подозрительных операциях направляются в Финансово-аналитическое управление (FAÚ). Обязанные лица должны направлять такие сообщения без неоправданной задержки, а при необходимости — немедленно.
Насколько подробной должна быть оценка риска ML/TF?
Оценка риска должна отражать реальную бизнес-модель, включая продукты, каналы, юрисдикции, типы клиентов и характер операций. Общие или шаблонные оценки, в которых нет связи с конкретным бизнесом, обычно не считаются достаточными.
Какую роль играет контроль операций в заявлении на лицензию EMI?
Контроль операций должен быть описан как действующая система с определенными сценариями, настроенными пороговыми значениями и структурированным процессом обработки сигналов. Регуляторов интересует то, как система работает на практике, а не просто наличие инструмента.
Остаются ли действующие AML-документы EBA актуальными после создания AMLA?
Да. Действующие руководящие документы и стандарты EBA по AML/CFT сохраняют применимость до тех пор, пока они формально не будут заменены документами AMLA. Поэтому при подготовке заявлений заявителям по-прежнему следует опираться на действующие материалы EBA.
