Назад к списку

CARF 2027 подготовка: руководство для VASP

Ключевые выводы для руководства (TL;DR)

  • Дедлайн — 1 января 2026 г.: С этой даты провайдеры услуг виртуальных активов (VASP) обязаны начать сбор данных для первого отчёта в 2027 году. Откладывать нельзя.

  • Бюджет и ресурсы: Немедленно заложите в бюджет на 2025 год расходы на аудит, закупку (или разработку) ПО, юридическую поддержку и обучение персонала.

  • Техническая готовность: Основные сложности включают правильную оценку сложных транзакций (crypto-to-crypto, DeFi, NFT) и интеграцию сбора данных в существующие системы.

  • Юридические риски: Обеспечьте правовые основания для сбора и трансграничной передачи данных в соответствии с GDPR (или аналогами), проведя оценку рисков (DPIA/TIA).

  • Последствия: Несоблюдение требований грозит многомиллионными штрафами, отзывом лицензий и персональной ответственностью руководства.

    • Введение: цель, аудитория и структура

    Цель статьи: предоставить подробное практическое руководство по внедрению Системы отчётности о криптоактивах (CARF) — нового стандарта ОЭСР (OECD) для обмена налоговой информацией, с акцентом на технические, юридические и операционные аспекты.

    Целевая аудитория:

  • Руководители криптосервисов (VASP): CEO, CISO, CTO и комплаенс-офицеры (CCO) централизованных бирж (CEX), брокеров, операторов криптоматов и DeFi‑протоколов с элементами централизованного управления.

  • Владельцы криптоактивов: частные инвесторы, трейдеры и фонды, которым необходимо понимать, какие данные о них будут передаваться.

    • Структура: руководство охватывает правовой контекст CARF, детальные правила оценки активов, пошаговый план внедрения с конкретными задачами, требования к безопасности данных, а также содержит практические примеры, шаблоны и чек‑листы.

    Что такое CARF и каков его правовой контекст?

    Crypto-Asset Reporting Framework (CARF) — это международный стандарт ОЭСР для автоматического обмена налоговой информацией о транзакциях с криптоактивами¹. Его цель — повысить налоговую прозрачность и дополнить существующий Единый стандарт отчётности (CRS), который охватывает традиционные финансовые счета.

    Ключевые даты:

  • 1 января 2026 г.: начало сбора данных VASP в юрисдикциях, внедривших стандарт.

  • 31 декабря 2026 г.: окончание первого отчётного периода.

  • До 31 декабря 2027 г.: первый автоматический обмен данными между налоговыми органами 48 стран-участниц.

    • Различия между CARF, DAC8 и AML/CFT

  • CARF (ОЭСР): глобальный стандарт для налоговой отчётности.

  • DAC8 (ЕС): директива Совета ЕС², внедряющая CARF в законодательство Евросоюза и создающая правовую основу для административного сотрудничества между налоговыми органами.

  • AML/CFT и нормы FATF: меры по борьбе с отмыванием денег и финансированием терроризма. Такие требования, как Travel Rule, обязывают VASP собирать данные для противодействия финансовым преступлениям, а не для налоговых целей. Данные частично пересекаются, что позволяет оптимизировать сбор. Нарушения в смежных областях уже ведут к штрафам. Например, OFAC оштрафовал CoinList на 1,2 млн долларов США за нарушение санкционного режима³, что подчёркивает строгость надзора. Для минимизации рисков рекомендуется рассмотреть страхование (страхование киберрисков — Cyber Liability, страхование профессиональной ответственности — Professional Indemnity).

    • Данные, подлежащие сбору, оценке и агрегации

    VASP обязаны собирать, валидировать и передавать налоговым органам следующие данные.

    1. Идентификационные данные клиента (KYC)

  • ФИО, адрес, дата рождения.

  • Юрисдикция(и) налогового резидентства.

  • Идентификационный номер налогоплательщика (TIN) для каждой юрисдикции.

    • 2. Агрегированные данные о транзакциях (за отчётный период)

    Данные агрегируются по типу криптоактива и типу транзакции:

  • Приобретение (acquisition) и отчуждение (disposal) криптоактивов в обмен на фиат.

  • Обмен (exchange) одного криптоактива на другой (crypto-to-crypto).

  • Переводы (transfers) на кошельки, не связанные с VASP (self-hosted wallets), и переводы от других VASP.

    • 3. Правила оценки (valuation rules)

    Это самый сложный аспект. VASP должен задокументировать и последовательно применять свою политику оценки.

    4. Учёт комиссий (gas) и временных меток

  • Комиссии:GrossProceeds (валовая выручка) от отчуждения актива указывается до вычета комиссий и газа. Комиссии, уплаченные клиентом, могут быть учтены им самостоятельно при подаче налоговой декларации. Если комиссию платит третья сторона, она не отражается в отчёте клиента.

  • Временные метки: все транзакции должны иметь точную временную метку, предпочтительно на основе времени блока (block timestamp) в формате UTC. Это критично для определения справедливой рыночной стоимости в момент операции.

    • Кто подпадает под действие CARF?

    Стандарт применяется к провайдерам услуг виртуальных активов (VASP), которые в качестве бизнеса предоставляют услуги обмена, перевода или хранения криптоактивов.

    Алгоритм определения ответственности для DEX и DeFi

    CARF нацелен на посредников, обладающих «достаточным контролем». Используйте следующее дерево решений:


  • p>Контролирует ли ваша команда или DAO ключевые смарт‑контракты через административные ключи, позволяющие изменять или приостанавливать операции?/p>
    ul>
    li>Да: проект, скорее всего, является VASP.


  • p>Является ли ваш пользовательский интерфейс (UI/frontend) основным средством доступа к протоколу, и можете ли вы ограничить к нему доступ (например, через геоблокировку)?/p>
    ul>
    li>Да: оператор интерфейса является VASP. Пример: фронтенд Uniswap под управлением Uniswap Labs.


  • p>Собирает ли ваш проект комиссии (take‑rate) на централизованные кошельки, контролируемые командой/DAO?/p>
    ul>
    li>Да: высокая вероятность классификации как VASP.

    • Вывод: если ответ «да» хотя бы на один из этих вопросов, проект с большой долей вероятности будет признан VASP.

    Практический план внедрения для VASP

    Детальный график (timeline)

    Управление данными: безопасность и правовые основания

    1. Поток данных и зоны ответственности

    Роли и обязанности должны быть чётко определены на каждом этапе жизненного цикла данных.

    2. Правовые основания для трансграничной передачи данных (в контексте GDPR)

    Передача данных налоговым органам за пределы ЕС/ЕЭЗ требует надёжных правовых оснований. Статья 6(1)(c) GDPR (выполнение юридического обязательства) является основным основанием, но не всегда достаточным.

  • Потребность в локальной юридической экспертизе: требования могут варьироваться в зависимости от юрисдикции VASP и клиента. Конфликты правовых оснований должны быть разрешены до начала передачи.

  • Оценка адекватности: если данные передаются в страну, не признанную ЕС как обеспечивающую адекватный уровень защиты, требуются дополнительные меры.

  • Механизмы легальной передачи:
    ul>
    li>Решение об адекватности (Adequacy Decision): для таких стран, как Великобритания, Швейцария.

  • Стандартные договорные условия (Standard Contractual Clauses, SCCs): требуются при передаче в юрисдикции без решения об адекватности. VASP обязан провести оценку влияния передачи (TIA).

  • Международные соглашения (CARF/DAC8): могут служить правовой основой, но не отменяют общих принципов GDPR. VASP обязан провести оценку воздействия на защиту данных (DPIA) для документирования рисков (см. чек‑лист в Приложении 2).

    • 3. Политика хранения и удаления данных

  • Срок хранения: данные должны храниться в течение срока, установленного налоговым и AML‑законодательством (обычно 7–10 лет после прекращения отношений с клиентом) для целей аудита.

  • Безопасное удаление: по истечении срока хранения данные должны быть безвозвратно удалены с использованием криптографического стирания или физического уничтожения носителей.

  • Логирование: все операции доступа, изменения и удаления данных CARF должны фиксироваться в неизменяемых логах (WORM‑логи) для аудита.

    • Тестирование и взаимодействие с налоговыми органами

  • Внутреннее тестирование (UAT): проверка корректности сбора, логики агрегации и генерации XML‑файла на соответствие актуальной **OECD XSD (v1.0)**⁴ (см. примеры тест‑кейсов в Приложении 1).

  • Интеграционное тестирование: налоговые органы предоставят тестовые среды (песочницы) для отладки процесса подачи. Доступ к тестовым эндпоинтам необходимо запросить заранее.

  • End-to-end‑тестирование: проведение полного цикла — от генерации отчёта до успешной загрузки и валидации на стороне регулятора.

    • KPI для мониторинга соответствия

    Заключение: план действий на 90 дней

    Внедрение CARF требует немедленных действий.

  • Назначьте лидера: выделите владельца проекта (project owner) с полномочиями координировать CCO, CTO, юридический отдел и DPO.

  • Начните gap‑анализ: проведите аудит IT‑архитектуры и процессов KYC для выявления пробелов. Оцените, достаточно ли SaaS‑решения или требуется собственная разработка.

  • Сформируйте бюджет на 2025 год: заложите расходы на софт, внешних юридических и налоговых консультантов, а также потенциальное расширение штата.

  • Начните обновление правовой базы: проконсультируйтесь с юристами для подготовки DPIA и обновления пользовательского соглашения и политики конфиденциальности.

    • Глоссарий

  • CARF (Crypto-Asset Reporting Framework): стандарт ОЭСР для отчётности о криптоактивах.

  • CRS (Common Reporting Standard): единый стандарт отчётности ОЭСР для финансовых счетов.

  • DAC8 (Directive on Administrative Cooperation): восьмая версия директивы ЕС, внедряющая CARF.

  • DPIA (Data Protection Impact Assessment): оценка воздействия на защиту данных.

  • TIA (Transfer Impact Assessment): оценка влияния передачи данных.

  • VASP (Virtual Asset Service Provider): провайдер услуг виртуальных активов.

  • VWAP (Volume-Weighted Average Price): средневзвешенная по объёму цена.

    • Источники и полезные ссылки

    Дата верификации источников: октябрь 2024 г.

  • OECD (ноябрь 2023),Joint Statement on the Crypto-Asset Reporting Framework.

  • Council of the EU (октябрь 2023),Council Directive (EU) 2023/2226 (DAC8).

  • OFAC (февраль 2024),OFAC Settles with CoinList Markets, Inc. for $1,207,830.

  • OECD (октябрь 2023),Crypto-Asset Reporting Framework XML Schema (Version 1.0) and User Guide. Доступно на: OECD.org

    • Приложение 1: технические спецификации и тест-кейсы

  • Формат: XML. Схема: CARF XML Schema v1.0.

  • Обработка пограничных случаев (edge cases):
    ul>
    li>Корректировка данных: ошибочные отчёты должны исправляться путём подачи корректирующего отчёта с указанием DocRefId оригинального документа.

  • Дублирование отчётности: если в одной транзакции участвуют несколько VASP, каждый отчитывается за свою часть. Внедрите механизмы сверки (reconciliation) во избежание расхождений.

    • Пример фрагмента XML для свопа crypto-to-crypto

    Обмен 1 BTC на 20 ETH. Отчёт отражает это как два события: отчуждение BTC и приобретение ETH.

    Примеры тест-кейсов для UAT

    Приложение 2: шаблоны и чек-листы

    Образцы, требуют адаптации к вашей юрисдикции и консультации с юристом.

    1. Шаблон пункта пользовательского соглашения


    p>11. Сбор и передача данных в соответствии с CARF/DAC8

    11.1. В соответствии с международным стандартом отчётности о криптоактивах (CARF) и применимым законодательством мы обязаны собирать и ежегодно передавать информацию о вашей личности и транзакциях в налоговые органы. Правовым основанием для такой обработки является соблюдение нами юридического обязательства (например, ст. 6(1)(c) GDPR).

    11.2. Передаваемая информация включает ваши персональные данные (ФИО, адрес, ИНН) и агрегированные данные о транзакциях. В случаях, предусмотренных законом, ваши данные могут быть переданы налоговым органам за пределами вашей юрисдикции. Мы применяем все необходимые юридические и технические меры для защиты ваших данных при таких передачах./p>

    2. Краткий чек-лист DPIA/TIA

  • Описание передачи: какие данные передаются? Кому (в какую страну)? С какой целью?

  • Правовое основание: определено ли основание согласно GDPR (ст. 6) и механизм передачи (ст. 44–50), например, решение об адекватности или SCCs?

  • Оценка законодательства страны-получателя: может ли законодательство (например, законы о слежке) помешать получателю данных соблюдать обязательства по SCC?

  • Дополнительные меры: требуются ли дополнительные технические (например, сквозное шифрование) или организационные меры для защиты данных?

  • Оценка необходимости и пропорциональности: является ли передача необходимой для достижения цели? Минимизирован ли объём передаваемых данных?

  • Риски для субъектов данных: каковы потенциальные риски для клиентов в случае несанкционированного доступа или неправомерного использования их данных?

  • Итоговое решение: задокументированное решение о допустимости передачи с учётом всех факторов.

    • Теги

    carf compliance
    virtual asset service providers
    crypto tax reporting
    oecd crypto regulations
    vasp regulatory requirements