CARF 2027 подготовка: руководство для VASP

Ключевые выводы для руководства (TL;DR)

• Дедлайн — 1 января 2026 г.: С этой даты провайдеры услуг виртуальных активов (VASP) обязаны начать сбор данных для первого отчёта в 2027 году. Откладывать нельзя.
• Бюджет и ресурсы: Немедленно заложите в бюджет на 2025 год расходы на аудит, закупку (или разработку) ПО, юридическую поддержку и обучение персонала.
• Техническая готовность: Основные сложности включают правильную оценку сложных транзакций (crypto-to-crypto, DeFi, NFT) и интеграцию сбора данных в существующие системы.
• Юридические риски: Обеспечьте правовые основания для сбора и трансграничной передачи данных в соответствии с GDPR (или аналогами), проведя оценку рисков (DPIA/TIA).
• Последствия: Несоблюдение требований грозит многомиллионными штрафами, отзывом лицензий и персональной ответственностью руководства.

---

Введение: цель, аудитория и структура

Цель статьи: предоставить подробное практическое руководство по внедрению Системы отчётности о криптоактивах (CARF) — нового стандарта ОЭСР (OECD) для обмена налоговой информацией, с акцентом на технические, юридические и операционные аспекты.

Целевая аудитория:

• Руководители криптосервисов (VASP): CEO, CISO, CTO и комплаенс-офицеры (CCO) централизованных бирж (CEX), брокеров, операторов криптоматов и DeFi‑протоколов с элементами централизованного управления.
• Владельцы криптоактивов: частные инвесторы, трейдеры и фонды, которым необходимо понимать, какие данные о них будут передаваться.

Структура: руководство охватывает правовой контекст CARF, детальные правила оценки активов, пошаговый план внедрения с конкретными задачами, требования к безопасности данных, а также содержит практические примеры, шаблоны и чек‑листы.

Что такое CARF и каков его правовой контекст?

Crypto-Asset Reporting Framework (CARF) — это международный стандарт ОЭСР для автоматического обмена налоговой информацией о транзакциях с криптоактивами¹. Его цель — повысить налоговую прозрачность и дополнить существующий Единый стандарт отчётности (CRS), который охватывает традиционные финансовые счета.

Ключевые даты:

• 1 января 2026 г.: начало сбора данных VASP в юрисдикциях, внедривших стандарт.
• 31 декабря 2026 г.: окончание первого отчётного периода.
• До 31 декабря 2027 г.: первый автоматический обмен данными между налоговыми органами 48 стран-участниц.

Различия между CARF, DAC8 и AML/CFT

• CARF (ОЭСР): глобальный стандарт для налоговой отчётности.
• DAC8 (ЕС): директива Совета ЕС², внедряющая CARF в законодательство Евросоюза и создающая правовую основу для административного сотрудничества между налоговыми органами.
• AML/CFT и нормы FATF: меры по борьбе с отмыванием денег и финансированием терроризма. Такие требования, как Travel Rule, обязывают VASP собирать данные для противодействия финансовым преступлениям, а не для налоговых целей. Данные частично пересекаются, что позволяет оптимизировать сбор. Нарушения в смежных областях уже ведут к штрафам. Например, OFAC оштрафовал CoinList на 1,2 млн долларов США за нарушение санкционного режима³, что подчёркивает строгость надзора. Для минимизации рисков рекомендуется рассмотреть страхование (страхование киберрисков — Cyber Liability, страхование профессиональной ответственности — Professional Indemnity).

Данные, подлежащие сбору, оценке и агрегации

VASP обязаны собирать, валидировать и передавать налоговым органам следующие данные.

1. Идентификационные данные клиента (KYC)

• ФИО, адрес, дата рождения.
• Юрисдикция(и) налогового резидентства.
• Идентификационный номер налогоплательщика (TIN) для каждой юрисдикции.

2. Агрегированные данные о транзакциях (за отчётный период)

Данные агрегируются по типу криптоактива и типу транзакции:

• Приобретение (acquisition) и отчуждение (disposal) криптоактивов в обмен на фиат.
• Обмен (exchange) одного криптоактива на другой (crypto-to-crypto).
• Переводы (transfers) на кошельки, не связанные с VASP (self-hosted wallets), и переводы от других VASP.

3. Правила оценки (valuation rules)

Это самый сложный аспект. VASP должен задокументировать и последовательно применять свою политику оценки.

Тип актива/операции	Метод оценки	Пример расчёта
Крипто–фиат (crypto-to-fiat)	На основе фактической цены сделки в фиатной валюте.	Продажа 1 BTC за 60 000 EUR. «GrossProceeds» = 60 000 EUR.
Крипто–крипто (crypto-to-crypto)	Двухэтапная конвертация через эталонный фиат (USD/EUR) с использованием надёжного источника данных (API крупной биржи, агрегатор). Рекомендуется использовать VWAP/TWAP за короткий период (1–5 минут) для сглаживания волатильности.	Обмен 1 BTC на 20 ETH. Цена BTC = 60 000 долларов США, цена ETH = 3 000 долларов США. Отчуждение: 1 BTC на сумму 60 000 долларов США. Приобретение: 20 ETH на сумму 60 000 долларов США.
NFT и уникальные токены	На основе цены последней сделки. Если цена не определена, используется цена приобретения или независимая экспертная оценка (в редких случаях).	Покупка NFT за 10 ETH. Цена ETH в момент сделки = 3 000 долларов США. Стоимость приобретения NFT = 30 000 долларов США.
Стейблкоины / обёрнутые токены (wrapped tokens)	Оцениваются по номиналу (1:1 к базовому активу, например, USDC = 1 доллар США), если нет значительного депега (отвязки курса).	Обмен 1 000 USDC на 1 000 EUR. Отчуждение: 1 000 USDC на сумму 1 000 долларов США. Приобретение: фиат на сумму 1 000 EUR.
Стейкинг, аирдропы, фарминг (staking, airdrops, yield farming)	Вознаграждения и аирдропы классифицируются как приобретение по справедливой рыночной стоимости на момент зачисления на счёт клиента.	Получено 0,1 ETH как награда за стейкинг. Цена ETH в момент зачисления = 3 000 долларов США. Приобретение: 0,1 ETH на сумму 300 долларов США.
Возвраты и корректировки	Отражаются путём уменьшения соответствующей агрегированной суммы за отчётный период. Необходимо вести детальный журнал таких операций для аудита.	Клиенту ошибочно начислили 0,1 ETH, затем списали. Операция корректируется и не попадает в итоговый отчёт.

4. Учёт комиссий (gas) и временных меток

• Комиссии: GrossProceeds (валовая выручка) от отчуждения актива указывается до вычета комиссий и газа. Комиссии, уплаченные клиентом, могут быть учтены им самостоятельно при подаче налоговой декларации. Если комиссию платит третья сторона, она не отражается в отчёте клиента.
• Временные метки: все транзакции должны иметь точную временную метку, предпочтительно на основе времени блока (block timestamp) в формате UTC. Это критично для определения справедливой рыночной стоимости в момент операции.

Кто подпадает под действие CARF?

Стандарт применяется к провайдерам услуг виртуальных активов (VASP), которые в качестве бизнеса предоставляют услуги обмена, перевода или хранения криптоактивов.

Алгоритм определения ответственности для DEX и DeFi

CARF нацелен на посредников, обладающих «достаточным контролем». Используйте следующее дерево решений:

1. Контролирует ли ваша команда или DAO ключевые смарт‑контракты через административные ключи, позволяющие изменять или приостанавливать операции?

   • Да: проект, скорее всего, является VASP.

2. Является ли ваш пользовательский интерфейс (UI/frontend) основным средством доступа к протоколу, и можете ли вы ограничить к нему доступ (например, через геоблокировку)?

   • Да: оператор интерфейса является VASP. Пример: фронтенд Uniswap под управлением Uniswap Labs.

3. Собирает ли ваш проект комиссии (take‑rate) на централизованные кошельки, контролируемые командой/DAO?

   • Да: высокая вероятность классификации как VASP.

Вывод: если ответ «да» хотя бы на один из этих вопросов, проект с большой долей вероятности будет признан VASP.

Практический план внедрения для VASP

Детальный график (timeline)

Период	Ключевые задачи	Ответственные	Критерии готовности (Definition of Done)
Q3–Q4 2024	Инициация и планирование	CCO, CTO, CEO	Рабочая группа сформирована. Проведён gap‑анализ. Выбрано решение (SaaS/in‑house). Бюджет на 2025 год утверждён.
Q1–Q2 2025	Разработка и интеграция	CTO, DPO, Legal	IT‑система интегрирована с модулем отчётности. Юридические документы (политика, соглашение) обновлены. Проведён DPIA.
Q3–Q4 2025	Тестирование и подготовка	CTO, CCO	Проведено UAT (включая сложные сценарии). Персонал обучен. Клиенты уведомлены об изменении политики конфиденциальности.
Q1 2026	Запуск сбора данных	CTO, CCO	Сбор данных начат 1 января. Система мониторинга качества данных (дашборды) запущена и работает корректно.
Q1–Q2 2027	Генерация и подача отчёта	CCO	Отчёт сгенерирован, прошёл валидацию по XSD‑схеме и успешно подан в налоговый орган до дедлайна.

Управление данными: безопасность и правовые основания

1. Поток данных и зоны ответственности

Роли и обязанности должны быть чётко определены на каждом этапе жизненного цикла данных.

Этап	Ответственная роль	Ключевые действия	SLA / контроль
Сбор данных	CTO / инженеры	Интеграция с KYC‑системами и базами транзакций.	ETL‑процессы работают без сбоев >99,9 % времени.
Валидация и очистка	CCO / аналитик данных	Проверка полноты KYC (TIN), корректности форматов.	Уровень ошибок данных <0,1 %.
Агрегация и оценка	CTO / CCO	Применение утверждённой политики оценки.	Расчёты проходят внутренний аудит; расхождения <0,01 %.
Хранение и шифрование	CISO / DevOps	Шифрование в покое (AES‑256) и при передаче (TLS 1.3). Управление ключами (HSM).	Ежеквартальный аудит доступа. Ротация ключей по графику.
Генерация и отправка	CCO / Legal	Генерация XML‑отчёта, подписание, передача по защищённому каналу.	Отчёт подан вовремя. Получено подтверждение от регулятора.

2. Правовые основания для трансграничной передачи данных (в контексте GDPR)

Передача данных налоговым органам за пределы ЕС/ЕЭЗ требует надёжных правовых оснований. Статья 6(1)(c) GDPR (выполнение юридического обязательства) является основным основанием, но не всегда достаточным.

• Потребность в локальной юридической экспертизе: требования могут варьироваться в зависимости от юрисдикции VASP и клиента. Конфликты правовых оснований должны быть разрешены до начала передачи.
• Оценка адекватности: если данные передаются в страну, не признанную ЕС как обеспечивающую адекватный уровень защиты, требуются дополнительные меры.
• Механизмы легальной передачи:
  • Решение об адекватности (Adequacy Decision): для таких стран, как Великобритания, Швейцария.
  • Стандартные договорные условия (Standard Contractual Clauses, SCCs): требуются при передаче в юрисдикции без решения об адекватности. VASP обязан провести оценку влияния передачи (TIA).
  • Международные соглашения (CARF/DAC8): могут служить правовой основой, но не отменяют общих принципов GDPR. VASP обязан провести оценку воздействия на защиту данных (DPIA) для документирования рисков (см. чек‑лист в Приложении 2).

3. Политика хранения и удаления данных

• Срок хранения: данные должны храниться в течение срока, установленного налоговым и AML‑законодательством (обычно 7–10 лет после прекращения отношений с клиентом) для целей аудита.
• Безопасное удаление: по истечении срока хранения данные должны быть безвозвратно удалены с использованием криптографического стирания или физического уничтожения носителей.
• Логирование: все операции доступа, изменения и удаления данных CARF должны фиксироваться в неизменяемых логах (WORM‑логи) для аудита.

Тестирование и взаимодействие с налоговыми органами

1. Внутреннее тестирование (UAT): проверка корректности сбора, логики агрегации и генерации XML‑файла на соответствие актуальной **OECD XSD (v1.0)**⁴ (см. примеры тест‑кейсов в Приложении 1).
2. Интеграционное тестирование: налоговые органы предоставят тестовые среды (песочницы) для отладки процесса подачи. Доступ к тестовым эндпоинтам необходимо запросить заранее.
3. End-to-end‑тестирование: проведение полного цикла — от генерации отчёта до успешной загрузки и валидации на стороне регулятора.

KPI для мониторинга соответствия

KPI	Цель	Методология измерения
Полнота данных KYC для CARF	>99,8 %	Доля клиентов с валидным TIN и полным адресом (CRM/KYC‑система; еженедельно).
Показатель качества данных	<0,05 % ошибок	Доля записей, не прошедших внутреннюю XML‑валидацию (система отчётности; ежемесячно).
Готовность к отчётности	100 % к Q4 2026	Доля выполненных задач из внутреннего плана комплаенса (трекер проекта; ежеквартально).
SLA по запросам регулятора	<48 часов	Среднее время от получения запроса до отправки ответа (тикет‑система; по факту возникновения).

Заключение: план действий на 90 дней

Внедрение CARF требует немедленных действий.

1. Назначьте лидера: выделите владельца проекта (project owner) с полномочиями координировать CCO, CTO, юридический отдел и DPO.
2. Начните gap‑анализ: проведите аудит IT‑архитектуры и процессов KYC для выявления пробелов. Оцените, достаточно ли SaaS‑решения или требуется собственная разработка.
3. Сформируйте бюджет на 2025 год: заложите расходы на софт, внешних юридических и налоговых консультантов, а также потенциальное расширение штата.
4. Начните обновление правовой базы: проконсультируйтесь с юристами для подготовки DPIA и обновления пользовательского соглашения и политики конфиденциальности.

---

Глоссарий

• CARF (Crypto-Asset Reporting Framework): стандарт ОЭСР для отчётности о криптоактивах.
• CRS (Common Reporting Standard): единый стандарт отчётности ОЭСР для финансовых счетов.
• DAC8 (Directive on Administrative Cooperation): восьмая версия директивы ЕС, внедряющая CARF.
• DPIA (Data Protection Impact Assessment): оценка воздействия на защиту данных.
• TIA (Transfer Impact Assessment): оценка влияния передачи данных.
• VASP (Virtual Asset Service Provider): провайдер услуг виртуальных активов.
• VWAP (Volume-Weighted Average Price): средневзвешенная по объёму цена.

Источники и полезные ссылки

Дата верификации источников: октябрь 2024 г.

1. OECD (ноябрь 2023), Joint Statement on the Crypto-Asset Reporting Framework.
2. Council of the EU (октябрь 2023), Council Directive (EU) 2023/2226 (DAC8).
3. OFAC (февраль 2024), OFAC Settles with CoinList Markets, Inc. for $1,207,830.
4. OECD (октябрь 2023), Crypto-Asset Reporting Framework XML Schema (Version 1.0) and User Guide. Доступно на: OECD.org

---

Приложение 1: технические спецификации и тест-кейсы

• Формат: XML. Схема: CARF XML Schema v1.0.
• Обработка пограничных случаев (edge cases):
  • Корректировка данных: ошибочные отчёты должны исправляться путём подачи корректирующего отчёта с указанием DocRefId оригинального документа.
  • Дублирование отчётности: если в одной транзакции участвуют несколько VASP, каждый отчитывается за свою часть. Внедрите механизмы сверки (reconciliation) во избежание расхождений.

Пример фрагмента XML для свопа crypto-to-crypto

Обмен 1 BTC на 20 ETH. Отчёт отражает это как два события: отчуждение BTC и приобретение ETH.

<CarfBody>
  <Transaction>
    <AssetType>BTC</AssetType>
    <GrossProceeds>60000.00</GrossProceeds>
    <Quantity>1.00000000</Quantity>
  </Transaction>
  <Transaction>
    <AssetType>ETH</AssetType>
    <GrossAmountPaid>60000.00</GrossAmountPaid>
    <Quantity>20.00000000</Quantity>
  </Transaction>
</CarfBody>

Примеры тест-кейсов для UAT

Сценарий	Ожидаемый результат	Что проверяется
Простой своп (BTC → ETH)	В XML‑отчёте созданы две записи: TotalDisposals для BTC и TotalAcquisitions для ETH с идентичными суммами GrossProceeds / GrossAmountPaid.	Логика оценки, корректная обработка двусторонних сделок.
Добавление ликвидности в пул (ETH/USDC)	Созданы две записи TotalDisposals (для ETH и USDC) и одна запись TotalAcquisitions для LP‑токена.	Обработка DeFi‑операций, оценка LP‑токенов.
Возврат средств клиенту	Агрегированные суммы TotalDisposals или TotalAcquisitions за период корректно уменьшены. В отчёте нет отрицательных значений.	Логика корректировок и агрегации.
Клиент без TIN (ИНН)	Запись помечена как неполная, инициирован процесс запроса TIN у клиента. Запись не попадает в финальный отчёт без TIN.	Валидация данных на уровне ETL, комплаенс‑процессы.

Приложение 2: шаблоны и чек-листы

Образцы, требуют адаптации к вашей юрисдикции и консультации с юристом.

1. Шаблон пункта пользовательского соглашения

11. Сбор и передача данных в соответствии с CARF/DAC8
11.1. В соответствии с международным стандартом отчётности о криптоактивах (CARF) и применимым законодательством мы обязаны собирать и ежегодно передавать информацию о вашей личности и транзакциях в налоговые органы. Правовым основанием для такой обработки является соблюдение нами юридического обязательства (например, ст. 6(1)(c) GDPR).
11.2. Передаваемая информация включает ваши персональные данные (ФИО, адрес, ИНН) и агрегированные данные о транзакциях. В случаях, предусмотренных законом, ваши данные могут быть переданы налоговым органам за пределами вашей юрисдикции. Мы применяем все необходимые юридические и технические меры для защиты ваших данных при таких передачах.

2. Краткий чек-лист DPIA/TIA

1. Описание передачи: какие данные передаются? Кому (в какую страну)? С какой целью?
2. Правовое основание: определено ли основание согласно GDPR (ст. 6) и механизм передачи (ст. 44–50), например, решение об адекватности или SCCs?
3. Оценка законодательства страны-получателя: может ли законодательство (например, законы о слежке) помешать получателю данных соблюдать обязательства по SCC?
4. Дополнительные меры: требуются ли дополнительные технические (например, сквозное шифрование) или организационные меры для защиты данных?
5. Оценка необходимости и пропорциональности: является ли передача необходимой для достижения цели? Минимизирован ли объём передаваемых данных?
6. Риски для субъектов данных: каковы потенциальные риски для клиентов в случае несанкционированного доступа или неправомерного использования их данных?
7. Итоговое решение: задокументированное решение о допустимости передачи с учётом всех факторов.