CLARITY Act: требования к безопасности блокчейн
Законопроект H.R. 4763 «Financial Innovation and Technology for the 21st Century Act» (FIT21), принятый Палатой представителей 22 мая 2024 года, сигнализирует о неизбежном ужесточении регулирования. Независимо от его финальной версии, регуляторы (SEC, CFTC, FinCEN) уже сейчас усиливают правоприменительную практику. Игнорирование этих трендов создает прямые юридические и финансовые риски.
Ключевые шаги на ближайшее время
Провести оценку рисков: Определить, подпадает ли ваша деятельность под юрисдикцию США, и оценить текущий уровень соответствия требованиям AML/CFT.
Внедрить базовый скрининг: Немедленно интегрировать инструменты для проверки адресов по санкционным спискам (OFAC SDN List) на уровне фронтенда и бэкенда.
Разработать ключевые политики: Создать и утвердить базовые версии политики противодействия отмыванию денег (AML Policy) и пользовательского соглашения (Terms of Service) с указанием юрисдикционных ограничений.
Назначить ответственного: Официально назначить сотрудника, ответственного за комплаенс (офицера по комплаенсу, Compliance Officer), даже если он совмещает роли.
Проанализировать степень централизации (для DeFi): Оценить наличие административных ключей, контроля над фронтендом и механизмов получения дохода, чтобы понять потенциальные векторы ответственности.
1. Законопроект FIT21: статус и ключевые положения
Текущий статус (на октябрь 2024 г.): законопроект принят Палатой представителей и направлен в Сенат. Его утверждение не гарантировано и может затянуться из-за политических дебатов. Однако его положения уже де-факто отражают позицию регуляторов.
Ключевые положения:
Разграничение юрисдикции SEC и CFTC: FIT21 вводит критерии для классификации активов как «цифровых товаров» (CFTC) или ценных бумаг (SEC). Главный критерий — уровень децентрализации.
Обязательства по AML/KYC: биржи, кастодианы и брокеры обязаны внедрять полноценные AML-программы: идентификацию клиентов (KYC), мониторинг транзакций и подачу отчетов о подозрительной активности (SAR).
Санкции и штрафы: нарушения с ценными бумагами регулируются Законом 1934 года, а манипуляции на товарном рынке — Законом о товарных биржах.
Разграничение полномочий SEC и CFTC
¹ Критерий владения >20% токенов прямо указан в определении «децентрализованной системы» в Разделе 2(a)(7) законопроекта FIT21.
Методика оценки уровня децентрализации
Количественные критерии:
Распределение токенов: концентрация >20% у основателей/инвесторов — признак централизации.
Активность управления: число независимых участников голосований.
Контроль над кодом: доля коммитов от независимых разработчиков.
Качественные критерии:
Открытость кода: верифицированный исходный код в открытом доступе.
Управление: работающая система DAO (on-chain или off-chain).
Зависимость от центрального субъекта: наличие компании, обеспечивающей хостинг/маркетинг и получающей основной доход.
p>Пример: проект Y имеет 30% токенов у команды и 25% у фонда. Обновления кода вносит только команда.
Вывод: высокая централизация → классификация как ценная бумага (SEC)./p>
2. Ответственность участников рынка: от CEX до DeFi
Централизованные биржи (CEX) и кастодианы
Несут ответственность за полную программу AML/KYC. Штраф биржи Binance ($4,3 млрд) демонстрирует последствия системных нарушений.
DeFi-проекты
Разработчики могут нести ответственность при наличии контроля или содействия незаконной деятельности.
Факторы риска:
Централизованное управление: admin keys или мультиподписи, контролирующие логику контрактов или средства.
Инфраструктура: контроль над фронтендом, доменом или API.
Бизнес-модель: комиссионный доход поступает команде разработчиков.
Маркетинг: активное привлечение пользователей из США.
Юридические прецеденты:
OFAC vs. Tornado Cash (2022): разработка и поддержка кода для анонимизации транзакций может привести к санкциям.
CFTC vs. Ooki DAO (2022): ответственность возложена на участников DAO с правом голоса как на членов «неинкорпорированной ассоциации».
Рекомендации для DeFi
Отказы от ответственности (disclaimers): четкие предупреждения в пользовательском соглашении (ToS) и файле README об ограничениях для санкционных юрисдикций.
Дорожная карта децентрализации (Decentralization Roadmap): публичный план передачи контроля DAO.
Отказ от административных ключей (Renouncing Admin Keys): сжигание ключей или передача их time-lock-контракту/DAO после завершения разработки.
3. Практический план внедрения комплаенса
Бюджеты (для проекта с 10–50 тыс. пользователей):
Этап 1 (MVC): $15 000–$35 000.
Этап 2 (система): $50 000–$200 000+ в год.
Аудит: $20 000–$50 000 за проверку.
4. Шаблоны и технические стандарты
Структура AML Policy
Введение и роль CCO.
CIP/KYC: сбор данных, верификация, оценка рисков.
Мониторинг: «красные флаги», скрининг (OFAC, ООН, ЕС).
Отчетность: подача отчетов о подозрительной активности (SAR).
Хранение записей: сроки и форматы.
Аудит смарт-контрактов
Статический анализ (Slither, Mythril).
Тесты на уязвимости (reentrancy, overflow, access control, oracle manipulation).
Проверка соответствия стандартам (ERC‑20/721).
Безопасность ключей (технические стандарты)
HSM: использование аппаратных модулей уровня FIPS 140-2 Level 3 или выше.
Multi-sig: схемы m-of-n (например, 3-из-5).
Логирование: хранение логов операций с ключами не менее 5 лет (требование FinCEN).
Ключевые выводы
CEX: стройте AML-программу по аналогии с банком. Лицензирование неизбежно.
DeFi: минимизируйте ответственность через реальную децентрализацию и технические ограничения для санкционных лиц.
Стартапы: внедряйте «compliance-by-design» (скрининг + политики) с первого дня.