Назад к списку
CLARITY Act: требования к безопасности блокчейн
Законопроект H.R. 4763 «Financial Innovation and Technology for the 21st Century Act» (FIT21), принятый Палатой представителей 22 мая 2024 года, сигнализирует о неизбежном ужесточении регулирования. Независимо от его финальной версии, регуляторы (SEC, CFTC, FinCEN) уже сейчас усиливают правоприменительную практику. Игнорирование этих трендов создает прямые юридические и финансовые риски.
Ключевые шаги на ближайшее время
- Провести оценку рисков: Определить, подпадает ли ваша деятельность под юрисдикцию США, и оценить текущий уровень соответствия требованиям AML/CFT.
- Внедрить базовый скрининг: Немедленно интегрировать инструменты для проверки адресов по санкционным спискам (OFAC SDN List) на уровне фронтенда и бэкенда.
- Разработать ключевые политики: Создать и утвердить базовые версии политики противодействия отмыванию денег (AML Policy) и пользовательского соглашения (Terms of Service) с указанием юрисдикционных ограничений.
- Назначить ответственного: Официально назначить сотрудника, ответственного за комплаенс (офицера по комплаенсу, Compliance Officer), даже если он совмещает роли.
- Проанализировать степень централизации (для DeFi): Оценить наличие административных ключей, контроля над фронтендом и механизмов получения дохода, чтобы понять потенциальные векторы ответственности.
1. Законопроект FIT21: статус и ключевые положения
Текущий статус (на октябрь 2024 г.): законопроект принят Палатой представителей и направлен в Сенат. Его утверждение не гарантировано и может затянуться из-за политических дебатов. Однако его положения уже де-факто отражают позицию регуляторов.
Ключевые положения:
- Разграничение юрисдикции SEC и CFTC: FIT21 вводит критерии для классификации активов как «цифровых товаров» (CFTC) или ценных бумаг (SEC). Главный критерий — уровень децентрализации.
- Обязательства по AML/KYC: биржи, кастодианы и брокеры обязаны внедрять полноценные AML-программы: идентификацию клиентов (KYC), мониторинг транзакций и подачу отчетов о подозрительной активности (SAR).
- Санкции и штрафы: нарушения с ценными бумагами регулируются Законом 1934 года, а манипуляции на товарном рынке — Законом о товарных биржах.
Разграничение полномочий SEC и CFTC
| Критерий | SEC (Комиссия по ценным бумагам) | CFTC (Комиссия по товарным фьючерсам) |
|---|---|---|
| Тип актива | Цифровые активы — ценные бумаги (ожидание прибыли от усилий третьих лиц). | Цифровые активы — товары (commodities), достигшие децентрализации. |
| Степень децентрализации | Низкая. Проект контролируется лицом или группой, владеющей >20% токенов или голосов¹. | Высокая. Ни одно лицо или связанная группа не контролирует проект; код открыт. |
| Примеры продуктов | Токены, обладающие признаками ценных бумаг (security-токены), инвестиционные контракты, токены на ранней стадии. | Bitcoin (BTC), Ethereum (ETH) и иные децентрализованные криптовалюты. |
¹ Критерий владения >20% токенов прямо указан в определении «децентрализованной системы» в Разделе 2(a)(7) законопроекта FIT21.
Методика оценки уровня децентрализации
Количественные критерии:
- Распределение токенов: концентрация >20% у основателей/инвесторов — признак централизации.
- Активность управления: число независимых участников голосований.
- Контроль над кодом: доля коммитов от независимых разработчиков.
Качественные критерии:
- Открытость кода: верифицированный исходный код в открытом доступе.
- Управление: работающая система DAO (on-chain или off-chain).
- Зависимость от центрального субъекта: наличие компании, обеспечивающей хостинг/маркетинг и получающей основной доход.
Пример: проект Y имеет 30% токенов у команды и 25% у фонда. Обновления кода вносит только команда.
Вывод: высокая централизация → классификация как ценная бумага (SEC).
2. Ответственность участников рынка: от CEX до DeFi
Централизованные биржи (CEX) и кастодианы
Несут ответственность за полную программу AML/KYC. Штраф биржи Binance ($4,3 млрд) демонстрирует последствия системных нарушений.
DeFi-проекты
Разработчики могут нести ответственность при наличии контроля или содействия незаконной деятельности.
Факторы риска:
- Централизованное управление: admin keys или мультиподписи, контролирующие логику контрактов или средства.
- Инфраструктура: контроль над фронтендом, доменом или API.
- Бизнес-модель: комиссионный доход поступает команде разработчиков.
- Маркетинг: активное привлечение пользователей из США.
Юридические прецеденты:
- OFAC vs. Tornado Cash (2022): разработка и поддержка кода для анонимизации транзакций может привести к санкциям.
- CFTC vs. Ooki DAO (2022): ответственность возложена на участников DAO с правом голоса как на членов «неинкорпорированной ассоциации».
Рекомендации для DeFi
- Отказы от ответственности (disclaimers): четкие предупреждения в пользовательском соглашении (ToS) и файле README об ограничениях для санкционных юрисдикций.
- Дорожная карта децентрализации (Decentralization Roadmap): публичный план передачи контроля DAO.
- Отказ от административных ключей (Renouncing Admin Keys): сжигание ключей или передача их time-lock-контракту/DAO после завершения разработки.
3. Практический план внедрения комплаенса
| Задача | Приоритет | Ответственный |
|---|---|---|
| Этап 1: Минимально жизнеспособный комплаенс (MVC) | ||
| 1.1. Назначить ответственного по комплаенсу (CCO). | Высокий | CEO |
| 1.2. Утвердить базовую политику AML (AML Policy). | Высокий | CCO, юрист |
| 1.3. Обновить пользовательское соглашение (ToS, гео-блокада). | Высокий | Юрист |
| 1.4. Интегрировать скрининг кошельков по спискам OFAC. | Высокий | CTO, CCO |
| Этап 2: Комплексная система (первый год) | ||
| 2.1. Интегрировать KYC-провайдера. | Высокий | CTO, CCO |
| 2.2. Внедрить мониторинг транзакций (Chainalysis и др.). | Высокий | CTO, CCO |
| 2.3. Настроить процесс расследования инцидентов. | Средний | CCO |
| Этап 3: Продвинутые меры (постоянно) | ||
| 3.1. Автоматизировать подачу отчетов SAR (для CEX). | Высокий | CCO |
| 3.2. Организовать независимый аудит AML-программы. | Средний | CEO, CCO |
| 3.3. Реализовать дорожную карту децентрализации. | Долгосрочный | CEO, CTO |
Бюджеты (для проекта с 10–50 тыс. пользователей):
- Этап 1 (MVC): $15 000–$35 000.
- Этап 2 (система): $50 000–$200 000+ в год.
- Аудит: $20 000–$50 000 за проверку.
4. Шаблоны и технические стандарты
Структура AML Policy
- Введение и роль CCO.
- CIP/KYC: сбор данных, верификация, оценка рисков.
- Мониторинг: «красные флаги», скрининг (OFAC, ООН, ЕС).
- Отчетность: подача отчетов о подозрительной активности (SAR).
- Хранение записей: сроки и форматы.
Аудит смарт-контрактов
- Статический анализ (Slither, Mythril).
- Тесты на уязвимости (reentrancy, overflow, access control, oracle manipulation).
- Проверка соответствия стандартам (ERC‑20/721).
Безопасность ключей (технические стандарты)
- HSM: использование аппаратных модулей уровня FIPS 140-2 Level 3 или выше.
- Multi-sig: схемы m-of-n (например, 3-из-5).
- Логирование: хранение логов операций с ключами не менее 5 лет (требование FinCEN).
Ключевые выводы
- CEX: стройте AML-программу по аналогии с банком. Лицензирование неизбежно.
- DeFi: минимизируйте ответственность через реальную децентрализацию и технические ограничения для санкционных лиц.
- Стартапы: внедряйте «compliance-by-design» (скрининг + политики) с первого дня.
Полезные ссылки
Теги
fit21 act
blockchain compliance
crypto aml requirements
defi regulation
us crypto regulation