KYC/AML krypto firmy

Posted on by Natália Šimková
KYC/AML krypto firmy

Kryptomenové firmy

Krypto firmy dnes fungujú v prostredí, kde je nutné skombinovať inovatívne on-chain technológie s pravidlami prevencie prania špinavých peňazí a financovania terorizmu (AML/CFT) a s identifikáciou klientov (KYC/KYB). Cieľom tohto článku je zhrnúť minimum, ktoré treba chápať: pojmy, povinnosti, architektúru procesu, metriky, špecifiká pre krypto, časté riziká a praktické odporúčania na zavedenie programu v malých aj väčších VASP (Virtual Asset Service Providers).

Základné pojmy a rámce

  • KYC (Know Your Customer): overenie identity fyzickej osoby; pri firmách KYB (Know Your Business) vrátane beneficial owners.
  • AML/CFT program: súbor politík, procesov a kontrol pre prevenciu a detekciu nelegálnych tokov (AML) a financovania terorizmu (CFT).
  • Risk-based approach (RBA): opatrenia sa škálujú podľa rizika produktu, klienta, geografie a kanála.
  • Travel Rule: povinnosť prenášať základné KYC údaje spolu s presunom kryptoaktív medzi regulovanými VASP.
  • Sankčný screening: kontrola voči sankčným listinám (štátne a medzinárodné zoznamy), PEP a ďalšie watchlisty.

Riziková taxonómia pre krypto firmy

  • Klientské riziko: rezidencia, PEP status, biznis model, história transakcií, typ peňaženky (custodial vs. self-hosted).
  • Geografické riziko: vysoko rizikové jurisdikcie, medzinárodné sankcie, obmedzené dohľadové kapacity.
  • Produktové riziko: anonymizačné nástroje (mixéry, coinjoin), vysoká páka, NFT s nízkou likviditou, privacy coiny, cross-chain swapy.
  • Kanálové riziko: neregulované mosty/DEX, off-ramp bez robustného KYC, P2P bez verifikácie.
  • Proti-stranové riziko: iný VASP s nízkou úrovňou compliance, slabé API pre Travel Rule, chýbajúce sankčné kontroly.

Architektúra AML/KYC programu

  1. Governance: menovanie MLRO (odpovedná osoba), jasné mandáty, reporting boardu, nezávislý audit.
  2. Politiky a postupy: dokumentované pravidlá (Customer Acceptance Policy, Due Diligence, EDD, SDD, Transakčné monitorovanie, SAR/STR postupy, Record keeping, Incident response).
  3. Risk assessment: podnikovú a produktovú risk assessment aktualizovať minimálne ročne alebo pri zásadnej zmene.
  4. Kontrolné vrstvy: prvá línia (operatíva/onboarding), druhá línia (compliance/monitoring), tretia línia (interný audit).

KYC/KYB: minimálne požiadavky pri onboardingu

  • Fyzické osoby: zber identifikačných údajov, overenie dokladu (MRZ, NFC/čip), liveness a selfie-match, kontrola voči sankciám a PEP, dôkaz adresy podľa rizika.
  • Právnické osoby (KYB): názov, IČO/registrácia, sídlo, účel podnikania, vlastnícka štruktúra, UBO overenie, oprávnené osoby, výpis z registra, prípadne finančné výkazy.
  • Riziková segmentácia: scoring klienta (low/medium/high) podľa geografie, PEP, povolania/odvetvia, očakávaného správania.
  • Ongoing KYC: periodická reverifikácia a event-driven refresh pri zmenách rizika alebo správania.

Enhanced Due Diligence (EDD) a kedy ju spustiť

  • Triggery EDD: PEP/close associates, high-risk krajiny, komplexné vlastnícke štruktúry, veľké objemy, nezrovnalosti v dokladoch, negatívne médiá.
  • Obsah EDD: detailný zdroj majetku a príjmu (SoW/SoF), dodatočné dokumenty, zvýšené limity schvaľovania, častejšie monitoring review.
  • Výstup EDD: go/no-go rozhodnutie, dokumentovaný dôvod, nastavené limity a kontrolné mechanizmy.

Sankčný, PEP a adverse media screening

  • Timing: pri onboardingu, pred sprístupnením služieb a priebežne (denné/real-time synchronizácie).
  • Technika: fuzzy matching, transliterácia, aliasy; proces na redukciu false positives a false negatives.
  • Operatíva: playbook na eskalácie, tiered schvaľovanie, stop-listy, prípadne geofencing pre vybrané krajiny.

Travel Rule: minimum pre interoperabilitu

  • Dáta odosielateľa a príjemcu: minimálny súbor identifikačných údajov podľa prahu a jurisdikcie; mapovanie na IVMS 101 dátový model.
  • Routing: zistenie, či je protistrana VASP; ak nie, postup pre self-hosted peňaženky (rizikové otázky, proof-of-ownership podľa rizika).
  • Protokoly: interoperabilita so sieťami pre Travel Rule (napr. certifikované ekosystémy) a logovanie odoslania/prijatia dát.

Transakčné monitorovanie so zameraním na on-chain

  • Typológie: peel chains, chain-hopping, interakcie s mixérmi, dusting, využitie low-liquidity NFT, wash trading, structuring, rýchle in-out.
  • Pravidlá a modely: kombinácia deterministických pravidiel (blacklist, risk score prichádzajúcich UTXO/adresy) a štatistických/ML modelov s vysvetliteľnosťou.
  • Kontext: prepojenie on-chain dát s KYC profilom, históriou a behavioral signálmi (čas, objem, protokol, chain).
  • Eskalácie: tiering alertov (Low/Med/High), case management, investigation notes, disposition (podozrivé/nepodozrivé), QA sampling.

SAR/STR: podozrivé transakcie a reportovanie

  • Kritériá: rozumné podozrenie na pranie, obchádzanie sankcií, financovanie terorizmu, alebo nejasný zdroj majetku.
  • Obsah reportu: fakty bez hodnotových súdov, časová os, dôkazy (hashy, adresy, TXID, komunikácia s klientom), prijaté opatrenia.
  • Interné kroky: dočasná blokácia, zmrazenie, enhanced monitoring, prípadne exit klienta podľa politiky.

Data governance, GDPR a retencia

  • Minimalizácia dát: zbierať len nevyhnutné údaje; jasné účely a právne základy spracovania.
  • Bezpečnosť: šifrovanie v pokoji aj prenose, segregácia prístupov, auditné logy, testy odolnosti.
  • Retenčné lehoty: uchovávať KYC/AML dáta minimálne podľa lokálnej legislatívy; data disposal po uplynutí lehoty.
  • Práva dotknutých osôb: prístup, oprava, obmedzenie; výnimky pri AML povinnostiach primerane vysvetliť.

Špecifiká pre self-hosted peňaženky a DeFi

  • Self-hosted adresy: dokazovanie vlastníctva (sign message/micro-TX), rizikové otázky podľa use-case, limity a cool-down pri prvých výberoch.
  • DeFi interakcie: whitelisting protokolov, allowance limity, monitoring interakcií s high-risk kontraktmi, MEV-aware spracovanie.
  • Bridges a cross-chain: preferovať auditované mosty, rozlišovať native vs. wrapped aktíva, trackovanie origin chainu.

Vendor manažment a build vs. buy

  • KYC poskytovatelia: kvalita dokumentovej forenziky, liveness, pokrytie krajín, SLA, fallback procesy.
  • On-chain analytika: pokrytie chainov, metodika atribúcií, rýchlosť aktualizácií, transparentnosť risk score.
  • Travel Rule siete: interoperabilita, podiel pripojených VASP, privacy-preserving mechaniky, message retention.
  • Due diligence: bezpečnostné a compliance certifikácie, penetračné testy, právne klauzuly o zodpovednosti.

Procesná mapa od registrácie po výber

  1. Registrácia účtu: e-mail/telefón, súhlas s podmienkami, základný risk pre-screen podľa geografie/IP.
  2. KYC/KYB: overenie identity a sankcií, PEP a adverse media; výsledkom je riziková trieda a limity.
  3. Funding/on-ramp: kontrola pôvodu prostriedkov, monitoring prvých transakcií (warm-up pravidlá).
  4. Bežné používanie: priebežný monitoring, Travel Rule výmeny údajov, case management alertov.
  5. Výbery/off-ramp: proof-of-ownership podľa rizika, overenie protistrany, cool-off alebo manual review pri anomáliách.

Kontrolné zoznamy (checklisty) pre prax

  • Onboarding checklist: doklad + liveness, sankcie/PEP, rizikový scoring, SoW/SoF (ak EDD), akceptačné rozhodnutie, limity.
  • Monitoring checklist: pravidlá + ML, kalibrácia prahov, QA vzorkovanie, model drift kontrola, post-alert spätná väzba.
  • SAR/STR checklist: definované red flags, zodpovednosti, časové lehoty, kvalita naratívu, evidencia a lessons learned.
  • Incident response: scenáre pre sankčné zásahy, hack/vidlicu chainu, kompromitáciu účtov, koordinácia s orgánmi.

Metriky, KPI a riadenie výkonnosti

  • Onboarding kvalita: pass rate, false reject, priemerný čas verifikácie, počet manual reviews.
  • Monitoring účinnosť: pomer true positive / false positive, čas uzavretia prípadu, počet repeat alerts.
  • Rizikové metriky: objem z high-risk zdrojov, podiel interakcií s risk kontraktmi, de-risked klienti.
  • Programová zrelosť: pravidelné školenia, auditné nálezy a ich uzatváranie, frekvencia aktualizácie politík.

Najčastejšie chyby a ako sa im vyhnúť

  • „Kopíruj-vložené“ politiky: bez prepojenia na reálne riziká produktu; riešenie: vlastná risk assessment a use-case mapy.
  • Len formálny Travel Rule: odoslanie dát bez overenia VASP protistrany; riešenie: trust framework a testovanie spojení.
  • Ignorovanie self-hosted rizík: chýba proof-of-ownership a limity; riešenie: stupňovitý prístup podľa objemu a histórie.
  • Model bez vysvetliteľnosti: ML alerty bez explainability; riešenie: features, reason codes, human-in-the-loop.
  • Nedostatočná evidenca: slabé logy rozhodnutí; riešenie: case management so štandardizovanými disposition codes.

Praktická tabuľka rizík a mitigácií

Riziko Indikátory Mitigácie
Sankčné obchádzanie Interakcie s označenými adresami, chain-hopping Real-time screening, blokácie, SAR, spolupráca s orgánmi
Mixéry/anon nástroje Príjem z mixer poolov, časovanie v dávkach Pravidlá/ML, manuálny review, limity, EDD
Fraud/krádež Nové zariadenie/IP, zmena 2FA, rýchly výber Cool-off, step-up KYC, behaviorálne modely
Falošné dokumenty Nekonzistentné MRZ, neplatný formát Forenzika, NFC/čip, manuálna kontrola
High-risk VASP protistrana Nízka Travel Rule odozva Whitelist/blacklist VASP, limity, dodatočné otázky

Školenia a kultúra compliance

  • Onboarding školenia: všetci noví zamestnanci, nie len AML tím.
  • Pravidelné refresh školenia: typológie, nové techniky obchádzania, table-top cvičenia incidentov.
  • Motivačné prvky: KPI pre kvalitu prípadov, peer review, interné „red team“ testy.

Implementačná mapa pre startup (0–6 mesiacov)

  1. M1–M2: risk assessment, draft politík, výber KYC a on-chain vendora, Travel Rule riešenie, definovanie MLRO.
  2. M3–M4: integrácia KYC/Travel Rule, základné monitorovacie pravidlá, case management, školenia.
  3. M5–M6: EDD playbook, ML/behaviorálne modely (ak dáta), audit pripravenosti, prvý interný QA review.

„Minimum, ktoré treba chápať“ v KYC/AML pre krypto firmy je kombináciou správnej architektúry procesu, risk-based prístupu, robustného on-chain monitoringu a disciplinovaného vendor manažmentu. Neexistuje univerzálne nastavenie – program musí zodpovedať rizikám vášho produktu a klientely. Ak postavíte jasné politiky, merateľné KPI, kvalitné nástroje a kultúru, v ktorej je compliance partnerom biznisu, dokážete škálovať inováciu aj dôveru trhu.

Related Posts

Korigovaný koeficient determinácie

Korigovaný koeficient determinácie v ekonometrii Korigovaný koeficient determinácie (Adjusted R Square) je dôležitým kritériom v oblasti ekonometrie, ktoré sa používa na porovnávanie rôznych ekonometrických modelov […]

Kill plan

Kill plan

Kill plan stanoví prahy a exit kritériá; šetrí zdroje a vyžaduje jasnú komunikáciu a post-mortem.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *