В кругу людей это известно: соблюдение норм бывает двух видов: одно — для регуляторов, а другое — действительно эффективное. Первое называется «театр соблюдения норм» (Compliance Theater), а второе — это настоящее управление рисками. Печально, но подавляющее большинство организаций, особенно те, которые стремительно развиваются, как финтех-компании, невольно играют в первую категорию.
Что такое «театр соблюдения норм»? Это тщательно построенная сцена, созданная для того, чтобы справиться с проверками, получить лицензии и успокоить инвесторов. На этой сцене правильность процессов важнее всего, а качество отчетов намного важнее, чем выявление рисков. Актеры (специалисты по соблюдению норм) читают заранее написанные реплики (руководство по соблюдению норм) и управляют великолепными реквизитами (дорогими системами), демонстрируя зрителям (регулирующим органам) картину благополучия и процветания. Главное — хорошо сыграть спектакль, получить лицензию и обеспечить финансирование, чтобы все были довольны.
А в этой большой игре самым роскошным, самым дорогим и самым обманчивым реквизитом являются те системы, которые выглядят как работающие круглосуточно 24/7, но на самом деле уже давно потеряли свою сущность и стали мертвыми системами. Особенно это касается системы KYT (Know Your Transaction, Знай свою транзакцию), которая должна быть самым чутким разведчиком на передовой борьбы с отмыванием денег (AML), но часто первой «падает», становясь всего лишь зомби, которое только расходует бюджет и создает ложное чувство безопасности. Она тихо лежит на сервере, зеленый свет мигает, отчеты создаются, все в порядке - пока настоящая бомба не взрывается у нее под носом.
Это и есть самая большая ловушка соответствия. Ты думаешь, что купил самое лучшее оборудование, построил неприступную защиту, но на самом деле ты просто кормишь зомби деньгами и ресурсами. Оно не защитит тебя, а лишь заставит умереть неясно, когда наступит катастрофа.
Итак, возникает вопрос: почему KYT инструменты, в которые мы вложили огромные средства и трудозатраты, иногда становятся мертвым грузом? За этим скрывается окончательная ошибка выбора технологии или полное разрушение управления процессами? Или это неизбежный результат сочетания обоих факторов?
Сегодня мы направим взгляд на финансовые технологии и платежную индустрию, этот «театр соблюдения норм», наиболее популярную сцену, особенно на рынке Юго-Восточной Азии, где регуляторная среда сложна и изменчива, а рост бизнеса стремителен. Здесь разыгрываются настоящие спектакли, а наша задача - приоткрыть занавес и увидеть правду за кулисами.
Первая сцена: Анализ системы зомби — как ваш инструмент KYT «умер»?
Рождение «зомби-системы» не происходит мгновенно. Она не умирает внезапно из-за какого-то колоссального уязвимости или катастрофического сбоя, а, как лягушка, варящаяся в теплой воде, постепенно теряет способность воспринимать, анализировать и реагировать в ходе ежедневной «нормальной работы», в конечном итоге оставаясь лишь оболочкой, поддерживающей жизненные показатели. Этот процесс можно проанализировать с технической и процессуальной точек зрения, чтобы увидеть, как изначально полноценная система KYT шаг за шагом движется к «смерти».
Технический «мозговой смерть»: единичная точка отказа и изоляция данных
Технология является мозгом системы KYT. Когда нейронные соединения мозга разрываются, ввод информации блокируется, а аналитическая модель становится негибкой, система попадает в состояние «мозговой смерти». Она продолжает обрабатывать данные, но уже теряет способность к пониманию и суждению.
Слепая зона восприятия единственного инструмента: смотреть на мир одним глазом
Чрезмерная зависимость от единого инструмента KYT является основной и наиболее распространенной причиной сбоя системы. Это почти общеизвестно в кругу, но в сценарии «театра соблюдения» ради достижения так называемой «авторитетности» и «упрощения управления» этот момент часто выбирается избирательно игнорироваться.
Почему говорят, что единственный инструмент является смертельным? Потому что ни один инструмент не может покрыть все риски. Это похоже на то, как если бы один часовой наблюдал за врагами со всех сторон, у него всегда будут слепые зоны. Недавно лицензированный поставщик цифровых активов в Сингапуре MetaComp выпустил исследовательский отчет, который с помощью тестовых данных раскрыл эту жесткую реальность. Исследование проанализировало более 7000 реальных сделок и обнаружило, что полагание только на один-два инструмента KYT для проверки может привести к тому, что до 25% высокорисковых сделок будут ошибочно пропущены. Это означает, что четверть рисков будет прямо проигнорирована. Это уже не слепая зона, а черная дыра.
Рис. 1: Сравнение «уровня пропусков» (False Clean Rate) под различными комбинациями инструментов KYT
Источник данных: MetaComp Research - Сравнительный анализ On-Chain KYT для AML&CFT, июль 2025 года. График показывает, что при установлении порога риска на уровне «средний высокий риск» максимальная доля пропусков для одного инструмента может достигать 24,55%, для двойной комбинации инструментов - 22,60%, а для тройной комбинации она резко снижается до 0,10%.
Этот огромный риск связан с внутренними недостатками экосистемы инструментов KYT. Каждый инструмент основан на своем собственном эксклюзивном наборе данных и стратегиях сбора разведывательной информации, что приводит к естественным различиям и слепым зонам в нескольких аспектах:
Разнообразие источников данных: некоторые инструменты могут иметь тесные связи с правоохранительными органами США и обеспечивать более сильное покрытие рисковых адресов, связанных с Северной Америкой; другие могут глубоко исследовать азиатский рынок и иметь более актуальную информацию о местных мошеннических сетях. Не существует инструмента, который мог бы одновременно стать королем разведки во всех регионах мира.
Разные инструменты акцентируют внимание на различных типах рисков: некоторые из них хорошо отслеживают адреса, связанные со списком санкций OFAC, в то время как другие лучше справляются с идентификацией смешивающих сервисов (Mixers) или технологий на темных рынках (Darknet). Если выбранный вами инструмент не способен выявить основные типы рисков, с которыми сталкивается ваш бизнес, то он по сути является просто безделушкой.
Обновление задержки и задержки информации: жизненный цикл адресов черного рынка может быть очень коротким. Рискованный адрес, отмеченный одним инструментом сегодня, может быть синхронизирован другим инструментом только через несколько дней или даже недель. Эта временная разница в информации достаточно велика, чтобы позволить отмывателям денег завершить несколько операций.
Таким образом, когда организация полностью полагается на единственный инструмент KYT, она на самом деле играет в азартные игры — ставит на то, что все риски, с которыми она столкнется, окажутся как раз в «познавательной области» этого инструмента.
«Недоедание», вызванное изолированными данными: откуда берется вода для потока?
Если сказать, что единственный инструмент - это узкий взгляд, то острова данных - это полная «недостаточность питания». Система KYT никогда не была изолированной системой; ее эффективность основывается на комплексном понимании контрагентов и торгового поведения. Она требует постоянного поступления «питательных данных» из различных источников, таких как система KYC (Знай своего клиента), система оценки рисков клиентов, бизнес-системы и так далее. Когда эти каналы данных заблокированы или качество самих данных низкое, KYT становится водой без источника, теряя базу для оценки.
В многих быстро развивающихся платежных компаниях такая ситуация не редкость:
Команда KYC отвечает за прием клиентов, их данные хранятся в системе A; команда управления рисками отвечает за мониторинг сделок, их данные находятся в системе B; команда по соблюдению норм отвечает за отчеты по AML, они используют систему C. Три системы принадлежат разным отделам и предоставляются разными поставщиками, между ними практически нет обмена данными в реальном времени. В результате, когда система KYT анализирует одну реальную сделку, основанная на ней оценка риска клиента может быть статической информацией, введенной командой KYC три месяца назад. Этот клиент мог проявить множество высокорисковых действий за эти три месяца, но эта информация застряла в системе B команды управления рисками, и система KYT ничего об этом не знает.
Прямым следствием этой «недостаточности питания» является то, что система KYT не может установить точную базовую линию поведения клиентов (Behavioral Baseline). Одной из ключевых возможностей эффективной системы KYT является выявление «аномалий», то есть отклонений от нормального поведения клиента. Но если система даже не знает, что такое «нормальное» для одного клиента, о каком выявлении «аномалий» можно говорить? В конечном итоге она может лишь деградировать до зависимости от самых примитивных и грубых статических правил, производя множество бесполезных «мусорных предупреждений», приближаясь к статусу «зомби».
Статическое правило «刻舟求剑»: искать новый континент с помощью старой карты
Методы преступников постоянно развиваются: от традиционного «разделения на мелкие части» (Smurfing) до использования DeFi-протоколов для межсетевого отмывания денег, а затем через рынок NFT для фиктивных сделок, их сложность и скрытность растут экспоненциально. Тем не менее, многие «зомби KYT-системы» все еще используют наборы правил, которые остались на уровне нескольких лет назад, словно с устаревшей навигационной картой пытаются найти новый континент, что неизбежно приведет к провалу.
Статические правила, такие как «если одна транзакция превышает 10 000 долларов, то сигнализировать», сегодня для участников черного рынка, по сути, не имеют значения. Они могут легко с помощью автоматизированных скриптов разбивать крупные суммы на сотни тысяч мелких транзакций, идеально обходя такие простые пороги. Настоящая угроза скрыта в сложных поведенческих моделях:
Новая зарегистрированная учетная запись в короткие сроки проводит множество мелких высокочастотных сделок с большим количеством несвязанных контрагентов.
После быстрого поступления средств, они немедленно распределяются через несколько адресов без каких-либо задержек, формируя типичную «Peel Chain».
Торговые пути связаны с высокими рисками смешивания средств, незарегистрированными биржами или адресами из санкционных регионов.
Эти сложные модели невозможно эффективно описать и зафиксировать статическими правилами. Им нужны модели машинного обучения, способные понимать торговые сети, анализировать финансовые потоки и извлекать характеристики рисков из огромных объемов данных. Здоровая система KYT должна иметь динамические, самоэволюционирующие правила и модели. А «зомби-система» как раз утратила эту способность: ее база правил, как только она установлена, редко обновляется, в конечном итоге отставая в гонке вооружений с черным рынком и полностью «мозгово мертва».
Процессный уровень «остановки сердца»: от «раз и навсегда» до «усталости от сигналов тревоги»
Если технический дефект приводит к «мозговой смерти» системы, то разрушение управления процессами непосредственно приводит к «остановке сердца». Даже если система технически очень продвинута, если нет правильного процесса для её управления и реагирования, она всего лишь куча дорогого кода. В «театрe соблюдения норм» ошибки в процессах часто более скрытны и более разрушительны, чем технические ошибки.
Иллюзия «победы с момента выхода на рынок»: рассматривать свадьбу как конечную точку любви
Многие компании, особенно стартапы, придерживаются мышления «проектного подхода» в построении соответствия. Они считают, что закупка и внедрение системы KYT — это проект с ясным началом и концом. Как только система успешно запущена и прошла проверку регуляторов, проект считается успешно завершенным. Это наиболее типичная иллюзия «театра соответствия» — считать свадьбу концом любви, полагая, что с этого момента можно спокойно спать.
Однако жизненный цикл системы KYT начинается лишь с первого дня ее запуска. Это не инструмент, который можно использовать «раз и навсегда», а «живое существо», которое требует постоянного ухода и оптимизации. Это включает в себя:
Непрерывная калибровка параметров: рынок меняется, поведение клиентов меняется, методы отмывания денег меняются. Пороговые значения мониторинга и параметры рисков в системе KYT должны быть соответственно скорректированы. Пороговое значение тревоги в 10 000 долларов, которое год назад казалось разумным, после увеличения объемов бизнеса в десять раз может оказаться совершенно бессмысленным.
Регулярная оптимизация правил: с появлением новых рисков необходимо постоянно разрабатывать и внедрять новые правила мониторинга. В то же время, необходимо регулярно оценивать эффективность старых правил, отсеивать те, которые только вызывают ложные срабатывания, «мусорные правила».
Необходимое повторное обучение модели: для систем, использующих модели машинного обучения, необходимо регулярно повторно обучать модель на новых данных, чтобы обеспечить ее способность распознавать новые рисковые модели и предотвратить деградацию модели (Model Decay).
Когда организация попадает в иллюзию «запуска — значит победа», эта жизненно важная работа по последующему обслуживанию оказывается проигнорированной. Никто не отвечает, нет бюджетной поддержки, система KYT становится как спортивный автомобиль, брошенный в гараже; даже если двигатель замечательный, он просто будет медленно ржаветь, в конечном итоге превратившись в кучу металлолома.
«Усталость от сигналов тревоги» давит на комплаенс-офицеров: последний соломинка
Неправильно настроенная и плохо обслуживаемая «зомби-система» приводит к самым непосредственным и катастрофическим последствиям, а именно к возникновению огромного количества ложных срабатываний (False Positives). По наблюдениям в отрасли, в многих финансовых учреждениях более 95%, а иногда и более 99% сигналов, выданных системой KYT, в конечном итоге подтверждаются как ложные. Это не просто проблема неэффективности, но и вызывает более глубокий кризис — «усталость от сигналов» (Alert Fatigue).
Мы можем представить себе повседневную жизнь комплаенс-офицера:
Каждое утро он открывает систему управления案件ами и видит сотни ожидающих обработки предупреждений. Он открывает первое, после получаса расследования обнаруживает, что это нормальная коммерческая деятельность клиента, и закрывает. Второе - то же самое. Третье - тоже самое... День за днем он тонет в бесконечном море ложных тревог. Изначальная бдительность и внимательность постепенно заменяются онемением и безразличием. Он начинает искать «короткий путь» для быстрого закрытия предупреждений, уровень доверия к системе падает до нуля. В конечном итоге, когда среди них появляется действительно высокорисковое предупреждение, он может просто мельком взглянуть на него, по привычке пометить как «ложное срабатывание» и закрыть.
«Сигнальная усталость» – это последняя капля, которая ломает линию защиты соблюдения. Она психологически разрушает боеспособность команды соблюдения, превращая их из «охотников за рисками» в «уборщиков сигналов». Вся энергия отдела соблюдения тратится на бесполезную борьбу с «зомби-системой», в то время как настоящие преступники, под прикрытием шумов сигналов, бесцеремонно проходят через линию защиты.
Таким образом, система KYT в процессе полностью «остановила сердце». Она все еще генерирует сигналы тревоги, но эти «сердцебиения» уже потеряли смысл, на них никто не реагирует и никто не верит. Она полностью превратилась в зомби.
Ранее у меня был друг, чья компания, чтобы получить лицензию и угодить инвесторам, разыграла классическую «сцену соблюдения норм»: громко объявила о закупке лучших в отрасли инструментов KYT и использовала это в качестве рекламного капитала для «преданности высшим стандартам соблюдения норм». Но чтобы сэкономить деньги, они купили услуги только у одного поставщика. Логика управления была таковой: «Мы использовали лучшее, так что если что-то пойдет не так, не вините меня». Они избирательно забыли, что любой отдельный инструмент имеет слепые зоны.
Кроме того, у команды по соблюдению норм недостаточно сотрудников, и они не разбираются в технологиях, поэтому могут использовать только базовый шаблон статических правил, предоставленный поставщиком. Мониторинг крупных транзакций, фильтрация нескольких публичных адресов из черного списка — это все, что они могут сделать для выполнения задачи.
Самое главное заключается в том, что как только бизнес начинает расти, система сигналов сыплется, как снег. Начинающие аналитики быстро обнаруживают, что более 95% из них являются ложными. Чтобы выполнить KPI, их работа превращается из «исследования рисков» в «закрытие сигналов». Со временем никто больше не воспринимает сигналы всерьез.
Профессиональная группа отмывателей денег быстро уловила запах гниющего мяса. Они использовали самый простой, но эффективный метод, чтобы превратить эту «зомби-систему» в свой банкомат: разбив деньги, полученные от незаконных азартных игр, на тысячи мелких транзакций ниже порогового значения мониторинга с помощью тактики «Смурфов». В итоге тревогу поднял не член их команды, а их партнерский банк. Когда следственный запрос от регулирующих органов оказался на столе CEO, тот выглядел ошарашенным, а позже, как сообщается, у него отозвали лицензию.
Рисунок 2: Сравнение уровней риска различных блокчейн-сетей
Источник данных: MetaComp Research - Сравнительный анализ On-Chain KYT для AML&CFT, июль 2025 года. График показывает, что в выборочных данных доля транзакций на цепи Tron, оцененных как «серьезный», «высокий» или «средне-высокий» риск, значительно выше, чем на цепи Ethereum.
Истории вокруг нас — это зеркало, отражающее тени множества финтех-компаний, которые разыгрывают «спектакль соблюдения норм». Возможно, они еще не рухнули, просто им повезло, и они еще не попали в поле зрения профессиональных преступных групп. Но это, в конечном итоге, вопрос времени.
Вторая часть: от «зомби» до «стража» — как пробудить вашу систему соблюдения?
После того как мы раскрыли патологию «зомби-системы» и стали свидетелями трагедии «комплаенс-театра», мы не можем просто ограничиться критикой и вздохами. Как практики на передовой, нас больше беспокоит: как преодолеть это? Как воскресить умирающего «зомби» и превратить его в настоящего «передового солдата», который сможет защищать и атаковать?
Ответ не заключается в покупке более дорогих и «авторитетных» инструментов, а в полном преобразовании от концепции до тактики. Эта методология давно является непризнанным секретом среди настоящих практиков в индустрии. Исследования MetaComp впервые систематически количественно оценили и обнародовали это, предоставив нам четкое и исполняемое руководство по действиям.
Основное решение: прощай, соло-выступление, привет, «многоуровневая система защиты»
Прежде всего, необходимо полностью отказаться от мышления «купить инструмент и все» на уровне концепции. Настоящая соблюдаемость — это не однопользовательская игра, а позиционная война, требующая создания глубокой оборонительной системы. Нельзя надеяться, что один солдат сможет остановить тысячи врагов; вам нужна трехмерная оборонительная сеть, состоящая из солдат, патрульных, радиолокационных станций и центров разведки.
Тактическое ядро: комбинация множества инструментов
Тактическое ядро этой оборонительной системы — это «комплексный подход с использованием нескольких инструментов». Слепые зоны одного инструмента неизбежны, но слепые зоны нескольких инструментов взаимодополняют друг друга. Путем перекрестной проверки мы можем максимально сократить пространство для скрытия рисков.
Итак, возникает вопрос: сколько инструментов нужно? Два? Четыре? Или больше — это лучше?
Исследование MetaComp дало крайне важный ответ: комбинация трех инструментов — это золотое правило, которое достигает наилучшего баланса между эффективностью, стоимостью и производительностью.
Мы можем понять этот «тройной комплект» так:
Первый инструмент — это ваш «передовой наблюдатель»: он может охватывать самые широкие области и обнаруживать большинство обычных рисков.
Второй инструмент — это ваш «специальный патруль»: он может иметь уникальные разведывательные способности в определенной области (например, риски DeFi, разведка по конкретному региону), которые позволяют выявлять скрытые угрозы, недоступные для «стражей».
Третий инструмент — это ваш «аналитик разведывательной информации»: он может обладать самой мощной способностью анализа взаимосвязи данных, соединяя разрозненные следы, найденные двумя первыми инструментами, и создавая полное изображение рисков.
Когда эти три элемента действуют совместно, их мощь ни в коем случае не является простой суммой. Данные показывают, что переход от двух инструментов к трем инструментам приводит к качественному скачку в эффективности соблюдения норм. В отчете MetaComp указывается, что тщательно разработанная модель фильтрации с тремя инструментами может снизить уровень «ложных срабатываний» (False Clean Rate) для высокорисковых транзакций до менее 0,10%. Это означает, что 99,9% известных высокорисковых транзакций будут зафиксированы. Это и есть то, что мы называем «эффективным соблюдением норм».
В сравнении с переходом с трех инструментов на четыре, хотя это может дополнительно снизить уровень пропусков, его предельная полезность уже очень мала, а затраты и задержки во времени, которые это приносит, являются значительными. Исследования показывают, что время скрининга с четырьмя инструментами может составлять до 11 секунд, тогда как с тремя инструментами оно может быть ограничено примерно 2 секундами. В сценариях платежей, где необходимо принимать решения в реальном времени, эта разница в 9 секунд может стать критической для пользовательского опыта.
Рис. 3: Баланс между эффективностью и эффективностью набора инструментов KYT
Источник данных: MetaComp Research - Сравнительный анализ on-chain KYT для AML&CFT, июль 2025 года. График наглядно демонстрирует влияние увеличения количества инструментов на снижение «уровня пропуска» (эффективность) и увеличение «времени обработки» (эффективность), четко показывая, что комбинация трех инструментов является наиболее экономически выгодным выбором.
Методология в действии: создание собственного «правил-движка»
Выбрано правильное сочетание «тройки», это всего лишь завершение улучшения оборудования. Более важно, как командовать этой многонациональной армией в совместных операциях. Вы не можете позволить трем инструментам говорить каждое свое, вам нужно создать единый командный центр — то есть ваш собственный «правилами управления», независимый от любого отдельного инструмента.
Первый шаг: стандартизация классификации рисков — говорить на одном языке
Вы не можете позволить инструментам вести вас за нос. Разные инструменты могут использовать такие разные термины, как «Coin Mixer», «Protocol Privacy», «Shield», чтобы описать один и тот же риск. Если вашему комплайнс-офицеру придется запоминать «диалекты» каждого инструмента, это будет настоящая катастрофа. Правильный подход заключается в том, чтобы установить единые, четкие стандарты классификации рисков внутри вашей организации, а затем сопоставить все рисковые метки подключаемых инструментов с вашей собственной системой стандартов.
Например, вы можете создать следующую стандартизированную классификацию:
Таблица 1: Пример отображения категорий риска
Таким образом, независимо от того, какой новый инструмент вы подключаете, вы сможете быстро «перевести» его на внутренний унифицированный язык, что позволит осуществлять горизонтальное сравнение и единое принятие решений между платформами.
Шаг второй: унификация параметров риска и пороговых значений — четкое определение границ.
С единым языком следующим шагом является установление единого «правила ведения боевых действий». Вам нужно на основе собственных предпочтений в отношении риска (Risk Appetite) и требований регуляторов установить четкие, количественно измеримые пороги риска. Это ключевой шаг в преобразовании субъективных «предпочтений в отношении риска» в объективные команды, которые могут выполняться машинами.
Эти правила не должны ограничиваться простыми пороговыми значениями суммы, а должны представлять собой более сложные, многомерные комбинации параметров, такие как:
Определение уровня серьезности: четко указать, какие категории рисков относятся к «серьезным» (например, санкции, финансирование терроризма), какие относятся к «высокому риску» (например, кражи, темная сеть), а какие относятся к «приемлемым» (например, биржи, DeFi).
Порог загрязненности на уровне транзакции (Transaction-Level Taint %): определяет, при каком проценте средств, косвенно поступивших из источников с высоким уровнем риска, необходимо сработать сигнализации. Этот порог необходимо научно установить на основе большого объема данных, а не принимать решения на авось.
Порог накопленного риска на уровне кошелька (Cumulative Taint %): определяется, при каком проценте взаимодействия с высокорисковыми адресами в истории всех транзакций кошелька он должен быть помечен как высокорисковый. Это позволяет эффективно идентифицировать адреса «старых мастеров», которые долгое время занимаются серыми сделками.
Эти пороговые значения являются "красной линией", которую вы установили для системы соблюдения. Как только они будут достигнуты, система должна реагировать в соответствии с заранее установленным сценарием. Это делает весь процесс принятия решений по соблюдению прозрачным, последовательным и обоснованным (Defensible).
Шаг 3: Разработка многоуровневого рабочего процесса фильтрации — от точечного удара до комплексного воздействия
В конце концов, вам нужно интегрировать стандартизированные классификации и унифицированные параметры в автоматизированный многоуровневый процесс фильтрации. Этот процесс должен напоминать собой сложный воронку, последовательно фильтруя и постепенно фокусируясь, обеспечивая точное выявление рисков, при этом избегая чрезмерного вмешательства в большое количество низкорисковых сделок.
Эффективный рабочий процесс должен как минимум содержать следующие шаги:
Рис. 4: Пример эффективного многоуровневого скринингового рабочего процесса (адаптировано из методологии MetaComp KYT)
Первоначальный отбор (Initial Screening): все хеши транзакций и адреса контрагентов сначала проходят параллельное сканирование с помощью инструмента «Тройка». Если любой из инструментов выдаст сигнал тревоги, транзакция переходит на следующий этап.
Прямой оценка воздействия (Direct Exposure Assessment): система определяет, является ли сигнал тревоги "прямым воздействием", то есть адрес контрагента сам по себе является отмеченным как "серьезный" или "высокий риск". Если да, то это сигнал тревоги самого высокого приоритета, который должен немедленно инициировать процесс заморозки или ручной проверки.
Анализ экспозиции на уровне транзакций (Transaction-Level Exposure Analysis): если прямой экспозиции нет, система начинает проводить "восстановление источника средств", анализируя, какая доля (Taint %) средств в этой транзакции может быть косвенно прослежена до источника риска. Если этот процент превышает заданный "порог уровня транзакции", то переходят к следующему шагу.
Анализ воздействия на уровне кошелька (Wallet-Level Exposure Analysis): в случае превышения риска на уровне сделки система дополнительно проводит «полное обследование» кошелька контрагента, анализируя общий риск его исторических сделок (Cumulative Taint %). Если «здоровье» кошелька также ниже установленного «порогового значения на уровне кошелька», сделка окончательно подтверждается как высокорисковая.
Окончательное решение (Decision Outcome): На основе окончательной оценки риска (серьезный, высокий, средний высокий, средний низкий, низкий) система автоматически выполняет или предлагает вручную выполнить соответствующие действия: разрешение, перехват, возврат или сообщение.
Изюминка этого процесса заключается в том, что он преобразует идентификацию рисков из простого «да / нет» в трехмерный процесс оценки, который проходит от точки (одной транзакции) к линии (финансовой цепочке) и затем к плоскости (кошельковому профилю). Это позволяет эффективно различать «прямые» высокие риски и «косвенно загрязненные» потенциальные риски, что способствует оптимальному распределению ресурсов — быстрой реакции на транзакции с самым высоким риском, углубленному анализу транзакций со средним риском и быстрой пропускной способности для подавляющего большинства транзакций с низким риском, что идеально решает противоречие между «усталостью от сигналов тревоги» и «пользовательским опытом».
Заключительная глава: Сломать сцену, вернуться на поле боя
Мы потратили много времени на анализ патологии «зомби-системы», рассмотрели трагедию «комплайенс-театра» и обсудили «боевую книгу» по пробуждению системы. Теперь пришло время вернуться к началу.
Главная опасность «комплаенс-театра» заключается не в том, сколько бюджета и человеческих ресурсов он потребляет, а в том, что он создает смертельное, ложное «чувство безопасности». Он вводит в заблуждение тех, кто принимает решения, заставляя их думать, что риски находятся под контролем, и делает исполнителей безразличными к ежедневной бесполезной работе. Безмолвная «зомби-система» гораздо опаснее, чем система, которой вообще не существует, потому что она может заставить вас беззащитно направиться к опасности.
В эпоху, когда технологии черного рынка и финансовые инновации развиваются синхронно, полагаться на единственный инструмент для мониторинга KYT все равно что бегать нагишом на поле боя под огнем. У преступников есть беспрецедентный арсенал — автоматизированные скрипты, кроссчейн-мосты, приватные монеты, DeFi-протоколы смешивания, и если ваша система защиты все еще на уровне нескольких лет назад, то ее взлом — лишь вопрос времени.
Настоящая комплаенс не является представлением для удовлетворения зрителей или для прохождения проверок. Это тяжелая борьба, долговременная война, требующая качественного снаряжения (многоуровневые инструменты), строгой тактики (единственная методология управления рисками) и отличных солдат (профессиональная команда по комплаенсу). Это не требует эффектной сцены и лицемерных аплодисментов, это требует почтения к рискам, честности в отношении данных и постоянной отработки процессов.
Поэтому я обращаюсь ко всем специалистам в этой области, особенно к тем, кто обладает ресурсами и полномочиями принимать решения: пожалуйста, откажитесь от иллюзий о «серебряной пуле» (silver bullet) как решении. В мире нет волшебного инструмента, который мог бы раз и навсегда решить все проблемы. Строительство системы соблюдения норм не имеет конца; это динамический процесс, который необходимо постоянно итеративно улучшать на основе обратной связи с данными. Защитная система, которую вы создаете сегодня, завтра может оказаться уязвимой, и единственный способ справиться с этим — оставаться настороже, постоянно учиться и эволюционировать.
Пора разобрать этот фальшивый театр «соответствия». Давайте вернёмся на настоящее поле битвы с настоящей системой «Страж», полное вызовов, но также и возможностей. Потому что только там мы сможем по-настоящему защитить ту ценность, которую хотим создать.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Когда инструмент KYT становится «зомби-системой»: вы думаете, что это соответствует требованиям, на самом деле это ловушка
Автор: AiYing Compliance
В кругу людей это известно: соблюдение норм бывает двух видов: одно — для регуляторов, а другое — действительно эффективное. Первое называется «театр соблюдения норм» (Compliance Theater), а второе — это настоящее управление рисками. Печально, но подавляющее большинство организаций, особенно те, которые стремительно развиваются, как финтех-компании, невольно играют в первую категорию.
Что такое «театр соблюдения норм»? Это тщательно построенная сцена, созданная для того, чтобы справиться с проверками, получить лицензии и успокоить инвесторов. На этой сцене правильность процессов важнее всего, а качество отчетов намного важнее, чем выявление рисков. Актеры (специалисты по соблюдению норм) читают заранее написанные реплики (руководство по соблюдению норм) и управляют великолепными реквизитами (дорогими системами), демонстрируя зрителям (регулирующим органам) картину благополучия и процветания. Главное — хорошо сыграть спектакль, получить лицензию и обеспечить финансирование, чтобы все были довольны.
А в этой большой игре самым роскошным, самым дорогим и самым обманчивым реквизитом являются те системы, которые выглядят как работающие круглосуточно 24/7, но на самом деле уже давно потеряли свою сущность и стали мертвыми системами. Особенно это касается системы KYT (Know Your Transaction, Знай свою транзакцию), которая должна быть самым чутким разведчиком на передовой борьбы с отмыванием денег (AML), но часто первой «падает», становясь всего лишь зомби, которое только расходует бюджет и создает ложное чувство безопасности. Она тихо лежит на сервере, зеленый свет мигает, отчеты создаются, все в порядке - пока настоящая бомба не взрывается у нее под носом.
Это и есть самая большая ловушка соответствия. Ты думаешь, что купил самое лучшее оборудование, построил неприступную защиту, но на самом деле ты просто кормишь зомби деньгами и ресурсами. Оно не защитит тебя, а лишь заставит умереть неясно, когда наступит катастрофа.
Итак, возникает вопрос: почему KYT инструменты, в которые мы вложили огромные средства и трудозатраты, иногда становятся мертвым грузом? За этим скрывается окончательная ошибка выбора технологии или полное разрушение управления процессами? Или это неизбежный результат сочетания обоих факторов?
Сегодня мы направим взгляд на финансовые технологии и платежную индустрию, этот «театр соблюдения норм», наиболее популярную сцену, особенно на рынке Юго-Восточной Азии, где регуляторная среда сложна и изменчива, а рост бизнеса стремителен. Здесь разыгрываются настоящие спектакли, а наша задача - приоткрыть занавес и увидеть правду за кулисами.
Первая сцена: Анализ системы зомби — как ваш инструмент KYT «умер»?
Рождение «зомби-системы» не происходит мгновенно. Она не умирает внезапно из-за какого-то колоссального уязвимости или катастрофического сбоя, а, как лягушка, варящаяся в теплой воде, постепенно теряет способность воспринимать, анализировать и реагировать в ходе ежедневной «нормальной работы», в конечном итоге оставаясь лишь оболочкой, поддерживающей жизненные показатели. Этот процесс можно проанализировать с технической и процессуальной точек зрения, чтобы увидеть, как изначально полноценная система KYT шаг за шагом движется к «смерти».
Технический «мозговой смерть»: единичная точка отказа и изоляция данных
Технология является мозгом системы KYT. Когда нейронные соединения мозга разрываются, ввод информации блокируется, а аналитическая модель становится негибкой, система попадает в состояние «мозговой смерти». Она продолжает обрабатывать данные, но уже теряет способность к пониманию и суждению.
Слепая зона восприятия единственного инструмента: смотреть на мир одним глазом
Чрезмерная зависимость от единого инструмента KYT является основной и наиболее распространенной причиной сбоя системы. Это почти общеизвестно в кругу, но в сценарии «театра соблюдения» ради достижения так называемой «авторитетности» и «упрощения управления» этот момент часто выбирается избирательно игнорироваться.
Почему говорят, что единственный инструмент является смертельным? Потому что ни один инструмент не может покрыть все риски. Это похоже на то, как если бы один часовой наблюдал за врагами со всех сторон, у него всегда будут слепые зоны. Недавно лицензированный поставщик цифровых активов в Сингапуре MetaComp выпустил исследовательский отчет, который с помощью тестовых данных раскрыл эту жесткую реальность. Исследование проанализировало более 7000 реальных сделок и обнаружило, что полагание только на один-два инструмента KYT для проверки может привести к тому, что до 25% высокорисковых сделок будут ошибочно пропущены. Это означает, что четверть рисков будет прямо проигнорирована. Это уже не слепая зона, а черная дыра.
Рис. 1: Сравнение «уровня пропусков» (False Clean Rate) под различными комбинациями инструментов KYT
Источник данных: MetaComp Research - Сравнительный анализ On-Chain KYT для AML&CFT, июль 2025 года. График показывает, что при установлении порога риска на уровне «средний высокий риск» максимальная доля пропусков для одного инструмента может достигать 24,55%, для двойной комбинации инструментов - 22,60%, а для тройной комбинации она резко снижается до 0,10%.
Этот огромный риск связан с внутренними недостатками экосистемы инструментов KYT. Каждый инструмент основан на своем собственном эксклюзивном наборе данных и стратегиях сбора разведывательной информации, что приводит к естественным различиям и слепым зонам в нескольких аспектах:
Разнообразие источников данных: некоторые инструменты могут иметь тесные связи с правоохранительными органами США и обеспечивать более сильное покрытие рисковых адресов, связанных с Северной Америкой; другие могут глубоко исследовать азиатский рынок и иметь более актуальную информацию о местных мошеннических сетях. Не существует инструмента, который мог бы одновременно стать королем разведки во всех регионах мира.
Разные инструменты акцентируют внимание на различных типах рисков: некоторые из них хорошо отслеживают адреса, связанные со списком санкций OFAC, в то время как другие лучше справляются с идентификацией смешивающих сервисов (Mixers) или технологий на темных рынках (Darknet). Если выбранный вами инструмент не способен выявить основные типы рисков, с которыми сталкивается ваш бизнес, то он по сути является просто безделушкой.
Обновление задержки и задержки информации: жизненный цикл адресов черного рынка может быть очень коротким. Рискованный адрес, отмеченный одним инструментом сегодня, может быть синхронизирован другим инструментом только через несколько дней или даже недель. Эта временная разница в информации достаточно велика, чтобы позволить отмывателям денег завершить несколько операций.
Таким образом, когда организация полностью полагается на единственный инструмент KYT, она на самом деле играет в азартные игры — ставит на то, что все риски, с которыми она столкнется, окажутся как раз в «познавательной области» этого инструмента.
«Недоедание», вызванное изолированными данными: откуда берется вода для потока?
Если сказать, что единственный инструмент - это узкий взгляд, то острова данных - это полная «недостаточность питания». Система KYT никогда не была изолированной системой; ее эффективность основывается на комплексном понимании контрагентов и торгового поведения. Она требует постоянного поступления «питательных данных» из различных источников, таких как система KYC (Знай своего клиента), система оценки рисков клиентов, бизнес-системы и так далее. Когда эти каналы данных заблокированы или качество самих данных низкое, KYT становится водой без источника, теряя базу для оценки.
В многих быстро развивающихся платежных компаниях такая ситуация не редкость:
Команда KYC отвечает за прием клиентов, их данные хранятся в системе A; команда управления рисками отвечает за мониторинг сделок, их данные находятся в системе B; команда по соблюдению норм отвечает за отчеты по AML, они используют систему C. Три системы принадлежат разным отделам и предоставляются разными поставщиками, между ними практически нет обмена данными в реальном времени. В результате, когда система KYT анализирует одну реальную сделку, основанная на ней оценка риска клиента может быть статической информацией, введенной командой KYC три месяца назад. Этот клиент мог проявить множество высокорисковых действий за эти три месяца, но эта информация застряла в системе B команды управления рисками, и система KYT ничего об этом не знает.
Прямым следствием этой «недостаточности питания» является то, что система KYT не может установить точную базовую линию поведения клиентов (Behavioral Baseline). Одной из ключевых возможностей эффективной системы KYT является выявление «аномалий», то есть отклонений от нормального поведения клиента. Но если система даже не знает, что такое «нормальное» для одного клиента, о каком выявлении «аномалий» можно говорить? В конечном итоге она может лишь деградировать до зависимости от самых примитивных и грубых статических правил, производя множество бесполезных «мусорных предупреждений», приближаясь к статусу «зомби».
Статическое правило «刻舟求剑»: искать новый континент с помощью старой карты
Методы преступников постоянно развиваются: от традиционного «разделения на мелкие части» (Smurfing) до использования DeFi-протоколов для межсетевого отмывания денег, а затем через рынок NFT для фиктивных сделок, их сложность и скрытность растут экспоненциально. Тем не менее, многие «зомби KYT-системы» все еще используют наборы правил, которые остались на уровне нескольких лет назад, словно с устаревшей навигационной картой пытаются найти новый континент, что неизбежно приведет к провалу.
Статические правила, такие как «если одна транзакция превышает 10 000 долларов, то сигнализировать», сегодня для участников черного рынка, по сути, не имеют значения. Они могут легко с помощью автоматизированных скриптов разбивать крупные суммы на сотни тысяч мелких транзакций, идеально обходя такие простые пороги. Настоящая угроза скрыта в сложных поведенческих моделях:
Новая зарегистрированная учетная запись в короткие сроки проводит множество мелких высокочастотных сделок с большим количеством несвязанных контрагентов.
После быстрого поступления средств, они немедленно распределяются через несколько адресов без каких-либо задержек, формируя типичную «Peel Chain».
Торговые пути связаны с высокими рисками смешивания средств, незарегистрированными биржами или адресами из санкционных регионов.
Эти сложные модели невозможно эффективно описать и зафиксировать статическими правилами. Им нужны модели машинного обучения, способные понимать торговые сети, анализировать финансовые потоки и извлекать характеристики рисков из огромных объемов данных. Здоровая система KYT должна иметь динамические, самоэволюционирующие правила и модели. А «зомби-система» как раз утратила эту способность: ее база правил, как только она установлена, редко обновляется, в конечном итоге отставая в гонке вооружений с черным рынком и полностью «мозгово мертва».
Процессный уровень «остановки сердца»: от «раз и навсегда» до «усталости от сигналов тревоги»
Если технический дефект приводит к «мозговой смерти» системы, то разрушение управления процессами непосредственно приводит к «остановке сердца». Даже если система технически очень продвинута, если нет правильного процесса для её управления и реагирования, она всего лишь куча дорогого кода. В «театрe соблюдения норм» ошибки в процессах часто более скрытны и более разрушительны, чем технические ошибки.
Иллюзия «победы с момента выхода на рынок»: рассматривать свадьбу как конечную точку любви
Многие компании, особенно стартапы, придерживаются мышления «проектного подхода» в построении соответствия. Они считают, что закупка и внедрение системы KYT — это проект с ясным началом и концом. Как только система успешно запущена и прошла проверку регуляторов, проект считается успешно завершенным. Это наиболее типичная иллюзия «театра соответствия» — считать свадьбу концом любви, полагая, что с этого момента можно спокойно спать.
Однако жизненный цикл системы KYT начинается лишь с первого дня ее запуска. Это не инструмент, который можно использовать «раз и навсегда», а «живое существо», которое требует постоянного ухода и оптимизации. Это включает в себя:
Непрерывная калибровка параметров: рынок меняется, поведение клиентов меняется, методы отмывания денег меняются. Пороговые значения мониторинга и параметры рисков в системе KYT должны быть соответственно скорректированы. Пороговое значение тревоги в 10 000 долларов, которое год назад казалось разумным, после увеличения объемов бизнеса в десять раз может оказаться совершенно бессмысленным.
Регулярная оптимизация правил: с появлением новых рисков необходимо постоянно разрабатывать и внедрять новые правила мониторинга. В то же время, необходимо регулярно оценивать эффективность старых правил, отсеивать те, которые только вызывают ложные срабатывания, «мусорные правила».
Необходимое повторное обучение модели: для систем, использующих модели машинного обучения, необходимо регулярно повторно обучать модель на новых данных, чтобы обеспечить ее способность распознавать новые рисковые модели и предотвратить деградацию модели (Model Decay).
Когда организация попадает в иллюзию «запуска — значит победа», эта жизненно важная работа по последующему обслуживанию оказывается проигнорированной. Никто не отвечает, нет бюджетной поддержки, система KYT становится как спортивный автомобиль, брошенный в гараже; даже если двигатель замечательный, он просто будет медленно ржаветь, в конечном итоге превратившись в кучу металлолома.
«Усталость от сигналов тревоги» давит на комплаенс-офицеров: последний соломинка
Неправильно настроенная и плохо обслуживаемая «зомби-система» приводит к самым непосредственным и катастрофическим последствиям, а именно к возникновению огромного количества ложных срабатываний (False Positives). По наблюдениям в отрасли, в многих финансовых учреждениях более 95%, а иногда и более 99% сигналов, выданных системой KYT, в конечном итоге подтверждаются как ложные. Это не просто проблема неэффективности, но и вызывает более глубокий кризис — «усталость от сигналов» (Alert Fatigue).
Мы можем представить себе повседневную жизнь комплаенс-офицера:
Каждое утро он открывает систему управления案件ами и видит сотни ожидающих обработки предупреждений. Он открывает первое, после получаса расследования обнаруживает, что это нормальная коммерческая деятельность клиента, и закрывает. Второе - то же самое. Третье - тоже самое... День за днем он тонет в бесконечном море ложных тревог. Изначальная бдительность и внимательность постепенно заменяются онемением и безразличием. Он начинает искать «короткий путь» для быстрого закрытия предупреждений, уровень доверия к системе падает до нуля. В конечном итоге, когда среди них появляется действительно высокорисковое предупреждение, он может просто мельком взглянуть на него, по привычке пометить как «ложное срабатывание» и закрыть.
«Сигнальная усталость» – это последняя капля, которая ломает линию защиты соблюдения. Она психологически разрушает боеспособность команды соблюдения, превращая их из «охотников за рисками» в «уборщиков сигналов». Вся энергия отдела соблюдения тратится на бесполезную борьбу с «зомби-системой», в то время как настоящие преступники, под прикрытием шумов сигналов, бесцеремонно проходят через линию защиты.
Таким образом, система KYT в процессе полностью «остановила сердце». Она все еще генерирует сигналы тревоги, но эти «сердцебиения» уже потеряли смысл, на них никто не реагирует и никто не верит. Она полностью превратилась в зомби.
Ранее у меня был друг, чья компания, чтобы получить лицензию и угодить инвесторам, разыграла классическую «сцену соблюдения норм»: громко объявила о закупке лучших в отрасли инструментов KYT и использовала это в качестве рекламного капитала для «преданности высшим стандартам соблюдения норм». Но чтобы сэкономить деньги, они купили услуги только у одного поставщика. Логика управления была таковой: «Мы использовали лучшее, так что если что-то пойдет не так, не вините меня». Они избирательно забыли, что любой отдельный инструмент имеет слепые зоны.
Кроме того, у команды по соблюдению норм недостаточно сотрудников, и они не разбираются в технологиях, поэтому могут использовать только базовый шаблон статических правил, предоставленный поставщиком. Мониторинг крупных транзакций, фильтрация нескольких публичных адресов из черного списка — это все, что они могут сделать для выполнения задачи.
Самое главное заключается в том, что как только бизнес начинает расти, система сигналов сыплется, как снег. Начинающие аналитики быстро обнаруживают, что более 95% из них являются ложными. Чтобы выполнить KPI, их работа превращается из «исследования рисков» в «закрытие сигналов». Со временем никто больше не воспринимает сигналы всерьез.
Профессиональная группа отмывателей денег быстро уловила запах гниющего мяса. Они использовали самый простой, но эффективный метод, чтобы превратить эту «зомби-систему» в свой банкомат: разбив деньги, полученные от незаконных азартных игр, на тысячи мелких транзакций ниже порогового значения мониторинга с помощью тактики «Смурфов». В итоге тревогу поднял не член их команды, а их партнерский банк. Когда следственный запрос от регулирующих органов оказался на столе CEO, тот выглядел ошарашенным, а позже, как сообщается, у него отозвали лицензию.
Рисунок 2: Сравнение уровней риска различных блокчейн-сетей
Источник данных: MetaComp Research - Сравнительный анализ On-Chain KYT для AML&CFT, июль 2025 года. График показывает, что в выборочных данных доля транзакций на цепи Tron, оцененных как «серьезный», «высокий» или «средне-высокий» риск, значительно выше, чем на цепи Ethereum.
Истории вокруг нас — это зеркало, отражающее тени множества финтех-компаний, которые разыгрывают «спектакль соблюдения норм». Возможно, они еще не рухнули, просто им повезло, и они еще не попали в поле зрения профессиональных преступных групп. Но это, в конечном итоге, вопрос времени.
Вторая часть: от «зомби» до «стража» — как пробудить вашу систему соблюдения?
После того как мы раскрыли патологию «зомби-системы» и стали свидетелями трагедии «комплаенс-театра», мы не можем просто ограничиться критикой и вздохами. Как практики на передовой, нас больше беспокоит: как преодолеть это? Как воскресить умирающего «зомби» и превратить его в настоящего «передового солдата», который сможет защищать и атаковать?
Ответ не заключается в покупке более дорогих и «авторитетных» инструментов, а в полном преобразовании от концепции до тактики. Эта методология давно является непризнанным секретом среди настоящих практиков в индустрии. Исследования MetaComp впервые систематически количественно оценили и обнародовали это, предоставив нам четкое и исполняемое руководство по действиям.
Основное решение: прощай, соло-выступление, привет, «многоуровневая система защиты»
Прежде всего, необходимо полностью отказаться от мышления «купить инструмент и все» на уровне концепции. Настоящая соблюдаемость — это не однопользовательская игра, а позиционная война, требующая создания глубокой оборонительной системы. Нельзя надеяться, что один солдат сможет остановить тысячи врагов; вам нужна трехмерная оборонительная сеть, состоящая из солдат, патрульных, радиолокационных станций и центров разведки.
Тактическое ядро: комбинация множества инструментов
Тактическое ядро этой оборонительной системы — это «комплексный подход с использованием нескольких инструментов». Слепые зоны одного инструмента неизбежны, но слепые зоны нескольких инструментов взаимодополняют друг друга. Путем перекрестной проверки мы можем максимально сократить пространство для скрытия рисков.
Итак, возникает вопрос: сколько инструментов нужно? Два? Четыре? Или больше — это лучше?
Исследование MetaComp дало крайне важный ответ: комбинация трех инструментов — это золотое правило, которое достигает наилучшего баланса между эффективностью, стоимостью и производительностью.
Мы можем понять этот «тройной комплект» так:
Первый инструмент — это ваш «передовой наблюдатель»: он может охватывать самые широкие области и обнаруживать большинство обычных рисков.
Второй инструмент — это ваш «специальный патруль»: он может иметь уникальные разведывательные способности в определенной области (например, риски DeFi, разведка по конкретному региону), которые позволяют выявлять скрытые угрозы, недоступные для «стражей».
Третий инструмент — это ваш «аналитик разведывательной информации»: он может обладать самой мощной способностью анализа взаимосвязи данных, соединяя разрозненные следы, найденные двумя первыми инструментами, и создавая полное изображение рисков.
Когда эти три элемента действуют совместно, их мощь ни в коем случае не является простой суммой. Данные показывают, что переход от двух инструментов к трем инструментам приводит к качественному скачку в эффективности соблюдения норм. В отчете MetaComp указывается, что тщательно разработанная модель фильтрации с тремя инструментами может снизить уровень «ложных срабатываний» (False Clean Rate) для высокорисковых транзакций до менее 0,10%. Это означает, что 99,9% известных высокорисковых транзакций будут зафиксированы. Это и есть то, что мы называем «эффективным соблюдением норм».
В сравнении с переходом с трех инструментов на четыре, хотя это может дополнительно снизить уровень пропусков, его предельная полезность уже очень мала, а затраты и задержки во времени, которые это приносит, являются значительными. Исследования показывают, что время скрининга с четырьмя инструментами может составлять до 11 секунд, тогда как с тремя инструментами оно может быть ограничено примерно 2 секундами. В сценариях платежей, где необходимо принимать решения в реальном времени, эта разница в 9 секунд может стать критической для пользовательского опыта.
Рис. 3: Баланс между эффективностью и эффективностью набора инструментов KYT
Источник данных: MetaComp Research - Сравнительный анализ on-chain KYT для AML&CFT, июль 2025 года. График наглядно демонстрирует влияние увеличения количества инструментов на снижение «уровня пропуска» (эффективность) и увеличение «времени обработки» (эффективность), четко показывая, что комбинация трех инструментов является наиболее экономически выгодным выбором.
Методология в действии: создание собственного «правил-движка»
Выбрано правильное сочетание «тройки», это всего лишь завершение улучшения оборудования. Более важно, как командовать этой многонациональной армией в совместных операциях. Вы не можете позволить трем инструментам говорить каждое свое, вам нужно создать единый командный центр — то есть ваш собственный «правилами управления», независимый от любого отдельного инструмента.
Первый шаг: стандартизация классификации рисков — говорить на одном языке
Вы не можете позволить инструментам вести вас за нос. Разные инструменты могут использовать такие разные термины, как «Coin Mixer», «Protocol Privacy», «Shield», чтобы описать один и тот же риск. Если вашему комплайнс-офицеру придется запоминать «диалекты» каждого инструмента, это будет настоящая катастрофа. Правильный подход заключается в том, чтобы установить единые, четкие стандарты классификации рисков внутри вашей организации, а затем сопоставить все рисковые метки подключаемых инструментов с вашей собственной системой стандартов.
Например, вы можете создать следующую стандартизированную классификацию:
Таблица 1: Пример отображения категорий риска
Таким образом, независимо от того, какой новый инструмент вы подключаете, вы сможете быстро «перевести» его на внутренний унифицированный язык, что позволит осуществлять горизонтальное сравнение и единое принятие решений между платформами.
Шаг второй: унификация параметров риска и пороговых значений — четкое определение границ.
С единым языком следующим шагом является установление единого «правила ведения боевых действий». Вам нужно на основе собственных предпочтений в отношении риска (Risk Appetite) и требований регуляторов установить четкие, количественно измеримые пороги риска. Это ключевой шаг в преобразовании субъективных «предпочтений в отношении риска» в объективные команды, которые могут выполняться машинами.
Эти правила не должны ограничиваться простыми пороговыми значениями суммы, а должны представлять собой более сложные, многомерные комбинации параметров, такие как:
Определение уровня серьезности: четко указать, какие категории рисков относятся к «серьезным» (например, санкции, финансирование терроризма), какие относятся к «высокому риску» (например, кражи, темная сеть), а какие относятся к «приемлемым» (например, биржи, DeFi).
Порог загрязненности на уровне транзакции (Transaction-Level Taint %): определяет, при каком проценте средств, косвенно поступивших из источников с высоким уровнем риска, необходимо сработать сигнализации. Этот порог необходимо научно установить на основе большого объема данных, а не принимать решения на авось.
Порог накопленного риска на уровне кошелька (Cumulative Taint %): определяется, при каком проценте взаимодействия с высокорисковыми адресами в истории всех транзакций кошелька он должен быть помечен как высокорисковый. Это позволяет эффективно идентифицировать адреса «старых мастеров», которые долгое время занимаются серыми сделками.
Эти пороговые значения являются "красной линией", которую вы установили для системы соблюдения. Как только они будут достигнуты, система должна реагировать в соответствии с заранее установленным сценарием. Это делает весь процесс принятия решений по соблюдению прозрачным, последовательным и обоснованным (Defensible).
Шаг 3: Разработка многоуровневого рабочего процесса фильтрации — от точечного удара до комплексного воздействия
В конце концов, вам нужно интегрировать стандартизированные классификации и унифицированные параметры в автоматизированный многоуровневый процесс фильтрации. Этот процесс должен напоминать собой сложный воронку, последовательно фильтруя и постепенно фокусируясь, обеспечивая точное выявление рисков, при этом избегая чрезмерного вмешательства в большое количество низкорисковых сделок.
Эффективный рабочий процесс должен как минимум содержать следующие шаги:
Рис. 4: Пример эффективного многоуровневого скринингового рабочего процесса (адаптировано из методологии MetaComp KYT)
Первоначальный отбор (Initial Screening): все хеши транзакций и адреса контрагентов сначала проходят параллельное сканирование с помощью инструмента «Тройка». Если любой из инструментов выдаст сигнал тревоги, транзакция переходит на следующий этап.
Прямой оценка воздействия (Direct Exposure Assessment): система определяет, является ли сигнал тревоги "прямым воздействием", то есть адрес контрагента сам по себе является отмеченным как "серьезный" или "высокий риск". Если да, то это сигнал тревоги самого высокого приоритета, который должен немедленно инициировать процесс заморозки или ручной проверки.
Анализ экспозиции на уровне транзакций (Transaction-Level Exposure Analysis): если прямой экспозиции нет, система начинает проводить "восстановление источника средств", анализируя, какая доля (Taint %) средств в этой транзакции может быть косвенно прослежена до источника риска. Если этот процент превышает заданный "порог уровня транзакции", то переходят к следующему шагу.
Анализ воздействия на уровне кошелька (Wallet-Level Exposure Analysis): в случае превышения риска на уровне сделки система дополнительно проводит «полное обследование» кошелька контрагента, анализируя общий риск его исторических сделок (Cumulative Taint %). Если «здоровье» кошелька также ниже установленного «порогового значения на уровне кошелька», сделка окончательно подтверждается как высокорисковая.
Окончательное решение (Decision Outcome): На основе окончательной оценки риска (серьезный, высокий, средний высокий, средний низкий, низкий) система автоматически выполняет или предлагает вручную выполнить соответствующие действия: разрешение, перехват, возврат или сообщение.
Изюминка этого процесса заключается в том, что он преобразует идентификацию рисков из простого «да / нет» в трехмерный процесс оценки, который проходит от точки (одной транзакции) к линии (финансовой цепочке) и затем к плоскости (кошельковому профилю). Это позволяет эффективно различать «прямые» высокие риски и «косвенно загрязненные» потенциальные риски, что способствует оптимальному распределению ресурсов — быстрой реакции на транзакции с самым высоким риском, углубленному анализу транзакций со средним риском и быстрой пропускной способности для подавляющего большинства транзакций с низким риском, что идеально решает противоречие между «усталостью от сигналов тревоги» и «пользовательским опытом».
Заключительная глава: Сломать сцену, вернуться на поле боя
Мы потратили много времени на анализ патологии «зомби-системы», рассмотрели трагедию «комплайенс-театра» и обсудили «боевую книгу» по пробуждению системы. Теперь пришло время вернуться к началу.
Главная опасность «комплаенс-театра» заключается не в том, сколько бюджета и человеческих ресурсов он потребляет, а в том, что он создает смертельное, ложное «чувство безопасности». Он вводит в заблуждение тех, кто принимает решения, заставляя их думать, что риски находятся под контролем, и делает исполнителей безразличными к ежедневной бесполезной работе. Безмолвная «зомби-система» гораздо опаснее, чем система, которой вообще не существует, потому что она может заставить вас беззащитно направиться к опасности.
В эпоху, когда технологии черного рынка и финансовые инновации развиваются синхронно, полагаться на единственный инструмент для мониторинга KYT все равно что бегать нагишом на поле боя под огнем. У преступников есть беспрецедентный арсенал — автоматизированные скрипты, кроссчейн-мосты, приватные монеты, DeFi-протоколы смешивания, и если ваша система защиты все еще на уровне нескольких лет назад, то ее взлом — лишь вопрос времени.
Настоящая комплаенс не является представлением для удовлетворения зрителей или для прохождения проверок. Это тяжелая борьба, долговременная война, требующая качественного снаряжения (многоуровневые инструменты), строгой тактики (единственная методология управления рисками) и отличных солдат (профессиональная команда по комплаенсу). Это не требует эффектной сцены и лицемерных аплодисментов, это требует почтения к рискам, честности в отношении данных и постоянной отработки процессов.
Поэтому я обращаюсь ко всем специалистам в этой области, особенно к тем, кто обладает ресурсами и полномочиями принимать решения: пожалуйста, откажитесь от иллюзий о «серебряной пуле» (silver bullet) как решении. В мире нет волшебного инструмента, который мог бы раз и навсегда решить все проблемы. Строительство системы соблюдения норм не имеет конца; это динамический процесс, который необходимо постоянно итеративно улучшать на основе обратной связи с данными. Защитная система, которую вы создаете сегодня, завтра может оказаться уязвимой, и единственный способ справиться с этим — оставаться настороже, постоянно учиться и эволюционировать.
Пора разобрать этот фальшивый театр «соответствия». Давайте вернёмся на настоящее поле битвы с настоящей системой «Страж», полное вызовов, но также и возможностей. Потому что только там мы сможем по-настоящему защитить ту ценность, которую хотим создать.