У колі людей це всім відомо, що є два види відповідності: одна для регулятора, а інша - справжня, що дійсно працює. Перша називається «театр відповідності» (Compliance Theater), а друга - це справжнє управління ризиками. На жаль, абсолютна більшість установ, особливо тих, що шалено мчать на хвилі фінансових технологій, несвідомо грають у першу виставу.
Що таке суть "Комплаєнс-театру"? Це сцена, ретельно збудована для того, щоб впоратися з перевірками, отримати ліцензію і заспокоїти інвесторів. На цій сцені правильність процесу переважає все, а якість звітів значно важливіша за виявлення ризиків. Актори (комплаєнс-офіцери) читають вже заздалегідь написані репліки (комплаєнс-інструкції), маніпулюючи розкішними реквізитами (дорогими системами), демонструючи глядачам (регуляторним органам) картину благополуччя. Лише б вистава пройшла добре, ліцензія була отримана, фінансування забезпечене — і всі задоволені.
А в цій великій драмі найрозкішнішими, найдорощими і найобманливішими реквізитами є ті, що виглядають так, ніби працюють цілодобово, але насправді вже давно вийшли з ладу і стали пустими «зомбі-системами». Особливо це стосується системи KYT (Know Your Transaction, дізнайся свою транзакцію), яка мала б бути найгострішим розвідником на передовій боротьби з відмиванням грошей (AML), але часто першою «гине», перетворюючись на зомбі, яке лише споживає бюджет і надає хибне почуття безпеки. Вона тихо лежить на сервері, зелена лампочка мерехтить, звіти генеруються, все нормально — поки справжня бомба не вибухає під її носом.
Це найбільша пастка відповідності. Ви думаєте, що купили найкраще обладнання, збудували непереможну лінію захисту, але насправді ви просто годуєте зомбі грошима та ресурсами. Воно не захистить вас, лише дозволить вам загинути безслідно, коли настане катастрофа.
Отже, виникає питання: чому наші великі інвестиції та людські ресурси, витрачені на закупівлю інструментів KYT, іноді стають бездушними оболонками? Що стоїть за цим: фатальна помилка у виборі технології, чи повний крах управління процесами? Або ж це неминучий результат обох чинників?
Сьогодні ми зосередимо увагу на фінансових технологіях та платіжній індустрії, найгарячішій сцені цього «регуляторного театру», особливо в умовах складного та мінливого регуляторного середовища та стрімкого зростання бізнесу на ринку Південно-Східної Азії. Тут відбуваються справжні вистави, а наше завдання – підняти завісу та поглянути на правду за кулісами.
Перша дія: Аналіз системи зомбі — як ваш інструмент KYT «помирає»?
Становлення «зомбі-системи» не відбувається миттєво. Вона не помирає раптово через якийсь грандіозний збій або катастрофічний Даунтайм, а швидше нагадує, як жаба, що вариться в теплій воді, поступово втрачає сприйняття, аналіз і реакцію в процесі щоденної «нормальної роботи», в кінцевому підсумку залишаючи лише оболонку, що підтримує життєві показники. Цей процес ми можемо розглянути з технічної та процесної точок зору, щоб побачити, як спочатку функціонуюча система KYT поступово йде до «смерті».
Технічний рівень «мозкової смерті»: одноточковий збій та ізоляція даних
Технологія є мозком системи KYT. Коли нейрони мозку розриваються, інформаційний потік блокується, а аналітичні моделі стають жорсткими, система переходить у стан «мозкової смерті». Вона продовжує обробляти дані, але вже втратила здатність до розуміння та оцінки.
Сліпа зона сприйняття одного інструменту: дивитися на світ одним оком
Надмірна залежність від єдиного інструменту KYT є головною та найпоширенішою причиною системних збоїв. Це майже загальновідома істина в колі, але в сценарії «театрів відповідності» заради досягнення так званої «авторитетності» та «спрощення управління» цей аспект часто вибірково ігнорують.
Чому кажуть, що єдиний інструмент є смертельним? Тому що жоден інструмент не може покрити всі ризики. Це як якщо б один охоронець одночасно спостерігав за ворогами з усіх сторін, у нього завжди буде сліпа зона. Нещодавно ліцензований постачальник цифрових активів у Сінгапурі MetaComp опублікував дослідницький звіт, який за допомогою тестових даних виявив цю жорстоку реальність. Це дослідження, аналізуючи понад 7000 реальних транзакцій, виявило, що покладатися лише на один або два інструменти KYT для перевірки може призвести до того, що до 25% високоризикових транзакцій буде помилково пропущено. Це означає, що чверть ризику просто ігнорується. Це вже не сліпа зона, а чорна діра.
Рисунок 1: Порівняння «Рівня пропуску» (False Clean Rate) під різними комбінаціями інструментів KYT
Джерело даних: MetaComp Research - Порівняльний аналіз On-Chain KYT для AML & CFT, липень 2025 року. Графік показує, що коли поріг ризику встановлено на «середньо-високий ризик», то максимальна частка пропущених випадків для одного інструменту може досягати 24,55%, для комбінації з двох інструментів - 22,60%, а для комбінації з трьох інструментів вона різко знижується до 0,10%.
Ця величезна ризикова експозиція виникає через внутрішні недоліки екосистеми інструментів KYT. Кожен інструмент заснований на своїх власних унікальних наборах даних та стратегіях збору інформації, що призводить до природних відмінностей та сліпих зон у кількох аспектах:
Різноманітність джерел даних: деякі інструменти можуть мати тісні зв'язки з правоохоронними органами США, що дає їм змогу краще охоплювати ризикові адреси в Північній Америці; інші ж можуть спеціалізуватися на азійському ринку і мати більш своєчасну інформацію про локалізовані шахрайські мережі. Жоден інструмент не може одночасно стати королем інформації для всіх регіонів світу.
Типи ризиків відрізняються за акцентом: деякі інструменти спеціалізуються на відстеженні адрес, пов'язаних зі списками санкцій OFAC, інші ж мають кращі технології для виявлення міксерів (Mixers) або ринків темної мережі (Darknet). Якщо обраний вами інструмент не може виявити основні типи ризиків, з якими стикається ваш бізнес, то він в основному є простою декорацією.
Оновлення затримки та затримка інформації: життєвий цикл адреси чорного ринку може бути дуже коротким. Ризикова адреса, позначена сьогодні одним інструментом, може бути синхронізована іншим інструментом лише через кілька днів або навіть тижнів. Ця тимчасова різниця в інформації достатня, щоб дозволити відмивачам грошей завершити кілька раундів операцій.
Отже, коли організація покладає всі свої надії на один інструмент KYT, вона насправді грає в азартну гру — ставить на те, що всі ризики, з якими вона стикається, будуть точно в «пізнавальних межах» цього інструмента.
«Недоїдання», спричинене даними-островами: з чого ж бере початок річка?
Якщо говорити, що окремий інструмент є вузьким, то інформаційний острів є повним «недоїданням». Система KYT ніколи не була ізольованою системою, її ефективність базується на комплексному розумінні контрагентів та торгових дій. Вона потребує постійного надходження «даних-нутрієнтів» з кількох джерел, таких як система KYC (знай свого клієнта), система оцінки ризиків клієнтів, бізнес-системи тощо. Коли ці канали даних заблоковані або якість самих даних низька, KYT стає безводною рікою, втрачаючи базу для судження.
У багатьох швидко розвиваються компаніях з платежів така ситуація не є рідкістю:
Команда KYC відповідає за допуск клієнтів, їхні дані зберігаються в системі A; команда управління ризиками відповідає за моніторинг交易, їхні дані в системі B; команда з комплаєнсу відповідає за звітування AML, вони користуються системою C. Три системи належать різним відділам, їх надають різні постачальники, і між ними практично немає реального обміну даними. В результаті, система KYT, аналізуючи реальну транзакцію, може спиратися на ризикову оцінку клієнта, яка була введена командою KYC три місяці тому. Цей клієнт, можливо, проявив різні високі ризикові дії протягом цих трьох місяців, але ця інформація застрягла в системі B команди управління ризиками, і система KYT про це нічого не знає.
Прямим наслідком цього "недоїдання" є те, що система KYT не може встановити точну базову лінію поведінки клієнтів (Behavioral Baseline). Однією з основних можливостей ефективної системи KYT є вміння виявляти "аномалії" — тобто відхилення від нормальних моделей поведінки клієнта. Але якщо система навіть не знає, що таке "нормальне" для клієнта, то про яку виявлення "аномалій" може йти мова? Врешті-решт, вона може звестися до використання найпримітивніших, найгрубших статичних правил, що призведе до виробництва великої кількості безцінних "сміттєвих сповіщень", наближаючи її до статусу "зомбі".
Статичне правило «к刻舟求剑»: шукати новий континент за старою картою
Методи злочинців швидко змінюються: від традиційного «розподілу на частини» (Smurfing) до використання DeFi-протоколів для міжблокчейнного відмивання грошей, а також до фальшивих транзакцій на ринку NFT, їхня складність та прихованість зростають експоненційно. Однак багато «зомбі-систем KYT» все ще залишаються на рівні кількох років тому, немов з старою морською картою намагаються знайти новий континент, приречені на невдачу.
Статичні правила, такі як «якщо одна транзакція перевищує 10 000 доларів, то сповіщати», сьогодні для представників чорного ринку здаються абсолютно незначними. Вони можуть легко за допомогою автоматизованих скриптів розділити велику суму на сотні або тисячі дрібних транзакцій, ідеально обходячи такі прості пороги. Справжня загроза ховається в складних поведінкових моделях:
Новий зареєстрований рахунок, який у короткий термін здійснює маломасштабні високоліквідні угоди з великою кількістю нерелевантних контрагентів.
Після швидкого надходження коштів, без жодної затримки, вони негайно розподіляються через кілька адрес, утворюючи класичний "Peel Chain".
Торгові шляхи пов'язані з високими ризиками змішаних послуг, незареєстрованими біржами або адресами з санкційних регіонів.
Ці складні моделі не можуть бути ефективно описані та зафіксовані статичними правилами. Їм потрібні моделі машинного навчання, які здатні зрозуміти торговельні мережі, аналізувати ланцюги фінансування та вчитися на ризикових характеристиках з величезних обсягів даних. Здоровий KYT-системи повинні мати динамічні, самовдосконалюючі правила та моделі. А "зомбі-системи" якраз втрачають цю здатність: їх бібліотека правил, як тільки встановлена, рідко оновлюється, в результаті чого вони залишаються далеко позаду в змаганні з чорним бізнесом, остаточно "мозково мертві".
Процесійний рівень "зупинки серця": від "раз і назавжди" до "втоми сигналізації"
Якщо технічний дефект призвів до «мозкової смерті» системи, то крах управління процесами безпосередньо призвів до «зупинки серця». Навіть якщо система технічно надсучасна, без правильних процесів для управління та реагування вона залишається лише купою дорогого коду. У «театрі відповідності» невдачі в процесах часто є більш прихованими, ніж технічні невдачі, і мають більшу руйнівну силу.
Ілюзія «перемога з моменту виходу на ринок»: сприймати весілля як кінець кохання
Багато компаній, особливо стартапів, дотримуються мислення «проектного підходу» у будівництві комплаєнсу. Вони вважають, що закупівля та впровадження системи KYT є проектом з чітким початком і кінцем. Як тільки система успішно запущена і пройшла регуляторну перевірку, цей проект оголошується успішно завершеним. Це найтиповіша ілюзія «комплаєнсного театру» — сприймати весілля як кінець кохання, вважаючи, що з цього моменту можна спати спокійно.
Однак, життєвий цикл системи KYT лише починається з першого дня її запуску. Це не інструмент, який можна використовувати «один раз і назавжди», а «живий організм», який потребує постійного догляду та оптимізації. Це включає:
Постійна калібрування параметрів: ринок змінюється, поведінка клієнтів змінюється, методи відмивання грошей змінюються. Моніторингові пороги та ризикові параметри системи KYT повинні відповідно коригуватися. Поріг сповіщення у 10 000 доларів, що був розумним рік тому, може вже не мати жодного сенсу після зростання обсягу бізнесу в десять разів.
Регулярна оптимізація правил: з появою нових ризиків необхідно постійно розробляти та впроваджувати нові правила моніторингу. Одночасно потрібно регулярно оцінювати ефективність старих правил, відкидаючи ті, що лише генерують помилкові сповіщення, «сміттєві правила».
Необхідне повторне навчання моделі: для систем, що використовують моделі машинного навчання, необхідно регулярно повторно навчати модель на основі найновіших даних, щоб забезпечити її здатність розпізнавати нові ризикові моделі та запобігти деградації моделі (Model Decay).
Коли організація потрапляє в ілюзію «запуск = перемога», ці критично важливі роботи з подальшого обслуговування ігноруються. Ніхто не несе відповідальності, немає бюджетної підтримки, система KYT схожа на спортивний автомобіль, покинутий у гаражі: навіть якщо двигун хороший, він повільно іржавіє і зрештою перетворюється на купу металобрухту.
«Втома від тривоги» перевантажує комплаєнс-офіцера: остання соломинка
Неправильно налаштована, недостатньо обслуговувана «зомбі-система» має найпряміші та найкатастрофічніші наслідки — це велика кількість хибних сповіщень (False Positives). За спостереженнями в галузі, у багатьох фінансових установах 95% або навіть понад 99% з попереджень, що генеруються системою KYT, врешті-решт виявляються хибними. Це не лише проблема неефективності, але й може викликати більш глибоку кризу — «втома від сповіщень» (Alert Fatigue).
Ми можемо уявити собі повсякденне життя комплаєнс-офіцера:
Щоранку він відкриває систему управління справами і бачить сотні тривог, які потребують обробки. Він натискає на першу, після півгодинного розслідування виявляє, що це нормальна комерційна діяльність клієнта, закриває. Друга - так само. Третя - знову ж таки... День за днем він затоплений в безмежному морі помилкових сповіщень. Початкове пильнування і серйозність поступово замінюються байдужістю і формалізмом. Він починає шукати «швидкий шлях» для закриття сповіщень, довіра до системи знижується до нуля. Врешті-решт, коли справжня висока ризикована тривога з'являється серед них, він, можливо, лише побіжно погляне на неї, звично позначивши як «помилкову тривогу», а потім закриє.
"Тривога втома" є останньою соломинкою, яка ламає лінію відповідності. Вона психологічно знищує бойовий дух команди з дотримання норм, перетворюючи їх із "мисливців" на ризики на "прибиральників" тривог. Уся енергія відділу відповідності витрачається на безрезультатну боротьбу з "зомбі-системою", в той час як справжні злочинці, прикриваючись шумом тривог, безтурботно проходять через лінію захисту.
На цьому етапі система KYT повністю "зупинила серцебиття" в процесі. Вона все ще генерує тривоги, але ці "серцебиття" втратили сенс, на них ніхто не реагує і ніхто не вірить. Вона повністю перетворилася на зомбі.
Раніше у мене був друг, чия компанія, намагаючись отримати ліцензію та догодити інвесторам, організувала класичний «драматичний спектакль з дотриманням законодавства»: голосно оголосила про закупівлю найкращих в галузі інструментів KYT і використала це як рекламний капітал для «зобов'язання дотримуватися найвищих стандартів відповідності». Але для економії коштів вони придбали послуги лише одного постачальника. Логіка керівництва була така: «Ми використовували найкраще, тому, якщо щось трапиться, не звинувачуйте мене». Вони вибірково забули, що будь-який окремий інструмент має сліпі зони.
Крім того, у команди з комплаєнсу не вистачає людей, і вони не розуміються на технологіях, тому можуть використовувати лише найосновніший статичний шаблон правил, наданий постачальником. Моніторинг великих транзакцій, фільтрація кількох публічних адрес зі списків чорного списку вважається виконанням завдання.
Найголовніше полягає в тому, що коли бізнес починає зростати, система сповіщень сиплеться, як сніг. Початкові аналітики швидко виявили, що понад 95% з них є помилковими сповіщеннями. Щоб виконати KPI, їхня робота перетворилася з «дослідження ризиків» на «закриття сповіщень». З часом ніхто більше не сприймав сповіщення всерйоз.
Професійні洗钱团伙 швидко вловили запах гнилі. Вони використали найпростіші, але ефективні методи, щоб перетворити цю «зомбі-систему» на свій банкомат: шляхом «розподілу на частини» за допомогою тактики «блакитного гнома», розділяючи кошти, отримані з незаконних азартних ігор, на тисячі невеликих транзакцій нижче контрольного порогу, маскуючи їх під повернення електронної комерції. Останній сигнал тривоги подали не члени їхньої команди, а їхній партнер-банк. Коли запит на розслідування регуляторних органів надійшов на стіл CEO, він ще був в повному недоумінні, а пізніше, за чутками, у них відібрали ліцензію.
Рисунок 2: Порівняння рівнів ризику різних блокчейн-мереж
Джерело даних: MetaComp Research - Порівняльний аналіз On-Chain KYT для AML&CFT, липень 2025 року. Графік показує, що в вибіркових даних частка транзакцій на ланцюгу Tron, які оцінюються як «серйозний», «високий» або «середньо-високий» ризик, значно перевищує частку на ланцюгу Ethereum.
Історії навколо — це дзеркало, яке відображає безліч фінансово-технологічних компаній, що грають у «комплаєнс-театр». Вони, можливо, ще не впали, просто їм пощастило, і професійні злочинні угруповання ще не звернули на них увагу. Але це, зрештою, лише питання часу.
Другий акт: від «зомбі» до «сторожа» — як пробудити вашу систему відповідності?
Після того, як ми розкрили паталогію «зомбі-системи» і стали свідками трагедії «комплаєнс-театру», ми не можемо обмежитися лише критикою та жалем. Як практики на передовій, нас більше цікавить: як знайти вихід? Як пробудити «зомбі», що вже близький до смерті, щоб перетворити його на справжнього «передового вартового», здатного діяти та захищати?
Відповідь не в тому, щоб купувати дорожчий, більш «авторитетний» інструмент, а в повній трансформації від концепції до тактики. Ця методологія вже давно є невід'ємною частиною справжніх практиків у галузі. А дослідження MetaComp вперше систематично кількісно оцінює і публікує це, надаючи нам чіткий і здійсненний бойовий посібник.
Ядро рішення: попрощатися з одноосібною грою, обійняти «багаторівневу систему захисту»
По-перше, необхідно кардинально відкинути мислення «купити інструмент і все». Справжня відповідність – це не однісенький спектакль, а битва, яка потребує побудови системи глибокої оборони. Ви не можете сподіватися, що один вартовий зупинить тисячі ворожих військ; вам потрібна триступенева оборонна мережа, що складається з вартових, патрулів, радарних станцій та центрів розвідки.
Тактичне ядро: комбінація з кількох інструментів
Тактичне ядро цієї оборонної системи - це "комбіновані удари з використанням багатьох інструментів". Сліпою зоною одного інструменту неминуче є, але сліпі зони кількох інструментів є взаємодоповнюючими. Завдяки перехресній перевірці ми можемо максимально зменшити простір для приховування ризиків.
Отже, виникає питання, скільки ж інструментів потрібно? Два? Чотири? Чи чим більше, тим краще?
Дослідження MetaComp дало надзвичайно важливу відповідь: комбінація трьох інструментів є золотою нормою для досягнення найкращого балансу між ефективністю, витратами та продуктивністю.
Ми можемо так просто зрозуміти цей «три комплекти»:
Перший інструмент — це ваш «передній дозор»: він може охоплювати найбільшу територію та виявляти більшість звичайних ризиків.
Другий інструмент – це ваш «Спеціальний патруль»: він може мати унікальні розвідувальні можливості в певній сфері (такій як ризики DeFi, спеціальна інформація про регіони), здатні виявляти приховані загрози, які «постові» не можуть помітити.
Третій інструмент - це ваш "аналітик інформації з тилу": він може мати найпотужніші можливості аналізу зв'язків даних, здатний з'єднати розрізнені підказки, виявлені попередніми двома, і намалювати повну картину ризиків.
Коли ці три елементи працюють разом, їхня сила далеко не просто сума. Дані показують, що перехід від двох інструментів до трьох призводить до якісного стрибка в ефективності відповідності. Звіт MetaComp вказує на те, що ретельно розроблена модель скринінгу з трьома інструментами може знизити «коефіцієнт пропуску» (False Clean Rate) ризикових транзакцій до менш ніж 0,10%. Це означає, що 99,9% відомих ризикових транзакцій будуть виявлені. Ось що ми маємо на увазі під «можливістю забезпечити відповідність».
У порівнянні, перехід з трьох інструментів на чотири, хоча й може ще більше знизити частоту пропусків, але його гранична вигода вже дуже мала, а витрати та затримки в часі є значними. Дослідження показують, що час скринінгу з чотирма інструментами може становити до 11 секунд, тоді як з трьома інструментами його можна контролювати на рівні близько 2 секунд. У ситуаціях, де потрібні рішення в режимі реального часу, ця різниця в 9 секунд може бути критичною для досвіду користувача.
Рисунок 3: Баланс між ефективністю та продуктивністю інструментів KYT
Джерело даних: MetaComp Research - Порівняльний аналіз On-Chain KYT для AML&CTF, липень 2025 року. Графік наочно демонструє вплив збільшення кількості інструментів на зниження «рівня пропусків» (ефективність) та збільшення «часу обробки» (ефективність), чітко вказуючи, що комбінація трьох інструментів є найбільш вигідним вибором.
Методологія впровадження: створення власного "правилового двигуна"
Вибравши правильну комбінацію «трьох компонентів», ви просто завершили оновлення обладнання. Більш важливим є те, як керувати цим багатонаціональним підрозділом для спільних бойових дій. Ви не можете дозволити трьом інструментам говорити різними мовами, вам потрібно створити єдиний командний центр — тобто ваш власний, незалежний від будь-якого окремого інструменту «правила двигун».
Перший крок: стандартизація класифікації ризиків — говорити однією мовою
Не можна дозволяти інструментам вести вас за носа. Різні інструменти можуть описувати один і той самий ризик під різними ярликами, такими як «Coin Mixer», «Protocol Privacy», «Shield» тощо. Якщо ваш фахівець з дотримання вимог повинен запам'ятовувати «діалекти» кожного інструмента, це стане справжньою катастрофою. Правильним рішенням буде створення єдиного, чіткого стандарту класифікації ризиків, а потім відображення всіх ризикових ярликів підключених інструментів до вашої власної системи стандартів.
Наприклад, ви можете створити таку стандартизовану категорію:
Таблиця 1: Приклад відображення категорій ризику
Таким чином, незалежно від того, який новий інструмент ви підключаєте, ви можете швидко «перекласти» його на єдину внутрішню мову, що дозволяє здійснювати горизонтальне порівняння та єдине прийняття рішень між платформами.
Другий крок: уніфікація ризикових параметрів та порогів — визначення чітких червоних ліній
Маючи єдину мову, наступним кроком є розробка єдиних «правил ведення бою». Вам потрібно на основі власного ризикового апетиту (Risk Appetite) та регуляторних вимог встановити чіткі, кількісні ризикові пороги. Це ключовий крок у перетворенні суб'єктивного «ризикового апетиту» на об'єктивні, виконувані машиною команди.
Ці правила не повинні бути лише простим порогом суми, а повинні бути більш складною, багатовимірною комбінацією параметрів, наприклад:
Визначення рівня серйозності: чітко визначити, які категорії ризиків належать до «серйозних» (наприклад, санкції, фінансування тероризму), які належать до «високих ризиків» (наприклад, крадіжка, темна мережа), а які є «прийнятними» (наприклад, біржі, DeFi).
Поріг забруднення на рівні транзакції (Transaction-Level Taint %): визначає, коли пропорція коштів, що непрямо походять з високоризикових джерел, досягає певного рівня в транзакції, необхідно активувати сигнал тривоги. Цей поріг має бути науково визначений на основі великої кількості даних, а не прийнятий спонтанно.
Порог накопленого ризику на рівні гаманця (Cumulative Taint %): визначає, при якому відсотку фінансових операцій гаманця з адресами високого ризику за всю його історію транзакцій, він повинен бути позначений як гаманець високого ризику. Це дозволяє ефективно виявляти адреси «старих шахраїв», які довгий час займаються сірими угодами.
Ці пороги є «червоними лініями», які ви визначили для системи відповідності. Як тільки вони будуть досягнуті, система повинна реагувати відповідно до заздалегідь визначеного сценарію. Це робить весь процес прийняття рішень щодо відповідності прозорим, послідовним та виправданим (Defensible).
Третій крок: розробка багатошарового робочого процесу перевірки — тривимірний удар від точки до площини
Нарешті, вам потрібно інтегрувати стандартизовану класифікацію та уніфіковані параметри в автоматизований багаторівневий процес відбору. Цей процес має діяти як точний фільтр, який поступово фільтрує та зосереджується на ризиках, уникаючи при цьому надмірного втручання у велику кількість низькоризикових транзакцій.
Ефективний робочий процес повинен принаймні містити наступні кілька етапів:
Рисунок 4: приклад ефективного багаторазового скринінгового робочого процесу (адаптовано з методології MetaComp KYT)
Попереднє сканування (Initial Screening): всі хеші транзакцій та адреси контрагентів спочатку паралельно скануються за допомогою інструменту «Три елементи». Якщо будь-який з інструментів видає тривогу, транзакція переходить до наступного етапу.
Пряме оцінювання ризику (Direct Exposure Assessment): система визначає, чи є сигнал тривоги «прямим ризиком», тобто адреса контрагента сама є позначеною як «серйозна» або «високий ризик». Якщо так, це сигнал тривоги найвищого пріоритету, що має негайно ініціювати процес заморожування або ручної перевірки.
Аналіз експозиції на рівні транзакцій (Transaction-Level Exposure Analysis): якщо немає прямої експозиції, система починає «слідкувати за фінансами», аналізуючи, яку частину (Taint %) коштів цієї транзакції можна непрямо відслідкувати до джерела ризику. Якщо цей відсоток перевищує попередньо встановлене «поріг рівня транзакцій», переходять до наступного етапу.
Аналіз експозиції на рівні гаманця (Wallet-Level Exposure Analysis): для випадків, де ризик на рівні угоди перевищує допустимі норми, система проводить «повний медичний огляд» гаманця контрагента, аналізуючи загальний ризиковий стан його історичних угод (Cumulative Taint %). Якщо «здоров'я» гаманця також нижче встановленого «порогового значення на рівні гаманця», то угода остаточно вважається високим ризиком.
Кінцеве рішення (Decision Outcome): на основі остаточної оцінки ризику (серйозний, високий, середньо-високий, середньо-низький, низький) система автоматично або за підказкою людини виконує відповідні дії: пропуск, перехоплення, повернення або доповідь.
Ця особливість процесу полягає в тому, що вона перетворює ідентифікацію ризику з простого рішення «так / ні» на об'ємну оцінку, що проходить від точки (окремої транзакції) до лінії (грошового зв'язку), а потім до площі (портрета гаманця). Це дозволяє ефективно розрізняти «прямі» важкі ризики та «непрямі» потенційні ризики, що сприяє оптимізації розподілу ресурсів — швидка реакція на транзакції з найвищим ризиком, детальний аналіз транзакцій середнього ризику, а для більшості транзакцій з низьким ризиком — швидке пропускання, що ідеально вирішує конфлікт між «втомою від тривог» і «досвідом користувача».
Фінал: Зруйнувати сцену, повернутися на поле бою
Ми витратили багато часу на те, щоб розібрати патологію "зомбі-системи", проаналізували трагедію "комплаєнс-театру", а також обговорили "бойовий посібник" для пробудження системи. Тепер настав час повернутися до початку.
Найбільша небезпека «комплаєнс-театру» полягає не в тому, скільки бюджету та людських ресурсів він споживає, а в тому, що він приносить небезпечне, хибне «відчуття безпеки». Це змушує приймачів рішень помилятися, вважаючи, що ризики контролюються, і робітників ставати байдужими до безрезультатної праці день за днем. Мовчазна «зомбі-система» значно небезпечніша за систему, яка взагалі не існує, оскільки вона може призвести до небезпеки, коли ви зовсім не готові.
У сьогоднішній епосі, коли технології чорної промисловості та фінансові інновації синхронно еволюціонують, покладатися на один інструмент для моніторингу KYT не інакше як голим бігом на полі битви під вогнем. Злочинці отримали безпрецедентний арсенал — автоматизовані скрипти, крос-чейн мости, монети приватності, протоколи змішування DeFi, а якщо ваша система захисту все ще на рівні кількарічної давності, то зламати її — лише питання часу.
Справжня відповідність ніколи не є виставою для задоволення публіки або виконання перевірок. Це важка битва, тривала війна, яка потребує якісного обладнання (комбінування багатьох інструментів), суворої тактики (єдина методологія ризиків) та відмінних солдатів (професійна команда з дотримання норм). Це не потребує розкішної сцени та лицемірних аплодисментів, це потребує поваги до ризиків, чесності по відношенню до даних та постійного вдосконалення процесів.
Отже, я закликаю всіх працівників цієї галузі, особливо тих, хто має ресурси та приймає рішення: будь ласка, відмовтеся від ілюзії про «срібну кулю» (silver bullet) для вирішення проблем. У світі не існує чарівного інструмента, який міг би назавжди вирішити всі проблеми. Будівництво системи відповідності не має кінцевої мети, це динамічний процес життєвого циклу, який потребує постійної ітерації та вдосконалення на основі зворотного зв'язку з даними. Система захисту, яку ви створюєте сьогодні, завтра може виявитися з новими вразливостями; єдиним способом впоратися з цим є залишатися пильними, постійно вчитися і безперервно еволюціонувати.
Час зруйнувати цю фальшиву сцену «дотримання норм». Давайте повернемося з справжньою «системою нагляду» на той ризикований фронт, наповнений викликами, але також і можливостями, де ми зможемо по-справжньому захистити цінність, яку хочемо створити.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Коли інструмент KYT стає «зомбі-системою»: те, що ви вважаєте Відповідністю, насправді є пасткою
Автор: AiYing Compliance
У колі людей це всім відомо, що є два види відповідності: одна для регулятора, а інша - справжня, що дійсно працює. Перша називається «театр відповідності» (Compliance Theater), а друга - це справжнє управління ризиками. На жаль, абсолютна більшість установ, особливо тих, що шалено мчать на хвилі фінансових технологій, несвідомо грають у першу виставу.
Що таке суть "Комплаєнс-театру"? Це сцена, ретельно збудована для того, щоб впоратися з перевірками, отримати ліцензію і заспокоїти інвесторів. На цій сцені правильність процесу переважає все, а якість звітів значно важливіша за виявлення ризиків. Актори (комплаєнс-офіцери) читають вже заздалегідь написані репліки (комплаєнс-інструкції), маніпулюючи розкішними реквізитами (дорогими системами), демонструючи глядачам (регуляторним органам) картину благополуччя. Лише б вистава пройшла добре, ліцензія була отримана, фінансування забезпечене — і всі задоволені.
А в цій великій драмі найрозкішнішими, найдорощими і найобманливішими реквізитами є ті, що виглядають так, ніби працюють цілодобово, але насправді вже давно вийшли з ладу і стали пустими «зомбі-системами». Особливо це стосується системи KYT (Know Your Transaction, дізнайся свою транзакцію), яка мала б бути найгострішим розвідником на передовій боротьби з відмиванням грошей (AML), але часто першою «гине», перетворюючись на зомбі, яке лише споживає бюджет і надає хибне почуття безпеки. Вона тихо лежить на сервері, зелена лампочка мерехтить, звіти генеруються, все нормально — поки справжня бомба не вибухає під її носом.
Це найбільша пастка відповідності. Ви думаєте, що купили найкраще обладнання, збудували непереможну лінію захисту, але насправді ви просто годуєте зомбі грошима та ресурсами. Воно не захистить вас, лише дозволить вам загинути безслідно, коли настане катастрофа.
Отже, виникає питання: чому наші великі інвестиції та людські ресурси, витрачені на закупівлю інструментів KYT, іноді стають бездушними оболонками? Що стоїть за цим: фатальна помилка у виборі технології, чи повний крах управління процесами? Або ж це неминучий результат обох чинників?
Сьогодні ми зосередимо увагу на фінансових технологіях та платіжній індустрії, найгарячішій сцені цього «регуляторного театру», особливо в умовах складного та мінливого регуляторного середовища та стрімкого зростання бізнесу на ринку Південно-Східної Азії. Тут відбуваються справжні вистави, а наше завдання – підняти завісу та поглянути на правду за кулісами.
Перша дія: Аналіз системи зомбі — як ваш інструмент KYT «помирає»?
Становлення «зомбі-системи» не відбувається миттєво. Вона не помирає раптово через якийсь грандіозний збій або катастрофічний Даунтайм, а швидше нагадує, як жаба, що вариться в теплій воді, поступово втрачає сприйняття, аналіз і реакцію в процесі щоденної «нормальної роботи», в кінцевому підсумку залишаючи лише оболонку, що підтримує життєві показники. Цей процес ми можемо розглянути з технічної та процесної точок зору, щоб побачити, як спочатку функціонуюча система KYT поступово йде до «смерті».
Технічний рівень «мозкової смерті»: одноточковий збій та ізоляція даних
Технологія є мозком системи KYT. Коли нейрони мозку розриваються, інформаційний потік блокується, а аналітичні моделі стають жорсткими, система переходить у стан «мозкової смерті». Вона продовжує обробляти дані, але вже втратила здатність до розуміння та оцінки.
Сліпа зона сприйняття одного інструменту: дивитися на світ одним оком
Надмірна залежність від єдиного інструменту KYT є головною та найпоширенішою причиною системних збоїв. Це майже загальновідома істина в колі, але в сценарії «театрів відповідності» заради досягнення так званої «авторитетності» та «спрощення управління» цей аспект часто вибірково ігнорують.
Чому кажуть, що єдиний інструмент є смертельним? Тому що жоден інструмент не може покрити всі ризики. Це як якщо б один охоронець одночасно спостерігав за ворогами з усіх сторін, у нього завжди буде сліпа зона. Нещодавно ліцензований постачальник цифрових активів у Сінгапурі MetaComp опублікував дослідницький звіт, який за допомогою тестових даних виявив цю жорстоку реальність. Це дослідження, аналізуючи понад 7000 реальних транзакцій, виявило, що покладатися лише на один або два інструменти KYT для перевірки може призвести до того, що до 25% високоризикових транзакцій буде помилково пропущено. Це означає, що чверть ризику просто ігнорується. Це вже не сліпа зона, а чорна діра.
Рисунок 1: Порівняння «Рівня пропуску» (False Clean Rate) під різними комбінаціями інструментів KYT
Джерело даних: MetaComp Research - Порівняльний аналіз On-Chain KYT для AML & CFT, липень 2025 року. Графік показує, що коли поріг ризику встановлено на «середньо-високий ризик», то максимальна частка пропущених випадків для одного інструменту може досягати 24,55%, для комбінації з двох інструментів - 22,60%, а для комбінації з трьох інструментів вона різко знижується до 0,10%.
Ця величезна ризикова експозиція виникає через внутрішні недоліки екосистеми інструментів KYT. Кожен інструмент заснований на своїх власних унікальних наборах даних та стратегіях збору інформації, що призводить до природних відмінностей та сліпих зон у кількох аспектах:
Різноманітність джерел даних: деякі інструменти можуть мати тісні зв'язки з правоохоронними органами США, що дає їм змогу краще охоплювати ризикові адреси в Північній Америці; інші ж можуть спеціалізуватися на азійському ринку і мати більш своєчасну інформацію про локалізовані шахрайські мережі. Жоден інструмент не може одночасно стати королем інформації для всіх регіонів світу.
Типи ризиків відрізняються за акцентом: деякі інструменти спеціалізуються на відстеженні адрес, пов'язаних зі списками санкцій OFAC, інші ж мають кращі технології для виявлення міксерів (Mixers) або ринків темної мережі (Darknet). Якщо обраний вами інструмент не може виявити основні типи ризиків, з якими стикається ваш бізнес, то він в основному є простою декорацією.
Оновлення затримки та затримка інформації: життєвий цикл адреси чорного ринку може бути дуже коротким. Ризикова адреса, позначена сьогодні одним інструментом, може бути синхронізована іншим інструментом лише через кілька днів або навіть тижнів. Ця тимчасова різниця в інформації достатня, щоб дозволити відмивачам грошей завершити кілька раундів операцій.
Отже, коли організація покладає всі свої надії на один інструмент KYT, вона насправді грає в азартну гру — ставить на те, що всі ризики, з якими вона стикається, будуть точно в «пізнавальних межах» цього інструмента.
«Недоїдання», спричинене даними-островами: з чого ж бере початок річка?
Якщо говорити, що окремий інструмент є вузьким, то інформаційний острів є повним «недоїданням». Система KYT ніколи не була ізольованою системою, її ефективність базується на комплексному розумінні контрагентів та торгових дій. Вона потребує постійного надходження «даних-нутрієнтів» з кількох джерел, таких як система KYC (знай свого клієнта), система оцінки ризиків клієнтів, бізнес-системи тощо. Коли ці канали даних заблоковані або якість самих даних низька, KYT стає безводною рікою, втрачаючи базу для судження.
У багатьох швидко розвиваються компаніях з платежів така ситуація не є рідкістю:
Команда KYC відповідає за допуск клієнтів, їхні дані зберігаються в системі A; команда управління ризиками відповідає за моніторинг交易, їхні дані в системі B; команда з комплаєнсу відповідає за звітування AML, вони користуються системою C. Три системи належать різним відділам, їх надають різні постачальники, і між ними практично немає реального обміну даними. В результаті, система KYT, аналізуючи реальну транзакцію, може спиратися на ризикову оцінку клієнта, яка була введена командою KYC три місяці тому. Цей клієнт, можливо, проявив різні високі ризикові дії протягом цих трьох місяців, але ця інформація застрягла в системі B команди управління ризиками, і система KYT про це нічого не знає.
Прямим наслідком цього "недоїдання" є те, що система KYT не може встановити точну базову лінію поведінки клієнтів (Behavioral Baseline). Однією з основних можливостей ефективної системи KYT є вміння виявляти "аномалії" — тобто відхилення від нормальних моделей поведінки клієнта. Але якщо система навіть не знає, що таке "нормальне" для клієнта, то про яку виявлення "аномалій" може йти мова? Врешті-решт, вона може звестися до використання найпримітивніших, найгрубших статичних правил, що призведе до виробництва великої кількості безцінних "сміттєвих сповіщень", наближаючи її до статусу "зомбі".
Статичне правило «к刻舟求剑»: шукати новий континент за старою картою
Методи злочинців швидко змінюються: від традиційного «розподілу на частини» (Smurfing) до використання DeFi-протоколів для міжблокчейнного відмивання грошей, а також до фальшивих транзакцій на ринку NFT, їхня складність та прихованість зростають експоненційно. Однак багато «зомбі-систем KYT» все ще залишаються на рівні кількох років тому, немов з старою морською картою намагаються знайти новий континент, приречені на невдачу.
Статичні правила, такі як «якщо одна транзакція перевищує 10 000 доларів, то сповіщати», сьогодні для представників чорного ринку здаються абсолютно незначними. Вони можуть легко за допомогою автоматизованих скриптів розділити велику суму на сотні або тисячі дрібних транзакцій, ідеально обходячи такі прості пороги. Справжня загроза ховається в складних поведінкових моделях:
Новий зареєстрований рахунок, який у короткий термін здійснює маломасштабні високоліквідні угоди з великою кількістю нерелевантних контрагентів.
Після швидкого надходження коштів, без жодної затримки, вони негайно розподіляються через кілька адрес, утворюючи класичний "Peel Chain".
Торгові шляхи пов'язані з високими ризиками змішаних послуг, незареєстрованими біржами або адресами з санкційних регіонів.
Ці складні моделі не можуть бути ефективно описані та зафіксовані статичними правилами. Їм потрібні моделі машинного навчання, які здатні зрозуміти торговельні мережі, аналізувати ланцюги фінансування та вчитися на ризикових характеристиках з величезних обсягів даних. Здоровий KYT-системи повинні мати динамічні, самовдосконалюючі правила та моделі. А "зомбі-системи" якраз втрачають цю здатність: їх бібліотека правил, як тільки встановлена, рідко оновлюється, в результаті чого вони залишаються далеко позаду в змаганні з чорним бізнесом, остаточно "мозково мертві".
Процесійний рівень "зупинки серця": від "раз і назавжди" до "втоми сигналізації"
Якщо технічний дефект призвів до «мозкової смерті» системи, то крах управління процесами безпосередньо призвів до «зупинки серця». Навіть якщо система технічно надсучасна, без правильних процесів для управління та реагування вона залишається лише купою дорогого коду. У «театрі відповідності» невдачі в процесах часто є більш прихованими, ніж технічні невдачі, і мають більшу руйнівну силу.
Ілюзія «перемога з моменту виходу на ринок»: сприймати весілля як кінець кохання
Багато компаній, особливо стартапів, дотримуються мислення «проектного підходу» у будівництві комплаєнсу. Вони вважають, що закупівля та впровадження системи KYT є проектом з чітким початком і кінцем. Як тільки система успішно запущена і пройшла регуляторну перевірку, цей проект оголошується успішно завершеним. Це найтиповіша ілюзія «комплаєнсного театру» — сприймати весілля як кінець кохання, вважаючи, що з цього моменту можна спати спокійно.
Однак, життєвий цикл системи KYT лише починається з першого дня її запуску. Це не інструмент, який можна використовувати «один раз і назавжди», а «живий організм», який потребує постійного догляду та оптимізації. Це включає:
Постійна калібрування параметрів: ринок змінюється, поведінка клієнтів змінюється, методи відмивання грошей змінюються. Моніторингові пороги та ризикові параметри системи KYT повинні відповідно коригуватися. Поріг сповіщення у 10 000 доларів, що був розумним рік тому, може вже не мати жодного сенсу після зростання обсягу бізнесу в десять разів.
Регулярна оптимізація правил: з появою нових ризиків необхідно постійно розробляти та впроваджувати нові правила моніторингу. Одночасно потрібно регулярно оцінювати ефективність старих правил, відкидаючи ті, що лише генерують помилкові сповіщення, «сміттєві правила».
Необхідне повторне навчання моделі: для систем, що використовують моделі машинного навчання, необхідно регулярно повторно навчати модель на основі найновіших даних, щоб забезпечити її здатність розпізнавати нові ризикові моделі та запобігти деградації моделі (Model Decay).
Коли організація потрапляє в ілюзію «запуск = перемога», ці критично важливі роботи з подальшого обслуговування ігноруються. Ніхто не несе відповідальності, немає бюджетної підтримки, система KYT схожа на спортивний автомобіль, покинутий у гаражі: навіть якщо двигун хороший, він повільно іржавіє і зрештою перетворюється на купу металобрухту.
«Втома від тривоги» перевантажує комплаєнс-офіцера: остання соломинка
Неправильно налаштована, недостатньо обслуговувана «зомбі-система» має найпряміші та найкатастрофічніші наслідки — це велика кількість хибних сповіщень (False Positives). За спостереженнями в галузі, у багатьох фінансових установах 95% або навіть понад 99% з попереджень, що генеруються системою KYT, врешті-решт виявляються хибними. Це не лише проблема неефективності, але й може викликати більш глибоку кризу — «втома від сповіщень» (Alert Fatigue).
Ми можемо уявити собі повсякденне життя комплаєнс-офіцера:
Щоранку він відкриває систему управління справами і бачить сотні тривог, які потребують обробки. Він натискає на першу, після півгодинного розслідування виявляє, що це нормальна комерційна діяльність клієнта, закриває. Друга - так само. Третя - знову ж таки... День за днем він затоплений в безмежному морі помилкових сповіщень. Початкове пильнування і серйозність поступово замінюються байдужістю і формалізмом. Він починає шукати «швидкий шлях» для закриття сповіщень, довіра до системи знижується до нуля. Врешті-решт, коли справжня висока ризикована тривога з'являється серед них, він, можливо, лише побіжно погляне на неї, звично позначивши як «помилкову тривогу», а потім закриє.
"Тривога втома" є останньою соломинкою, яка ламає лінію відповідності. Вона психологічно знищує бойовий дух команди з дотримання норм, перетворюючи їх із "мисливців" на ризики на "прибиральників" тривог. Уся енергія відділу відповідності витрачається на безрезультатну боротьбу з "зомбі-системою", в той час як справжні злочинці, прикриваючись шумом тривог, безтурботно проходять через лінію захисту.
На цьому етапі система KYT повністю "зупинила серцебиття" в процесі. Вона все ще генерує тривоги, але ці "серцебиття" втратили сенс, на них ніхто не реагує і ніхто не вірить. Вона повністю перетворилася на зомбі.
Раніше у мене був друг, чия компанія, намагаючись отримати ліцензію та догодити інвесторам, організувала класичний «драматичний спектакль з дотриманням законодавства»: голосно оголосила про закупівлю найкращих в галузі інструментів KYT і використала це як рекламний капітал для «зобов'язання дотримуватися найвищих стандартів відповідності». Але для економії коштів вони придбали послуги лише одного постачальника. Логіка керівництва була така: «Ми використовували найкраще, тому, якщо щось трапиться, не звинувачуйте мене». Вони вибірково забули, що будь-який окремий інструмент має сліпі зони.
Крім того, у команди з комплаєнсу не вистачає людей, і вони не розуміються на технологіях, тому можуть використовувати лише найосновніший статичний шаблон правил, наданий постачальником. Моніторинг великих транзакцій, фільтрація кількох публічних адрес зі списків чорного списку вважається виконанням завдання.
Найголовніше полягає в тому, що коли бізнес починає зростати, система сповіщень сиплеться, як сніг. Початкові аналітики швидко виявили, що понад 95% з них є помилковими сповіщеннями. Щоб виконати KPI, їхня робота перетворилася з «дослідження ризиків» на «закриття сповіщень». З часом ніхто більше не сприймав сповіщення всерйоз.
Професійні洗钱团伙 швидко вловили запах гнилі. Вони використали найпростіші, але ефективні методи, щоб перетворити цю «зомбі-систему» на свій банкомат: шляхом «розподілу на частини» за допомогою тактики «блакитного гнома», розділяючи кошти, отримані з незаконних азартних ігор, на тисячі невеликих транзакцій нижче контрольного порогу, маскуючи їх під повернення електронної комерції. Останній сигнал тривоги подали не члени їхньої команди, а їхній партнер-банк. Коли запит на розслідування регуляторних органів надійшов на стіл CEO, він ще був в повному недоумінні, а пізніше, за чутками, у них відібрали ліцензію.
Рисунок 2: Порівняння рівнів ризику різних блокчейн-мереж
Джерело даних: MetaComp Research - Порівняльний аналіз On-Chain KYT для AML&CFT, липень 2025 року. Графік показує, що в вибіркових даних частка транзакцій на ланцюгу Tron, які оцінюються як «серйозний», «високий» або «середньо-високий» ризик, значно перевищує частку на ланцюгу Ethereum.
Історії навколо — це дзеркало, яке відображає безліч фінансово-технологічних компаній, що грають у «комплаєнс-театр». Вони, можливо, ще не впали, просто їм пощастило, і професійні злочинні угруповання ще не звернули на них увагу. Але це, зрештою, лише питання часу.
Другий акт: від «зомбі» до «сторожа» — як пробудити вашу систему відповідності?
Після того, як ми розкрили паталогію «зомбі-системи» і стали свідками трагедії «комплаєнс-театру», ми не можемо обмежитися лише критикою та жалем. Як практики на передовій, нас більше цікавить: як знайти вихід? Як пробудити «зомбі», що вже близький до смерті, щоб перетворити його на справжнього «передового вартового», здатного діяти та захищати?
Відповідь не в тому, щоб купувати дорожчий, більш «авторитетний» інструмент, а в повній трансформації від концепції до тактики. Ця методологія вже давно є невід'ємною частиною справжніх практиків у галузі. А дослідження MetaComp вперше систематично кількісно оцінює і публікує це, надаючи нам чіткий і здійсненний бойовий посібник.
Ядро рішення: попрощатися з одноосібною грою, обійняти «багаторівневу систему захисту»
По-перше, необхідно кардинально відкинути мислення «купити інструмент і все». Справжня відповідність – це не однісенький спектакль, а битва, яка потребує побудови системи глибокої оборони. Ви не можете сподіватися, що один вартовий зупинить тисячі ворожих військ; вам потрібна триступенева оборонна мережа, що складається з вартових, патрулів, радарних станцій та центрів розвідки.
Тактичне ядро: комбінація з кількох інструментів
Тактичне ядро цієї оборонної системи - це "комбіновані удари з використанням багатьох інструментів". Сліпою зоною одного інструменту неминуче є, але сліпі зони кількох інструментів є взаємодоповнюючими. Завдяки перехресній перевірці ми можемо максимально зменшити простір для приховування ризиків.
Отже, виникає питання, скільки ж інструментів потрібно? Два? Чотири? Чи чим більше, тим краще?
Дослідження MetaComp дало надзвичайно важливу відповідь: комбінація трьох інструментів є золотою нормою для досягнення найкращого балансу між ефективністю, витратами та продуктивністю.
Ми можемо так просто зрозуміти цей «три комплекти»:
Перший інструмент — це ваш «передній дозор»: він може охоплювати найбільшу територію та виявляти більшість звичайних ризиків.
Другий інструмент – це ваш «Спеціальний патруль»: він може мати унікальні розвідувальні можливості в певній сфері (такій як ризики DeFi, спеціальна інформація про регіони), здатні виявляти приховані загрози, які «постові» не можуть помітити.
Третій інструмент - це ваш "аналітик інформації з тилу": він може мати найпотужніші можливості аналізу зв'язків даних, здатний з'єднати розрізнені підказки, виявлені попередніми двома, і намалювати повну картину ризиків.
Коли ці три елементи працюють разом, їхня сила далеко не просто сума. Дані показують, що перехід від двох інструментів до трьох призводить до якісного стрибка в ефективності відповідності. Звіт MetaComp вказує на те, що ретельно розроблена модель скринінгу з трьома інструментами може знизити «коефіцієнт пропуску» (False Clean Rate) ризикових транзакцій до менш ніж 0,10%. Це означає, що 99,9% відомих ризикових транзакцій будуть виявлені. Ось що ми маємо на увазі під «можливістю забезпечити відповідність».
У порівнянні, перехід з трьох інструментів на чотири, хоча й може ще більше знизити частоту пропусків, але його гранична вигода вже дуже мала, а витрати та затримки в часі є значними. Дослідження показують, що час скринінгу з чотирма інструментами може становити до 11 секунд, тоді як з трьома інструментами його можна контролювати на рівні близько 2 секунд. У ситуаціях, де потрібні рішення в режимі реального часу, ця різниця в 9 секунд може бути критичною для досвіду користувача.
Рисунок 3: Баланс між ефективністю та продуктивністю інструментів KYT
Джерело даних: MetaComp Research - Порівняльний аналіз On-Chain KYT для AML&CTF, липень 2025 року. Графік наочно демонструє вплив збільшення кількості інструментів на зниження «рівня пропусків» (ефективність) та збільшення «часу обробки» (ефективність), чітко вказуючи, що комбінація трьох інструментів є найбільш вигідним вибором.
Методологія впровадження: створення власного "правилового двигуна"
Вибравши правильну комбінацію «трьох компонентів», ви просто завершили оновлення обладнання. Більш важливим є те, як керувати цим багатонаціональним підрозділом для спільних бойових дій. Ви не можете дозволити трьом інструментам говорити різними мовами, вам потрібно створити єдиний командний центр — тобто ваш власний, незалежний від будь-якого окремого інструменту «правила двигун».
Перший крок: стандартизація класифікації ризиків — говорити однією мовою
Не можна дозволяти інструментам вести вас за носа. Різні інструменти можуть описувати один і той самий ризик під різними ярликами, такими як «Coin Mixer», «Protocol Privacy», «Shield» тощо. Якщо ваш фахівець з дотримання вимог повинен запам'ятовувати «діалекти» кожного інструмента, це стане справжньою катастрофою. Правильним рішенням буде створення єдиного, чіткого стандарту класифікації ризиків, а потім відображення всіх ризикових ярликів підключених інструментів до вашої власної системи стандартів.
Наприклад, ви можете створити таку стандартизовану категорію:
Таблиця 1: Приклад відображення категорій ризику
Таким чином, незалежно від того, який новий інструмент ви підключаєте, ви можете швидко «перекласти» його на єдину внутрішню мову, що дозволяє здійснювати горизонтальне порівняння та єдине прийняття рішень між платформами.
Другий крок: уніфікація ризикових параметрів та порогів — визначення чітких червоних ліній
Маючи єдину мову, наступним кроком є розробка єдиних «правил ведення бою». Вам потрібно на основі власного ризикового апетиту (Risk Appetite) та регуляторних вимог встановити чіткі, кількісні ризикові пороги. Це ключовий крок у перетворенні суб'єктивного «ризикового апетиту» на об'єктивні, виконувані машиною команди.
Ці правила не повинні бути лише простим порогом суми, а повинні бути більш складною, багатовимірною комбінацією параметрів, наприклад:
Визначення рівня серйозності: чітко визначити, які категорії ризиків належать до «серйозних» (наприклад, санкції, фінансування тероризму), які належать до «високих ризиків» (наприклад, крадіжка, темна мережа), а які є «прийнятними» (наприклад, біржі, DeFi).
Поріг забруднення на рівні транзакції (Transaction-Level Taint %): визначає, коли пропорція коштів, що непрямо походять з високоризикових джерел, досягає певного рівня в транзакції, необхідно активувати сигнал тривоги. Цей поріг має бути науково визначений на основі великої кількості даних, а не прийнятий спонтанно.
Порог накопленого ризику на рівні гаманця (Cumulative Taint %): визначає, при якому відсотку фінансових операцій гаманця з адресами високого ризику за всю його історію транзакцій, він повинен бути позначений як гаманець високого ризику. Це дозволяє ефективно виявляти адреси «старих шахраїв», які довгий час займаються сірими угодами.
Ці пороги є «червоними лініями», які ви визначили для системи відповідності. Як тільки вони будуть досягнуті, система повинна реагувати відповідно до заздалегідь визначеного сценарію. Це робить весь процес прийняття рішень щодо відповідності прозорим, послідовним та виправданим (Defensible).
Третій крок: розробка багатошарового робочого процесу перевірки — тривимірний удар від точки до площини
Нарешті, вам потрібно інтегрувати стандартизовану класифікацію та уніфіковані параметри в автоматизований багаторівневий процес відбору. Цей процес має діяти як точний фільтр, який поступово фільтрує та зосереджується на ризиках, уникаючи при цьому надмірного втручання у велику кількість низькоризикових транзакцій.
Ефективний робочий процес повинен принаймні містити наступні кілька етапів:
Рисунок 4: приклад ефективного багаторазового скринінгового робочого процесу (адаптовано з методології MetaComp KYT)
Попереднє сканування (Initial Screening): всі хеші транзакцій та адреси контрагентів спочатку паралельно скануються за допомогою інструменту «Три елементи». Якщо будь-який з інструментів видає тривогу, транзакція переходить до наступного етапу.
Пряме оцінювання ризику (Direct Exposure Assessment): система визначає, чи є сигнал тривоги «прямим ризиком», тобто адреса контрагента сама є позначеною як «серйозна» або «високий ризик». Якщо так, це сигнал тривоги найвищого пріоритету, що має негайно ініціювати процес заморожування або ручної перевірки.
Аналіз експозиції на рівні транзакцій (Transaction-Level Exposure Analysis): якщо немає прямої експозиції, система починає «слідкувати за фінансами», аналізуючи, яку частину (Taint %) коштів цієї транзакції можна непрямо відслідкувати до джерела ризику. Якщо цей відсоток перевищує попередньо встановлене «поріг рівня транзакцій», переходять до наступного етапу.
Аналіз експозиції на рівні гаманця (Wallet-Level Exposure Analysis): для випадків, де ризик на рівні угоди перевищує допустимі норми, система проводить «повний медичний огляд» гаманця контрагента, аналізуючи загальний ризиковий стан його історичних угод (Cumulative Taint %). Якщо «здоров'я» гаманця також нижче встановленого «порогового значення на рівні гаманця», то угода остаточно вважається високим ризиком.
Кінцеве рішення (Decision Outcome): на основі остаточної оцінки ризику (серйозний, високий, середньо-високий, середньо-низький, низький) система автоматично або за підказкою людини виконує відповідні дії: пропуск, перехоплення, повернення або доповідь.
Ця особливість процесу полягає в тому, що вона перетворює ідентифікацію ризику з простого рішення «так / ні» на об'ємну оцінку, що проходить від точки (окремої транзакції) до лінії (грошового зв'язку), а потім до площі (портрета гаманця). Це дозволяє ефективно розрізняти «прямі» важкі ризики та «непрямі» потенційні ризики, що сприяє оптимізації розподілу ресурсів — швидка реакція на транзакції з найвищим ризиком, детальний аналіз транзакцій середнього ризику, а для більшості транзакцій з низьким ризиком — швидке пропускання, що ідеально вирішує конфлікт між «втомою від тривог» і «досвідом користувача».
Фінал: Зруйнувати сцену, повернутися на поле бою
Ми витратили багато часу на те, щоб розібрати патологію "зомбі-системи", проаналізували трагедію "комплаєнс-театру", а також обговорили "бойовий посібник" для пробудження системи. Тепер настав час повернутися до початку.
Найбільша небезпека «комплаєнс-театру» полягає не в тому, скільки бюджету та людських ресурсів він споживає, а в тому, що він приносить небезпечне, хибне «відчуття безпеки». Це змушує приймачів рішень помилятися, вважаючи, що ризики контролюються, і робітників ставати байдужими до безрезультатної праці день за днем. Мовчазна «зомбі-система» значно небезпечніша за систему, яка взагалі не існує, оскільки вона може призвести до небезпеки, коли ви зовсім не готові.
У сьогоднішній епосі, коли технології чорної промисловості та фінансові інновації синхронно еволюціонують, покладатися на один інструмент для моніторингу KYT не інакше як голим бігом на полі битви під вогнем. Злочинці отримали безпрецедентний арсенал — автоматизовані скрипти, крос-чейн мости, монети приватності, протоколи змішування DeFi, а якщо ваша система захисту все ще на рівні кількарічної давності, то зламати її — лише питання часу.
Справжня відповідність ніколи не є виставою для задоволення публіки або виконання перевірок. Це важка битва, тривала війна, яка потребує якісного обладнання (комбінування багатьох інструментів), суворої тактики (єдина методологія ризиків) та відмінних солдатів (професійна команда з дотримання норм). Це не потребує розкішної сцени та лицемірних аплодисментів, це потребує поваги до ризиків, чесності по відношенню до даних та постійного вдосконалення процесів.
Отже, я закликаю всіх працівників цієї галузі, особливо тих, хто має ресурси та приймає рішення: будь ласка, відмовтеся від ілюзії про «срібну кулю» (silver bullet) для вирішення проблем. У світі не існує чарівного інструмента, який міг би назавжди вирішити всі проблеми. Будівництво системи відповідності не має кінцевої мети, це динамічний процес життєвого циклу, який потребує постійної ітерації та вдосконалення на основі зворотного зв'язку з даними. Система захисту, яку ви створюєте сьогодні, завтра може виявитися з новими вразливостями; єдиним способом впоратися з цим є залишатися пильними, постійно вчитися і безперервно еволюціонувати.
Час зруйнувати цю фальшиву сцену «дотримання норм». Давайте повернемося з справжньою «системою нагляду» на той ризикований фронт, наповнений викликами, але також і можливостями, де ми зможемо по-справжньому захистити цінність, яку хочемо створити.