Блокчейн

Регулирование и compliance

В августе 2022 года Министерство финансов США наложило санкции на Tornado Cash - смарт-контракт для приватных транзакций на Ethereum. Не на компанию, не на человека - на код. Circle мгновенно заморозила 75K в USDC, GitHub удалил репозиторий, RPC-провайдеры заблокировали доступ. Разработчик Алексей Перцев был арестован в Нидерландах и осуждён на 5 лет 4 месяца. В крипто-сообществе разразился шок: «code is law» столкнулся с «law is law». Через два года Евросоюз запустил MiCA - первый всеобъемлющий крипто-закон, который заставил крупнейший стейблкоин мира (USDT) уйти с европейских бирж. А SEC к тому моменту уже засудила десятки проектов за продажу «незарегистрированных ценных бумаг», пользуясь тестом 1946 года. Можно ли регулировать то, что создавалось как нерегулируемое?

  • **Tether (USDT)** - стейблкоин с 100B+ market cap - был делистирован с европейских бирж после вступления MiCA в силу, потому что Tether не имеет e-money лицензии в ЕС и не раскрывает аудит резервов
  • **SEC vs Ripple (2020-2023)** - суд решил, что один и тот же токен (XRP) может быть security при продаже институционалам и не-security при покупке на бирже - создав прецедент, где статус актива зависит от контекста сделки, а не от природы самого актива
  • **VARA (Дубай)** - первый в мире регулятор, созданный специально для крипто-активов (2022) - привлёк Binance, Bybit, OKX и сотни других компаний, бегущих от неопределённости в США и жёсткости MiCA в ЕС

Предварительные знания

  • DAO: Decentralized Governance

KYC/AML: идентификация и борьба с отмыванием

Биткоин задумывался как «деньги без посредников» - никаких банков, никаких проверок личности. Но когда объём крипто-транзакций достиг триллионов долларов, государства потребовали применить к криптовалютам те же правила, что и к банкам. **KYC (Know Your Customer)** - обязательная идентификация клиента: паспорт, selfie, подтверждение адреса. **AML (Anti-Money Laundering)** - комплекс мер по предотвращению отмывания денег: мониторинг транзакций, отчёты о подозрительной активности, заморозка средств.

Главный архитектор глобальных AML-стандартов - **FATF (Financial Action Task Force)**, межправительственная организация, созданная G7 в 1989 году. В 2019 году FATF выпустила **Travel Rule** - требование, чтобы при переводе свыше $1,000 (в некоторых юрисдикциях - $3,000) отправитель и получатель были идентифицированы. Для банков это стандарт с 1996 года. Для криптобирж - революция: теперь Binance, отправляя BTC на Coinbase, обязан передать имя, адрес и ID отправителя. VASP-to-VASP (Virtual Asset Service Provider) коммуникация потребовала создания новых протоколов: **TRISA**, **TRP**, **OpenVASP**.

**On-chain аналитика** заполняет пробелы, которые не покрывает Travel Rule. Компании **Chainalysis**, **TRM Labs**, **Elliptic** анализируют блокчейн-транзакции и строят граф связей между адресами. Каждому адресу присваивается risk score: «зелёный» (биржа, известный протокол), «жёлтый» (неизвестный, но без подозрительных связей), «красный» (связь с sanctioned адресами, darknet, ransomware). Chainalysis обслуживает более 100 государственных агентств, включая FBI, IRS и Europol. В 2022 году их данные помогли конфисковать 3.6B в BTC, украденных при взломе Bitfinex в 2016 году.

**OFAC и Tornado Cash (август 2022)** - прецедент, изменивший индустрию. Министерство финансов США (OFAC) включило **смарт-контракт** Tornado Cash в санкционный список SDN - впервые в истории санкции были наложены не на человека или компанию, а на код. Результат: Circle заморозил 75K USDC на адресах Tornado Cash, GitHub удалил репозиторий, RPC-провайдеры (Infura, Alchemy) начали блокировать вызовы к контракту. Разработчик Tornado Cash Алексей Перцев был арестован в Нидерландах и осуждён на 5 лет 4 месяца. Суд постановил: даже если код open-source и автономен, его создатель несёт ответственность за использование.

**Compliant DeFi** - попытка совместить DeFi с регулированием. **Aave Arc** (запущен в 2022) - permissioned версия Aave, где доступ получают только прошедшие KYC пользователи через whitelist оператора Fireblocks. **Compound Treasury** позволяет институциональным инвесторам получать фиксированную доходность в USDC через compliance-обёртку. **Maple Finance** выдаёт under-collateralized кредиты институциональным заёмщикам после KYC. Парадокс: «compliant DeFi» сохраняет технологию (смарт-контракты, прозрачность), но отказывается от permissionless доступа - главного принципа DeFi.

OFAC в 2022 году наложило санкции на смарт-контракт Tornado Cash. Какое последствие это имело для DeFi-экосистемы?

Security Tokens: когда токен становится ценной бумагой

В 2017-2018 годах ICO-бум привлёк 20B+ инвестиций: проекты выпускали «utility tokens», утверждая, что это «доступ к платформе», а не инвестиция. SEC думала иначе. Главный вопрос регулирования: является ли токен **security (ценной бумагой)**? Если да - он подпадает под законы о ценных бумагах: регистрация, раскрытие информации, ограничения на продажу, защита инвесторов. Если нет - это commodity, utility или что-то совершенно новое.

Основной инструмент определения - **Howey Test**, созданный Верховным судом США в 1946 году по делу SEC v. W.J. Howey Co. Четыре критерия: 1. вложение денег 2. в общее предприятие 3. с ожиданием прибыли 4. получаемой от усилий других. Если все четыре - да, токен является security. Большинство ICO-токенов 2017 года подпадают: инвесторы вкладывали ETH (деньги), в проект команды (общее предприятие), ожидая роста цены (прибыль), благодаря работе разработчиков (усилия других).

**SEC vs Ripple (2020-2023)** - дело, определившее границы регулирования. SEC обвинила Ripple Labs в продаже незарегистрированных ценных бумаг (XRP) на 1.3B. В июле 2023 суд вынес частичное решение: **programmatic sales** (продажи на вторичном рынке через биржи) - **не security**, потому что покупатель на бирже не знает, идут ли деньги Ripple. Но **institutional sales** (прямые продажи фондам) - **security**, потому что инвесторы ожидали прибыль от усилий Ripple. Это решение создало двойственный прецедент: один и тот же токен может быть security в одном контексте и не-security в другом.

**Security Token Offerings (STO)** - легальная альтернатива ICO. В отличие от ICO, STO регистрируются у регулятора или используют exemptions: **Reg D** (продажа только accredited investors - состоятельным лицам с доходом >$200K/год), **Reg S** (продажа вне США), **Reg A+** (до $75M с упрощённой регистрацией). Tokenized securities - это традиционные активы (акции, облигации, недвижимость), представленные как токены на блокчейне. BlackRock BUIDL Fund (500M+) - токенизированные US Treasuries на Ethereum, доступные через KYC.

**ЕС** подходит к вопросу иначе. Вместо применения старого закона (как Howey Test 1946 года) ЕС разработал **Prospectus Regulation** - если токен квалифицируется как transferable security, эмитент обязан опубликовать проспект (документ раскрытия информации). Но определение security в ЕС не идентично американскому: governance token, дающий право голоса, но не обещающий прибыль, может не быть security по европейскому праву, но быть security по американскому. Эта асимметрия создаёт головную боль для проектов, работающих глобально.

Проект выпускает токен через ICO, собирая 50M от публичных инвесторов. Команда обещает построить платформу, которая «увеличит ценность токена». По Howey Test этот токен скорее всего:

MiCA: первый всеобъемлющий крипто-закон

Пока SEC регулировала крипту через enforcement actions (подавая в суд на проекты задним числом), Европейский Союз пошёл другим путём - написал закон с нуля. **MiCA (Markets in Crypto-Assets Regulation)** - первый в мире всеобъемлющий правовой фреймворк для криптоактивов, принятый в 2023 и вступивший в силу в 2024 году. MiCA создаёт единые правила для всех 27 стран ЕС: вместо того чтобы получать лицензию в каждой стране, крипто-компания получает одну лицензию CASP и работает по всему Евросоюзу.

MiCA разделяет криптоактивы на **три категории**, каждая со своими требованиями. **EMT (E-Money Tokens)** - стейблкоины, привязанные к одной фиатной валюте (USDC, USDT). Эмитент EMT обязан быть лицензированным кредитным или e-money institution, хранить 100% резервов в банках ЕС, и обеспечивать право на выкуп по номиналу в любой момент. **ART (Asset-Referenced Tokens)** - токены, привязанные к корзине активов или нескольким валютам (ранее Libra/Diem от Facebook). ART имеют самые жёсткие требования: капитал от €350K до €5M, stress-тестирование резервов, ограничения на объём транзакций. **Остальные криптоактивы** - всё, что не подпадает под первые два: Bitcoin, Ethereum, governance tokens, utility tokens.

**Влияние MiCA на стейблкоины** - самый заметный эффект. Tether (USDT), крупнейший стейблкоин (100B+ market cap), не соответствует требованиям MiCA: компания зарегистрирована в BVI, не имеет e-money лицензии в ЕС, и не обеспечивает полную прозрачность резервов. Результат: европейские биржи (Bitstamp, Kraken EU, OKX EU) были вынуждены **делистить USDT** для европейских пользователей. Circle (USDC), напротив, получила e-money лицензию во Франции и стала бенефициаром MiCA - доля USDC на европейских биржах выросла.

**MiCA vs SEC: два подхода к регулированию.** SEC использует **enforcement-first** подход: нет специального закона для крипто, регулятор применяет существующие законы 1930-40-х годов и подаёт в суд. Проекты узнают правила, когда их уже нарушили. MiCA использует **legislation-first** подход: сначала закон, потом enforcement. Компании знают правила заранее и могут подготовиться. Преимущество MiCA - правовая определённость: CASP-лицензия даёт однозначное право работать. Преимущество подхода SEC - гибкость: закон адаптируется к новым технологиям через судебные прецеденты, а не через многолетний законодательный процесс.

**Ограничения MiCA.** DeFi-протоколы пока **вне scope** - MiCA регулирует только централизованных посредников (CASP). Если Uniswap - автономный смарт-контракт без оператора, кому выдавать лицензию? NFT также в основном исключены (за исключением «фракционализированных» NFT, которые могут квалифицироваться как financial instruments). ЕС запланировал пересмотр scope MiCA с учётом DeFi и NFT. Вопрос не «будет ли DeFi регулироваться», а «когда и как».

Стейблкоин X привязан к доллару США (1:1), эмитент зарегистрирован на Каймановых островах, резервы хранятся в банках Гонконга, аудит резервов не проводился. Какой статус этого токена по MiCA?

Юрисдикции: глобальная война за крипто-компании

Криптовалюты глобальны - один смарт-контракт на Ethereum доступен из любой страны мира. Но регулирование - локальное. Результат: **regulatory arbitrage** - компании регистрируются в юрисдикции с наиболее благоприятным режимом. Binance переезжала из Китая в Японию, из Японии на Мальту, с Мальты - вообще «без штаб-квартиры». Ripple рассматривала переезд из США в Великобританию, Сингапур или Дубай. Выбор юрисдикции - стратегическое решение, определяющее доступ к капиталу, банкинг и юридические риски.

**США** - крупнейший рынок, но с самым запутанным регулированием. **SEC** считает большинство токенов securities и регулирует через enforcement. **CFTC** считает Bitcoin и Ethereum commodities и регулирует деривативы. **FinCEN** требует AML-compliance от money transmitters. **IRS** облагает крипто-доходы как property (capital gains). Проблема: SEC и CFTC годами спорят, кто регулирует крипту, а Конгресс не может принять единый закон. Результат - компании не знают правил, пока их не засудят.

**Налогообложение** - ещё один фактор выбора юрисдикции. В США крипта облагается как property: каждая продажа, обмен или даже покупка кофе за BTC - **taxable event** с capital gains tax до 37% (short-term). Германия - противоположный полюс: если холдить крипту больше 1 года, прибыль **полностью освобождена от налога**. Португалия до 2023 года не облагала крипто-прибыль вообще - и стала магнитом для крипто-номадов, пока не ввела 28% налог. ОАЭ - 0% подоходного налога, что привлекает и трейдеров, и компании.

**Regulatory arbitrage - не всегда спасение.** FTX зарегистрировалась на Багамах, рассчитывая на лёгкое регулирование. Когда биржа рухнула в ноябре 2022, обнаружилось: $8B пользовательских средств смешаны с деньгами Alameda Research, бухгалтерия велась в QuickBooks (программа для малого бизнеса), а «регулятор» Багамских островов не имел ресурсов для надзора за компанией с $32B оборота. Мягкое регулирование привлекает не только инновационные компании, но и мошенников - и когда всё рушится, пострадавшие остаются без защиты.

**Будущее: глобальная координация.** FATF устанавливает AML-стандарты для 200+ стран, но крипто-регулирование остаётся фрагментированным. **IOSCO (Международная организация комиссий по ценным бумагам)** в 2023 году опубликовала рекомендации для крипто-рынков - но они не binding. **FSB (Financial Stability Board)** работает над глобальными стандартами для стейблкоинов. Вопрос: возможна ли «единая» крипто-регуляция, если страны конкурируют за крипто-компании? Сингапур, Дубай, Швейцария не заинтересованы в гармонизации с жёстким американским подходом - мягкое регулирование привлекает бизнес и налоговую базу.

**CBDC (Central Bank Digital Currency)** - ответ центральных банков на крипто-угрозу. 130+ стран исследуют CBDC, 11 уже запустили (включая Нигерию, Багамы, Ямайку). Китай тестирует **цифровой юань (e-CNY)** с 2020 года: 260 миллионов кошельков, 250B в транзакциях. ЕС разрабатывает **цифровой евро** (запуск ~2027). CBDC - это не крипта: полный контроль центрального банка, возможность программируемых ограничений (деньги с «expiry date», запрет на определённые покупки), отсутствие приватности. Для государства CBDC - альтернатива стейблкоинам без рисков частных эмитентов вроде Tether.

Итоги

  • **KYC/AML** - фундамент крипто-compliance. FATF Travel Rule требует идентификацию при переводах от $1,000-$3,000. On-chain аналитика (Chainalysis, TRM Labs) покрывает то, что Travel Rule не может: DeFi, unhosted wallets, peer-to-peer. Санкции OFAC против Tornado Cash показали: код нельзя остановить, но инфраструктуру вокруг него - можно парализовать
  • **Howey Test (1946)** определяет, является ли токен security: вложение денег + общее предприятие + ожидание прибыли + от усилий других. SEC vs Ripple создал прецедент «контекстной классификации»: один токен может быть security при одних обстоятельствах и не-security при других. STO и Reg D/S/A+ - легальный путь для токенизированных ценных бумаг
  • **MiCA** - первый всеобъемлющий крипто-закон (ЕС, 2024). Три категории: EMT (стейблкоины на одну валюту), ART (привязка к корзине), другие. CASP-лицензия даёт passporting на 27 стран. USDT делистирован из-за несоответствия требованиям EMT. DeFi пока вне scope - но пересмотр неизбежен
  • **Юрисдикции** конкурируют за крипто-бизнес: Швейцария (ясность + крипто-банки), Дубай (0% налог + VARA), Сингапур (строгий, но предсказуемый MAS). США - наименее привлекательная из-за SEC/CFTC turf war и enforcement-first подхода. Regulatory arbitrage работает - но FTX на Багамах показал, что «лёгкое» регулирование не защищает пользователей
  • Санкции против Tornado Cash разрушили миф о нерегулируемости DeFi - и этот урок начался с вопроса: можно ли регулировать то, что создавалось как нерегулируемое? Ответ: код нельзя удалить, но экосистему вокруг кода - стейблкоины, RPC, фронтенды, разработчиков - можно контролировать полностью

Связанные темы

Регулирование связывает governance, стейблкоины, стандарты токенов и инфраструктуру кошельков:

  • DAO: децентрализованное управление — DAO не имеют юридического статуса в большинстве юрисдикций - Вайоминг (2021) первым признал DAO как LLC. Governance tokens могут быть классифицированы как securities по Howey Test. MiCA пока не регулирует DAO, но пересмотр запланирован
  • Стейблкоины — MiCA ввела жёсткие требования к стейблкоинам (EMT/ART): e-money лицензия, 100% резервов в банках ЕС, право на выкуп. USDT делистирован из ЕС, USDC получил лицензию. OFAC-заморозка USDC на адресах Tornado Cash показала centralization risk стейблкоинов
  • ERC стандарты — Security tokens используют ERC-1400 (compliance-ready) вместо обычного ERC-20: whitelisting, forced transfers, document management. ERC-3643 - стандарт для tokenized securities с on-chain identity verification
  • Кошельки и ключи — Travel Rule разделяет "hosted" (custodial, на бирже) и "unhosted" (non-custodial, личный) кошельки. ЕС рассматривает требование KYC для переводов на unhosted wallets свыше €1,000. Self-custody - последний рубеж privacy, который регуляторы пытаются ограничить

Вопросы для размышления

  • OFAC наложил санкции на код (Tornado Cash), а разработчик получил 5 лет тюрьмы за написание open-source софта. Должны ли разработчики нести ответственность за то, как используется их код - или это эквивалент наказания производителя ножей за убийство?
  • MiCA требует, чтобы стейблкоины хранили 100% резервов в банках ЕС. Это защищает пользователей от ситуации вроде Tether (непрозрачные резервы) - но также означает, что ни один децентрализованный стейблкоин (DAI, FRAX) не может полностью соответствовать. Как регулировать стейблкоины, не убивая инновации?
  • Швейцария, Дубай и Сингапур конкурируют за крипто-компании мягким регулированием, а FTX на Багамах показал, что мягкое регулирование не защищает пользователей. Возможен ли баланс между привлечением бизнеса и защитой инвесторов - или это zero-sum game?

Связанные уроки

  • sec-01
Регулирование и compliance

0

1

Войти

Децентрализованные протоколы невозможно регулировать - код автономен, у него нет оператора, и государства бессильны против смарт-контрактов

Государства не могут «выключить» смарт-контракт, но могут регулировать **инфраструктуру вокруг него**: стейблкоины (USDC заморожен на адресах Tornado Cash), RPC-провайдеры (Infura блокирует вызовы к sanctioned контрактам), фронтенды (GitHub удаляет репозитории), разработчиков (арест Алексея Перцева), фиатные on/off-ramps (биржи обязаны делистить). «Неостановимый код» бесполезен, если к нему невозможно подключиться, внести стейблкоины или вывести деньги в фиат.

Заблуждение основано на технической правде (смарт-контракт действительно нельзя удалить), но игнорирует экосистемную зависимость. DeFi-протокол работает не в вакууме: он зависит от стейблкоинов, RPC-нод, оракулов, фронтендов и фиатных мостов - и все эти компоненты имеют операторов, которых можно регулировать. Tornado Cash доказал это на практике: контракт существует на Ethereum, но его использование упало на 80%+ после санкций OFAC.

Крипто-стартап выбирает юрисдикцию для регистрации. Приоритеты: ясные правила, доступ к банковским услугам, быстрая лицензия. Налоговая ставка вторична. Какая юрисдикция подходит лучше всего?