2 записи с тегом "соответствие"

Запуск протокола или масштабирование ончейн-продукта — это уже не просто техническая задача. Регуляторы тщательно проверяют всё: от запуска токенов до конфиденциальности кошельков, в то время как пользователи ожидают защиты потребительского уровня. Чтобы продолжать уверенно развиваться, каждая команда основателей нуждается в структурированном подходе для перевода сложных юридических меморандумов в продуктовые решения. Основываясь на 50 наиболее распространенных вопросах, которые слышат юристы web3, этот справочник разбивает обсуждение на готовые к действию шаги для разработчиков.

1. Формирование и управление: Разделяйте Devco, Фонд и Сообщество​

• Выберите правильную структуру. Стандартные корпорации типа C (C-corps) или ООО (LLCs) по-прежнему лучше всего справляются с расчетом заработной платы, интеллектуальной собственностью (IP) и проверкой инвесторов. Если вы планируете управлять протоколом или программой грантов, отдельная некоммерческая организация или фонд обеспечит чистоту стимулов и прозрачность управления.
• Оформляйте каждое отношение. Используйте соглашения о передаче интеллектуальной собственности, соглашения о конфиденциальности и графики вестинга с четкими условиями (cliffs), блокировками (lockups) и положениями о возврате средств от недобросовестных участников (bad-actor clawbacks). Документируйте одобрения совета директоров и ведите таблицы капитализации токенов так же тщательно, как и реестры акционерного капитала.
• Проводите четкие границы между сущностями. Компания-разработчик может создавать продукты по лицензии, но бюджет, казначейская политика и права принятия решений должны принадлежать фонду или DAO, имеющему свой устав и конституцию. Если DAO требуется правосубъектность, оформите его как ООО или эквивалент.

2. Токены и ценные бумаги: Проектируйте для полезности, документируйте обоснование​

• Предполагайте, что регуляторы смотрят дальше ярлыков. Метки "управление" или "полезность" имеют значение только в том случае, если пользователи действительно взаимодействуют с живой сетью, покупают для потребления и им не обещают рост прибыли. Блокировки могут снизить спекуляцию, но должны быть оправданы как меры стабильности или защиты от атак Сивиллы (anti-sybil safeguards).
• Различайте доступ и инвестиции. Токены доступа должны читаться как пропуски к продукту — ценообразование, документация и маркетинг должны подтверждать право на услуги, а не на будущую прибыль. Стейблкоины запускают свои собственные режимы платежей или электронных денег в зависимости от резервов и прав на погашение.
• Относитесь к стейкингу и доходности как к финансовым продуктам. Любое обещание годовой процентной ставки (APR), объединения средств (pooling) или зависимости от усилий команды повышает риск ценных бумаг. Ведите простой маркетинг, делитесь факторами риска и разработайте соответствующий план SAFT-to-mainnet, если вы привлекаете средства с будущими токенами.
• Помните, что NFT могут быть ценными бумагами. Дробное владение, доли в доходах или формулировки о прибыли переводят их в инвестиционную категорию. Простые, потребительские NFT с явными лицензиями безопаснее.

3. Привлечение средств и продажи: Продвигайте сеть, а не "лунный выстрел"​

• Раскрывайте информацию как взрослый. Цель, функциональность, вестинг, распределения, ограничения на передачу, зависимости и использование выручки должны быть указаны в каждом меморандуме о продаже. Согласуйте маркетинговые тексты с этими документами — никаких твитов о "гарантированной доходности".
• Соблюдайте юрисдикционные границы. Если вы не можете соблюдать режимы США или другие режимы с высокими требованиями, используйте геофенсинг с проверками соответствия требованиям, договорными ограничениями и постпродажным мониторингом. KYC/AML является стандартом для продаж и всё чаще для аирдропов.
• Управляйте рисками продвижения. Кампании с инфлюенсерами требуют четкого раскрытия спонсорства и соответствующих сценариев. Листинги на биржах или сделки по маркет-мейкингу требуют письменных соглашений, проверок на конфликт интересов и честных сообщений площадкам.

4. AML, налоги и IP: Встраивайте контроль в продукт​

• Знайте свою регуляторную роль. Некастодиальное программное обеспечение сталкивается с более легкими обязательствами по AML, но как только вы касаетесь фиатных шлюзов, кастодиальных услуг или посреднического обмена, применяются правила для операторов денежных переводов или поставщиков услуг виртуальных активов (VASP). Подготовьте проверку на санкции, пути эскалации и готовность к правилу путешествий (travel-rule) там, где это применимо.
• Относитесь к токенам как к наличным для бухгалтерского учета. Поступления токенов обычно являются доходом по справедливой рыночной стоимости; последующие продажи вызывают прирост или убытки. Гранты на компенсацию часто создают налогооблагаемый доход при вестинге — используйте письменные гранты, отслеживайте базис и готовьтесь к волатильности.
• Соблюдайте границы интеллектуальной собственности. Сочетайте NFT и ончейн-контент с явными лицензиями, соблюдайте условия стороннего открытого исходного кода и регистрируйте товарные знаки. Если вы обучаете модели ИИ, подтвердите права на наборы данных и очистите конфиденциальные данные.

5. Конфиденциальность и данные: Ограничьте сбор, планируйте удаление​

• Предполагайте, что адреса кошельков являются персональными данными. Объедините их с IP-адресами, идентификаторами устройств или электронными письмами, и вы получите персональную идентифицируемую информацию (PII). Собирайте только то, что вам нужно, храните вне цепи, когда это возможно, и хешируйте или токенизируйте идентификаторы.
• Проектируйте для стирания. Неизменяемые реестры не освобождают вас от законов о конфиденциальности — храните PII вне цепи, удаляйте ссылки, когда пользователи запрашивают удаление, и разрывайте связи, которые могут повторно идентифицировать хешированные данные.
• Будьте прозрачны в отношении телеметрии. Баннеры с файлами cookie, раскрытие аналитических данных и возможность отказа — это базовые требования. Документируйте план реагирования на инциденты, который охватывает уровни серьезности, сроки уведомления и контактные данные.

6. Операции и риски: Проводите аудит заранее, общайтесь часто​

• Проводите аудит и раскрывайте информацию. Независимые аудиты смарт-контрактов, формальная верификация, где это оправдано, и постоянная программа вознаграждения за обнаружение ошибок (bug bounty) сигнализируют о зрелости. Публикуйте отчеты и четко объясняйте остаточные риски.
• Установите четкие Условия обслуживания. Подробно опишите статус кастодиального хранения, правомочность, запрещенные использования, разрешение споров и то, как вы обрабатываете форки. Согласуйте Условия обслуживания, политику конфиденциальности и поведение в продукте.
• Планируйте форки, страхование и трансграничный рост. Зарезервируйте права на выбор поддерживаемых цепей, дат снимков и путей миграции. Изучите страховое покрытие от киберрисков, преступлений, D&O (директоров и должностных лиц) и технологических ошибок и упущений (tech E&O). При работе по всему миру локализуйте условия, проверяйте экспортный контроль и используйте партнеров EOR/PEO, чтобы избежать неправильной классификации.
• Готовьтесь к спорам. Заранее решите, подходит ли арбитраж или отказ от коллективных исков вашей пользовательской базе. Регистрируйте запросы правоохранительных органов, проверяйте юридический процесс и объясняйте технические ограничения, такие как отсутствие хранения ключей.

7. Контрольный список действий для разработчика​

• Определите свою операционную роль: поставщик программного обеспечения, кастодиан, брокерская услуга или платежный посредник.
• Держите маркетинг фактическим и ориентированным на функциональность; избегайте формулировок, подразумевающих спекулятивную доходность.
• Минимизируйте кастодиальное хранение и сбор персональных данных; документируйте любые неизбежные точки соприкосновения.
• Поддерживайте актуальные документы для распределения токенов, дизайна управления, статуса аудита и решений по рискам.
• С первого дня закладывайте бюджет на юридические консультации, инструменты соответствия, аудиты, программы вознаграждения за ошибки и налоговую экспертизу.

8. Превращение юридических советов в скорость разработки продукта​

Регулирование не будет замедляться для разработчиков. Что меняет результаты, так это внедрение юридических соображений в управление бэклогом, управление казначейством и коммуникации с пользователями. Сделайте юридические консультации частью обзоров спринтов, репетируйте реагирование на инциденты и итерируйте раскрытие информации так же, как вы итерируете UX. Сделайте это, и 50 вышеупомянутых часто задаваемых вопросов перестанут быть препятствием и начнут превращаться в конкурентное преимущество для вашего протокола.

Если вы создаете платформу для криптоплатежей, возможно, вы говорили себе: «Моя платформа касается средств клиентов всего на несколько секунд. Это ведь не считается хранением, верно?» Это опасное предположение. Для финансовых регуляторов по всему миру даже кратковременный контроль над средствами клиентов делает вас финансовым посредником. Это краткое касание — даже на несколько секунд — влечет за собой долгосрочное бремя соблюдения требований. Для основателей понимание сути регулирования, а не только технической реализации вашего кода, имеет решающее значение для выживания.

Это руководство предлагает четкое руководство, которое поможет вам принимать умные, стратегические решения в сложной регуляторной среде.

1. Почему «всего несколько секунд» по-прежнему запускают правила денежных переводов​

Суть проблемы заключается в том, как регуляторы определяют контроль. Сеть по борьбе с финансовыми преступлениями США (FinCEN) недвусмысленна: любой, кто «принимает и передает конвертируемую виртуальную валюту», классифицируется как оператор денежных переводов, независимо от того, как долго хранятся средства.

Этот стандарт был подтвержден в руководстве FinCEN по CVC 2019 года и снова в оценке рисков DeFi 2023 года.

Как только ваша платформа соответствует этому определению, вы сталкиваетесь с рядом строгих требований, включая:

• Федеральная регистрация MSB: Регистрация в качестве предприятия по оказанию денежных услуг (Money Services Business) в Министерстве финансов США.
• Письменная программа AML: Создание и поддержание комплексной программы по борьбе с отмыванием денег.
• Подача CTR/SAR: Подача отчетов о валютных операциях (CTR) и отчетов о подозрительной деятельности (SAR).
• Обмен данными по Правилу путешествий: Обмен информацией об отправителе и получателе для определенных переводов.
• Постоянная проверка OFAC: Непрерывная проверка пользователей на соответствие санкционным спискам.

2. Смарт-контракты ≠ Иммунитет​

Многие основатели считают, что автоматизация процессов с помощью смарт-контрактов обеспечивает безопасную гавань от обязательств по хранению. Однако регуляторы применяют функциональный тест: они судят на основе того, кто имеет эффективный контроль, а не того, как написан код.

Целевая группа по финансовым мероприятиям (FATF) ясно заявила об этом в своем целевом обновлении 2023 года, указав, что «маркетинговые термины или самоидентификация как DeFi не являются определяющими» для регуляторного статуса.

Если вы (или мультиподпись, которую вы контролируете) можете выполнять любое из следующих действий, вы являетесь хранителем:

• Обновить контракт с помощью административного ключа.
• Приостановить или заморозить средства.
• Перемещать средства через контракт пакетного расчета.

Только контракты без административного ключа и с прямым расчетом, подписанным пользователем, могут избежать ярлыка поставщика услуг виртуальных активов (VASP) — и даже в этом случае вам все равно необходимо интегрировать проверку на санкции на уровне пользовательского интерфейса.

3. Обзор лицензирования​

Путь к соблюдению требований значительно различается в разных юрисдикциях. Ниже представлен упрощенный обзор глобального ландшафта лицензирования.

Регион	Текущий регулятор	Практические трудности
США	FinCEN + лицензии штатов MTMA	Двухуровневая система, дорогостоящие поручительства и аудиты. На данный момент 31 штат принял Закон о модернизации денежных переводов (MTMA).
ЕС (сегодня)	Национальные реестры VASP	Минимальные требования к капиталу, но права на «паспортизацию» ограничены до полной реализации MiCA.
ЕС (2026)	Лицензия MiCA CASP	Требование к капиталу в размере €125 тыс. – €150 тыс., но предлагает единый режим «паспортизации» для всех 27 рынков ЕС.
Великобритания	Реестр криптоактивов FCA	Требует полной программы AML и интерфейса, соответствующего Правилу путешествий.
Сингапур / Гонконг	PSA (MAS) / Постановление VASP	Требует разделения хранения и правила 90% холодных кошельков для активов клиентов.

4. Кейс-стади: Путь BoomFi к VASP в Польше​

Стратегия BoomFi представляет собой отличную модель для стартапов, ориентированных на ЕС. Компания зарегистрировалась в Министерстве финансов Польши в ноябре 2023 года, получив регистрацию VASP.

Почему это работает:

• Быстро и недорого: Процесс утверждения занял менее 60 дней и не имел жесткого минимального порога капитала.
• Повышает доверие: Регистрация свидетельствует о соблюдении требований и является ключевым требованием для европейских продавцов, которым необходимо работать с зарегистрированным VASP.
• Плавный переход к MiCA: Эту регистрацию VASP можно обновить до полной лицензии MiCA CASP на месте, сохраняя существующую клиентскую базу.

Этот облегченный подход позволил BoomFi получить ранний доступ к рынку и подтвердить свой продукт, одновременно готовясь к более строгой системе MiCA и будущему выходу на рынок США.

5. Модели снижения рисков для разработчиков​

Соблюдение требований не должно быть второстепенной задачей. Оно должно быть вплетено в дизайн вашего продукта с первого дня. Вот несколько моделей, которые могут минимизировать вашу подверженность лицензированию.

Архитектура кошелька

• Потоки с подписью пользователя и пересылкой через контракт: Используйте такие паттерны, как ERC-4337 Paymasters или Permit2, чтобы гарантировать, что все перемещения средств явно подписаны и инициированы пользователем.
• Самоуничтожение административных ключей с временной блокировкой: После аудита и развертывания контракта используйте временную блокировку, чтобы навсегда отказаться от административных привилегий, доказывая, что вы больше не имеете контроля.
• Раздельное хранение с лицензированными партнерами: Для пакетных расчетов сотрудничайте с лицензированным хранителем для агрегации и выплаты средств.

Операционный стек

• Предтранзакционная проверка: Используйте API-шлюз, который внедряет оценки OFAC и анализа цепочки для проверки адресов до обработки транзакции.
• Мессенджер Правила путешествий: Для меж-VASP переводов на сумму $1 000 или более интегрируйте решение, такое как TRP или Notabene, для обработки необходимого обмена данными.
• Сначала KYB, затем KYC: Проверяйте продавца (Know Your Business), прежде чем подключать его пользователей (Know Your Customer).

Последовательность расширения

1. Европа через VASP: Начните в Европе с национальной регистрации VASP (например, в Польше) или регистрации в FCA Великобритании, чтобы доказать соответствие продукта рынку.
2. США через партнеров: Пока ожидаются лицензии штатов, выходите на рынок США, сотрудничая с лицензированным банком-спонсором или кастодиальным учреждением.
3. MiCA CASP: Обновите до лицензии MiCA CASP, чтобы закрепить «паспорт ЕС» для 27 рынков.
4. Азиатско-Тихоокеанский регион: Получите лицензию в Сингапуре (MAS) или Гонконге (Постановление VASP), если объем и стратегические цели оправдывают дополнительные капиталовложения.

Ключевые выводы​

Для каждого основателя в сфере криптоплатежей помните эти основные принципы:

1. Контроль важнее кода: Регуляторы смотрят на то, кто может перемещать деньги, а не на то, как структурирован код.
2. Лицензирование — это стратегия: Легкая регистрация VASP в ЕС может открыть двери, пока вы готовитесь к юрисдикциям с более высокими капитальными затратами.
3. Разрабатывайте с учетом соответствия требованиям с самого начала: Контракты без административных ключей и API, учитывающие санкции, дают вам время и доверие инвесторов.

Стройте так, как будто однажды вас проверят — потому что, если вы перемещаете средства клиентов, вас проверят.