Гонка за «Travel Rule»: каким будет решение по соблюдению требований FATF

С июня этого года криптокомпании должны соблюдать «Travel Rule», предписанное FATF — сообщать друг другу данные пользователей, совершивших транзакции. Однако это не простая задача для игроков крипторынка: нужно выработать единые стандарты и выбрать среди нескольких конкурирующих решений, которые должны обеспечить соблюдение требований FATF. Каковы технические сложности разработки подобного решения и основные подходы к нему, разобрался DeCenter.

Что требует «Travel Rule»

В июне 2019 года FATF, международная организация, занимающаяся борьбой с отмыванием денег и финансированием терроризма, выпустила руководство по регулированию оборота криптовалют. Документ предписывает криптоплатформам обмениваться данными пользователей (имена, адреса и номера кошельков отправителя и получателя), совершивших транзакции от 1000 долларов или евро. Эти требования распространяются на всех поставщиков услуг в сфере виртуальных активов, или VASP (Virtual Asset Services Providers)»: криптобиржи, хедж-фонды и провайдеры криптосервисов.

39 стран-участников FATF должны были внедрить правила организации в свои законодательства до июня этого года, иначе их внесли бы в «черный список FATF». Аналогичное требование к контролю за данными пользователей в мае 2019 года выдвинуло и Подразделение по борьбе с финансовыми преступлениями США (FinCEN). Но у американских компаний был срок до ноября прошлого года. Этой весной FinCEN начало штрафовать криптокомпании, не выполняющие «Travel Rule».

Требования «Travel Rule» создали уникальную проблему для VASP — соблюсти предписания регуляторов и в то же время попытаться сохранить конфиденциальность пользователей, придерживаясь основных ценностей, представленных Сатоши Накамото в 2008 году.

Каким должно быть решение «Travel Rule» для криптокомпаний

Уже год криптокомпании работают над техническим решением, которое позволит криптоплощадкам соблюдать требования FATF и, прежде всего, «Travel Rule». Это непростая задача — в отрасли не было готовой инфраструктуры, позволяющей соблюдать требования FATF и FinCEN. Пришлось все создавать с нуля в короткие сроки.

Прежде всего эти решения предполагают технологические сложности. Идентифицировать пользователей криптоплощадок несложно — достаточно ввести KYC-проверку. Но чаще всего непонятно то, на какой кошелек уходят средства — на биржевой или личный. Также было неясно, как площадки должны обмениваться данными о пользователях, сохраняя их конфиденциальность. Не помогала делу и спешка из-за скорого дедлайна, из-за которой в короткий срок пришлось продумать схему работы решения, написать его код, протестировать и провести аудит на соответствие предписаниям FATF.

Сама FATF не выдвинула к решению «Travel Rule» конкретных требований, но в отрасли шла активная дискуссия о том, каким оно должно быть: централизованным или децентрализованным, платным или нет, единообразным и унифицированным или лучше предоставить рынку несколько конкурирующих решений.

В связи с чем в июне 2019 года 20 крупнейших VASP собрались на конференцию V20 с участием представителей FATF и выработали критерии, которым должно соответствовать идеальное решение. Оно должно быть:

 Быстрым, простым для интеграции и управления;

 Недорогим или бесплатным;

 Глобальным стандартом передачи данных о пользователях между площадками;

 Совместимым со всеми цифровыми активами и VASP;

 Полностью масштабируемым;

 Конфиденциальным в отношении пользовательских данных;

 Защитой от киберугроз;

 Выявляющим подозрительные транзакции и преступное поведение;

 А также оно должно свести к минимуму влияние регулятора, но соответствовать всем предписаниям FATF и национальному законодательству, а еще быть гибким для новых правил.

Основные подходы к решению «Travel Rule»

За год на рынке появилось около 20 решений, основанных на конкурирующих концепциях. Рассмотрим основные подходы к проблеме и получившиеся продукты.

Крипто-аналог SWIFT. Этот подход предполагает создание централизованной службы обмена данными через единую точку доступа на основе API, применение одинаковых правил ко всем VASP, использование стандартизированного формата для их идентификации и обмена информацией о транзакциях. Такое решение напоминает систему межбанковской передачи информации и совершения платежей SWIFT. Оно защищает информацию от несанкционированного вмешательства, архивирует копии всех переданных сообщений и несет ответственность за технические сбои.

В таком ключе развивается, например, платформа обмена сообщениями Sygna Bridge, разработанная тайваньской компанией CoolBitX. Ее централизованное решение позволяет криптобиржам передавать идентификаторы отправителей и получателей каждой транзакции. Главное преимущество этого решения для VASP в том, что для его использования криптоплощадке достаточно лишь раз интегрировать его со своим API, после чего она получает уникальный идентификационный код и связывается с другими VASP по защищенному каналу. Биржи могут идентифицировать друг друга при совершении транзакций, проверять их происхождение и выбирать, принять их или отклонить. При этом Sygna Bridge не обладает доступом к этим данным. Сейчас CoolBitX тестирует решение с несколькими японскими площадками, а также занимается созданием консорциума Sygna Alliance, цель которого — построить всю необходимую инфраструктуру.

В июне о разработке протокола для соблюдения «правила путешествия» Travel Rule Protocol (TRP) объявил нидерландский банк ING Bank. Решение основано на протоколе REST («передача состояния представления») и также напоминает архитектуру SWIFT. ING Bank в настоящее время не рассматривает сделки с криптовалютами, но будет фокусироваться на security-токенах и аналогичных продуктах. Это первый случай банковской разработки в этом направлении. Решение было поддержано британским банком Standard Chartered Bank, Fidelity Digital Assets, BitGo, Crypto Broker AG, Metaco, 21 Analytics и рядом других криптокомпаний.

Решения с центром сертификации. Этот подход также предполагает единый стандарт и использование открытого API, но через децентрализованное одноранговое соединение без центрального органа. Эта система похожа на то, как работают сайты, а вся архитектура идентична протоколу SSL.

Для идентификации используются инфраструктура открытых ключей и система сертификатов — структуры, содержащие информацию о владельце открытого ключа, позволяющие сторонам обмениваться данными без подключения друг к другу. По сути, это цифровая подпись, подтверждающая личность отправителя и содержащая основные данные о нем. После выпуска сертификат уже не может быть изменен, иначе станет недействительным. Управление и обмен сертификатами происходят через Центр сертификации (также известен как Удостоверяющий центр). VASP отправителя создают сертификат транзакции, который содержит информацию о ней. Центр сертификации проверяет его и передает VASP получателя. Тот, в свою очередь, должен подтвердить, что действительно получил транзакцию. Для упрощения работы также формируется каталог проверенных VASP.

В этом направлении развивается, например, решение с открытым кодом от компании Netki — TransactID. Оно существует как сервис цифровой идентификации с 2016 года, но было обновлено для соответствия требованиям FATF. TransactID основан на самой распространенной форме сертификатов — X.509, используемой для проверки прав собственности на сайт или обмена идентификационной информацией — в данном случае он отвечает за идентификацию отправителя и получателя в транзакции. Сертификат X.509 содержит личную информацию каждой стороны, а также открытый ключ, который подписан Центром сертификации и подтверждает подлинность личности стороны для ее контрагента. X.509 применяется с 1988 года и широко признан правительственными и регулирующими органами в качестве юридически действительной формы идентификации. По замыслу разработчиков, это упрощает его принятие. Для компаний, которые используют сертификаты Netki, решение платное — около $1 за пользователя в дополнение к другим затратам на настройку и лицензирование, а транзакционные сборы не предусмотрены. Для управления решением, как предполагается, необходимо будет создать некую глобальную некоммерческую структуру, аналогичную той, что управляет SSL-сертификатами.

Поставщик аналитических решений CipherTrace в партнерстве с Shyft Network создал коалицию криптокомпаний для разработки решения для соблюдения «Travel Rule» — Travel Rule Information Sharing Alliance (TRISA). Одноименное решение помогает VASP соблюдать FATF без изменения базового блокчейн-протокола, обмениваясь данными о транзакциях в частном порядке. Тестовая сеть была запущена в январе 2020 года. TRISA позволяет VASP договариваться о правилах совместного использования данных и отвечать требованиям нескольких юрисдикций и регламентам по защите данных, в том числе Общему регламенту по защите данных ЕС (GDPR). Благодаря своей высокой масштабируемости стандарт устойчив к угрозам безопасности, таким как DDoS-атаки.

TRISA использует инфраструктуру открытых ключей (PKI) — сочетание симметричного и асимметричного шифрования (закрытых и открытых ключей), PKI позволяет VASP сначала проверить получателя данных и лишь затем передать их. Для решения были разработаны специальные сертификаты «знай свой VASP».

TRISA — платформа с открытым исходным кодом. Поставщики программного обеспечения могут изменять его код или расширять программное обеспечение для интеграции с их приложениями. Базовое использование TRISA в качестве ПО с открытым исходным кодом бесплатно, компания берет плату лишь за расширенные услуги: настройку, обеспечение безопасности и техническое обслуживание. Так как проект открытый, TRISA также не монополизирует за собой это право.

Еще в марте о тестировании TRISA объявила биржа Binance. В конце июня этого года TRISA сообщила о сотрудничестве с более чем полусотней криптокомпаний, а также об интеграции с недавно запущенным платежным сервисом PayID от Ripple.

Блокчейн-решения. Этот подход предполагает соблюдение «Travel Rule» на основе блокчейн-протоколов.

Наиболее известным примером является швейцарский OpenVASP, запущенный в конце 2019 года Bitcoin Suisse в сотрудничестве с биржей Lykke и криптобанками Seba и Sygnum. OpenVASP — децентрализованный протокол с открытым исходным кодом. По мнению разработчиков, децентрализация позволит проекту избежать проблем с уязвимостью единой точки сбоя, центральных серверов и каталогов. Сейчас команда OpenVASP поощряет компании к разработке решения, основанного на протоколе Whisper для Ethereum, который позволяет пользователям обмениваться сообщениями в той же сети, что и блокчейн. Но команда не настаивает на этом решении и отмечает, что могут использоваться и другие системы обмена сообщениями, соответствующие нужным требованиям.

Идентификация пользователей в OpenVASP происходит за счет смарт-контрактов с открытыми ключами. Whisper использует так называемую «темную маршрутизацию» для сокрытия от сторонних наблюдателей содержимого сообщений и сведений об отправителе и получателе (это похоже на анонимный просмотр сайтов с помощью Tor). В результате со стороны непонятно, как два VASP взаимодействуют друг с другом.

Сейчас разработчики OpenVASP ведут переговоры со многими крупными биржами, в том числе Binance, Kraken и Bitstamp.

Единый стандарт обмена данными уже выработан

Одной из проблем при разработке решения для соблюдения «Travel Rule» была необходимость установления единого для всей отрасли стандарта, благодаря которому любой VASP мог бы работать с другим VASP, не нарушая предписания регуляторов.

Для его выработки Палата цифровой торговли США (CDC), Организация мировых цифровых финансов (GDF) и Международная ассоциация бирж цифровых активов (IDAXA) создали совместную рабочую группу. В мае этого года она представила единый стандарт обмена данными, которыми VASP должны делиться друг с другом — InterVASP 101 (IVMS101). Он позволяет идентифицировать анонимных отправителей и получателей криптоплатежей, автоматически прикрепляя данные о них к каждой транзакции.

Это позволяет не только выполнить предписания регуляторов, но и значительно сократить количество возможных ошибок и издержки. IVMS101 получил поддержку разработчиков решений Sygna Bridge, TRISA, Notabene, Securrency и OpenVASP.

В заключение

Пока выбор конкретного решения — дело VASP, его юрисдикции, регистрации и сложившихся партнерств. Регуляторы пока не высказывались в пользу одного из решений.

Так, глава криптобиржи EXMO Сергей Жданов рассказал, что его площадка и ранее использовала решение CipherTrace для проверки транзакций — теперь она перешла на TRISA. «Если FCA [британский регулятор] устроит данный сервис, думаю, мы, скорее всего, будем пользоваться именно им, поскольку нам партнерство с CipherTrace нравится», — заявил Жданов.

За год активного поиска решения отрасль так и не пришла к единому подходу. Вероятнее всего, сначала на рынке будет конкуренция между несколькими стандартами решения «Travel Rule». Но в итоге основные игроки придут к общему стандарту, а конкуренция переместится на поставщиков этого решения.

Сергей Жданов аргументировал удобство и даже необходимость выработки единого стандарта примером из практики: «Как и любая крупная криптовалютная компания, мы часто сталкиваемся с мошенничеством. Например, когда взломали Bithumb, большая часть из украденных $18 млн перетекла на EXMO. Мы заблокировали абсолютно все средства благодаря очень сильной команде комплаенса и лишь потом получили сообщение в закрытый “биржевой” чат в Telegram, в котором есть представители абсолютно всех крупных бирж, с просьбой заблокировать средства на кошельках. Рынку совершенно точно необходим некий единый стандарт, который позволит нам гораздо успешнее и быстрее идентифицировать и блокировать мошенников, нежели чем в переписке в Telegram».

Источник: DeCenter

Читайте также

Вверх