Многие люди смутно представляют, что у финансовых институтов есть обязанность соблюдать Know Your Customer (KYC) и иметь программы AML (anti-moneylaundering), но что это означает на самом деле? Рад, что вы спросили.

С ними всё… сложно и запутанно, из-за чего у многих (внутри и вне этой отрасли) сложилось ошибочное впечатление об их уровнях широты и строгости. Кроме того, они достигают своих целей не самым очевидным образом, во многих отношениях нарушая наши ожидания о том, как работают законы в целом.

Обсуждать выбор политик без комментариев невозможно, поэтому для начала я должен дать некоторые объяснения. Когда-то я работал в Stripe, и, разумеется, проходил обязательное обучение комплаенсу. В статье я буду говорить только от своего лица и откровенно расскажу, какой не может быть культура отделов комплаенса и по каким причинам.

Стохастическое управление авариями со смертельными исходами

Давайте начнём с формулировки задачи: вы — большое государство, в котором много дорог. На этих дорогах гибнет множество людей. Благодаря накопленному за десятки лет опыту и попыткам строгих научных исследований вы выявили связь между превышением скорости и проблемой ДТП со смертельными исходами. Вы хотите, чтобы смертельных исходов было меньше. Как вам регулировать превышение скорости?

Например, можно использовать по всей стране ограничение скорости со строгим контролем его соблюдения, но, возможно, вам это и не требуется. Вы можете подумать: «В этой стране много дорог, и все они используются по-разному. Некоторые из них далеко в глуши, и в основном по ним ездят промышленные грузовики, поэтому мы не хотим, чтобы страдала торговля из-за агрессивного ограничения скорости на них. Кроме того, соотношение стоимости контроля к количеству спасённых жизней будет ужасным. С другой стороны, у нас есть и крупные города, и в этих больших городах мы наблюдаем большое количество смертельных исходов, поэтому там нужен строгий контроль скорости. Однако эти города — сами по себе государства в государстве, и у нас может и не быть прямого контроля за приоритетами их полицейских департаментов, пусть мы и косвенно можем регулировать их системы дорог. Хм...».

Вероятно, в конечном итоге вы остановитесь на стохастическом управлении. Вы захотите решать эту задачу, как статистическую, а не пытаться контролировать каждую дорогу, каждую ногу на каждой педали газа или каждый случай превышения скорости. Вы захотите создать новые законы физики для своих дорог и для местных властей, отвечающих за отдельные дороги и дорожные системы, благодаря чему возникнет статистический эффект снижения скорости.

Формально вы можете назвать правила «Дорогам, Очевидно, Разумно Ограничивать Гоночные Инстинкты» (потому что для законов стохастического управления красивые аббревиатуры обязательны). Знающие люди из вашего регулирующего аппарата поймут, что у этой политики есть высокоуровневая цель, поэтому возникнет сложный механизм, предназначенный для распространения косвенного влияния. А высокоуровневая цель политик — не принудительное ограничение скорости, а предотвращение смертей на дорогах.

И это первый важный контринтуитивный аспект применения KYC и AML: цель заключается не в том, чтобы банки хорошо знали своих клиентов, и не в том, чтобы предотвратить отмывание денег. Цель — стохастическое управление преступностью и терроризмом посредством реализации финансовой отраслью собственного стохастического управления по её правилам ведения бизнеса.

Крайне важно осознать, что KYC и AML не обязаны быть эффективными сами по себе, чтобы делать вклад в достижение этих целей. Это немного взрывает мозг, но мы вернёмся к этому чуть позже, когда поговорим об их собственных условиях.

Know Your Customer

Know Your Customer («Знай своего клиента») — это требование закона, чтобы финансовые институты стремились выявлять и надёжно документировать истинную личность людей, имеющих текущую возможность выполнять с ними определённые транзакции. Здесь крайне критично то, что эти три слова означают другое.

В них недооценивается степень, в которой финансовое регулирование выбирается или надгосударственными органами управления (например, Financial Action Task Force (FATF) или другими аббревиатурами региональных организаций), или создаётся посредством полномочий государства, которые затем внедряются в регулирование финансовой сферы. Короче это можно сформулировать так: «Да, в государстве есть конкретные законы по AML/KYC, но часто они не являются окончательным источником авторитета для этих политик, несмотря на то, что общество ожидает от государства, что оно будет регулировать собственную финансовую систему примерно так же, как регулирует собственную систему здравоохранения или сельского хозяйства».

Приблизительно за пятьдесят последних лет возник «международный консенсус» (как он называет себя сам) или консенсус политик многих крупных западных государств (что гораздо ближе к истине) о том, что на финансовую отрасль необходимо наложить обязанности, помогающие контролировать преступность. После 11 сентября 2001 года к этому консенсусу прочно добавилось контроль «финансирования терроризма», которое раньше было достаточно несущественным по сравнению с основной контролируемой преступной деятельностью (по большей мере это были контрабанда наркотиков и уклонение от уплаты налогов).

Первым заметным нормативным правовым актом в этой сфере стал Bank Secrecy Act (BSA) США; можно сказать, что он придуман для того, чтобы у банков было меньше тайн от государства. BSA — основной узаконенный источник требований KYC в США. В последующие годы он пересматривался и реорганизовывался, в том числе и Патриотическим актом, но юридическим термином для всех этих программ по-прежнему остаётся BSA.

Примечательно, что BSA по большей мере не требует и не запрещает напрямую какие-либо действия. В основном он требует, чтобы у финансовых институтов существовали задокументированные программы действий и чтобы они соблюдали их. Это стохастическое управление или (если угодно) регулирование процесса, а не результата.

Эта парадигма очень отличается от представления большинства людей о том, как происходит функционирование с разрешения закона. Существует потрясающее подкаст-интервью между играющим на понижение инвестором и положительно относящийся к криптовалютам исследователем банковской системы, в котором инвестор был поражён тому, что FTX, возможно, успешно пройдёт банковскую финансово-юридическую экспертизу (due diligence) [прим. пер.: в ноябре 2022 года FTX подала заявление о защите от банкротства, а подкаст был записан в декабре 2022 года]. Гость подкаста попытался вернуть разговор к тому, насколько мало регулирующие органы волнуют отдельные клиенты, и насколько для них важна адекватность программ.

Ключевая фраза в требованиях к программам заключается в том, что они «основаны на риске». Какое у этого определение? Его намеренно оставили достаточно смутным. При регулировании финансовой отрасли требуется существенная доля доверия с обеих сторон, в том числе и доверия к интерпретации обтекаемых формулировок приблизительно в правильном направлении.

Регулирование — это итеративная игра; и регулирующие органы, и финансовые институты понимают, что будут много раз встречаться друг с другом в течение долгих лет. Регулирующие органы в особенности ожидают многократно встречаться с конкретными генеральными директорами и директорами по надзору за нормативно-правовым соответствием на протяжении их карьеры, и получить долю власти над крупными организациями благодаря возможности завершения карьер этих людей.

Этих тонкостей нам не найти ни в одном формальном законе о финансовой отрасли, но все знают, что карьера директора по надзору за соответствием, утерявшего доверие регулирующего органа, уже закончена. Для этого не нужно запускать какие-то формальные процессы наподобие процедуры лишения права юридической практики с поиском доказательств и процессом апелляции. Регулирование финансовой сферы — это игра с доверием; чтобы внести человека в чёрный список, достаточно просто упомянуть, что вы больше не хотите иметь с ним дела. Справедливо ли это, правильно? Так ли, по нашему мнению, должно работать государство? Это уже не относится к моей епархии; просто знайте, что отдел надзора за нормативно-правовым соответствием (отдел комплаенса) подотчётен двум должностным лицам, и об этом знают все, кто связан с этим отделом.

Но вернёмся к фразе «основанное на риске»: какие транзакции находятся под наибольшим риском способствования преступлениям и тому подобному? Судя по истории законодательства и схожих входных данных в регуляторном принятии решений, нас больше беспокоят действия крупных картелей, государств-изгоев и тому подобных сущностей, и меньше беспокоит уличная преступность. Соответственно, большинство институтов, документирующих свою концепцию риска, будет проводить черту между уровнями риска на основании, среди прочего, объёмов транзакций и взаимоотношений с клиентами.

Часто эти же переломные точки оказываются (совершенно неслучайно) местами принятия ориентированных на бизнес-решений по сегрегации коммерческих предложений для различных счетов. Это бизнес-решение сильно упрощает администрирование для финансового института.

Таким образом, у организации обычно существует политика KYC, используемая для счетов розничных продавцов, счетов малого бизнеса, коммерческих счетов, банковских услуг частным клиентам и тому подобного. Организация заявляет, что, по её мнению, розничные клиенты представляют ограниченный риск, «зависящий от наблюдаемых фактов» (разумеется, здесь тоже крайне важен фактор личного отношения). И благодаря собственной характеристике малорискового розничного применения различных банковских продуктов, организация предоставляет удобный способ однократного подтверждения идентификации, удобный «опросник» об использовании её продуктов и удобную программу текущего мониторинга.

Многие люди считают, что закон требует от банка, чтобы для открытия банковского счёта обязательно лично предоставлялся идентифицирующий личность документ государственного образца. И это тоже неверно; закон очень редко требует каких-то конкретных действий. Самые строгие требования в США заключаются в том, что требуемая информация KYC о клиенте должна включать в себя его истинную личность, в том числе и имя (кстати, не его «истинное» имя, потому что государства имеют некое смутное представление о том, что его не существует), адрес проживания, дату рождения и идентификационный номер.

Но и из этого иногда бывают исключения. Нормы KYC складывались поэтапно в течение десятков лет, а сроки жизни банковских счетов могут быть очень долгими. Существует множество программ KYC, по которым имеются письменные руководства, утверждающие, что старые клиенты или клиенты, «лично известные персоналу банка», считаются банком малорискованными, а потому политика допускает отсутствие фотокопии удостоверяющего личность документа (и представители регулирующих органов не запрещают такую политику).

Это является темой договорённостей между каждым институтом/регулирующим органом, а также в общей массе; местные мелкие банки делали упор на то, что длительные отношения с их соседями-клиентами — это более качественная защита, чем предоставление паспорта. Крупные центральные банки посмотрели на накопившийся в их отделах ИТ мусор, вызванный рекурсивными слияниями, и решили: «Так, если какие-то данные были в базе данных в Кентукки в 1985 году, то разве так уж это важно по сравнению с интересами государства, например, то, что в этом месяце в Кентукки выплатят пенсии сотне тысяч учителей?». (Это не особо точный пример, но в целом он отражает общий смысл попыток выполнения обратно несовместимых апгрейдов финансовой инфраструктуры и сложной политэкономии создания неудачников, попавших в шестерни этих апгрейдов.)

KYC искусственных интеллектов и других нелюдей

Многие пользователи банковской системы — необязательно люди; довольно часто возникает вопрос: «эта личность — человек, или юридическая личность?». Корпорации и им подобные тоже подвергаются регулированию KYC; избавлю вас от ненужных подробностей и просто скажу, что знакомство с компанией означает и знание идентифицирующих фактов о ней, и знание (сегодня) о её руководстве и выгодополучателях (часто у компаний есть руководители и владельцы, не являющиеся людьми); здесь можно сколь угодно высоко подниматься по цепочке, пока мы не доберёмся до реальных людей.

Как со всем этим работают на практике? Это сложно и зависит от контекста!

Предпринимателям, считающим, что определённые банковские продукты плохи конкретно из-за KYC, очень важно понимать, что существуют некие степени свободы. Многие люди пришли к выводу (по крайней мере, до пандемии), что из-за KYC невозможно открывать счета онлайн. Очевидно, что это чушь.

KYC со всей определённостью применима, например, к счетам кредитных карт. Подавляющее их большинство открывается без посещения отделения банка. Ещё задолго до того, как люди узнали о существовании веб-браузеров, можно было подать заявление на выпуск кредитной карты, находясь в самолёте, летящем над Тихим океаном. Бортпроводник принимал заявление, а в дальнейшем оно отправлялось по почте в банк, который отправлял новые средства для доступа к счёту (например, карту) на почтовый ящик.

Позволяет ли KYC, например, открыть расчётный счёт бизнеса без посещения отделения? Вы задаёте не тот вопрос. Что, согласно политике Customer Identification Program (CIP) для расчётных счетов бизнеса, требуется по KYC для нового счёта бизнеса? Говорится ли в ней, что их можно открывать только при физическом присутствии представителя бизнеса в отделении банка? Если да, то представителю бизнеса необходимо будет прийти в отделение. Если в ней ничего не написано о приходе в отделение, и регулирующие органы вполне устроит то множество возможностей контроля, которое есть у банка, например, проверка документов организации и так далее, то регулирующий орган не волнует посещение банка. (В случае карты, открываемой через почту, в CIP, без сомнений, будет указано, например, что нужно будет проверить новый предлагаемый счёт в бюро кредитных историй и что предоставленная информация должна достаточно соответствовать ожиданиям, или же что следует пройти по следующей стрелке в диаграмме для устранения расхождений).

Многие люди необоснованно считают, что открытие счетов онлайн стало громким событием в 2016 году, когда Stripe Atlas начал помогать предпринимателям из многих стран открывать счета без посещения отделения. Нам просто нужно было найти банк, который бы устраивал уровень риска наших предпринимателей и другие наши способы контроля, согласно его собственным политикам, тщательно проверяемым регулирующими органами. Для этого потребовалось изобретательное управление бизнесом и большой объём трудной работы. Но никакой магии в этом не было.

За последние несколько лет в этой сфере не произошло никаких существенных изменений, однако пандемия создала проблемы у многих отделов комплаенса. Точнее, она создала проблемы у «бизнеса» во многих финансовых институтах, которые внезапно обнаружили в себе энергию для преодолевания инерции своего процесса открытия счетов, который чаще всего был не самым важным вопросом для большинства руководителей финансовых институтов. Многие институты внезапно разобрались, какие сочетания слов написаны в каких документах и произносились ранее о разрешении регулирующими органами открытия счетов онлайн. Всё это юридически было возможно в любой момент уже в течение нескольких десятков лет, и этому можно было отдать приоритет когда угодно.

У общества есть множество запросов к банковской системе

Повторюсь, что банки полностью осознавали, как это делать, например, для кредитных карт; в этой сфере это было практически обязательным из-за давления конкурентов. В отношении депозитных счетов существовало такое мнение: «Фу, для этого придётся работать с неопределённым, но, вероятно, низким ROI»; к тому же можно было удобно свалить вину за сложившееся равновесие продуктов на регулирующие органы. Регулирующие органы, со своей стороны, заявили (справедливо), что не запрещали никому Творить Добро™, но в то же время приоритет регулирования KYC выше, чем, например, у удобства доступа.

В политиках подобное перекладывание вины случается часто. В системе, где есть множество ответственных лиц, слишком часто бывает так, что эти лица считают себя причиной всего хорошего, созданного в экосистеме, и простым пассивным наблюдателем всего плохого.

Кстати, об удобстве доступа: необходимо ли финансовому институту проверять документ государственного образца? И мы снова задаём не тот вопрос. В политике CIP часто говорится, что это необходимо, потому что это легко обосновать. Если бы вопросы доступа были важнее всего для людей, составлявших политику CIP, то в ней могло появиться несколько страниц об альтернативных способах подтверждения личности.

Некоторые институты так и поступают. Я — ангел-инвестор необанка Seis, обслуживающего испаноговорящих жителей США; этот банк и его партнёры тщательно продумывали сопоставление требований регулирующих органов и реальности, в которой живут многие люди.

Однако многие институты провели такие расчёты: если у кого-то нет водительских прав, то он будет ужасно неудобным клиентом, не вносящим вклад в прибыль. Этой логике действительно соответствует множество людей, например, незадокументированные иммигранты, бедные люди, неплательщики алиментов и так далее. Все три категории подвергают финансовые институты существенному риску и затратам, не обеспечивая в перспективе выгодного использования банковских услуг. Вместо того, чтобы говорить, что отказ предоставлять такому человеку услуг — это бизнес-решение, сотрудники банка первой линии перекладывают вину на государство и говорят, что «ничего не могут поделать».

Можем ли мы сделать так, чтобы в программах KYC существовали аварийные люки при требовании документов, учитывающие социальное положение? Можем, и в некоторых политиках это прописано. Если это не было приоритетом для регулирующих органов или финансовой отрасли вашей страны, то их может и не существовать в вашей юрисдикции. Создание политик связано с компромиссами, в том числе и теми, которые не хотят признавать создающие их.

В опросах людей, не получающих банковского обслуживания, часто всплывает, что часть юридически малоимущих мужчин считает, что банки заберут у них деньги. По сути, эта их точка зрения верна. Мы отдаём приоритет сбору алиментов в ущерб тому, чтобы некоторые мужчины получали банковские услуги. Почти никому не нравится говорить, что так и задумано. Но да, общество бесспорно рассчитывает на этот исход.

Эффекты, достигаемые без эффективности

Вы можете посмотреть в стандартный опросник по KYC для нового розничного счёта и подумать: «Серьёзно? Вы задаёте вопросы, имеющие очевидно правильные ответы. Вы выделяете людям для ответа на них места, которого бы хватило только на твит. Как вообще можно уличить таким образом преступников, которые недостаточно глупы для того, чтобы написать "профессия: продавец наркотиков"?»

Что ж, вас бы удивило, что люди пишут в ответ на этот вопрос. Любой отдел комплаенса подробно объяснит вам, что какой бы серьёзной ни была ситуация, из-за константы рептилоида им неизбежно приходится часто читать «цель транзакции: контрабанда оружия и проституция». И в то же время вы бы удивились, насколько тупы некоторые преступники.

Но это не единственный механизм, благодаря которому опросники KYC обладают стохастическим эффектом; также они полезны в совершенно иной части жизненного цикла преступлений. Очень многие преступления связаны с ложью, но основная часть сказанной лжи — это не преступление, и основная часть лжи не фиксируется навечно. Однако мы создали особое правило для лжи, которую говорят банкам: потенциально это очень серьёзные преступления, и они будут в точности зафиксированы на долгие годы одним из институтов общества, лучше всего справляющимся с хранением точных записей и имеющим наиболее доступных для государственных работников.

Это значит, что если преступление затрагивает деньги, а многие преступления мотивированы финансово, и преступник превосходит порог, ниже которого преступление можно совершать исключительно офлайн и с наличкой, то рано или поздно ему придётся взаимодействовать с банковой системой. И он должен будет лгать банкам, потому что ему нужны банковские счета, а если сказать правду, открыть счета у него не получится.

Государство хочет, чтобы преступник солгал банку. Оно бы предпочло, чтобы тот не совершал преступления, но если он решил нарушить закон, то оно предпочтёт, чтобы преступник также врал банку.

Вероятно, вы слышали, что Аль Капоне был виноват во многих преступлениях, в том числе в умысле на совершение убийства и рэкет, но в итоге его посадили за то, что можно было легко доказать: уклонение от уплаты налогов. Прокуроры похожи на инженеров, нажимающих на кнопки, которые приводят людей в тюрьму: им нравится иметь инструменты, в определённой степени допускающие тактическую лень.

Особенно всё это непросто в преступлениях «белых воротничков», создающих сложные цепочки доказательств о, например, корпоративном мошенничестве, и об умысле виновных сторон. Но на каком-то этапе преступления всплывает очень простой вопрос: «А вы точно были полностью честны со своим банком?» И часто ответ бывает таким: «Нет, я был вынужден солгать в письменной форме».

Поздравляю вас, вы только что признались в мошенничестве с переводами каждой совершённой вами транзакции. Это заметят прокуроры, а затем сообщат вам, что вместо того, чтобы они выдвинули против вас обвинение и выиграли в суде, вам, вероятно, стоит пойти на сделку со следствием. Так они сэкономят усилия на расследование и прокурорскую работу, даже если они вполне уверены, что вы фактически виновны в преступлении (гораздо более сложном и ужасном), произошедшем до того, как вы солгали.

Мы будем бесчисленное число раз наблюдать это в обвинениях со стороны федеральных властей: две страницы предыстории о преступной части преступления, а затем десяток страниц о точном воссоздании перемещений денег и о конкретной лжи об этих перемещениях. Лучший ли это инструмент, который могут использовать прокуроры? Откровенно говоря, у меня есть сомнения в этой практике. Но как бы то ни было, прокуроры и регулирующие органы чрезвычайно хорошо разбираются во всей этой механике, и у них есть чётко сформулированная цель соблюдения KYC, даже если это не всегда произносится напрямую.

Нарочитый, заискивающий комплаенс, как спектакль

У меня возникло ещё одно наблюдение о культуре отделов комплаенса: комплаенс — это спектакль. Часто для описания этого спектакля используется слово «заискивающий», как будто банк — это придворный короля, вполне способного казнить не особо усердных царедворцев. Этот монарх не даёт расслабиться.

Вы, как розничный пользователь финансовой системы, можете думать, что опросник KYC — это какая-то бюрократическая чушь, и что его, разумеется, никто не воспринимает серьёзно. Если же вы работаете в регулируемом финансовом институте, то никогда никогда никогда не должны такого произносить. Да, вы можете думать об этом сами, но какие бы ни были у вас сомнения насчёт обоснованности и последствий ваших обязанностей, отдел называется «отделом надзора за нормативно-правовым соответствием», поэтому вы должны соответствовать — и делать это с радостью. Вас должны обучить — обязательно, как это происходит со всеми сотрудниками в сфере финансов, вплоть до самого младшего кассира, имеющего право открывать кассу — насколько важно, чтобы вы предпринимали показные усилия к серьёзному восприятию комплаенса.

Я встречал людей из финансовой отрасли, испытывающих подлинный интерес к сохранению надёжности финансовой системы, и гордящихся этим. Я встречал людей из финансовой отрасли, испытывающих подлинный интерес к обеспечению защиты от рисков и злоумышленников денег, на которые живут обычные люди, и гордящихся этим.

Но я никогда не встречал людей, испытывающих подлинный интерес к KYC ради KYC, и гордящихся этим. Но вслух этого точно нельзя произносить.

На уровне выше младшего кассира это превращается в высококлассный спектакль. Необходимо уметь быть и стремящимся к прибыли капиталистом, и ответственным профессионалом, на которого по требованию общества возложили функции правоохранителя. При этом следует чётко осознавать, на что можно и на что нельзя жаловаться.

Это один из пунктов критики Системы, по которому, как мне кажется, правы многие защитники криптовалют. В то же время я думаю, что многие защитники криптовалют узнают (к собственному неудовольствию), что Система крайне серьёзна, когда говорит, что необходимо участвовать в спектакле заискивающего соответствия нормам, или окажешься в тюрьме.

Поэтому комплаенс должен создавать публичный (и приватный) имидж, приблизительно соответствующий замечательному комментарию Мэтта Ливайна: «"У нас нулевой уровень терпимости к преступлениям", — скажет [директор по комплаенсу], и при этом почти полностью будет искренен».

Действительно ли истинная цель — это ноль преступлений? Нет, и Система знает об этом. Оптимальный уровень мошенничества — выше нуля, а оптимальный уровень соответствия KYC — не 100%. Одна из причин того, что нормы подчёркивают важность основанных на риске контрмер, заключается в том, что все — пользователи, финансовые институты, регулирующие органы и другие ответственные лица и организации — готовы к определённому уровню шума.

Банки существуют не для того, чтобы исполнять спектакль KYC. Общество желает, чтобы они существовали по множеству причин, а также для того, чтобы они стохастически соблюдали KYC для своей базы клиентов образом, обеспечивающим эффективность в большем количестве случаев, и особенно тогда, когда клиенты субъективно важны.

И это критично: логика регулирующих норм воссоздаёт внутреннюю логику регулируемых сущностей. Аналогично тому, что система KYC — это стохастическое управление (преступностью), она ожидает от финансовых институтов, что они будут применять собственное стохастическое управление (клиентами). Финансовая отрасль и отдельные институты хранят ужасно глубокие и разнообразные списки клиентов; общество желает, чтобы множество институтов создавало пересекающиеся фильтры частей общества, чтобы самые интересующие его действия вызывали реакции у хотя бы одного работающего надзорного аппарата, но ему не нужно, чтобы все надзорные аппараты полностью функционировали в максимальной степени.

Как я и говорил, здесь есть множество нюансов.

И мы даже практически не коснулись темы защиты от отмывания денег и того, что текущие действия с каждой транзакцией немного отличаются от проверок KYC, которые (по своей природе) обычно выполняются при создании счетов. Это уже тема для отдельного поста!