COREDO – EU Legal & Compliance Services Экспертный юридический консалтинг, лицензирование финансовых услуг (EMI, PSP, CASP согласно MiCA) и AML/CFT комплаенс на всей территории Евросоюза. С главным офисом в Праге, мы обеспечиваем комплексные регуляторные решения в Германии, Польше, Литве и во всех 27 странах-членах ЕС
Pavel Kos
08.03.2026 | 6 мин чтения
Обновлено: 08.03.2026
С 2016 года я развиваю COREDO как партнера для международного бизнеса: регистрация компаний, финансовое лицензирование, AML-консалтинг и операционная поддержка в ЕС, Чехии, Словакии, на Кипре, в Эстонии, Великобритании, Сингапуре и Дубае. За эти годы я видел, как цифровые финансы взрослеют: от первых платежных лицензий до крупных VASP, которые работают с банками-корреспондентами на равных. Сегодня ключевая повестка: подготовка к Travel Rule для финтеха и внедрение Travel Rule в криптопроектах. С 2024 по 2026 годы требования консолидируются, ужесточаются и становятся условием допуска к инфраструктуре традиционных финансов и глобальным рынкам.
Я написал эту статью как практическое руководство для руководителей, CTO и CCO, которые отвечают за стратегию и ежедневное исполнение. Команда COREDO реализовала десятки проектов по лицензированию (крипто, платежи, форекс), регуляторной готовности и AML-трансформациям в ЕС и Азии, и я собрал здесь проверенные решения — без теории ради теории. Практика COREDO подтверждает: правильно выстроенный Travel Rule не превращается в “комплаенс-тормоз”, а ускоряет выход на новые рынки и упрощает доступ к банковским рельсам.
Почему Travel Rule важно к 2026
Travel Rule, это регуляторные требования Travel Rule по передаче идентификационных данных отправителя и получателя между поставщиками услуг с виртуальными активами (Travel Rule для VASP) и другими регулируемыми субъектами при переводах. По сути, это транспозиция банковского принципа “originator and beneficiary information” в крипто- и финтех-инфраструктуру. К 2026 году регуляторы ожидают зрелую, масштабируемую и безопасную реализацию, совместимую между регионами и протоколами.
Пороговые суммы постепенно выравниваются, а исключения сужаются. Банки-корреспонденты при крипто-платежах уже включают вопросы Travel Rule в свои Due Diligence опросники, и без четкой реализации VASP теряет возможность работать с надежными фиатными партнерами. Наш опыт в COREDO показал: если встроить Travel Rule в архитектуру KYC/AML, а не прибивать сверху, то ROI проекта становится положительным уже в первый год за счет снижения false positives и ускорения расследований.
Рекомендация FATF 16: ключевые положения
FATF Recommendation 16 / Рекомендация FATF 16 требует, чтобы VASP (поставщик услуг с виртуальными активами) и классификация операций учитывали идентификацию отправителя и получателя, передачу минимально необходимых данных и их валидацию в момент инициирования перевода. Требования к передаваемым данным отправителя и получателя включают имя, учетные идентификаторы, адрес/национальность или аналог, а также сведения, достаточные для последующего расследования подозрительных операций. Важен принцип “immediate and secure sharing”: данные передаются безопасно и синхронно с платежным потоком или до кредитования получателя.
Стандарты ЕС и Азии: MiCA, DAC8, AMLA
В ЕС влияние MiCA и DAC8 на исполнение Travel Rule усиливает потребность в согласовании данных: MiCA устанавливает рамки для поставщиков криптоуслуг, а DAC8 — требования по обмену данными о криптоактивах для налоговых органов. EU AMLA влияние на крипто-комплаенс проявится в унификации надзора и практик расследований. В Великобритании FCA и региональные руководства по Travel Rule детализируют контроль за VASP и ожидают документированные процедуры. В США FinCEN guidance по Travel Rule (США) фокусируется на идентификации контрагентов и отчетности, включая SAR/STR. В Сингапуре MAS (Сингапур) подход к Travel Rule и AML системный и прагматичный: акцент на управлении рисками, технической совместимости и защите PII. Региональные стандарты Travel Rule в ЕС и Азии движутся к интероперабельности, и это упрощает международные операции при корректной реализации.
Travel Rule для VASP: реалии
VASP (поставщик услуг с виртуальными активами) и классификация охватывают биржи, кастодиальные кошельки, брокеров и некоторых платежных операторов, если они обрабатывают криптоактивы. Требования включают KYC-процедуры в условиях Travel Rule, скрининг санкций и PEP, а также встраивание механизмов передачи и приема сведений в транзакционные пайплайны. Регуляторы отдельно подчеркивают контроль над бенефициарной собственностью (UBO) и Travel Rule: связь UBO-данных с сущностями помогает снижать риски обхода за счет подставных получателей.
Реализация протоколов передачи данных
Чтобы обеспечить международную совместимость и надежность, критично выбрать протоколы передачи данных для Travel Rule и предусмотреть межоператорские шлюзы и межсетевые принципы. Рынок движется к нескольким доминирующим стандартам, и грамотная архитектура должна поддерживать сразу два-три, чтобы минимизировать операционные разрывы.
OpenVASP, TRISA и InterVASP Messaging
OpenVASP спецификация и практическая интеграция удобна для гибридных сценариев и peer-to-peer установления доверия. TRISA архитектура и схема доверия между VASP опираются на PKI, упрощая взаимную аутентификацию и проверку членства. Протоколы меж-васпного обмена (InterVASP Messaging), включая IVMS101, задают общий словарь данных для совместимости. Решение, разработанное в COREDO для одного из клиентов в Эстонии, реализовало dual-stack: OpenVASP интеграция и кейсы по TRISA интеграции и совместимости дали покрытие более 80% контрагентов в ЕС и Азии через межоператорские шлюзы.
Форматы сообщений и on-chain метаданные
Форматы сообщения: JSON, protobuf, ISO 20022 mapping позволяют согласовать структуры данных со смежными системами. ISO 20022 мэппинг облегчает integration patterns с Core Banking и платежными шлюзами, особенно когда VASP взаимодействует с EMI или PSP. Отдельный вопрос — поле memo и стандарты on-chain метаданных: часть сетей поддерживает передачу ссылок или хэшей на off-chain данные; важно не размещать PII на блокчейне, используя ссылки и hash-based proofs. Международная совместимость и mapping полей транзакций ускоряют обработку и уменьшают ручные дообработки.
Масштабирование и производительность
Я всегда прошу команду архитекторов начинать с периметра: API Gateway, webhooks и безопасность передачи, строгая аутентификация между VASP, а также rate limiting, throughput, TPS для массовых переводов. Масштабирование передачи метаданных при высокой нагрузке требует batch processing и агрегирование сообщений для оптимизации без потери синхронности комплаенса. SLA, задержки и требования к латентности передачи нужно согласовать в MoU и SLA: для ритейловых переводов целимся в <300 мс на обмен метаданными при кэшированных доверительных каналах; для институциональных: допускается до 1–2 секунд, если есть предварительный pre-validation.
Защита данных PII
Безопасность — основа доверия. Я придерживаюсь принципа “privacy by design”: инфраструктура шифрует, минимизирует и контролирует доступ к данным по умолчанию, а не в качестве опции.
Управление ключами в криптографии
Шифрование и защита PII при передаче метаданных базируются на end-to-end encryption и TLS требованиях версии 1.2+ с современными шифросхемами. HSM, KMS и управление ключами для сообщений Travel Rule обеспечивают аппаратную защиту и ротацию ключей. PKI и сертификаты для аутентификации VASP формируют доверительную среду между участниками; периодическая ротация и OCSP-статусы входят в обязательный регламент. Команда COREDO внедряла E2E-шифрование с двусторонней аутентификацией, что снизило риск MITM и упростило внешние аудиты.
Современное хеширование и приватность
Hashing персональных данных (PII) для соответствия применим в сценариях предварительного сопоставления без раскрытия. Мы используем hashing PII: SHA-256, salt и принципы динамического соления, чтобы исключить rainbow-риски. Privacy-preserving hashing и сопоставление данных дополняем zero-knowledge proofs для селективного раскрытия KYC, когда контрагент подтверждает атрибут без передачи первичного документа.
Перспективное направление: decentralized identifiers (DID) и Verifiable Credentials; DIDComm и WACI для обмена учётными данными ускоряют онбординг контрагентов. В сложных кейсах применяем secure multi-party computation (MPC) в KYC-пайплайнах, а также pseudonymisation и токенизация персональных данных для снижения следа PII в продакшене.
GDPR и жизненный цикл данных
GDPR-совместимость при реализации Travel Rule требует четкого обоснования: GDPR: legal basis, data minimisation, cross-border transfer и ограничение целей обработки. Политики хранения данных и retention в контексте Travel Rule определяют сроки и условия удаления; data retention policies и требования регуляторов ЕС рекомендуют хранение операционных логов 5–7 лет, при этом удаление и минимизация персональных данных (data minimisation) остаются обязательными. Практика COREDO подтверждает, что сегментация, роль-ориентированный доступ и контролируемые кросс-бордер трансферы через стандартные договорные положения защищают бизнес на аудитах.
Интеграция с AML и мониторинг транзакций
Travel Rule не живет отдельно от AML. Его сила раскрывается, когда данные автоматически питают сценарию мониторинга, кейс-менеджмент и отчётность.
KYC и санкции в shared utilities
KYC-процедуры в условиях Travel Rule включают непрерывную актуализацию данных клиентов, санкционные скрининги и PEP-списки в процессе Travel Rule до кредитования получателя. Для снижения издержек рассматриваем практика KYC-utility / shared KYC для снижения издержек, общие сервисы в ЕС и Сингапуре уже показывают хорошие результаты при соблюдении DPA. Регулятор требует внятных runbook на случай неудачного обмена данными: блокировка кредитования, эскалация и SAR/STR.
Мониторинг ML и KPI
Интеграция Travel Rule с существующей AML/Transaction Monitoring происходит через потоковые коннекторы. Алгоритмы машинного обучения для снижения false positives помогают фильтровать триггеры, учитывая контекст контрагентов и географию. Важны метрики эффективности: false positive rate, time-to-investigate и KPI: cost per alert, alerts per 1000 tx, MTTR; их отслеживает case management системы и workflow orchestration AML. В одном из проектов в Великобритании решение, разработанное в COREDO, снизило FP-rate на 28% благодаря дополнительным признакам из Travel Rule и сегментации контрагентов по надежности.
Отчётность, аудит и безопасность
SAR/STR — механика и автоматизация подачи уведомлений встраивается в кейс-менеджменты, чтобы не терять сроки. Audit trail immutability и доказательство непрерывности контроля мы обеспечиваем через hash-based proofs и хеширование логов; для регуляторных демонстраций применяем blockchain anchoring для доказательства соответствия без раскрытия PII. SOC 2, ISO 27001 и прочие сертификации безопасности повышают доверие со стороны банков-корреспондентов; регулярные penetration testing и red-team проверки интеграций подтверждают зрелость защиты.
Операционная модель внедрения
Я всегда предлагаю считать деньги до старта. Это честно по отношению к бизнесу и к команде.
Что такое CAPEX, OPEX и ROI?
Стоимость внедрения Travel Rule (CAPEX и OPEX) зависит от масштаба операций и числа контрагентов. SaaS-решения против on-premise имплементаций Travel Rule различаются по TCO: SaaS снижает CAPEX и ускоряет запуск, on-premise дает контроль над данными и гибкую кастомизацию. Модель ROI для инвестиций в Travel Rule учитывает снижение ручных проверок, уменьшение SLAs по инцидентам, повышение вероятности одобрения со стороны банков и рост конверсии международных переводов. В кейсах COREDO положительный ROI наступал через 9–14 месяцев при объеме >50 тыс. транзакций в месяц.
Банковские требования и партнерства
Стратегия партнёрских интеграций VASP-to-VASP формирует сеть доверия и снижает латентность обмена. Требования банков-корреспондентов при крипто-платежах включают подтверждение Travel Rule, независимые аудиты, санкционные фильтры и управление UBO. Команда COREDO помогала согласовать такие досье в Сингапуре и на Кипре; результатом стало открытие счетов в уважаемых институтах и расширение лимитов.
Риски вендоров и контрактов
Vendor selection checklist для SaaS-поставщиков Travel Rule включает протоколы (OpenVASP/TRISA/IVMS101), сертификации, latency, географию хостинга, DPA соответствия и возможности кастомизации. управление рисками поставщиков и third-party risk assessment фиксирует escrow исходников, план миграции и процедуру регулярных независимых тестов. Правовые соглашения между VASP: MoU, DPA, SLA, обязательны; отдельно прописываем ответственность за инциденты, уведомления регуляторам и механизмы урегулирования.
Непрерывность и инциденты
Сценарии отказоустойчивости и disaster recovery для обмена метаданными должны покрывать деградацию до альтернативных каналов, ретраи, кэш доверительных статусов и фолбэк к ручной проверке. План действий при инцидентах и runbook для VASP включает классификацию инцидента, RACI, коммуникацию с контрагентом и регуляторные уведомления и взаимодействие с надзором в установленные сроки. Я вижу, как такие runbook снимают стресс у команд и упрощают внешние проверки.
Международная совместимость и mapping
Глобальный бизнес опирается на стандарты и точный мэппинг данных. Это не про “красиво”, это про скорость и качество.
Mapping: стандарты&региональные различия
Международная совместимость и mapping полей транзакций базируются на IVMS101 и ISO 20022; форматы сообщения: JSON, protobuf, ISO 20022 mapping дают гибкость. Региональные различия: ЕС, Азия, СНГ отражаются в деталях валидации адресов, идентификаторов и ограничениях кросс-бордер передачи. Команда COREDO настраивала country-profiles, чтобы автоматом подставлять нужные поля для MAS, FCA или местных надзорных органов в СНГ.
Надзорные коммуникации MiCA и DAC8
Влияние MiCA и DAC8 на исполнение Travel Rule усиливает связку налоговых и AML требований, что требует ранней консолидации данных. Регуляторные уведомления и взаимодействие с надзором становятся предсказуемыми, если системы готовы формировать полные досье по транзакции с добавленной Travel Rule-информацией. Это ускоряет закрытие запросов и снижает ресурс на адвокацию.
Кейсы и пилоты COREDO 2024–2026
Я ценю конкретику. Вот как мы шли к операционной зрелости в разных юрисдикциях.
Интеграция OpenVASP: кейсы
Для европейского VASP с лицензией в Эстонии команда COREDO реализовала OpenVASP интеграцию с поддержкой IVMS101 и двусторонней аутентификацией. Мы внедрили межоператорские шлюзы и межсетевые принципы для работы с азиатскими контрагентами через адаптеры. Результат — покрытие >65% адресатов в ЕС и Азии и соблюдение SLA по латентности <400 мс.
Интеграция TRISA и совместимость
В Сингапуре мы подключили TRISA с локальным хостингом ключевой инфраструктуры и PKI, синхронизировали DPA под GDPR и местный PDPA. Совместимость с OpenVASP обеспечили через универсальный мэппинг полей и брокер маршрутизации, который выбирал протокол по домену контрагента. Практика COREDO подтверждает: dual-stack снижает недоставку сообщений и экономит на ручной дообработке.
Тестирование PoC и пилоты
Тестирование, PoC и пилоты внедрения Travel Rule мы строим на PoC критерии: безопасность, latency, interoperability, cost. Используем synthetic data, эмуляторы TPS, fault injection и независимые pentest. В одном из PoC мы добились стабильного throughput 1200 msg/s с batch processing и агрегирование сообщений для оптимизации, не выходя за границы latency SLO.
Кейсы соответствия 2024–2026
За период 2024–2026 среди клиентов COREDO, биржи из ЕС, кастодианы из Дубая, финтех из Великобритании. Они прошли аудитную готовность и доказательство соответствия Travel Rule, синхронизировали политики хранения данных и retention и согласовали SLA с основными контрагентами. Это помогло им открыть доступ к новым банковским каналам и снизить долю остановленных переводов.
Шаги для CTO и CCO
Чтобы перейти от намерений к запуску, я рекомендую идти итеративно, но системно.
Чек-листы для руководителей
- Регуляторная база: FATF 16, MiCA, DAC8, FinCEN, FCA, MAS; локальные требования юрисдикции инкорпорации.
- Архитектура: выбор протоколов (OpenVASP/TRISA), IVMS101, ISO 20022 mapping, API Gateway, webhooks.
- Безопасность: HSM/KMS, PKI, TLS, end-to-end encryption, SOC 2/ISO 27001, penetration testing и red-team проверки интеграций.
- Данные: GDPR legal basis, data minimisation, cross-border transfer, data retention policies и требования регуляторов ЕС.
- Операции: case management, workflow orchestration AML, SAR/STR автоматизация, runbook инцидентов.
- Производительность: TPS цели, rate limiting, batch processing, SLA и SLO по латентности.
- Юридические рамки: MoU, DPA, SLA, vendor selection checklist и third-party risk assessment.
- Финансы: CAPEX/OPEX, модель ROI, стратегия масштабирования и контроль UBO.
Стратегия партнёрств и операций до 2026
Сформируйте ядро доверенных контрагентов и подпишите межоператорские SLA. Настройте стратегия партнёрских интеграций VASP-to-VASP с предварительным обменом тестовыми профилями и хэшами справочников санкций. Обсудите с банками-корреспондентами ожидаемые форматы отчетности, integration patterns с Core Banking и платежными шлюзами и политику эскалации при алертах.
Как снизить операционные расходы
Стратегии снижения операционных расходов при соблюдении Travel Rule включают shared KYC-utilities, консолидацию логирования и хеширование логов с дешевой долговременной памятью, автоматизацию кейс-рутин с ML. Используйте privacy-preserving hashing, чтобы сокращать дорогостоящие ручные согласования PII. Для пиковых нагрузок масштабируйте через очереди и batch processing, а не через постоянный оверпровиженинг.
Заключение
Travel Rule 2026, не просто новая галочка в комплаенсе. Это способ говорить с банками и регуляторами на одном языке, расширять международное присутствие и снижать операционные риски. Я вижу, как клиенты COREDO получают стратегическое преимущество, когда внедряют Travel Rule осознанно: на базе стандартов, с уважением к приватности клиентов и с четкой экономикой.
Если вы планируете регистрацию юридического лица в ЕС, Азии или СНГ, получение финансовой лицензии или построение AML-функции, заложите Travel Rule с первого дня. Команда COREDO прошла этот путь много раз и знает, как совместить регуляторные ожидания с реальностью бизнеса — от выбора протоколов до аудита и переговоров с банками-корреспондентами. Готов обсудить ваши планы и помочь выстроить дорожную карту, которая выдержит требования 2024–2026 и даст бизнесу опору для масштабирования.