Никита Веремеев
06.02.2026 | 6 мин чтения
Обновлено: 06.02.2026
Я руковожу COREDO с 2016 года и с первых лет видел, как международный бизнес в финтехе сталкивается не с «барьерами», а с лабиринтами. Регистрация компаний, получение финансовых лицензий, AML/санкционный комплаенс, построение процессов в разных юрисдикциях, это не набор разрозненных задач, а единая архитектура управления рисками. Команда COREDO выстраивает эту архитектуру в ЕС, Великобритании, Сингапуре и Дубае, по‑настоящему интегрируя правовые, финансовые и технологические решения. Ниже делюсь тем, как сегодня мыслить о MiCA, DeFi и комплаенсе так, чтобы не «успевать» за регулированием, а опережать его и монетизировать предсказуемость.
MiCA: регулирование криптоактивов в ЕС
Регламент MiCA завершает этап «экспериментов без правил» в Европе. Поставщики услуг с криптоактивами (CASP) получили понятные лицензионные требования, режим passporting на весь ЕС и обязательства по раскрытию информации, управлению рисками и операционной устойчивости. Национальные регуляторы выдают разрешения, а ESMA и EBA задают наднациональные стандарты и координируют надзор, в том числе через технические стандарты отчётности по MiCA. На практике это означает единые подходы к капиталу, внутренним контролям, аутсорсингу и инцидент‑репортингу.
Классификация токенов по MiCA выделяет, в частности, e‑money tokens (EMT) и asset‑referenced tokens (ART), включая significant asset‑referenced tokens (значимые ART). Для эмитентов, отдельные prudential requirements, капитализация и резервные фонды стейблкоинов, требования по резервам, управлению ликвидностью и whitepaper obligations MiCA. Issuer liability under MiCA усиливает ответственность за корректность whitepaper, маркетинговых сообщений и непрерывное раскрытие рисков, что напрямую влияет на стоимость капитала и условия листинга.
MiCA создал новый стандарт прозрачности: требования по раскрытию и whitepaper, proof‑of‑reserves и методологии независимого подтверждения, passporting requirements для доступа на рынок ЕС, а также надзор со стороны ESMA/EBA поверх национального контроля. Практика COREDO подтверждает: грамотная ранняя подготовка к лицензированию CASP снижает time‑to‑market вдвое за счёт правильной структуры группы, заблаговременного IT‑аудита и готовности к регуляторным вопросам.
Кто отвечает в DeFi по MiCA?
Острый вопрос — применение MiCA к DeFi и регулирование децентрализованных финансов в Европе. Регуляторы смотрят на фактический контроль и «точки контакта» с пользователем: фронт‑энд, хостинг, поисковые агрегаторы и gateway‑сайты; ключевых контрибьюторов; DAO‑решения, влияющие на параметры протокола; операторов оракулов и администрируемые казначейские multisig. Если существует централизованный провайдер, который эксплуатирует интерфейс, маршрутизирует трафик, управляет апгрейдами или получает комиссию, его могут квалифицировать как CASP с лицензионными требованиями.
Юридический статус DAO в Европе остаётся фрагментированным, но появляется предсказуемость: правовой механизм legal wrapper для DAO (foundation model vs corporate wrapper) используется для фиксации ответственности, заключения контрактов и внедрения AML/KYC для on‑ramp и off‑ramp. Команда COREDO реализовывала структуры с фондами и компаниями‑операторами, распределяющими ответственность между on‑chain governance и off‑chain governance через понятные корпоративные документы, политику апгрейдов и делегирований. Это снижает риски по front‑end liability и упрощает взаимодействие с регуляторами и биржами.
Экстерриториальное применение правил и enforcement — реальность: если сервис доступен клиентам ЕС, его могут потребовать привести в соответствие требованиям MiCA и AMLD5/AMLD6. Межрегуляторное сотрудничество (ESMA, EBA, а также центральные банки) усиливает обмен данными и практиками, и это повышает ставки: лучше заранее встроить compliance‑by‑design, чем реагировать на запросы снаружи.
Требования к эмитентам стейблкоинов
Стейблкоины под MiCA делятся на e‑money token (EMT) и asset‑referenced token (ART). Для EMT действуют правила, схожие с электронными деньгами: требования к капиталу, к эмиссии и погашению по номиналу, к сегрегации средств и ликвидности. Для ART — обязательства по резервам и их управлению, включая high‑quality liquid assets, регулярные отчёты, стресс‑тесты и, для значимых ART, повышенные буферы и надзор EBA. Раскрытие информации через whitepaper и ongoing disclosures поддерживает доверие инвесторов и партнёров.
Proof‑of‑reserves: рабочий инструмент, но не серебряная пуля. Он нуждается в методологиях, охватывающих не только активы, но и обязательства, связанные стороны, а также процедуру исключений и инцидент‑репортинга. Эксперты COREDO вводят комбинированные процедуры: независимые проверки, on‑chain доказательства, SLA с кастоди и аудиторами, а также механизмы приостановки операций при нарушениях ковенантов резерва. Результат — устойчивость ликвидности и снижение премии за риск при листинге и партнёрских интеграциях.
AML/KYC в DeFi — соответствие FATF/MiCA
Соблюдение AML‑требований и соответствие FATF и MiCA, основа доступа к банковским услугам и партнёрским экосистемам. Руководства FATF (VASP и FATF guidance для DeFi) и европейская база AMLD5/AMLD6 закрепляют CDD (customer Due Diligence), beneficial ownership, санкционные списки, travel rule и SAR (отчётность о подозрительной активности). Для DeFi‑команд ключ, разделить on‑ramp/off‑ramp и протокольную часть, внедрив risk‑based approach (RBA) для критичных точек: фиаты, токен‑бриджи, централизованные компоненты инфраструктуры.
Sanctions compliance и мониторинг on‑chain транзакций требуют интеграции поставщиков блокчейн‑аналитики, сценариев оценки риска контрагентов, списков санкций и on‑chain блокировки при выявлении запрещённых адресов. В COREDO мы выстраиваем playbook эскалаций и SAR, автоматизируем флаги и отчётность, формируем KPI комплаенса, чтобы совет директоров видел динамику: доля автоматических решений, время до эскалации, количество кейсов с law enforcement.
Travel rule — не только юридическая, но и техническая задачa. Для CASP и VASP мы проектируем маршрутизацию идентификаторов, обмен атрибутами плательщика/получателя, хранение минимально достаточных данных и отказы при отсутствии контрагента. В децентрализованных приложениях решаем это через on‑ramp/off‑ramp, gateway‑сервисы и партнёрские VASP, что позволяет сохранить permissionless‑ядро протокола и соответствовать требованиям.
Как внедрить KYC в DEX без потери UX
Выбрать «жёсткий KYC для всех» — простой, но дорогой путь в терминах оттока ликвидности. Более устойчивый вариант: сегментация потоков: KYC для функционала, который активирует правовые триггеры (например, фиатный on‑ramp; повышенные лимиты; профессиональные аккаунты), и риск‑скоринг для остального трафика. zk‑KYC и privacy‑preserving KYC на базе zero‑knowledge proofs помогают подтвердить атрибуты без раскрытия персональных данных протоколу. Это делает возможным баланс приватности и прозрачности (privacy vs transparency) без компромисса для AML.
Интеграция KYC‑провайдеров с on‑chain UX требует архитектуры: где хранить доказательства, как синхронизировать статусы на фронт‑энде, как обрабатывать апелляции. Решение, разработанное в COREDO, включает модульный API‑слой, журнал событий, логику санкционного мониторинга и механизмы повторной верификации. Для travel rule применяем протоколы обмена сообщениями между VASP и настройку отказов на уровне смарт‑контракта/фронт‑энда при отсутствии атрибутов.
Риски и соответствие смарт-контрактов
Аудит смарт‑контрактов и требования соответствия — не формальность. Мы строим secure development lifecycle с threat modeling, статическим/динамическим анализом, баг‑баунти и формальной верификацией smart contracts, когда это оправдано по риску. Upgradeability смарт‑контрактов и риски форков закрываются политикой апгрейдов, timelocks, on‑chain governance и журналами аудита. Fork governance и распределение ответственности фиксируем в документации, чтобы избежать «сюрпризов» при спорных апгрейдах и emergency‑патчах.
Оракулы — критический компонент. Риски оракулов и их правовое регулирование мы переводим в практические SLA оракула: частота обновления, источники, процедуры отказа, лимиты на отклонения, а также oracle decentralization через несколько поставщиков и fallback‑механику. Методы снижения oracle risk включают TWAP, кросс‑проверку источников, кварум‑подтверждения и механизм остановки торгов при экстремальных отклонениях. Это важная часть операционной устойчивости и требований к SLA, о которых спрашивают регуляторы.
MEV, фронтраннинг и регуляторные риски, больше не исключительно техническая тема. Мы настраиваем мониторинг MEV‑ботов, реализуем антифронтраннинг‑механизмы (private mempool, commit‑reveal, батчинг) и фиксируем политику раскрытия рисков для пользователей. Для AMM и DEX юридические требования различаются с CEX: у централизованных бирж, полная ответственность за custody и исполнение, у DEX — фокус на front‑end liability, данные аналитики и точки централизованного контроля. Ликвидити‑пулы и механика пулов ликвидности требуют раскрытия impermanent loss как бизнес‑риска и описания эффектов для LP в whitepaper и интерфейсе.
Flash‑loan атаки и правовые механизмы реагирования включают инцидент‑репортинг, взаимодействие с правоохранительными органами и регуляторами, заморозку средств в custody‑узлах партнёров и документированный response playbook. Custody vs non‑custodial: правовые последствия различны; для кастодиальных моделей применимы требования к хранителю, включая мультиподписные кошельки (multisig), threshold signature schemes (TSS) и multi‑party computation (MPC) для custody, контролируемые через внутренние политики и внешние аудиты.
Наконец, third‑party и supply chain software риск, риски cloud‑hosting и зависимости от провайдеров требуют реестра критических зависимостей, due diligence поставщиков, тестов отказоустойчивости и договорных SLA. Операционная устойчивость — отдельный модуль MiCA: план непрерывности, стресс‑сценарии, резервные каналы, KPI доступности и отчётность о инцидентах безопасности и нарушениях.
Последствия MiCA для блокчейн-стартапов
Наш опыт в COREDO показал: MiCA — это не только «стоимость соответствия», но и снижение стоимости капитала и барьеров выхода на рынок. Паспортирование услуг по MiCA (passporting) открывает масштабирование в ЕС без повторного лицензирования в каждой стране, если соблюдены капитальные требования к CASP и настроены политики рисков. Для cross‑chain комплаенса и мостов (bridges) важно адресовать трансграничное правоприменение и юрисдикционные риски: фиксировать место оказания услуги, политику KYC/санкций на переходах, а также механизмы блокировок.
управление рисками композитности (composability risk) требует реестра зависимостей: оракулы, кредитные рынки, страховки, бриджи. TVL (total value locked) как метрика риска не самоцель: устойчивость ликвидности, концентрация кредиторов и корреляции с внешними шоками важнее. Эмиссионная политика и регулирование токенов должны учитывать правовой статус токенов и токеномика: governance token юридическая ответственность возникает, когда держатели или совет делегатов оказывают фактический контроль. Здесь помогает разделение on‑chain governance vs off‑chain governance через корпоративные документы и регламенты.
Регуляторные песочницы (sandbox) для DeFi, действенный инструмент для тестирования моделей KYC, travel rule и oracle‑решений. В проекте COREDO со стартапом в ЕС sandbox позволил согласовать механизм zk‑KYC и отладить автоматизацию SAR до промышленного запуска. Для due diligence при запуске DeFi‑проекта мы проводим правовой и технический аудит, оцениваем страхование смарт‑контрактов и рыночные решения, а также планируем миграцию протоколов под MiCA: план действий, сроки, KPI и бюджет.
Оценка затрат соответствия и ROI для DeFi‑проектов включает cost‑benefit анализ внедрения AML, метрики эффективности комплаенса и KPI, а также оценку эффекта от листинга, партнёрств и банковского доступа. Compliance‑as‑a‑service снижает фиксированные издержки за счёт аутсорсинга отчётности, мониторинга, travel rule, санкционного скрининга и инцидент‑менеджмента. Когда совет директоров видит прозрачные метрики, решение об инвестициях в соответствие перестаёт быть «обязательным злом» и становится драйвером роста.
План запуска COREDO под MiCA
- Юрисдикционная стратегия. Определяем точку входа в ЕС с учётом вида услуг (CASP), требований к капиталу и операционной базе. Учитываем доступ к кадрам, регуляторную практику и сроки авторизации у национального регулятора.
- Лицензирование и паспортирование. Формируем лицензионный пакет, описываем контроли, планируем passporting на вторую волну стран ЕС. Встраиваем технические стандарты отчётности по MiCA и процедуры взаимодействия с ESMA/EBA.
- AML/санкции и travel rule. Проектируем RBA, CDD, beneficial ownership, SAR, санкционные процессы. Настраиваем KYC для on‑ramp и off‑ramp, travel rule: техническая и правовая реализация, политики отказов.
- Технологии и безопасность. SDLC, аудит и формальная верификация, политика апгрейдов, oracle SLA, MEV‑контроли, custody‑архитектура (multisig/TSS/MPC). Настраиваем инцидент‑репортинг и response playbook.
- Прозрачность и раскрытие. Whitepaper obligations MiCA, best practices для раскрытия рисков (impermanent loss, oracle/MEV, ликвидность), proof‑of‑reserves и ограничения методологии.
- Управление и DAO. Legal wrapper для DAO (foundation или corporate), распределение ответственности, регламенты on‑chain/off‑chain governance, front‑end liability и соглашения с провайдерами.
- Операционная устойчивость. SLA, план непрерывности, резервирование, third‑party и cloud‑риски, тестирование стресс‑сценариев, отчётность о инцидентах и взаимодействие с правоохранительными органами.
- Листинг и масштабирование. Подготовка к листингу/интеграциям, KPI комплаенса, паспортирование, межрегуляторные коммуникации и план миграции под обновления MiCA.
Кейсы: практика превращается в стандарты
Первый кейс — DEX с азиатскими корнями, который запросил доступ к клиентам ЕС. Команда COREDO реализовала гибридную модель: permissionless‑ядро протокола, KYC/AML и travel rule на on‑ramp/off‑ramp и профессиональные аккаунты, zk‑KYC для сохранения UX и интеграция с поставщиками блокчейн‑аналитики. В результате проект получил CASP‑лицензирование для части сервисов, whitepaper по MiCA и маршрут passporting. Воронка пользователей и TVL выросли за счёт институциональных партнёров, которым критична предсказуемость комплаенса.
Второй кейс, эмитент стейблкоина типа asset‑referenced token (ART) с амбицией достигнуть статуса significant ART. Мы выстроили резервную политику, разработали proof‑of‑reserves с независимыми подтверждениями и on‑chain публикацией, а также стресс‑тесты ликвидности и раскрытие рисков. Регулятор принял whitepaper и план непрерывности, а партнёры‑кастоди подтвердили SLA по активам резерва. Это типичный пример, где регуляторные требования стали фундаментом для листинга и интеграций в платёжные рельсы.
Третий кейс, DAO, запускающее кредитный протокол с oracle‑зависимостями. В COREDO мы предложили legal wrapper через фонд и операционную компанию с чётким распределением ответственности, внедрили oracle decentralization и fallback‑механику, политику апгрейдов и timelock. Дополнительно настроили MEV‑мониторинг и процедуры SAR, зафиксировали front‑end liability в договорах с хостингом и gateway‑сайтами. Проект прошёл due diligence у институтов и получил страхование смарт‑контрактов с дисконтом по премии благодаря зрелому SDLC.
Комплаенс: инструменты и автоматизация
Автоматизация комплаенса и compliance‑as‑a‑service — это дашборды KPI, сценарии AML, контрольные точки для travel rule и санкций, а также регистры зависимостей для composability‑рисков. Мы внедряем on‑chain аналитику и блокчейн‑форензику, строим каналы SAR и отчётности, настраиваем метрики эффективности: доля автоматически закрытых алертов, среднее TTR/TTI, точность флагов, конверсия в листинг/партнёрства после улучшения соответствия. Такой подход позволяет соотносить CAPEX/OPEX комплаенса с выручкой и показателями ROI.
Для proof‑of‑reserve мы применяем комбинированные методологии: криптографические доказательства, подтверждения от кастоди, независимые проверки обязательств и отчёты для пользователей и регуляторов. Мы честно говорим о ограничениях PoR и предлагаем контрмеры: частота отчётности, полнота покрытия, механизмы «красной кнопки». Прозрачность: это не разовая публикация, а процесс.
Частые вопросы и ответы
- CEX vs DEX: регуляторное различие. У централизованных бирж — полный спектр обязанностей как у CASP, включая custody. У DEX, внимание к интерфейсу, централизованным компонентам, AML на on‑/off‑ramp и ответственности DAO/разработчиков при фактическом контроле.
- Кто несёт ответственность в permissionless‑протоколах? Там, где есть контроль или влияние (фронт‑энд, админ‑ключи, оракулы, казначейство), регулятор видит ответственных. Legal wrapper для DAO и распределение функций снижают риски и повышают управляемость.
- Как применить travel rule в децентрализованных приложениях? Через партнёрские VASP для фиата и централизованных мостов, обмен атрибутами, отказ в переводах при отсутствии данных и логику на фронт‑энде/контрактах.
- Proof‑of‑reserves: ограничения. Без учёта обязательств и аффилированных рисков PoR вводит в заблуждение. Нужна комбинированная методология и регулярные независимые проверки.
- MEV и фронтраннинг: как снизить регуляторный риск? Внедрить антифронтраннинг‑механики, раскрывать риски, мониторить злоупотребления, документировать политику реакции и инцидент‑репортинг.
Соответствие стратегия масштабирования
MiCA поднял планку, но вместе с этим сделал рынок предсказуемым. Когда у основателя есть ясная дорожная карта, лицензирование CASP, AML/KYC и travel rule, операционная устойчивость, proof‑of‑reserves, whitepaper и паспортирование — доступ к капиталу и партнёрствам расширяется. В COREDO это не теория: практика проектов в ЕС, Великобритании, Сингапуре и Дубае показала, что зрелый комплаенс снижает стоимость рисков и ускоряет продажи.
Я убеждён: DeFi и децентрализованные протоколы будут расти там, где архитектура правовых и технологических решений спроектирована заранее. Команда COREDO помогает прошить compliance‑by‑design в продукт: от legal wrapper для DAO и моделей governance до SLA оракулов, SDLC и автоматизированного AML. Если вы стоите перед решением: регистрировать структуру в ЕС, выходить под MiCA, получать лицензии на криптоуслуги и выстраивать AML‑контуры, у вас не должно быть догадок, только данные, методологии и партнёр, которому можно доверять долгосрочно. Именно так мы строим проекты, которые выдерживают проверку рынком и временем.