Бороться с финансовыми преступлениями можно без ущерба для конфиденциальности.

Говорят, что гангстер Аль Капоне скрывал незаконное происхождение своего богатства, используя в качестве прикрытия прачечные. С тех пор компетентные органы стараются отслеживать «отмытые» деньги и изымать их у преступников, а в последнее время и у террористов.

Сегодня заниматься этим стало сложнее, потому что цифровые активы (например, стейблкойны) могут отмываться через множество счетов вне досягаемости правоохранительных органов. Но необходимость остановить злоумышленников не должна ограничивать права законопослушных граждан на неприкосновенность частной жизни или препятствовать оперативному ежедневному проведению платежей и переводов на миллиарды долларов.

Эти цели могут казаться недостижимыми, но мы утверждаем, что технологии на самом деле помогают решить эту задачу.

Вполне реально создать «умные и законопослушные» платежные системы, которые борются с преступностью, защищают конфиденциальность данных и эффективно работают. Эти системы могут быть встроены непосредственно в блокчейны стейблкойнов — цифровых активов, привязанных к традиционным деньгам.

Как это будет выглядеть на практике? Допустим, Алиса хочет заплатить Бобу. Когда она нажимает «Отправить» в приложении на телефоне, произведенная ранее проверка их личностей подтверждается, транзакция проверяется децентрализованным алгоритмом на предмет подозрительной активности, и операция завершается, и все это происходит в блокчейне. О транзакциях, помеченных как подозрительные, автоматически сообщается в правоохранительные органы. Однако личности Алисы и Боба могут быть раскрыты только при наличии ордера или в рамках какой-либо другой судебной процедуры.

С учетом ожидаемого развития технологий эта концепция «изначально предусмотренного соблюдения требований» может стать практической реальностью для крупномасштабных платежных систем.

Баланс между конфиденциальностью и прозрачностью

Новые попытки регулирования финансов, основанных на блокчейне, не разрешают фундаментальное противоречие между защитой конфиденциальности и соблюдением законодательства. В платежных системах аспекты соблюдения нормативных требований и конфиденциальности традиционно конкурируют между собой. Платежные системы стейблкойнов могут служить примером такого противоречия. Но они также могут предложить естественный компромисс, поскольку их децентрализованная и программируемая архитектура позволяет встраивать механизмы соответствия, а использование псевдонимов помогает снизить риски для конфиденциальности.

В этой статье объясняется, как метод «изначально предусмотренного соблюдения требований» (Duffie, Olowookere, and Veneris, 2025) может позволить децентрализованным платежным системам стейблкойнов защитить конфиденциальность и обеспечить соблюдение требований и санкций в сфере борьбы с отмыванием денег (БОД) и противодействия финансированию терроризма (ПФТ). Контроль за соблюдением требований будет осуществляться в момент совершения транзакций на основе заранее определенных критериев и показателей риска, а не задним числом, как это происходит сегодня. Этот метод соответствует основе политики МВФ и Совета по финансовой стабильности в отношении криптоактивов 2023 года, которая предусматривает меры соблюдения требований для поставщиков стейблкойнов.

В таких условиях пользователи стейблкойнов, скорее всего, разделятся на две группы. Если организации и частные лица ценят и соблюдение требований, и конфиденциальность, они, вероятно, выберут платежную сеть, в которой изначально предусмотрено соблюдение требований. Другие могут продолжать использовать устоявшиеся методы платежей в стейблкойнах, основанные на псевдонимности и относительно слабых требованиях соответствия правилам.

Прежде чем перейти к сути вопроса, давайте определим, какие интересы относительно конфиденциальности существуют в контексте платежей в стейблкойнах. Частные лица в первую очередь озабочены защитой личной информации, включая имена, домашние адреса и номера телефонов. Компании и организации, вероятно, хотят сохранить конфиденциальность метаданных транзакций (например, суммы, временные метки, конфигурации и контрагенты), которые могут представлять собой коммерческую тайну. Для предприятий сохранение конфиденциальности не только имеет стратегическую важность, но и часто является юридическим требованием.

Соблюдение требований предусматривает применение стандартов «знай своего клиента» (KYC) и отслеживание платежей на предмет незаконной деятельности. В настоящее время поставщики стейблкойнов делегируют задачи по соблюдению требований централизованным биржам и другим кастодианам, которые предоставляют возможность конвертации стейблкойнов в традиционные валюты и обратно.

Однако возможность чеканить стейблкойны и перемещать их между несколькими счетами с помощью децентрализованных протоколов, а также наличие «миксеров», которые скрывают след любого отдельного койна, позволяет относительно легко скрыть транзакции. Возможности правоохранительных органов ограничены, и часто они реагируют на уже свершившийся факт лишь после обнаружения подозрительной активности. В результате нормы БОД, ПФТ и санкций соблюдаются относительно неэффективно. Более того, страдает конфиденциальность законопослушных пользователей, поскольку информация о платежах общедоступна, и они явным образом привязаны к псевдониму пользователя.

Для одновременного соблюдения стандартов конфиденциальности и нормативных требований необходима такая модель, которая лучше защищает данные пользователей, при этом в достаточной степени обеспечивая соблюдение закона. Для этого требуется способ проверки личности без ее раскрытия.

Верификация без раскрытия

В децентрализованной платежной системе, в которой изначально предусмотрено соблюдение требований, прежде чем Алиса сможет заплатить Бобу, они оба должны пройти проверку личности лицензированным поставщиком таких услуг (далее — эмитент учетных данных), как показано на рисунке 1. Верификация помещает Алису и Боба в периметр KYC выбранной ими децентрализованной платежной системы. Результат этой верификации хранится в реестре платежной системы в виде «хешированного» (криптографически замаскированного) сертификата.

На этом этапе в дело вступают доказательства с нулевым разглашением (ZKP). Это криптографические инструменты, которые могут применяться в многопользовательской программной платформе, позволяя пользователю доказать какой-то факт, не раскрывая его содержания. Например, ZKP может определить, какой игрок в покере держит выигрышную комбинацию карт, не раскрывая карты этого игрока.

Аналогичным образом ZKP может позволить пользователям децентрализованной платежной системы продемонстрировать соблюдение принципа «знай своего клиента» без раскрытия своих персональных данных. Оно обеспечивает, чтобы каждая инициируемая пользователями транзакция включала ZKP-доказательство, подтверждающее их право находиться внутри периметра KYC платежной системы, без раскрытия их личности или любой другой основной личной информации.

Такой метод можно использовать в любой децентрализованной платежной системе, в частности в системе на основе стейблкойнов. В принципе этот же подход можно применить и к децентрализованным платежным системам, основанным на цифровых валютах центральных банков и других цифровых представлениях денег.

Конфиденциальность сохраняется при условии, что не обнаружены конкретные показатели риска, например, необычные структуры транзакций, переводы, превышающие установленные пороговые суммы, или связи с известными кошельками с высоким уровнем риска. Встроенные в реестр смарт-контракты отслеживают эти «красные флажки». Смарт-контракты — это автоматизированные программные модули, обеспечивающие соблюдение соглашений в сети реестра без необходимости в посреднике. При обнаружении достаточно подозрительной активности смарт-контракты генерируют отчеты о подозрительной активности (SAR), которые направляются в регулирующие органы. После этого момента доступ компетентных органов к основным конфиденциальным данным пользователей осуществляется в соответствии с юридической процедурой, которая зависит от юрисдикции и может предусматривать обращение в суд и процедуры выдачи ордеров или административных повесток.

Эта модель обеспечивает многоуровневые механизмы обнаружения и надзора. Транзакции, отнесенные к белому списку (обычные переводы между известными сторонами), проходят без проблем. Транзакции, помеченные как подозрительные, могут быть приостановлены или инициировать автоматические SAR, а переводы с высоким уровнем риска между известными нарушителями могут быть заблокированы. Эти ответы обеспечиваются посредством смарт-контрактов, которые могут динамически обновляться в соответствии с меняющимися приоритетами регулирующих органов, особыми случаями и информацией, полученной в результате статистического анализа структуры платежей.

Учетные данные KYC, хранящиеся у эмитентов, защищают базы учетных данных проверенных пользователей и позволяют обновлять или отзывать их, если они скомпрометированы. Если правовой статус Алисы изменится, например в результате санкций, ее доказательство соответствия требованиям не будет выполнено, и ее транзакции в пределах периметра KYC будут заблокированы.

Описанная нами система платежей стейблкойнами заменяет трудоемкие ручные проверки по факту «вне сети» (распространенная в данный момент практика) упреждающим алгоритмическим надзором «в сети» в реальном времени. Использование смарт-контрактов для применения правил соответствия при совершении транзакций в этой структуре позволяет напрямую использовать сильные стороны блокчейн-систем.

Применение

Периметр KYC может быть реализован с помощью KYC с нулевым разглашением (zkKYC) (Pauwels, 2021), в которых доказательства с нулевым разглашением сочетаются с выборочным раскрытием информации. Например, Алиса может доказать, что она прошла определенные виды проверки личности (как то, что она старше 18 лет), не раскрывая своего возраста. В соответствии с этим подходом государственный орган или уполномоченная финансовая организация выдает Алисе проверяемые учетные данные, полученные на основе ее официальных или выданных государством документов, удостоверяющих личность. Криптографически защищенная версия этих учетных данных хранится в частном цифровом кошельке каждого пользователя.

Во время транзакции в сеть встраивается токен zkKYC, сгенерированный на основе этих учетных данных. Этот токен подтверждает соответствие KYC без раскрытия личности пользователя, а основные учетные данные по-прежнему безопасно хранятся вне сети у эмитента учетных данных. В случае платежей физических лиц, таких как одноранговые платежи или платежи клиента предприятию, подделку личности можно предотвратить путем привязки проверяемых учетных данных к стандартным юридическим документам, таким как паспорта или водительские удостоверения.

Например, когда Алиса инициирует платеж Бобу, ее кошелек генерирует токен zkKYC, который криптографически доказывает, что у Алисы есть проверяемые учетные данные. Этот токен подтверждает, что Алиса прошла сертификацию KYC и имеет право находиться в периметре KYC. Токен также указывает, является ли Алиса физическим лицом или организацией, и подтверждает сумму транзакции, пороговые суммы кошелька и другие соответствующие данные. Этот токен не должен раскрывать личность Алисы или детали транзакции Бобу или какой-либо третьей стороне, если Алиса не даст на это согласие или если не будет инициирован SAR и установлено юридическое основание для раскрытия.

Автоматизированное обеспечение соответствия требованиям основано на смарт-контрактах, встроенных в реестр, которые анализируют зашифрованную информацию, содержащуюся в токенах zkKYC, на соответствие заданным критериям SAR. Если найдено совпадение, контракт автоматически генерирует SAR, что позволяет обеспечивать соблюдение требований без существенного ущерба для конфиденциальности пользователей, соблюдающих требования.

Технологические и системные проблемы

Принцип изначально предусмотренного соблюдения требований является перспективным подходом, но не панацеей. Описанный нами метод сопряжен со значительной вычислительной нагрузкой для масштабной современной платежной системы. Смарт-контракты должны быть способны интерпретировать сложные и меняющиеся правила со скоростью, позволяющей осуществлять платежи в режиме, близком к реальному времени. Если же выбрать очень упрощенный подход, это может привести к множеству ложных положительных и ложных отрицательных проверок соблюдения, которые будут перегружать правоохранительные органы бесполезной информацией и могут использоваться злоумышленниками.

Еще одной проблемой являются затраты на вычисления, связанные с механизмами сохранения конфиденциальности, что может привести к задержкам в периоды максимальной нагрузки на платежную систему. Создание платежных систем с изначально предусмотренным соблюдением требований также может привести к дополнительным расходам и задержкам при переводе средств между различными платежными системами.

В качестве одного из вариантов решения проблемы вычислительной нагрузки можно разрешить регулируемым провайдерам лицензировать смарт-контракты и управлять ими, обеспечивая соответствие требованиям в виде услуги. При такой конфигурации пользователи могут предоставлять ограниченный доступ к своим платежным данным в обмен на услуги по соблюдению требований и другие преимущества подобно тому, как частные компании в настоящее время решают вопросы конфиденциальности и риска потребителей.

Кроме того, поскольку прикладная криптография продолжает стремительно развиваться, реализация новой концепции доказательства с нулевым разглашением обещает быть более быстрой. Такие новые методы, как многосторонние вычисления, могут снизить вычислительную нагрузку, связанную с администрированием смарт-контрактов.

Перспективы

Представленная здесь модель изначально предусмотренного соблюдения требований основана на рациональном управлении. Решающее значение имеет создание высоконадежной экосистемы эмитентов учетных данных. Эмитенты учетных данных и операторы смарт-контрактов должны тщательно проверяться до выдачи лицензии и действовать прозрачным и подотчетным образом. Правительства, банки и сертифицированные компании в сфере финансовых технологий могут быть надежными узлами, которые привязывают пользователей к периметру соблюдения требований. Пользующиеся доверием эмитенты учетных данных должны следовать единым стандартам проверки KYC, и их проверка должна быть совместимой между несколькими реестрами. Как и в случае с обычными платежными системами, качество соответствия требованиям в масштабах всей системы зависит от наименее строгих эмитентов учетных данных.

Возможно, потребуется адаптировать законы или применять их по-новому. Какие факторы могут служить основанием для инициирования SAR? При каких условиях компетентные органы могут раскрыть личность пользователя? В разных юрисдикциях, вероятно, будут установлены разные пороговые значения для надлежащей правовой процедуры. В одной стране могут требоваться только административные повестки, а в другой — судебные приказы.

Действенное трансграничное обеспечение соблюдения требований опирается на сотрудничество между юрисдикциями, как это имеет место при проведении традиционных корреспондентских банковских операций в настоящее время. Например, проект «Мандала» — это предложение Банка международных расчетов применить метод изначально предусмотренного соблюдения требований для координации проверок соблюдения требований банками и другими финансовыми организациями, проводящими трансграничные платежи. По аналогии с описанным нами методом изначально предусмотренного соблюдения требований в области стейблкойнов проект «Мандала» предполагает использование доказательств с нулевым разглашением для установления действительности заявления банка о соответствии требованиям без необходимости направлять имеющиеся у этого банка данные о соблюдении требований другим банкам, участвующим в проведении платежа.

Мы не предлагаем обязать системы платежей стейблкойнами применять метод изначально предусмотренного соблюдения требований. На самом деле, даже если некоторые страны и введут этот метод в качестве нормативного требования, будет сложно заблокировать внутренний доступ к альтернативным оффшорным системам стейблкойнов, в которых не используется такой подход к конфиденциальности и соблюдению требований.

Стейблкойны обладают значительным потенциалом расширения доступа к финансовым услугам и повышения эффективности платежных систем, а также усложнения жизни современным Аль Капоне. Но им необходимо достичь гораздо большей сбалансированности между конфиденциальностью и соблюдением требований. Одним из способов достижения этой цели является описанный нами метод изначально предусмотренного соблюдения требований.

ДАРРЕЛЛ ДАФФИ — заслуженный профессор менеджмента имени Адамса и профессор финансов в Высшей школе бизнеса Стэнфордского университета.

 

ОДУНАЙО ОЛОВУКЕРЕ — аспирант юридической школы Осгуд Холл Йоркского университета.

АНДРЕАС ВЕНЕРИС — профессор кафедры электротехники и вычислительной техники Университета Торонто и Школы международных отношений и государственной политики имени Мунка.

Мнения, выраженные в статьях и других материалах, принадлежат авторам и не обязательно отражают политику МВФ.