AML (Anti-Money Laundering) - это та часть работы финансовой организации, о которой обычно вспоминают особенно громко именно тогда, когда что-то пошло не так: пришёл запрос от уполномоченного органа, завис платёж, клиент спорит, а внутри все срочно выясняют, кто и почему принял решение.
В 2025 году AML - это набор живых процессов и технологий: как вы оцениваете риск клиента, как проверяете данные, как ловите подозрительные транзакции, как сверяете по санкционным спискам и как оформляете сообщения в уполномоченный орган. И вот здесь ключевой момент: хорошая AML-система всегда держит баланс - не пропускать действительно опасные кейсы и при этом не заваливать команду тысячами ложных срабатываний.
Этот материал - большой, связный гайд по AML для финансовых организаций. Пройдём цепочку целиком: сначала разберём, что именно пытаются скрыть и почему это работает; затем - требования (FATF и РФ); дальше - риск-ориентированный подход, KYC/CDD/EDD, мониторинг транзакций, отчётность (SAR/СПО), санкционный скрининг и автоматизация. А в конце - ошибки, которые встречаются чаще всего и потом дорого обходятся.
Основы AML: что именно пытаются остановить
Что такое отмывание денег
Отмывание денег - это когда деньги сомнительного происхождения пытаются сделать нормальными на вид. Так, чтобы ими можно было пользоваться без лишних вопросов: покупать активы, платить подрядчикам, выводить за рубеж, инвестировать.Для финансовой организации это не абстрактная теория, а прямой риск. Если через вашу инфраструктуру проходят такие истории, дальше почти всегда начинаются неприятные последствия: блокировки, проверки, претензии, репутационные потери. И обычно это стоит дороже, чем нормально выстроенный контроль.
Стадии: placement, layering, integration
Традиционно выделяют три стадии: placement, layering и integration. Placement - момент, когда деньги впервые попадают в финансовую систему: через внесения, первичные зачисления, обмен или ввод в платёжные инструменты. Layering - попытка запутать следы: дробят суммы, гоняют по цепочкам счетов, меняют инструменты, добавляют посредников, прыгают между юрисдикциями. Integration - этап, когда деньги возвращаются в экономику в виде понятных покупок, инвестиций или внешне нормальной бизнес-деятельности.В реальности схема почти никогда не выглядит аккуратной. Стадии перемешаны, а на поверхности это выглядит как набор странностей и несостыковок. Поэтому дальше в статье будет много про контекст - и про то, как его удерживать, когда операций много, а времени мало.
Почему это важно для бизнеса
AML - это история про управление риском. FATF продвигает простую идею: меры должны зависеть от риска - и это на практике спасает комплаенс от превращения в тормоз для бизнеса.Если риск низкий - процесс не должен душить клиента. Если риск высокий - контроль обязан быть глубже. И именно так обычно получается держать защиту «в рабочем состоянии», а не для галочки.
Регуляторная база
FATF: международный стандарт
FATF задаёт международный стандарт через рекомендации: страны на их основе строят законы и правила, а регуляторы - требования к организациям.Если перевести это в практику, то от финансовой организации ждут понятной логики риск-ориентированного подхода, работающих процедур CDD и постоянного мониторинга, аккуратной работы с санкционными рисками, прозрачности бенефициарного владения и способности выявлять подозрительные кейсы и корректно сообщать о них.
Отдельно важно понимать: CDD у FATF - это не “проверили документы и забыли”. Существенная часть - ongoing monitoring, то есть постоянная проверка операций на соответствие профилю клиента, причём в риск-ориентированной логике.
115‑ФЗ и подзаконные акты
В РФ базу задаёт 115‑ФЗ и подзаконные акты. Они требуют идентифицировать клиента до обслуживания и поддерживать контур ПОД/ФТ: собирать и обновлять сведения, выявлять подозрительные операции, обмениваться информацией с уполномоченным органом.Частая путаница - считать, что идентификация и KYC одно и то же. Идентификация - юридический минимум, а KYC шире: туда входит и оценка риска, и понимание профиля, и дальнейшее сопровождение отношений, и расследование кейсов.
Нормативка ЦБ РФ и внутренний контроль
Нормативка Банка России важна тем, что описывает, как должен быть устроен внутренний контроль по ПОД/ФТ на практике: роли, порядок действий, фиксация решений, контроль качества, требования к системам и хранению данных.Если смотреть глазами аудитора или специалиста по безопасности, слабое место обычно повторяется: решения принимаются, но следов почти нет. А в AML следы - это не бюрократия, а возможность восстановить, кто решил, почему решил, на основании каких данных и кто проверил качество.
Когда AML обсуждают в вакууме, легко забыть, почему регуляторы так упираются в прозрачность источника средств. Если хочется быстро восстановить контекст - как устроены криптовалюты, почему они удобны для трансграничных схем и где именно в этой картине появляется AML/KYC - пригодится руководство: «ВСЁ О КРИПТОВАЛЮТЕ»
Risk-based approach: фундамент зрелого AML
Риск-ориентированный подход - это то, на чём держится нормальная AML-система: он влияет на всё - сколько данных собираете на входе, как часто обновляете сведения, какие пороги ставите в мониторинге и когда эскалируете кейс.Параллель с кибербезопасностью здесь очень прямая: если нет приоритизации, SOC утонет в алертах. В AML то же самое - без приоритизации команда быстро перестаёт видеть действительно важные истории.
Оценка рисков клиентов
Обычно строят скоринг или категории риска клиента. Смысл простой: понять, где нужно копать глубже - по типу клиента и сложности структуры, географии, продуктам и каналам, а ещё по поведению (например, резкие скачки оборота или появление нетипичных контрагентов).Риск нельзя поставить один раз и забыть. FATF-логика (и вообще здравый смысл) требует периодического пересмотра и обновления риск-профиля - иначе оценка быстро превращается в формальность.
Категоризация операций
Отдельно оценивают риск операций и паттерны, которые требуют внимания. В комплаенс-практике регулярно всплывают темы дробления, транзитности, цикличности, несоответствия профиля и транзакций, смены географии и странных связок контрагентов.Здесь почти всегда работает простое правило: лучше иметь меньше сценариев, но реально настроенных и регулярно пересматриваемых, чем огромную библиотеку “на всякий случай”, которая создаёт только шум.
KYC/CDD/EDD: жизненный цикл клиента, а не форма на онбординге
Чтобы не запутаться в терминах: CDD - базовый уровень, EDD - усиленный, ongoing monitoring - постоянное сопровождение.Сильный AML начинается в момент онбординга, но не заканчивается на нём - он продолжается всё время, пока клиент с вами работает.
Customer Due Diligence (CDD)
CDD обычно включает идентификацию и проверку данных клиента и связанных лиц, понимание цели и предполагаемого характера отношений, а также контроль операций и актуальности данных в процессе обслуживания.Фраза “понять цель отношений” часто превращается в поле в анкете. А должна быть хотя бы рабочая гипотеза: откуда деньги, какой типичный оборот, какая логика платежей, кто контрагенты - без этого невозможно отличить нормальное поведение от отклонения.
Enhanced Due Diligence (EDD)
EDD включают, когда риск высокий: собирают больше подтверждений, глубже смотрят структуру владения и бенефициаров, подключают дополнительные источники (в том числе репутационные), а дальше усиливают мониторинг и вводят дополнительные согласования там, где это нужно.Распространённая ошибка - сделать EDD один раз и забыть. Если риск высокий, то усиление должно быть не разовым действием, а режимом сопровождения.
Ongoing monitoring
Ongoing monitoring держит систему в адекватном состоянии: пересматривать риск по событиям, обновлять данные, проверять отклонения и причины, отслеживать, как со временем меняется профиль клиента.Это не обязательно ежедневная ручная проверка, скорее дисциплина и правильно настроенные триггеры. Если этот слой слабый, то даже идеально проведённый онбординг через несколько месяцев перестаёт что-либо гарантировать.
Транзакционный мониторинг: правила, сценарии и ML-модели
Мониторинг транзакций - это потоковая работа: операции превращаются в алерты, алерты - в кейсы, кейсы - в решения. Именно здесь чаще всего и ломается боеспособность AML, потому что нагрузка растёт очень быстро.Rule-based сценарии
Rule-based - это сценарии вида “если X и Y, то поднимай алерт”. Их сильная сторона в том, что логика прозрачна: можно объяснить, почему сработало правило, и воспроизвести это в аудите.На практике сценарии группируют вокруг типологий: нетипичная частота и дробление, признаки транзитности, несоответствие профилю, резкие изменения географии или контрагентов, повторяющиеся циклы переводов. И снова важен не объём, а качество: сценарии нужно регулярно тюнить, иначе они либо перестают ловить риск, либо начинают стрелять по всему подряд.
ML-модели
ML полезен там, где данных много и важно лучше ранжировать алерты и снижать шум. Но есть правило: модель должна помогать расследованию, а не заменять его - команда должна уметь ответить, почему поднялся алерт и что именно выглядит необычно.Когда смотришь на операции “по одному продукту”, многие схемы выглядят как набор слабых сигналов - и именно поэтому AML/мониторинг быстро превращаются в шум. Если хочется увидеть, как собирают целостную картину по клиенту и маршруту денег между картами, кредитами, P2P и инвестициями, очень помогает этот разбор: «Сквозной антифрод в экосистеме…»
SAR/СПО: превращаем подозрение в юридически аккуратный отчёт
SAR/СПО - это момент, когда организация фиксирует подозрение и сообщает куда нужно.Когда подавать СПО
Обычно не бывает одного сигнала, который всё доказывает. Решение складывается из совокупности признаков: сработали сценарии мониторинга, поведение не сходится с профилем, документы или объяснения не закрывают вопросы, видны попытки обойти контроль, есть подозрительные связи по контрагентам.Важно выдерживать корректный тон: это не приговор клиенту. Это сообщение о подозрении - по фактам и с понятной логикой.
Формат и сроки: практический смысл
Даже без перечисления реквизитов полезно понимать, что делает отчёт сильным. Во-первых, хронология и факты: что происходило, когда и на какие суммы; во-вторых, связи: повторяемость, контрагенты, география, продукты и каналы; в-третьих, объяснение, почему это не укладывается в профиль; и, наконец, внутреннее решение - кто рассматривал кейс и почему пришёл к выводу, что это нужно эскалировать.Если этого нет, отчётность превращается в ручную рутину: каждый кейс делается “на характере”, а когда поток растёт - всё начинает разваливаться.
Санкционный скрининг: списки и fuzzy matching без хаоса
Санкционный скрининг - отдельный слой контроля, который постоянно пересекается с AML (особенно в трансграничке и у high-risk клиентов).Списки и источники
Скрининг - это процесс, а не разовая загрузка файла. Списки должны обновляться, источники быть понятными, а данные приводиться к нормальному виду, иначе совпадения будут либо пропускаться, либо появляться пачками.Fuzzy matching
Fuzzy matching нужен, потому что данные почти никогда не идеальные: транслитерации, опечатки, разные форматы имён и документов. Но его нельзя “поставить по умолчанию и забыть”.Главная опасность здесь операционная: слишком чувствительные пороги дают шквал совпадений, начинаются лишние блокировки и конфликты с клиентами, бизнес давит на комплаенс - и в итоге контроль расшатывается. Поэтому нужен понятный порядок разбора совпадений и фиксации решений, чтобы повторные ситуации решались быстрее и одинаково.
Автоматизация и платформы: как сделать AML масштабируемым
Автоматизация нужна, потому что вручную AML не масштабируется: в какой-то момент команда просто перестаёт успевать. А без фиксации решений и журнала действий невозможно доказать, что система управляемая.Что стоит автоматизировать в первую очередь
Здесь оставлю один из немногих списков - он действительно помогает читателю быстро увидеть скелет зрелого контура:- Онбординг и KYC: сбор данных, верификация, риск-скоринг, кейс-менеджмент.
- Мониторинг транзакций: сценарии/скоринг, алерты, приоритизация, дедупликация.
- Санкционный скрининг: batch + real-time, разбор совпадений.
- SAR/СПО: подготовка кейса, согласование, отправка, хранение.
- Аудит-трейл: кто, когда и почему принял решение, какие данные использовал.
Ссылка скрыта от гостей
Платформы (Actimize, SAS, Diasoft): как выбирать
Выбор платформы обычно упирается в практику: нужен нормальный кейс-менеджмент с ролями, эскалациями и контролем качества; нужна гибкость настройки сценариев и порогов, иначе вы будете жить релизами, а не рисками; нужны интеграции с core-системами и внешними источниками; и нужно нормальное хранение доказательств и истории решений, чтобы потом не собирать картину по кускам.И ещё один момент, который часто игнорируют: покупка платформы не заменяет процесс. Нужны владельцы сценариев, владельцы данных и метрики качества - иначе получится дорогой интерфейс для ручного труда.
Типичные ошибки и штрафы: где ломается даже “формально соответствующий” AML
Проблемы чаще всего появляются не там, где “не написали документ”, а там, где процессы и настройки не стыкуются между собой.Самые частые провалы выглядят так: CDD сделали, но ongoing monitoring слабый - профиль устаревает, риск не пересчитывается; ложные алерты не контролируются - команда работает в режиме бесконечного разгребания; санкционный скрининг живёт сам по себе без понятного порядка разбора совпадений - решения получаются непредсказуемыми; EDD делается один раз, хотя высокий риск требует постоянного усиленного сопровождения; по СПО/SAR нет сильного кейса - мало фактов, слабая хронология, решения трудно защищать; внутренний контроль размазан - роли не определены, качество расследований не измеряется, история решений неполная.
Отдельный риск - лечить шум отключением сценариев. Это быстро, но почти всегда заканчивается дырками в контроле; правильный путь - настройка порогов, исключения, приоритизация, контроль качества, а уже потом изменения в сценариях.
Когда алертов слишком много, самая частая ошибка - начать “чинить” систему по ощущениям: подкрутить порог, выключить правило, порадоваться тишине. Чтобы вместо этого управлять качеством в цифрах - и не только в Precision/Recall, но и в деньгах и клиентском опыте - пригодится наш разбор метрик: «Метрики антифрода: как перестать мерить только по доле отклонённых операций»
Заключение
AML в 2025 году - это система, которая должна жить в реальном потоке операций: риск-оценка задаёт глубину KYC/CDD/EDD, ongoing monitoring не даёт профилю клиента устареть, транзакционный мониторинг превращает события в кейсы, санкционный скрининг закрывает отдельный класс рисков, а SAR/СПО фиксирует подозрение так, чтобы это было обоснованно и проверяемо.Если контур собран правильно - с ролями, метриками, журналированием решений и нормальной автоматизацией - AML перестаёт быть вечной ручной работой и становится предсказуемым процессом, который защищает организацию и при этом не ломает клиентский опыт.
Последнее редактирование:
