VASP-лицензия

VASP-лицензия требуется компаниям, которые хранят, передают, обменивают или обрабатывают виртуальные активы от имени клиентов, имея доступ к их средствам или приватным ключам. Регуляторы рассматривают такую деятельность как регулируемые финансовые услуги в силу требований AML, риск-менеджмента и защиты прав потребителей.

В частности, VASP-лицензия (также известная как криптолицензия) необходима для следующих видов деятельности:

1. Услуги обмена и конвертации

• платформы обмена крипта–фиат и крипта–крипта (онлайн-обменники, OTC-дески, агрегаторы конвертации);
• криптовалютные банкоматы, обеспечивающие покупку или продажу цифровых активов за наличные.

2. Платежи и обработка транзакций

• мерчант-провайдеры и крипто-платёжные шлюзы, принимающие платежи в криптовалюте;
• крипто-платёжные процессоры, осуществляющие переводы средств между пользователями;
• эскроу-платформы, удерживающие активы до завершения расчётов.

3. Кастоди и хранение активов

• провайдеры кастодиальных услуг, управляющие приватными ключами и счетами клиентов;
• платформы и сервисы, сохраняющие контроль над цифровыми активами пользователей.

4. Торговые платформы и услуги исполнения

• спотовые криптобиржи, сводящие заявки и хранящие средства клиентов;
• биржи деривативов, предлагающие фьючерсы, опционы и бессрочные контракты;
• брокеры и провайдеры услуг исполнения поручений;
• агрегаторы ликвидности, маршрутизирующие заявки между несколькими площадками.

5. Управление активами и автоматизация торговли

• управляющие активами на базе API, оперирующие портфелями клиентов на биржах;
• торговые боты, исполняющие транзакции от имени пользователей.

6. Консультационные услуги, влияющие на совершение сделок

• инвестиционные советники, чьи рекомендации или торговые сигналы могут приводить к совершению сделок с виртуальными активами.

Общий критерий прост: если компания хранит, передаёт, обменивает или обрабатывает криптоактивы от имени клиентов, контролируя доступ к средствам или приватным ключам, получение VASP-лицензии становится обязательным компонентом её операционной модели.

Ведение деятельности без необходимой VASP-авторизации квалифицируется как предоставление регулируемых финансовых услуг без лицензии и может повлечь применение мер принудительного воздействия — ограничения со стороны банков и платёжных провайдеров, блокировку транзакций, финансовые санкции или запрет на дальнейшую деятельность.

Не каждая бизнес-модель в крипто автоматически подпадает под VASP-лицензирование. В отдельных случаях VASP-лицензия может не потребоваться — в зависимости от характера предоставляемых услуг и уровня контроля над активами клиентов.

• предоставление некастодиальных кошельков, в которых полный контроль над приватными ключами остаётся у пользователя;
• оказание консультационных, аналитических или информационных услуг, не инициирующих и не сопровождающих сделки с активами;
• работа в формате образовательной или исследовательской платформы без доступа к средствам клиентов;
• предложение инструментов автоматизации, которые не выполняют транзакций самостоятельно и не имеют технической возможности управлять активами пользователей.

В таких моделях отсутствует передача, хранение или контроль активов третьих лиц, а значит, деятельность формально не подпадает под требования VASP-лицензирования.

Однако итоговая оценка всегда зависит от конкретной бизнес-модели и трактовки регулятора соответствующей юрисдикции. Поэтому настоятельно рекомендуется провести регуляторную оценку, чтобы подтвердить, применимы ли требования VASP-лицензирования.

Регулирование виртуальных активов в Европе меняется быстрее, чем когда-либо. Важно различать Европейский союз и более широкое европейское пространство, поскольку правовые режимы в этих областях развиваются по разным моделям.

В странах ЕС термин VASP больше не используется. В рамках Регламента о рынках криптоактивов (MiCA) поставщики криптоуслуг переходят на режим лицензирования CASP, при этом сроки подачи заявок и переходные периоды различаются по странам ЕС. В большинстве юрисдикций ЕС требования MiCA либо уже вступили в силу, либо станут полностью применимыми в течение 2025–2026 годов в зависимости от национальных переходных режимов.

При этом Европа не ограничивается ЕС. В Швейцарии, Великобритании, Гибралтаре, Джерси, Грузии и Республике Сербской модель VASP по-прежнему используется и остаётся основной формой регулирования. Эти юрисдикции следуют рекомендациям Группы разработки финансовых мер борьбы с отмыванием средств (FATF) и поддерживают независимые регуляторные режимы, не подпадающие под MiCA.

Такое разделение делает выбор юрисдикции стратегическим решением: компаниям необходимо учитывать, где применяется CASP, где действует VASP и какие требования повлияют на их операционную деятельность, доступ к банкам и набор возможностей по предоставлению различных услуг, связанных с виртуальными активами.

Стоимость и сроки получения VASP-лицензии в Европе существенно различаются по юрисдикциям. В 2025 году совокупные лицензионные бюджеты обычно составляют от $10 000 в недорогих юрисдикциях, таких как Босния и Герцеговина, до $165 000 для прямой лицензии FINMA в Швейцарии, а сроки одобрения — от 3 до 18 месяцев.

Ориентировочные диапазоны затрат и сроков по юрисдикциям (2025):

• Босния и Герцеговина: $10 000–15 000 (3–6 месяцев);
• Грузия: $15 000–30 000 (4–8 месяцев);
• Швейцария (путь через SRO): $22 000–55 000 (2–4 месяца);
• Великобритания: $50 000–100 000 (6–18 месяцев);
• Гибралтар: $80 000–120 000 (9–15 месяцев);
• Джерси: $100 000–150 000 (8–14 месяцев);
• Швейцария (прямая лицензия FINMA): $110 000–165 000 (6–12 месяцев).

Совокупные затраты обычно включают юридические и консультационные услуги, регуляторные сборы за подачу заявки, настройку комплаенс-инфраструктуры, требования к минимальному капиталу (примерно от €25 000 до 5 000 000 CHF в зависимости от юрисдикции и видов деятельности), а также ежегодные надзорные сборы.

Сроки одобрения зависят от регуляторной сложности, качества документации, готовности AML- и комплаенс-системы, банковских договорённостей и загруженности регулятора. На практике компании с устоявшимися комплаенс-системами и полной документацией нередко получают одобрение быстрее и с меньшими совокупными затратами, чем стартапы, выстраивающие комплаенс с нуля.

Для получения VASP-лицензии криптобизнес должен соответствовать набору базовых регуляторных требований, определённых стандартами FATF и имплементированных национальными регуляторами. Хотя конкретные пороговые значения различаются по юрисдикциям, ключевые требования в целом единообразны в Европе и сопоставимых юрисдикциях.

Ключевые требования VASP-лицензирования (2025):

1. Комплаенс-система AML / KYC

• задокументированные политики и процедуры AML/CTF;
• идентификация и верификация клиентов (KYC/CDD);
• мониторинг транзакций и подача сообщений о подозрительной активности (SAR/STR);
• корпоративная оценка рисков, охватывающая клиентов, продукты, географию и потоки транзакций.

2. Минимальный капитал и финансовый substance

• требования к начальному капиталу — как правило, от €25 000 до 5 000 000 CHF в зависимости от перечня услуг;
• постоянный мониторинг достаточности капитала и ликвидности;
• периодическая финансовая отчётность перед регулятором.

3. Квалифицированный менеджмент и комплаенс-офицер

• назначение квалифицированного AML-комплаенс-офицера (локального или согласованного с регулятором);
• проверки fit-and-proper для директоров и акционеров;
• обязательное обучение AML/KYC для персонала и процедуры Know Your Employee (KYE).

4. Управление рисками и кибербезопасность

• политики ИТ- и кибербезопасности;
• меры защиты активов клиентов и приватных ключей;
• процедуры реагирования на инциденты и защиты данных.

5. Организационная структура и корпоративное управление

• прозрачная структура собственности и управления;
• чёткое разделение клиентских активов и собственных средств компании;
• внутренний контроль и политики управления конфликтами интересов.

6. Хранение записей и регуляторная отчётность

• хранение транзакционных, KYC и аудиторских записей (как правило, 5–10 лет);
• постоянная регуляторная отчётность и готовность к аудиторским проверкам.

Многие компании сталкиваются с проблемами, которых можно избежать на раннем этапе. Ниже — наиболее распространённые ошибки, влияющие на сроки, стоимость и итоговый результат.

1. Недооценка требований AML/CTF. Многие проекты приступают к лицензированию без готовой KYC-системы, без проработанной методологии мониторинга транзакций и без инструментов для применения Travel Rule. Регулятор быстро выявляет разрыв между заявленными процессами и реальной практикой, и заявка останавливается на самой ранней стадии.
2. Слабая операционная модель. Скачанные из интернета шаблоны политик не работают. Документы должны отражать конкретный продукт, риск-логику, маршруты транзакций, архитектуру хранения ключей и роли персонала. Без этого регулятор воспринимает компанию как неготовую.
3. Неправильный выбор юрисдикции. Ориентация исключительно на низкую стоимость регистрации приводит к тупиковым моделям: отсутствуют банки-партнёры, нет платёжных провайдеров, закрыт доступ к рынкам. Юрисдикция должна соответствовать масштабу бизнеса и характеру предоставляемых услуг.
4. Недостаточная техническая документация. Регулятор ожидает описания инфраструктуры, схем хранения, механизмов MFA, логики лимитов, журналов событий и планов реагирования на инциденты. Поверхностные описания приводят к дополнительным запросам и задержкам.

Игнорирование постлицензионных требований.

Некоторые компании концентрируются только на получении лицензии и не закладывают в бюджет операционные расходы: обязательную отчётность, услуги внутренних аудиторов, обновление процедур, внешние аудиты. Это приводит к нарушениям после получения статуса и риску приостановки деятельности.

Получение VASP-лицензии перестало быть формальным комплаенс-шагом — это стратегическое требование для криптобизнесов, работающих в регулируемой глобальной среде. Лицензированный статус подтверждает соблюдение стандартов AML/KYC, повышает прозрачность операций с виртуальными активами и существенно снижает регуляторные и банковские риски.

В 2025–2026 годах, когда ЕС переходит на режим MiCA, а режимы VASP сохраняются за пределами ЕС, выбор правильной юрисдикции становится ключевым бизнес-решением. Швейцария, Великобритания и отдельные европейские и офшорные юрисдикции продолжают предлагать жизнеспособные модели VASP для бирж, кастодиальных провайдеров и институциональных криптопроектов, работающих в глобальном масштабе.

Грамотно структурированная VASP-лицензия открывает доступ к международным рынкам, укрепляет отношения с банками и платёжными провайдерами и поддерживает долгосрочную масштабируемость без необходимости повторного реструктурирования. В условиях усиливающегося регуляторного внимания лицензирование перестало быть преимуществом — это базовое условие для построения устойчивого и пригодного для банковского обслуживания криптобизнеса.