Лёгкий KYC для крипто-карт — что это и зачем

Q: Что такое «лёгкий KYC»?

Лёгкий KYC — это верификация KYC по скану паспорта и базовым личным данным, без селфи, liveness-проверки и видеозвонка. Эмитент выполняет обязанность идентифицировать держателя карты, но не собирает биометрию. Обязателен в любой легальной картой программе.

Q: Это то же самое, что «карта без KYC»?

Нет. Лёгкий KYC — это полноценная идентификация, просто без биометрического слоя. «Карты без KYC» либо лукавят про сбор данных, либо сидят на BIN-спонсоре, который теряет лицензию при первой же проверке. Разные вещи.

Q: Хранится ли моё селфи или биометрия?

Нет. Биометрия не хранится. Крипто карта без селфи — это про нас: только паспорт, без liveness-проверки и без видеоонбординга.

Q: Сколько хранятся KYC-данные?

Минимум пять лет после прекращения отношений с клиентом — в соответствии с Рекомендацией 11 FATF и применимыми AML-нормами. Шифрование at rest, ролевой доступ, без перепродажи и маркетинговых рассылок.

Q: Как часто обновляется KYC?

По умолчанию каждые 24 месяца. Дополнительно — при истечении паспорта, смене страны резидентства или флагах из транзакционного мониторинга.

Лёгкий KYC — это скан паспорта и несколько полей с личными данными. Без селфи. Без 30-секундного видео с поворотом головы. Без звонка оператору, который зачитывает твой адрес обратно.

Идентификация всё равно настоящая. Всё равно обязательная. Эмитент должен знать, кому он выпускает карту. Меняется только биометрический слой.

Провайдеры крипто-карт намеренно размывают эту границу. Одни кричат «без KYC», а проверки тихо делают. Другие действительно их не делают — и через полтора месяца теряют BIN-спонсора. Дальше — что включает идентификация для крипто карты у эмитента, который работает по правилам, где живут данные и почему «без KYC» — это обычно комплаенс-театр, заканчивающийся замороженной картой.

Что такое лёгкий KYC на самом деле (и чем он не является)

Карточные программы выстраиваются по ступеням KYC. Условно — три уровня:

Упрощённая проверка (SDD) — минимум данных, жёсткие лимиты. Обычно используется для prepaid e-money продуктов до €150.
Стандартная проверка (CDD) — базовый уровень. Документ, личные данные, проверка по санкционным спискам. Дефолт для подавляющего большинства карт.
Усиленная проверка (EDD) — включается по рискам. Источник средств, дополнительные документы, иногда видеозвонок.

«Лёгкий KYC» — это маркетинговое имя для CDD-конфигурации без биометрии. Базовый уровень идентификации по FATF выдерживается. Просто один документ вместо двух и без скана лица на чьём-то сервере навсегда.

Чего лёгкий KYC не делает: это не анонимность (твоё имя и номер паспорта лежат в регулируемой базе), это не освобождение от санкционного скрининга (каждый заявитель проходит через OFAC, ЕС, ООН, UK HMT и швейцарский SECO), и это не лазейка. Это инженерное решение, которое укладывается в FATF Recommendation 10 — глобальный стандарт идентификации клиентов в финансовых институтах.

Если коротко: лёгкий KYC убирает трение, но не убирает юридическую основу.

Почему крипто-картам в принципе нужен KYC

Короткий ответ: этого требуют сами платёжные сети.

Visa и Mastercard — это частные сети, лицензирующие узкий круг банков (BIN-спонсоров) на выпуск карт. Каждый такой банк сидит под банковским регулятором — FDIC и OCC в США, FCA в Великобритании, BaFin в Германии, MAS в Сингапуре. У каждого регулятора — свой AML-режим, построенный на базе FATF.

В переводе: если карта живёт на рельсах Visa или Mastercard, KYC где-то происходит. Вопрос только — где.

На крипто-карту накладываются три обязательства:

Правила сетей. Visa Rules и Mastercard Rules требуют от эмитента идентифицировать держателя до выпуска карты. Не обсуждается.
Национальное AML-законодательство. Bank Secrecy Act в США, MLR 2017 в Великобритании, директивы ЕС (сейчас 6AMLD, с MiCA для криптоактивов на горизонте 2024–2026).
Санкционное право. OFAC, консолидированный список ЕС, списки ООН, страновые списки. Эмитенты проверяют при онбординге и на каждой транзакции.

Карта, обещающая обойти все три — нелегальна. Это карта, которую просто пока не поймали.

Какие данные собираются при лёгком KYC

Простой список — ровно то, под чем подписана KYC-политика ExCards:

Полное имя, как в паспорте
Дата рождения
Гражданство
Номер паспорта, даты выдачи и истечения
Страна резидентства
Контакт — email или Telegram
Опционально: налоговая юрисдикция (для расчёта тарифа, не хранится без явного указания)

Это весь набор полей на этапе выпуска.

Два момента бросаются в глаза. Нет подтверждения адреса — традиционные банковские программы часто требуют коммунальный счёт или выписку, эмитент это пропускает для базового уровня лимитов. Нет SSN, нет внутреннего паспорта помимо загранпаспорта, нет данных о работодателе.

Скан — это страница с фото. Машиночитаемая зона (MRZ) внизу делает основную работу по верификации: криптографически структурированные поля парсятся и проверяются по правилам ICAO Document 9303.

Чего не собираем — и почему это важно

Смысл лёгкого KYC сидит в разрыве между тем, что требует регулятор, и тем, что обычно гребут провайдеры просто потому что могут. Этот разрыв — биометрия.

Стандартный онбординг в финтехах и необанках обычно просит селфи (часто с документом возле лица), liveness-видео (поверни голову налево, направо, моргни), иногда сэмпл голоса, плюс отпечаток пальца или Face ID в мобильном приложении.

Ничего из этого юридически не требуется для CDD-уровня, если подлинность документа можно подтвердить другим способом. Провайдеры собирают это, потому что так слегка снижается остаточный фрод, а ещё это позволяет перепродавать поведенческие данные. Плюс по умолчанию включено в продукте их KYC-вендора.

Эмитент ExCards ничего из этого не требует. Размен честный: пропуск биометрии означает чуть более высокий остаточный риск фрода на стороне эмитента — отчасти поэтому лимиты карт уровневые, а крупные пополнения могут уйти в усиленную проверку. Это не маркетинговый лозунг про приватность, это структурный факт про стек верификации.

Как эмитент реально проверяет паспорт

Воркфлоу со всеми некрасивыми деталями:

Загрузка. Фото страницы с фото паспорта через app.excards.io или Telegram-мини-апп.
Препроцессинг. На сервере — поворот, выравнивание, детектирование бликов и обрезанных краёв.
Парсинг MRZ. Две машиночитаемые строки извлекаются и проверяются по алгоритму контрольных цифр ICAO Document 9303. Ломаные контрольные цифры почти всегда означают подделку или слишком плохой скан.
Сверка полей. Поля из MRZ сравниваются с напечатанной визуальной зоной. Расхождения уходят на ручную проверку.
Проверка подлинности. Консистентность шрифтов, выравнивание MRZ, паттерны известных подделок. Не уровень аэропортного пограничника, но достаточно для этого уровня риска.
Санкции и PEP. Имя, дата рождения, гражданство гонятся через ООН, ЕС, OFAC SDN, UK HMT, швейцарский SECO и PEP-базы.
Решение. Одобрено, отказано или на ручной разбор. Чистые заявки проходят за 10 минут.

Пайплайн крутится у партнёра-эмитента, не напрямую у ExCards. ExCards передаёт документы по зашифрованному каналу и получает результат. Регуляторное разрешение держит эмитент, ExCards — клиентский слой.

Санкционный скрининг — что происходит за кулисами

Самая молчаливая часть онбординга крипто-карт. И та, которая чаще всего застаёт легальных пользователей врасплох.

Каждый заявитель проверяется против:

OFAC SDN List — список Specially Designated Nationals США. Источник: ofac.treasury.gov. Обновляется еженедельно, иногда чаще.
Консолидированный список ЕС — санкции Совета Евросоюза.
Список Совбеза ООН — глобальный, обязателен для всех стран-членов.
UK HM Treasury Consolidated List — британский.
Швейцарский SECO — часто синхронизирован с ЕС, но не идентичен.
PEP-базы — политически значимые лица и их близкое окружение. Совпадения обычно ведут к усиленной проверке, не к отказу.

Ложные срабатывания случаются. На свете больше одного «Сергея Иванова» и больше одного «Мохаммед Хана». При частичном совпадении по имени эмитент сравнивает дату рождения и гражданство до того, как поднять флаг. Близкие совпадения идут в ручной разбор, не в автоотказ.

Страна резидентства тоже проверяется. Страновые санкции (Иран, КНДР, Сирия, Куба, части России под секторальными мерами, отдельные регионы Украины вроде Крыма) блокируют выпуск независимо от личности заявителя. Полный список — в гео-политике. На стороне США практическим хабом по руководствам остаётся FinCEN.

Разовый KYC против непрерывного KYC

KYC — это не разовый ритуал при регистрации. Это отношения.

В ExCards перепроверка запускается по триггерам:

Каденс. Раз в 24 месяца по умолчанию.
Истечение документа. Скоро закончится паспорт — пожалуйста, загрузи новый.
Смена страны. Новая страна резидентства — повторная верификация.
Поведенческие триггеры. Резкая смена транзакционных паттернов, необычные источники пополнений, географические аномалии (карта в стране A, держатель зарегистрирован в стране B уже месяц).
Изменения санкционных списков. Watchlists обновляются постоянно. Имя, чистое два года назад, может выплыть позже.

Это не специфика крипто-карт — это стандартный ongoing monitoring по Рекомендации 10 FATF. Банки делают то же самое, просто прячут лучше. На стороне пользователя — иногда запрос подтвердить детали или перезалить актуальный паспорт. Большинство пользователей видят одно такое обновление за 24-месячный цикл.

Лёгкий KYC против «без KYC» — нелестное сравнение

«Крипто-карта без KYC» — это одна из трёх вещей:

Проверяют, но врут в маркетинге. Самое частое. Часть процессоров собирает документы на этапах пополнения, а в рекламе пишет no-KYC. Проверка происходит. В рекламе про неё молчат.
Сидят на BIN-спонсоре, который вот-вот потеряет лицензию. Комплаенс-команды BIN-спонсоров мониторят поведение ресейлеров. Реклама в духе no-KYC поднимает флаг — заканчивается обычно отзывом BIN. Реальные кейсы: - PayWithUs потерял BIN примерно за две недели после срабатывания комплаенс-флагов. Около $10 000 в транзакциях развернули до окончательной отсечки. Держатели карт остались с убытком. - Cryptomus получил штраф C$176,9 млн от FINTRAC в начале 2025 года — 2 593 нарушения, 1 068 неподанных отчётов о подозрительных транзакциях, связи с даркнет-маркетами и обходом санкций. Ребрендировались в Heleket и продолжили в том же духе. Регуляторы во второй раз не забывают. - Sutton Bank находится под consent order от FDIC с февраля 2024 года — нарушения BSA/AML в связи с надзором за финтех-партнёрами. Несколько no-KYC программ всё ещё ездят на этом BIN. Часы тикают громко.
Работают вне платёжных сетей. Часть предложений «без KYC» — это вообще не Visa и не Mastercard. Перепродажа gift-карт или closed-loop схемы, которые выглядят как карты, но не работают у большинства мерчантов.

Хороших исходов нет ни в одном варианте. Первый: тебя обманули про приватность. Второй: карта перестаёт работать, баланс могут не вернуть, а записи эмитента (которые существуют, хочет того ресейлер или нет) уезжают регулятору при разборе. Третий: карта изначально была не тем, что ты думал.

Лёгкий KYC сидит в скучной середине. Настоящая верификация, настоящая юридическая основа, никакой биометрии, BIN-спонсор, который не теряет лицензию через квартал. На странице раскрытия рисков есть ссылки на конкретные действия FINTRAC, FDIC и FinCEN.

Приватность — где данные на самом деле живут

Справедливый вопрос после списка полей: кто это видит и сколько лет.

Хранение. AES-256 at rest, TLS 1.3 в транзите. Скан паспорта и структурированные поля лежат отдельно. Каждый доступ логируется.

Контроль доступа. Ролевой. Видеть данные могут три группы: комплаенс ExCards с задокументированной бизнес-необходимостью; комплаенс и риск-команды эмитента (выпуск, мониторинг, санкционный обзор); регуляторы или правоохранительные органы по законному запросу. Четвёртой группы нет. Данные не продаются, не уходят маркетинговым партнёрам, не передаются брокерам данных, не используются для обучения моделей.

Срок хранения. Минимум пять лет после прекращения отношений с клиентом — по Рекомендации 11 FATF и AML-законам юрисдикции эмитента. После этого окна данные можно удалить по запросу, с поправкой на legal holds.

GDPR и права субъекта данных. Если ты в ЕС, Великобритании или другой юрисдикции с эквивалентным режимом, можно запросить копию KYC-данных, исправить ошибки, удалить после истечения срока хранения. Канал — в KYC-политике.

Чего нельзя удалить по запросу. AML-записи в течение активного срока хранения. Регуляторный пол, а не выбор политики.

Этот пункт иногда удивляет тех, кто считает крипто-карты чистым листом. Это не так. Это регулируемые карточные программы с другим механизмом фондирования.

Что может завалить KYC и как чинить

Большинство отказов укладываются в небольшой набор причин. Почти всё лечится самим пользователем.

Качество фото. Размытый кадр (нажми чтобы сфокусироваться). Блики на фото или MRZ (не под прямым солнцем, не под лампой сверху). Обрезанные края (в кадре вся страница, включая MRZ). Фото с экрана — отказ, движок ловит просадку разрешения.

Проблемы с документом. Просроченный паспорт — сначала продлевай. Повреждённая страница — нечитаемая MRZ не пройдёт верификацию. Временные или экстренные документы — большинство эмитентов их не принимает.

Ошибки в данных. Имя в форме не совпадает с паспортом (вписывай точно как напечатано, включая отчества и средние имена). Опечатка в дате рождения. Страна резидентства не сходится с гражданством — это не блокер, но может вызвать запрос на дополнительные детали.

Совпадение по санкциям или PEP. Истинное совпадение — карта не выпускается, апелляции нет. Скорее всего ложное — ручной разбор комплаенс-аналитиком, обычно 24–72 часа.

Гео-ограничение. Страна резидентства в списке ограниченных юрисдикций — карту нельзя выпустить независимо от паспорта.

Если заявка не прошла, текст для пользователя обычно общий («верификация не завершена»). Так задумано — детальная обратная связь помогала бы плохим актёрам итерировать подделки. Поддержка в app.excards.io разбирает вероятную причину, не раскрывая логики детектирования.

Почему лёгкий KYC — это защитимая позиция, а не маркетинговый трюк

Истинно приватная карта была бы с нулевым KYC, что означает отсутствие платёжных сетей, что означает, что это не настоящая карта. Лёгкий KYC — это противоположный полюс: регуляторно-минимальная версия. Юридический минимум — и стоп. Никакой биометрии без необходимости, никакого хранения сверх AML-пола, никакой перепродажи, никаких «премиум-приватность за доплату».

Это не то же самое, что «без KYC». И не то же самое, что банковский онбординг, где тебя снимают на видео, грузят счёт за коммунальные услуги и расспрашивают про работу. Промежуточное состояние — намеренно.

Для пользователя, который покупает крипто-фондированную карту чтобы платить за OpenAI, Anthropic, Google Ads, Meta Ads, хостинг и SaaS-подписки, этот средний уровень обычно и есть правильный компромисс. Реальная карта у реальных мерчантов, реальный BIN, который не испаряется за полтора месяца, минимальное биометрическое присутствие.

Разбор продукта — на странице карт. Комплаенс-стек: /ru/kyc.html, /ru/aml.html, /ru/risk.html, /ru/geo.html. Операционные вопросы — в FAQ.

Резюме

Лёгкий KYC — это не «KYC-лайт» в смысле «меньше комплаенса». Это KYC, в котором убран биометрический слой, потому что биометрия для этого уровня карты не требуется.

Разница чувствуется в трёх точках: на регистрации (быстрее, менее инвазивно), на транзакциях (тот же мониторинг, что у любой регулируемой карты), и когда что-то идёт не так (те же юридические гарантии, тот же надзор, тот же пятилетний срок хранения). Первое — это маркетинговая часть истории. Остальные две — причина, по которой программа всё ещё работает через два года.

Если есть паспорт, чистый санкционный профиль и страна резидентства не из списка ограничений, верификация KYC в ExCards — это примерно десятиминутное упражнение. Если хотя бы один из трёх пунктов не сходится, никакие маркетинговые формулировки карту не материализуют. Система работает как должна.

Частые вопросы

Что такое «лёгкий KYC»?

Верификация KYC по скану паспорта и базовым личным данным, без селфи, liveness-проверки и видеозвонка. Эмитент идентифицирует держателя карты, биометрия не собирается. Обязательна в любой легальной карточной программе.

Это то же самое, что «карта без KYC»?

Нет. Лёгкий KYC — это настоящая идентификация, просто без биометрического слоя. «Карты без KYC» либо искажают то, что реально собирают, либо сидят на BIN-спонсоре, у которого отзовут лицензию при первой же серьёзной проверке.

Какие данные ExCards собирает при лёгком KYC?

Скан страницы с фото в паспорте, ФИО, дата рождения, гражданство, номер паспорта, даты выдачи и истечения, страна резидентства, контакт (email или Telegram). Опционально — налоговая юрисдикция для расчёта комиссий. Полный список — в KYC-политике.

Хранится ли моё селфи или биометрия?

Нет. Биометрия не хранится. Только паспорт, без liveness-проверки и видеоонбординга — это и есть крипто карта без селфи.

Сколько хранятся KYC-данные?

Минимум пять лет после прекращения отношений с клиентом, в соответствии с Рекомендацией 11 FATF и применимыми AML-нормами. Шифрование at rest, ролевой доступ, без перепродажи.

Как часто обновляется KYC?

По умолчанию каждые 24 месяца. Дополнительные триггеры — истечение паспорта, смена страны резидентства, флаги из транзакционного мониторинга.

Может ли KYC не пройти?

Да. Типичные причины: размытый скан, просроченный документ, обрезанная MRZ, попадание по санкциям или PEP, страна в списке ограничений. Большинство отказов лечится. Поддержка в app.excards.io помогает разобраться без раскрытия логики детектирования.

Кому передаются мои данные?

Только лицензированному эмитенту карты (для выпуска и мониторинга) и регуляторам по законному запросу. Не продаются, не идут в маркетинг, не уходят брокерам данных.