Аналитика
fintech

AML/KYC для финтеха: enhanced due diligence: практика Грузии

Противодействие отмыванию денег и финансированию терроризма (ანტიფულის გათეთრება, AML/CFT) в Грузии регулируется Законом «О содействии предотвращению легализации незаконных доходов и финансирования терроризма» 2003 года с последующими редакциями. По состоянию на май 2026 года Национальный банк Грузии (ეროვნული ბანკი, NBG) последовательно ужесточает надзор за финтех-компаниями: платёжными сервисами, VASP и необанками. Нарушение AML/KYC-требований влечёт приостановление или отзыв лицензии, штрафы до 100 000 лари и уголовную ответственность должностных лиц.

Статья разбирает: базовую структуру AML/KYC-обязательств для финтеха в Грузии, когда стандартная проверка клиента (CDD) переходит в расширенную (EDD), как выстроить процедуры enhanced due diligence на практике и какие ошибки чаще всего приводят к надзорным санкциям NBG.

Какова правовая база AML/KYC для финтех-компаний в Грузии?

Финтех-компании в Грузии обязаны соблюдать AML/KYC-требования на основании Закона «О содействии предотвращению легализации незаконных доходов» (статья 4), нормативных актов NBG и рекомендаций FATF, которые Грузия имплементировала в национальное законодательство. Обязанные субъекты - платёжные сервисы, VASP, эмитенты электронных денег - обязаны назначить ответственного за комплаенс, разработать внутреннюю AML-политику и проводить проверку клиентов до начала деловых отношений.

Грузинское законодательство различает три уровня проверки клиента. Упрощённая (SDD) применяется к клиентам с низким риском - например, к держателям предоплаченных карт с лимитом до 1 000 лари. Стандартная (CDD) охватывает большинство розничных клиентов и юридических лиц. Расширенная (EDD, enhanced due diligence) обязательна при наличии факторов повышенного риска, перечисленных в статье 7 Закона и конкретизированных в нормативных актах NBG.

Ключевое отличие грузинского регулирования от российского: в Грузии риск-ориентированный подход закреплён законодательно, а не является рекомендательным стандартом. Это означает, что финтех-компания обязана документально обосновать присвоение каждому клиенту уровня риска - и NBG вправе запросить эту документацию в любой момент.

Практический триггер: если финтех-компания не провела формальную оценку рисков клиентской базы и не зафиксировала её в AML-политике, NBG при проверке квалифицирует это как системное нарушение статьи 4 Закона - независимо от того, были ли фактически выявлены подозрительные операции.

Чтобы получить чек-лист запуска AML/KYC-системы для финтех-стартапа в Грузии, отправьте запрос на info@interlawfirm.ru

Когда стандартная проверка клиента переходит в enhanced due diligence?

Enhanced due diligence (EDD) в Грузии обязателен при наступлении хотя бы одного из триггеров, установленных статьёй 7 Закона: клиент является политически значимым лицом (PEP), деловые отношения ведутся дистанционно без личной идентификации, клиент зарегистрирован в юрисдикции из списка FATF или NBG, транзакционный профиль клиента отклоняется от заявленного при онбординге. Для VASP дополнительный триггер - операции с криптоактивами свыше порога, установленного NBG.

Перечень ситуаций, при которых EDD обязателен:

  • Клиент является PEP или членом его семьи / близким партнёром
  • Клиент зарегистрирован или ведёт деятельность в юрисдикции с высоким риском по классификации FATF
  • Деловые отношения установлены полностью дистанционно (без верификации документов в офисе или через нотариуса)
  • Сумма операции или совокупный оборот за месяц превышает пороговые значения NBG (для платёжных сервисов - как правило, 15 000 лари или эквивалент)
  • Клиент - юридическое лицо со сложной структурой бенефициарного владения (более двух уровней)
  • Транзакционный профиль клиента изменился без объяснимой деловой причины

Частая ошибка финтех-компаний из СНГ: EDD воспринимается как разовая процедура при онбординге. В грузинском регулировании EDD - это непрерывный мониторинг: если клиент был верифицирован как стандартный, но его транзакционный профиль изменился, компания обязана инициировать EDD повторно (статья 9 Закона).

Компании из Тбилиси (зима 2025) помогли выстроить систему автоматических триггеров для перевода клиентов из CDD в EDD. До этого платёжный сервис применял EDD только при онбординге PEP-клиентов, игнорируя изменения транзакционного профиля. После аудита NBG компания получила предписание и штраф свыше 40 000 лари - большую часть которого удалось оспорить в административном порядке, снизив итоговую сумму до 12 000 лари.

Неочевидный риск: грузинское законодательство не устанавливает исчерпывающий перечень триггеров EDD. NBG вправе расширять его нормативными актами. Финтех-компания, ориентирующаяся только на текст Закона без отслеживания актов NBG, рискует применять устаревшую матрицу рисков.

Как выстроить процедуру enhanced due diligence: практические требования NBG

Процедура EDD в Грузии включает четыре обязательных элемента: углублённую идентификацию клиента и бенефициарного владельца, установление источника средств и источника состояния, усиленный транзакционный мониторинг и одобрение деловых отношений на уровне старшего менеджмента. Каждый элемент должен быть задокументирован и храниться не менее пяти лет (статья 14 Закона).

Что подготовить для прохождения EDD-процедуры (чек-лист для финтех-компании):

  • Документы, подтверждающие источник средств клиента: выписки по счетам, налоговые декларации, договоры о продаже активов
  • Документы по структуре бенефициарного владения: корпоративные схемы, выписки из реестров всех юрисдикций присутствия
  • Результаты санкционного скрининга по базам OFAC, EU, UN и национальному списку NBG
  • Результаты PEP-скрининга с указанием использованной базы данных и даты проверки
  • Внутреннее заключение ответственного за комплаенс с обоснованием решения о продолжении деловых отношений

Углублённая идентификация бенефициарного владельца - наиболее проблемная точка для финтех-компаний, работающих с корпоративными клиентами. Грузинское законодательство требует установить бенефициарного владельца до уровня физического лица, владеющего прямо или косвенно более 25% долей или осуществляющего фактический контроль (статья 3 Закона). Если структура клиента включает офшорные юрисдикции, финтех-компания обязана запросить нотариально заверенные документы из каждой юрисдикции - или отказать в установлении деловых отношений.

Источник средств и источник состояния - разные понятия. Источник средств - откуда поступают деньги на конкретную операцию. Источник состояния - как клиент сформировал свой капитал в целом. NBG при проверках разграничивает эти понятия и квалифицирует их смешение как неполное проведение EDD.

Усиленный мониторинг транзакций при EDD предполагает более короткие интервалы пересмотра профиля клиента (как правило, каждые 6 месяцев вместо стандартных 12-24) и более низкие пороги для формирования отчёта о подозрительной операции (СТР).

Одобрение деловых отношений на уровне старшего менеджмента - требование, которое многие финтех-компании выполняют формально: подпись руководителя на стандартном шаблоне. NBG при проверках запрашивает доказательства того, что менеджмент реально рассматривал материалы EDD, а не просто подписал документ.

Какие ошибки финтех-компаний приводят к санкциям NBG?

Надзорная практика NBG в отношении финтех-компаний в Грузии показывает устойчивые паттерны нарушений. Наиболее распространённые: неполная документация EDD-процедур, отсутствие системы автоматического мониторинга транзакций, несвоевременная подача отчётов о подозрительных операциях и формальное назначение ответственного за комплаенс без реальных полномочий. Каждое из этих нарушений может повлечь предписание, штраф или приостановление лицензии.

Три сценария для разных типов финтех-бизнеса:

Сценарий 1. Платёжный сервис (PSP) с розничными клиентами. Основной риск - массовый онбординг без адекватной сегментации клиентов по уровню риска. NBG ожидает, что PSP применяет автоматизированные инструменты скрининга и имеет задокументированную матрицу рисков. Штраф за системное нарушение CDD - от 20 000 до 50 000 лари; при повторном нарушении - приостановление лицензии.

Сценарий 2. VASP (криптобиржа, кастодиан). Дополнительные требования: Travel Rule - передача информации об отправителе и получателе при переводах свыше 1 000 USD/эквивалент. Нарушение Travel Rule квалифицируется NBG как отдельное нарушение, не поглощаемое общими AML-санкциями. Для VASP характерна также проблема идентификации клиентов при P2P-операциях.

Сценарий 3. Необанк (эмитент электронных денег). Риск - дистанционный онбординг без надлежащей верификации документов. NBG требует, чтобы дистанционная идентификация соответствовала стандартам, эквивалентным личной верификации: видеоидентификация, биометрия или нотариально заверенные копии документов.

Матрица решений: ситуация - инструмент - срок - затраты - риски.

Клиент с признаками PEP выявлен после онбординга: инструмент - немедленное инициирование EDD, уведомление ответственного за комплаенс; срок - не позднее следующего рабочего дня; затраты - внутренние ресурсы + при необходимости внешний юрист; риск бездействия - квалификация как умышленного нарушения статьи 7 Закона.

Клиент из юрисдикции списка FATF запрашивает открытие счёта: инструмент - EDD с запросом расширенного пакета документов или отказ; срок - до принятия решения об установлении деловых отношений; затраты - от 2-3 рабочих дней внутреннего комплаенса; риск принятия без EDD - штраф и предписание NBG.

Транзакционный профиль клиента резко изменился: инструмент - автоматический триггер для пересмотра уровня риска и инициирования EDD; срок - в течение 5 рабочих дней с момента выявления отклонения; риск игнорирования - квалификация как ненадлежащего мониторинга.

Компании из Батуми (осень 2024) помогли пройти плановую проверку NBG без санкций. VASP-компания заблаговременно провела внутренний аудит AML-системы, выявила пробелы в документации EDD по 23 корпоративным клиентам и устранила их до начала проверки. Итог: проверка завершена без предписаний, лицензия сохранена.

Чтобы получить чек-лист регуляторных требований NBG по AML/KYC для финтех-компаний в Грузии, отправьте запрос на info@interlawfirm.ru

Описанные сценарии охватывают типовые ситуации. Реальная конфигурация рисков зависит от типа лицензии, клиентской базы и истории взаимодействия с NBG. Ошибка в квалификации уровня риска на этапе построения системы обнаруживается только при проверке - когда возможности для исправления ограничены.

Получили запрос от NBG или готовитесь к плановой проверке?Если Национальный банк Грузии направил запрос документов или уведомил о проверке - юристы Inter Law Firm проведут экспресс-аудит AML/KYC-системы, выявят пробелы в документации EDD и подготовят ответ на запрос регулятора. Сроки реагирования на запросы NBG, как правило, составляют 10-15 рабочих дней - этого достаточно для подготовки при своевременном обращении.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram

Как финтех-компания должна документировать AML/KYC-систему для NBG?

Документация AML/KYC-системы - самостоятельное требование грузинского законодательства, не сводящееся к наличию внутренней политики. NBG при проверках оценивает три уровня документации: нормативный (AML-политика, процедуры CDD/EDD, матрица рисков), операционный (досье клиентов, записи о проведённых проверках, отчёты о подозрительных операциях) и управленческий (протоколы одобрения EDD-клиентов, отчёты ответственного за комплаенс перед советом директоров). Отсутствие любого уровня - основание для предписания.

AML-политика должна обновляться не реже одного раза в год или при изменении нормативной базы NBG. Финтех-компании, использующие шаблонные политики без адаптации к своей бизнес-модели, получают замечания NBG даже при отсутствии фактических нарушений в операционной деятельности.

Досье клиента при EDD должно содержать не только документы идентификации, но и обоснование присвоенного уровня риска, историю пересмотров этого уровня и записи о каждом контакте с клиентом в рамках мониторинга. Минимальный срок хранения - 5 лет после прекращения деловых отношений (статья 14 Закона).

Отчёты о подозрительных операциях (СТР) подаются в Службу финансового мониторинга Грузии (ფინანსური მონიტორინგის სამსახური, FMS) в течение 24 часов с момента выявления подозрительной операции. Финтех-компании, подающие СТР с задержкой или не подающие их вовсе, несут самостоятельную ответственность по статье 20 Закона - независимо от того, была ли операция в итоге признана законной.

Неочевидный риск для финтех-компаний с иностранным участием: если головная компания требует использовать глобальные AML-шаблоны, не адаптированные к грузинскому законодательству, ответственность перед NBG несёт грузинское юридическое лицо - а не головная структура. Ссылка на «групповую политику» не является основанием для освобождения от ответственности по грузинскому праву.

Как выстроить риск-ориентированный подход к AML/KYC: стратегия для финтеха в Грузии

Риск-ориентированный подход (RBA) в грузинском AML-регулировании означает, что финтех-компания самостоятельно определяет уровень риска каждого клиента и продукта, документирует эту оценку и применяет соразмерные меры контроля. NBG не устанавливает единую матрицу рисков - он оценивает, насколько матрица компании соответствует её реальной бизнес-модели и клиентской базе.

Эффективная RBA-система для финтеха в Грузии строится на четырёх компонентах. Первый - оценка рисков бизнеса в целом: продукты, каналы дистрибуции, географический охват, клиентские сегменты. Второй - оценка рисков отдельных клиентов: автоматизированный скрининг при онбординге и периодический пересмотр. Третий - оценка рисков транзакций: правила мониторинга, адаптированные к специфике продукта. Четвёртый - управление рисками третьих лиц: агенты, партнёры по дистрибуции, технологические провайдеры.

Финтех-компании, запускающиеся в Грузии, нередко недооценивают четвёртый компонент. Если платёжный сервис использует стороннего провайдера для онбординга клиентов, ответственность за качество KYC-проверки остаётся за лицензированной компанией - даже если провайдер допустил ошибку. Это прямо следует из статьи 5 Закона.

Автоматизация AML/KYC - не опция, а де-факто требование для финтеха с клиентской базой свыше нескольких тысяч человек. NBG при проверках оценивает, способна ли компания обеспечить мониторинг в режиме реального времени. Ручные процессы для массового сегмента квалифицируются как системный риск.

Связь процедур: если NBG выявляет нарушения AML/KYC при плановой проверке, это автоматически инициирует углублённую проверку всей лицензионной документации. Нарушение AML-требований может стать основанием для пересмотра условий лицензии или введения ограничений на отдельные виды операций - даже если финансовые показатели компании в норме.

Направления практики по теме

Частые вопросы

1. Когда финтех-компания в Грузии обязана применять enhanced due diligence?

Enhanced due diligence обязателен для финтех-компании в Грузии при наступлении хотя бы одного из триггеров, установленных статьёй 7 Закона «О содействии предотвращению легализации незаконных доходов»: клиент является политически значимым лицом (PEP), деловые отношения установлены дистанционно, клиент зарегистрирован в юрисдикции из списка FATF или NBG, транзакционный профиль клиента существенно отклонился от заявленного при онбординге. Для VASP дополнительный триггер - операции с криптоактивами свыше порогового значения, установленного NBG. Важно понимать, что EDD - не разовая процедура при онбординге, а непрерывный мониторинг: изменение профиля клиента обязывает компанию инициировать EDD повторно даже в отношении ранее верифицированных клиентов. Игнорирование этого требования при проверке NBG квалифицируется как системное нарушение.

2. Какие санкции NBG применяет к финтех-компаниям за нарушения AML/KYC?

Национальный банк Грузии вправе применять к финтех-компаниям за нарушения AML/KYC штрафы в размере до 100 000 лари, предписания об устранении нарушений, ограничения на отдельные виды операций и приостановление или отзыв лицензии. Конкретная санкция зависит от характера нарушения: единичное нарушение документации влечёт предписание, системное нарушение процедур CDD/EDD - штраф, повторное нарушение после предписания - приостановление лицензии. Срок исполнения предписания NBG, как правило, составляет 30 рабочих дней. Для финтех-компании с активной клиентской базой приостановление лицензии означает полную остановку операций - поэтому своевременное обжалование предписания или согласование плана устранения нарушений критически важно.

3. Чем грузинские требования к AML/KYC отличаются от российских для финтех-компаний?

Грузинское AML-регулирование для финтеха принципиально отличается от российского в трёх аспектах. Первый: в Грузии риск-ориентированный подход является обязательным законодательным требованием, а не рекомендательным стандартом - компания обязана документально обосновать каждое решение о присвоении уровня риска. Второй: NBG как регулятор финтеха сочетает функции пруденциального надзора и AML-надзора, тогда как в России эти функции разделены между ЦБ и Росфинмониторингом. Третий: в Грузии отсутствует обязательная идентификация клиентов через государственные системы (аналог ЕСИА) - финтех-компания самостоятельно выбирает инструменты верификации, но несёт полную ответственность за их достаточность. Для компаний, переносящих российские AML-процессы в грузинскую юрисдикцию, это означает необходимость полной переработки матрицы рисков и процедур верификации.

4. Как финтех-компания должна документировать источник средств клиента при EDD?

При проведении enhanced due diligence финтех-компания в Грузии обязана получить и зафиксировать документальное подтверждение источника средств клиента - то есть конкретного происхождения денег, задействованных в операции. Для физических лиц это могут быть выписки по банковским счетам за последние 3-6 месяцев, налоговые декларации, трудовые договоры или документы о продаже активов. Для юридических лиц - финансовая отчётность, договоры с контрагентами, подтверждающие деловую природу поступлений. Грузинское законодательство разграничивает источник средств (откуда деньги на конкретную операцию) и источник состояния (как клиент сформировал капитал в целом) - при EDD требуется установить оба. Хранить эти документы необходимо не менее пяти лет после прекращения деловых отношений согласно статье 14 Закона.

5. Что происходит, если финтех-компания в Грузии не подала отчёт о подозрительной операции вовремя?

Несвоевременная подача отчёта о подозрительной операции (СТР) в Службу финансового мониторинга Грузии является самостоятельным нарушением статьи 20 Закона «О содействии предотвращению легализации незаконных доходов» - независимо от того, была ли операция в итоге признана законной. Установленный срок подачи СТР составляет 24 часа с момента выявления подозрительной операции. За нарушение этого срока NBG вправе применить штраф и предписание. При систематических нарушениях - более трёх случаев в течение 12 месяцев - регулятор вправе инициировать пересмотр условий лицензии. Для финтех-компании практическое следствие: система мониторинга транзакций должна обеспечивать автоматическое формирование алерта в режиме реального времени, а не по итогам ручной проверки.

Грузинское AML/KYC-регулирование для финтеха строится на трёх принципах: риск-ориентированный подход обязателен и документируется, enhanced due diligence - непрерывный процесс, а не разовая процедура, ответственность за качество комплаенса лежит на лицензированной грузинской компании вне зависимости от корпоративной структуры группы. NBG последовательно ужесточает надзор: финтех-компании, выстроившие систему формально, сталкиваются с предписаниями и штрафами при первой же плановой проверке.

Юридическая фирма Inter Law Firm сопровождает финтех-компании в Грузии по вопросам AML/KYC-комплаенса, лицензирования NBG и регуляторных разбирательств. Мы можем помочь с аудитом AML-системы, разработкой матрицы рисков и процедур EDD, подготовкой к проверке NBG и обжалованием предписаний.

Чтобы получить чек-лист AML/KYC-требований для финтех-компании в Грузии, отправьте запрос на info@interlawfirm.ru

Планируете запуск финтех-бизнеса в Грузии или уже работаете с лицензией NBG?Юристы Inter Law Firm проведут правовой анализ вашей AML/KYC-системы, выявят пробелы в документации EDD и предложат стратегию приведения комплаенса в соответствие с требованиями NBG.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram

Нино Джапаридзе, Партнёр, налоговая практика, info@interlawfirm.ru 12 мая 2026 года