Введение
AML и NIS2 — два очень разных режима, объединённых в одном уроке потому, что оба касаются операционной resilience + целостности financial-data-flow + cross-border. AML каскад через FATF + EU + national legislation = data-intensive (KYC, transaction monitoring, sanctions, beneficial ownership). NIS2 каскад = обязательства cyber-resilience для широкого scope entities. SwiftRide через SwiftPay (PSP) + SwiftCapital (lender) — прямой AML-scope; SwiftRide как digital platform — вероятно классификация NIS2 Essential или Important entity.
FATF — 40 Recommendations
Source: FATF Recommendations.
Обновления: 40 Recs приняты Feb 2012; последние материальные поправки — Recommendation 16 («Travel Rule») revised June 2025 Plenary, формально принят; effective для имплементации jurisdictions к end-2030.
Изменения R.16 (revised Jun 2025)
- Стандартизированная originator / beneficiary информация для cross-border peer-to-peer payments выше USD/EUR 1,000 (name, address, DOB).
- Цепочка платежей перепривязана на первый FI, получивший customer instruction.
- Fraud добавлен как predicate offence.
Targeted Update 2025 по Virtual Assets / VASP
Re-issued April 2025. Travel Rule применяется к crypto-передачам (zero-threshold под EU TFR).
EU AML package — AMLR + AMLD6 + AMLA
Sources:
Пакет принят 31 May 2024; OJ 19 June 2024.
AMLA
Source (верифицирован May 2026): AMLA homepage.
Operational с 1 July 2025, базирующийся в Frankfurt am Main. Chair: Bruna Szego (с Jan 2025). Executive Director: Nicolas Vasse (назначен July 2025).
Ключевые milestones первых ~10 месяцев:
- 1 January 2026 — EBA завершил передачу всех мандатов AML/CFT к AMLA.
- 4 February 2026 — AMLA опубликовал первый Single Programming Document (SPD), явно называя 2026 «pivotal preparation period».
- Работа в процессе над техническими стандартами, покрывающими CDD, классификацию риска, transaction monitoring, governance.
- Прямой надзор первых 40 high-risk obliged entities — с 2028.
Тайминги AMLR + AMLD6
- AMLR (single rulebook) — применяется с 10 Jul 2027 (исключение football — 10 Jul 2029).
- AMLD6 — транспозиция к 10 Jul 2027; положения BO-register — к 10 Jul 2026.
Substance
- Гармонизированный CDD по Member States.
- Пороги BO (≥25% control + «control by other means»).
- Централизованные BO registers.
- Cash-payment cap EUR 10,000.
EU Transfer of Funds Regulation (Reg (EU) 2023/1113)
Effective: Принят 31 May 2023; applicable с 30 December 2024 (без grace). Crypto-asset transfers без порога — Travel Rule применяется ко всем crypto независимо от суммы.
EBA Travel-Rule Guidelines выпущены Jul 2024, applicable 30 Dec 2024.
Data implications:
- Полная информация originator + beneficiary (name, address, account, DOB) attached к каждой crypto-передаче.
- Информация сопровождает цепочку передачи.
- VASP-side validation + screening.
Sanctions screening — OFAC, EU, OFSI
Sources:
Текущее состояние (2025)
OFAC, EU, OFSI — операционно различны (~60% overlap по Russia-related). Разные списки, разные требования к evidence, разные cadences reporting.
Штраф OFSI Bank of Scotland — ноябрь 2025
OFSI выпустил штраф GBP 160,000 для Bank of Scotland в ноябре 2025. Публичный narrative подчёркивал правильную конфигурацию screening data: транслитерация, fuzzy match thresholds, DOB matching. Демонстрирует, что data quality в screening — не только list-name matching — enforced.
Релевантность CDE
Поля full-name, DOB, гражданство, address, транслитерации, цепочки account ownership. «Last screened against list version X.Y» = audit-grade CDE-атрибут (каждое screening event записано immutably).
Lifecycle одного payments-customer через AML controls. Tooltips: data + regulatory implications.
KYC profileCustomer Due Diligence при onboarding + ongoing. Создание KYC profile: identity, document, biometric match, source-of-funds. AMLR (apply 2027) + DPDP India + GDPR Art. 9 overlay.
OFAC + EU + OFSIScreening при onboarding + на транзакцию + периодический (обновление версии sanctions list). Списки OFAC + EU + OFSI; транслитерация; fuzzy match thresholds; DOB matching. OFSI Nov 2025 Bank of Scotland GBP 160K.
Alerts + dispositionsReal-time + batch monitoring транзакций. Pattern detection. Alert + disposition pipeline. Per AMLR Article 22-24; FATF R.16 (Travel Rule Jun 2025).
В FIUПодача SAR / STR в FIU (Financial Intelligence Unit). Задокументированный decision trail. Конфиденциальность (нельзя раскрывать клиенту). Per AMLR + national law.
Risk-based cadenceRe-CDD на trigger events (изменение sanctions, geography, сдвиг pattern транзакций). Cadence обновления KYC на основе risk tier. AMLR + risk-based approach.
NIS2 — Directive (EU) 2022/2555
Source: Dir (EU) 2022/2555.
Effective: Принят 14 Dec 2022; дедлайн транспозиции 17 October 2024; NIS1 (Dir. 2016/1148) repealed 18 Oct 2024. К Q4 2025 — 23 Member States под Commission infringement procedures (медленная транспозиция). Belgium, Denmark, Greece, Hungary, Italy, Malta, Slovakia — среди first complete transpositions.
Scope — Essential vs Important
- Essential — крупнейшие entities в 11 highly critical sectors:
- Energy, transport, banking, FMI (financial market infrastructure), health, drinking water, waste water, digital infrastructure, ICT service management B2B, public administration, space.
- Important — medium-sized в critical sectors:
- Postal, waste management, chemicals, food, manufacturing, digital providers, research.
Size-cap:
- Medium (≥50 staff / ≥EUR 10M turnover) → Important.
- Large (≥250 staff / ≥EUR 50M) → Essential.
SwiftRide ~3,200 FTE + multiple sector touches:
- Digital infrastructure (платформа ride-hailing) → вероятно Essential.
- Возможны интерпретации в нескольких MS.
Risk-management measures (Art. 21) — минимальный baseline
- Политики risk-analysis.
- Incident handling.
- BC + crisis management.
- Supply-chain security.
- Security в acquisition / dev / maintenance.
- Effectiveness assessment.
- Cyber hygiene + training.
- Cryptography / encryption.
- HR security, access control, asset management.
- MFA, secure comms.
Incident reporting (Art. 23) — 3-stage
| Stage | Тайминг | Содержимое |
|---|---|---|
| Early warning | 24 часа с осознания значимого incident | Краткие факты |
| Notification | 72 часа | Severity / impact / IoCs |
| Final report | 1 месяц | Полные детали |
Penalties
- Essential — до EUR 10M или 2% global annual turnover.
- Important — до EUR 7M или 1.4% global annual turnover.
Объединённый AML + NIS2 scope SwiftRide
AML
SwiftPay (PSP / EMI через bank-partner) — прямой scope AMLR (или контрактный каскад). SwiftCapital (lender) — прямой scope. Операционные следствия:
- Pipeline CDD — создание KYC profile + ongoing refresh.
- Screening — списки OFAC + EU + OFSI; SwiftRide вероятно использует vendor (например, ComplyAdvantage, Trulioo).
- Transaction monitoring — alert engine; disposition workflow; pipeline подачи SAR.
- «Last screened against list version X.Y» — audit-grade CDE-атрибут.
NIS2
SwiftRide как digital platform — вероятно классификация Essential entity в нескольких MS. Следствия:
- Art. 21 risk-management measures — обязательный baseline.
- Incident reporting per тайминги NIS2 (24 ч. / 72 ч. / 1 месяц) — отличается от таймингов DORA (4 ч. / 24 ч. max / 72 ч. / 1 месяц). Оба режима применяются одновременно к SwiftPay через каскад bank-partner.
- TLPT-like testing (NIS2 явно не TLPT, но ожидается аналогичный testing).
Cross-regime каскад
DORA + NIS2 + breach reporting GDPR (72 ч. Art. 33) — один инцидент может trigger 3 параллельные notification timelines к разным authorities. Pre-built incident response playbook критичен.
Anti-patterns
- «NIS2 = забота cybersecurity team» — Art. 21 включает supply-chain security, asset management, incident handling, BC — затрагивает data engineering глубоко.
- «AML compliance vendor обрабатывает AMLR» — vendor предоставляет screening / monitoring engine; CDD policy + disposition decisions + SAR filings = ответственность SwiftRide.
- «Sanctions screening сделано при onboarding, нужно re-screen не надо» — версии списков меняются ежедневно; re-screening, запускаемый обновлением списка, — стандартная практика; штраф OFSI Bank of Scotland Nov 2025 подчёркивал правильную конфигурацию данных, включая cadence screening.
- «DORA + NIS2 + GDPR могут использовать один incident report» — разные формы, разные authorities, разные тайминги, разное содержимое. Общий захват информации + отдельные подачи.
Резюме
- FATF R.16 revised Jun 2025 — Travel Rule originator/beneficiary info для cross-border peer-to-peer >USD/EUR 1,000; fraud как predicate; имплементация jurisdictional — к end-2030.
- EU AMLR (Reg 2024/1624) apply 10 Jul 2027 (исключение football 10 Jul 2029).
- AMLD6 transposition 10 Jul 2027; BO registers — 10 Jul 2026.
- AMLA operational 1 Jul 2025; absorbed мандаты EBA AML 1 Jan 2026; первый SPD Feb 2026; прямой надзор 40 entities с 2028.
- EU TFR apply 30 Dec 2024 — zero-threshold crypto Travel Rule.
- Sanctions screening — OFAC + EU + OFSI; ~60% overlap по Russia-related; OFSI Bank of Scotland GBP 160K Nov 2025 — упор на конфигурацию данных.
- NIS2 дедлайн транспозиции 17 Oct 2024; 23 MS infringement Q4 2025.
- Essential vs Important — критерии size + sector; SwiftRide вероятно Essential в нескольких MS.
- Incident reporting NIS2 — 24 ч. / 72 ч. / 1 месяц (отличается от DORA 4 ч. / 24 ч. max / 72 ч. / 1 месяц).
- Multi-regime каскад — DORA + NIS2 + GDPR могут trigger одновременно для одного инцидента; pre-built playbook критичен.