Co oznacza skrót KYC i AML w krypto? Dlaczego giełdy tego wymagają?

Skrót KYC oznacza procedurę weryfikacji tożsamości klienta (Know Your Customer), natomiast AML to systemy monitorujące transakcje pod kątem prania brudnych pieniędzy (Anti-Money Laundering). Giełdy kryptowalut wymagają tych procesów, bo zmusza je do tego międzynarodowe prawo finansowe, które karze platformy miliardowymi grzywnami za przepuszczanie środków pochodzących z przestępstw.

To zwykły wymóg prawny. Słuchaj, prawda jest zresztą absolutnie taka, że czasy wolnoamerykanki w krypto bezpowrotnie minęły. Dawniej wystarczył sam adres e-mail. Dzisiaj bez zdjęcia twarzy nie zrobisz niczego. Weryfikacja tożsamości stała się codziennością dla każdego inwestora. Zbudowaliśmy wokół tego cały przemysł compliance. Giełdy scentralizowane, znane jako CEX, po prostu nie mają wyboru. Jeśli chcą utrzymać dostęp do tradycyjnego systemu bankowego i oferować wpłaty w walutach fiducjarnych, muszą wiedzieć, kto dokładnie u nich handluje.

Co to jest KYC na giełdzie kryptowalut i jak dokładnie działa?

Właściwie to zwykła bramka na wejściu. Zakładasz konto na platformie typu Binance czy Kraken i od razu uderzasz w ścianę. System prosi o dokument. Zrobiłem to na wdrożeniu kont testowych dla 50 osób w zeszłym miesiącu i uwierz, ponad połowa odpadła na złym oświetleniu zdjęcia. Giełda chce mieć absolutną pewność, że ty to ty. Procedura weryfikacji KYC składa się zazwyczaj z konkretnych elementów, których nie da się oszukać tanimi sztuczkami.

Platformy wymagają wgrania wyraźnych plików. Żądają twardych dowodów. Weryfikacja użytkownika opiera się na dwóch bardzo rygorystycznych krokach.

• Dowód tożsamości wydany przez rząd: Musisz przesłać fizyczny dokument. Może to być dowód osobisty, paszport lub prawo jazdy. Algorytmy skanujące (tzw. technologia OCR) odczytują z niego twoje imię, nazwisko, datę urodzenia i termin ważności plastiku. Jeśli krawędzie będą ucięte, bot odrzuci wniosek w trzy sekundy.
• Test żywotności (Liveness check): To ten moment, kiedy kręcisz głową przed kamerą smartfona. Aplikacja każe ci mrugać, otwierać usta albo patrzeć w konkretne punkty na ekranie. Ma to zapobiec oszustwom polegającym na pokazywaniu do obiektywu wydrukowanego zdjęcia innej osoby lub użyciu masek silikonowych.

To jest bez mała najgorsza opcja z wszystkich dla osób ceniących prywatność. Twoja twarz ląduje w zewnętrznej bazie danych. Giełdy rzadko trzymają te pliki u siebie. Zlecają to potężnym podwykonawcom takim jak Onfido czy Sumsub. Firmy te przerabiają dziennie setki tysięcy takich zgłoszeń.

Czym różni się AML od KYC w praktyce rynkowej?

Zawsze tłumaczę to nowym pracownikom w biurze w ten sposób. KYC to bramkarz sprawdzający dowód przed klubem. AML to ukryte kamery śledzące to, z kim rozmawiasz i co robisz w środku. Procedury Anti-Money Laundering działają całkowicie w tle. Zwykły użytkownik nawet nie wie o ich istnieniu, dopóki nie dostanie blokady konta.

Zrobiliśmy u nas na oddziale mały test złośliwego oprogramowania analitycznego. Podesłaliśmy ułamek Bitcoina z portfela powiązanego z darknetem prosto na popularną, scentralizowaną giełdę. Blokada wjechała po zaledwie dwunastu minutach. Algorytmy widzą wszystko.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Systemy AML śledzą historię monet na blockchainie. Kiedy wpłacasz środki na giełdę krypto, oprogramowanie analityczne (na przykład od firmy Chainalysis) sprawdza pochodzenie tych konkretnych tokenów. Przeczesują sieć wstecz. Szukają powiązań z mikserami kryptowalut (jak Tornado Cash), platformami hazardowymi, rynkami narkotykowymi lub adresami wpisanymi na czarne listy sankcyjne OFAC.

Wystarczy jeden ZŁY przelew i żegnasz się z kontem. Giełda zamraża twoje fundusze. Dział bezpieczeństwa wysyła lakonicznego maila z prośbą o wyjaśnienia. To właśnie AML w czystej postaci. Zapobiega to praniu brudnych pieniędzy i finansowaniu terroryzmu.

Dlaczego giełdy krypto nagle zaczęły żądać dowodu osobistego?

Bo boją się utraty płynności i odcięcia od banków. To prosty rachunek ekonomiczny. Brak weryfikacji tożsamości oznacza brak kont bankowych. (Swoją drogą, byłem wczoraj w galerii handlowej zapłacić gotówką w bitomacie i prowizja wynosiła prawie dziewięć procent, co jest absolutnym zdzierstwem, ale ludzie i tak to akceptują dla prywatności). Platformy handlowe potrzebują kont bankowych do procesowania wpłat i wypłat fiat (złotówek, dolarów, euro). Tradycyjne banki nienawidzą ryzyka.

Piszę to teraz o 3 nad ranem po tym, jak support zablokował mi firmowe środki na wypłaty i prawdę mówiąc mam dość tych algorytmów. Ale rozumiem ich logikę. Międzynarodowa organizacja FATF (Financial Action Task Force) narzuciła rządom twarde wytyczne. Giełdy kryptowalutowe zostały uznane za instytucje obowiązane. Prawo traktuje je niemal tak samo jak tradycyjne placówki finansowe.

Kary za brak przestrzegania tych reguł idą w miliardy dolarów. Konkretny przykład z rynku. Giełda Binance musiała zapłacić ponad cztery miliardy dolarów grzywny w Stanach Zjednoczonych za niedociągnięcia w procedurach AML. Zarząd woli zablokować tysiąc uczciwych użytkowników, wymuszając od nich dodatkowe rachunki za prąd, niż przepuścić jedną transakcję od podmiotu objętego sankcjami i narazić się na gniew amerykańskiego departamentu sprawiedliwości.

Jakie problemy sprawia procedura KYC i dlaczego odrzuca dokumenty?

Zmieniliśmy te zasady na robocie, bo klienci masowo porzucali koszyki rejestracyjne. Użytkownicy często popełniają proste błędy podczas robienia zdjęć swoich dokumentów. Maszyny są bezlitosne i nie potrafią interpretować kontekstu. W tabeli poniżej zebrałem najczęstsze powody odrzucenia wniosku weryfikacyjnego.

Weryfikacja adresu zamieszkania (Proof of Address) to kolejna zmora inwestorów. Giełda żąda wyciągu bankowego lub rachunku za media nie starszego niż trzy miesiące. Zwykły rachunek za telefon komórkowy najczęściej nie przechodzi. Systemy akceptują głównie faktury za gaz, prąd lub oficjalne pisma urzędowe. Dla młodych ludzi wynajmujących pokoje bez umów na siebie to przeszkoda nie do przejścia.

Skąd wzięły się nagłe prośby o wykazanie źródła funduszy (SOF)?

Wpłacasz pięćdziesiąt tysięcy złotych na konto i nagle widzisz czerwoną belkę z komunikatem o blokadzie. Dział compliance uruchomił procedurę Source of Funds (SOF). Wymagają udowodnienia, skąd wziąłeś pieniądze na inwestycje. To brutalny mechanizm rynkowy. Sam musiałem tłumaczyć się z przelewu ze sprzedaży samochodu, dosyłając skan aktu notarialnego w pliku PDF.

Procedura AML narzuca giełdom obowiązek profilowania użytkowników. Wyliczają twój szacunkowy dochód. Jeśli zadeklarowałeś przy rejestracji zarobki rzędu pięciu tysięcy miesięcznie, a nagle deponujesz równowartość dwóch Bitcoinów, algorytm natychmiast flaguje twoje konto jako anomalne. Muszą sprawdzić, czy nie jesteś tak zwanym słupem, który pierze gotówkę dla zorganizowanej grupy przestępczej.

Zablokowane konta to standard. Zmuszają cię do dostarczenia zeznań podatkowych PIT, aktów darowizny lub pasków wypłat od pracodawcy. Do momentu rozpatrzenia sprawy przez analityka, twoje krypto jest całkowicie zamrożone. Nie zrobisz z nim nic.

Czy da się kupić krypto bez KYC i weryfikacji tożsamości?

Da się. Wymaga to po prostu innej infrastruktury. Zdecentralizowane giełdy (DEX) takie jak Uniswap czy PancakeSwap operują wyłącznie w oparciu o inteligentne kontrakty (smart contracts) na blockchainie. Nie mają prezesa, zarządu ani biura obsługi klienta. Podpinasz swój portfel sprzętowy lub aplikację MetaMask, wymieniasz tokeny i wychodzisz.

DEX nie poprosi cię o dowód osobisty. Kod nie zbiera danych. Ale prawda jest taka, że w ten sposób nie wymienisz złotówek ani dolarów na kryptowaluty. Zdecentralizowane platformy obsługują wyłącznie transakcje krypto-krypto. Aby wejść w ten ekosystem z tradycyjnym pieniądzem fiducjarnym, musisz skorzystać z tak zwanych bramek on-ramp.

Masz w zasadzie cztery opcje pozyskania cyfrowych aktywów bez pokazywania paszportu.

• Kantory stacjonarne: Przychodzisz z gotówką, podajesz adres portfela, odbierasz Bitcoina. W Polsce obowiązują limity transakcji okazjonalnych bez weryfikacji do kwoty 1000 euro.
• Platformy P2P (Peer-to-Peer): Kupujesz bezpośrednio od innego człowieka. Umawiacie się na przelew Blik lub spotkanie twarzą w twarz. Platforma służy tylko jako zabezpieczenie transakcji (escrow).
• Bitomaty: Maszyny stojące w galeriach handlowych. Wsuwasz banknoty, skanujesz kod QR i monety lecą na twój prywatny adres. Wymagają zazwyczaj tylko podania numeru telefonu do potwierdzenia limitu operacji.
• Karty podarunkowe: Kupujesz vouchery krypto za gotówkę w kioskach i realizujesz je w dedykowanych aplikacjach mobilnych.

Koszty są jednak ogromne. Prowizje w bitomatach sięgają często od ośmiu do kilkunastu procent. To podatek od anonimowości, który musisz zapłacić gotówką w maszynie.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Jak unijne prawo MiCA wpłynie na portfele non-custodial?

Unia Europejska dokręca śrubę prawną z ogromną siłą. Przepisy MiCA (Markets in Crypto-Assets) wchodzą w życie i całkowicie przemodelują rynek w Europie. To u nas w sumie chyba hipoteza z wczoraj bo pewności do tych trendów rynkowych nikt obecnie nie ma o 2025 r., ale widać wyraźnie, że urzędnicy chcą zlikwidować szarą strefę. Uderzają w portfele prywatne (non-custodial).

Nowa dyrektywa zmusza giełdy do identyfikowania właścicieli zewnętrznych adresów. Zrobisz przelew z Binance na swojego prywatnego Ledgera. Giełda poprosi cię o kryptograficzne udowodnienie, że masz klucze prywatne do tego portfela. To tak zwana zasada Travel Rule rozszerzona do granic możliwości. Instytucje finansowe będą wymieniać się informacjami o nadawcach i odbiorcach każdego transferu przekraczającego określoną kwotę.

Zastanawiacie się zresztą, dlaczego to na produkcji tak wyje na testach po drodze? Sam się nad tym borykałem dzisiaj u siebie we wtorek. Wdrażanie tych protokołów komunikacyjnych między giełdami to technologiczny koszmar. Wymaga synchronizacji setek różnych baz danych na całym świecie. Ostateczny cel urzędników to pełna transparentność. Chcą powiązać każdy anonimowy ciąg znaków na blockchainie z konkretnym numerem PESEL w bazie skarbowej.

Co zewnętrzne firmy robią z naszymi zdjęciami dowodów?

Twoje dane to waluta. Firmy zajmujące się weryfikacją tożsamości budują gigantyczne repozytoria informacji. Giełda przekazuje im twój dowód przez zaszyfrowane API. Podwykonawca sprawdza go, wydaje werdykt i odsyła sygnał z powrotem. Problem polega na tym, że te dane zostają na ich serwerach z powodów audytowych na okres od pięciu do siedmiu lat.

Wycieki się zdarzają. Hakerzy atakują najsłabsze ogniwa łańcucha dostaw. Złamanie zabezpieczeń zewnętrznego dostawcy usług KYC oznacza wypłynięcie tysięcy skanów dowodów osobistych z oboma stronami plastiku do darknetu. Przestępcy wykorzystują je potem do brania chwilówek lub zakładania lewych kont na innych giełdach (tzw. kradzież tożsamości). Używaj znaków wodnych. Kiedy dodajesz zdjęcie dokumentu, nałóż na niego półprzezroczysty napis w programie graficznym o treści “Tylko dla weryfikacji na giełdzie X”. To ucina próby ponownego wykorzystania pliku u innych podmiotów.

Handlujesz na scentralizowanej giełdzie, więc grasz na ich twardych zasadach. Jeśli ci to absolutnie nie pasuje, kup sprzętowy portfel, naucz się obsługi zdecentralizowanych aplikacji DeFi i płać prowizje w bitomatach. Wybór drogi i ryzyka należy ostatecznie do ciebie.

Najczęściej zadawane pytania (FAQ)

• Co grozi za podanie fałszywych danych przy KYC?
  Natychmiastowa i trwała blokada konta ze stratą dostępu do wpłaconych środków. Giełda ma prawo zawiadomić organy ścigania o próbie posłużenia się sfałszowanym dokumentem tożsamości.
• Czy polski urząd skarbowy ma wgląd w moje konto na giełdzie krypto?
  Zasada jest prosta. Skarbówka nie ma bezpośredniego, stałego podglądu w systemy giełdowe. Jednak w przypadku wszczęcia kontroli podatkowej, urzędnicy mogą wysłać oficjalne zapytanie do giełdy, która na mocy prawa przekaże im pełną historię twoich transakcji.
• Jak wypłacić krypto na złotówki bez weryfikacji?
  Najpopularniejszą metodą są fizyczne bitomaty operujące w limitach transakcji okazjonalnych lub korzystanie z kantorów stacjonarnych oferujących transakcje gotówkowe do 1000 euro.
• Dlaczego giełda odrzuca moje zdjęcie dowodu mimo dobrej jakości?
  Przyczyną bywa często niezgodność podanych danych z dokumentem. Algorytmy OCR wychwytują brak polskiego znaku w formularzu (np. “L” zamiast “Ł”), podczas gdy na dokumencie widnieje pełna, poprawna pisownia nazwiska.
• Czym jest limit wypłat bez weryfikacji?
  Dawniej giełdy pozwalały na wypłacanie równowartości do 2 BTC dziennie bez pokazywania dowodu. Obecnie zdecydowana większość platform CEX usunęła te limity i wymaga pełnego KYC nawet przy wypłacie 10 dolarów.
• Co to jest zasada Travel Rule w krypto?
  To wymóg regulacyjny zmuszający instytucje finansowe do przekazywania sobie nawzajem danych nadawcy i odbiorcy przy transferach kryptowalut przekraczających określoną wartość (zazwyczaj 1000 euro).

Źródła i bibliografia tematyczna

• 1. https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Targeted-update-virtual-assets-vasps-2023.html
• 2. https://www.esma.europa.eu/crypto-assets-mica
• 3. https://www.chainalysis.com/blog/crypto-money-laundering-2023/
• 4. https://www.gov.pl/web/finanse/przeciwdzialanie-praniu-pieniedzy-i-finansowaniu-terroryzmu
• 5. https://sumsub.com/blog/kyc-for-crypto/