Risk policy для unhosted wallets: VASP и платежные команды

FATF targeted reporting в 2026 снова давит на stablecoins, unhosted wallets и P2P risk. Смысл не в запрете self-custody wallets. Смысл в управлении risk до движения value.

Unhosted wallet может принадлежать good customer, scam victim, broker, sanctions evader или mule. Policy должна разбирать cases, не притворяясь, что ownership всегда видно.

Разделите deposits, withdrawals, refunds, OTC settlements, merchant payouts, treasury transfers и token allocations.

Каждому flow нужны свои data requirements, risk triggers, approval limits и customer message. Одно правило на все wallets либо блокирует good business, либо пропускает bad flow.

Для low-value, low-risk activity может хватить wallet check и basic customer context. Для higher value или elevated indicators нужен additional review.

Triggers должны включать sanctions evidence, scam exposure, mixer exposure, darknet exposure, stolen-funds indicators, fresh-wallet behavior, unusual volume и mismatch между customer story и wallet activity.

Не создавайте ложную certainty. Если ownership cannot be verified, record that fact и принимайте решение по policy.

Possible actions: allow with monitoring, request more information, pause, limit amount, reject или escalate. Худшее действие - считать wallet verified только потому, что customer написал это в chat.

Customers не нужны detector details. Им нужно знать, что требуется для продолжения.

Пишите plain messages: нужна дополнительная информация о wallet, transfer under review, wallet cannot be accepted under policy или user должен дать another address. Internal evidence держите отдельно от customer-facing text.

Policy должна доказать, что business identified unhosted wallet risk, assigned controls by flow, trained staff, kept records, reviewed exceptions и improved thresholds when evidence changed.

В этом разница между paper policy и operating control.