В погоне за неуловимым DAO
О том, почему регуляторы уже проиграли войну с DeFi
Недавно FATF, международная организация, формирующая глобальные стандарты борьбы с отмыванием денег, опубликовала очередной проект новой редакции Рекомендаций относительно виртуальных активов и провайдеров услуг в сфере виртуальных активов (Virtual Assets and Virtual Asset Service Providers, Guidance for a Risk-Based Approach). Как уже давно устроено, на основании этого документа все страны будут должны поменять свое законодательство под риском оказаться в сером или черном списке ФАТФ.
Действующая редакция Рекомендаций была выпущена в 2019 году и уже успела устареть. Ее изначально выпускали в ответ на крипто-бум 2017 года. Новая редакция будет «заточена» под регулирование феноменов экосистемы DeFi – децентрализованных финансов. Ожидается, что обсуждаемый проект Рекомендаций будет официально принят летом этого года.
Чтобы понять контекст нынешней битвы за регулирование децентрализованных финансовых сервисов, нужно вернуться к основам регулирования финансовых операций в принципе.
Любопытная особенность «антиотмывочного» регулирования финансов
Мало кто задумывался над этим, но согласно букве закона, AML-регулирование формально не направлено на тех, кто совершает финансовые операции, то есть на обычных физических и юридических лиц. Оно накладывает обязательства в основном на финансовых посредников и прочих лиц, оказывающих услуги по совершению финансовых операций своим клиентам. Но не на самих клиентов. Предъявить в банке паспорт это не ваша обязанность по закону. Это обязанность банка у вас его спросить и не проводить операцию до того времени, пока вы его не предъявите.
Над этим юридическим нюансом мало кто задумывается, поскольку он не имеет практического значения: почти все свои финансовые операции мы совершаем через посредников. Ну и что, что формально-юридически обязанным лицом является банк, а не гражданин? В конечном итоге паспорт-то все равно приходится показывать.
Теперь перенеситесь в мир, где финансовые операции совершаются без участия финансового посредника. Где можно переводить финансовые ценности напрямую, peer-to-peer. Где роль финансового сервиса выполняет автономно функционирующее в интернете приложение, позволяющее участникам операций взаимодействовать друг с другом – напрямую или опосредованно.
В таком сценарии у финансовой операции отсутствует посредник. А нет посредника, значит некого регулировать. В этом вся суть революционности криптовалют и экосистемы DeFi в частности. Не в блокчейне как таковом (достаточно заурядная технология, в отрыве от криптовалютного применения), и не в том, что кто-то придумал смарт-контракты (это просто классное маркетинговое название кода, работающего с базой данных). А именно в том, что указанные технологические прибамбасы сделали возможным прямое финансовое взаимодействие людей, минуя централизованные институты, которые подлежат регулированию.
В ретроспективе понятно, почему AML-регулирование всегда было направлено на финансовых посредников. Это в общем-то единственный удобный и практически реализуемый способ контроля финансовых операций. Контроль узловых точек финансовых потоков вместо контроля миллиардов людей и сотен миллионов компаний.
Более того, такое регулирование не стоит государствам почти ничего. Закон нагружает контрольными обязанностями финансовые институты, а те уж пусть крутятся как хотят. В конечном итоге банки и другие финпосредники просто перекладывают стоимость и неудобства регулирования на своих клиентов. Страдают граждане, а не госбюджет в распоряжении чиновников. Умно и элегантно.
И вот на поляну пришел DeFi, в котором регулировать некого.
И начались судорожные попытки распространить регулирование на то, что по своей природе очень сложно ему поддается.
Как регулировать посредника в «беспосреднических операциях»?
В документе FATF более ста страниц. Когда читаешь, не отпускает ощущение, что тот, кто это писал, страдал от какого-то интеллектуального запора. Начальники ему поставили задачу разработать грозную систему норм, которая бы покрыла «всех этих криптушников», но существующая система права, даже с учетом, что FATF имеет фактическую возможность навязывать государствам нормы, никак не позволяет сделать это целостно и надежно.
Самая главная цитата, которую любой DeFi проект должен распечатать и повесить на своей децентрализованной стене, звучит так:
Пункт 34. Прямые беспосреднические операции (peer-to-peer transactions, P2P).
P2P операции представляют собой перевод виртуальных активов, совершаемый без вовлечения провайдера услуг в сфере виртуальных активов (VASP) или иного регулируемого лица, как, например, перевод виртуальных активов между двумя бессерверными кошельками (unhosted wallets). P2P операции впрямую не подпадают под обязательства по AML/CFT по Рекомендациям FATF. Так происходит потому, что Рекомендации FATF в целом возлагают обязательства на посредников между частными лицами и финансовой системой, а не на самих частных лиц – с определенными исключениями, как например требования по целевым финансовым санкциям. Этот подход аналогичен подходу к операциям с физической фиатной валютой (наличными), хотя есть ключевые различия между переводами виртуальных активов и физической передачей наличных.
В принципе, это акт о капитуляции.
Последующие 80 с чем-то страниц представляют собой попытку обставить капитуляцию заявлениями, что мы все равно будем с чем-то бороться, хотя не очень понимаем, как.
Как найти провайдера услуг, если провайдер – алгоритм?
Вытащенного из воды скользкого большого сома удержать голыми руками очень сложно. Кто рыбачил, тот знает.
Проект Рекомендаций пытается в контексте децентрализованных финансов определить круг людей, к которым можно было бы применить термин VASP (провайдер услуг в сфере виртуальных активов).
Но натыкается то на здравый смысл, то на свои собственные ограничения.
Первое и самое фундаментальное ограничение содержится в определении, кого нужно считать VASP.
«Провайдер услуг в сфере виртуальных активов означает любое физическое или юридическое лицо, которое не покрыто где-либо в Рекомендациях ФАТФ, и осуществляет в качестве предпринимательской деятельности один или более из следующих видов деятельности или операций для или от имени другого физического или юридического лица:
– Обмен между виртуальными активами и фиатными валютами;
– Обмен между одной или более формами виртуальных активов;
– Перевод виртуальных активов;
– Хранение и/или администрирование виртуальных активов или инструментов, позволяющих осуществлять контроль над виртуальными активами; и
– Участие в и предоставление финансовых услуг, связанных с предложением выпускающего лица и/или продажей виртуального актива.
Пояснение к словам «перевод виртуальных активов»: В данном контексте виртуальных активов, перевод означает осуществление операции от имени другого физического или юридического лица, которое перемещает виртуальный актив с одного адреса или счета виртуальных активов на другой».
Обратите внимание на выделенные слова: под определение VASP подпадает не любое лицо, совершающее операции с криптой, а только совершающее их в виде бизнеса, и – самое главное – для или от имени другого лица. Но то он и «провайдер услуг».
В классическом DeFi-проекте, строго говоря, провайдером услуг является неодушевленная сущность, а именно программное обеспечение, работоспособность которого поддерживают различные живые лица. Но можно ли этих живых лиц считать совершающими в качестве бизнеса, например, перевод или обмен криптовалют? Строго говоря, нет. Если, конечно, проект структурирован именно как DeFi, а не как DeFi-ширма для обычной обменки или биржи. (Истинная степень децентрализации имеет большое значение).
Наши методисты в постоянном режиме анализируют законодательство десятков стран, в том числе в части регулирования крипто-деятельности. Вывод таков. Почти ни одна страна – ни страны Евросоюза (Директива AMLD5), ни страны, принявшие специфическое законодательство о регулировании VASP (примерно с десяток офшорных и столько же оншорных стран) – не выходит за рамки определения, продиктованного FATF. То есть в большинстве стран установлено, что регулируются только провайдеры услуг.
По тексту Рекомендаций делается несколько попыток притянуть к регулированию в качестве VASP людей, которые играют ту или иную роль в функционировании DeFi-проектов. Все эти попытки обставляются различными оговорками «может быть», «возможно», и так далее. А иначе и быть не может: здравый смысл, хотя и попирается постоянно регуляторным законодательством, но исключить его оттуда на 100% нереально.
Вот, например, что пишется о децентрализованных биржах (пункты 56-57 проекта):
«Эти приложения или платформы зачастую работают на распределенном реестре, но все равно обычно имеют центральную сторону с какой-то степенью вовлечения, вроде создания и запуска крипто-актива, задания параметров, удержания административного «ключа» или сбора вознаграждений…»
«Децентрализованное приложение само по себе (то есть как компьютерная программа) не является VASP (провайдером услуг) по стандартам FATF… Однако, структуры (entities), вовлеченные в работу этого децентрализованного приложения могут быть VASP по определению FATF, поскольку они производят обмен или перевод виртуальных активов в порядке бизнеса, от имени клиента».
Уйдя от признания очевидного факта, что услугу пользователям оказывает именно неодушевленное приложение, составители рекомендаций ступили на зыбкую почву. Поскольку по факту никто другой эту услугу не оказывает, можно только постараться его приравнять к оказывающему услугу в правовом смысле, но никак уж не установить в реальности.
А тут регулирование неизбежно наткнется на противодействие в судах. Ну, притянут они программиста к ответственности за оказание крипто-финансовых услуг без лицензии. Он скажет – докажите. Они ему – ну вот, вы же на сайте указаны в разделе «команда» как основной разработчик. Он: ну и? Какую финансовую услугу я оказываю? Я запустил алгоритм, чтобы люди могли друг с другом меняться воображаемыми монетками, я не оказываю им услугу. И более того, даже если бы хотел контролировать то, как они это делают, то не смог бы. Так написана программа. А волшебного ключа, Ваша честь, у меня нет. Можете обыскать все зашифрованные циферки на моем компьютере.
Читаем дальше:
«Владелец / оператор скорее всего будет VASP, даже если другие лица играют роль в сервисе, либо если части этого сервиса автоматизированы. Равным образом, лицо, которое осуществляет бизнес-девелопмент для децентрализованного приложения, может быть VASP, когда оно занимается деятельностью по способствованию или управлению активностью, описанною выше, от имени другого физического или юридического лица. Децентрализация любого индивидуального элемента деятельности не устраняет покрытие определением VASP, если элементы любой части определения VASP остаются присутствовать».
Я просто визуализирую, как писатель этого словоблудия из себя его выдавливал.
Вот еще попытки натянуть определение из централизованного финансового мира на принципиально другую реалию, пункт 68:
«Лицо, которое разрабатывает или продает программное приложение или платформу виртуальных активов (то есть разработчик программного обеспечения) может не считаться VASP, когда он только разрабатывает или продает приложение или платформу. Однако, они могут быть VASP, если они помимо этого используют новое приложение или платформу для того, чтобы в порядке бизнеса обменивать или переводить средства или заниматься другой финансовой деятельностью, описанной выше, от имени другого физического или юридического лица. Более того, лицо, которое руководит созданием и разработкой программного обеспечения или платформы и запускает его, чтобы с его помощью оказывать финансовые услуги для извлечения прибыли, скорее всего, квалифицируется как VASP и поэтому ответственно за соблюдение обязательств по AML/CFT. В спектре определения VASP находится именно оказание финансовых услуг, связанных с программным обеспечением или платформой, а не написание или разработка самого программного обеспечения».
А вывод-то следует простой. Нет лица, которое оказывает финансовую услугу с помощью приложения другим лицам («для или от имени»), нет регулирования.
В качестве последней попытки признать провайдером услуг хотя бы кого-то живого, пункт 77 предлагает список вопросов, задав которые можно постараться «поймать» ассоциированное с DeFi-проектом лицо на том, что оно все-таки должно регулироваться как сервис-провайдер:
«FATF понимает, что такой подход может принести практические сложности компетентным органам в идентификации, какие структуры являются VASP и определении их регуляторного периметра. Когда есть необходимость оценить конкретную структуру, чтобы определить, не является ли она VASP, либо оценить бизнес-модель, в которой статус VASP неясен, несколько общих вопросов могут помочь направить к ответу. Среди них – кто извлекает прибыль из использования сервиса или актива, кто установил правила, и кто их может изменить, кто может принимать решения, влияющие на функционирование [проекта], кто создал и кто двигал созданием и запуском продукта или услуги, кто обладает и контролирует данные о деятельности [проекта], и кто может закрыть продукт или услугу. Индивидуальные ситуации будут отличаться, и этот список предлагает всего лишь несколько примеров».
И немного совсем уж экзотических идей напоследок (пункт 79):
«Определение, отвечает ли сервис-провайдер определению VASP, должно принимать во внимание жизненный цикл продуктов или услуг. Запуск сервиса, который будет оказывать услуги, указанные в определении VASP, например, не снимает с провайдера обязательства VASP, даже если в дальнейшем эти функции будут продолжаться в автоматическом режиме, в особенности, но не исключительно, если провайдер будет продолжит собирать вознаграждение или извлекать прибыль, неважно, будет этот доход прямым или косвенным. Использование автоматизированного процесса, такого как смарт-контракт для исполнения функций VASP, не снимает с контролирующего лица ответственности за VASP-обязательства. Для целей определения статуса VASP, запуск работающей автономно инфраструктуры для предложения VASP-услуг – это одно и то же что и само предложение таких услуг, и, аналогично, заказ другим лицам построить элементы инфраструктуры – это одно и тоже с их самостоятельным построением.
Читать страшно, но весь вопрос в том, как эти страшилки можно воплотить на практике. Человек написал приложение, запустил его и перестал его контролировать. Сидит себе, собирает доход на оставшиеся у него «монетки», платит с них честно налоги.
Проблема в том, что хотя регулятор и хочет обязать кого-то ввести в этом сервисе KYC-идентификацию и AML-контроль, но в лице описанного программиста заставить приложение это делать невозможно.
В пределах логически допустимого, программиста можно только наказать за создание такого приложения. Но не регулировать в текущем режиме как сервис-провайдера.
Я уверен, что чиновники FATF были бы счастливы требовать от всех стран ввести наказание за создание программного обеспечения для оказания нерегулируемых финансовых услуг. Но это натыкается на несколько проблем. Во-первых, программист не может знать, будет ли кто-то потом получать финансовую лицензию на использование написанного им приложения. Во-вторых, из любой страны, которая это сделает, уедут все программисты-разработчики финтех-приложений. Так как технологии меняются постоянно, регулирование тоже, и заранее знать, для лицензируемого или нелицензируемого сервиса будут использовать твой код через пять лет, просто невозможно.
О перспективах и рисках
Целиком «убить» индустрию децентрализованных финансов можно только во всемирном масштабе.
В масштабах отдельной страны можно, конечно, затерроризировать программистов, а также пытаться контролировать пользователей в части доступа к таким услугам. Можно вообще на аппаратном уровне отключить доступ к всемирному интернету (Китай как пример). Но мир глобальный, и девелопмент таких сервисов просто переместится в менее нервно реагирующие на эту деятельность страны.
Во всемирном масштабе крипто-индустрии смерть не грозит по определению. Не тема этой статьи, но мы понимаем, что такой глобальный проект был запущен и поддерживается отнюдь не леваками-энтузиастами. Сейчас на него работает гигантская машина, и в принципе проект приносит свои плоды: создана долларизованная сфера финансов для массовых пользователей, в которую как в воронку текут деньги из развивающихся стран, минуя местные банки.
Регулировать точки входа и выхода фиатных денег в эту систему также бесполезно. Пока в экосистеме криптовалют остается хотя бы один «койн», у которого поддерживается консенсуальная (субъективная) стоимость в отрыве от его функциональной ценности, контроль передачи ценностей через блокчейн-сети будет напоминать игру «ударь крота» (whack-a-mole). Почему? Потому что людям не обязательно будет выходить из экосистемы крипты всякий раз, когда они совершат ту или иную операцию в крипто-сфере. А также потому, что на основе такой криптовалюты с рыночной стоимостью всегда можно будет поддерживать функционирование синтетических стейбл-койнов (опирающихся на динамически корректирующийся гарантийный пул из криптовалюты, а не на депозит денег или иной ценности в мире регулируемых финансов). И при наличии ликвидного рынка таких активов пользователям все меньше и меньше нужно будет выводить крипто-активы в фиат, так как многие инвестиции можно будет производить, не выходя из «цифрового подполья».
Но про стейбл-койны напишу как-нибудь в другой раз.
А пока закончу рекламным объявлением, что партнеры фирмы недавно запустили «юридический акселератор» для стартапов (LEGALANGEL.io), в рамках которого мы помогаем фаундерам качественным юридическим структурированием в обмен на опцион небольшой доли проекта. Работая над этим сервисом, мы решили множество задач в контексте DeFi – в том числе как можно отстроить инфраструктуру DeFi проекта без конфликта с регуляторами.
Также читайте по теме:
«Как развивать DeFi проекты без юридических рисков»
Написать сообщение автору можно по адресу vt@tiner.ch