راهنمای جامع مبارزه با پولشویی (AML) در صرافی‌های ارز دیجیتال

مبارزه با پولشویی (AML) چیست؟

مبارزه با پولشویی یا AML (که مخفف Anti-Money Laundering است) به مجموعه‌ای از قوانین، مقررات و رویه‌ها اشاره دارد که برای جلوگیری از پنهان کردن وجوه غیرقانونی به‌عنوان درآمد مشروع طراحی شده‌اند. در حوزه ارزهای دیجیتال، AML با هدف مهار سوءاستفاده از دارایی‌های دیجیتال برای فعالیت‌های غیرقانونی مانند پولشویی، تامین مالی تروریسم و کلاهبرداری فعالیت می‌کند. پولشویی معمولا شامل سه مرحله است:

1. جاگذاری (Placement): وارد کردن وجوه غیرقانونی به سیستم مالی، اغلب از طریق خرید ارز دیجیتال.
2. لایه‌بندی (Layering): انتقال وجوه از طریق تراکنش‌های پیچیده، مانند انتقال بین چندین کیف پول یا صرافی، برای مخفی کردن منشأ آن‌ها.
3. ادغام (Integration): بازگرداندن وجوه به اقتصاد به‌عنوان پول “تمیز”، اغلب با تبدیل ارزهای دیجیتال به ارز فیات.

ارزهای دیجیتال، با تراکنش‌های شبه‌ناشناس و توانایی انجام انتقال‌های سریع و برون‌مرزی، این مراحل را برای مجرمان آسان‌تر می‌کنند. اقدامات AML با اعمال قوانین سختگیرانه بر ارائه‌دهندگان خدمات دارایی مجازی (VASPs) مانند صرافی‌ها، ارائه‌دهندگان کیف پول و صادرکنندگان استیبل‌کوین برای تایید هویت، نظارت بر تراکنش‌ها و گزارش فعالیت‌های مشکوک، تا حد زیادی اینگونه مشکلات را برطرف می‌کنند.

پولشویی به چه معناست؟

پولشویی به معنای «تمیز کردن پول کثیف» است. پول کثیف چیست؟ پولی که از راه‌های غیرقانونی مانند قاچاق، فروش مواد مخدر، دزدی و یا فعالیت‌های غیرقانونی دیگر بدست آمده باشد. حال در پول‌شویی چه اتفاقی رخ می‌دهد؟ شخص پول‌های کثیف را از طریق یک کسب‌وکار کاملا قانونی و درست، سالم و تمیز نشان می‌دهد. یعنی

• فرض کنید شخصی ۱۰۰ میلیون تومان از طریق قاچاق به خارج بدست آورده  است. این فرد در ابتدا این پول را به قسمت‌های مختلف تقسیم کرده و به حساب افراد مختلف واریز می‌کند. (جاگذاری) 
• حال این افراد با این پول به خرید ارزهای خارجی به دفعات می‌پردازند تا رد این پول از بین برود. (لایه‌بندی)
• در نهایت این پول صرف ساخت ساختمان یا افتتاح رستوران یا کافه می‌شود تا به اصطلاح «تمیز» جلوه داده شود.

چرا AML برای صنعت ارزهای دیجیتال حیاتی است؟

اقدامات AML به دلایل متعددی حیاتی هستند، زیرا امنیت، قابلیت اطمینان و مشروعیت اکوسیستم ارزهای دیجیتال را افزایش می‌دهند:

• جلوگیری از فعالیت‌های غیرقانونی: مقررات AML به شناسایی و پیشگیری از پولشویی، تامین مالی تروریسم و سایر جرایم مالی کمک می‌کنند. به عنوان مثال، گزارش Chainalysis نشان داد که مجرمان در سال ۲۰۲۱، ۸.۶ میلیارد دلار ارز دیجیتال را پولشویی کردند که نسبت به سال قبل ۳۰ درصد افزایش داشت و این نشان‌دهنده مقیاس این چالش است.
• تثبیت بازار: اجرای الزامات AML، اعتماد کاربران، سرمایه‌گذاران و نهادهای نظارتی را تقویت کرده و بازار پرنوسان ارزهای دیجیتال را تثبیت می‌کند.
• اجتناب از جریمه‌های نظارتی: رعایت نکردن مقررات AML می‌تواند منجر به جریمه‌های سنگین و عواقب قانونی شود. به عنوان مثال، مورد بایننس، که در آن نمایندگان نهادهای تحت تحریم از این پلتفرم برای تراکنش‌های غیرقانونی استفاده کردند، نیاز به چارچوب‌های قوی AML را برجسته کرد.
• حفاظت از کاربران: فرآیندهای AML، مانند احراز هویت کاربران (KYC)، اطمینان می‌دهند که پلتفرم‌ها امن هستند و وجوه کاربران از فعالیت‌های کلاهبردارانه محافظت می‌شود.

ماهیت شبه‌ناشناس ارزهای دیجیتال، همراه با تراکنش‌های کم‌هزینه و غیرقابل‌برگشت، آن‌ها را به‌ویژه در برابر سوءاستفاده آسیب‌پذیر می‌کند. برای مثال، در هک صرافی Bybit در ۲۱ فوریه ۲۰۲۵، گزارش‌ها نشان می‌دهد گروه لازاروس کره شمالی در سرقت ۱.۵ میلیارد دلاری اتریوم دست داشته و بیش از ۴۰۰ میلیون دلار از آن را از طریق صرافی‌های غیرمتمرکز و پل‌های میان‌زنجیره‌ای پولشویی کرده است. چنین رویدادهایی ضرورت اجرای دقیق مقررات ضدپولشویی (AML) را پررنگ‌تر می‌کنند.

مقررات کلیدی AML در ارزهای دیجیتال

مقررات جهانی AML برای ارزهای دیجیتال عمدتا توسط گروه ویژه اقدام مالی (FATF)، یک سازمان بین‌دولتی (سازمان تشکیل شده از توافق چند دولت مختلف) که استانداردهایی برای مبارزه با پولشویی و تامین مالی تروریسم تعیین می‌کند، شکل گرفته است. در ادامه، مروری بر مقررات AML کرده‌ایم:

استانداردهای جهانی: توصیه‌های FATF

گزارش FATF در سال ۲۰۱۴ درباره دارایی‌های مجازی، خطرات کلیدی AML مانند تراکنش‌های ناشناس، انتقال‌های برون‌مرزی و استفاده از ارزهای حریم خصوصی مانند مونرو را شناسایی کرد. در سال ۲۰۱۹، FATF «راهنمای رویکرد مبتنی بر ریسک برای دارایی‌های مجازی و ارائه‌دهندگان خدمات دارایی مجازی یا Guidance on the Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers» را معرفی کرد که VASPs (ارائه‌دهندگان خدمات مالی مجازی یا Virtual Asset Service Providers) را طبقه‌بندی کرده و الزامات استفاده از مقررات AML را بیان کرده است. این اقدامات شامل موارد زیر هستند:

• شناسایی مشتری (KYC): ارائه‌دهندگان خدمات مجازی مالی باید هویت مشتریان را با استفاده از اسناد معتبر، مانند پاسپورت یا گواهینامه رانندگی، تایید کنند.
• نظارت بر تراکنش‌ها: پلتفرم‌ها باید تراکنش‌ها را برای فعالیت‌های مشکوک نظارت کرده و آن‌ها را از طریق گزارش‌های فعالیت مشکوک (SARs) به مقامات گزارش دهند.
• قانون سفر (Travel Rule): این قانون که به‌عنوان بخشی از توصیه ۱۶ FATF معرفی شده است، VASPs را ملزم می‌کند اطلاعات شناسایی (مانند نام و آدرس) را برای تراکنش‌های بالای آستانه خاصی (مانند ۳ هزار دلار در آمریکا یا یک هزار یورو در اتحادیه اروپا) به اشتراک بگذارند. این قانون به کاهش ناشناسی تراکنش‌های ارز دیجیتال کمک می‌کند.

اما هر کشور نیز برای خود اقداماتی در مقابله با پولشویی انجام داده است. در ادامه به این کشورها و جزئیات اقدامات پرداخته‌ایم:

ایالات متحده

• نهادهای نظارتی: شبکه اجرای جرایم مالی (FinCEN)، کمیسیون معاملات آتی کالا (CFTC)، کمیسیون بورس و اوراق بهادار (SEC).
• مقررات کلیدی: قانون رازداری بانکی (BSA) صرافی‌های ارز دیجیتال را به‌عنوان کسب‌وکارهای خدمات پولی (MSBs) طبقه‌بندی می‌کند و الزاماتی مانند KYC، نظارت بر تراکنش‌ها، ثبت SAR و رعایت قانون سفر برای تراکنش‌های بالای ۳ هزار دلار را اعمال می‌کند.

اتحادیه اروپا

• نهادهای نظارتی: اداره مبارزه با پولشویی و تامین مالی تروریسم (AMLA)، اداره بانکی اروپا (EBA).
• مقررات کلیدی: پنجمین دستورالعمل مبارزه با پولشویی (5AMLD) و مقررات آینده AML (یا AMLR، اجرایی از ژوئن ۲۰۲۷) الزامات KYC، گزارش تراکنش‌ها و رعایت قانون سفر را اجباری می‌کنند. مقررات بازنگری‌شده انتقال وجوه (TFR) قانون سفر را برای تراکنش‌های بالای یک یورو تا ژوئن ۲۰۲۷ اعمال خواهد کرد.

سایر حوزه‌های قضایی کلیدی

• بریتانیا: اداره رفتار مالی (FCA) الزامات AML/KYC را تحت مقررات پولشویی اجرا می‌کند، با قانون سفر برای تراکنش‌های بالای یک هزار پوند.
• کانادا: قانون عواید حاصل از جرم (پولشویی) و تامین مالی تروریسم (PCMLTFA)، الزامات KYC، گزارش تراکنش‌ها و رعایت قانون سفر برای تراکنش‌های بالای یک هزار دلار کانادا را اعمال می‌کند.
• ژاپن: قانون خدمات پرداخت، KYC و رعایت قانون سفر را الزامی می‌کند، با نظارت آژانس خدمات مالی (FSA).
• ایران: قانون مبارزه با پولشویی سال ۲۰۰۸ (AMLA 2008) پولشویی را جرم‌انگاری کرده و صرافی‌های ارز دیجیتال را ملزم به انجام شناسایی مشتری، گزارش تراکنش‌های مشکوک و رعایت تحریم‌های بین‌المللی می‌کند. واحد اطلاعات مالی (FIU) ایران بر اجرا نظارت دارد.

اجرای AML در عمل: پنج رکن اصلی

قانون رازداری بانکی و سایر چارچوب‌های جهانی، پنج رکن کلیدی را برای اجرای موثر AML بیان می‌کنند:

1. مسئول انطباق: انتصاب یک مسئول اختصاصی برای نظارت بر فرآیندهای AML، پاسخگویی و تخصص را تضمین می‌کند.
2. سیاست‌های داخلی: ایجاد سیاست‌های قوی برای نظارت و گزارش فعالیت‌های مشکوک برای انطباق حیاتی است.
3. برنامه‌های آموزشی: آموزش منظم کارکنان در مورد مقررات AML و ریسک‌های نوظهور، امنیت پلتفرم را افزایش می‌دهد.
4. حسابرسی مستقل: آزمایش دوره‌ای برنامه‌های AML، اطمینان از اثربخشی و انطباق آن‌ها را تضمین می‌کند.
5. ارزیابی ریسک: انجام ارزیابی‌های جامع ریسک، از جمله KYC و شناسایی مشتری، به شناسایی و کاهش تهدیدات احتمالی کمک می‌کند.

فرآیند KYC در ارزهای دیجیتال

فرآیند شناسایی مشتری (KYC) یکی از ارکان اصلی انطباق با AML است که برای تایید هویت کاربران و ارزیابی ریسک‌ها طراحی شده است. این فرآیند شامل سه مرحله اصلی است:

1. برنامه شناسایی مشتری (CIP): جمع‌آوری و تایید اطلاعات اولیه، مانند نام، تاریخ تولد و آدرس، با استفاده از مدارک شناسایی دولتی.
2. شناسایی مشتری (CDD): ارزیابی سطح ریسک مشتریان از طریق بررسی‌های پیشینه، به‌ویژه برای افراد پرریسک مانند اشخاص سیاسی (PEPs).
3. نظارت مداوم: ردیابی مداوم تراکنش‌ها و به‌روزرسانی پروفایل‌های مشتریان برای شناسایی فعالیت‌های مشکوک، با ثبت SAR در صورت لزوم.

چالش‌های انطباق با AML در ارزهای دیجیتال

در حالی که مقررات AML ضروری هستند، چالش‌های متعددی را برای پلتفرم‌ها و کاربران ارز دیجیتال ایجاد می‌کنند:

• تجربه کاربر: الزامات KYC و قانون سفر می‌توانند فرآیندهای ثبت‌نام و تراکنش را کند کرده و با روحیه سرعت و ناشناسی ارزهای دیجیتال در تضاد باشند.
• هزینه و منابع: پلتفرم‌های کوچک اغلب فاقد منابع برای استخدام کارکنان انطباق یا سرمایه‌گذاری در راه‌حل‌های پیشرفته RegTech (فناوری‌های نظارتی یا Regulatory Technology) هستند که خطر انطباق نداشتن را افزایش می‌دهد.
• تجزیه و تحلیل نظارتی: چارچوب‌های مختلف AML در حوزه‌های قضایی مختلف، پیچیدگی‌هایی را برای پلتفرم‌هایی که در سطح جهانی فعالیت می‌کنند ایجاد می‌کند. به عنوان مثال، اجرای 5AMLD (پنجمین دستورالعمل مبارزه با پولشویی که بسیار سختگیرانه‌تر از استانداردهای قبلی است) در کشورهای عضو اتحادیه اروپا متفاوت است و انطباق را پیچیده می‌کند.
• فناوری‌های نوظهور: امور مالی غیرمتمرکز (DeFi) و توکن‌های غیرقابل‌معاوضه (NFTها) به دلیل فقدان نظارت متمرکز و ارزش‌گذاری ذهنی، ریسک‌های جدیدی را ایجاد می‌کنند که آن‌ها را برای پولشویی جذاب می‌کند.

AML در ایران: یک زمینه منحصربه‌فرد

در ایران، انطباق با AML توسط قانون مبارزه با پولشویی سال ۲۰۰۸ (AMLA 2008) که توسط واحد اطلاعات مالی (FIU) و شورای عالی مبارزه با پولشویی مورد نظارت قرار می‌گیرد، اداره می‌شود. الزامات کلیدی شامل موارد زیر است:

• شناسایی مشتری (CDD): موسسات مالی، از جمله صرافی‌های ارز دیجیتال، باید هویت مشتریان را تایید کرده و هدف تراکنش‌ها را درک کنند.
• گزارش تراکنش‌های مشکوک: نهادها باید تراکنش‌هایی که از آستانه‌های مشخص‌شده فراتر می‌روند یا مشکوک تلقی می‌شوند را گزارش کنند.
• رعایت تحریم‌ها: پلتفرم‌ها باید مشتریان را در برابر لیست‌های تحریم‌های بین‌المللی، به‌ویژه تحریم‌های سازمان ملل، غربالگری کنند.
• نگهداری سوابق: سوابق تراکنش‌ها باید برای مدت مشخصی نگهداری شوند تا حسابرسی و تحقیقات را تسهیل کنند.
• جریمه‌ها: عدم انطباق می‌تواند منجر به جریمه، حبس یا مصادره دارایی‌ها شود.

چارچوب مبارزه با پولشویی ایران در سال ۲۰۰۹ با الحاق به کنوانسیون سازمان ملل علیه فساد (UNCAC) تقویت شد؛ کنوانسیونی که بر جرم‌انگاری جرایم مرتبط با فساد و مصادره عواید (اموال و درآمدهای بدست آمده) نامشروع تاکید دارد. با این حال، کاستی‌هایی همچنان وجود دارد؛ از جمله ضرورت ایجاد حمایت‌های موثرتر از افشاگران و تشکیل یک نهاد مستقل برای مبارزه با فساد.

اقدامات امنیتی رمزینکس در برابر پولشویی

رمزینکس، یک صرافی پیشرو ارز دیجیتال در ایران که در سال ۱۳۹۶ تاسیس شده، مجموعه‌ای قوی از اقدامات امنیتی را برای مبارزه با پولشویی و اطمینان از انطباق با مقررات AML پیاده‌سازی کرده است.

این اقدامات نشان‌دهنده تعهد این صرافی به ارائه یک پلتفرم امن و قابل اعتماد برای کاربران است:

• شناسایی مشتری (KYC) و احراز هویت: رمزینکس یک فرآیند KYC دو سطحی را اجباری کرده است. سطح پایه امکان عملکرد محدود، مانند واریز فیات، را فراهم می‌کند، در حالی که سطح پیشرفته (نیازمند مدارکی مانند کارت ملی، سلفی و اطلاعات حساب بانکی) دسترسی کامل به برداشت‌ها و معاملات را امکان‌پذیر می‌کند. این امر تضمین می‌کند که تنها کاربران تاییدشده بتوانند در تراکنش‌های ارز دیجیتال با امکان برداشت شرکت کنند و خطر فعالیت‌های غیرقانونی را کاهش می‌دهد.
• تحلیل بلاکچین: رمزینکس از ابزارهای پیشرفته تحلیل بلاکچین برای نظارت بر تراکنش‌ها در زمان واقعی استفاده می‌کند و فعالیت‌های مشکوک یا ارتباط با آدرس‌های تحت تحریم را شناسایی و علامت‌گذاری می‌کند. این با استانداردهای جهانی AML هم‌راستا است و به پیشگیری از پولشویی کمک می‌کند.
• ذخیره‌سازی کیف پول سرد و گرم: اکثر دارایی‌های کاربران در کیف پول‌های سرد، که آفلاین و بسیار امن هستند، ذخیره می‌شوند و خطر هک را به حداقل می‌رسانند. کیف پول‌های گرم، که برای تراکنش‌های روزانه استفاده می‌شوند، محدود بوده و با سیستم‌های چند‌امضایی محافظت می‌شوند تا آسیب‌پذیری‌ها کاهش پیدا کنند.
• احراز هویت چندمرحله‌ای (MFA): رمزینکس کاربران را ملزم به فعال کردن احراز هویت دو مرحله‌ای (2FA) از طریق Google Authenticator و کدهای تایید ارسال‌شده به ایمیل یا تلفن برای برداشت‌ها می‌کند، که اطمینان می‌دهد تنها کاربران مجاز می‌توانند به وجوه دسترسی داشته باشند.
• چرخه توسعه نرم‌افزار امن (SDLC) و تست نفوذ: رمزینکس از چرخه توسعه نرم‌افزار امن پیروی می‌کند و حسابرسی‌های امنیتی منظم و تست‌های نفوذ را برای شناسایی و رفع آسیب‌پذیری‌ها پیش از به‌روزرسانی‌های نرم‌افزاری انجام می‌دهد.
• ذخیره‌سازی داده‌های رمزنگاری‌شده: داده‌های کاربران، از جمله اطلاعات شخصی و سوابق تراکنش‌ها، با استفاده از رمزنگاری از طریق سیستم مدیریت کلید (KMS) رمزنگاری می‌شوند.
• رعایت استانداردهای AML: رمزینکس به قانون AMLA 2008 ایران و استانداردهای بین‌المللی پایبند است، تراکنش‌ها را برای انطباق با تحریم‌ها غربالگری کرده و فعالیت‌های مشکوک را به FIU گزارش می‌دهد. این امر هم‌راستایی با چارچوب‌های نظارتی ایران و جهان را تضمین می‌کند.
• آموزش کاربران: رمزینکس دستورالعمل‌هایی را به کاربران در مورد اجتناب از فیشینگ، ایمن‌سازی کلیدهای خصوصی و شناسایی طرح‌های کلاهبردارانه ارائه می‌دهد و رویکردی مشارکتی به امنیت را ترویج می‌کند.

این اقدامات، رمزینکس را به‌عنوان یک دروازه امن برای کاربران ایرانی برای دسترسی به بازار جهانی ارزهای دیجیتال قرار داده است و از بیش از ۳۵۰ ارز دیجیتال پشتیبانی می‌کند، در حالی که کارمزدهای رقابتی و پروتکل‌های امنیتی قوی را حفظ می‌کند. رمزینکس با ترکیب فناوری پیشرفته، انطباق نظارتی و شیوه‌های امنیتی کاربرمحور، استاندارد بالایی را برای انطباق با AML در ایران تعیین کرده است.

نتیجه‌گیری

مقررات AML جزء حیاتی صنعت ارزهای دیجیتال هستند و تعادلی بین نیاز به نوآوری و دسترسی‌پذیری با ضرورت پیشگیری از جرایم مالی ایجاد می‌کنند. با پایبندی به استانداردهای جهانی مانند قانون سفر FATF و مقررات محلی مانند AMLA 2008 ایران، صرافی‌ها می‌توانند خطرات را کاهش دهند، از کاربران محافظت و اعتماد را تقویت کنند. اقدامات جامع AML رمزینکس نشان می‌دهد که چگونه صرافی‌ها می‌توانند شیوه‌های امنیتی پیشرفته را با تجربه‌های کاربرپسند ادغام و معیاری برای صنعت تعیین کنند. با تکامل چشم‌انداز ارزهای دیجیتال، همکاری مداوم بین نهادهای نظارتی، پلتفرم‌ها و کاربران برای اطمینان از یک اکوسیستم امن و پایدار ضروری خواهد بود.