Показать все
Бизнес-инсайты

Соответствие требованиям для виртуальных карт в 2026 году: AML, PCI DSS и что теперь требуют регуляции ЕС/США

15.07.2026
07
 min to read
Соответствие требованиям для виртуальных карт в 2026 году: AML, PCI DSS и что теперь требуют регуляции ЕС/США

Почему соответствие требованиям для виртуальных карт вызывает столько путаницы в 2026 году

Соответствие требованиям для виртуальных карт в 2026 году вызывает путаницу по следующим причинам:

  • Множество пересекающихся регулирующих органов (платёжные системы, PCI SSC, эмитенты, процессинговые компании и регуляторы) устанавливают разные правила охвата и рекомендации.
  • Быстрое развитие продуктов (одноразовые и многоразовые карты, токенизация, встроенный эмиссионный сервис) опережает стандартизацию.
  • Операционные различия (API, интеграции, география/BIN-коды и отчётность) приводят к непоследовательной практике аудиторов и мерчантов.
  • Мир завершил переход на PCI DSS 4.0.1, и виртуальные карты не исключение.

Краткий ответ: что действует в 2026 году

PCI DSS v4.0.1 стал действующим стандартом после 31 марта 2025 года.

  • Переходный период Регламента о рынках криптоактивов (MiCA) завершился на территории всего ЕС 1 июля 2026 года — это означает, что любой поставщик криптоактивных услуг (CASP), всё ещё работающий по старым национальным лицензиям, теперь должен получить полную авторизацию по MiCA или прекратить обслуживание клиентов из ЕС.
  • Регламент ЕС о противодействии отмыванию денег (AMLR) действует с июля 2024 года, но прямое применение начнётся только с 10 июля 2027 года. Переход уже идёт полным ходом через подготовительные нормы, согласование практик и планирование внедрения.
  • В США ситуация остаётся фрагментированной: вместо единой системы действует набор пересекающихся федеральных, региональных и отраслевых правил.
  • В целом глобальный тренд — это переход от разрозненных национальных режимов к гармонизированным системам лицензирования и стандартам безопасности, однако сроки различаются в зависимости от региона и сектора.

Требования PCI DSS v4.0.1

Совет по стандартам безопасности PCI (PCI Security Standards Council) отмечает, что PCI DSS v4.0.1 представляет собой ограниченную ревизию версии v4.0 без новых или удалённых требований — только исправления, уточнения и обновлённые рекомендации.

Требования PCI DSS 4.0.1 стали единственной действующей версией после того, как PCI DSS v4.0 была выведена из обращения 31 декабря 2024 года, а новые требования с отложенным сроком вступления в силу из v4.0 стали обязательными 31 марта 2025 года. В библиотеке документов PCI SSC также перечислены PCI DSS v4.0.1 и документ «Сводка изменений от PCI DSS v4.0 к v4.0.1», что подтверждает: v4.0.1 — это действующий стандарт, а не отдельный свод правил с дополнительными обязательствами. В сводке KPMG также отмечается, что v4.0.1 не вводит новых требований. [1]

Что изменилось в v4.0.1

PCI DSS v4.0.1 не добавила новых требований — в основном были исправлены форматирование и опечатки, уточнён смысл некоторых требований и рекомендаций, а также обновлены сопроводительные формулировки. PCI SSC прямо указывает, что данная ограниченная ревизия не содержит дополнительных или удалённых требований.

Среди конкретных изменений в официальном обновлении можно выделить уточнения по:

  • Требованию 3, включая примечания по применимости для эмитентов и поддержку эмиссионных сервисов.
  • Требованию 6, включая формулировки об устранении критических уязвимостей и контроле скриптов на платёжных страницах.
  • Требованию 8, включая то, как устойчивая к фишингу аутентификация влияет на применимость MFA.
  • Требованию 12, включая более чёткие формулировки об отношениях с клиентами и сторонними поставщиками услуг.

Также были изменены приложения: образцы шаблонов для «индивидуализированного подхода» (customized approach) были удалены из самого стандарта и перенесены в раздел ресурсов на сайте PCI SSC. На практике v4.0.1 — это релиз-уточнение, а не новый режим соответствия. [2]

Что это значит для карточных платформ

PCI DSS v4.0.1 теперь является действующей базовой версией, поэтому карточным платформам следует привести свои программы безопасности в соответствие с уточнёнными требованиями, а не ждать новой версии.

Для карточных платформ, попадающих в область применения PCI DSS — включая платформы виртуальных карт, токенизации и встроенной эмиссии — главное изменение заключается не в новых требованиях, а в необходимости продемонстрировать, что применимые механизмы контроля внедрены и эффективно работают. Аудиторы будут ожидать доказательств того, что требования с отложенным сроком, ставшие обязательными 31 марта 2025 года, реализованы и функционируют.

На практике это смещает акцент на контроль скриптов платёжных страниц, аутентификацию, управление уязвимостями, целевой анализ рисков и управление отношениями с поставщиками услуг. Для карточных платформ v4.0.1 снижает неоднозначность трактовки, но не уменьшает ни область применения, ни объём работы по соответствию требованиям.

Пакет AML в ЕС: AMLR, AMLD6, AMLA

Пакет законов ЕС по борьбе с отмыванием денег (AML) — это набор законодательных актов Евросоюза, принятых в 2024 году и призванных усилить и гармонизировать правила противодействия отмыванию денег (AML) и финансированию терроризма (CTF) во всех странах-членах ЕС. Вместо того чтобы каждая страна применяла существенно различающиеся правила, пакет создаёт более единообразную систему.

AMLR: применяется с июля 2027 года

Регламент ЕС о противодействии отмыванию денег (AMLR) — это регламент прямого действия в рамках пакета AML ЕС, и он вступает в силу с 10 июля 2027 года. Он является частью более широкого реформенного пакета 2024 года, который также создал AMLA и заменил старую систему на основе директив единым сводом правил. [3]

Для провайдера AMLR имеет значение, если провайдер является «обязанным субъектом» (obliged entity) в рамках регуляторной системы ЕС, особенно в финансовом секторе и смежных видах деятельности повышенного риска. Свод правил расширяет охват на большее число секторов и ужесточает требования к комплексной проверке клиентов, проверке бенефициарных владельцев и мониторингу, поэтому компаниям следует рассматривать 2026 год как год подготовки, а не как год начала действия.

AMLD6 и соответствие требованиям для виртуальных карт

AMLD6 — это шестая директива ЕС по противодействию отмыванию денег, и, в отличие от AMLR, это директива, которую страны-члены должны имплементировать в национальное законодательство. В пакете AML 2024 года AMLD6 — это та часть, которая усиливает работу национальных надзорных органов, подразделений финансовой разведки (FIU) и международного сотрудничества, а не напрямую вводит единый свод правил на уровне ЕС. Она вступила в силу в 2024 году и должна быть имплементирована странами-членами не позднее 10 июля 2027 года. [4]

AMLA: работает с 2025 года

AMLA — это Управление ЕС по противодействию отмыванию денег: новое агентство ЕС во Франкфурте, которое координирует надзор в сфере AML/CFT, напрямую присматривает за некоторыми высокорисковыми трансграничными финансовыми организациями, поддерживает национальные органы и FIU, а также помогает разрабатывать технические стандарты и рекомендации. [5] AMLA начало работу летом 2025 года, но полные полномочия по прямому надзору будут введены поэтапно, а полноценный операционная работа ожидается в 2028 году.

Кто считается обязанным субъектом

В рамках регуляторной системы ЕС по AML обязанный субъект — это лицо или компания, которая должна применять меры контроля AML/CFT, такие как комплексная проверка клиентов, постоянный мониторинг и отчётность о подозрительной деятельности. На практике сюда входят банки, платёжные учреждения, учреждения электронных денег, поставщики криптоактивных услуг и многие другие финансовые и нефинансовые компании, подпадающие под действие правил AML.

Для карточных и платёжных платформ это означает, что эмитенты виртуальных карт, поставщики встроенных финансовых решений и программы карт, пополняемых криптовалютой, могут попадать под действие этих правил, если они осуществляют регулируемую финансовую деятельность. Если провайдер является обязанным субъектом, он должен уметь идентифицировать клиентов, при необходимости проверять бенефициарных владельцев, отслеживать транзакции и вести учёт в соответствии с применимыми правилами AML ЕС. Именно поэтому юридический статус провайдера имеет не меньшее значение, чем сам продукт.

MiCA и карты, пополняемые криптовалютой (включая виртуальные карты)

MiCA (Регламент о рынках криптоактивов) устанавливает единый свод правил ЕС для криптоактивов, не охваченных другим финансовым законодательством ЕС, и создаёт гармонизированную систему авторизации и надзора для поставщиков криптоактивных услуг.

Согласно MiCA, ключевой вопрос при определении, подпадает ли программа под действие MiCA, заключается в том, осуществляет ли провайдер (или карточная операция) одну или несколько криптоактивных услуг, регулируемых как деятельность CASP (например, хранение/администрирование криптоактивов, обмен криптоактивов, исполнение поручений, размещение криптоактивов от имени других лиц и т.д.). В этом случае MiCA требует, чтобы такие регулируемые поставщики услуг работали в рамках системы авторизации/надзора CASP по MiCA, а не полагались только на национальное лицензирование. [6]

Что требуется для авторизации CASP

В MiCA авторизация CASP (поставщика криптоактивных услуг) связана с идеей о том, что провайдер должен обладать соответствующей системой управления/контроля рисков и соблюдать пруденциальные требования и требования по ведению деятельности, и такая авторизация выдаётся компетентным национальным органом в рамках раздела MiCA, посвящённого CASP.

На практике авторизация обычно требует продемонстрировать наличие адекватных внутренних механизмов контроля, процедур и мер, включая механизмы соответствия, связанные с требованиями AML/обязательствами CFT (применительно к виртуальным картам), прежде чем компания сможет работать в качестве CASP.

Правило «travel rule» (Регламент 2023/1113)

«Travel rule» («правило перемещения информации») происходит из Регламента ЕС о переводах средств (EU) 2023/1113, который пересматривает/расширяет обязательства по сбору и обеспечению доступности информации об отправителе/получателе для целей прослеживаемости. С точки зрения соответствия требованиям AML/CFT, travel rule применяется к переводам криптоактивов, осуществляемым через CASP, и призвано обеспечить возможность для властей восстанавливать цепочку транзакций в целях правоприменения и расследований.

Регулирование в США: FinCEN, MSB и стейблкоины

В США компании, работающие с криптовалютой и платежами, чаще всего в первую очередь сталкиваются с правилами FinCEN в рамках Закона о банковской тайне (Bank Secrecy Act). FinCEN рассматривает многие платёжные и переводные компании как предприятия по оказанию денежных услуг (MSB — money services businesses), что означает необходимость регистрации, ведения программы AML и подачи отчётности по определённым видам деятельности. [7]

Правило FinCEN о предоплаченном доступе

Правила FinCEN о предоплаченном доступе подводят определённые предоплаченные продукты под требования по противодействию отмыванию денег. Поставщики и продавцы продуктов с «предоплаченным доступом» сталкиваются с дополнительными требованиями по соответствию — однако продукты закрытого контура (используемые только у одного мерчанта или в одной сети) могут оставаться освобождёнными от этих требований при соблюдении лимитов FinCEN.

Один важный момент: если продукт закрытого контура перепродаётся или обменивается на вторичном рынке, само по себе это не превращает его в регулируемый продукт открытого контура. Перепродажа сама по себе не меняет его статус.

Регистрация MSB и лицензирование на уровне штатов

FinCEN указывает, что, за некоторыми исключениями, каждое предприятие по оказанию денежных услуг (MSB) должно зарегистрироваться в Министерстве финансов, подав форму FinCEN 107 в течение 180 дней после начала деятельности, а затем продлевать эту регистрацию каждые два года. FinCEN также требует хранить подтверждающие регистрационные документы на территории США в течение пяти лет. [8] В зависимости от вида деятельности сюда может входить денежный перевод, обмен валюты, обналичивание чеков и некоторые услуги предоплаченного доступа.

При этом федеральная регистрация — лишь один уровень требований. Многим MSB также требуются лицензии на денежные переводы на уровне штатов, поэтому компаниям часто приходится соблюдать как федеральные, так и региональные правила.

Стейблкоины: закон GENIUS Act

GENIUS Act — это федеральный законопроект Конгресса, устанавливающий систему регулирования платёжных стейблкоинов. Согласно резюме Конгресса, закон создаёт регулируемую систему для «разрешённых эмитентов», требует стопроцентного резервирования наличными или аналогично ликвидными активами, ежемесячного раскрытия информации о резервах и распространяет на эмитентов действие Закона о банковской тайне. [9]

Белый дом также охарактеризовал этот закон как создание первой в истории федеральной системы регулирования стейблкоинов, включающей требования по резервированию и раскрытию информации, а также ограничения на маркетинг, направленные на предотвращение вводящих в заблуждение заявлений. Это делает регулирование стейблкоинов на федеральном уровне гораздо более чётким, чем раньше. [10]

Что спросить у провайдера виртуальных карт

Учитывая, насколько фрагментированы правила в 2026 году, правильные вопросы зависят от того, в какой области находится провайдер — PCI DSS, AML/MiCA ЕС или правила FinCEN в США. Вот что стоит спросить в каждой из этих областей.

PCI DSS и безопасность карточных данных

  • Есть ли у вас актуальное Заявление о соответствии (Attestation of Compliance) PCI DSS v4.0.1, и можете ли вы его предоставить?
  • Какие из требований с отложенным сроком (обязательных с 31 марта 2025 года) применимы к вашей платформе, и можете ли вы показать, что они реализованы и работают — а не просто задокументированы?
  • Где заканчивается ваша область применения PCI и начинается моя? Запросите письменное разграничение ответственности, особенно в части контроля скриптов платёжных страниц, аутентификации и токенизации.

Статус AML в ЕС (если вы работаете в ЕС)

  • Классифицируетесь ли вы как «обязанный субъект» в рамках требований AML ЕС для виртуальных карт, и если да, как вы осуществляете комплексную проверку клиентов, проверку бенефициарных владельцев и мониторинг?
  • Готовитесь ли вы к вступлению в силу AMLR (с июля 2027 года) и AMLD6?
  • Подпадает ли ваша программа под прямой надзор AMLA или может подпасть, и что это означает для сроков онбординга?

Карты, пополняемые криптовалютой

  • Затрагивает ли ваша программа деятельность, регулируемую как CASP в рамках MiCA?
  • Если да, есть ли у вас авторизация CASP от национального компетентного органа, и можете ли вы продемонстрировать свои внутренние механизмы контроля, связанные с AML/CFT?
  • Как вы обеспечиваете соблюдение правила travel rule ЕС (Регламент 2023/1113) при переводах криптовалюты? Как собирается и обеспечивается прослеживаемость информации об отправителе/получателе?

Регуляторный статус в США

  • Зарегистрированы ли вы в FinCEN как предприятие по оказанию денежных услуг (форма 107), и действительна ли эта регистрация?
  • Есть ли у вас также лицензии на денежные переводы на уровне штатов, необходимые для вашей деятельности, или только федеральная регистрация?
  • Если ваш продукт связан с предоплаченным доступом — это закрытый или открытый контур, и если закрытый, как вы гарантируете, что перепродажа на вторичном рынке не переводит его в статус открытого контура?
  • Если задействованы стейблкоины, работаете ли вы с эмитентом, разрешённым по GENIUS Act, и можете ли вы подтвердить обеспечение резервами и практику ежемесячного раскрытия информации?

Мониторинг мошенничества на уровне сети

  • Кто несёт ответственность, если моя программа переходит в категорию «выше нормы» (Above Standard) или «чрезмерная» (Excessive)?

Часто задаваемые вопросы

Есть ли дедлайн по PCI DSS в 2026 году?

Нет. PCI DSS v4.0.1 стал действующим стандартом после марта 2025 года, поэтому 2026 год не является новым годом с дедлайнами. Это просто первый полный год, в течение которого аудиторы применяют механизмы контроля, ставшие обязательными 31 марта 2025 года.

Когда AMLR ЕС фактически вступит в силу?

Регламент ЕС о противодействии отмыванию денег (AMLR) становится напрямую применимым во всех странах-членах ЕС 10 июля 2027 года. Поскольку этот единый свод правил вводит значительно более строгие требования по соответствию, затронутым компаниям и обязанным субъектам следует использовать 2026 год как основной переходный период и период подготовки, чтобы обеспечить полную готовность.

Что такое AMLA и надзирает ли оно за моим провайдером?

AMLA — это Управление по противодействию отмыванию денег ЕС. Надзирает ли оно за вашим провайдером, зависит от того, кем является провайдер и где он работает. AMLA будет напрямую надзирать только за отдельными высокорисковыми обязанными субъектами в финансовом секторе; у него также есть косвенная/координационная роль в отношении других финансовых и нефинансовых субъектов, но большинство компаний по-прежнему будут находиться под надзором национального компетентного органа, а не AMLA.

Если ваш провайдер — это международный высокорисковый финансовый субъект, AMLA может осуществлять прямой надзор за ним.
Если это локальный или менее рисковый провайдер, надзор, как правило, останется за национальным надзорным органом по AML/CFT, а AMLA будет устанавливать общую систему и координацию на уровне ЕС.

Завершился ли переходный период MiCA?

Да, переходное окно для поставщиков криптоактивных услуг (CASP) в рамках Регламента о рынках криптоактивов (MiCA) официально завершилось 1 июля 2026 года.

Подпадают ли виртуальные карты, пополняемые криптовалютой, под travel rule?

Когда виртуальная карта пополняется криптовалютой, сам процесс первоначального пополнения подпадает под регулирование соответствия требованиям для криптокарт (в частности, под travel rule), если он квалифицируется как регулируемый перевод цифровых активов. Однако после того, как криптовалюта зачислена на карту, фактические покупки по карте регулируются стандартными правилами платёжной карточной индустрии. [11]

Какие правила AML применяются к виртуальным картам в США?

В США провайдеры виртуальных карт, как правило, подпадают под систему Закона о банковской тайне FinCEN. FinCEN рассматривает многие платёжные компании как предприятия по оказанию денежных услуг (MSB), что означает необходимость регистрации в Министерстве финансов, ведения программы AML и подачи отчётности по определённым видам деятельности.

Если провайдер предлагает продукты предоплаченного доступа, правило FinCEN о предоплаченном доступе может добавить дополнительные обязательства — хотя продукты закрытого контура (используемые только у одного мерчанта или в одной сети) могут оставаться освобождёнными от них при соблюдении лимитов FinCEN. Обратите внимание, что перепродажа продукта закрытого контура на вторичном рынке сама по себе не превращает его в регулируемый продукт открытого контура.

Если программа пополняется стейблкоинами, эмитенты теперь также подпадают под действие GENIUS Act, который распространяет требования Закона о банковской тайне на «разрешённых эмитентов» наряду с требованиями по резервированию и раскрытию информации.

Что спросить у провайдера виртуальных карт о соответствии требованиям?

Сосредоточьтесь на пяти областях — статус PCI DSS для виртуальных карт, токенизация, мониторинг карточных сетей, поддержка аудита и область применения API:

  • Каков ваш статус PCI DSS? Запросите текущее Заявление о соответствии (AOC) и убедитесь, что оно подтверждено по версии v4.0.1, а не по более старой версии.
  • Где заканчивается ваша область соответствия и начинается моя? Запросите письменную матрицу распределения ответственности — не полагайтесь на устные заверения.
  • Как токенизируются карточные данные и где они хранятся? Уточните используемые стандарты токенов и место хранения данных, особенно если вы выпускаете карты в нескольких странах.
  • Уточните, кто несёт ответственность, если ваша программа переходит в категорию повышенного контроля, и предоставляют ли они отчётность о мошенничестве/спорных транзакциях в реальном времени для самостоятельного мониторинга.
  • Какую поддержку по аудиту и отчётности вы предоставляете? Запросите примеры логов, SLA по уведомлению об утечках и убедитесь, что в документации API чётко отмечены поля, подпадающие под область применения PCI.

Соответствие требованиям не должно быть игрой в угадайку. Провайдер, который идёт в ногу со всеми изменениями в регулировании виртуальных карт в 2026 году, включая PCI DSS, VAMP, MiCA и изменения FinCEN, — это тот, кому можно доверить свои расходы. Свяжитесь с отделом продаж, чтобы узнать, как Finup остаётся впереди этих изменений.

Ресурсы

  1. PCI Security Standards Council. Document Library
  2. PCI Security Standards Council. Just Published: PCI DSS v4.0.1
  3. Deloitte. The New EU AML Package
  4. eucrim. New Anti-Money Laundering Directive (AMLD 6)
  5. EUR-Lex. Authority for Anti-Money Laundering and Countering the Financing of Terrorism
  6. European Securities and Markets Authority. Markets in Crypto-Assets Regulation (MiCA)
  7. IRS. Money services business (MSB) information center
  8. Financial Crimes Enforcement Network. Money Services Business (MSB) Registration
  9. Congress.gov. S.1582 - GENIUS Act
  10. The White House. Fact Sheet: President Donald J. Trump Signs GENIUS Act into Law
  11. Wilson Sonsini Goodrich & Rosati. “Anti-Money Laundering Obligations for Virtual Currency Companies”
Link Copied !