Показати всі
Бізнес-інсайти

Комплаєнс віртуальних карток у 2026 році: AML, PCI DSS та що тепер вимагають регулятори ЄС/США

15.07.2026
07
хв. читати
Комплаєнс віртуальних карток у 2026 році: AML, PCI DSS та що тепер вимагають регулятори ЄС/США

Чому комплаєнс віртуальних карток у 2026 році такий заплутаний

Комплаєнс віртуальних карток у 2026 році викликає стільки питань через:

  • Численні органи регулювання, що частково дублюють один одного (платіжні бренди, PCI SSC, емітенти, процесори та регулятори) — кожен зі своїми правилами щодо охоплення та власними рекомендаціями.
  • Стрімкі продуктові інновації (одноразові й багаторазові картки, токенізація, embedded issuing), які випереджають стандартизацію.
  • Операційні відмінності (API, інтеграції, географія/BIN, звітність), через які практики аудиторів і мерчантів не збігаються.
  • Світ завершив перехід на PCI DSS 4.0.1, і віртуальні картки тут не виняток.

Що діє у 2026 році

  • PCI DSS v4.0.1 став чинним стандартом після 31 березня 2025 року.
  • Перехідний період Markets in Crypto-Assets Regulation (MiCA) для постачальників криптоактивів (CASP) завершився по всьому ЄС 1 липня 2026 року: будь-який CASP, який досі працює за старими національними ліцензіями, тепер повинен отримати повну авторизацію MiCA або припинити обслуговувати клієнтів у ЄС.
  • Регламент ЄС про протидію відмиванню коштів (AMLR) набув чинності ще у липні 2024 року, але прямо застосовуватися почне лише з 10 липня 2027 року. Перехід до нових вимог уже триває — через підготовчі норми, узгодження наглядових органів та імплементаційне планування.
  • У США ситуація залишається фрагментованою: діють паралельні федеральні, штатні та галузеві правила, а не єдина рамкова система.

Загалом глобальний тренд рухається від клаптикових національних режимів до гармонізованого ліцензування й уніфікованих стандартів безпеки, але терміни відрізняються залежно від регіону й сектора.

Вимоги PCI DSS v4.0.1

PCI Security Standards Council зазначає, що PCI DSS v4.0.1 — це обмежене оновлення версії 4.0 без нових чи вилучених вимог, лише виправлення, уточнення й оновлені пояснення.

Вимоги PCI DSS 4.0.1 стали єдиною чинною версією після того, як PCI DSS v4.0 було офіційно виведено з обігу 31 грудня 2024 року, а нові "відтерміновані" (future-dated) вимоги з v4.0 стали обов'язковими 31 березня 2025 року. У бібліотеці документів PCI SSC також представлені PCI DSS v4.0.1 та "Summary of Changes from PCI DSS v4.0 to v4.0.1", що підтверджує: v4.0.1 — це чинний стандарт, а не окремий набір додаткових зобов'язань. Огляд KPMG також підтверджує, що v4.0.1 не додає нових вимог. [1]

Що змінилося у v4.0.1

PCI DSS v4.0.1 не додав нових вимог — оновлення переважно виправило форматні й друкарські помилки, уточнило суть окремих вимог і пояснень, а також оновило супровідні формулювання. PCI SSC прямо зазначає, що це обмежене оновлення не містить ані додаткових, ані вилучених вимог.

Кілька конкретних змін в офіційному оновленні включають уточнення для:

  • Вимоги 3 — зокрема примітки щодо застосування для емітентів і підтримки послуг з емісії.
  • Вимоги 6 — зокрема формулювання щодо патчингу критичних вразливостей і контролю скриптів на платіжних сторінках. 
  • Вимоги 8 — зокрема як стійка до фішингу автентифікація впливає на застосовність MFA.
  • Вимоги 12 — зокрема чіткіші формулювання щодо відносин із клієнтами та сторонніми постачальниками послуг.

Оновлення також торкнулося додатків: зразки шаблонів customized approach прибрали зі стандарту й перенесли на сайт PCI SSC. По суті, v4.0.1 — це роз'яснювальний реліз, а не новий режим комплаєнсу. [2]

Що це означає для карткових платформ

PCI DSS v4.0.1 тепер є операційним базовим рівнем, тому карткові платформи мають узгоджувати свої програми безпеки й комплаєнсу з уточненими вимогами, а не чекати на нову версію.

Для платформ, що потрапляють у сферу дії PCI DSS — включно з платформами віртуальних карток, токенізації та embedded issuing — головна зміна не в нових вимогах, а в потребі довести, що застосовні контролі впроваджені й реально працюють. Аудитори будуть очікувати доказів того, що "відтерміновані" вимоги, які стали обов'язковими 31 березня 2025 року, впроваджені та функціонують.

На практиці це означає посилений акцент на контролі скриптів платіжних сторінок, автентифікації, управлінні вразливостями, цільовому аналізі ризиків (targeted risk analysis) та управлінні сторонніми постачальниками послуг. Для карткових платформ v4.0.1 знижує простір для інтерпретацій, але не зменшує ані обсяг, ані навантаження комплаєнсу.

Пакет AML ЄС: AMLR, AMLD6, AMLA

Пакет протидії відмиванню коштів (AML) ЄС — це набір законів Європейського Союзу, ухвалених у 2024 році, покликаних посилити й гармонізувати правила протидії відмиванню коштів (AML) і фінансуванню тероризму (CTF) у всіх державах-членах ЄС. Замість того, щоб кожна країна застосовувала суттєво різні правила, пакет створює більш узгоджену систему.

AMLR: застосовується з липня 2027 року

Регламент ЄС про протидію відмиванню коштів (AMLR) — це регламент прямої дії в межах пакета AML ЄС, і застосовується він з 10 липня 2027 року. Він є частиною ширшого реформаторського пакета 2024 року, який також створив AMLA й замінив старий клаптиковий підхід на основі директив єдиним зведенням правил. [3]

Для провайдера AMLR має значення, якщо він є "зобов'язаною особою" (obliged entity) за рамками ЄС — особливо у фінансовому секторі та суміжних видах діяльності з підвищеним ризиком. Зведення правил розширює охоплення на більше секторів і посилює вимоги до due diligence щодо клієнтів, перевірки кінцевих бенефіціарів та моніторингу, тож фірмам варто розглядати 2026 рік як рік підготовки, а не як стартову точку.

AMLD6 і комплаєнс віртуальних карток

AMLD6 — це Шоста директива ЄС про протидію відмиванню коштів, і, на відміну від AMLR, це директива, яку держави-члени мають імплементувати в національне законодавство. У пакеті AML 2024 року AMLD6 — це та частина, що посилює роботу національних наглядових органів, підрозділів фінансової розвідки (FIU) та транскордонної наглядової співпраці, а не напряму встановлює єдиний загальноєвропейський звід правил. Директива набула чинності у 2024 році і має бути імплементована державами-членами не пізніше 10 липня 2027 року. [4]

AMLA: працює з 2025 року

AMLA ЄС — це Управління з протидії відмиванню коштів: нова агенція ЄС у Франкфурті, яка координує нагляд у сфері AML/CFT, здійснює прямий нагляд за деякими міжнародними фінансовими установами з високим ризиком, підтримує національні наглядові органи та FIU, а також допомагає визначати технічні стандарти й настанови. [5] AMLA розпочала роботу влітку 2025 року, але повні повноваження прямого нагляду впроваджуватиме поетапно — очікується, що повний операційний нагляд запрацює у 2028 році.

Хто вважається зобов'язаною особою

За рамками AML ЄС "зобов'язана особа" — це фізична чи юридична особа, яка має здійснювати контролі AML/CFT: due diligence щодо клієнтів, постійний моніторинг та звітування про підозрілу активність. На практиці сюди входять банки, платіжні установи, установи електронних грошей, постачальники послуг з криптоактивами (CASP) та багато інших фінансових і нефінансових підприємств, охоплених правилами AML.

Для карткових і платіжних платформ це означає, що емітенти віртуальних карток, embedded-finance провайдери та програми карток, забезпечені криптовалютою, можуть підпадати під дію цих правил, якщо здійснюють регульовану фінансову діяльність. Якщо провайдер є зобов'язаною особою, він повинен уміти ідентифікувати клієнтів, за потреби перевіряти кінцевих бенефіціарів, моніторити транзакції та вести облік відповідно до чинних правил AML ЄС. Саме тому юридична класифікація провайдера має не менше значення, ніж сам продукт.

MiCA і криптовалютні картки (включно з віртуальними картками)

MiCA (Markets in Crypto-Assets Regulation) встановлює єдиний звід правил ЄС для криптоактивів, які ще не охоплені іншим фінансовим законодавством ЄС, і створює гармонізований режим авторизації та нагляду для послуг із криптою.

За MiCA ключове питання щодо того, чи потрапляє карткова схема під дію регламенту, — це чи здійснює провайдер (або карткова операція) одну чи кілька послуг із криптоактивами, які регулюються як діяльність CASP (наприклад, зберігання/адміністрування криптоактивів, обмін криптоактивів, виконання ордерів, розміщення криптоактивів від імені інших тощо). Якщо так, MiCA вимагає, щоб такі регульовані постачальники послуг працювали в межах режиму авторизації/нагляду CASP за MiCA, а не покладалися лише на національне ліцензування. [6]

Що потрібно для авторизації CASP

У MiCA авторизація CASP (Crypto-Asset Service Provider) пов'язана з тим, що провайдер повинен мати відповідні механізми управління/контролю ризиків і дотримуватися пруденційних вимог та вимог щодо ведення бізнесу; авторизацію надає компетентний національний орган згідно з розділом MiCA про CASP.

На практиці авторизація зазвичай вимагає продемонструвати наявність належних внутрішніх контролів, процедур і механізмів, включно з комплаєнс-механізмами, пов'язаними з вимогами AML/CFT для віртуальних карток, ще до початку роботи як CASP.

Travel Rule (Регламент 2023/1113)

"Travel rule" походить із Регламенту ЄС про перекази коштів (EU) 2023/1113, який переглядає й розширює зобов'язання щодо переказів так, щоб відповідна інформація про платника й отримувача збиралася й була доступною для забезпечення простежуваності. У контексті комплаєнсу AML/CFT travel rule застосовується до переказів криптоактивів, які здійснює CASP, і покликаний забезпечити можливість органам влади відтворювати ланцюжок транзакцій для потреб правозастосування й розслідувань.

Регулювання у США: FinCEN, MSB та стейблкоїни

У США платіжний і криптобізнес найчастіше стикається насамперед із правилами Bank Secrecy Act від FinCEN. FinCEN розглядає багато платіжних і трансферних компаній як money services businesses (MSB) — це означає, що їм може знадобитися реєстрація, підтримка програми AML і подання звітів про певну активність. [7]

Правило FinCEN щодо prepaid access

Правила FinCEN щодо prepaid access поширюють вимоги AML на певні передплачені продукти. Провайдери й продавці продуктів "prepaid access" несуть додаткові зобов'язання з комплаєнсу — але закриті (closed-loop) предоплачені продукти (які можна використати лише в одного мерчанта чи в одній мережі) можуть залишатися звільненими від цих вимог, якщо вони відповідають обмеженням FinCEN.

Важливий нюанс: якщо закритий продукт перепродається чи обмінюється на вторинному ринку, це саме по собі не змінює його статус закритого продукту. Активність перепродажу сама по собі не перетворює його на регульований відкритий (open-loop) продукт.

Реєстрація MSB та ліцензування на рівні штатів

FinCEN зазначає, що, за окремими винятками, кожен money services business (MSB) повинен зареєструватися в Казначействі, подавши форму FinCEN Form 107 протягом 180 днів після заснування бізнесу, а потім поновлювати цю реєстрацію кожні два роки. FinCEN також вимагає зберігати підтвердну документацію щодо реєстрації на території США протягом п'яти років. [8] Залежно від типу діяльності це може охоплювати грошові перекази, обмін валют, переведення чеків в готівку та деякі послуги prepaid access.

Втім, федеральна реєстрація — лише один рівень. Багатьом MSB також потрібні ліцензії money transmitter на рівні штатів, тож бізнесам часто доводиться одночасно дотримуватися і федеральних правил, і правил штатів.

Стейблкоїни: GENIUS Act

GENIUS Act — це федеральна рамкова система Конгресу для платіжних стейблкоїнів. Згідно з офіційним резюме Конгресу, закон створює регульовану систему для "дозволених емітентів" (permitted issuers), вимагає резервів у співвідношенні один до одного, забезпечених готівкою чи подібними ліквідними активами, вимагає щомісячного розкриття інформації про резерви й підпорядковує емітентів вимогам Bank Secrecy Act. [9]

Білий дім також описав цей закон як перший у своєму роді федеральний режим регулювання стейблкоїнів — із вимогами щодо резервів і розкриття інформації та обмеженнями на маркетинг, покликаними запобігти оманливим заявам. Це робить стейблкоїни значно чіткіше врегульованими на федеральному рівні, ніж раніше. [10]

Що запитати у провайдера віртуальних карток

Враховуючи, наскільки фрагментовані правила у 2026 році, правильні запитання залежать від того, де саме розташований провайдер — у сфері PCI DSS, AML/MiCA ЄС чи правил FinCEN США. Ось що варто запитати в кожній із цих сфер.

PCI DSS та безпека карткових даних

  • Чи є у вас чинний Attestation of Compliance (AOC) за PCI DSS v4.0.1, і чи можете ви ним поділитися?
  • Які саме з "відтермінованих" вимог (обов'язкових з 31 березня 2025 року) стосуються вашої платформи, і чи можете ви показати, що вони впроваджені та реально працюють, а не лише задокументовані?
  • Де закінчується ваша зона відповідальності за PCI і починається моя? Попросіть письмовий розподіл відповідальності — особливо щодо контролю скриптів платіжних сторінок, автентифікації й токенізації.

Статус AML у ЄС (якщо ви працюєте в ЄС)

  • Чи класифікуєтеся ви як "зобов'язана особа" за вимогами AML ЄС до віртуальних карток, і якщо так, як ви організовуєте due diligence щодо клієнтів, перевірку кінцевих бенефіціарів і моніторинг?
  • Чи готуєтеся ви до вимог AMLR (застосовується з липня 2027 року) та AMLD6?
  • Чи підпадає ваша програма (або, ймовірно, підпадатиме) під прямий нагляд AMLA, і що це означає для термінів онбордингу?

Криптовалютні картки

  • Чи торкається ваша карткова програма діяльності, регульованої як CASP за MiCA?
  • Якщо так, чи маєте ви авторизацію CASP від національного компетентного органу, і чи можете ви показати внутрішні контролі, пов'язані з AML/CFT?
  • Як щодо переказів криптоактивів — як ви дотримуєтеся Travel Rule ЄС (Регламент 2023/1113)? Як збирається й простежується інформація про платника й отримувача?

Регуляторний статус у США

  • Чи зареєстровані ви у FinCEN як money services business (форма 107), і чи актуальна ця реєстрація?
  • Чи маєте ви також ліцензії money transmitter на рівні штатів, необхідні для вашої діяльності, чи лише федеральну реєстрацію?
  • Якщо ваш продукт передбачає prepaid access — це закритий (closed-loop) чи відкритий (open-loop) продукт, і якщо закритий, як ви гарантуєте, що перепродаж на вторинному ринку не переведе його у категорію відкритого?
  • Якщо йдеться про стейблкоїни, чи працюєте ви з емітентом, дозволеним за GENIUS Act, і чи можете ви підтвердити резервне забезпечення й практику щомісячного розкриття інформації?

Моніторинг шахрайства на рівні мережі

  • Хто несе відповідальність, якщо моя програма потрапляє у рівень "Above Standard" чи "Excessive"?

FAQ

Чи є дедлайн PCI DSS у 2026 році?

Ні. PCI DSS v4.0.1 став чинним стандартом ще після березня 2025 року, тож 2026-й — не рік нового дедлайну. Це просто перший повний рік, коли аудитори перевіряють дотримання контролів, які стали обов'язковими 31 березня 2025 року.

Коли AMLR ЄС фактично почне діяти?

Регламент ЄС про протидію відмиванню коштів (AMLR) стане прямо застосовним у всіх державах-членах ЄС 10 липня 2027 року. Оскільки це уніфіковане зведення правил вводить суттєво жорсткіші вимоги комплаєнсу, від відповідних фірм і зобов'язаних осіб очікується, що вони використають 2026 рік як основний період переходу й впровадження, щоб повністю підготуватися.

Що таке AMLA, і чи наглядає вона за моїм провайдером?

AMLA ЄС — це Управління з протидії відмиванню коштів. Чи наглядає вона за вашим провайдером, залежить від того, чим саме є провайдер і де він працює. AMLA здійснюватиме прямий нагляд лише за обраними зобов'язаними особами з високим ризиком у фінансовому секторі; також вона виконує непряму/координаційну роль щодо інших фінансових і нефінансових суб'єктів, але більшість компаній усе одно контролюватимуться національним компетентним органом, а не AMLA.

Якщо ваш провайдер — міжнародна фінансова установа з високим ризиком, AMLA може здійснювати прямий нагляд за нею.

Якщо це локальний провайдер або провайдер із нижчим рівнем ризику, нагляд, як правило, залишиться за національним наглядовим органом AML/CFT, тоді як AMLA формуватиме загальноєвропейську координацію.

Чи завершився перехідний період MiCA?

Так, перехідне вікно для постачальників послуг із криптоактивами (CASP) за регламентом MiCA (Markets in Crypto-Assets) офіційно завершилося 1 липня 2026 року.

Чи підпадають криптовалютні картки під Travel Rule?

Коли віртуальна картка поповнюється криптовалютою, сам процес початкового поповнення підпадає під крипто регулювання щодо комплаєнсу карток (зокрема під Travel Rule), якщо він кваліфікується як регульований переказ цифрового активу. Однак після того, як криптовалюту вже зараховано на картку, фактичні покупки за карткою регулюються стандартними правилами платіжної карткової індустрії. [11]

Які правила AML застосовуються до віртуальних карток у США?

У США провайдери віртуальних карток зазвичай підпадають під дію рамки Bank Secrecy Act від FinCEN. FinCEN розглядає багато платіжних і трансферних компаній як money services businesses (MSB) — це означає, що їм може знадобитися зареєструватися в Казначействі, підтримувати програму AML і подавати звіти про певну активність.

Якщо провайдер пропонує продукти prepaid access, правило FinCEN щодо prepaid access може додати додаткові зобов'язання з комплаєнсу — хоча закриті (closed-loop) продукти (які можна використати лише в одного мерчанта чи в одній мережі) можуть залишатися звільненими, якщо відповідають обмеженням FinCEN. Зауважте: перепродаж закритого продукту на вторинному ринку сам по собі не перетворює його на регульований відкритий продукт.

Якщо карткова програма забезпечена стейблкоїнами, її емітенти також підпадають під дію GENIUS Act, який підпорядковує "дозволених емітентів" вимогам Bank Secrecy Act, а також правилам щодо резервів і розкриття інформації.

Що варто запитати у провайдера віртуальних карток про комплаєнс?

Зосередьтеся на п'яти сферах — статус PCI DSS для віртуальних карток, токенізація, моніторинг карткових мереж, підтримка аудиту та обсяг API:

  • Який ваш статус PCI DSS? Попросіть чинний Attestation of Compliance (AOC) і переконайтеся, що він підтверджений саме за v4.0.1, а не за старішою версією.
  • Де закінчується ваша зона відповідальності за комплаєнс і починається моя? Попросіть письмову матрицю відповідальності — не покладайтеся на усні запевнення.
  • Як токенізуються карткові дані й де вони зберігаються? Запитайте про використовувані стандарти токенів і про резидентність даних — особливо якщо ви випускаєте картки в кількох країнах.
  • Запитайте, хто відповідає, якщо ваша програма потрапляє у рівень підвищеного контролю, і чи отримуєте ви звітність про шахрайство й диспути в реальному часі, щоб самостійно це моніторити.
  • Яку підтримку з аудиту й звітності ви надаєте? Попросіть зразки логів, SLA щодо повідомлення про витоки даних та уточніть, чи ваша документація API чітко позначає, які поля входять у зону дії PCI.

Комплаєнс не повинен бути грою навмання. Провайдер, який встигає за всіма змінами у регулюванні віртуальних карток у 2026 році — PCI DSS, VAMP, MiCA і FinCEN, — це той, кому можна довірити свої витрати. Зв'яжіться з відділом продажів, щоб дізнатися, як Finup залишається на крок попереду.

Ресурси

  1. PCI Security Standards Council. Document Library
  2. PCI Security Standards Council. Just Published: PCI DSS v4.0.1
  3. Deloitte. The New EU AML Package
  4. eucrim. New Anti-Money Laundering Directive (AMLD 6)
  5. EUR-Lex. Authority for Anti-Money Laundering and Countering the Financing of Terrorism
  6. European Securities and Markets Authority. Markets in Crypto-Assets Regulation (MiCA)
  7. IRS. Money services business (MSB) information center
  8. Financial Crimes Enforcement Network. Money Services Business (MSB) Registration
  9. Congress.gov. S.1582 - GENIUS Act
  10. The White House. Fact Sheet: President Donald J. Trump Signs GENIUS Act into Law
  11. Wilson Sonsini Goodrich & Rosati. “Anti-Money Laundering Obligations for Virtual Currency Companies”
Link Copied !