Випустити картку
%20cover%20(1).avif)
Комплаєнс віртуальних карток у 2026 році викликає стільки питань через:
Загалом глобальний тренд рухається від клаптикових національних режимів до гармонізованого ліцензування й уніфікованих стандартів безпеки, але терміни відрізняються залежно від регіону й сектора.
%20UA.png)
PCI Security Standards Council зазначає, що PCI DSS v4.0.1 — це обмежене оновлення версії 4.0 без нових чи вилучених вимог, лише виправлення, уточнення й оновлені пояснення.
Вимоги PCI DSS 4.0.1 стали єдиною чинною версією після того, як PCI DSS v4.0 було офіційно виведено з обігу 31 грудня 2024 року, а нові "відтерміновані" (future-dated) вимоги з v4.0 стали обов'язковими 31 березня 2025 року. У бібліотеці документів PCI SSC також представлені PCI DSS v4.0.1 та "Summary of Changes from PCI DSS v4.0 to v4.0.1", що підтверджує: v4.0.1 — це чинний стандарт, а не окремий набір додаткових зобов'язань. Огляд KPMG також підтверджує, що v4.0.1 не додає нових вимог. [1]
PCI DSS v4.0.1 не додав нових вимог — оновлення переважно виправило форматні й друкарські помилки, уточнило суть окремих вимог і пояснень, а також оновило супровідні формулювання. PCI SSC прямо зазначає, що це обмежене оновлення не містить ані додаткових, ані вилучених вимог.
Кілька конкретних змін в офіційному оновленні включають уточнення для:
Оновлення також торкнулося додатків: зразки шаблонів customized approach прибрали зі стандарту й перенесли на сайт PCI SSC. По суті, v4.0.1 — це роз'яснювальний реліз, а не новий режим комплаєнсу. [2]
PCI DSS v4.0.1 тепер є операційним базовим рівнем, тому карткові платформи мають узгоджувати свої програми безпеки й комплаєнсу з уточненими вимогами, а не чекати на нову версію.
Для платформ, що потрапляють у сферу дії PCI DSS — включно з платформами віртуальних карток, токенізації та embedded issuing — головна зміна не в нових вимогах, а в потребі довести, що застосовні контролі впроваджені й реально працюють. Аудитори будуть очікувати доказів того, що "відтерміновані" вимоги, які стали обов'язковими 31 березня 2025 року, впроваджені та функціонують.
На практиці це означає посилений акцент на контролі скриптів платіжних сторінок, автентифікації, управлінні вразливостями, цільовому аналізі ризиків (targeted risk analysis) та управлінні сторонніми постачальниками послуг. Для карткових платформ v4.0.1 знижує простір для інтерпретацій, але не зменшує ані обсяг, ані навантаження комплаєнсу.
Пакет протидії відмиванню коштів (AML) ЄС — це набір законів Європейського Союзу, ухвалених у 2024 році, покликаних посилити й гармонізувати правила протидії відмиванню коштів (AML) і фінансуванню тероризму (CTF) у всіх державах-членах ЄС. Замість того, щоб кожна країна застосовувала суттєво різні правила, пакет створює більш узгоджену систему.
Регламент ЄС про протидію відмиванню коштів (AMLR) — це регламент прямої дії в межах пакета AML ЄС, і застосовується він з 10 липня 2027 року. Він є частиною ширшого реформаторського пакета 2024 року, який також створив AMLA й замінив старий клаптиковий підхід на основі директив єдиним зведенням правил. [3]
Для провайдера AMLR має значення, якщо він є "зобов'язаною особою" (obliged entity) за рамками ЄС — особливо у фінансовому секторі та суміжних видах діяльності з підвищеним ризиком. Зведення правил розширює охоплення на більше секторів і посилює вимоги до due diligence щодо клієнтів, перевірки кінцевих бенефіціарів та моніторингу, тож фірмам варто розглядати 2026 рік як рік підготовки, а не як стартову точку.
AMLD6 — це Шоста директива ЄС про протидію відмиванню коштів, і, на відміну від AMLR, це директива, яку держави-члени мають імплементувати в національне законодавство. У пакеті AML 2024 року AMLD6 — це та частина, що посилює роботу національних наглядових органів, підрозділів фінансової розвідки (FIU) та транскордонної наглядової співпраці, а не напряму встановлює єдиний загальноєвропейський звід правил. Директива набула чинності у 2024 році і має бути імплементована державами-членами не пізніше 10 липня 2027 року. [4]
AMLA ЄС — це Управління з протидії відмиванню коштів: нова агенція ЄС у Франкфурті, яка координує нагляд у сфері AML/CFT, здійснює прямий нагляд за деякими міжнародними фінансовими установами з високим ризиком, підтримує національні наглядові органи та FIU, а також допомагає визначати технічні стандарти й настанови. [5] AMLA розпочала роботу влітку 2025 року, але повні повноваження прямого нагляду впроваджуватиме поетапно — очікується, що повний операційний нагляд запрацює у 2028 році.
За рамками AML ЄС "зобов'язана особа" — це фізична чи юридична особа, яка має здійснювати контролі AML/CFT: due diligence щодо клієнтів, постійний моніторинг та звітування про підозрілу активність. На практиці сюди входять банки, платіжні установи, установи електронних грошей, постачальники послуг з криптоактивами (CASP) та багато інших фінансових і нефінансових підприємств, охоплених правилами AML.
Для карткових і платіжних платформ це означає, що емітенти віртуальних карток, embedded-finance провайдери та програми карток, забезпечені криптовалютою, можуть підпадати під дію цих правил, якщо здійснюють регульовану фінансову діяльність. Якщо провайдер є зобов'язаною особою, він повинен уміти ідентифікувати клієнтів, за потреби перевіряти кінцевих бенефіціарів, моніторити транзакції та вести облік відповідно до чинних правил AML ЄС. Саме тому юридична класифікація провайдера має не менше значення, ніж сам продукт.
MiCA (Markets in Crypto-Assets Regulation) встановлює єдиний звід правил ЄС для криптоактивів, які ще не охоплені іншим фінансовим законодавством ЄС, і створює гармонізований режим авторизації та нагляду для послуг із криптою.
За MiCA ключове питання щодо того, чи потрапляє карткова схема під дію регламенту, — це чи здійснює провайдер (або карткова операція) одну чи кілька послуг із криптоактивами, які регулюються як діяльність CASP (наприклад, зберігання/адміністрування криптоактивів, обмін криптоактивів, виконання ордерів, розміщення криптоактивів від імені інших тощо). Якщо так, MiCA вимагає, щоб такі регульовані постачальники послуг працювали в межах режиму авторизації/нагляду CASP за MiCA, а не покладалися лише на національне ліцензування. [6]
У MiCA авторизація CASP (Crypto-Asset Service Provider) пов'язана з тим, що провайдер повинен мати відповідні механізми управління/контролю ризиків і дотримуватися пруденційних вимог та вимог щодо ведення бізнесу; авторизацію надає компетентний національний орган згідно з розділом MiCA про CASP.
На практиці авторизація зазвичай вимагає продемонструвати наявність належних внутрішніх контролів, процедур і механізмів, включно з комплаєнс-механізмами, пов'язаними з вимогами AML/CFT для віртуальних карток, ще до початку роботи як CASP.
"Travel rule" походить із Регламенту ЄС про перекази коштів (EU) 2023/1113, який переглядає й розширює зобов'язання щодо переказів так, щоб відповідна інформація про платника й отримувача збиралася й була доступною для забезпечення простежуваності. У контексті комплаєнсу AML/CFT travel rule застосовується до переказів криптоактивів, які здійснює CASP, і покликаний забезпечити можливість органам влади відтворювати ланцюжок транзакцій для потреб правозастосування й розслідувань.
У США платіжний і криптобізнес найчастіше стикається насамперед із правилами Bank Secrecy Act від FinCEN. FinCEN розглядає багато платіжних і трансферних компаній як money services businesses (MSB) — це означає, що їм може знадобитися реєстрація, підтримка програми AML і подання звітів про певну активність. [7]
Правила FinCEN щодо prepaid access поширюють вимоги AML на певні передплачені продукти. Провайдери й продавці продуктів "prepaid access" несуть додаткові зобов'язання з комплаєнсу — але закриті (closed-loop) предоплачені продукти (які можна використати лише в одного мерчанта чи в одній мережі) можуть залишатися звільненими від цих вимог, якщо вони відповідають обмеженням FinCEN.
Важливий нюанс: якщо закритий продукт перепродається чи обмінюється на вторинному ринку, це саме по собі не змінює його статус закритого продукту. Активність перепродажу сама по собі не перетворює його на регульований відкритий (open-loop) продукт.
FinCEN зазначає, що, за окремими винятками, кожен money services business (MSB) повинен зареєструватися в Казначействі, подавши форму FinCEN Form 107 протягом 180 днів після заснування бізнесу, а потім поновлювати цю реєстрацію кожні два роки. FinCEN також вимагає зберігати підтвердну документацію щодо реєстрації на території США протягом п'яти років. [8] Залежно від типу діяльності це може охоплювати грошові перекази, обмін валют, переведення чеків в готівку та деякі послуги prepaid access.
Втім, федеральна реєстрація — лише один рівень. Багатьом MSB також потрібні ліцензії money transmitter на рівні штатів, тож бізнесам часто доводиться одночасно дотримуватися і федеральних правил, і правил штатів.
GENIUS Act — це федеральна рамкова система Конгресу для платіжних стейблкоїнів. Згідно з офіційним резюме Конгресу, закон створює регульовану систему для "дозволених емітентів" (permitted issuers), вимагає резервів у співвідношенні один до одного, забезпечених готівкою чи подібними ліквідними активами, вимагає щомісячного розкриття інформації про резерви й підпорядковує емітентів вимогам Bank Secrecy Act. [9]
Білий дім також описав цей закон як перший у своєму роді федеральний режим регулювання стейблкоїнів — із вимогами щодо резервів і розкриття інформації та обмеженнями на маркетинг, покликаними запобігти оманливим заявам. Це робить стейблкоїни значно чіткіше врегульованими на федеральному рівні, ніж раніше. [10]
%20UA.png)
Враховуючи, наскільки фрагментовані правила у 2026 році, правильні запитання залежать від того, де саме розташований провайдер — у сфері PCI DSS, AML/MiCA ЄС чи правил FinCEN США. Ось що варто запитати в кожній із цих сфер.
Ні. PCI DSS v4.0.1 став чинним стандартом ще після березня 2025 року, тож 2026-й — не рік нового дедлайну. Це просто перший повний рік, коли аудитори перевіряють дотримання контролів, які стали обов'язковими 31 березня 2025 року.
Регламент ЄС про протидію відмиванню коштів (AMLR) стане прямо застосовним у всіх державах-членах ЄС 10 липня 2027 року. Оскільки це уніфіковане зведення правил вводить суттєво жорсткіші вимоги комплаєнсу, від відповідних фірм і зобов'язаних осіб очікується, що вони використають 2026 рік як основний період переходу й впровадження, щоб повністю підготуватися.
AMLA ЄС — це Управління з протидії відмиванню коштів. Чи наглядає вона за вашим провайдером, залежить від того, чим саме є провайдер і де він працює. AMLA здійснюватиме прямий нагляд лише за обраними зобов'язаними особами з високим ризиком у фінансовому секторі; також вона виконує непряму/координаційну роль щодо інших фінансових і нефінансових суб'єктів, але більшість компаній усе одно контролюватимуться національним компетентним органом, а не AMLA.
Якщо ваш провайдер — міжнародна фінансова установа з високим ризиком, AMLA може здійснювати прямий нагляд за нею.
Якщо це локальний провайдер або провайдер із нижчим рівнем ризику, нагляд, як правило, залишиться за національним наглядовим органом AML/CFT, тоді як AMLA формуватиме загальноєвропейську координацію.
Так, перехідне вікно для постачальників послуг із криптоактивами (CASP) за регламентом MiCA (Markets in Crypto-Assets) офіційно завершилося 1 липня 2026 року.
Коли віртуальна картка поповнюється криптовалютою, сам процес початкового поповнення підпадає під крипто регулювання щодо комплаєнсу карток (зокрема під Travel Rule), якщо він кваліфікується як регульований переказ цифрового активу. Однак після того, як криптовалюту вже зараховано на картку, фактичні покупки за карткою регулюються стандартними правилами платіжної карткової індустрії. [11]
У США провайдери віртуальних карток зазвичай підпадають під дію рамки Bank Secrecy Act від FinCEN. FinCEN розглядає багато платіжних і трансферних компаній як money services businesses (MSB) — це означає, що їм може знадобитися зареєструватися в Казначействі, підтримувати програму AML і подавати звіти про певну активність.
Якщо провайдер пропонує продукти prepaid access, правило FinCEN щодо prepaid access може додати додаткові зобов'язання з комплаєнсу — хоча закриті (closed-loop) продукти (які можна використати лише в одного мерчанта чи в одній мережі) можуть залишатися звільненими, якщо відповідають обмеженням FinCEN. Зауважте: перепродаж закритого продукту на вторинному ринку сам по собі не перетворює його на регульований відкритий продукт.
Якщо карткова програма забезпечена стейблкоїнами, її емітенти також підпадають під дію GENIUS Act, який підпорядковує "дозволених емітентів" вимогам Bank Secrecy Act, а також правилам щодо резервів і розкриття інформації.
Зосередьтеся на п'яти сферах — статус PCI DSS для віртуальних карток, токенізація, моніторинг карткових мереж, підтримка аудиту та обсяг API:
Комплаєнс не повинен бути грою навмання. Провайдер, який встигає за всіма змінами у регулюванні віртуальних карток у 2026 році — PCI DSS, VAMP, MiCA і FinCEN, — це той, кому можна довірити свої витрати. Зв'яжіться з відділом продажів, щоб дізнатися, як Finup залишається на крок попереду.

Обирайте віртуальні картки під будь-які потреби та спрощуйте свої фінансові операції.