KYC (Know Your Customer) - не специфика крипты. Это нормальное требование к финансовому посреднику в большинстве юрисдикций. Но многих оно удивляет: почему биржа спрашивает мой паспорт, я же просто хочу купить ETH.
Что обычно проверяют
Identity verification. Паспорт или права. Селфи рядом с документом или liveness-чек (моргнуть, повернуть голову). Обычно автоматическая проверка через Sumsub, Onfido или Jumio - один-два часа на одобрение.
Address verification. Иногда - утилитный счёт, банковская выписка, договор аренды. Подтверждает страну проживания. Требуется для крупных лимитов или регулируемых юрисдикций (ЕС, Великобритания).
Source of funds. Реже, при крупных операциях. Документ, показывающий, откуда деньги: зарплата, продажа недвижимости, инвестиционная сделка. Это требование AML, не любопытство биржи.
Зачем это нужно
Не для того, чтобы знать, что вы держите 0.3 BTC. Цели регуляторные:
- Предотвратить отмывание денег и финансирование терроризма (AML/CFT).
- Обеспечить, что лицо, открывшее счёт - реальный человек, не подставная компания и не санкционный субъект.
- Возможность по запросу регулятора или суда раскрыть личность держателя кошелька.
Биржи делают это не по доброй воле - без KYC они не получат лицензию работать в регулируемом регионе.
Что с данными после
Сами KYC-данные обычно не хранятся на бирже долго - они в зашифрованном виде у KYC-вендора (Sumsub и аналоги). Биржа имеет к ним доступ по запросу и обязана хранить определённое время по требованию AML-законов (обычно 5-7 лет).
Утечки случаются. Известны случаи компрометации KYC-баз Celsius, FTX, BitMEX. Это значит: паспортные данные и фото клиентов в открытом доступе у злоумышленников. Полностью защититься нельзя, но осторожный выбор биржи (с историей и регуляцией) снижает риск.
Маленькие биржи без KYC
Существуют - но обычно с низкими лимитами на вывод (порядка $1000-3000 в день), и регуляторы постепенно их закрывают. В долгосрочной перспективе серьёзная работа с криптой без хотя бы одной верифицированной биржи становится трудной.