AML a KYC pre krypto firmy — povinnosti CASP a Travel Rule

AML a KYC compliance nie je administratívna nadstavba krypto podnikania — je to licenčný a operatívny základ, bez ktorého žiadny poskytovateľ služieb kryptoaktív (CASP) nedostane povolenie NBS, neudrží vzťahy s bankami a nemôže prevádzkovať svoju činnosť v EÚ. Zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu zaradil poskytovateľov služieb kryptoaktív medzi povinné osoby, čo znamená komplexný systém identifikačných, monitorovacích a oznamovacích povinností. K tomu sa pridáva európska úroveň — najmä Nariadenie (EÚ) 2023/1113 (Travel Rule), ktoré ukladá povinnosť odovzdávať identifikačné údaje odosielateľa a príjemcu pri prevodoch kryptoaktív. Tento sub-hub zhŕňa, ako vyzerá AML/KYC framework pre slovenského CASP — od KYC identifikácie cez monitoring až po oznamovanie neobvyklých obchodných operácií Finančnej spravodajskej jednotke.

CASP ako povinná osoba podľa zákona č. 297/2008 Z. z.

Zákon č. 297/2008 Z. z. definuje povinné osoby — subjekty, ktorých činnosť je vystavená zvýšenému riziku legalizácie príjmov z trestnej činnosti alebo financovania terorizmu. Po implementácii MiCA a zákona č. 248/2024 Z. z. patria medzi povinné osoby aj poskytovatelia služieb kryptoaktív (CASP), emitenti ART a vybraní emitenti EMT.

Povinná osoba má podľa zákona č. 297/2008 Z. z. tieto základné povinnosti:

• Vypracovať program vlastnej činnosti — interná smernica, ktorá definuje postupy identifikácie, hodnotenia rizika, monitoringu, archivácie a oznamovania neobvyklých obchodných operácií.
• Určiť zodpovednú osobu (compliance officer) — fyzickú osobu, ktorá je v rámci spoločnosti zodpovedná za AML compliance a komunikáciu s Finančnou spravodajskou jednotkou.
• Identifikovať klienta a overiť jeho totožnosť — KYC postup pri nadviazaní obchodného vzťahu alebo pri jednorazovej transakcii prevyšujúcej zákonný limit.
• Identifikovať konečného užívateľa výhod (UBO) — pri klientoch — právnických osobách alebo iných právnych usporiadaniach.
• Vykonávať priebežný monitoring — sledovanie transakcií v rámci obchodného vzťahu, hodnotenie ich súladu s rizikovým profilom klienta.
• Hodnotenie rizika — pravidelné posudzovanie rizika praní špinavých peňazí a financovania terorizmu na úrovni jednotlivého klienta aj na úrovni organizácie.
• Oznamovať neobvyklé obchodné operácie (NOO) Finančnej spravodajskej jednotke (FSJ) — STR (Suspicious Transaction Report).
• Archivovať dokumentáciu — KYC dokumenty, záznamy o transakciách a komunikácii s FSJ v zákonnej lehote.

Porušenie povinností zakladá správnu zodpovednosť — pokuty podľa zákona č. 297/2008 Z. z. — a v závažných prípadoch aj trestnoprávnu zodpovednosť (legalizácia výnosov z trestnej činnosti, financovanie terorizmu).

KYC proces — identifikácia klienta

KYC (Know Your Customer) je vstupná brána AML rámca. Identifikácia klienta sa vykonáva pri nadviazaní obchodného vzťahu alebo pri jednorazovej transakcii nad zákonný limit. Pre CASP MiCA stanovuje, že identifikáciu treba vykonať pred poskytnutím akejkoľvek krypto služby. KYC proces má tri úrovne podľa rizika:

Úroveň	Kedy sa aplikuje	Rozsah identifikácie
Simplified Due Diligence (SDD)	Nízkorizikový klient — napríklad regulovaný subjekt EÚ, štátna inštitúcia.	Základná identifikácia, redukovaný rozsah dokumentov.
Customer Due Diligence (CDD)	Štandardný klient s neutrálnym rizikom.	Plná identifikácia, overenie dokumentov, identifikácia UBO, posúdenie účelu obchodného vzťahu.
Enhanced Due Diligence (EDD)	Vysokorizikový klient — politicky exponovaná osoba (PEP), klient z rizikovej jurisdikcie, neobvyklý vzor transakcií.	Rozšírená identifikácia, dokumentácia zdroja príjmu a zdroja majetku, schválenie senior managementom, zvýšená frekvencia monitoringu.

Pri fyzických osobách KYC vyžaduje identifikačný preukaz alebo cestovný pas, doloženie adresy, screening voči sankčným zoznamom (EÚ, OFAC, OSN) a screening voči zoznamom politicky exponovaných osôb. Pri právnických osobách dokumentácia obsahuje výpis z obchodného registra alebo ekvivalentu, zakladajúce dokumenty, identifikáciu štatutárneho orgánu, identifikáciu UBO a štruktúru skupiny.

Identifikácia konečného užívateľa výhod (UBO)

Pri právnických osobách je identifikácia konečného užívateľa výhod kľúčový krok. UBO je fyzická osoba, ktorá skutočne kontroluje alebo z činnosti právnickej osoby poberá prospech. Definícia UBO v zákone č. 297/2008 Z. z. zahŕňa najmä:

• fyzickú osobu s priamym alebo nepriamym podielom nad 25 % na základnom imaní alebo hlasovacích právach,
• fyzickú osobu, ktorá má právo vymenovať alebo odvolať štatutárny orgán,
• fyzickú osobu, ktorá ovláda právnickú osobu inými prostriedkami,
• pri trustoch a fundáciách zakladateľa, správcu, beneficienta a osoby s kontrolnou funkciou.

UBO je nutné zapísať aj v register konečných užívateľov výhod vedenom Ministerstvom spravodlivosti SR — to je v tématike aj koncový užívateľ výhod (RPVS) aktuálne pre RPVS registre. Pre KYC účely musí CASP overiť identifikované UBO voči verejne dostupným zdrojom a doložiť postup hodnotenia v internom spise klienta.

Travel Rule podľa Nariadenia (EÚ) 2023/1113

Nariadenie (EÚ) 2023/1113 (recast Funds Transfer Regulation) rozšírilo režim Travel Rule, ktorý sa pôvodne uplatňoval na bankové prevody, aj na prevody kryptoaktív. Cieľom je zabezpečiť, aby pri každom prevode kryptoaktíva medzi peňaženkami spravovanými CASP boli dostupné identifikačné údaje odosielateľa a príjemcu — tak ako pri klasickom bankovom prevode.

Travel Rule ukladá CASP tieto povinnosti:

1. Zber identifikačných údajov o odosielateľovi — meno, adresa, číslo identifikačného dokumentu, číslo peňaženky (origin address).
2. Zber identifikačných údajov o príjemcovi — meno, číslo peňaženky (destination address).
3. Prenos údajov — pri prevode medzi dvoma CASP musia byť údaje odovzdané prijímajúcemu CASP. V praxi sa využívajú špecializované protokoly (Sumsub, Notabene, TRP a podobné).
4. Overenie údajov — prijímajúci CASP overuje, či sú údaje úplné a konzistentné. Pri chýbajúcich údajoch musí prevod pozastaviť alebo vrátiť.
5. Self-hosted wallet — pri prevode na alebo z nehosteného (self-hosted) walletu sa aplikujú špecifické pravidlá identifikácie majiteľa adresy, najmä pri prevodoch nad zákonný limit.
6. Archivácia — záznamy o Travel Rule prenosoch sa archivujú v zákonnej lehote pre potreby dohľadu.

Implementácia Travel Rule je technologicky náročná a vyžaduje integráciu s protokolom, ktorý je interoperabilný s ostatnými CASP. V dokumentačnom balíku pre MiCA licenciu CASP je popis Travel Rule riešenia povinnou súčasťou AML smernice.

Monitoring transakcií a hodnotenie rizika

Po nadviazaní obchodného vzťahu povinná osoba priebežne monitoruje transakcie klienta. Cieľom je včas identifikovať operácie, ktoré sa odchyľujú od rizikového profilu, sú nezvyčajne veľké, frekventné, štruktúrované alebo majú znaky pranie špinavých peňazí. Monitoring zahŕňa:

• Sledovanie objemu a frekvencie transakcií voči rizikovému profilu klienta.
• Sledovanie typu kryptoaktíva — vyššie riziko predstavujú anonymity-enhanced coins (Monero a podobné), mixéry, tumblery, neregulované DEX platformy.
• Sledovanie peňaženkových adries — screening voči sankčným zoznamom a chain-analysis databázam (Chainalysis, Elliptic, TRM Labs).
• Detekcia neobvyklého vzoru — štruktúrovanie (smurfing), rýchle prevody cez viacero adries, opakované prevody do/z mixéra.

Pri zistení neobvyklej operácie compliance officer rozhoduje, či je dôvod podať oznámenie o neobvyklej obchodnej operácii (NOO) Finančnej spravodajskej jednotke.

Oznamovanie FSJ — STR (Suspicious Transaction Report)

Finančná spravodajská jednotka (FSJ) Národnej kriminálnej agentúry je orgán, ktorému povinné osoby na Slovensku oznamujú neobvyklé obchodné operácie. STR (Suspicious Transaction Report) sa podáva elektronicky cez portál FSJ bez zbytočného odkladu po zistení skutočností.

Oznámenie obsahuje:

• Identifikáciu klienta a UBO.
• Popis neobvyklej operácie — kryptoaktívum, objem, adresy peňaženiek, časová súvislosť.
• Vecné odôvodnenie, prečo sa operácia považuje za neobvyklú.
• Vyhodnotenie rizika a navrhované kroky.

Povinná osoba má povinnosť mlčanlivosti — nesmie klientovi alebo tretej osobe oznámiť, že podala STR. Porušenie mlčanlivosti je trestnoprávne postihované. Po podaní STR môže FSJ rozhodnúť o pozdržaní transakcie alebo o ďalších opatreniach.

Sankcie za porušenie AML povinností

Zákon č. 297/2008 Z. z. ustanovuje administratívne sankcie pre povinné osoby, ktoré porušia AML povinnosti — pokuty môžu dosiahnuť významné sumy a v opakovaných prípadoch odňatie licencie CASP. V závažných prípadoch sa aplikuje trestnoprávny rámec:

• Trestný zákon č. 300/2005 Z. z. — trestné činy legalizácie príjmov z trestnej činnosti a financovania terorizmu.
• Trestnoprávna zodpovednosť právnických osôb — zákon č. 91/2016 Z. z.
• Trestnoprávna zodpovednosť štatutárneho orgánu — pri zanedbaní AML compliance povinnosti.

Pri vážnom porušení dohľadu môže NBS aj odvolať povolenie CASP a uložiť zákaz výkonu funkcie štatutárneho orgánu.

Náš prístup k AML/KYC mandátom

AML/KYC compliance vedieme komplexne:

• Program vlastnej činnosti — AML smernica podľa zákona č. 297/2008 Z. z. — interná smernica s presnými postupmi identifikácie, monitoringu a oznamovania.
• KYC formuláre a procedúry — formuláre pre fyzické a právnické osoby, postupy pri SDD, CDD a EDD.
• UBO identifikácia — postupy pre identifikáciu UBO a koordinácia s registrom RPVS.
• Travel Rule implementácia — popis riešenia, výber protokolu, integračné požiadavky.
• Monitoring transakcií — nastavenie pravidiel a prahov, integrácia s chain-analysis nástrojmi.
• Compliance officer mentorship — školenie zodpovednej osoby, vzorové reporty pre FSJ.
• Incident response — vedenie konkrétneho prípadu pri reportingu STR a komunikácii s FSJ.

AML/KYC balík je integrálnou súčasťou MiCA licenčného konania — detail v sub-hube MiCA licencia CASP. Spolupracujeme aj pri token launch projektoch, RWA projektoch a stablecoin emisii.

Cenovú ponuku pripravujeme individuálne podľa rozsahu mandátu (príprava AML smernice, ongoing compliance, incident response). Pre úvodné posúdenie zámeru je k dispozícii platená vstupná konzultácia s advokátom.