TRM:金融机构加密反*洗*钱指南
Crypto已不再是全球经济中的边缘角落,而它正在重塑金融服务与商业格局。随着采用速度加快,加密交易日益与传统银行轨道交汇,业务的开展已经从“要不要做”,到“怎么做”,合规团队面临与日俱增的追赶压力。然而,最大的风险并非接触加密,而是根本不知道接触加密的风险在哪。
加密金融与传统金融最大的交汇点在于Crypto到法币的兑换,无论何种方式,都需要金融机构为交易提供法币银行账户能力,那么在这个关键点上,TRM的这份指南旨在帮助金融机构回答几个关键问题:
加密相关活动有哪些?加密与银行之间的风险敞口在哪里?
加密的风险敞口会在机构内部如何呈现?又该如何负责任地管理相关风险?
如何对拟开展合作的虚拟资产服务商VASP,以及链上资产客户进行尽调/分析?
金融机构应采取哪些核心步骤,以保持合规并确保加密资产的合法交换?
在制定数字资产战略之际,金融机构应如何与监管机构最佳互动?
从与企业数字资产相关的银行电汇,到对高净值加密客户的尽职调查,TRM将提供可操作的框架与情报驱动的最佳实践,助力合规团队自信地驾驭这一不断演化的生态系统。
因此,随着加密资产的溪流日益融入全球资金的汪洋,我们编译了TRM这份入门级加密反*洗*钱指南,旨在帮助构建既经得起监管检验、又能够面向链上未来的基于加密风险防范合规指南。欢迎相关人士交流探讨。
风险因素二:注册在离岸避税天堂
许多高风险交易所可能表面上在低风险司法辖区注册了实体(例如在美国注册为货币服务业务MSB),但实际运营总部却设在历来被用作离岸避税天堂的地区。排名最靠前的高风险交易所几乎全都设在毛里求斯、塞舌尔、香港或圣基茨。
风险因素三:牌照信息
毫不意外的是,大多数高风险交易所要么在其明显开展业务的辖区毫无牌照;要么曾持有牌照但被监管机构吊销;要么已收到监管机构的公开警告。过去两年,多数合规加密交易所已努力整改以符合牌照框架;而高风险实体往往滞后,因而更可能承载更大规模的*非*法交易。
风险因素四:KYC水平作为*非*法交易的代理指标
TRM在绘制不同交易所风险画像时,会尽可能收集其KYC方案信息:例如,是否要求政府签发证件,还是只需姓名和邮箱即可。同样不出所料,交易所收集的KYC信息越少,流经该平台的*非*法交易占比就越高。原因在于,不法分子刻意寻找准入门槛最低的平台进行出入金操作。
虽然金融机构更可能只与具备较强KYC控制的加密实体合作,但审视目标实体最主要对手方的KYC水平,仍是衡量其合规体系强度的有效分析手段。
风险因素五:与“高风险服务商”的关联敞口
“高风险服务商”指加密生态中那些以服务模式运作、却系统性承载大量*非*法活动的实体,可能包括零售场外OTC柜台、支付处理商或博彩网站。*非*法行为者几乎把这些服务当作“混币器”使用:由于这些平台采用类似综合账户的钱包架构,资金流经它们后难以追踪,从而达到混淆资金路径的目的。
下文示例展示了一家表面看似合法的博彩公司,实则被用来与高风险行为者进行交易配对。
对于在严格反*洗*钱(AML)要求下运营的金融机构而言,验证客户来自Crypto的财富来源(SourceofWealth,SoW)必须将传统尽职调查与现代Blockchain情报相结合。此流程超越了标准的KYC(了解你的客户)和CIP(客户身份识别计划)核查,通常还需对链上钱包活动进行强化审查。4.1如何正确的提问,并验证客户叙事
与加密资产挂钩的财富来源客户通常可分为两类:
第一类:财富来源于与加密实体相关的传统薪酬或投资回报。例如,加密交易所的高管、投资加密项目的风险投资公司合伙人,或与Blockchain相关企业的创始人。
第二类:财富来源于更广泛地直接在链上交易、投资或以其他方式交易加密资产所得。
对于第一类客户,若其薪酬以传统法币支付,通常无需进行链上分析——尽管评估该加密实体本身的风险仍是审慎之举。
对于第二类客户,在深入进行链上分析或要求正式文件、钱包地址之前,务必先提出针对性问题,澄清客户如何积累其加密财富,以及他们计划如何变现并将美元资金转入金融机构。客户提供的这套叙事将成为后续验证其链上活动是否与所述故事一致的关键依据。
可提出的问题包括:
您计划变现哪些加密资产?
您如何获得这些加密资产(例如Mining、*I*C*O、在持牌交易所交易、质押、继承等)?
这些资产是在多长时间内积累的?
您曾使用哪些平台或交易所进行交易,必要时能否提供账户对账单或记录?
您是否控制或使用非托管钱包?请提供用于交易、向交易所充值、参与DeFi服务或向其他地址转账的具体钱包地址。
您能否证明您掌控存放这些加密资产的私人钱包?
您的总资产净值中,有多大比例来自加密资产?
您打算通过哪家加密服务商变现?
您是否已就加密收益履行税务申报义务?
部分客户可能不愿提供上述信息。以下沟通建议可供参考:
对于某些财富来源,我们可通过公开信息验证(例如若某人出售公司,可通过开源信息核实)。但在本案例中,视具体情况,链上分析可能是验证您所述财富叙事唯一可行的方式。
监管要求必须核实客户的财富来源。
FATF指引及某些法规(如美国《爱国者法》)要求在存在额外风险时执行强化尽职调查(EDD),通常包括索取相关文件。
这已成为行业新兴行业标准,目前多家机构均已实施类似流程。4.2收集资金来源信息
在收集并确立客户的加密财富叙事后,下一步便是搜集可验证的证据,以支撑其“通过Crypto获得财富”的说法。由于加密资产及其交易往往记录在公开Blockchain或交易所平台上,银行可结合传统文件与Blockchain情报工具,共同强化财富来源评估。
注:依据叙事的具体事实与情形,并非以下所有数据点都必须收集。A.交易记录与钱包历史
链上证据
要求客户提供钱包地址及链上交易哈希,以证明相关资金活动(例如:若客户计划在交易所变现,且资产原存放于私人钱包,则需提供从该私人钱包向交易所转账的交易哈希)。
所有权证明
在某些情况下,客户可通过对钱包签名一条信息来证明其直接控制权。亦可接受钱包余额截图或交易所对账单作为辅助证据(但需知截图单独使用时存在伪造可能)。B.交易所或平台对账单
交易记录与资金流水
请客户提供其常用交易所的正式对账单。重点核对存取款、法币兑换的时间顺序是否一致,以及是否曾向其他钱包地址转账。若客户拥有多年、大量加密交易历史,机构可依据风险导向原则,决定采用抽样审查即可,或针对特定时段提出更聚焦的问题。在此过程中,机构应结合其他风险因素综合评估潜在客户。4.3链上分析
当你开始进行链上分析时,你的目标是核实潜在客户对其加密财富的陈述是否与Blockchain上的记录一致,并确保没有发现任何危险信号。
以下是一些实用建议:
建议一:谨慎追踪经过“服务方”的资金路径
在开展资金来源(SoF)分析、沿不同地址回溯资金时,请记住Blockchain追踪的一项基本原则:通常无法“穿透”交易所、场外柜台、支付处理机构等加密服务方进行追踪。
原因在于,这些服务方往往使用综合或合并的钱包架构来高效管理客户的充值与提现。若强行穿透追踪,调查人员很可能对资金来源路径的有效性得出错误结论。
建议二:全面排查各类风险敞口
除了核查相关钱包地址是否涉及*非*法融资风险类别(如制裁、恐怖融资、儿童性虐待材料)外,还应关注是否存在其他看似并非违法、但却与客户自述及其背景不符的风险敞口。
例如:个人使用场外(OTC)服务、支付处理商、博彩平台或其他可能为*洗*钱提供服务的汇款机构。这些活动本身未必被定性为犯罪,却可能与客户陈述的“正当投资”或“合规交易”叙事相冲突,需进一步评估其合理性与一致性。
建议三:综合所有数据点,全景评估风险
务必牢记,Blockchain情报工具虽擅长把不良行为者及服务映射到具体钱包,但在分析资金流向时,仍需兼顾其他数据点——例如所用服务类型、客户使用的地址数量、转账时点、资产种类、是否呈现规避制裁的典型模式等。
为帮助用户监测异常活动模式,TRM首创“Signatures”自动识别技术,可自动检测并追踪常被用作混淆手段的行为异常,显著降低调查的复杂度和耗时。
这些行为不仅包括“剥皮链”(peel-chains:从主资金路径中逐笔剥离小额交易并转往其他地址或服务)和“跨链互换”(cross-chainswaps:无需交易所即可将一种加密资产换成另一种),还涵盖其他不符合正常、预期交易模式的异常活动。4.4需要注意的红色警示
在分析过程中,还需留意以下额外警示:
使用位于高风险司法管辖区或离岸避税天堂的服务商
使用隐私币、混币器或其他可掩盖资金流向的工具
陈述前后矛盾或含糊其辞(例如自称“早期投资者”却无法提供任何文件)
仅出现一次、无其他历史活动的中介地址或一次性地址
频繁更换钱包地址
从未托管钱包大额流入,且无清晰解释
在Tokens项目价格暴跌前大额存入并抛售
无明确理由地频繁跨链跳转(chainhopping)
地址间来回互换Tokens或NFT(即刷量交易/洗售)
充值至交易所前,先将资金拆分到多个钱包地址
拆分转账以规避特定申报门槛(如VCTR、加密ATM的日限额等)五、应对监管者的最佳实践
银行真正涉足Crypto始于2010年代末期。当时少数机构开始试水数字资产托管、为加密交易所开立账户等服务。然而,这些早期尝试很快遭遇监管部门的警惕姿态。
银行监管者因担忧未经检验的风险,往往设置障碍而非提供便利。在某些情况下,他们甚至直接干预。例如,联邦存款保险公司(FDIC)曾悄然致函约二十家银行,要求它们“暂停”加密相关活动,等待进一步审查。这些所谓的“暂停函”后来通过FDIC记录曝光,凸显了监管方最初的深度怀疑。
同一时期的公开监管声明也充满谨慎。2023年1月,美联储、FDIC与货币监理署(OCC)罕见地联合发布警告,指出银行业涉足加密资产的风险。他们明确指出,某些加密活动“极有可能不符合安全稳健的银行惯例”。三家机构罗列了一长串担忧——从欺诈、法律不确定性到加密市场的剧烈波动——并表示对银行参与该行业将采取“谨慎且小心”的态度。
值得注意的是,监管者也强调,银行“既未被禁止,也不应被劝阻”为合法的加密客户提供服务。然而,实际监管语气无疑充满戒备。银行在加密领域的早期历史正是在这种“银行急于创新”与“监管踩刹车”的拉锯中展开。5.1特朗普时代的转向
2025年初,全球围绕Crypto的监管势头明显加速——尤其在欧洲、中东和非洲(EMEA)地区。欧盟的《加密资产市场法规》(MiCA)正式生效,为整个欧盟提供了一套全面且统一的加密资产监管框架。英国金融行为监管局(FCA)则扩大了注册制度范围,并对加密企业推出了更严格的广告标准。与此同时,阿联酋和瑞士继续凭借清晰的牌照制度和支持创新的监管沙盒,吸引数字资产公司落户。
在国际监管日益明确的背景下,美国却站在十字路口——这促使特朗普政府重新评估其对银行与加密资产的政策立场。
从“隔离”到“竞争”
在特朗普第二个任期的头几个月里,政府启动了对加密资产监管立场的显著转向,与此前数年的谨慎态度形成鲜明对比。新的立场不再将加密资产视为需要被“隔离”的系统性风险源,而是强调战略性参与、提升竞争力以及推动金融基础设施现代化。
关键的人事任命进一步加速了这一转变。特朗普政府重新任命了多位具备金融科技和加密资产专业背景的官员担任要职——最引人注目的是在货币监理署(OCC)。该机构随后发布了更新后的指引,明确支持联邦特许银行开展加密资产托管、Tokens化存款,甚至包括某些质押服务。这一信号非常明确:政府不仅允许银行参与加密业务,更希望为其打造一个稳定的监管环境。
对于银行而言,特朗普政府在2025年的转向无疑是一种“邀请”——但并非“放任”。只要银行以透明、合规的方式开展业务,并与监管机构保持沟通,就有机会参与其中。在经历多年政策信号混乱之后,银行如今终于有了一条更清晰的路径迈入加密领域——不仅监管边界更明确,也可能在监管层面获得更具合作性的伙伴。
尽管如此,一线检查员对加密生态系统所呈现的风险仍可能保持一定程度的谨慎与怀疑。银行合规团队必须能够清晰、有力地回应这种怀疑,具体说明他们充分理解所开展的业务和服务,识别其中固有的风险,并已建立起一套强有力的控制环境来管理这些风险。5.2与监管机构合作的实务建议
鉴于监管部门最初曾设置障碍、至今亦仍持保留态度,银行在拓展加密业务时应如何与监管机构更有效地协作?以下五项可操作的最佳实践,源自监管指引及真实案例,供合规专业人士参考。
建议一:尽早主动沟通
不要等到监管者自行发现你的加密业务,而应在启动前就向其报备。银行监管机构已明确表示,任何与加密相关的计划都应尽早通报并展开对话。事实上,各联邦监管机构均已设立流程,便于银行就拟议的加密项目进行“充分的监管沟通”。
通过在规划阶段就征求监管意见,银行可提前化解顾虑,避免在业务搭建后期出现意外。早期、主动的沟通有助于建立信任,使监管者确信银行正以受控、透明的方式推进加密业务。
建议二:开展全面风险评估
在推出任何加密产品或建立合作前,银行必须严格评估相关风险,备好书面记录,并向监管者证明已对这些风险实施了有效控制。评估范围可包括银行对加密实体的现有敞口,或视具体产品服务而定的欺诈、波动等风险。监管者希望看到任何加密活动都已设置适当的控制、门槛和防护栏。
此外,强有力的风险管理必须从董事会及高级管理层监督开始:确保董事会知悉并批准加密战略,同时已制定与风险评估相匹配的详细政策与流程。将风险评估结果及缓释措施(如针对加密敞口的资本缓冲、加强交易监控、触发升级机制等)形成书面记录。向监管者展示一份深思熟虑的风险分,可表明银行并非贸然进入加密领域,而是以符合安全稳健要求的方式进行。
建议三:强化现有控制,而非另起炉灶
推出加密相关服务时,银行可能倾向于从零开始搭建一套全新的反*洗*钱(AML)框架。然而,单独建立“加密专用”合规控制不仅容易造成重复劳动,还可能与现行方案不一致,削弱整体AML体系的结构完整性。
例如,在2023年中期的一封FDIC致银行信函中,某银行拟提供加密托管服务并计划为加密活动建立“与核心AML系统分离的平行交易监控流程”,FDIC明确警告称,这种做法可能导致监控不一致、可疑活动报告出现漏洞。FDIC指出,“风险缓释措施必须与银行现有BSA/AML基础设施协调”,并提醒避免“孤岛式”合规做法,以免削弱整体方案的有效性。
因此,银行应着眼于延伸并适配现有AML基础设施。不可否认,加密生态带来新颖风险,可能需要新战术加以控制,但机构应把这些新战术嵌入现行政策与流程,避免形成碎片化方案。具体做法可包括:
将Blockchain情报工具及核查环节纳入现有客户尽职调查(CDD)和增强尽职调查(EDD)流程,以全面评估加密实体的风险;
在更细颗粒度上,确保现行交易监控流程(如升级指引、警报关闭时限、质量保证抽查比例等)同样适用于链上交易和警报持续监控的Blockchain情报工具。
这种方式既保证一致性、避免内部孤岛,又让合规团队能在熟悉的框架内运作,同时应对Blockchain混淆、点对点转账等新威胁。监管者已明确,加密服务中的AML合规不容讨价还价,但他们更倾向于支持那些与银行整体现有控制保持连贯性的方案。
建议四:保持开放沟通并形成书面记录
与监管机构保持持续对话是关系顺畅的关键。加密市场变化迅速;当银行的策略或合作伙伴发生变动时,应及时让监管者知晓。定期汇报进展或状态更新,可在潜在顾虑酝酿成问题前就将其化解。
同等重要的是,对所有与监管机构的沟通及达成的共识进行书面记录。若监管者要求增加额外保障措施或暂停某项业务,应以书面形式确认银行承诺的具体内容或获批所需满足的条件。这样既形成审计轨迹,也避免日后产生误解。
此外,必须主动寻求明确指引,而非在模糊地带运营。例如,2023年收到FDIC加密相关信函的某些银行曾陷入“停摆”困境:被要求暂停活动,却再未收到明确恢复许可。为避免此类僵局,银行应礼貌但坚定地追问:“具体需要哪些控制措施或数据,才能让贵方放心允许我们继续推进?”开放、双向的沟通,辅以详尽的书面记录,可将监管监督转化为协作过程,而非对抗关系。
建议五:主动自我披露
在搭建加密相关项目时,银行往往希望把每个细节都打磨完美后再向监管者汇报。但若过晚才披露内部问题,反而会侵蚀信任并引发监管怀疑。FDIC、OCC、OFAC等机构反复强调“自我识别”的价值——即机构在检查发现问题之前,主动指出自身加密业务中的缺口、延误或失误。
例如,若团队发现计划中的Blockchain分析工具集成进度延后,或某项关键的加密托管控制未能按预期运行,应立即启动内部升级流程,并及时向监管联系人通报。监管者通常更关注银行如何应对问题,而非问题是否存在。自我识别的问题——尤其是附带清晰整改计划时——体现了成熟的风险文化和主动担责的态度,这能建立信誉并缓和监管回应的语气。六、结论
加密资产与传统金融的融合已不再是假设。电汇、客户尽职调查、投资服务,甚至托管产品,如今都经常涉及与加密相关的实体。合规团队若对这些关联视而不见,将自担风险。
需牢记的几项要点:
风险敞口已然存在。从电汇活动到私人银行业务,大多数金融机构无论是否意识到,其实都已触及加密生态系统。
并非所有加密活动都同样风险。区分低风险的机构参与者和高风险的*洗*钱中介至关重要,而一套健全的尽职调查框架能够帮助划清这条界限。
传统工具已不足够。要在加密时代实现有效合规,必须采用增强型风险评估、Blockchain情报,并辅以跨职能协作。
主动沟通带来回报。及早与监管者沟通、保持内部政策一致性、将加密专用工具嵌入现有反*洗*钱体系,是构建韧性合规方案的关键步骤。