Может ли штраф за нарушение первичного финансового мониторинга достигать 14,6 миллиона гривен? Верховный Суд Украины недавно ответил на этот вопрос утвердительно – и поставил точку в споре, который длился больше трёх лет. Представьте: вы управляете финансовой компанией, через которую ежедневно проходят сотни тысяч переводов. Правила написаны, отчёты составляются, ответственный сотрудник назначен. И вдруг Нацбанк выписывает вам штраф, сопоставимый с годовым доходом небольшого предприятия. Именно в такую ситуацию попало ООО «Укрфинстандарт» (теперь – «АВТО УКР БИЛС»). Давайте разберёмся, что пошло не так и какие уроки из этой истории стоит извлечь другим финансовым учреждениям.
Что случилось
Ещё в конце 2022 года Департамент финансового мониторинга НБУ провёл безвыездной надзор за деятельностью компании. Проверяли не бизнес-модель как таковую, а то, как учреждение выполняет требования законодательства в сфере предотвращения отмывания доходов и финансирования терроризма (сокращённо – ПОД/ФТ). Результаты оказались неутешительными: целый ряд существенных нарушений, которые позже легли в основу решения о штрафе.
Ключевая претензия регулятора звучала так: компания не обеспечила надлежащей организации и проведения первичного финансового мониторинга. Если говорить проще – её внутренняя система выявления подозрительных операций оказалась формальной и недееспособной.
В марте 2023 года НБУ принимает решение №21/496-рк о наложении штрафа в размере 14 600 100 гривен. Компания оспаривает его в суде – и, что любопытно, первая и апелляционная инстанции встают на её сторону. Но регулятор идёт дальше, в Верховный Суд.
В чём суть нарушения
Закон Украины «О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путём, финансированию терроризма и финансированию распространения оружия массового уничтожения» (Закон №361-IX) требует от финансовых учреждений не просто иметь папку с грифом «Правила финансового мониторинга». Он требует, чтобы эти документы действительно работали.
Первая проблема – внутренние правила компании не учитывали результатов Национальной оценки рисков (НОР). А в ней, между прочим, чётко указано: перевод средств – это услуга с очень высоким риском использования для отмывания денег. Особенно когда речь идёт о p2p-переводах, которые можно делать онлайн, без личного контакта с клиентом.
Вместо этого компания в своих правилах отнесла p2p-переводы к среднему уровню риска. И это при том, что 99,99% от общего объёма операций – более 5 миллиардов гривен – приходилось именно на такие переводы. Масштаб впечатляет, правда?
Вторая проблема – критерии оценки рисков в приложениях к правилам не содержали конкретики. Не были указаны типы клиентов (юридические лица, физические лица, ФОП), хотя это прямое требование Положения №107. Географический критерий не включал государств-агрессоров. А каналы предоставления услуг онлайн – снова лишь «средний» риск, тогда как НОР относит дистанционные услуги к высокорисковым.
И третья – отчёты компании по управлению рисками. Они существовали, но оказались поверхностными. Не содержали анализа финансовых операций p2p-клиентов, не объясняли, почему риск-аппетит учреждения определён как «средний», и не учитывали предыдущих санкций, которые уже применялись к компании.
Почему предыдущие суды ошиблись
Киевский окружной админсуд и Шестой апелляционный суд пришли к выводу, что критерии риска субъект первичного финансового мониторинга определяет самостоятельно. И что регулятор не доказал нарушения, поскольку не указал, какая именно норма обязывает компанию оценивать p2p-переводы именно как высокорисковые.
Верховный Суд с таким подходом не согласился. Логика кассационной инстанции оказалась проще и одновременно жёстче: да, критерии определяются самостоятельно. Но эта самостоятельность не безгранична. Часть 4 статьи 7 Закона №361-IX прямо требует учитывать результаты национальной оценки рисков, типологические исследования Госфинмониторинга и рекомендации FATF.
Когда НОР говорит, что перевод средств – это «очень высокий» риск, а компания ставит «средний», это уже не реализация дискреции. Это нарушение. И суд это признал.
К слову, Верховный Суд обратил внимание на деталь, которую предыдущие инстанции попросту упустили: большинству финансовых операций компании банки-эквайры присваивали код МСС 7994 – «видеоигры». Хотя на самом деле речь шла о p2p-переводах. Иными словами, суть операций маскировалась, а действенных инструментов контроля за этим у компании не было.
Соразмерен ли штраф
Истец настаивал: 14,6 миллиона – это чрезмерно, штраф превышает чистый финансовый результат компании за несколько лет. Но здесь работает иная логика.
Согласно пункту 15 части 5 статьи 32 Закона №361-IX, за необеспечение надлежащей организации первичного финансового мониторинга штраф может достигать 10% общего годового оборота. Общий оборот компании по состоянию на конец 2021 года составлял более 5,5 миллиарда гривен. Так что 14,6 миллиона – это примерно 0,26% от оборота. Даже не полпроцента.
Верховный Суд признал такой размер пропорциональным, учитывая характер нарушения и потенциальные последствия. Неэффективная система финмониторинга создаёт риски не для одной отдельно взятой компании, а для всей финансовой системы страны. И это не преувеличение.
Тут важный момент: при определении размера штрафа НБУ учитывал не только оборот, но и обстоятельства, перечисленные в части 7 статьи 32 Закона №361-IX – характер и длительность нарушения, финансовое состояние учреждения, выгоду от нарушения, степень ответственности. В решении №21/496-рк все эти факторы были проанализированы.
Что это означает для рынка
28 мая 2026 года Верховный Суд принял окончательное решение по делу №320/12807/23: решения предыдущих инстанций отменить, в иске отказать. Штраф остаётся в силе.
Это дело – мощный сигнал для всех небанковских финансовых учреждений. Формальный подход к первичному финансовому мониторингу больше не работает. Недостаточно просто утвердить правила и раз в год составлять отчёт. Нужно, чтобы внутренние документы действительно учитывали результаты НОР, типологические исследования Держфинмониторинга и специфику собственной деятельности.
Критерии риска должны быть не абстрактными, а привязанными к конкретным продуктам, каналам предоставления услуг и типам клиентов. А система управления рисками – охватывать все операции, включая те, что проводятся без установления деловых отношений.
И, пожалуй, самое главное: если ваш бизнес на 99,99% состоит из операций, которые государство считает высокорисковыми, вряд ли получится убедить суд, что вы об этом не знали. Регулятор смотрит не на названия документов, а на реальное содержание работы финансового учреждения. И когда внутренние правила противоречат тому, что написано в Национальной оценке рисков, – рано или поздно это станет проблемой. С очень конкретным ценником.