Crypto & Web3
DeFi и регуляторика: серая зона или реальные риски?
MiCA исключает «полностью децентрализованные» протоколы из своей сферы. Но что это значит на практике? Разбираем где заканчивается серая зона и начинаются реальные правовые риски для DeFi-проектов.
Апрель 2026
~8 минут
WCR Consulting
«DeFi децентрализован — значит, регуляторы до нас не доберутся». Это убеждение было распространено в 2021–2022 годах. В 2026-м оно стало опасным заблуждением. Регуляторы по всему миру — ЕС, США, FATF — выработали конкретные подходы к тому, как определить «ответственное лицо» в, казалось бы, безличном протоколе.
Вопрос не в том, регулируется ли DeFi. Вопрос в том, какие конкретно действия создают регуляторный риск — и как структурировать проект, чтобы этот риск минимизировать.
01
Почему «DeFi вне регулирования» — это миф
Традиционные законы писались под институты: физический офис, генеральный директор, compliance-отдел. DeFi — это смарт-контракты, работающие без центрального посредника. На первый взгляд, регулировать нечего и некого.
Но регуляторы решили эту задачу иначе: вместо того чтобы регулировать код, они ищут людей, которые этот код контролируют. Разработчики, держатели governance-токенов, команды, управляющие front-end интерфейсом — всё это потенциальные точки регуляторного воздействия.
⚠️
Данные 2025 года: рынок уже реагирует
По данным за первый квартал 2025 года объём торгов на DEX в ЕС упал на 18,9% — это крупнейшее квартальное падение в истории DeFi. Создание новых DeFi-кошельков снизилось на 22%. Более 40% европейских DeFi-трейдеров перешли на офшорные платформы, преимущественно в Швейцарии и ОАЭ.
02
Позиция MiCA: исключение с оговорками
Recital 22 регламента MiCA прямо указывает: «Там, где крипто-услуги предоставляются полностью децентрализованным образом без каких-либо посредников, MiCA не применяется». Звучит как полное освобождение от регулирования.
💡
Но есть ключевое слово: «полностью»
MiCA также прямо указывает: регламент применяется к деятельности, осуществляемой «прямо или косвенно», включая случаи когда «часть услуги осуществляется децентрализованно». То есть гибридные модели — когда протокол децентрализован, но интерфейс, governance или treasury контролируются командой — подпадают под MiCA.
Европейская комиссия обязана представить отдельный доклад по регулированию DeFi согласно статье 142 MiCA. Ожидается, что именно этот документ сформирует следующий регуляторный уровень — условно «MiCA для DeFi» — в 2026–2027 годах. Пока доклад не принят, DeFi находится в состоянии управляемой неопределённости.
| Тип протокола | Статус по MiCA | Основание |
|---|
| Полностью децентрализованный | Исключён | Recital 22 — нет идентифицируемого оператора |
| Протокол с admin keys у команды | Под MiCA | Есть контроль — есть оператор как CASP |
| DAO с governance-токенами | Спорно | Зависит от распределения токенов и механизма управления |
| DeFi с централизованным front-end | Риск | Front-end как точка контроля признаётся оператором |
| Permissioned DeFi (KYC on-chain) | Сотрудничество | Regulators-friendly, возможна CASP-авторизация |
03
FATF и Travel Rule: проблема идентификации
FATF (Financial Action Task Force) — глобальный орган по борьбе с отмыванием денег — занял принципиальную позицию: «Многие DeFi-проекты децентрализованы лишь по названию. На практике существуют лица, организации или централизованные элементы, которые могут подпадать под требования FATF как VASP».
Travel Rule — ключевой инструмент FATF — требует, чтобы при каждой транзакции передавалась информация об отправителе и получателе. Для псевдонимных блокчейн-адресов это создаёт фундаментальное техническое противоречие. Тем не менее по состоянию на 2025 год 85 из 117 юрисдикций FATF либо приняли, либо находятся в процессе принятия законодательства по Travel Rule для цифровых активов.
🚨
DAC8 — новый инструмент с января 2026 года
Директива ЕС DAC8, вступившая в силу с 1 января 2026 года, обязывает крипто-провайдеров передавать данные о транзакциях пользователей напрямую налоговым органам. Это создаёт дополнительное давление на DeFi-проекты, работающие с европейскими пользователями.
04
4 реальных правовых риска для DeFi-проектов
⚖️
Преследование разработчиков
Регуляторы всё активнее нацеливаются на разработчиков как на «центральные точки отказа». Если вы развертываете код, управляете upgrade-ключами или обслуживаете front-end — вы потенциально являетесь оператором с точки зрения закона. Прецеденты уже есть: действия властей США против разработчиков Tornado Cash в 2022–2024 годах.
🔑
Admin keys и upgrade-права
Если команда сохраняет admin keys, право на upgrade смарт-контракта или управление treasury — это квалифицирует проект как «имеющий идентифицируемого оператора». Под MiCA и американским законодательством FinCEN это создаёт обязательства по AML/KYC и может потребовать CASP-авторизации.
🌐
Front-end как точка контроля
Даже если смарт-контракты полностью децентрализованы, команда, управляющая веб-интерфейсом (доменом, хостингом, geo-блокировками), фактически является посредником. Регуляторы рассматривают такой front-end как «сервис», подпадающий под лицензионные требования.
🗳️
Governance-токены и ответственность DAO
Держатели значительного пакета governance-токенов могут быть признаны «лицами, оказывающими достаточное влияние» на протокол. FATF прямо рекомендует юрисдикциям идентифицировать таких лиц и применять к ним требования по AML/KYC. В ЕС это может означать статус CASP.
05
Кто реально под регулированием в 2026 году
Позиции ключевых регуляторов по состоянию на апрель 2026 года.
| Регулятор | Подход к DeFi | Текущий статус |
|---|
| ЕС (MiCA / ESMA) | Полностью децентрализованные — вне MiCA. Гибридные — под CASP. Отдельный DeFi-доклад ожидается в 2026–2027 | Переходный период |
| США (SEC / CFTC / FinCEN) | Разработчики с admin-доступом — как money transmitter. «Достаточная децентрализация» снимает статус ценной бумаги с governance-токена, но порог высокий | Формируется практика |
| FATF (глобально) | «DeFi в названии только» — VASP. Ищет «ответственных лиц» в любом протоколе с элементами централизации | Давление растёт |
| ОАЭ (VARA) | Принимает DeFi-проекты, но требует регистрации и AML-комплаенса. Один из самых гибких режимов для Web3 | Открыт для бизнеса |
| Казахстан (AIFC/AFSA) | Лицензии на Digital Asset Exchange, Custody. DeFi как отдельный класс ещё не урегулирован, но есть sandbox-режим | Sandbox доступен |
06
Три сценария для DeFi-проекта в 2026 году
Высокий риск
Гибридный протокол без compliance
Смарт-контракты «децентрализованы», но команда управляет front-end, держит upgrade-ключи, получает fees в treasury. Европейские пользователи есть. Регуляторный риск максимальный — и в ЕС, и по FATF. Стратегия «не замечать» перестала работать.
Умеренный риск
Permissioned DeFi с KYC
Протокол добавляет on-chain идентификацию через DID или Soulbound Tokens, geo-блокирует санкционные юрисдикции, ведёт AML-мониторинг. Снижает риск, но теряет часть аудитории, ориентированной на приватность. Путь для институционального DeFi.
Минимальный риск
Истинно децентрализованный протокол
Нет admin keys, нет upgrade-прав, нет централизованного front-end под контролем команды, treasury управляется смарт-контрактом. Полное исключение из MiCA Recital 22. Сложно реализовать, но обеспечивает максимальную защиту от регуляторных претензий.
Рынок движется к разделению: с одной стороны — «Permissioned DeFi» для институциональных игроков (банков, хедж-фондов), с другой — истинно децентрализованные протоколы вне любого регулирования. Гибридные проекты посередине окажутся под наибольшим давлением.
07
Как помогает WCR Consulting
Мы помогаем DeFi и Web3 проектам из СНГ разобраться с регуляторным позиционированием: подпадает ли протокол под MiCA, какие элементы создают риск, как структурировать юридическое лицо и compliance. Работаем с командами на стадии от pre-launch до уже действующих протоколов.
Что мы делаем: анализ архитектуры протокола на предмет регуляторных рисков; оценка применимости MiCA, FATF, VASP/CASP-режимов; выбор юрисдикции (ОАЭ, AIFC, ЕС) под конкретную модель; структурирование DAO и governance с учётом регуляторных требований; подготовка к получению CASP/VASP-лицензии если это необходимо.
Оцените регуляторные риски вашего DeFi-проекта
Расскажите об архитектуре и целевых рынках — разберём, что создаёт риск и как его снизить.
Свяжитесь с нами
FAQ
Частые вопросы
Освобождён ли DeFi от MiCA полностью?
Только полностью децентрализованные протоколы без каких-либо посредников — да, Recital 22 MiCA их исключает. Гибридные модели, где команда контролирует front-end, upgrade-ключи или treasury — подпадают под MiCA как CASP. «Полная децентрализация» на практике — это высокая планка, которую достигают единицы протоколов.
Может ли разработчик DeFi-протокола быть привлечён к ответственности?
Да. Прецеденты уже есть. Регуляторы США преследовали разработчиков Tornado Cash, квалифицировав их как операторов незарегистрированного сервиса передачи денег. В ЕС под MiCA разработчики, сохраняющие контроль над протоколом, могут быть признаны операторами CASP с соответствующими обязательствами по лицензированию, AML и защите потребителей.
Что такое «достаточная децентрализация» в США?
Это концепция SEC, позволяющая governance-токену избежать статуса ценной бумаги если протокол достаточно децентрализован. Критерии включают: верифицируемое on-chain управление, прозрачные treasury, отсутствие централизованного контроля над развитием. Порог очень высокий — SEC признала «достаточную децентрализацию» лишь у единичных проектов (Bitcoin, по сути). В 2025–2026 году SEC ужесточила интерпретацию этой концепции.
Применяется ли Travel Rule к DEX?
Технически — Travel Rule распространяется на VASP/CASP при транзакциях выше порога. Для истинно децентрализованных DEX без оператора — применить технически невозможно. Но FATF настаивает, что в большинстве DEX есть «ответственные лица» (команда, governance-держатели), к которым требования применимы. Это открытая регуляторная проблема, решения для которой ещё нет ни у кого в мире.
Какая юрисдикция наиболее лояльна к DeFi-проектам?
В 2026 году ОАЭ (VARA) остаются наиболее гибким регулируемым рынком для Web3 — принимают проекты при наличии AML-комплаенса. AIFC в Казахстане предлагает sandbox-режим для экспериментальных финансовых продуктов. Швейцария традиционно мягко подходит к токенам и DeFi. Из «нерегулируемых» юрисдикций популярны Карибы (Каймановы острова, BVI) — но они не дают доступа к европейским пользователям.
