Logo WCR Consulting
WCR Consulting
Главная/ IP / Право/ Юридическая упаковка/ Crypto / Web3
🔷 Crypto / Web3

Юридическая упаковка
крипто-проекта и Web3-платформы

MiCA (EU CASP), FATF Travel Rule, AML/KYC, restricted jurisdictions, on-chain ПДн, дисклеймеры для инвесторов. Privacy Policy, Terms of Service, Risk Disclaimers — документы, без которых платформа не получит лицензию и банковский счёт.

MiCA / CASP FATF Travel Rule AML / KYC On-chain ПДн Restricted jurisdictions $500M+ штрафы 2025
Упаковка крипто-проекта → ← Все направления
MiCACASP-авторизация
обязательна в EU
99юрисдикций приняли
Travel Rule (FATF 2025)
$500Mштраф OKX за AML
(DOJ, 2025)
€5Mили 12,5% оборота —
штраф MiCA
Специфика отрасли

Почему крипто — самая
регулируемая отрасль

Крипто-проекты живут на пересечении финансового регулирования, AML/KYC и data protection. Без правильных документов невозможно получить лицензию, открыть банковский счёт или пройти due diligence инвестора.

MiCA вступил в полную силу 30.12.2024. CASP-авторизация обязательна для работы в EU. Grandfathering истекает до июля 2026. OKX получил штраф $500M от DOJ за AML. Coinbase Europe — €21,5M от ЦБ Ирландии. Франция выдала 14 enforcement notices за Q4 2025.

Юридическая упаковка — это не Privacy Policy в футере. Это полный комплект: Terms of Service с restricted jurisdictions, Risk Disclaimers, AML/KYC Policy, Privacy Policy с on-chain data disclosure, Token Disclaimer, и внутренние политики для лицензирования.

Кому нужна крипто-упаковка
🔄CEX — централизованные биржи, обменники, OTC
🌐DEX — интерфейсы, агрегаторы, governance tokens
🔐Кастодианы — хранение ключей, мультисиг
💎NFT-маркетплейсы — торговля, минтинг, роялти
💰DeFi — lending, staking, yield, liquidity pools
🪙Token issuers — ICO/IDO/IEO, utility/security tokens
Документы

Что обязательно для
крипто-проекта

Privacy Policy с on-chain disclosureWallet addresses = ПДн по GDPR. On-chain data immutability vs right to erasure. KYC data retention. Third-party analytics (Chainalysis).
Terms of Service с restricted jurisdictionsGeo-blocking US/sanctioned countries. Disclaimers: not investment advice, no guarantee. Governing law. Arbitration clause. Class action waiver.
AML/KYC PolicyFATF R.15/R.16. CDD/EDD, sanctions screening, PEP checks, risk scoring, SAR filing. Обязательна для CASP-лицензии.
Risk DisclaimersВолатильность, потеря средств, smart contract risks, regulatory risks. Отдельный документ + inline warnings на UI.
Cookie Policy и CMPWallet tracking cookies, analytics, marketing pixels. GDPR opt-in для EU. Отдельная категория: blockchain analytics trackers.
Token Disclaimer / White Paper DisclaimerNot a security, not investment advice, forward-looking statements, restricted jurisdictions. MiCA: white paper обязателен для token issuance.
DPA с провайдерами (KYC, analytics, hosting)Sumsub, Chainalysis, AWS, Alchemy — всё субпроцессоры. DPA обязателен по GDPR Art.28.
CASP licensing docs (MiCA / VARA / AIFC)Business plan, governance, capital adequacy, AML programme, complaints procedure. Часть лицензионного файла.
Enforcement 2025–2026

Крупнейшие штрафы
крипто-индустрии

КомпанияРегуляторШтрафПричина
OKXDOJ (US)$500M+AML failures, слабый KYC, подозрительные транзакции
Coinbase EuropeЦБ Ирландии€21,5MAML/CFT мониторинг (2021–2025)
PaxfulFinCEN (US)$3,5MУмышленные BSA нарушения, $500M illicit activity
6 offshore биржBaFin (DE)БлокировкаРабота без CASP-авторизации в Германии
14 enforcementAMF (FR)NoticesНарушения MiCA/AML в Q4 2025
On-chain данные

Wallet address = ПДн?
Проблема GDPR

Wallet addresses — псевдонимные, но не анонимные. EDPB и национальные DPA считают их персональными данными по GDPR, если можно связать с физлицом (через KYC, ENS, transaction graph).

Проблема: on-chain данные immutable — right to erasure (Art.17) технически невыполнимо для данных, записанных в блокчейн. Решение: off-chain хранение связки wallet↔identity, on-chain — только хеши. Privacy Policy должна раскрывать эту архитектуру.

Chainalysis, Elliptic, TRM Labs — субпроцессоры. Нужен DPA с каждым. Их аналитика обрабатывает ПДн (wallet → identity через кластеризацию).

В Privacy Policy для крипто
Какие on-chain данные собираются (wallet, tx hash, amounts)
Связь wallet↔KYC identity: где хранится, кто имеет доступ
Blockchain analytics providers (Chainalysis и др.) — субпроцессоры
Immutability: right to erasure ограничен для on-chain данных
KYC data retention period (5 лет post-relationship по AML)
WCR Consulting

Юридическая упаковка
крипто-проекта под ключ

Готовим документы для CEX, DEX, NFT-маркетплейсов, DeFi и token issuers. Для лицензируемых проектов — интегрированный пакет: упаковка + AML + CASP licensing docs.

  • Privacy Policy с on-chain disclosure
  • Terms of Service + restricted jurisdictions
  • AML/KYC Policy (FATF/MiCA/VARA)
  • Risk Disclaimers + Token Disclaimer
  • Cookie Policy + CMP
  • DPA с KYC/analytics провайдерами
  • CASP licensing document pack
  • White Paper legal review
🔷 Crypto / Web3 📋 MiCA + VARA + AIFC ⏱ 10–20 рабочих дней 📄 EN + RU
Заказать крипто-упаковку →
FAQ

Частые вопросы

Нужна ли Privacy Policy для DEX? +
Да, если DEX имеет frontend-интерфейс, собирает wallet addresses, использует analytics (cookies, IP). Wallet address = ПДн по GDPR, если можно связать с физлицом. Даже для «fully decentralized» протоколов: frontend operator обрабатывает данные и является контроллером. Uniswap Labs имеет Privacy Policy и Terms of Service.
Является ли wallet address персональными данными? +
По позиции EDPB и национальных DPA — да, если wallet address может быть связан с физлицом (через KYC, ENS, transaction graph analysis, IP-адрес). Это псевдонимные данные, не анонимные. Обрабатываются по GDPR. Проблема: on-chain данные immutable — right to erasure технически ограничен. Решение: off-chain хранение связки wallet↔identity.
Какие документы нужны для CASP-лицензии? +
MiCA: business plan, governance structure, capital adequacy (€150K–€350K), AML/KYC programme, complaints procedure, IT security, data protection policy, risk disclosures, white paper (для token issuance). VARA (Дубай), AIFC (Казахстан) — свои наборы, но AML + data protection обязательны везде. WCR Consulting готовит licensing docs в комплекте с юридической упаковкой.
Как работают restricted jurisdictions? +
Terms of Service должны содержать список стран, резиденты которых не могут пользоваться платформой: обычно US, sanctioned countries (NK, Iran, Syria, Cuba, Crimea/Donetsk/Luhansk). Техническая реализация: geo-blocking по IP + VPN detection + KYC country verification. Нарушение — sanctions risk для всей компании.
Нужен ли DPA с Chainalysis / Sumsub? +
Да. Chainalysis, Elliptic, TRM Labs (blockchain analytics) и Sumsub, Jumio, Onfido (KYC providers) обрабатывают ПДн от вашего имени = субпроцессоры по GDPR Art.28. DPA обязателен. Проверяйте: где хранятся данные, retention period, sub-processors, transfer mechanisms.
Можно ли дистанционно? +
Да. WCR Consulting работает с крипто-проектами глобально: MiCA (EU), VARA (Дубай), AIFC (Казахстан), CASP Армения. Документы на английском и русском. Бриф, согласования — полностью онлайн.
Смотрите также

Связанные направления

📋Юридическая упаковка

Все направления

 🔷Crypto & Web3

Лицензирование

 💎Токенизация

RWA, White Paper

 🇪🇺ЕС / GDPR

On-chain ПДн

Нужна упаковка крипто-проекта?

Расскажите о проекте — подготовим документы для лицензирования и compliance.

Заказать крипто-упаковку → Задать вопрос

Юридическая упаковка крипто-проекта: MiCA, AML/KYC, Privacy Policy, restricted jurisdictions