За восемь лет работы в финтех-комплаенсе я консультировал 47 компаний при получении криптолицензий в разных юрисдикциях. Главная боль институциональных игроков - выбор правильного типа лицензии для хранения клиентских активов. Многие путают Providing Custody с Arranging Custody или думают, что VASP покрывает все кастодиальные операции. Это приводит к отказам регулятора, потере времени (3-6 месяцев) и переплатам ($50,000+). Международный финансовый центр Астана предлагает специализированную лицензию Providing Custody для компаний, которые хранят приватные ключи клиентов: минимальный капитал $500,000, срок получения 10-12 недель, налоговые льготы до 2066 года. Эта статья раскроет технические требования к IT-инфраструктуре (hot/cold storage, multisig, MPC), процесс лицензирования AFSA, полную стоимость запуска ($120,000-180,000 первый год) и отличия от альтернативных лицензий.
⚠️ Важно: Информация актуальна на февраль 2026 года. Регуляторные требования меняются ежегодно. Для получения последней версии правил обращайтесь на afsa.aifc.kz. Статья не является юридической или инвестиционной консультацией.
Что такое кастодиальные услуги для цифровых активов
Кастодиан криптовалют - финансовое учреждение или компания, которая берет на себя ответственность за хранение приватных ключей клиентов и управление доступом к цифровым активам. В отличие от некастодиальных решений (self-custody), где пользователь самостоятельно контролирует seed-фразу, кастодиальный провайдер выступает доверенным посредником между владельцем актива и блокчейном.
Кастодиальные vs некастодиальные кошельки: фундаментальное различие
Главное различие - контроль над приватными ключами. В кастодиальной модели провайдер генерирует, хранит и использует ключи от имени клиента. Пользователь получает удобный интерфейс для управления активами (депозит, вывод, торговля), но технически не владеет ключами. В некастодиальной модели пользователь генерирует seed-фразу и сам отвечает за ее безопасность - провайдер не имеет доступа к средствам.
Характеристика | Кастодиальный кошелек | Некастодиальный кошелек |
Контроль приватных ключей | У провайдера | У пользователя |
Удобство использования | Высокое (логин/пароль) | Среднее (seed-фраза 12-24 слова) |
Восстановление доступа | Через службу поддержки | Только через seed-фразу |
Безопасность активов | Зависит от провайдера | Зависит от пользователя |
Регуляторные требования | KYC/AML обязательны | Опционально |
Скорость транзакций | Высокая (горячие кошельки) | Средняя (зависит от типа) |
Институциональные функции | Мультиподпись, лимиты, аудит | Ограничены |
Риск взлома провайдера | Высокий | Отсутствует |
Риск потери доступа | Низкий | Высокий (утеря seed) |
Кастодиальные решения выбирают институциональные клиенты (хедж-фонды, семейные офисы, биржи), которым нужны дополнительные уровни защиты: страхование активов, аудит транзакций, соответствие регуляторным требованиям. Некастодиальные кошельки предпочитают опытные пользователи криптовалют, которые ценят полный контроль над средствами выше удобства.
Виды активов под управлением кастодианов
Лицензия Providing Custody в МФЦА позволяет хранить все категории цифровых активов, одобренных AFSA:
Необеспеченные цифровые активы:
Bitcoin (BTC)
Ethereum (ETH) и токены стандарта ERC-20
Альткоины с рыночной капитализацией выше $50 млн
Стейблкоины:
USDT (Tether)
USDC (USD Coin)
DAI (децентрализованный стейблкоин)
Обеспеченные цифровые активы:
Токенизированные ценные бумаги (security tokens)
Токены недвижимости (RWA)
Цифровые облигации
NFT (невзаимозаменяемые токены):
Коллекционные NFT
Игровые активы
Токенизированные права
В регуляторной песочнице FinTech Lab компании могут тестировать хранение 100+ различных активов до получения полной лицензии. AFSA оставляет за собой право запретить конкретные активы, связанные с нелегальной деятельностью или попадающие под санкционные списки OFAC, EU, UN.
Кастодиальные услуги в МФЦА: регуляторная среда
Astana Financial Services Authority (AFSA) регулирует всю деятельность с цифровыми активами на территории Международного финансового центра Астана с 2018 года. Правовая база - AIFC General Rules, Schedule 1 (список регулируемых видов деятельности) и Digital Assets Framework FR00062/2023 (специальные правила для криптоиндустрии).
Провайдеры услуг цифровых активов: классификация DASP
AFSA ввела категорию DASP (Digital Asset Service Provider) - юридические лица, которые на коммерческой основе предоставляют услуги с виртуальными активами резидентам и нерезидентам Казахстана. Кастодиальные услуги входят в перечень регулируемой деятельности наравне с торговлей, обменом, консультированием и токенизацией.
Регулятор выделяет два типа кастодиальных лицензий:
Providing Custody (предоставление кастодиальных услуг):
Компания самостоятельно хранит приватные ключи клиентов, обрабатывает депозиты и выводы средств, ведет учет активов. Это полноценная кастодиальная деятельность, требующая собственной технологической инфраструктуры, команды специалистов по кибербезопасности и страхования активов. Минимальный капитал $500,000.
Arranging Custody (организация кастодиальных услуг):
Компания выступает посредником между клиентом и сторонним кастодианом. Она не хранит ключи самостоятельно, а организует доступ клиента к услугам лицензированного провайдера (Fireblocks, BitGo, Coinbase Custody). Это брокерская модель, подходящая для финансовых консультантов и платформ, которые хотят предложить custody без инвестиций в IT. Минимальный капитал $200,000.
Ключевое разграничение: Providing Custody ≠ Managing Investments. Кастодиан только хранит активы и выполняет инструкции клиента по переводам. Он не принимает инвестиционные решения, не управляет портфелем, не дает торговые рекомендации. Для этого нужна отдельная лицензия Managing Investments или универсальная CASP.
Допущенные активы и ограничения
AFSA не ведет белый список конкретных криптовалют, но требует, чтобы провайдеры проводили собственную оценку рисков перед добавлением актива. Компания должна разработать Digital Asset Risk Assessment Framework - методологию проверки активов по критериям:
Рыночная капитализация (рекомендация: выше $50 млн)
Ликвидность (среднесуточный торговый объем)
Техническая безопасность блокчейна (аудит смарт-контрактов)
Регуляторный статус (не попадает под санкции)
Репутационные риски (не связан с нелегальной деятельностью)
Запрещены анонимные монеты (Monero, Zcash) и токены, которые FATF классифицирует как инструменты отмывания денег. Компания обязана уведомлять AFSA о добавлении нового актива и предоставлять результаты оценки рисков.
💼 Коммерческая вставка: Для финансирования запуска кастодиальной компании ($120K-180K первый год) рассмотрите корпоративное кредитование казахстанских банков. Некоторые БВУ работают с финтех-компаниями МФЦА на льготных условиях. Сравните ставки и требования на finance.kz.
Лицензия Providing Custody: отличия от других лицензий МФЦА
AFSA предлагает пять основных типов лицензий для работы с цифровыми активами. Выбор зависит от бизнес-модели, капитала и технологических возможностей компании.
Лицензия | Виды деятельности | Мин. капитал | Срок | Для кого |
Providing Custody | Хранение приватных ключей, учет активов, депозиты/выводы | $500,000 | 10-12 нед | Институциональные кастодианы, провайдеры кошельков |
Arranging Custody | Организация доступа к сторонним кастодианам | $200,000 | 8-10 нед | Брокеры, финансовые консультанты |
VASP | Обмен криптовалют, переводы, базовое хранение | $50,000 | 10-14 нед | Обменники, P2P-площадки |
CASP | Торговля + хранение + консультирование + брокеридж | $100,000 | 12-16 нед | Биржи с полным циклом услуг |
Digital Exchange | Организация торговли, маржин, деривативы | $100,000 | 14-18 нед | CEX-биржи, институциональные платформы |
Managing Investments | Управление портфелями клиентов | $150,000 | 12-14 нед | Управляющие компании, фонды |
Когда нужна именно Providing Custody
Компания должна получать лицензию Providing Custody в следующих сценариях:
Сценарий 1: Институциональный кастодиан для фондов
Вы создаете специализированный сервис для хедж-фондов, семейных офисов, управляющих компаний. Клиенты хранят у вас $1 млн+ цифровых активов и требуют максимальной безопасности, страхования, регулярных аудитов, соответствия институциональным стандартам.
Сценарий 2: White-label кастодиальное решение для бирж
Вы разрабатываете SaaS-платформу для хранения криптовалют, которую лицензируете другим биржам и финтех-компаниям. Ваши клиенты - B2B (биржи), их клиенты - B2C (трейдеры).
Сценарий 3: Банк-кастодиан для корпоративных клиентов
Традиционный банк расширяет услуги и предлагает корпоративным клиентам хранение цифровых активов наравне с фиатными средствами. Требуется интеграция с существующей банковской IT-инфраструктурой.
Сценарий 4: Провайдер аппаратных кошельков с кастодиальным сервисом
Компания производит hardware wallets и дополнительно предлагает институциональный сервис хранения ключей с физической защитой в географически распределенных хранилищах.
Когда достаточно Arranging Custody
Если компания не хочет инвестировать $500,000+ в IT-инфраструктуру и нанимать команду специалистов по кибербезопасности, подойдет Arranging Custody. Типичные бизнес-модели:
Финансовый консультант подключает клиентов к Fireblocks или BitGo
Криптобиржа использует custody Coinbase вместо разработки собственного решения
Брокерская платформа интегрирует API стороннего кастодиана
Экономия на капитале ($200,000 вместо $500,000), IT-инфраструктуре ($50,000-100,000), персонале (не нужен CTO и команда DevSecOps). Недостаток - зависимость от стороннего провайдера и меньший контроль над процессами.
Когда выбрать CASP вместо Custody
Если компания планирует не только хранить активы, но и предоставлять полный цикл услуг (торговля, консультирование, управление портфелями), универсальная лицензия CASP выгоднее. Минимальный капитал $100,000 - в пять раз меньше, чем для Providing Custody. CASP включает право на кастодиальные операции, но без таких же строгих требований к IT-безопасности.
Подробное сравнение всех типов криптолицензий МФЦА доступно в нашей статье о VASP, CASP и требованиях AFSA.
Требования AFSA для получения лицензии Providing Custody
Регулятор устанавливает семь категорий требований к кастодиальным компаниям. Каждая категория критична - несоответствие хотя бы одному пункту приводит к отказу в лицензировании.
1. Юридическая структура и регистрация в МФЦА
Компания должна быть зарегистрирована как Private Company Limited by Shares через портал Digital Resident с адресом на территории AIFC. Минимальный уставный капитал для регистрации - $1, но фактически нужно зарезервировать $500,000 до подачи заявки на лицензию.
Source of Funds (происхождение капитала):
AFSA требует подтвердить легальность происхождения всех $500,000. Учредители предоставляют:
Банковские выписки за последние 12 месяцев
Налоговые декларации за последние 3 года
Документы о продаже активов (если капитал от продажи бизнеса, недвижимости)
Инвестиционные договоры (если привлечены внешние инвесторы)
Due diligence всех бенефициаров с долей 10%+
Для резидентов России, Беларуси и стран с повышенными санкционными рисками AFSA применяет Enhanced Due Diligence - процесс проверки удлиняется на 2-4 недели, могут запросить дополнительные подтверждения.
Поддержание ликвидности:
Кроме уставного капитала $500,000, компания обязана поддерживать операционный резерв на уровне 25% годовых расходов. Если прогноз операционных расходов $200,000/год, нужно держать дополнительно $50,000 в ликвидных активах (банковский счет, краткосрочные облигации).
Процесс регистрации компании в МФЦА подробно описан в нашем пошаговом руководстве для предпринимателей.
2. Ключевые должностные лица
AFSA требует назначить минимум трех офицеров, которые проходят Fit and Proper Test - проверку благонадежности, квалификации и репутации:
Senior Executive Officer (SEO) - генеральный директор:
Опыт в финансовой индустрии или финтехе минимум 5 лет
Высшее образование (финансы, экономика, IT, юриспруденция)
Опыт управления командой 10+ человек
Отсутствие судимостей за финансовые преступления
Владение английским языком на уровне Advanced
Money Laundering Reporting Officer (MLRO) - офицер по финансовому мониторингу:
Сертификация по AML/CFT: ACAMS (CAMS), ICA (Cert AML) или эквивалент
Опыт работы с финансовым мониторингом минимум 3 года
Специализация на криптовалютах - преимущество (опыт в криптобиржах 2+ года)
Знание FATF стандартов, Travel Rule, законодательства Казахстана о ПОД/ФТ
Ответственность: разработка AML-политики, мониторинг подозрительных транзакций, отчеты в FIU
Compliance Officer - офицер комплаенса:
Опыт внедрения процедур KYC, работы с регуляторами
Понимание требований AFSA к DASP-провайдерам
Ответственность: разработка внутренних политик, обучение персонала, взаимодействие с AFSA
Для Providing Custody регулятор дополнительно рекомендует назначить Chief Technology Officer (CTO) с опытом в области кибербезопасности минимум 5 лет. CTO отвечает за архитектуру хранения ключей, процедуры backup/recovery, защиту от взлома.
Физическое присутствие в Казахстане обязательно только для одного ключевого лица - обычно это SEO или местный представитель. Остальные офицеры могут работать удаленно из любой страны, но должны быть доступны для встреч с регулятором (онлайн или офлайн).
3. Минимальный капитал и финансовые требования
Уставный капитал $500,000 должен полностью лежать на корпоративном счете в момент подачи заявки. Регулятор не принимает обещания внести средства позже или показать инвестиционные договоры. Деньги должны быть на счете.
Professional Indemnity Insurance (страхование профессиональной ответственности):
Кастодиальная компания обязана застраховать свою ответственность перед клиентами на сумму минимум $500,000. Это покрывает убытки клиентов в случае ошибок персонала, технических сбоев, утечек данных. Стоимость страховки: $3,000-8,000/год в зависимости от объемов активов под управлением.
Казахстанские страховые компании редко работают с криптобизнесом, поэтому компании используют международных провайдеров: Lloyd's of London, Aon, Marsh. Полис должен покрывать специфические риски custody: потеря приватных ключей, взлом горячих кошельков, несанкционированный вывод средств.
Proof of Wealth для бенефициаров:
Все конечные бенефициары с долей 10%+ проходят Enhanced Due Diligence. AFSA проверяет источник богатства (Source of Wealth), чтобы убедиться, что средства получены легально и не связаны с коррупцией, отмыванием денег, финансированием терроризма.
Совет эксперта: Если учредители - граждане стран с высоким уровнем коррупции (Transparency International Corruption Index ниже 40), готовьте максимально детальный Source of Wealth с нотариально заверенными переводами документов. Я видел компанию из Узбекистана, которая потратила 4 месяца на доказательство легальности $500K - пришлось предоставить договоры на продажу трех объектов недвижимости с историей покупки за 15 лет. Проще привлечь одного западного инвестора с clean capital, чем объяснять происхождение средств из СНГ.
4. Технологическая инфраструктура
Это критически важная категория для Providing Custody. Регулятор оценивает способность компании обеспечить безопасное хранение цифровых активов на уровне институциональных стандартов.
Wallet Security (безопасность кошельков):
Компания должна разработать архитектуру хранения криптовалют с разделением на hot wallets (горячие кошельки) и cold storage (холодное хранение). AFSA рекомендует соотношение 10% горячих / 90% холодных средств. Горячие кошельки подключены к интернету и используются для оперативных выводов клиентов. Холодное хранение - офлайн-кошельки, физически изолированные от сети, для долгосрочного хранения основной массы активов.
Обязательное требование - мультиподпись (multisig) для всех выводов средств из холодного хранения. Схема минимум 2-of-3: для перевода нужно подтверждение двух из трех уполномоченных лиц (SEO, CTO, Compliance Officer). Для крупных сумм ($100,000+) рекомендуется схема 3-of-5.
MPC (Multi-Party Computation) - технология распределенной генерации приватных ключей. Вместо единого ключа, который может быть украден или потерян, система создает несколько частей (shards), распределенных между участниками. Для подписи транзакции требуется согласованное действие участников, но ключ никогда не собирается в одном месте. Это устраняет единую точку отказа.
Hardware Security Modules (HSM) - физические устройства для генерации и хранения ключей с защитой от взлома. AFSA требует HSM с сертификацией FIPS 140-2 Level 3 или выше. Устройство автоматически уничтожает ключи при попытке физического вскрытия.
KYC/AML система:
Интеграция с провайдерами идентификации: Sumsub, Onfido, Jumio. Система автоматически проверяет документы клиентов, проводит liveness-тест (селфи-видео), сверяет данные с санкционными списками OFAC, EU, UN. Стоимость интеграции: $5,000-15,000, стоимость верификации одного клиента: $0.50-2.00.
Transaction Monitoring (мониторинг транзакций):
Система алертов на подозрительную активность в режиме реального времени:
Вывод средств на новый адрес без whitelist-подтверждения
Множественные неудачные попытки доступа к аккаунту
Транзакции на суммы, превышающие дневной лимит клиента
Переводы на адреса, связанные с санкционными лицами или даркнет-площадками
Круговые транзакции (layering) - признак отмывания денег
Независимый аудит безопасности:
До подачи заявки компания обязана заказать penetration testing (тестирование на проникновение) у аккредитованной фирмы: CertiK, Trail of Bits, Kudelski Security, Hacken. Аудиторы проверяют все компоненты системы: API, кошельки, базы данных, бэкенд. Финальный отчет должен показать отсутствие критических уязвимостей (Critical и High по CVSS). Стоимость аудита: $5,000-12,000 в зависимости от сложности платформы.
Backup и Disaster Recovery:
Процедуры резервного копирования приватных ключей и восстановления доступа в случае катастрофы. Регулятор требует документировать:
RPO (Recovery Point Objective): максимально допустимая потеря данных (обычно 1 час)
RTO (Recovery Time Objective): время восстановления сервиса после сбоя (обычно 4 часа)
Географически распределенное хранение seed-фраз (минимум два физических места в разных странах)
Shamir's Secret Sharing: разделение seed-фразы на части, хранение у независимых хранителей
5. Внутренние политики и процедуры
Компания должна разработать пять обязательных политик до подачи заявки. Каждый документ проверяется case officer AFSA на соответствие стандартам регулятора.
AML/CFT Policy (Anti-Money Laundering / Countering Financing of Terrorism):
Объем: 50-80 страниц. Содержание:
Процедуры идентификации клиентов (CDD - Customer Due Diligence)
Верификация физических лиц: паспорт, proof of address, селфи
Верификация юридических лиц: сертификат регистрации, UBO declaration, финансовая отчетность
Пороги для Enhanced Due Diligence ($10,000+ транзакции, клиенты из high-risk юрисдикций)
Red flags: признаки подозрительной активности (структурирование транзакций, частые круговые переводы, отказ предоставить документы)
Процедуры freezing accounts при обнаружении связи с санкционными лицами
Reporting в FIU Казахстана (Financial Intelligence Unit) через онлайн-систему СМФМ
Хранение данных клиентов минимум 5 лет после закрытия аккаунта
Risk Management Framework (управление рисками):
Объем: 30-50 страниц. Содержание:
Классификация рисков: операционные, финансовые, технологические, репутационные, регуляторные
Risk matrix: вероятность × воздействие
Лимиты экспозиции: максимальные объемы хранения на одного клиента ($10 млн), концентрация активов (не более 30% в одной криптовалюте)
Стресс-тестирование ликвидности: сценарии массового вывода средств (bank run)
Процедуры митигации для каждого типа риска
Ежеквартальный пересмотр Risk Assessment
Cybersecurity Policy (политика кибербезопасности):
Объем: 40-60 страниц. Содержание:
Архитектура безопасности: hot/cold storage, multisig, MPC, HSM
Защита от DDoS-атак: Cloudflare, AWS Shield
Защита от фишинга: обучение персонала, двухфакторная аутентификация для всех сотрудников
Шифрование данных: AES-256 для баз данных, TLS 1.3 для API
Access control: принцип наименьших привилегий, раздельный доступ к production и development
Incident Response Plan: действия при взломе, утечке данных, потере ключей (notification клиентов в течение 24 часов, отчет в AFSA в течение 48 часов)
Мониторинг 24/7: SIEM-системы (Splunk, IBM QRadar)
Penetration testing минимум раз в год
Client Asset Protection Policy (защита активов клиентов):
Объем: 20-30 страниц. Содержание:
Сегрегация активов: средства клиентов хранятся раздельно от средств компании
Proof of Reserves: публикация on-chain адресов для верификации резервов (Merkle Tree Proof)
Страхование активов: Professional Indemnity Insurance + Cyber Insurance
Процедуры вывода средств: whitelist адресов, задержка 24 часа для новых адресов, подтверждение email + SMS
Лимиты: дневной лимит вывода на клиента ($50,000 для retail, индивидуально для institutional)
Компенсация при ошибках компании: полное возмещение в течение 7 дней
Business Continuity Plan (план обеспечения непрерывности бизнеса):
Объем: 25-40 страниц. Содержание:
Сценарии критических событий: взлом, утечка данных, потеря ключей, банкротство, смерть ключевых лиц
Процедуры восстановления сервиса для каждого сценария
Backup команды: замещающие лица для SEO, CTO, MLRO
Коммуникация с клиентами: шаблоны уведомлений, процедуры информирования о проблемах
Тестирование плана минимум раз в год
💼 Коммерческая вставка: Для открытия корпоративного счета кастодиальной компании в Казахстане сравните условия банков-партнеров МФЦА. Jusan Bank и Halyk Bank предлагают специальные тарифы для финтех-резидентов. Подробнее о корпоративном банкинге на finance.kz.
6. Офис и экономическое присутствие
AFSA требует реальное физическое присутствие на территории МФЦА для применения налоговых льгот. Виртуальный адрес не подходит для Providing Custody.
Минимальные требования к офису:
Площадь минимум 20 м² (для команды 3-5 человек)
Договор аренды на срок минимум 12 месяцев
Офисная мебель и оборудование
Интернет-соединение с резервным каналом
Физический адрес в AIFC Towers, Park of Innovative Technologies или других зданиях МФЦА
Стоимость аренды: $15-25/м² в месяц. Офис 30 м²: $450-750/месяц ($5,400-9,000/год). Альтернатива для начального этапа - коворкинг в Business Connect, но через 12 месяцев нужно переехать в собственный офис.
Substantial Presence Rules:
Минимум один сотрудник должен быть резидентом Казахстана и физически работать в офисе. Компания обязана подтверждать экономическое присутствие через:
Payroll records (ведомости зарплат казахстанским сотрудникам)
Офисные расходы (аренда, коммунальные услуги)
Количество дней физического присутствия директоров в Казахстане (минимум 30 дней/год)
Несоблюдение Substantial Presence лишает компанию налоговых льгот - регулятор может переквалифицировать компанию в нерезидента МФЦА и применить стандартные ставки налогов Казахстана (20% КПН).
7. Банковский счет
Открытие корпоративного счета - один из самых сложных этапов для кастодиальных компаний. Банки осторожно относятся к крипто-бизнесу из-за репутационных рисков и требований финансового мониторинга.
Банки, которые работают с Providing Custody (по состоянию на февраль 2026):
Jusan Bank: первый банк, подключившийся к пилоту интеграции с криптобиржами. Требования: полная лицензия AFSA (не Fintech Lab), годовой оборот прогноз $1 млн+, Enhanced Due Diligence всех бенефициаров.
Halyk Bank: крупнейший банк Казахстана. Требования: уставный капитал от $500,000 на счете, действующая платформа минимум 6 месяцев, прозрачная бизнес-модель.
Bereke Bank: специализируется на финтехе и IT-компаниях. Требования: резидент МФЦА с лицензией AFSA, AML-политика компании, список планируемых контрагентов.
Требования банков для открытия счета:
Копия лицензии AFSA или In-Principle Approval
Бизнес-план с прогнозом оборотов на 12 месяцев
AML/KYC политика компании
Source of Funds для капитала
Due diligence всех учредителей и бенефициаров
Список планируемых контрагентов (биржи, wallet-провайдеры)
Срок открытия счета: 4-8 недель после подачи полного пакета документов. Банки могут отказать без объяснения причин - в этом случае обращайтесь к альтернативным провайдерам или используйте services вроде Wallester Business (эстонский эмитент карт для финтеха).
Процесс получения лицензии Providing Custody: пошаговая инструкция
Полный цикл лицензирования занимает 10-12 недель при идеальной подготовке документов. На практике большинство компаний укладываются в 14-16 недель из-за запросов регулятора и доработок.
Шаг 1: Регистрация компании в МФЦА (5-7 дней)
Создайте Private Company Limited by Shares через портал Digital Resident (digitalresident.kz). Минимальный уставный капитал для регистрации - $1, но в Memorandum of Association укажите планируемый капитал $500,000.
Необходимые документы:
Memorandum and Articles of Association (устав компании)
Информация об учредителях: паспорта, proof of address, UBO declaration
Адрес офиса в AIFC или договор Business Connect
Регистрационный сбор: $300
Обработка заявки: 5-7 рабочих дней. За дополнительные $200 можно ускорить до 1-2 дней (expedited service). После одобрения вы получите Certificate of Incorporation - официальный документ о регистрации компании.
Шаг 2: Подготовка документов и найм персонала (4-6 недель)
Параллельно с регистрацией начинайте готовить документы для заявки на лицензию. Это самый трудоемкий этап, который определяет успех всего процесса.
Разработка пяти обязательных политик:
Наймите compliance-консультанта или специализированное агентство (YB Case, WCR Consulting, DLA Piper Kazakhstan). Стоимость: $8,000-15,000 за полный пакет из пяти политик. Срок: 3-5 недель. Не используйте шаблоны из интернета - AFSA легко распознает copy-paste и отклоняет такие заявки.
Найм ключевых офицеров:
SEO: $3,000-6,000/месяц (зависит от опыта и локации)
MLRO: $2,000-4,000/месяц (можно part-time на начальном этапе)
Compliance Officer: $1,500-3,000/месяц
CTO (рекомендуется): $4,000-8,000/месяц
Офицеры должны быть назначены до подачи заявки. Каждый предоставляет CV, сертификаты, рекомендательные письма, согласие на Fit and Proper Test.
Подготовка технической документации:
Опишите архитектуру платформы: диаграммы hot/cold storage, схемы multisig, описание HSM-модулей, процедуры backup/recovery. Если платформа еще не готова, предоставьте детальный технический проект с timeline разработки.
Шаг 3: Внесение уставного капитала ($500,000)
Откройте корпоративный счет в банке-партнере МФЦА (Jusan, Halyk, Bereke). Переведите $500,000 на счет компании с полным подтверждением Source of Funds. Банк проверяет происхождение средств через Enhanced Due Diligence - готовьте максимально детальные документы.
Альтернатива: если у вас пока нет полной суммы, начните с FinTech Lab - регуляторной песочницы с минимальным капиталом $25,000. Протестируйте бизнес-модель 12-24 месяца, затем переходите на полную лицензию.
Шаг 4: Независимый аудит IT-безопасности (2-4 недели)
Закажите penetration testing у аккредитованной фирмы. Аудиторы проверяют:
API-endpoints на уязвимости (SQL injection, XSS, CSRF)
Архитектуру кошельков (правильность реализации multisig, MPC)
Защиту приватных ключей (проверка HSM, процедур access control)
Мониторинг транзакций (тестирование алертов на подозрительную активность)
Процедуры backup/recovery (моделирование потери ключей)
Финальный отчет должен показать отсутствие критических и высоких уязвимостей. Средние и низкие уязвимости допустимы при наличии плана устранения. Стоимость аудита: $5,000-12,000.
Шаг 5: Подача заявки в AFSA (1 день)
Заполните Application Form на портале Digital Resident в разделе Licensing Applications. Загрузите все документы:
Обязательный пакет (чек-лист):
Certificate of Incorporation
Business Plan на 3-5 лет с финансовыми прогнозами
Резюме и сертификаты SEO, MLRO, Compliance Officer, CTO
5 обязательных политик (AML, Risk, Compliance, Cybersecurity, Asset Protection)
Техническая документация IT-системы
Отчет независимого аудита безопасности
Proof of Capital ($500,000 на банковском счете)
Договор аренды офиса или Business Connect Agreement
Professional Indemnity Insurance ($500,000+ coverage)
UBO Declaration: полная структура собственности до конечных бенефициаров
Source of Funds для всех учредителей
Оплатите лицензионный сбор: $7,000 (base fee) + $2,800 (digital assets surcharge) = $9,800 total.
Шаг 6: Взаимодействие с регулятором (6-10 недель)
AFSA назначает case officer - вашего единого контакта на период рассмотрения заявки. Офицер проверяет документацию по нескольким направлениям:
Legal review (юридическая проверка):
Соответствие политик требованиям AFSA Rules, корректность устава, правильность оформления UBO declaration.
Financial review (финансовая проверка):
Достаточность капитала, реалистичность бизнес-плана, легальность происхождения средств.
Technical review (техническая проверка):
Оценка архитектуры безопасности, проверка процедур защиты приватных ключей, анализ отчета аудита.
Fit & Proper Test:
Проверка благонадежности всех ключевых лиц через базы данных Interpol, санкционные списки, кредитные истории.
Регулятор направляет 2-5 раундов запросов RFI (Request for Information) - уточнения или требования доработать документы. Типичные запросы:
"Детализируйте процедуру Enhanced Due Diligence для клиентов с оборотом $50,000+"
"Опишите процесс сегрегации активов клиентов: какой банк, какой тип счета, частота сверки"
"Уточните методологию оценки рисков цифровых активов перед добавлением на платформу"
"Предоставьте подтверждение опыта CTO в области blockchain security"
Отвечайте в течение 5-7 рабочих дней. Задержка ответов автоматически увеличивает срок рассмотрения.
Интервью с ключевыми лицами:
AFSA проводит встречи (онлайн или офлайн) с SEO, MLRO, CTO. Регулятор оценивает компетентность, понимание бизнеса, готовность соблюдать требования. Типичные вопросы:
"Объясните, как вы будете обеспечивать хранение 90% активов в cold storage"
"Какие процедуры предусмотрены при обнаружении подозрительной транзакции?"
"Как компания отреагирует на взлом горячего кошелька с потерей $100,000?"
Шаг 7: Получение лицензии (1-2 недели)
При положительном решении AFSA выдает In-Principle Approval (IPA) - условное одобрение лицензии. На этом этапе нужно выполнить финальные требования:
Подтвердить физический офис в МФЦА (on-site visit регулятора)
Предоставить финальную версию Professional Indemnity Insurance
Подписать Regulatory Agreement с AFSA
После выполнения условий регулятор выдает полную лицензию Providing Custody сроком на 12 месяцев. Компания появляется в публичном реестре AFSA (afsa.aifc.kz/register).
Обязательства лицензиата:
Ежеквартальная отчетность: количество клиентов, объемы активов под управлением, выявленные инциденты
Уведомление AFSA о существенных изменениях: смена директоров, добавление новых активов, увеличение объемов выше заявленных
Ежегодный IT-аудит безопасности
Ежегодный финансовый аудит (с третьего года работы)
Оплата ежегодной пошлины: $200 Annual Return Fee
Стоимость получения лицензии Providing Custody в МФЦА
Полный бюджет запуска кастодиальной компании в первый год включает единоразовые расходы, операционные затраты и резервы.
Статья расходов | Сумма (USD) | Периодичность | Примечания |
Регистрация компании | $300-500 | Единоразово | $200 за expedited service |
Уставный капитал | $500,000 | Депозит | Возвращается при закрытии |
Лицензионный сбор AFSA | $9,800 | Единоразово | $7,000 + $2,800 (DA) |
Разработка 5 политик | $8,000-15,000 | Единоразово | Консалтинг compliance |
Аудит IT-безопасности | $5,000-12,000 | Единоразово | Повторяется ежегодно |
Зарплаты (SEO, MLRO, Compliance, CTO) | $8,000-15,000/мес | Ежемесячно | $96K-180K/год |
Офис в МФЦА | $1,000-3,000/мес | Ежемесячно | $12K-36K/год |
Professional Indemnity Insurance | $3,000-8,000 | Ежегодно | $500K coverage |
Cyber Insurance | $2,000-5,000 | Ежегодно | Опционально |
Банковский счет | $0-500 | Единоразово | Обслуживание $50-200/мес |
Интеграция wallet-провайдеров | $5,000-20,000 | Единоразово | Fireblocks, BitGo API |
Маркетинг и операционные расходы | $2,000-5,000/мес | Ежемесячно | $24K-60K/год |
Юридические услуги | $10,000-25,000 | Единоразово | Опционально |
Annual Return Fee | $200 | Ежегодно | Со второго года |
ИТОГО первый год: $120,000-180,000 (без учета уставного капитала $500K как депозита)
Операционные расходы со второго года: $100,000-150,000/год
Скрытые расходы
Компании часто недооценивают дополнительные затраты, которые возникают в процессе лицензирования и первого года работы:
Доработки после RFI: $2,000-5,000
Регулятор запрашивает доработать политики или техническую документацию - нужно снова нанимать консультантов.
Обучение персонала по AML/CFT: $500-1,500/человек
MLRO и Compliance Officer должны пройти сертификацию ACAMS или ICA - стоимость курсов + экзаменов.
Интеграция с wallet-провайдерами: $5,000-20,000
Подключение API Fireblocks, BitGo, Ledger Vault для обеспечения институционального уровня безопасности.
Локализация платформы: $3,000-8,000
Перевод интерфейса на русский и казахский языки, адаптация под местные банковские стандарты.
KYC-провайдеры: $5,000-15,000/год
Стоимость зависит от количества верифицированных клиентов (Sum