2022年11月2日10:13:31评论33 views字数 10737阅读35分47秒阅读模式

10月31日，在香港金融科技周上，香港特区政府正式发表《有关虚拟资产在港发展的政策宣言》,在监管态度方面，港府认为通过一致、明确和清晰的整全监管框架，有助奠定稳固的基础，以迎接由全球虚拟资产急速发展所带来的金融创新和科技发展。

「先进攻防社群」早先曾翻译整理了美国虚拟货币制裁合规指南，供业界参考：

https://home.treasury.gov/system/files/126/virtual_currency_guidance_brochure.pdf

介绍

虚拟货币开始在全球经济中发挥越来越重要的作用。虚拟货币作为一种货币支付方式的日益普及同样会带来更大的制裁风险，例如受制裁人员或司法管辖区内的人受到制裁的风险，制裁可能涉及虚拟货币交易。因此，虚拟货币行业，包括科技公司，交易所、管理员、矿工、钱包供应商和用户在防止受制裁人员利用虚拟货币逃避制裁，破坏美国的外交政策和国家安全利益。美国国务院财政部下属外国资产控制办公室（OFAC）正在发布该指南，以帮助虚拟货币行业减轻这些风险。

OFAC制裁合规义务同样适用于涉及虚拟货币的交易和涉及传统法定货币的交易。虚拟货币行业的成员有责任确保他们不直接或间接参与被禁止的交易。例如与被封锁的人员或财产进行交易，或从事被禁止的贸易或投资相关交易。

本指南将帮助虚拟货币行业的人员：

评估其业务线中与制裁相关的风险
建立基于风险的制裁合规计划
保护其业务免受恶意行为者违反制裁和故意滥用虚拟货币的侵害
了解OFAC的记录保存，报告，许可和执法流程

OFAC致力于与虚拟货币行业合作，以促进对制裁要求的理解和遵守和尽职调查最佳实践。

什么是OFAC?

外国资产控制办公室（OFAC）是美国财政部内负责管理的办公室，对目标外国，地理区域，实体和个人实施经济制裁，以进一步推动美国外国政策和国家安全目标。美国政府利用经济制裁来防止恐怖分子等目标，国际毒品贩运者、大规模杀伤性武器扩散者以及严重侵犯人权的肇事者进入美国。

金融体系以违反美国外交政策和国家安全利益为目的，并改变此类目标的行为。在这样，除其他外，经济制裁可以成为一种强大的外交政策工具，但制裁的有效性取决于积极的受美国管辖的每个人的参与，包括虚拟货币行业内的人员。

什么是OFAC Sanctions?

OFAC管理着超过35个不同的制裁计划，每个计划都旨在应对特定威胁，并进一步推动美国的外交政策和国家安全目标。因此，每个方案中采用的制裁类型可能不同。一般来说，外国资产管制处的制裁可以是全面或有针对性的性质，可能要求冻结资产或对金融或贸易相关活动施加限制特定人员、国家、地区或政府。

外国资产管制处管理的最全面的制裁方案通常包括以下几类或全部制裁，而其他制裁计划可能只采用以下一些选项：

基于广泛的贸易制裁或禁运禁止与整个国家或地理区域，除非获得豁免或授权。这种制裁通常包括禁止进口或出口货物或向或来自受制裁者的服务管辖权。这样的制裁目前的司法管辖区包括古巴、伊朗、朝鲜、叙利亚、和乌克兰的克里米亚地区。
政府或政权制裁

(1)中的任何一个都需要阻塞所有财产和利益在特定的财产外国政府或政权属于或属于美国或占有或控制美国人 (2)禁止特定类型交易和活动涉及特定的外国政府或政权
基于列表制裁针对特定的、列出的个人和实体以及(1)要求封锁所有财产和权益这些名单上的人的财产属于或属于美国或占有或控制美国人，或(2) 禁止特定类型的交易和活动列出的人。
部门制裁针对个人和实体在特定行业运营外国经济或禁止特定活动与某个部门相关联外国的经济。

在基于名单的制裁管理中，OFAC 维护了多个个人和实体的公开名单，以及他们被识别的被阻止的名单OFAC 制裁针对的财产，例如飞机和船只。其中最突出的是特别指定国民和阻止人员列表，称为 “SDN名单。”

SDN 列表和综合制裁名单——一份名单结合所有其他制裁名单，由 OFAC 维护 — 可用于在许多不同的数据中公开使用格式和数据模式。让它更容易筛选和使用 OFAC 的制裁措施出于合规目的，OFAC 拥有免费搜索工具，制裁名单搜索，它可以在所有地方进行搜索OFAC 管理的制裁名单。

正如 OFAC 的 50% 规则中所解释的，OFAC 的制裁名单不单独列出所有拥有的实体的名称, 被阻止的人的百分50或更多，或国家、地区或政府受到更全面的制裁。OFAC 的制裁计划是动态的，所以事先对各方进行尽职调查和你打算做的地方业务是必不可少的。有关更多特定计划的制裁信息，请访问OFAC 的制裁计划和国家信息网页。

SDN 列表

外国资产管制处的特别指定国民和被封锁人员名单（"SDN名单"）是外国资产管制处作为其执法工作的一部分而公布的受制裁人员名单。名单包括某些因与目标国家有联系而受到制裁的个人和实体，地理区域或政权。SDN 列表还包括个人、组和实体，例如被制裁指认的恐怖分子、贩毒者和侵犯人权者非特定司法管辖区的计划。集体，被指认的个人和实体被称为"特别指定的国民和被封锁的人"或"SDN"。

截至本文件出版时，OFAC的SDN清单包含9，000多个指定名称（或其变体）位于世界各地的个人和实体，以及某些财产的识别受到船只和飞机等制裁的阻碍。SDN 列表经常更新，并且您可以注册以在OFAC更新其SDN列表时接收电子邮件通知。

此外，根据OFAC的"50%规则"，任何直接或间接拥有的实体， 50%或以上，单独或由一个或多个被封锁的人合计，也是被视为被阻止人员，即使该实体本身未出现在 SDN 列表中，并且同样的限制也适用。

一般而言，除非获得OFAC的豁免或授权，否则禁止美国人进行交易。与SDN或被阻止的人员直接或间接共享，并且必须阻止其拥有或控制的任何财产 SDN或被阻止的人感兴趣。要了解有关外国资产管制处维持的其他制裁名单的更多信息，请访问外国资产管制处的 "其他外国资产管制处制裁名单"网页。

你如何“封锁”虚拟货币？

一旦美国人确定他们持有根据 OFAC 的规定需要封锁的虚拟货币，该美国人必须拒绝所有各方访问该虚拟货币，确保他们遵守与持有和报告相关的 OFAC 法规冻结资产，并实施与基于风险的方法相一致的控制。美国人没有义务转换被阻止的虚拟货币转换为传统的法定货币（例如美元），并且不需要在计息账户中持有此类被冻结的财产。被冻结的虚拟货币必须在 10 个工作日内向 OFAC 报告，此后每年报告一次，只要该虚拟货币仍然被封锁。

案例学习

近年来，OFAC的制裁越来越多地针对使用虚拟货币的个人和实体。恶性活动。例如，2020年3月2日，OFAC制裁了两名参与朝鲜国家的中国公民——赞助的洗钱计划。这些人收到了大约1亿美元的虚拟货币，这些虚拟货币是从网络中窃取的入侵两个虚拟货币交易所，并开始在复杂交易中分层资金，包括购买超过100万美元的数字音乐礼品卡。最近，在2021年9月21日，OFAC指定了一种俄罗斯虚拟货币交换，以促进勒索软件行为者的金融交易。根据对已知交易的分析，超过40%的交易所交易历史与非法行为者有关，涉及至少八个勒索软件的收益变种。随着受制裁的个人和国家越来越迫切地希望进入美国金融体系，至关重要的是虚拟货币行业优先考虑网络安全并实施有效的制裁合规控制，以降低受制裁的个人和其他行为者利用虚拟货币破坏美国的外交政策利益和国家安全。

谁必须遵守OFAC的制裁？

所有美国人都必须遵守OFAC的规定。这包括所有美国公民和合法永久居民，无论位于何处;美国境内的所有个人和实体;以及根据美国法律组织的所有实体，或美国境内的任何司法管辖区，包括这些实体的任何外国分支机构。因此，任何从事虚拟货币的人在美国境内的活动，或涉及美国个人或实体的活动，应了解OFAC的制裁要求和他们必须遵守这些要求的情况。

根据管理每个制裁计划的当局，其他人也可能被要求遵守OFAC制裁要求。例如，OFAC的古巴、伊朗和朝鲜制裁计划将制裁禁令扩大到拥有或拥有的某些外国实体。由美国人或美国金融机构控制。非美国的某些活动涉及美国人、美国人、或从美国出口的货物或服务也可能受到OFAC制裁条例的约束。此外，在大多数制裁计划中，任何导致违规行为的交易 - 包括非美国的交易。导致的人美国人违反制裁 - 也是被禁止的。对于某些制裁计划，美国人，无论身在何处，也被禁止从促进代表非美国的行动个人，如果该活动将由制裁条例禁止，如果活动由美国人或在美国境内发起。

严格责任规定

OFAC 通常会根据严格的责任法律标准对违反制裁的行为实施民事处罚。这意味着，在许多情况下，一个美国人可能会因违反制裁而被追究民事责任，即使他不知道或没有理由知道它正在从事此类活动违反。然而，作为一般事项，OFAC 会考虑围绕一个明显的以确定适当的执法响应。例如，OFAC 可能将虚拟货币视为缓解因素，公司实施基于风险的 OFAC 合规计划以及针对明显违规行为采取的补救措施。

外国资产管制处的要求和程序

外国资产管制处的若干要求和程序，例如某些报告和记录保存要求以及许可证发放程序，统一适用于各种制裁计划。

报告要求

初始被冻结的财产报告必须在财产被冻结之日起10个工作日内提交。

截至当年6月30日持有的所有被冻结财产的年度冻结财产报告必须在不迟后每年提交比每年9月30日。

被拒绝的交易报告必须在交易因制裁而被拒绝之日起10个工作日内提交要求。

OFAC 可能会要求提供与受 OFAC 法规约束的交易或财产相关的信息的按需报告。在任何时候，通过行政传票。

OFAC强烈鼓励申报者通过OFAC的安全电子提交初始被冻结的财产和被拒绝的交易报告报告平台，OFAC报告系统（ORS）。注册以通过ORS提交此类报告，或获取ORS计划信息，请发送电子邮件至 [email protected]。

记录保存要求

谁？从事受OFAC法规约束的交易的每个人以及被冻结财产的持有人都必须保留记录并提供这些记录以供审查。
什么？根据OFAC的规定，每笔交易都需要完整和准确的记录，包括交易根据许可证（无论是一般许可证还是特定许可证）以及持有的被冻结的财产进行处理。
多久？所需记录必须在交易日期后保留五年，或者就阻止财产而言，从财产被解封的五年后算起。

许可程序

OFAC 可能会例外，以允许被制裁禁止的活动或不以其他方式豁免的活动。这些例外可能采取以下形式。

一般许可证，是公开发行的、自动执行的授权，允许执行某些类别的交易或所有美国人或相关制裁机构确定的人员的活动。

根据要求，OFAC 还可以颁发特定许可证，这些许可证是响应特定许可证申请而颁发的授权，允许申请人从事否则将被禁止的特定交易或活动，或个性化的解释指导，如果以帮助阐明监管要求如何适用于特定交易。对特定许可或解释的每个请求指南由 OFAC 逐案审查，通常需要在 OFAC 之前与其他美国政府机构进行协调可以下定决心。OFAC 在对每个请求做出决定后向申请人提供书面答复。鼓励申请人以电子方式提交特定的许可申请和解释性指导请求，使用OFAC 的许可证申请门户。

不合规的后果

不遵守 OFAC 制裁要求可能会对美国制裁计划的完整性和有效性造成重大损害及其相关的政策目标。因此，对违规行为的民事和刑事处罚可能很重。OFAC 有权对违规行为实施民事处罚，具体处罚可能因制裁计划而异。

执法程序

执行指南 - OFAC的制裁执行过程中描述的经济制裁执行指南控制程序。OFAC鼓励虚拟货币行业审查有关 OFAC 的更多信息的执法指南制裁执行的方法。

执法行动 -OFAC 可能会采取多种行动以应对明显的违规行为。这些可以包括要求相关方提供更多信息；发出“不采取行动”信、“警告”信，“发现违规”或民事罚款解决明显的违规行为；达成和解与有关各方；或将此事转介给其他人政府机构，如果合适的话，为刑事犯罪调查。查看 OFAC 公众的完整列表执法行动，请访问我们的民事处罚和执法信息网页。

自愿自我披露

对于那些相信他们可能违反了 OFAC 管理的法规，OFAC 鼓励自愿向 OFAC 披露明显的违规行为。自主性向 OFAC 进行自我披露可能会被视为缓解因素。OFAC 在执法行动中以及根据执法指导方针，可能导致基数减少 50%任何拟议的民事处罚金额。自愿的自我披露可以通过电子方式提交至 [email protected]。

除非披露是首次披露在补充信息的情况下，自愿提交的自我披露应包含足够的细节，以提供 OFAC 全面了解周围的情况明显的违规行为。OFAC 的合规办公室和执行 (OCE) 数据交付标准指南：首选向 OFAC 提供产品的实践详细说明了 OFAC 的首选技术格式化电子文档产品的标准提交。

虚拟货币行业的制裁合规最佳实践

一般来说，包括虚拟货币行业成员在内的美国人有责任确保他们不参与未经授权的交易或与受制裁人员或司法管辖区的交易。

OFAC强烈鼓励采取基于风险的制裁合规方法，因为没有单一的合规计划或解决方案适合各种情况或业务。虚拟货币行业成员的适当合规解决方案将取决于各种因素，包括所涉及的业务类型，规模和复杂性，提供的产品和服务，客户和交易对手和所服务的地理位置。

外国资产管制处的OFAC合规承诺框架提供了有关制裁合规计划：

该框架还包括一个附录，其中强调了违反制裁的若干最常见根源外国资产管制处已查明。
虚拟货币行业的所有公司，包括技术公司，交换者，管理员，矿工，和钱包提供商，以及更传统的金融可能接触虚拟货币或其虚拟货币的机构。鼓励服务提供商开发、实施和定期更新，量身定制的、基于风险的制裁合规程序。此类合规计划通常应包括制裁名单和地理筛选等适当由公司独特的风险状况确定的衡量标准。
高级管理层对公司制裁合规计划的承诺是确定计划的成功。高级管理层的支持对于确保遵守制裁工作获得足够的资源至关重要，并且完全融入公司的日常运营。来自顶部的适当语气也有助于使程序合法化，增强公司的制裁合规人员，并培养全公司的合规文化。
管理层对公司承诺的重要性，基于风险的制裁合规计划在虚拟中是相同的货币行业与其他任何行业一样。在许多情况下，外国资产管制处有观察到虚拟货币行业成员实施外国资产管制处在数月甚至数年后的制裁政策和程序。开始运营、延迟开发和实施的制裁合规计划可以暴露虚拟货币公司面临各种各样的潜在制裁风险。它从来都不是评估潜在制裁风险还为时过早;这包括beta测试阶段的虚拟数字货币公司操作。这些公司应考虑遵守制裁在测试和审查过程中，以便遵守制裁可以解释为技术正在开发和先前以推出新产品。
虚拟货币公司的高级管理人员行业可考虑采取以下步骤表明他们对遵守制裁的支持：

审查并认可制裁合规政策和程序
确保充足的资源，包括人力资本、专业知识、信息技术和其他资源 — 支持合规性功能
将足够的自主权和权力下放给合规单位
任命一名专门的制裁合规官具备必要的技术专长

风险评估

制裁风险是漏洞，如果被忽视或处理不当，可能导致违反OFAC的法规并随后执行行动，损害美国外交政策和国家安全利益，以及对公司声誉和业务的负面影响。外国资产管制处建议虚拟货币行业的公司制定制裁合规计划，并进行例行检查，如果进行适当的持续风险评估，以确定公司可能遇到的潜在制裁问题。

虽然没有"一刀切"的风险评估，但这项工作应该通常包括对公司进行全面审查以评估其接触点外国司法管辖区或个人。此过程允许公司识别它可能直接或间接与OFAC接触的潜在领域-受制裁人员、国家或地区。风险评估的结果是制定有效的制裁合规政策、程序、内部控制和培训，以减轻制裁风险。

OFAC鼓励虚拟货币行业成员进行评估他们受到OFAC制裁的风险，并采取措施将风险降至最低 -包括通过制定适当的制裁遵守情况计划— 在向客户提供服务或产品之前。虚拟货币公司的风险评估过程应根据类型量身定制提供的产品和服务的数量以及此类产品的地点并提供服务。适当定制的风险评估应反映公司的客户或客户群，产品，服务，供应链，交易对手、交易和地理位置，还可能包括评估交易对手方和合作伙伴是否有足够的合规程序。

案例-诊断风险关系

用于处理虚拟货币的虚拟货币支付服务提供商公司客户与位于受制裁司法管辖区的人士。虽然公司的制裁合规控制包括筛选其直接客户 — 美国和其他地方的商家 —对于与制裁的潜在联系，该公司未能进行筛选有关使用其付款的个人的可用信息处理平台从这些商家购买产品。

具体而言，在进行交易之前，公司收到有关某些买家的信息，例如姓名，地址，电话号码、电子邮件地址，有时还有互联网协议（IP）地址。全面的风险评估，包括了解谁在访问公司的平台或服务。帮助虚拟货币行业成员识别合适的筛选标准，为其每个产品和服务设定。

内部控制

有效的制裁合规计划将包括旨在解决公司风险中发现的风险的政策和程序评估。这些可能包括识别，阻止，升级，报告（酌情）和维护交易记录或外国资产管制处管理的制裁所禁止的活动。有效的制裁合规计划将使公司能够进行足够的制裁对客户、业务合作伙伴和交易进行尽职调查，并确定"危险信号"。危险信号表明非法活动或可能会发生合规性故障，促使公司进行调查并采取适当的措施。政策和程序应强制执行，并应确定弱点（包括通过对任何合规性的根本原因分析违规行为）并进行了补救，以防止可能违反制裁。

在虚拟货币行业，内部控制公司实施将取决于，除其他外事物，公司提供的产品和服务，公司运营地点，用户所在地，以及公司识别哪些制裁特定风险在其风险评估过程中。内部控制通常涉及使用行业特定的工具，例如筛选、调查和交易监控。虽然OFAC不需要虚拟货币行业使用任何特定的内部或第三方软件，这些可以成为有效制裁的有用工具合规计划。

个案研究

虚拟货币行业成员面临的一个制裁风险来自位于受制裁司法管辖区的用户，他们试图访问虚拟货币产品和服务。根据具体情况，这可能会导致违反制裁。2020年，一家提供数字资产托管的美国公司，国际贸易和融资服务达成和解与OFAC达成协议，代表处理虚拟货币交易似乎位于受制裁司法管辖区的个人。尽管该公司在用户登录时跟踪了其用户的IP地址，出于安全目的，公司没有使用IP地址信息收集以筛查和防止潜在的制裁违规行为。结果，该公司未能阻止使用其非托管安全数字钱包IP地址位于克里米亚的个人的管理服务。乌克兰、古巴、伊朗、苏丹和叙利亚地區 — 所有受制裁的司法管辖区。实施内部控制以筛选可用数据和阻止涉及某些 IP 地址的活动可以防止违反制裁。

OFAC建议虚拟货币公司采用以下最佳做法来加强内部控制，作为有效的制裁合规计划：

地理位置工具

合并地理位置工具和 IP 地址阻止控制。受到严厉制裁的虚拟货币公司合规计划应该能够使用地理位置工具来识别和防止来自受制裁司法管辖区的IP地址访问公司的网站和服务，从事OFAC法规禁止的活动，未经授权或豁免。没有这些内部控制，虚拟货币公司可能无法阻止位于全面制裁司法管辖区的人员从访问其平台或服务到从事禁止的活动。

分析工具可以识别IP错误归属，例如，通过以下方式：

根据已知的虚拟专用网络（VPN） IP 地址筛选 IP 地址，并识别不可能的登录（如同一用户）使用美国的IP地址登录，然后不久后使用日本的IP地址登录）。
此外，虚拟货币公司通常会获得其他信息，这些信息可以提醒公司涉及特定交易。位于受制裁司法管辖区的人。这些数据可能来自客户或交易对手提供的地址信息，电子邮件地址中包含的信息，发票和其他交易信息以及其他来源。

公司应考虑将此类信息的审查纳入其制裁合规计划，即使出于其他原因获得此类信息，例如出于业务或安全目的 — 确保公司将所有可用信息用于制裁合规目的。OFAC已对虚拟货币行业中从事违禁活动的公司采取了执法行动，因为他们未能阻止受制裁司法管辖区的用户访问和使用其平台。这部分是由于未能使用他们拥有的地理位置信息。（请参阅OFAC的民事处罚和执法信息网页，了解针对2020年和2021年的虚拟货币公司。

了解您的客户（KYC）程序在入职期间和整个生命周期内获取有关客户的信息客户关系，并使用此类信息进行尽职调查，足以减轻潜在的制裁相关风险。这可以在制裁筛选过程中使用信息来防止违规行为。例如，信息收集可能包括在入职、定期审核期间和处理客户交易时具有以下元素：

个人：法定姓名，出生日期，实际和电子邮件地址，国籍，与交易和登录相关的IP地址，
银行信息，以及政府身份证明和居留文件
实体：实体名称（包括商业和法定名称）、业务范围、所有权信息、实际地址和电子邮件地址、位置信息，与交易和登录相关的IP地址，有关实体开展业务的地方的信息，银行信息和任何相关的政府文件

高风险客户可能需要额外的尽职调查。例如，这可能包括检查客户交易历史记录用于与受制裁司法管辖区的联系或与受制裁行为者相关联的虚拟货币地址的交易。此外，根据现有的反洗钱（AML）义务（如适用）收集的信息也可能是有助于评估和减轻制裁风险。

交易监控和调查交易监控和调查软件可用于识别交易

涉及虚拟货币地址或其他识别信息（例如，发起人、受益人、发起人和受益人交易所，以及基础交易数据），与 SDN 名单或其他制裁名单上列出的受制裁个人和实体相关联，或位于在受制裁的司法管辖区。这种内部控制有助于虚拟货币公司有能力防止转移到地址与受制裁人员有关联，避免违反美国制裁。虚拟货币行业的人也可能使用交易监控和调查工具，以不断审查此类地址的历史信息或其他识别信息，以更好地了解他们面临的制裁风险，并识别制裁合规计划的缺陷。

2018年，OFAC开始将某些已知的虚拟货币地址作为SDN名单上所列人员的身份信息。这些虚拟货币地址可以使用OFAC制裁名单搜索工具中的"ID #"字段进行搜索。作为最好的基于风险的合规实践，在虚拟货币行业运营的公司应采用足以识别和阻止的工具与被阻止人员相关的交易，包括与SDN列表中包含的虚拟货币地址相关的交易。

此外，OFAC将虚拟货币地址列入SDN列表可能有助于该行业识别其他虚拟货币地址可能与被封锁的人员相关联或以其他方式构成制裁风险，即使这些其他地址未在SDN上明确列出列表。例如，与列出的虚拟货币地址共享钱包的未上市虚拟货币地址可能会带来制裁风险，因为共享钱包可能表明与被封锁的人有关联。同样，虚拟货币公司可以考虑进行在OFAC在SDN列表中列出虚拟货币地址以识别与所列地址的连接之后，交易活动的历史回顾。

回溯还可以识别与以前与列出的地址进行交易的未列出地址的连接，因此未列出地址也可能构成制裁风险，具体取决于这些交易的性质。虚拟货币行业的公司可能会考虑部署区块链分析工具，以帮助识别和减轻这些制裁风险。

实施补救措施

在得知公司制裁合规内部控制（包括发现明显违反制裁的行为），鼓励虚拟货币公司立即采取有效行动，在可能的情况下，识别和实施补偿控制，直到可以确定和纠正弱点的根本原因。根据其执法指南，OFAC 可能将虚拟货币视为潜在执法行动中的缓解因素公司针对明显违规行为采取的补救措施的实施情况。

制裁筛选

筛选可能是虚拟货币公司内部控制的重要组成部分，可能包括地理位置，客户识别、交易筛选等。虚拟货币公司应考虑实施以下措施将相关最佳实践筛选到其制裁合规计划中：

在入职时，根据OFAC管理的制裁名单（包括SDN名单）筛选客户信息
筛选交易以识别地址，包括物理，数字钱包和IP地址，以及其他相关信息与受制裁人员或司法管辖区的潜在联系
利用筛选工具的模糊逻辑功能来解释常用名称变体和拼写错误，例如：

与受制裁司法管辖区相关的拼写错误或替代拼写（例如，"雅尔塔，克里米亚"）
外国资产管制处制裁名单上所列人员姓名的大小写、空格或标点符号的变化（例如，"Krayinvestbank"可以出现在SDN列表中，但"Krajinvestbank"或"Kray Invest Bank"可能会出现在提供给虚拟的交易信息中

持续的制裁筛选和基于风险的重新筛选（例如，与历史回顾相关）以考虑更新的客户信息、OFAC 制裁名单的更新或监管要求的变化

补救违规的核心要素

为了应对OFAC的执法行动，虚拟货币公司已采取行动纠正其明显违规行为的核心要素，以识别其内部控制中的弱点，并实施新的控制措施。防止将来发生违规行为。其中一些补救措施包括：

实施 IP 地址阻止和电子邮件相关受制裁司法管辖区的限制
实施与OFAC相关的培训计划员工
创建受制裁司法管辖区城市的关键字列表，筛选KYC信息时要使用的区域
对所有相关人员进行额外的制裁合规培训
审查和更新最终用户协议以包括有关美国制裁要求的信息
雇用额外的合规人员和专职的主管或制裁合规官
对所有用户进行追溯性批量筛选

风险指标或危险信号

除了筛选交易和其他KYC识别信息外，虚拟货币公司还应考虑监控交易和用户的风险指标或"危险信号"，这些指标或"危险信号"可能表明制裁关系。风险指标的示例可能是以下个人或实体：

在尝试开立账户时提供不准确或不完整的客户身份或KYC信息
尝试从连接到受制裁司法管辖区的 IP 地址或 VPN 访问虚拟货币兑换
没有响应或拒绝提供更新的客户身份或KYC信息
没有响应或拒绝提供额外的交易信息以响应虚拟货币公司的请求
尝试使用与被封锁人员或受制裁司法管辖区关联的虚拟货币地址进行交易

此外，酌情表明洗钱或其他非法金融活动的"危险信号"也可能表明可能逃避制裁。

测试和审核

确保制裁合规计划如预期的那样有效的最佳方式是测试该计划的有效性。在其制裁合规中纳入全面、独立和客观的测试或审计职能的公司计划配备齐全，以确保他们了解其计划的执行情况以及需要更新的方面，加强或重新校准，以应对不断变化的风险评估或制裁环境。

公司的规模和复杂程度可能决定其是否对其制裁合规情况进行内部和外部审计程序。虚拟货币行业制裁合规计划中测试和审计程序的一些最佳实践包括：

制裁名单筛选确保SDN名单和其他制裁名单的筛选有效且适当
标记交易以供进一步审核关键字筛选，确保筛选工具适当地标记与KYC相关的地理关键字筛选或其他交易IP。确保IP地址阻止访问工具，正确防止受制裁司法管辖区的用户访问其产品和服务
调查和报告审查程序，用于调查通过筛选过程确定为具有潜在的制裁关系（例如，涉及被封锁人员或与受制裁司法管辖区相关的关键字的交易）以及向OFAC报告被冻结财产或被拒绝交易的程序

培训

最后，针对制裁的培训对于任何公司的制裁合规计划的成功都至关重要。公司范围培训将根据公司的规模，复杂性和风险状况进行。应向所有适当的人提供外国资产管制处的培训员工，包括合规、管理和客户服务人员，应每年定期进行。

一个完善的OFAC培训计划将根据需要提供特定工作的知识，沟通制裁每位员工的合规责任，并通过评估的使用。对虚拟货币行业的有效OFAC培训应考虑到制裁计划的频繁变化和更新，以及虚拟货币领域的新兴技术。

点击左下角“阅读原文”,加入先进攻防社群

原文始发于微信公众号（赛博攻防悟道）：美国OFAC「虚拟货币行业」制裁合规指南

左青龙
微信扫一扫

右白虎
微信扫一扫