Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Verifiable credentials и ZK-KYC: как доказать личность без раскрытия паспортных данных

Verifiable credentials (VC) — цифровые удостоверения стандарта W3C, позволяющие доказать факт (совершеннолетие, KYC-статус, резидентство) без передачи самих документов верифицирующей стороне. В связке с ZK-доказательствами это означает: можно подтвердить, что вы прошли KYC у доверенного эмитента, не раскрывая имя, дату рождения или номер паспорта. Технология находится на ранней стадии внедрения — массового применения в российской финансовой инфраструктуре в 2026 году нет.

Автор: ~8 мин

Что такое verifiable credentials и чем они отличаются от обычных документов?

Verifiable credential (VC) — цифровое удостоверение по стандарту W3C, состоящее из трёх компонентов: эмитент (выдающая организация), держатель (владелец), верификатор (принимающая сторона). Эмитент подписывает утверждение криптографически — например, «этот человек прошёл KYC». Держатель хранит VC в цифровом кошельке. Верификатор проверяет подпись эмитента, не обращаясь к оригинальным данным. В отличие от бумажного паспорта, VC не нужно копировать и передавать. Риск: VC зависят от доверия к эмитенту — если эмитент скомпрометирован или отозвал сертификат, VC становится недействительным.

Источник: ЦБ РФ

Как ZK-доказательства усиливают приватность verifiable credentials?

ZK-KYC — комбинация VC и zero-knowledge proof: держатель доказывает, что обладает действительным VC от доверенного эмитента, не раскрывая его содержание. Верификатор получает математическое доказательство факта («пользователь совершеннолетний и не из санкционной юрисдикции»), но не видит имя, дату рождения или номер документа. Polygon ID реализует эту схему для DeFi-протоколов. Риск: ZK-схемы математически сложны — ошибка в реализации может создать уязвимость, позволяющую предъявлять поддельные VC без обнаружения.

Где verifiable credentials применяются в финансах в 2026 году?

Основные области применения: DeFi-протоколы с compliance-требованиями (доступ только для верифицированных пользователей без раскрытия данных бирже); корпоративное управление DAO (голосование только для KYC-участников); трансграничные платежи (подтверждение AML-статуса без передачи данных каждому банку в цепочке). Пилоты запущены в ЕС в рамках eIDAS 2.0 и European Digital Identity Wallet. Риск: совместимость между системами VC от разных эмитентов (российских и европейских) в 2026 году ограничена — отсутствует единый реестр доверенных эмитентов.

Существуют ли verifiable credentials в российской инфраструктуре?

В России ближайший аналог — Госуслуги и ЕСИА (Единая система идентификации и аутентификации). ЕСИА позволяет подтверждать личность на сторонних сервисах через OAuth, но не реализует VC-стандарт W3C и не обеспечивает ZK-приватность. ЦБ РФ и Минцифры изучают концепции цифрового удостоверения личности, однако стандарта verifiable credentials в российских нормативных актах нет. Риск: использование западных VC-систем (Polygon ID, Microsoft Entra Verified ID) российскими резидентами сопряжено с санкционными рисками и отсутствием правовой базы.

Как verifiable credentials связаны с концепцией Self-Sovereign Identity (SSI)?

Self-Sovereign Identity (SSI) — концепция, при которой человек полностью контролирует свои цифровые идентификаторы без зависимости от централизованного провайдера. VC является ключевым элементом SSI: пользователь хранит свои удостоверения в личном кошельке и выборочно раскрывает нужные атрибуты. Децентрализованные идентификаторы (DID) служат адресами для VC-кошельков. Риск: SSI-концепция конфликтует с требованиями AML/KYC регуляторов о раскрытии данных по запросу — полная самосуверенность идентификатора юридически невозможна в большинстве юрисдикций.

Источник: ЦБ РФ

Влияет ли использование ZK-KYC на налоговые обязательства в РФ?

Нет. Метод верификации личности не влияет на налоговые обязательства. Доходы от операций с криптовалютой облагаются НДФЛ 13–15% вне зависимости от того, как был пройден KYC — через традиционную передачу паспорта или ZK-VC. Практическая сложность: если ZK-KYC используется для доступа к DeFi-протоколам, ФНС всё равно требует документирования всех транзакций для декларирования. Анонимизация верификации не означает анонимизации доходов. Риск: регуляторное давление на приватные финансовые инструменты нарастает — статус ZK-KYC в российском праве не определён.

Источник: ЦБ РФ

Признаёт ли российское законодательство verifiable credentials как документ?

Нет. Российское законодательство не содержит понятия verifiable credentials как юридически значимого документа. Электронные документы с юридической силой в РФ регулируются ФЗ об электронной подписи (63-ФЗ) и требуют квалифицированной ЭП, а не VC-стандарта W3C. VC в российской правовой среде — технологическая концепция без правового статуса.

Эксклюзив от ИнвестХомяка

Сравнение подходов к цифровой идентификации для финансовых сервисов

МетодЧто раскрывается верификаторуПрименение в РФ 2026
Традиционный KYC (копия паспорта)Полные паспортные данные, фото, адресСтандарт для всех российских финансовых сервисов
ЕСИА / Госуслуги OAuthПодтверждённые атрибуты (ФИО, дата рождения)Широкое — банки, госсервисы, брокеры
Verifiable Credentials (W3C)Только запрошенные атрибуты, подпись эмитентаЕдиничные пилоты, нет правовой базы в РФ
ZK-KYC (VC + ZK-proof)Только факт соответствия условию (да/нет)Экспериментальный, нет массовых внедрений в РФ

Традиционный KYC vs ZK-KYC: сравнение для пользователя

КритерийТрадиционный KYCZK-KYC (verifiable credentials)
Данные, передаваемые сервисуПаспорт, селфи, адрес — полный пакетТолько ZK-доказательство факта
Риск утечки данныхВысокий — данные хранятся у каждого сервисаМинимальный — паспортные данные не передаются
Доступность в РоссииПовсеместнаяЭкспериментальная, нет правовой базы
Совместимость с AML-требованиямиПолнаяЧастичная — регуляторы требуют доступа к данным
Скорость верификацииМинуты–часы (ручная проверка)Секунды (автоматическая криптографическая проверка)

Как следить за развитием ZK-идентификации и применять доступные инструменты

  1. Изучите текущие возможности ЕСИА для минимизации передачи данных

    ЕСИА уже позволяет авторизоваться на сторонних сервисах без создания новых аккаунтов с повторным KYC. Используйте «Войти через Госуслуги» где доступно — это снижает число копий ваших документов у разных организаций.

  2. Следите за развитием European Digital Identity Wallet

    eIDAS 2.0 и EUDI Wallet — наиболее продвинутая реализация VC в мире. Российские пользователи с европейскими документами или ВНЖ смогут использовать её напрямую. Следите за публичными пилотами — они показывают реальное применение технологии.

  3. Изучите Polygon ID для понимания ZK-KYC на практике

    Polygon ID — публично доступная реализация ZK-верификации на базе VC. Документация и демо-приложения позволяют понять механику без финансовых рисков. Это образовательный ресурс для понимания технологии.

  4. Оцените риски перед использованием любого ZK-идентификационного сервиса

    Перед использованием нового VC-сервиса проверьте: кто является эмитентом VC, аудированы ли смарт-контракты, каков юридический статус в вашей юрисдикции. Отсутствие правовой базы в РФ означает, что VC не имеет юридической силы для российских регуляторов.

  5. Документируйте все финансовые операции независимо от метода KYC

    Независимо от того, как вы прошли идентификацию — через паспорт или ZK-VC — ведите полный учёт крипто-транзакций для НДФЛ-декларирования. Метод верификации не влияет на налоговые обязательства перед ФНС России.

Частые вопросы

Признаёт ли российское законодательство verifiable credentials как документ?

Нет. Российское законодательство не содержит понятия verifiable credentials как юридически значимого документа. Электронные документы с юридической силой в РФ регулируются ФЗ об электронной подписи (63-ФЗ) и требуют квалифицированной ЭП, а не VC-стандарта W3C. VC в российской правовой среде — технологическая концепция без правового статуса.

Можно ли использовать ZK-KYC для доступа к зарубежным DeFi-протоколам из России?

Технически — да, если протокол поддерживает ZK-верификацию и не блокирует российские IP. Polygon ID и аналогичные системы работают с некастодиальным кошельком без географических ограничений на уровне протокола. Санкционный риск: использование протоколов, требующих подтверждения «не из санкционной юрисдикции», при нахождении в РФ создаёт правовую неопределённость.

Что такое DID (Decentralized Identifier) и как он связан с VC?

DID — децентрализованный идентификатор, уникальный адрес в блокчейне или распределённом реестре, который служит «адресом» для verifiable credentials. Аналог адреса электронной почты, но без центрального регистратора. Эмитент VC подписывает удостоверение, привязывая его к DID держателя. Стандарт W3C DID принят в 2022 году.

Чем verifiable credentials отличаются от NFT как идентификатора?

NFT — токен в блокчейне, публично верифицируемый, но и публично видимый — любой может увидеть, какие NFT хранятся на адресе. VC — приватный цифровой документ, хранящийся в кошельке пользователя, раскрываемый только по выбору владельца. NFT не обеспечивает приватности, VC — обеспечивает. Гибридные решения (Soul-bound tokens + ZK) исследуются как компромисс.

Какие крупные компании внедряют verifiable credentials в 2026 году?

Microsoft Entra Verified ID, Dock.io, Spruce Systems работают с корпоративными VC. В финансах: MAS (Монетарное управление Сингапура) пилотирует VC для трансграничных платежей. В ЕС — European Digital Identity Wallet (eIDAS 2.0) обязателен для всех стран-членов. Крупные банки BNP Paribas, Deutsche Bank участвуют в пилотах. В России аналогов нет.

Похожие материалы

Источники