Основатель микрокредитного сервиса потратил 400 000 ₽ на «полноценный KYC» в первой версии MVP. Интегрировали паспортную верификацию, selfie-сравнение, проверку по базам. Звучит солидно. Проблема — ни один из первых 200 пользователей не прошёл верификацию до конца: форма была слишком длинной, мобильная камера постоянно «не читала» паспорт, а ошибки приходили без объяснений. Конверсия верификации составила 11%.
Это классическая ошибка pre-seed стартапа: строить KYC в FinTech стартапе как в банке, когда нужно сначала проверить гипотезу о продукте. KYC в FinTech стартапе — это не одно решение, а три принципиально разных подхода с разной ценой, скоростью и применимостью на каждом этапе роста.
Что такое KYC и зачем он FinTech стартапу
KYC (Know Your Customer — «знай своего клиента») — это процедура верификации личности пользователя перед предоставлением финансовых услуг. В контексте FinTech это требование двух видов: регуляторное (115-ФЗ о противодействии легализации доходов) и бизнесовое (снижение фрода, возврат чарджбэков).
Для большинства FinTech стартапов на pre-seed требование KYC в FinTech стартапе наступает в двух случаях: вы хотите работать с реальными деньгами пользователей (платёжный сервис, P2P-переводы, займы) или ваши корпоративные клиенты и инвесторы спрашивают об этом на due diligence. В обоих случаях вопрос не «делать или нет», а «какой подход выбрать сейчас».
Важный нюанс: KYC — это не то же самое, что ФЗ-152. ФЗ-152 регулирует хранение и обработку персональных данных (обязателен для любого продукта с регистрацией). KYC — это верификация личности для финансовых операций. Они пересекаются, но не тождественны. Паспортные данные, собранные при KYC, попадают под ФЗ-152 и требуют особого режима хранения.
Ещё один момент, который часто путают: KYC — это не одноразовая проверка при регистрации. В зрелом FinTech-продукте существует «периодическая верификация» — повторная проверка клиента при изменении профиля риска или превышении лимитов. Для MVP это неактуально, но архитектура KYC-модуля должна это предусматривать, чтобы не переписывать с нуля при масштабировании.
Три подхода к KYC: DIY, API, партнёр-МФО
Подход 1. DIY — ручная проверка
Пользователь загружает фото паспорта и селфи, менеджер проверяет вручную и одобряет/отклоняет заявку. Никакой автоматики, никаких провайдеров.
Когда подходит: MVP с менее 100 пользователей в первые 1-2 месяца. Цель — проверить, доходят ли пользователи вообще до этапа верификации, а не оптимизировать процесс.
Стоимость интеграции: 0 ₽ на сторонние сервисы. Разработка формы загрузки и интерфейса проверки — 20-40 часов, или 60-100к ₽ в рамках MVP.
Ограничения: не масштабируется. При 50+ заявках в день ручная проверка становится узким местом. Нет защиты от поддельных документов. Для получения лицензии ЦБ или партнёрства с банком — недостаточно.
Подход 2. API-провайдер — автоматическая верификация
Интеграция со специализированным сервисом, который автоматически проверяет документы, сравнивает фото и возвращает вердикт через API.
Основные провайдеры для российского рынка:
- Sumsub — международный провайдер с хорошей поддержкой российских документов. Стоимость: от 150 до 500 ₽ за верификацию в зависимости от тарифа. Есть SDK для iOS/Android, конверсия верификации на мобильных — 75-85% при правильной UX-обвязке. Интеграция в IT2BE занимает 3-5 дней.
- Контур.Крипто / Контур.Диадок — российский провайдер, хорошо подходит для B2B. Цена от 200 ₽/верификация.
- СМЭВ (Система межведомственного электронного взаимодействия) — государственная система проверки документов. Доступна только через лицензированных посредников, подходит для финтех-продуктов с государственными контрактами.
Стоимость интеграции: разработка интеграции с Sumsub — 40-80к ₽. Ежемесячные расходы при 500 верификациях в месяц — 75-250к ₽.
Когда выбирать: после достижения product-market fit, перед масштабированием. Когда ручная проверка уже не справляется или когда нужна автоматизация для seed-раунда.
Подход 3. Партнёр-МФО или банк — KYC на их стороне
Вы не делаете KYC самостоятельно — пользователи проходят верификацию у лицензированного партнёра (банк, МФО, НСПК-участник), а вы получаете их как уже верифицированных клиентов. Это наименее известный подход среди основателей, но при правильном выборе партнёра он даёт самый быстрый старт к реальным финансовым операциям.
Как это работает: например, ваш стартап — сервис рассрочки. Вы не выдаёте займы сами, а передаёте одобренные заявки партнёру-МФО. KYC и AML проводит партнёр. Вы строите только фронтенд-опыт и продуктовую логику.
Преимущество для pre-seed: можно запустить реально работающий финансовый продукт без лицензии ЦБ и без инфраструктуры KYC. Это позволяет быстрее получить первые метрики для инвесторов.
Ограничения: зависимость от партнёра, разделение маржи, невозможность полностью контролировать пользовательский опыт верификации.
Какие данные собирать и как хранить по ФЗ-152
При любом подходе к KYC в FinTech стартапе паспортные данные пользователей — это персональные данные специальной категории. Они требуют повышенного режима защиты по ФЗ-152:
- Хранение только в РФ — обязательно (ст. 18.1 ФЗ-152). Yandex Cloud, Selectel, VK Cloud — подходят. AWS, Google Cloud, Azure — нет.
- Шифрование в покое — AES-256 для файлов документов и персональных данных в БД (pgcrypto в PostgreSQL).
- Шифрование в транзите — TLS 1.2 минимум, TLS 1.3 рекомендуется.
- Согласие на обработку ПДн — логируется с timestamp и версией текста согласия. Нельзя использовать «продолжая использование, вы соглашаетесь» — нужен явный чекбокс.
- Право на удаление — техническая реализация «забывания» пользователя: soft delete + процедура очистки через retention period.
- Аудит-лог — все операции с ПДн логируются с указанием оператора, времени и основания.
Фотографии документов при DIY-подходе нельзя хранить бессрочно. Стандартная практика: хранить не более 6 месяцев после верификации, затем автоматически удалять с сохранением только факта успешного прохождения проверки.
Отдельный вопрос, который часто упускают: кто является оператором персональных данных — вы или ваш KYC-провайдер? При использовании Sumsub данные обрабатываются на их серверах. Согласно ФЗ-152, вы остаётесь оператором и несёте ответственность за выбор провайдера и заключение соответствующего договора поручения на обработку ПДн. Это один страница договора, но без неё при проверке РКН возникают вопросы.
Стоимость KYC-интеграции в 2026 году
Честные цифры по рынку и по нашим проектам:
- DIY (форма загрузки + интерфейс модерации): 60-100к ₽ в составе MVP. Операционные расходы — только зарплата модератора.
- Sumsub API + интеграция: разработка 40-80к ₽ + 150-500 ₽/верификация. При 200 верификациях/месяц — 30-100к ₽/месяц операционных расходов.
- KYC-модуль в IT2BE (DIY + подготовка к API): 60-100к ₽ в составе MVP. Включает форму загрузки документов, ручную модерацию, хранение по ФЗ-152, аудит-лог и готовый интерфейс для будущей замены на API-провайдер.
- Sumsub под ключ (интеграция + ФЗ-152): 80-120к ₽ в составе MVP IT2BE. SDK, вебхуки, логирование согласий, хранение в Yandex Cloud.
Разница между «построили KYC как в банке за 400к» и «построили MVP с DIY KYC за 80к» — не в качестве продукта. Разница в том, что второй вариант позволяет сначала проверить, есть ли вообще спрос на продукт, прежде чем вкладываться в инфраструктуру.
Ещё одна ошибка, которую мы видим регулярно: стартап покупает максимальный тариф Sumsub на старте, потому что «так надёжнее». В первые три месяца проходит 80-120 верификаций. Переплата составляет 20-40к ₽ — деньги, которые могли уйти на привлечение первых пользователей. Начинайте с минимального тарифа, масштабируйте по реальным потребностям.
Как мы делаем KYC в IT2BE
Для каждого FinTech-клиента мы начинаем с одного вопроса: «На какой стадии вы находитесь и сколько верификаций ожидаете в первые три месяца?»
Если ответ — «меньше 200», мы рекомендуем DIY с подготовленной архитектурой для последующей замены на API. Это сокращает стоимость MVP на 40-60к ₽ и позволяет не платить за верификации, пока нет пользователей.
Если ответ — «нам нужна автоматическая верификация с первого дня» (например, потому что так требует партнёр-банк), мы интегрируем Sumsub. Для российского рынка это оптимальный баланс стоимости и качества распознавания документов.
В обоих случаях в базовый пакет входит: хранение в Yandex Cloud, AES-256, аудит-лог, логирование согласий, soft delete. Это не опция — это фундамент, без которого мы просто не беремся за FinTech-проект.
Один важный момент про UX, который часто упускают: форма верификации должна быть частью онбординга, а не отдельным «барьером». Лучшие конверсии мы видели, когда KYC встроен в шаг 3 из 5 в процессе регистрации — пользователь уже вложил время, у него есть мотивация завершить. Вынесенный в отдельную страницу KYC-«стена» даёт конверсию 30-50% против 70-85% при правильном встраивании в флоу.
Если вы сейчас проектируете KYC для своего FinTech стартапа и не уверены, какой подход выбрать — запишитесь на Discovery-звонок. Расскажите о своей ситуации, и мы порекомендуем конкретное решение под ваш этап и бюджет.
Нужно ли KYC для лендинга и ранней валидации?
Нет. На этапе лендинга и сбора заявок KYC не нужен. KYC становится обязательным, когда вы начинаете проводить реальные финансовые операции с деньгами пользователей: выдавать займы, принимать платежи, переводить средства между счетами. Для проверки гипотезы на лендинге достаточно формы с email и телефоном — персональные данные при этом обрабатываются по стандартному режиму ФЗ-152, без специальных требований к верификации личности.
Sumsub или Контур — что выбрать для стартапа?
Для B2C стартапа с мобильным приложением — Sumsub. У него лучше SDK для iOS/Android, выше конверсия верификации на смартфонах (75-85% при правильном UX) и больше возможностей для кастомизации флоу. Для B2B с корпоративными клиентами или при необходимости работать через СМЭВ — Контур. Контур лучше интегрируется с российскими государственными реестрами и привычнее для корпоративного рынка. Цена сопоставимая: 200-500 ₽/верификация у обоих провайдеров в зависимости от тарифа.
Можно ли обойтись без KYC на этапе MVP?
Да, если ваш MVP не проводит финансовые операции с деньгами пользователей. Если вы строите информационный сервис, маркетплейс без обработки платежей или EdTech-платформу без монетизации — KYC не нужен на первом этапе. Если вы проводите платежи — нужен минимально. DIY-верификация (паспорт + selfie + ручная проверка) технически считается KYC и закрывает базовые требования для MVP. Полноценная автоматическая верификация нужна при масштабировании.
Чем KYC отличается от AML и нужны ли оба?
KYC — это верификация личности пользователя (кто вы?). AML (Anti-Money Laundering) — это мониторинг транзакций на признаки отмывания денег (что вы делаете с деньгами?). Для большинства pre-seed FinTech MVP нужен KYC в базовом виде. AML-мониторинг становится обязательным при получении лицензии ПСП или работе с суммами выше 600 000 ₽ (порог по 115-ФЗ). На этапе MVP можно ограничиться базовыми лимитами транзакций и флагированием подозрительной активности без полноценной AML-системы.