一句话定义
AML 全称 Anti-Money Laundering,反洗钱。一整套金融机构必须做的合规动作的总称,覆盖客户身份核验、交易监测、可疑活动报告、合规审计、培训记录这一整条链。KYC 是 AML 体系的入口环节,但不是全部 —— 客户进来之后,AML 才真正开始干活。
三层结构
第一层 · 客户尽职调查(CDD)。除了基础 KYC,还要给客户打风险评分:是不是政治公众人物(PEP)、来自高风险国家、有制裁名单记录。高风险客户走"增强尽调"(EDD),要求额外材料、更高级别审批。
第二层 · 交易监测。规则引擎跑在每一笔出入金背后。短时间内同一账户大量小额拆分(结构化/smurfing 的特征)、跟混币器(Tornado Cash 这一类)地址有交易、跟制裁地址有关联、来源地址在 OFAC 名单 —— 这些场景触发后,案件进入合规人工复核队列。
第三层 · 可疑活动报告(SAR / STR)。复核确认可疑后,平台在法定时限内(美国 FinCEN 是 30 天,欧盟一般 30 天)向当地金融情报机构提交报告。报告本身保密,客户不会被告知。
为什么罚单这么重
币安 2023 年和美国司法部和解 43 亿美元、OKX 2025 年和美国财政部和解 5 亿多,公开文书里反复出现同一个词:AML controls inadequate(反洗钱控制不足)。具体指控包括:早年允许大量来自制裁国家的用户、KYC 阈值过低、SAR 上报不及时、合规团队架构不独立。这些不是"几个客户漏了网",是体系性缺陷 —— 监管按交易规模算,罚款上不封顶。
这也是 2024 年之后头部 CEX 集体砸钱建合规部门、找前 FBI/FATF 官员当 Chief Compliance Officer 的原因。合规已经不是"装饰品",是平台能不能继续运营的命门。
用户这一侧
正常用户基本感觉不到 AML 在跑。会感觉到的情况:突然要求补充资金来源证明、提币被临时冻结要求说明、账户被风控审核要补材料。这些不一定意味着平台有问题,更多是它的监测引擎在尽职。受影响时配合提交、保留银行流水/工资单这类证据;找不到原因可以走客服申诉。如果你做的是 OTC 大额、跟新地址频繁往来、或者最近收到了一笔归属不明的 USDT,要有心理预期可能触发额外问询。
挑 CEX 时把它的 AML 体系成熟度作为评估维度之一(合规牌照覆盖、罚款历史、CCO 资质),详见 交易所评估手册。欧盟用户额外关心的监管框架见 MiCA。