Почему этот обзор нужен прямо сейчас

Если бы мы сели писать эту статью пять лет назад, половины законов в ней не существовало бы — а у второй половины была другая редакция. Закон «О платежах и платёжных системах» был принят в ноябре 2019-го. Новая редакция «О банках» — тоже ноябрь 2019-го. Закон о небанковских кредитных организациях — апрель 2022-го, с правками, которые продолжают идти волнами весь 2024 и 2025 годы. Закон «О страховой деятельности» — ноябрь 2021-го, и подзаконные акты под него ещё дописываются. Закон «О кибербезопасности» — апрель 2022-го. Локализация персональных данных вступила в силу в апреле 2021-го.

Это не значит, что регуляторика «новая и сырая». Это значит, что она написана людьми, которые видели, как устроены финансовые рынки во всём мире, и сознательно решили, что именно перенести, а что — оставить «по-узбекски». В большинстве законов чувствуется рука Базеля, FATF и IOSCO, и одновременно — внутреннее понимание того, что в Ташкенте никто не строит банк ради одного крупного корпоративного клиента, а финтех-стартап обязан выживать в стране, где средний размер транзакции — двадцать долларов и каждая копейка комиссии решает.

Мы делим обзор по тому, кто на другом конце разговора. У вас два регулятора финансового рынка: Центральный банк — для всего, что про деньги, кредит и платежи; и НАПП — Национальное агентство перспективных проектов, забирающее на себя капитал, страхование, ценные бумаги и крипту. И три темы, которые касаются всех одинаково: АМЛ, кибербезопасность и персональные данные.

Если вы пытаетесь понять, в какую дверь стучать, — это та карта, с которой стоит начинать.

Лагерь Центрального банка

ЦБ Узбекистана за последние семь лет превратился из классического советского банка-надзирателя в довольно прогрессивного и довольно жёсткого регулятора западного типа. Он по-прежнему отвечает за денежно-кредитную политику и стабильность системы, но добавил к этому открытость к технологическим обсуждениям, регуляторную песочницу, активную работу с финтехом — и одновременно резко поднял планку капитала и санкций для тех, кто играет на его поле. В фокусе этой статьи — четыре сектора, в которых сосредоточена основная масса финансовых игроков: банки, платежи, МФО и небанковские кредитные организации, лизинг. Помимо них у ЦБ — кредитные бюро, ипотечное рефинансирование, валютное регулирование, отдельные элементы потребительского кредитования и многое другое.

Банки

Закон «О банках и банковской деятельности» в редакции 2019 года читается как тщательно собранная Базельская методичка. Лицензия одна, общая, но за ней стоит длинный коридор. Минимальный уставный капитал для обычного банка теперь — 500 млрд сумов с 1 января 2025 года (до этого с апреля 2024-го было 350 млрд). Для микрофинансового банка — отдельная категория, введённая в феврале 2025-го, — 50 млрд. Это новая сущность между «полным банком» и МФО: вклад от одного физлица ограничен размером гарантированного депозита, риск на одного заёмщика — не более 5 млрд сумов, минимум 70% кредитного портфеля должно идти на предпринимательство.

Что обычно удивляет иностранных учредителей: филиалы иностранных банков в Узбекистане запрещены прямо законом. Допускается только представительство — без права коммерческой деятельности, аккредитуется ЦБ. Иностранный банк может зайти в капитал узбекского банка, но не может открыть здесь свой филиал. Совокупная доля нерезидентов, не являющихся МФИ, иностранными банками или кредитными организациями, не должна превышать 50% уставного капитала.

Контроль за акционерным составом — действительно серьёзный. Существенным владением считается 5% и выше, и для каждого порога — 5%, 20%, 50% — нужно отдельное предварительное разрешение ЦБ. Срок оценки потенциального приобретателя — два месяца, оценка включает деловую репутацию, fit & proper кандидатов в органы управления, источник средств и проверку на ПОД/ФТ. Сделка без разрешения — недействительна, акции лишаются голоса и дивидендов.

Где спрятана банковская тайна. Отдельной статьи о банковской тайне в законе нет — она вынесена в специальное законодательство. Но ЗРУ-580 прямо квалифицирует её нарушение как грубое нарушение с возможным отзывом лицензии и штрафом до 1% совокупного капитала банка. Уголовная ответственность за разглашение действует параллельно.

На практике это означает, что банки в Узбекистане подходят к обмену клиентскими данными — даже с финтех-партнёрами, даже под NDA — крайне консервативно. Любой стартап, который надеется построить продукт через «открытый» доступ к банковским счетам клиентов, упирается в этот режим первым. Это, пожалуй, главный структурный барьер для финтеха на регулируемых ЦБ рынках — и его не обойти ни договором, ни архитектурой.

Система санкций — тройная, с чёткой градацией. Грубые нарушения (24 состава: от деятельности без лицензии до снижения капитала на 50% от минимума, нарушений ПОД/ФТ и киберинцидентов) — штраф до двукратного дохода от нарушения, либо 5% чистой прибыли, либо 1% совокупного капитала. Плюс — отзыв лицензии и штраф до 100% годового вознаграждения с конкретного члена правления. Серьёзные — потолок штрафа в полтора раза ниже. Незначительные — предупреждение или штраф до 0,1% капитала.

Параллельно с этой рамкой действует отдельное Положение Правления ЦБ о порядке применения мер воздействия за конкретные нарушения, где для каждой провинности — свой ценник. И недавно размеры штрафов по этому положению были подняты примерно в десять раз. Поэтому привычная для многих банков логика «получим предписание — устраним» переписывается в реальном времени: цена каждой следующей ошибки сегодня заметно выше, чем была ещё пару лет назад.

Платежи, процессинги и электронные деньги

Этот рынок — самый конкурентный из всех в Узбекистане. Click, Payme, Uzum, Paynet и десятки игроков поменьше дерутся за каждую секунду в карточном путешествии пользователя. Здесь действует Закон «О платежах и платёжных системах» (ЗРУ-578 от 01.11.2019), и он уже пережил пять серьёзных правок — последняя, ЗРУ-964 от 20.09.2024, вступила в силу 22 декабря 2024-го и резко подняла планку по информационной безопасности.

Лицензируются две категории: оператор платёжной системы (юрлицо, обеспечивающее функционирование ПС) и платёжная организация (PSP — поставщик платёжных услуг). Лицензия выдаётся ЦБ за 30 дней — один из самых быстрых сроков в финансовой регуляторике. Платёжная организация может предоставлять восемь конкретных услуг — от приёма наличных до обработки платежей через электронные деньги, — но не может выпускать сами электронные деньги и банковские карты: эмитенты электронных денег по закону — только Центральный банк и банки (ст. 40).

Это структурное решение, которое многие финтехи поначалу не понимают. В Европе под PSD2 платёжное учреждение может выпускать e-money. В Узбекистане — нет. Если ваша бизнес-модель завязана на эмиссии электронных денег, путь один: партнёрство с банком. Сам факт работы под брендом банка не выход — эмитентом всё равно остаётся банк со всеми обязательствами. Электронные деньги номинируются только в национальной валюте; для оплаты в Узбекистане принимаются только ЭД, выпущенные в Узбекистане.

Закон оперирует лимитами электронных денег в базовых расчётных величинах (БРВ; на дату публикации статьи — 412 000 сумов). Максимум одной операции идентифицированного владельца — 100 БРВ, неидентифицированного — 1 БРВ, максимум остатка на устройстве неидентифицированного — 5 БРВ. На бумаге это выглядит жёстко, но идентификация в Узбекистане прошита через системы электронного ID, и большинство клиентов проходит её мгновенно.

Особняком стоит agent-based модель (ст. 19). Банки и платёжные организации могут оказывать услуги через платёжных агентов и субагентов — без отдельной лицензии. Это сделало возможной распределённую сеть приёма платежей, которая сейчас работает по всей стране. Ключевое — солидарная ответственность принципала с агентом перед пользователем. На практике это даёт огромное пространство для дизайна — но любая ошибка агента бьёт по основной лицензии.

Самая интересная норма в свежей редакции — обновлённая статья 15, которая по существу заявляет принцип open banking: пользователь вправе использовать собственное дистанционное обслуживание своего банка либо обратиться к услугам другого поставщика платёжных услуг, и поставщики обязаны обеспечивать равный доступ. Это пока не PSD2 — нет жёстких стандартов API, нет обязательного открытого интерфейса, — но юридический фундамент уже положен.

Что касается Apple Pay, Google Pay и платёжных кошельков — отдельной нормы нет. Закон допускает виртуальные банковские карты (ст. 35: «банковская карта может быть дебетовой, кредитной, в том числе виртуальной (без физического носителя)»), и регулятор последовательно соглашается с tokenization-моделями, когда они приходят через банк-эмитент. Это типичный пример того, что регулятор готов адаптировать рамку под реальную технологию — но только через диалог, а не через презумпцию разрешённости.

МФО и небанковские кредитные организации

Самый радикально переписанный сегмент. Старый закон о микрофинансовых организациях ушёл в апреле 2022-го; на его место пришёл ЗРУ-765 — единый закон о небанковских кредитных организациях и микрофинансовой деятельности, переработанный с тех пор уже четыре раза, последний — ЗРУ-1058 от 17.04.2025. Под одной крышей теперь пять видов НКО: микрофинансовая организация, ломбард, организация по рефинансированию ипотеки, организация по предоставлению гарантий и факторинговая организация.

Капиталы дифференцированы и довольно болезненно:

  • организация по предоставлению гарантий — 100 млрд сумов;
  • организация по рефинансированию ипотеки — 25 млрд;
  • МФО и факторинговая организация — 2 млрд;
  • ломбард — 500 млн.

Всё в национальной валюте, только денежными средствами учредителей, без кредитных или обременённых источников.

Лимиты на размер займа — отдельная история. Микрозаём физлицу — до 100 млн сумов, микрокредит предпринимателю — до 300 млн. Самая принципиальная норма — жёсткий лимит общей стоимости заимствования: совокупно проценты, комиссии и неустойки по договору с физлицом не могут превышать половину размера займа в год. Это эффективный потолок ПСК в 50%, прописанный прямо в законе, — и это намного жёстче, чем во многих юрисдикциях, где регулятор оперирует «средневзвешенной ставкой по рынку плюс N процентов».

Запрещены платежи за рассмотрение заявок, ведение ссудного счёта, выдачу и досрочное погашение. Запрещено выдавать новый кредит при наличии просрочки. Запрещено брать в залог жилую недвижимость по микрозаймам сроком до года. В отличие от банков, НКО регистрируются учётно (внесением в реестр ЦБ), а не лицензируются. Срок — 15 рабочих дней, сбор не взимается.

Регуляторная песочница

Один из немногих заявленных в регионе sandbox-режимов

Статья 25 ЗРУ-765 и параллельная статья 67-1 Закона «О Центральном банке» вводят регуляторную песочницу — спецрежим апробации новых финансовых операций и технологий со сроком до трёх лет.

У ЦБ есть история использования этого режима — в разных формах и для разных продуктов. Это не «спящая» норма: канал для разговора с регулятором о неурегулированной технологии в стране формально открыт.

Контекст: в большинстве стран региона песочницы существуют скорее как декларация. Узбекская конструкция написана так, что её можно реально использовать — и это уже само по себе нестандартно для рынка.

Лизинг

Лизинг — самый нетипичный из четырёх. После редакции 2002 года закон прямо определил лизинговую деятельность как инвестиционную, а не финансово-кредитную. Это означает простую вещь: для самостоятельного лизингодателя отдельная лицензия не требуется. Если вы банк — ваша лизинговая активность лежит внутри банковской лицензии. Если вы независимая лизинговая компания — вы регистрируетесь как обычное юрлицо.

Закон даёт два формата сделки — прямой лизинг (три стороны: продавец, лизингодатель, лизингополучатель) и возвратный (лизингополучатель и продавец совпадают). Объектом может быть почти любое непотребляемое имущество для предпринимательской деятельности; не могут — земельные участки, природные объекты и имущество, изъятое из оборота. Финансовый лизинг квалифицируется через жёсткие критерии: срок более 12 месяцев, передача собственности по окончании, или срок более 80% срока службы, или приведённая стоимость платежей более 90% стоимости предмета.

Объект учитывается на балансе у лизингополучателя — с понятными налоговыми и амортизационными последствиями. Это структура, удобная для входа: барьеров мало, контракт стандартизирован, оборот предмета лизинга защищён.

Из практики: именно из-за того, что лизинг сидит в «серой зоне» по части лицензирования, моделью финансовой аренды активно пользуются BNPL-игроки — она даёт легальный контур для отсроченной оплаты без необходимости получать кредитную лицензию или регистрироваться как МФО. Эта сфера сейчас находится на пороге собственного регулирования — обсуждения идут, и в ближайшие пару лет лизинг как продукт ожидаемо получит более чёткие рамки.

Лагерь НАПП

НАПП — Национальное агентство перспективных проектов — это сравнительно молодой регулятор, на которого в последние пять лет сложили большую и не вполне однородную корзину: рынок капитала, страхование, оборот крипто-активов, отдельные элементы корпоративного управления, регулирование электронной коммерции. На рынке про НАПП часто говорят как про регулятора с более экспериментальным настроем — открытого к диалогу, готового тестировать новые форматы. Это, скорее, общее ощущение игроков, чем формально измеримая характеристика; и оно сосуществует с другим наблюдением — что культура жёсткого надзора в нескольких сегментах под крышей НАПП пока только формируется. Дисциплина растёт год от года.

Крипто-оборот

Узбекистан — одна из немногих юрисдикций, где оборот крипто-активов с самого начала был встроен в формальное правовое поле, а не «легализован задним числом». Указ Президента УП-3832 от 2018 года заложил архитектуру; Положение НАПП о лицензировании участников крипто-рынка задаёт правила игры.

Лицензируются четыре основных вида деятельности: крипто-биржа, крипто-провайдер услуг, крипто-магазин и майнинг-пул. Для биржи требования жёсткие. Минимальный уставный фонд — 5 000-кратный размер БРВ (около 2,06 млрд сумов, или ~$170 тысяч по курсу на дату публикации), из которых 3 000 БРВ резервируются на отдельном счёте в узбекском коммерческом банке. Госпошлина за выдачу лицензии — 73 400 БРВ (около 30,2 млрд сумов, или ~$2,5 млн). Серверы — на территории Узбекистана. Информация о расчётах и клиентах хранится не менее пяти лет. KYC/AML — обязательны.

Самое необычное правило: лицензия на крипто-биржу выдаётся исключительно иностранным юридическим лицам через создание дочерней или иной компании на территории Узбекистана. Узбекское юрлицо без иностранной материнской структуры на эту лицензию претендовать не может. Логика регулятора прозрачна: он хочет, чтобы за каждой биржей стоял зарубежный игрок с собственным регуляторным шлейфом и репутацией.

Налоговый режим — благоприятный: операции с крипто-активами выведены из-под НДС, доходы физлиц от операций на лицензированных площадках не облагаются. Для майнинг-операций есть отдельные тарифы по электроэнергии.

Из практики: это делает Узбекистан одной из самых юридически зрелых юрисдикций региона по крипте. Не «всё разрешено» — но и не «всё запрещено». Чёткие правила, понятные требования, прозрачный надзор. Для серьёзного игрока — это часто лучше, чем «свобода» в стране, где послезавтра могут признать любую активность нелегальной.

Страхование

Закон «О страховой деятельности» (ЗРУ-730 от 23.11.2021) — это первый закон, где НАПП прямо назван по имени как уполномоченный государственный орган. Статья 5 закона: «лицензию Национального агентства перспективных проектов Республики Узбекистан». До этого регулятор страхового рынка скрывался за безличной формулой «уполномоченного органа», и история эволюции этой роли (Госстрахнадзор → Минфин → НАПП) дала рынку периодически меняющиеся ожидания.

Ключевая структурная норма — жёсткое разделение страховщиков жизни и общего страхования. Один страховщик не может одновременно лицензироваться по обеим отраслям (исключения для отдельных классов общего страхования предусмотрены законодательством отдельно). Перестрахование лицензируется отдельно — перестраховщик не вправе заниматься первичным страхованием, и наоборот. Для каждой сферы — собственный набор пруднормативов.

Шесть субъектов рынка, кроме страховщика: страховой брокер, перестраховочный брокер, страховой агент, аджастер, актуарий и сюрвейер. У каждого — свои квалификационные требования. Особенно интересен аджастер как самостоятельная фигура: оценщик последствий страхового случая, не вправе быть страховщиком или посредником и не вправе участвовать в капитале страховщика. Это институт, который во многих странах СНГ всё ещё неформальный; здесь он прописан в законе и подлежит регулированию.

Закон в самом тексте не называет точных цифр минимального уставного фонда — они вынесены в подзаконные акты. С марта 2024 года действует «дорожная карта» развития рынка, утверждённая Президентом, по которой минимальные капиталы поэтапно повышаются. Это типичный регуляторный приём: «жидкое» требование в законе, точная цифра в подзаконке, регулярная индексация.

Один из самых прогрессивных моментов — статья 31, легализующая электронные полисы и обмен в электронной форме. Электронный полис, подписанный ЭЦП страховщика и акцептованный страхователем через оплату премии, юридически равен бумажному. В ряде европейских юрисдикций это всё ещё спорный вопрос; в Узбекистане — закон.

Защита прав страхователей (ст. 63–64) включает инструменты, которые мы редко видели в страховом законодательстве региона. Запрет на cross-selling «в нагрузку», право НАПП проводить mystery shopping без предупреждения, обязательное раскрытие на сайте регулятора информации о страховом рынке. Это рынок, на котором надзор стал заметно жёстче, но в основном через прозрачность, а не через штрафы.

Из практики: рынок остаётся молодым, но динамика ощутима. По итогам 2025 года в Узбекистане действует 36 страховых организаций (из них 7 — по страхованию жизни, против пяти годом ранее), 12 страховых брокеров, 7 актуариев; совокупный уставный капитал отрасли составил около 4 трлн сумов (≈$334 млн), прирост за год — порядка 35%. Цифры растут, но проникновение страхования к ВВП всё ещё низкое, особенно в life-сегменте. Это значит, что для серьёзного международного страховщика главный риск — не регулятор, а поведение клиента: культура покупки страхового продукта в Узбекистане ещё формируется, и любая стратегия должна начинаться не с продукта, а с воспитания спроса.

Акционерные общества, ценные бумаги и защита инвестиций

Закон «О рынке ценных бумаг» (ЗРУ-387 от 03.06.2015 в действующей редакции) и Закон «Об акционерных обществах» (ЗРУ-370 от 06.05.2014 в действующей редакции) — это связка, которая регулирует и инструменты, и эмитентов. С 2021 года оба закона пережили существенные обновления. НАПП — регулятор рынка ценных бумаг, хотя в законе он скрыт за формулой «уполномоченного государственного органа, определяемого Президентом» (ст. 55).

Спектр инструментов: акции, корпоративные облигации, инфраструктурные облигации, биржевые облигации, международные облигации, опционы на акции, депозитарные расписки, государственные казначейские облигации, депозитные сертификаты, векселя. Цифровых ценных бумаг, краудфандинга и исламских ценных бумаг в законе пока нет — это ниши, которые ждут своего нормативного оформления.

Самое интересное нововведение — биржевые облигации (статья 6¹, введена в 2021 году). Это эмиссия без государственной регистрации в обычном смысле — регистрирует сама фондовая биржа по согласованию с НАПП. Срок погашения — не более одного года. Это упрощённый канал привлечения краткосрочного долга, который заметно ускоряет выход эмитента на рынок и существенно снижает транзакционные издержки. Аналог — европейские STS-securitisations или британские retail bonds.

Среди профучастников лицензия требуется только инвестиционным посредникам и доверительным управляющим. Инвестиционный консультант, инвестиционный фонд и трансфер-агент работают в уведомительном порядке. Это серьёзное послабление по сравнению с большинством юрисдикций, где даже advisory-функция требует лицензии. Сертификация сотрудников — пять лет.

Эмиссия — 30 дней на государственную регистрацию НАПП, сбор за регистрацию — 0,01% от номинальной стоимости. Раскрытие — детальное, через Единый портал корпоративной информации, с конкретными сроками: годовой отчёт за две недели после собрания, квартальный — за месяц после периода, сделка с аффилированным лицом — за 72 часа. Манипулирование и инсайдерская торговля прямо запрещены статьёй 54.

Закон «Об АО» — документ, в котором за десятилетие была сделана важная работа по защите миноритариев. Мажоритарным акционером считается обладатель более 50% голосующих акций (ст. 28¹) — с конкретными обязанностями: не действовать в ущерб обществу, не вносить в повестку вопросы во вред другим акционерам. Обязательное предложение срабатывает при пересечении 50%-го порога — у нового мажоритария 30 дней, чтобы предложить остальным акционерам выкупить их акции по рыночной цене (ст. 40).

Squeeze-out не предусмотрен. Принудительный выкуп акций мажоритарием у миноритариев — в чистом виде в законе нет. Это редкое решение для юрисдикции, которая в остальном последовательно усиливает права мажоритария; здесь регулятор сознательно оставил миноритарию защиту от принудительного выхода. Это надо знать тем, кто планирует консолидацию доли в узбекской компании — выкупить «последний процент» не получится одним юридическим действием.

Для публичных АО и обществ с долей государства более 50% — обязателен как минимум один независимый член наблюдательного совета (ст. 76¹, введена в 2023 году). Критерии независимости — детальные: отсутствие связей с обществом и аффилированными лицами в течение последних трёх лет, отсутствие крупных коммерческих отношений (порог — действующий договор свыше 2 000 БРВ), запрет на нахождение в совете более шести лет подряд. Это стандарт, заметно ближе к UK Corporate Governance Code, чем к большинству постсоветских правовых режимов.

И — особенно — институт комитета миноритарных акционеров (ст. 82). Это орган, формируемый из числа миноритариев, с правом обращения в НАПП о защите прав, участия в подготовке предложений по крупным сделкам и сделкам с аффилированными лицами. Институт пока работает не на полную мощность, но юридически он есть, и активные миноритарии им пользуются.

Поверх корпоративной рамки работает Закон «Об инвестициях и инвестиционной деятельности» (ЗРУ-598 от 25.12.2019). Иностранному инвестору он даёт национальный режим, гарантию от экспроприации без должной компенсации, право на свободный перевод прибыли и стабилизационную клаузулу (ст. 19) — возможность применять прежние нормы, если законодательство меняется в неблагоприятную сторону. Для крупных проектов отдельным институтом служит инвестиционный договор с Правительством: формализованный контракт государства и инвестора, в котором фиксируются индивидуальные условия — налоговые льготы, инфраструктурная поддержка, обязательства смежных ведомств. Плюс — экосистема преференций: IT-парк со ставкой 0% по большинству налогов для резидентов, СЭЗ, индустриальные парки. Это делает Узбекистан одной из самых «договороспособных» юрисдикций региона для прямых иностранных инвестиций.

Три сквозных пилона

Эти три темы не привязаны к отрасли — они касаются всех. Их режимы одинаковы для банка, страховщика, крипто-биржи и факторинговой компании, с поправкой на специфику данных и операций. Это та часть регуляторики, которая в последние два года менялась активнее всего — и в которой регулятор готов жёстче всего наказывать.

Противодействие отмыванию (АМЛ)

Базовый закон — ЗРУ № 660-II от 26.08.2004 в действующей редакции (последняя крупная правка — ЗРУ-516 от 15.01.2019). Узбекистан — член Евразийской группы (EAG), региональной структуры FATF, и в 2022 году прошёл базовое mutual evaluation, а в 2023-м — первый follow-up: статус прогрессирующий, основные технические недостатки закрываются.

Подразделение финансовой разведки — FIU (financial intelligence unit) Республики Узбекистан — это Департамент по борьбе с экономическими преступлениями при Генеральной прокуратуре. Структурно FIU встроен в прокурорскую вертикаль, что даёт ему заметно больше «зубов» в сравнении с моделями, где FIU — самостоятельное ведомство или часть Минфина. На практике FIU Узбекистана быстро реагирует, имеет прямой доступ ко всей финансовой информации и при необходимости передаёт материалы в правоохранительные органы без бюрократических задержек.

Закон распространяет режим на банки, платёжные организации, МФО, страховщиков, ломбарды, биржи, поставщиков услуг крипто-активов, нотариусов, аудиторов, риелторов, дилеров драгметаллов, юристов и адвокатов (в части определённых сделок). Это полный FATF-овский периметр. Конкретные пороговые суммы для обязательного контроля, сроки отчётности в FIU, риск-ориентированный подход к идентификации, формат работы с PEPs и beneficial owners — всё это вынесено в подзаконные акты (положения FIU, нормативы ЦБ и НАПП для своих поднадзорных).

Из практики: главное на практике — режим средней жёсткости. По стандартам FATF Узбекистан не «high risk», но и не «low». Технологическая инфраструктура мониторинга транзакций и санкционного контроля заметно усилилась за последние два года. Но ошибки в АМЛ имеют наиболее быстрые последствия из всего регуляторного периметра — это рынок, на котором FIU редко даёт второй шанс.

Кибербезопасность

Закон «О кибербезопасности» (ЗРУ-764 от 15.04.2022) — рамочный документ. Регулятор — Служба государственной безопасности (СГБ). Это решение, которое сначала удивляет западных инвесторов: «спецслужба регулирует киберпреступность». На практике — это работает. У СГБ есть и техническая экспертиза, и легитимность для оперативных действий, и прямая связка с прокуратурой и правоохранительными органами.

Закон вводит концепт критической информационной инфраструктуры (КИИ): системы информатизации в сферах государственного управления, обороны, ТЭК, химии, металлургии, водоснабжения, сельского хозяйства, здравоохранения, ЖКХ, банковско-финансовой системы, транспорта, ИКТ и других. Банк, крупная страховая компания, платёжная организация, биржа — все они автоматически являются субъектами КИИ.

Три категории объектов КИИ — высокий, средний и низкий уровень. У субъектов — обязанности: внутренняя политика ИБ, ответственный сотрудник, проходящий аттестацию в СГБ, обязательная сертификация всех средств защиты, обязательная экспертиза и аттестация ИС, обязательное подключение к государственной системе мониторинга СГБ (центральный SOC). Резервные копии — не менее трёх последних месяцев.

Закон не устанавливает конкретных сроков уведомления об инцидентах и конкретных штрафов — это вынесено в другие акты. Параллельно действуют требования ЦБ к информационной безопасности банков и платёжных организаций (Постановление Правления ЦБ от 24.04.2024, рег. № 3513) — заметно более детализированные, с конкретными технологическими требованиями.

Из практики: кибербезопасность стала самой быстро дорожающей темой в комплаенс-бюджете финансовых организаций за последние два года. Узбекистан — страна со сложным наследием в этой части: исторически сложившийся фактически открытый банкинг (упрощённый доступ ко всем счетам граждан с минимальной фрикцией), низкая правовая грамотность населения, активная волна социальной инженерии. Все три фактора дают регулятору, банкам и платёжным организациям мало манёвра — и заставляют гнать стандарты безопасности вверх быстрее, чем формальное законодательство успевает за рынком.

Персональные данные

Закон «О персональных данных» (ЗРУ-547 от 02.07.2019) на момент принятия был относительно прогрессивным, а через два года получил норму, которая до сих пор остаётся одной из самых обсуждаемых в регионе. Статья 27¹ (вступила в силу 16 апреля 2021 года) обязывает оператора и собственника при обработке персональных данных граждан Узбекистана осуществлять их сбор, систематизацию и хранение на технических средствах, физически расположенных на территории Узбекистана и зарегистрированных в Государственном реестре баз персональных данных.

Это норма локализации в чистом виде. По духу она ближе к российскому 152-ФЗ, чем к GDPR. Финансовые компании, работающие на узбекском рынке, обязаны держать клиентские данные либо на собственных серверах в стране, либо в локальных дата-центрах (TAS-IX, частные облака с узбекской регистрацией). Использовать AWS-европейский регион или Azure-Singapore «как раньше» — нельзя.

С 2026 года вступают в силу поправки, смягчающие режим для международных tech-компаний: критическими (то есть подлежащими безусловной локализации) остаются биометрические, генетические и телекоммуникационные данные, а для остальной обработки появляется большее пространство для договорного и архитектурного манёвра. Это движение от жёсткого russian-style режима к более сбалансированной модели, которая признаёт, что глобальные сервисы — это уже инфраструктура.

Ответственность за нарушение локализации — самая жёсткая в регионе: вплоть до ограничения доступа к интернет-ресурсу нарушителя. Это серьёзная реальность для платформ, которые игнорируют норму, и формальный риск для финтехов, которые используют иностранные SaaS-решения без локального шлюза. Регулятор — Госцентр персонификации при Министерстве цифровых технологий; реестр баз ПДн ведёт он же. Регистрация базы обязательна, и без неё начало обработки фактически невозможно.

Что нужно знать новому игроку: возможности и риски

Если суммировать, рынок Узбекистана сегодня имеет несколько устойчивых характеристик, которые нужно понимать прежде, чем заходить.

Преимущество

Регуляторы прогрессивны и договороспособны

И ЦБ, и НАПП готовы садиться за стол. Когда Apple Pay и Google Pay приходили в страну, регуляция обновлялась под технологию. Когда финтех приходит с моделью BNPL, открытого банкинга, фондирования через цифровые облигации — есть структурный канал для разговора. Регуляторная песочница реально работает. «Нет» — это редкий ответ, чаще встречается «давайте смотреть, как это пристёгивается к существующей рамке».

Особенность

Регуляторная динамика — преимущество и риск одновременно

Все основные законы переписаны или существенно обновлены за последние пять-семь лет. Это даёт чистый каркас, без архаичных норм 1990-х, и одновременно — продолжается активная работа над подзаконкой. Игрок, который заходит сейчас, попадает в момент формирования рынка — но и в момент, когда «правила игры» могут уточниться через шесть месяцев после первой регистрации продукта.

Риск

Конкуренция жёсткая — особенно в банках и платежах

Клиент в Узбекистане нетерпелив и чувствителен к деталям UX. Одна неправильная кнопка может стоить миллионов; +0,1% по доходности вклада — повод сменить банк. Это значит, что любой выход на рынок должен закладывать не столько лицензионный, сколько продуктовый бюджет.

Риск

Регулируемые ЦБ отрасли — наиболее жёсткие по дисциплине

Усиление штрафов, проверок, оборотных санкций — реальный тренд последних двух лет. Банк, нарушивший АМЛ или режим банковской тайны, рискует не предписанием, а потерей лицензии. Дисциплина в сегментах НАПП исторически была мягче, но динамика последних месяцев показывает, что и там подход меняется в сторону более жёсткого надзора.

Возможность

Страхование, ценные бумаги, крипта — рынки молодые

Большое пространство для нового продукта. Но клиентская база небольшая, и каждый клиент стоит дорого. Эти рынки требуют не столько удовлетворения существующего спроса, сколько его создания — и стратегии входа должны быть рассчитаны на 2–3 года формирования аудитории, а не на быстрый scale-up.

Структурный барьер

Банковская тайна — главный сдерживающий фактор для финтеха

Уголовная ответственность за разглашение заставляет банки подходить к обмену данными максимально консервативно. Любой финтех-стартап в регулируемой ЦБ нише, который рассчитывает на «свободный поток» данных от банков, упирается в это первым. Единой рабочей практики обхода нет — отдельные банки выстраивают свои подходы к взаимодействию с партнёрами, но универсального решения, признаваемого всеми участниками рынка, на сегодня не существует.

Тренд

Кибербезопасность — самая быстро дорожающая статья

За последние два года требования резко выросли, и они продолжают расти. Любой финансовый бизнес в Узбекистане в 2026 году должен закладывать существенно больше на ИБ, чем закладывал в 2022-м. АМЛ — режим средней жёсткости, но с быстрыми последствиями ошибки: ФИУ работает оперативно, и ошибки в этой части наименее простительные на рынке.

Где Узбекистан впереди мирового мейнстрима

Несколько мест, где узбекская регуляторика структурно удобнее или быстрее, чем то, что мы видим в большинстве сопоставимых юрисдикций.

Лицензирование платёжных организаций — 30 дней. Это значительно быстрее, чем e-money лицензия в большинстве стран EU (3–6 месяцев), сопоставимо с Сингапуром и обгоняет почти все юрисдикции СНГ.

Регуляторная песочница ЦБ — реально работающий инструмент. Это норма, прописанная в законе, с трёхлетним сроком, через которую регулярно проходят финтех-продукты. В Казахстане, России, Грузии песочницы есть формально, но реально используются заметно реже.

Инвестиционный консультант — уведомительный порядок. Большинство юрисдикций мира лицензируют advisory как полноценную профдеятельность. В Узбекистане — уведомление, без лицензии, с квалификацией сотрудников. Это снижает барьер для входа независимым консультантам и open-finance-моделям.

Биржевые облигации — эмиссия без госрегистрации, через биржу. Это упрощённый канал привлечения краткосрочного долга для эмитента, аналог STS-securitisations в Европе. Сделать первый выпуск можно в разы быстрее, чем по обычной процедуре.

Стабилизационная клаузула для иностранных инвесторов — прямо в законе. Большинство стран региона предлагают её через двусторонние инвестиционные соглашения; в Узбекистане она вписана в общее законодательство и действует автоматически.

Электронные полисы юридически равны бумажным. В нескольких европейских юрисдикциях это всё ещё дискутируется; в Узбекистане — закон.

Крипто-биржа — единственная в регионе с прозрачным лицензионным режимом. Не «терпимая зона», не «исключение для IT-парка», а полноценная лицензия НАПП с понятными условиями.

Институт независимых директоров для публичных АО и обществ с госдолей >50% — стандарт ближе к UK Corporate Governance Code, чем к большинству постсоветских правовых режимов.

Институт комитета миноритарных акционеров — редкий в регионе инструмент, формально позволяющий миноритариям защищать свои права коллективно — с правом обращения к регулятору.

Из практики: это не значит, что в Узбекистане проще всё. В банковской сфере — серьёзный капитальный барьер, режим банковской тайны и санкционные тиры. В страховании — отсутствие крупных международных игроков и низкая страховая культура клиента. В корпоративном — отсутствие squeeze-out как формального инструмента. Но если вы смотрите на регион и пытаетесь выбрать юрисдикцию входа, то по сочетанию «скорость регулятора + готовность к диалогу + наличие инструментов» Узбекистан сейчас — одна из самых конкурентных стран в радиусе тысячи километров.

Итог

Финансовая регуляторика Узбекистана — это рынок, на котором правила были написаны людьми, которые видели мир, и людьми, которые знают свою страну. Это редкое сочетание. Большинство постсоветских юрисдикций либо застряли в наследии советского надзора, либо буквально скопировали европейские директивы без понимания того, как они приживаются на местной почве. Узбекистан — один из немногих случаев, когда регулятор обоих лагерей одновременно читал Базель, FATF и IOSCO и сидел в зале с десятью банкирами, объясняющими, что не работает в действующей редакции.

Главный практический вывод для нового игрока: с регулятором здесь можно разговаривать. Это не страна, где правила писались «навсегда» и где регулятор будет защищать своё решение ценой ущерба для рынка. Это страна, где регулятор готов слушать, обновлять, экспериментировать. Это не означает, что он простит ошибки — особенно в АМЛ, банковской тайне, кибербезопасности. Это означает, что если вы приходите с серьёзным продуктом, хорошим юридическим обоснованием и готовностью обсуждать архитектуру до подачи заявления — вы попадаете в один из самых интересных финансовых рынков региона на ближайшие пять лет.

У нас был опыт работы по обе стороны этих переговорных комнат — с ЦБ, с НАПП, с банками-партнёрами, с инвесторами, заходящими из Лондона, Дубая и Сингапура. Это помогает заранее понимать, как формулируются вопросы регулятора, какие ответы он ждёт услышать, и в каком формате диалог продвигается быстрее. Часть этой работы не описана ни в одном законе — и её сложно собрать только по открытым источникам.

Заходите на финансовый рынок Узбекистана — обсудим?

Juris Advisory сопровождает банки, платёжные организации, МФО, страховщиков, крипто-провайдеров, инвестиционные фонды и иностранных инвесторов. От первой встречи с регулятором до запуска первой операции.

Связаться →