Криптовалюта поступово переходить із зони “технічної приватності” у зону міжнародної податкової прозорості. CARF — Crypto-Asset Reporting Framework — створює для криптоактивів механіку, схожу за логікою на CRS для банківських рахунків: провайдери збирають інформацію про користувачів і транзакції, а податкові органи обмінюються цими даними між собою.

Це не означає, що кожна криптооперація автоматично стане проблемою. Але це означає, що модель “податкова не побачить, бо це крипта” більше не працює як стратегія. Для інвесторів, бірж, OTC-сервісів, Web3-проєктів і компаній, які приймають або тримають криптоактиви, головне питання тепер не в анонімності, а в документуванні походження коштів, податкової резидентності та економічної логіки операцій.

TL;DR

CARF — це міжнародний стандарт ОЕСР для автоматичного обміну податковою інформацією про криптоактиви. ОЕСР зазначає, що 76 юрисдикцій формально зобов’язалися впровадити CARF, а більшість із них планують почати автоматичний обмін інформацією у 2027 році.

Станом на 19 лютого 2026 року 47 юрисдикцій заявили про перший обмін у 2027 році, 28 — у 2028 році, а США — у 2029 році. Україна в офіційному списку CARF-зобов’язань на цю дату не зазначена, але її бізнес і податкові резиденти можуть потрапляти в обмін через рахунки, біржі, компанії або структури в юрисдикціях, які вже імплементують CARF.

Для ЄС ключовий механізм — DAC8. Правила DAC8 застосовуються з 1 січня 2026 року, перший звітний рік — 2026, а перші обміни інформацією між податковими органами мають відбутися до 30 вересня 2027 року.

Що таке CARF?

Коротка відповідь: CARF — це міжнародний стандарт звітності щодо криптоактивів, який зобов’язує криптосервіси збирати й передавати податковим органам інформацію про користувачів та їхні операції.

CARF розроблений ОЕСР як відповідь на проблему, яку CRS не закривав повністю. CRS створював прозорість для банківських рахунків і традиційних фінансових активів. Криптоактиви довгий час залишалися поза такою системною звітністю, хоча фактично використовувалися для інвестицій, платежів, переказів і збереження вартості.

CARF змінює цю логіку. Податковий контроль переходить від запиту “де відкритий банківський рахунок?” до запиту “який криптопровайдер обслуговує користувача, які активи він купував, продавав, обмінював або переказував, і в якій юрисдикції він є податковим резидентом?”.

Практичний висновок: криптоактиви не прирівнюються до банківських рахунків юридично, але за рівнем податкової прозорості рухаються в той самий напрям.

Як CARF працюватиме на практиці?

Коротка відповідь: криптопровайдер ідентифікує користувача, збирає дані про його операції, передає їх локальному податковому органу, а той обмінюється інформацією з податковою юрисдикцією резидентності користувача.

Система складається з п’яти етапів:

1. Користувач проходить ідентифікацію в криптосервісі.
2. Провайдер визначає його податкову резидентність і збирає TIN або інший податковий ідентифікатор.
3. Протягом року провайдер фіксує reportable transactions.
4. Після завершення року провайдер подає звіт до свого податкового органу.
5. Податковий орган передає інформацію до країни податкової резидентності користувача.

Це важливо для українських резидентів, які користуються іноземними біржами. Навіть якщо Україна ще не є учасником CARF-MCAA, інформація може з’являтися в інших податкових або комплаєнс-процесах: під час банківського моніторингу, CRS-перевірок, KYC/AML-запитів, due diligence або перевірки джерела коштів.

Хто зобов’язаний звітувати за CARF?

Коротка відповідь: звітують не користувачі напряму, а reporting crypto-asset service providers — сервіси, які фактично забезпечують обмін або переказ криптоактивів для клієнтів.

До таких провайдерів можуть належати:

Категорія

Приклад

Чому підпадає під ризик звітності

Централізовані біржі

CEX-платформи

Мають дані про клієнтів, угоди, баланси й виведення

Брокери та OTC-сервіси

Купівля / продаж великих обсягів

Організовують конвертацію активів

Обмінники

Crypto-fiat / crypto-crypto

Фіксують операції між активами

Провайдери кастодіальних гаманців

Wallet-as-a-service

Контролюють або адмініструють доступ до активів

Оператори криптоматів

Cash-to-crypto / crypto-to-cash

Забезпечують вхід і вихід у фіат

Частина P2P-платформ

Якщо платформа фактично сприяє обміну

Може вважатися посередником операцій

У ЄС DAC8 прямо охоплює reporting crypto-asset service providers і вимагає збирати інформацію про транзакції резидентів та нерезидентів за звітний рік.

Контрольна точка для бізнесу: якщо компанія не просто розробляє Web3-продукт, а бере участь в обміні, переказі, кастодіальному зберіганні або адмініструванні криптоактивів клієнтів, їй потрібно перевірити, чи не виникає статус reporting provider.

Які дані збиратимуть криптопровайдери?

Коротка відповідь: провайдери збиратимуть ідентифікаційні дані користувача, його податкову резидентність і агреговану інформацію про операції з crypto-assets.

Для фізичних осіб це зазвичай означає:

• ім’я та прізвище;
• адресу;
• дату народження;
• країну або країни податкової резидентності;
• податковий номер або інший ідентифікатор;
• дані про транзакції за видами активів.

Для юридичних осіб додаються:

• назва компанії;
• юрисдикція реєстрації;
• адреса;
• податковий номер;
• інформація про контролюючих осіб / бенефіціарів;
• дані про операції компанії з crypto-assets.

Європейська комісія пояснює, що DAC8 передбачає як ідентифікаційні вимоги до платника / інвестора, так і кількісну інформацію щодо кожного reportable crypto-asset: агреговані суми придбання, відчуження, обміну або переказів.

Які операції можуть потрапляти у звітність?

Коротка відповідь: не лише продаж криптовалюти за фіат. Звітність може охоплювати обмін між криптоактивами, перекази, надходження та інші операції, які дають податковим органам картину руху активів.

У зоні уваги:

Операція

Що бачить провайдер

Податковий ризик

Купівля криптоактиву за фіат

Сума, дата, актив

Джерело коштів

Продаж криптоактиву за фіат

Сума отримання

Потенційний дохід / приріст

Обмін crypto-to-crypto

Пари активів, вартість

Оподатковувана подія в окремих юрисдикціях

Переказ на зовнішній гаманець

Актив, сума, адреса

Питання власника гаманця і подальшого руху

Стейкінг / винагороди

Тип доходу, сума

Класифікація як інвестиційний або інший дохід

Airdrop / rewards

Факт отримання активу

Оцінка вартості та момент оподаткування

Практичний висновок: податковий орган може не бачити “всю блокчейн-історію” автоматично. Але він отримує достатньо даних, щоб поставити правильні запитання: звідки актив, чому не задекларований дохід, кому належить зовнішній гаманець, як пояснюється різниця між банківськими й криптоопераціями.

Чи зберігають некастодіальні гаманці анонімність?

Коротка відповідь: некастодіальний гаманець не звітує сам по собі, але він перестає бути “невидимим”, якщо пов’язаний із біржею, кастодіальним сервісом, банком або ідентифікованим користувачем.

CARF спрямований не на кожен гаманець як технічний інструмент, а на провайдерів, які мають користувачів і дані про операції. Але коли користувач виводить активи з біржі на зовнішню адресу, біржа може зафіксувати адресу, актив, суму, дату та зв’язок із конкретним профілем.

У ЄС додаткове значення має Travel Rule. Вона працює не як податковий стандарт, а як AML / фінмоніторинг-інструмент для переказів crypto-assets. Разом із DAC8 це створює подвійний контур прозорості: податковий і фінансово-моніторинговий.

Практичний висновок: холодний гаманець може залишатися технічно self-custody, але якщо вхід або вихід із нього проходить через regulated provider, анонімність суттєво зменшується.

CARF і DAC8: у чому різниця?

Коротка відповідь: CARF — глобальний стандарт ОЕСР. DAC8 — спосіб, у який ЄС імплементує crypto tax reporting у своє законодавство.

Параметр

CARF

DAC8

Рівень

Міжнародний стандарт ОЕСР

Право ЄС

Мета

Автоматичний обмін податковою інформацією про crypto-assets

Обов’язкова звітність і обмін між країнами ЄС

Хто застосовує

Юрисдикції, які приєдналися або зобов’язались впровадити

27 держав-членів ЄС

Старт

За графіками юрисдикцій: 2027, 2028, 2029

Застосування з 1 січня 2026 року

Перші обміни

Залежить від юрисдикції

До 30 вересня 2027 року за перший звітний рік 2026

DAC8 прямо базується на стандарті CARF і вимагає, щоб reporting crypto-asset service providers збирали дані з 1 січня 2026 року. Перші звіти та обміни інформацією за 2026 рік відбуватимуться у 2027 році.

Які юрисдикції вже рухаються за CARF?

Коротка відповідь: CARF уже не є концепцією “на майбутнє”. Станом на 2026 рік десятки юрисдикцій узяли зобов’язання почати обмін у 2027–2029 роках.

За даними OECD / Global Forum станом на 19 лютого 2026 року:

Перша хвиля обміну

Кількість юрисдикцій

Приклади

2027

47

більшість країн ЄС, Велика Британія, Японія, Корея, Норвегія, Бразилія, Кайманові острови

2028

28

Австралія, Канада, Швейцарія, Сінгапур, ОАЕ, Гонконг, Британські Віргінські острови

2029

1

США

Окремий список CARF-MCAA показує 56 підписантів станом на 3 березня 2026 року, серед яких Велика Британія, Швейцарія, Сінгапур, ОАЕ, Канада, Японія, Бразилія та низка держав ЄС.

Важливе уточнення: США в офіційному графіку Global Forum зазначені як юрисдикція з першим обміном у 2029 році, а не 2028 році.

Що це означає для України?

Коротка відповідь: Україна поки не фігурує в офіційних списках CARF commitments або CARF-MCAA signatories, але українські резиденти вже можуть бути зачеплені через іноземних провайдерів, банки, структури та контрагентів.

Україна вже має досвід автоматичного обміну фінансовою інформацією через CRS. CARF є наступним логічним етапом податкової прозорості, але вже для crypto-assets. Якщо Україна надалі гармонізуватиме регулювання віртуальних активів із підходами ЄС, правила, сумісні з CARF / DAC8, можуть стати частиною локальної податкової й комплаєнс-архітектури.

Для українського бізнесу важлива не лише формальна дата приєднання України. Ризик виникає раніше, якщо:

• користувач є податковим резидентом України, але користується біржею в ЄС або Великій Британії;
• українська компанія має структуру в ЄС, ОАЕ, Сінгапурі, Швейцарії чи іншій CARF-юрисдикції;
• crypto proceeds заходять у банк, який запитує source of funds;
• інвестор, аудитор або buyer під час due diligence перевіряє походження crypto-assets;
• компанія приймає оплату в crypto або тримає digital assets на балансі.

Практичний висновок: очікування “Україна ще не приєдналася — отже, ризику немає” є слабкою позицією. У cross-border crypto-операціях ризик часто виникає не там, де живе користувач, а там, де працює провайдер, банк або компанія.

Які ризики виникають для інвесторів і бізнесу?

1. Донарахування податків

Якщо податковий орган отримає дані про продаж, обмін або переказ crypto-assets, він може порівняти їх із деклараціями, банківськими надходженнями та поясненням походження коштів.

Ризик: незадекларований дохід може бути перекваліфікований у податкове зобов’язання з донарахуванням за минулі періоди.

2. Штрафи та пеня

Податковий спір рідко закінчується лише основною сумою податку. До неї можуть додаватися штрафні санкції, пеня та витрати на юридичний супровід.

Ризик: фінансовий ефект помилки може бути більшим за суму початкового податку.

3. Податкові запити та перевірки

CARF-дані можуть стати тригером для запитів документів: біржові виписки, wallet history, пояснення джерела коштів, договори, інвойси, підтвердження вартості активів.

Ризик: якщо документи не зібрані заздалегідь, відновити історію операцій за кілька років може бути складно.

4. Банківський комплаєнс

Банк може не чекати податкової перевірки. Якщо на рахунок надходять кошти після продажу crypto-assets, банк може запитати джерело активів, історію придбання, підтвердження сплати податків і економічну логіку операції.

Ризик: затримка платежу, блокування операції або відмова в обслуговуванні.

5. AML / фінмоніторинг

Операції через ризикові юрисдикції, міксери, непрозорі P2P-ланцюги або неідентифікованих контрагентів можуть створити AML-ризик незалежно від податкового питання.

Ризик: криптоактив може бути економічно “вашим”, але юридично складним для легального введення в банківську систему.

6. Ризик для угод та інвестицій

У M&A, fundraising або enterprise due diligence покупець чи інвестор може вимагати пояснення crypto-assets, treasury model, token flows, wallet controls і tax treatment.

Ризик: угода затримується або ціна знижується через слабку документацію.

Що робити інвестору або власнику криптоактивів уже зараз?

Крок 1. Зібрати історію операцій

Потрібні біржові виписки, wallet history, підтвердження купівлі, продажу, обміну, стейкінгу, airdrop, переказів між власними гаманцями.

Крок 2. Визначити податкову резидентність

CARF працює через податкову резидентність. Якщо людина або компанія має зв’язок із кількома юрисдикціями, треба перевірити не лише місце проживання, а й центр життєвих інтересів, компанії, рахунки та джерела доходів.

Крок 3. Розділити власні перекази й операції з третіми особами

Переказ між власними гаманцями — це один сценарій. Переказ іншій особі, P2P-угода, оплата послуги або інвестиційний дохід — інший.

Крок 4. Порахувати податкові наслідки

Окремо треба оцінити продаж, обмін, стейкінг, airdrop, mining, rewards, оплати в crypto та конвертацію у фіат.

Крок 5. Підготувати source of funds / source of wealth

Це потрібно не лише для податкової. Це потрібно для банку, біржі, інвестора, покупця бізнесу або аудитора.

Що робити криптобізнесу?

1. Перевірити статус провайдера

Компанія має зрозуміти, чи вона є reporting crypto-asset service provider, чи лише технологічним постачальником без доступу до користувацьких транзакцій.

2. Оновити onboarding

Потрібні поля для податкової резидентності, TIN, адреси, статусу клієнта, інформації про контролюючих осіб для юридичних осіб.

3. Побудувати data governance

Криптопровайдер збирає чутливий масив даних. Потрібні правила зберігання, доступу, retention, security, transfer, audit trail і відповідальності.

4. Перевірити GDPR / privacy

Для провайдерів у ЄС або тих, хто працює з клієнтами ЄС, DAC8 не скасовує GDPR. Потрібно пояснити legal basis, обсяг даних, строки зберігання, права користувачів і передачу даних податковим органам.

5. Оновити Terms of Use

Користувач має розуміти, що платформа збирає й передає певні дані для податкової звітності. Якщо цього немає в документах, виникає договірний і privacy-ризик.

Кому варто провести crypto tax audit?

Аудит потрібен не лише тим, хто “багато заробив на крипті”. Його варто провести, якщо:

• ви продавали crypto-assets і виводили кошти у фіат;
• маєте акаунти на іноземних біржах;
• отримували стейкінг, airdrop, rewards або mining income;
• переказували активи між біржами, cold wallets і P2P-контрагентами;
• використовували crypto у бізнесі;
• маєте компанію або рахунок у ЄС, Великій Британії, ОАЕ, Сінгапурі, Швейцарії чи іншій CARF-юрисдикції;
• готуєтеся до інвестицій, релокації, купівлі нерухомості, M&A або банківського комплаєнсу;
• не можете документально пояснити походження crypto-assets.

Контрольна точка: якщо ви не можете за 48 годин зібрати базовий пакет документів щодо походження криптоактивів, ризик уже існує.

Таблиця “було / стало”

Було

Стає

Криптоактиви часто сприймалися як приватний простір поза податковою видимістю

Криптооперації входять у систему автоматичного обміну податковою інформацією

Податкова бачила переважно банківський вхід / вихід

Податкова може отримувати дані від криптопровайдерів

Некастодіальний гаманець створював відчуття повної анонімності

Адреса може бути пов’язана з профілем користувача через біржу або інший провайдер

Документи збиралися лише під час проблеми

Документи треба готувати до запиту банку, податкової або інвестора

Crypto compliance був питанням біржі

Crypto compliance стає питанням інвестора, бізнесу, банку й податкового планування

FAQ

Чи означає CARF, що податкова бачитиме всі мої гаманці?

Не автоматично. CARF працює через звітуючих криптопровайдерів. Але якщо гаманець пов’язаний із біржею або іншим regulated provider, податковий орган може отримати дані, які допоможуть ідентифікувати рух активів.

Чи Україна вже приєдналася до CARF?

Станом на офіційні списки OECD / Global Forum за лютий–березень 2026 року Україна не зазначена серед юрисдикцій, які взяли CARF-зобов’язання або підписали CARF-MCAA. Але українські резиденти можуть бути зачеплені через іноземні платформи та юрисдикції, які вже впроваджують CARF.

Коли починається обмін інформацією?

Для частини юрисдикцій перші обміни заплановані на 2027 рік, для інших — на 2028 або 2029 роки. У ЄС правила DAC8 застосовуються з 1 січня 2026 року, а перші обміни за звітний 2026 рік мають відбутися до 30 вересня 2027 року.

Чи потрібно декларувати криптовалюту, якщо я її не продавав?

Це залежить від юрисдикції, податкової резидентності, типу активу та операцій. Сам факт зберігання активу, продаж, обмін, стейкінг або airdrop можуть мати різні податкові наслідки.

Чи може P2P залишитися непомітним?

P2P не дорівнює невидимості. Якщо операція проходить через платформу, банківський рахунок, біржу або пов’язана з ідентифікованим гаманцем, вона може залишити достатньо слідів для податкового або AML-аналізу.

Чи потрібно бізнесу змінювати Terms of Use?

Так, якщо бізнес є криптопровайдером або збирає дані про crypto-транзакції користувачів. Документи мають пояснювати, які дані збираються, для чого, кому передаються і як довго зберігаються.

Чи можна “підготуватися заднім числом”?

Частково можна відновити історію операцій, але це складніше й дорожче. Краще готувати архів документів до того, як банк, біржа, податкова або інвестор поставить запитання.

Висновок

CARF змінює базову логіку крипторинку. Раніше головним питанням було “чи бачить податкова крипту?”. Тепер правильне питання інше: “чи можу я пояснити походження, рух і податкову логіку своїх crypto-assets, якщо дані з’являться в автоматичному обміні або банківському комплаєнсі?”.

Для інвестора це означає необхідність вести історію операцій і розуміти податкові наслідки. Для криптобізнесу — будувати reporting, onboarding, data governance і privacy-процеси. Для компаній, які працюють cross-border, — перевіряти не лише українське право, а й правила юрисдикцій, де знаходяться провайдери, клієнти, рахунки або структури.

Ера “крипта поза податковою видимістю” завершується. Наступний етап — не відмова від crypto, а професійна архітектура: документи, податкова модель, AML-логіка, банківська пояснюваність і контроль ризиків.