迪拜正迅速巩固其作为全球最具吸引力的加密支付公司枢纽之一的地位。在阿联酋经营虚拟资产业务,若缺乏严格的合规性,风险极高。VARA 已向 37 家公司发出执法通知,这些公司从事未经许可的活动并违反了法规。规则详细,监管持续,执法积极。本指南将解释 VARA 对加密支付公司的期望,并展示如何构建强大的合规计划以在迪拜取得成功。
虚拟资产监管局 (VARA) 是根据 2022 年第 4 号迪拜法律设立的。对于支付公司而言,最重要的最新发展是 VARA 在 2025 年更新了关键的强制性规则和活动规则手册,过渡期将于 2025 年 6 月结束。它是世界上第一个仅针对虚拟资产的独立监管机构,这是数字金融迈出的重要一步。在 VARA 之前,没有监管机构专门关注虚拟资产。
VARA 覆盖迪拜大陆及其自由贸易区,但不包括迪拜国际金融中心 (DIFC)。DIFC 有自己的监管机构,即迪拜金融服务管理局 (DFSA)。如果您在 DIFC 开展业务,将适用不同的规则。
迪拜为加密支付公司提供了巨大的机遇。一些国家正在收紧法规,新加坡已加强了对 Web3 项目的管控。阿联酋则不同,它欢迎商业,但也要求严格的合规性。VARA 遵循金融行动特别工作组 (FATF) 的规则,并增加了超越 FATF 基线的特定地方规则。
VARA 的独特之处在于其颁发许可证的方式。它不提供统一的许可证,而是为不同的活动颁发特定的许可证,包括交易、经纪、托管、借贷和支付。您必须清楚地定义您的业务,然后只遵守适用于这些活动的规则。这被称为基于活动的许可制度。
这对支付公司来说是个好消息,您无需遵守针对交易公司的规则,只需满足适用于您特定运营的标准。这使得合规性更具针对性且易于管理。
迪拜也是一个全球金融中心,连接中东、非洲和南亚。总部位于迪拜的公司可以接触到数十亿潜在用户。这座城市拥有友好的商业环境、强大的人才库和世界一流的基础设施,使其成为加密支付公司的理想基地。但您必须认真对待合规性,否则将无法合法经营。
您需要 VARA 许可证吗?适用于谁
什么是支付服务?
如果您的公司在迪拜境内或从迪拜境内转移、结算或汇款虚拟资产,则需要 VARA 许可证。这涵盖了许多不同的商业模式,包括加密卡发行商、跨境汇款平台和商户支付网关。如果您的平台允许人们使用加密货币支付商品或服务,您就需要 VARA 授权。
考虑您的产品实际做什么。它是否将加密货币从一个钱包移动到另一个钱包?它是否将加密货币兑换成法定货币给商户?它是否允许用户在结账时使用数字资产付款?如果是,您就是 VARA 规则下的支付服务提供商。
即使您的办公室不在迪拜,VARA 的规则也适用。如果您以迪拜居民为目标用户,您就需要许可证。如果您从迪拜的自由贸易区开展业务,您就需要许可证。许多公司曾试图在没有许可的情况下为迪拜市场服务,这是 VARA 惩罚的最常见违规行为之一。
两阶段许可流程
获得 VARA 许可证并不容易,这是一个严格的多阶段流程,旨在阻止不良行为者。分为两个阶段:初步批准和全面 VASP 许可证。
在初步批准阶段,VARA 将审查您的业务计划、公司结构和合规框架。您必须表明您理解规则并认真对待它们。只有具有可信方法的公司才能进入下一阶段。
在初步批准后,您将申请全面 VASP 许可证。届时 VARA 将进行更深入的审查,检查您的技术、员工和风险控制。您必须证明您的业务已准备好安全运营。
这个过程需要时间,请提前计划,不要等到准备好启动时才开始申请。尽早开始,并首先将您的合规计划安排妥当。
最低资本和资格标准
您必须满足最低资本要求才能申请。VARA 设定这些门槛,以确保只有实力雄厚的公司才能处理用户资金。具体金额取决于您的特定活动和司法管辖区。
VARA 还将审查您的技术和治理。您必须提供技术文件,包括系统架构、网络安全计划和业务连续性计划。如果您的系统出现故障,您需要一个继续运营的计划。
VARA 还将审查关键员工的背景,他们必须符合“称职和合适”的标准,这意味着没有犯罪记录和相关经验。这也不是一次性检查,VARA 会持续监控关键人员。
| 类别 | 详细信息 |
|---|---|
| 注册实体 | 迪拜(大陆或自由贸易区,如 DMCC)的法人实体;需要公司章程和股东文件。 |
| 最低资本 | 50,000–500,000 阿联酋迪拉姆,取决于活动;高风险活动(例如,交易服务)需要更多资本。 |
| 治理结构 | 高级管理人员必须合格且无犯罪记录;需要充足的技术和运营能力。 |
| 反洗钱/反恐融资准备 | 拥有有效的 KYC/AML 框架;必须任命合格的 MLRO。 |
| 申请流程 | 1. 向 VARA 提交意向书 (LOI) 2. 初步批准:业务计划、风险评估、技术架构 3. 全面申请:合规文件和审计报告 4. 获得 MVP 许可证或全面许可证——典型时间:3–6 个月 |
| 许可活动 | 咨询 · 经纪交易 · 托管 · 交易 · 借贷 · 虚拟资产管理与投资 · 虚拟资产转移与结算 · 虚拟资产发行 |
VARA 对支付公司的核心合规要求
获得许可证后,真正的工作才开始。VARA 有几本规则手册,您必须每天遵守。这些不仅仅是清单,VARA 希望看到您的控制措施真正发挥作用。他们采用基于风险、注重结果的方法,这意味着您必须证明您的系统在实践中是有效的,而不仅仅是纸面上。
反洗钱/反恐融资义务
《合规与风险管理规则手册》对支付公司来说是最重要的规则手册。您必须拥有强大的反洗钱 (AML) 控制措施和反恐融资 (CFT) 控制措施。
这从了解您的客户 (KYC) 检查开始。您必须在每个用户加入您的平台之前验证他们。您还必须进行客户尽职调查 (CDD),这意味着了解您的客户是谁以及他们在做什么。
但是,基本检查是不够的。您必须不断监控交易。加密货币流动迅速,一笔支付可以在几秒钟内跨越多个司法管辖区。您需要智能系统来发现不良行为。这些系统必须超越简单的规则,能够适应新的金融犯罪模式。
您必须向相关机构报告可疑交易,并保留详细记录。VARA 可能会随时要求审查这些记录。如果无法提供,即属违规。
VARA 特别关注加密货币特有的风险。资金流动迅速,钱包可以是匿名的,交易是不可逆的。这些特点使得加密货币对犯罪分子具有吸引力。VARA 希望您直接解决这些风险。
制裁筛查和跨境风险
支付公司面临很高的制裁风险。一笔不良支付可能导致严重麻烦。您可能在不知情的情况下为受制裁的个人或实体处理了款项。VARA 希望您能阻止这种情况。
您必须对每个人进行筛查,包括您的客户、合作伙伴和钱包地址。在与 OFAC、联合国和欧盟等全球制裁名单进行比对。您必须实时完成。
这在规模化操作方面存在困难,您每天可能处理成千上万笔交易,手动检查是不可能的。您需要自动化工具,这些工具必须能够即时运行检查,并标记高风险司法管辖区。VARA 要求这种级别的自动化。
跨境支付增加了另一层风险。当资金跨越国界时,可能会经过高风险地区。您的监控必须追踪这一点,您需要知道资金的来源和去向。
技术和网络安全标准
虚拟资产是数字的,因此 VARA 要求强大的技术。您必须确保您的系统安全,并采取积极的网络安全措施。您不能等到攻击发生后再采取行动,必须提前做好准备。
VARA 的《技术与信息规则手册》设定了标准。您必须有一个经过测试的事件响应计划。如果您被黑客攻击,您需要迅速采取行动。您还必须有一个业务连续性计划,即使系统故障,您的业务也必须继续运行。
您还必须保持准确的记录。VARA 希望为每笔交易提供审计追踪。您必须记录合规决策和风险检查。这些记录必须随时准备好,以供 VARA 索取。缺失记录是严重的违规行为。
治理和问责制
VARA 要求强大的公司治理。您必须拥有独立的合规团队,他们必须直接向高级管理层汇报。董事会必须监督一切。您必须记录谁对什么负责。
您还必须管理利益冲突。如果公司内的某人从糟糕的决定中获益,那就是一个问题。您必须识别这些冲突并进行管理,以保护您的客户并维持市场的公平。
合规性不仅仅是后台工作,它必须是您核心业务的一部分。高级领导者必须承担责任,理解规则并执行它们。VARA 要求领导层负责。
不合规的后果:VARA 的执法行动
VARA 制定规则并执行它们。您负责合规,但 VARA 会密切关注。如果您违反了规则,VARA 会迅速采取行动。
根据 VARA 的官方执法记录,VARA 已向 37 家公司发出执法通知。其中大多数公司在没有许可证的情况下运营。一些公司未经授权地营销虚拟资产服务。另一些公司未能控制反洗钱风险。有些公司治理不善。有些公司向 VARA 隐瞒信息。
常见的违规类型
最常见的违规行为是无证经营。许多公司认为他们可以在获得授权前测试市场,但 VARA 不允许这样做。如果您在没有许可证的情况下为迪拜用户提供服务,您就是违法。
未经授权的营销也很常见。一些公司在未经 VARA 批准的情况下向迪拜居民宣传其服务。即使您没有本地运营,这也属于违规。VARA 会监控营销活动并采取行动。
反洗钱方面的失败是严重的。如果您的监控系统遗漏了可疑交易,VARA 会发现。糟糕的治理也是一个危险信号。如果您的合规团队没有真正的权力,VARA 会注意到。
VARA 的执法措施
VARA 根据违规的严重程度采取不同的处罚措施。对于轻微违规,他们会发出“停止和终止令”,要求您立即停止非法活动。
对于更严重的违规,他们会处以罚款,这可能数额巨大。VARA 还会发布公开声明,这意味着您的违规行为将被公之于众,这会损害您与客户和合作伙伴的声誉。
在最坏的情况下,VARA 会任命一名“熟练人士”,这是一位外部专家,会进入您的公司,监督您的补救措施。您需要为此专家付费,这既昂贵又具有破坏性。
公开执法是一种强大的威慑力量,它向整个市场表明 VARA 是认真的。如果您处理的是真实的用户资金,请不要冒险。VARA 的执法是真实且积极的。
如何构建符合 VARA 标准的合规计划
您无法通过手动流程来满足 VARA 的要求,您需要技术。以下是针对加密支付公司的分步指南:
第一步:将您的活动映射到正确的许可证类别。 定义您提供的每一项服务,并将其匹配到 VARA 的许可证类别。如果您在许可证范围之外运营,VARA 将会惩罚您。清楚地说明您是从事支付、托管还是经纪业务。不要想当然,如有疑问请咨询 VARA。
第二步:实施自动化的钱包筛查。 了解每笔支付的另一方是谁。使用自动化工具筛查钱包地址,并与全球制裁名单进行比对。查找与暗网市场、勒索软件或欺诈相关的链接。在用户加入时和每次交易时都要这样做。手动筛查无法跟上交易量。
第三步:设置实时交易监控。 加密货币在几秒钟内结算,您的控制措施必须同样迅速。实时监控资金流,了解每个用户的正常行为,并自动标记异常活动。简单的规则是不够的,您需要能够适应新模式的智能系统。
第四步:建立可疑活动报告工作流程。 当您的系统标记出不良交易时,您需要一个清晰的计划。记录您如何调查它、如何升级它、如何向当局报告。定期测试此工作流程,并在出现新的金融犯罪时进行更新。
第五步:为持续审计和监管报告做好准备。 妥善保管所有交易和决策的记录。VARA 希望有证据证明您的控制措施有效。定期的内部审计至关重要。始终准备好接受外部审查。如果 VARA 要求提供记录,您必须立即提供。
阿联酋与其他加密货币中心的对比:VARA 脱颖而出的原因
VARA 提供了与其他地区相比的独特优势,这就是为什么迪拜对加密支付公司如此受欢迎。
VARA 与 MiCA (欧盟)
欧盟采用 MiCA 框架,适用于所有 27 个欧盟国家。MiCA 将代币分为三类:电子货币代币 (EMT)、资产参考代币 (ART) 和实用代币。每种类型都有不同的规则。您必须获得您使用的每种代币类型的授权。
MiCA 是全面的,但也很广泛,适用于所有 27 个国家,这可能给专业公司带来复杂性。您可能不得不遵守不适合您业务模式的规则。
VARA 则不同。它为您特定的活动颁发许可证,让您可以专注于与您的业务相关的规则。这更加清晰高效。
| 维度 | VARA (迪拜) | MiCA (欧盟) |
|---|---|---|
| 方法 | 模块化、基于活动的许可 | 统一的、基于代币分类的许可 |
| 范围 | 迪拜大陆和自由贸易区 | 27 个欧盟成员国 |
| 反洗钱/反恐融资 | 符合 FATF 标准,并包含本地化要求 | AMLR/AMLA 统一框架 |
| 支付服务 | 需要特定的支付服务许可证 | 需要 EMT/ART 授权 |
| 创新立场 | 支持商业,有利于创新 | 全面但广泛 |
VARA 与新加坡 MAS
新加坡金融管理局 (MAS) 对零售加密货币准入非常严格。面向消费者的支付公司在该地区运营困难,MAS 已拒绝或推迟了许多许可证申请。环境保守。
迪拜则不同,它支持商业并鼓励创新。您可以构建面向消费者的产品并获得许可,但您必须达到国际合规标准。这种平衡使得阿联酋成为在全球范围内发展的理想之地。
如果您想进入全球市场并需要一个支持性的监管环境,迪拜是正确的选择。VARA 为您提供了清晰度和灵活性,让您确切地知道需要做什么。
BlockSec 如何帮助加密支付公司保持 VARA 合规
满足 VARA 的严格规则需要企业级技术。手动操作无法处理加密支付的速度和数量,您需要强大的实时监控。
这就是 BlockSec 的用武之地。我们提供您所需的基础设施,保障您的运营安全,并从第一天起就满足监管机构的要求。通过 Phalcon Compliance,您可以自动化风险控制,实时筛查钱包和监控交易,并阻止与受制裁地址的交互。所有这些都可以在一个平台上完成。
Phalcon Compliance 直接符合 VARA 的要求,涵盖钱包筛查、交易监控和自动化风险控制。您无需自行构建这些系统,我们已经完成了。您只需连接即可使用。
对于在全球范围内运营的支付公司,BlockSec 增强了您的信心。您可以扩展业务而无需在合规方面失败。我们为超过 500 家客户提供服务,包括加密货币交易所、钱包、OTC 交易柜台和金融机构。我们还与 50 多个司法管辖区的监管机构和执法部门合作。我们了解您在迪拜面临的确切挑战。
如果您正在迪拜构建加密支付业务并需要符合 VARA 的要求,请探索 Phalcon Compliance 如何帮助您满足 VARA 框架中的所有要求。
