La Autoridad Reguladora de Activos Virtuales de Dubai ha emitido una nueva guía contra el lavado de dinero que impulsa a las empresas de cifrado con licencia a realizar evaluaciones de riesgos más basadas en datos y actualizadas con frecuencia.
La guía, publicada el 12 de junio, requiere que los proveedores de servicios de activos virtuales integren las jurisdicciones de alto riesgo y mayor monitoreo del GAFI en sus procesos de cumplimiento. También genera expectativas en torno al seguimiento de riesgos, la supervisión de la alta dirección, los riesgos relacionados con la IA, las transacciones que mejoran el anonimato y la financiación de la proliferación.
La actualización eleva el nivel de cumplimiento para uno de los centros de licencias de cifrado más activos del mundo. NeosLegal estima que más de 100 VASP cuentan con permisos o aprobaciones de los reguladores de los EAU, incluidos VARA, ADGM, DFSA, CBUAE y CMA.
Para las bolsas globales y los custodios que operan en Dubai, el mensaje es claro: el acceso al mercado ahora conlleva obligaciones operativas más pesadas.
VARA impulsa a las empresas de cifrado hacia controles de riesgo basados en datos
El marco actualizado de VARA requiere que las empresas autorizadas vayan más allá de las listas de verificación de cumplimiento estáticas y mantengan evaluaciones de riesgos que reflejen la actividad comercial actual.
Las empresas deben evaluar los riesgos vinculados a los perfiles de los clientes, los tipos de transacciones, los productos, los servicios, los canales de entrega y la exposición geográfica. Los países identificados por el Grupo de Acción Financiera Internacional como de alto riesgo o sujetos a un mayor seguimiento deben ser tenidos en cuenta rápidamente en esas evaluaciones.
Las evaluaciones de riesgos deben revisarse al menos cada tres meses, o antes si una empresa cambia sus productos, servicios, modelo de negocio, propiedad o estructura corporativa. Eso hace que el cumplimiento sea un proceso continuo en lugar de un ejercicio periódico de concesión de licencias.
La guía también exige que las empresas distingan entre riesgos de lavado de dinero, financiación del terrorismo, financiación de la proliferación y sanciones financieras selectivas. No pueden tratar todos los riesgos de delitos financieros como una categoría amplia.
Se espera que los altos directivos, miembros de la junta directiva y funcionarios de cumplimiento comprendan la calificación del riesgo residual de la empresa y cómo se gestiona. VARA también espera que las empresas tengan en cuenta los riesgos emergentes relacionados con la inteligencia artificial y el aprendizaje automático, las transacciones que mejoran el anonimato y la actividad de financiación colectiva.
El estatus de centro criptográfico de Dubai ahora conlleva mayores costos de cumplimiento
Dubai se ha posicionado como un centro regulatorio para las criptoempresas globales, pero las nuevas directrices muestran que el régimen se está volviendo más exigente.
El marco VARA está estrechamente alineado con los estándares del GAFI. Sus libros de reglas incorporan las recomendaciones del GAFI como requisitos exigibles, incluidas las obligaciones de las reglas de viaje, la evaluación de sanciones, la debida diligencia del cliente y el monitoreo basado en riesgos.
Eso les da a las empresas globales cierta ventaja si ya operan bajo fuertes regímenes de cumplimiento en jurisdicciones como la UE, Singapur, Suiza o Estados Unidos. Muchos de los controles básicos se superponen.
Sin embargo, las expectativas de Dubái van más allá en algunos ámbitos. Se espera que las empresas mantengan un seguimiento actualizado de las sanciones, un control automatizado, un análisis de direcciones de billetera, análisis de libros distribuidos y controles de riesgo geográfico más detallados.
Esto significa que una empresa con un manual de cumplimiento básico tendrá dificultades. VARA espera que las empresas demuestren que sus modelos de riesgo están respaldados por datos operativos reales y pueden adaptarse a medida que cambia el negocio.
La aplicación de la ley en los Emiratos Árabes Unidos hace que el mensaje sea más difícil de ignorar
La orientación se produce mientras los reguladores de los EAU continúan endureciendo la supervisión de los delitos financieros en todo el sector financiero.
Desde principios de 2025, el Banco Central de los EAU ha impuesto más de 370 millones de AED, o más de 100 millones de dólares, en sanciones contra el lavado de dinero y la financiación del terrorismo a instituciones financieras, incluidos bancos, casas de cambio, aseguradoras y compañías financieras.
Los reguladores de Dubai también han adoptado un enfoque más estricto respecto de los riesgos relacionados con el anonimato, y los activos y transacciones que mejoran la privacidad reciben un escrutinio más detenido debido a sus implicaciones en materia de lucha contra el lavado de dinero.
Para las empresas de cifrado, la dirección del viaje es clara. Dubai sigue abierta a las empresas de activos virtuales, pero ya no basta con obtener una licencia y operar con controles estáticos. Las empresas deben seguir demostrando que sus sistemas de riesgo coinciden con el tamaño, la complejidad y la exposición de su negocio.