VARA — отраслевой регулятор виртуальных активов в эмирате Дубай. Он отвечает за лицензирование и надзор за провайдерами услуг с виртуальными активами (VASP) на территории Дубая вне зоны DIFC (у которой свой регулятор DFSA). В периметр попадают централизованные биржи, брокеры, OTC, кастодианы, провайдеры лендинга/заимствования, обменники и иные сервисы, которые организуют хранение, передачу и торговлю виртуальными активами для клиентов.
Смежные разделы по теме: регулирование крипторынка, KYC/AML, блокчейн-аналитика, PoR/PoL (резервы), FATF, SFC (Гонконг), MAS (Сингапур), SEC (США).
VARA — Управление по виртуальным активам Дубая (Dubai Virtual Assets Regulatory Authority)
| Параметр | Данные |
|---|---|
| Юрисдикция | Эмират Дубай, ОАЭ (кроме финансовой зоны DIFC) |
| Роль | Регулирование и надзор за провайдерами услуг с виртуальными активами (VASP) |
| Цели | Защита потребителей, market integrity, AML/CFT и киберустойчивость, развитие экосистемы |
| Фокус-комплаенса | KYC/KYB, Travel Rule, транзакционный мониторинг, кастоди и сегрегация, ИБ/технологические требования, реклама/промо |
Кто считается VASP под VARA
Под действие VARA попадают компании, которые в Дубае предлагают или оказывают один или несколько из перечисленных видов услуг с VA (набор формулировок может отличаться по лицензии, ниже — обобщённая карта):
- Exchange Services — спот/деривативы, книга ордеров, матчинг, конвертация VA↔VA/фиат.
- Broker–Dealer Services — агентское исполнение/маршрутизация, OTC-операции.
- Custody Services — хранение активов клиентов, ключевая сегрегация и процедуры доступа к ключам (MPC/мультисиг).
- Lending & Borrowing Services — централизованные схемы займа/кредита с VA.
- Management & Investment Services — управление портфелями/продуктами с VA-экспозицией.
- Transfer & Settlement Services — перевод/клиринг VA от имени клиентов.
- Advisory Services — профессиональные рекомендации по VA-продуктам.
Некоторые роли требуют комбинации лицензий (например, биржа с кастоди и брокерским блоком).
Основные rulebooks и что они требуют
VARA публикует набор правил (rulebooks), которые задают требования для всех VASP и для отдельных видов деятельности. Обобщённо:
- Company / General Rulebook — корпоративное управление, компетенции менеджмента, независимые функции (risk/compliance), отчётность.
- Market Conduct — запрет манипуляций/вводящих в заблуждение практик, правила листинга/делистинга, конфликтов интересов и раскрытий.
- Prudential / Financial — капитал, резервы, ликвидность, аудит.
- Custody Services — сегрегация клиентских средств, политика кошельков (горячий/холодный), лимиты и дашборды прозрачности, план инцидентов, PoR/PoL (см. резервы).
- Technology & Information — ИБ, управление ключами, логирование, доступы (PAM), BCP/DRP, пентесты.
- Marketing & Promotions — жёсткие требования к рекламе: никаких «гарантированных доходностей», корректные предупреждения, контроль партнёров/аффилиатов.
- VA Issuance / Product — правила для выпусков/предложений VA-продуктов, включая стабилькоины и токенизацию (где применимо совместно с федеральными нормами).
AML/CFT и Travel Rule под VARA
- Обязателен полный цикл AML: KYC/KYB, санкционный и негативный скрининг, транзакционный мониторинг, отчётность по подозрительным операциям — с учётом подхода на основе риска (RBA).
- Travel Rule: при трансграничных переводах между VASP — обмен реквизитами отправителя/получателя через совместимые провайдеры/хабы. Для self-custody адресов — дополнительные проверки риска и аттестация владения адресом.
- Для ончейн-части практикуется интеграция с блокчейн-аналитикой (кластеризация, SoF/SoW, риск-рейтинги).
Кастоди и доказуемость резервов
Кастодианы под VARA должны обеспечивать:
- Сегрегацию клиентских активов от операционных; чёткая политика доступа к ключам (MPC/мультисиг).
- Управление лимитами горячих/холодных кошельков, журнал событий и процедуры инцидентов (24/7).
- Прозрачность: регулярные снимки активов/обязательств (PoR/PoL) и методология их расчёта. См. резервы.
Реклама и работа с розницей
- Запрещены обещания фиксированной/гарантированной доходности, вводящие в заблуждение заявления о рисках/доходе.
- Требуется pre-approval/внутренний комплаенс-ревью материалов, контроль партнёров/инфлюенсеров, корректные предупредительные формулировки в интерфейсе.
- Для отдельных продуктов действуют ограничения для розницы (suitability, лимиты, тесты знаний).
Стейблкоины и токенизация
Вопросы стейблкоинов решаются в связке с федеральными регуляторами ОАЭ (SCA/ЦБ ОАЭ). Для VASP это означает:
- проверку статуса эмитента и резервов при листинге/маршрутизации;
- учёт админ-функций (freeze/wipe) и сетевых рисков — см. blacklists у стейблкоинов;
- практическую оценку сетевого распределения ликвидности (например, контекст USDT на Tron).
Лицензирование: что готовить на старте
| Блок | Что спросит VARA | Что подготовить |
|---|---|---|
| Юрлицо и структура | Бенефициары, независимость, компетенции менеджмента | Органиграмма, политики управления, независимые функции |
| Финансы | Капитал, ликвидность, план на 12 мес. OPEX | Финплан, аудит, стресс-сценарии |
| AML/CFT | KYC/KYB, санкции, мониторинг, Travel Rule | Плейбук AML, выбор провайдеров TR, RBA-матрицы, шаблоны SAR/STR |
| Технологии/ИБ | Управление ключами, SOC/логирование, BCP/DRP | Архитектура кошельков (MPC/мультисиг), журналы, процедуры инцидентов |
| Кастоди | Сегрегация, отчётность PoR/PoL | Политики хранения, лимиты горячих/холодных, дашборды прозрачности |
| Рынок/листинг | Методология допуска активов, мониторинг манипуляций | Регламент комитета по листингу, критерии делиста |
| Реклама | Процедура pre-approval, контроль аффилиатов | Гайд по промо, шаблоны предупреждений |
| Розница | Suitability, ограничения, обучение | UX-тексты, тесты знаний, режимы доступа |
Практика для проектов и интерфейсов DeFi
- Разделите «некастодиальный код» и «централизованные интерфейсы»: последние обычно подпадают под промо/AML-требования.
- В интерфейсах применяйте маршрутизацию по «белым» пулам/мостам и предупреждения пользователю — см. Privacy Pools и ERC-5564 как примеры приватности с комплаенсом.
- Ведите реестр сетей/контрактов по листингам, фиксируйте правила redeem для стейблкоинов и публикуйте методологию PoR/PoL.
Риски и «красные флаги»
- Оказание услуг в Дубае без лицензии VARA при фактическом таргетинге местных резидентов.
- Аggressive-маркетинг «доходности» без раскрытий и проверок suitability.
- Отсутствие сегрегации и прозрачности по резервам.
- Игнор Travel Rule и слабый транзакционный мониторинг.
- Недостаточная ИБ: единая точка компрометации ключей, отсутствие журналов/BCP.
Мини-чек-листы
Запуск VASP в Дубае
- Определите набор лицензий (exchange/broker/custody/…); учтите, что DIFC регулируется DFSA, а не VARA.
- Подключите KYC/KYB и санкционный скрининг; опишите RBA-матрицы.
- Встроите Travel Rule и процессы для self-custody адресов.
- Настройте кастоди (MPC/мультисиг), лимиты и PoR/PoL-отчётность.
- Утвердите ИБ-политики и BCP/DRP; проведите пентест.
- Введите промо-процедуру pre-approval и предупреждения в интерфейсе.
Для пользователей
- Проверяйте в реестрах статус платформы и её лицензии.
- Смотрите публичные доказательства резервов/обязательств и сетей вывода (см. резервы).
- Избегайте обещаний «безрисковой доходности»; соблюдайте гигиену кошельков (см. руководство по дрейнерам).
Частые вопросы (FAQ)
VARA покрывает весь Дубай? Да, кроме DIFC (финансовая свободная зона со своим регулятором DFSA). Если вы таргетируете клиентов в Дубае вне DIFC — это контур VARA.
Нужна ли лицензия всем, кто «просто делает интерфейс»? Зависит от фактов бизнеса. Если интерфейс организует обмен/хранение/переводы для клиентов, VARA может рассматривать его как VASP-деятельность. Обратите внимание на промо и AML-обязанности.
Можно ли рекламировать продукты с доходностью? Только с жёсткими раскрытиями и в рамках правил промо. Гарантировать доход — нельзя.
Как стейблкоины вписываются в режим VARA? Листинг/маршрутизация учитывают статус эмитента, резервы и админ-функции в связке с федеральными нормами ОАЭ. См. blacklists и USDT на Tron.