Настройка compliance для юрисдикции Дубай (VARA)
VARA (Virtual Assets Regulatory Authority) — регулятор Дубая для виртуальных активов, основан в 2022 году. Дубай активно позиционирует себя как крипто-хаб: понятное законодательство, низкие налоги (0% corporate tax для free zones), и доступ к MENA рынку с $1T+ wealth.
Структура регулирования в Дубае
Дубай имеет несколько юрисдикций с разными регуляторами:
VARA (Дубай, mainland): для большинства VASP деятельности в Эмирате Дубай. Наиболее geared к крипто-бизнесу.
DIFC (Dubai International Financial Centre): финансовый free zone с английским common law. DFSA регулирует финансовые услуги включая крипто. Лучше для институциональных services.
ADGM (Abu Dhabi Global Market): Abu Dhabi free zone, FSRA регулятор. Также активно принимает крипто-бизнес.
Большинство крипто-стартапов выбирают VARA или ADGM.
VARA лицензионные категории
VARA выдаёт отдельные разрешения для каждого типа деятельности:
- Advisory Services
- Broker-Dealer Services
- Custody Services
- Exchange Services
- Lending and Borrowing Services
- Management and Investment Services
- Transfer and Settlement Services
- VA Issuance Services
Технические требования VARA
VARA известен детальными технологическими требованиями — это один из наиболее technology-forward регуляторов:
Technology Governance Framework: документированная система управления технологическими рисками.
Cybersecurity Controls: VARA требует соответствия NIST CSF или ISO 27001. Ежегодный penetration test обязателен.
Custody Technology: для custody сервисов — обязательный HSM или MPC. VARA принимает Fireblocks, Copper, Ledger Enterprise.
Business Continuity: DR site требование, RTO < 4 часа для критических систем.
VARA Minimum Technology Standards (MITS):
- Multi-factor authentication для всех admin доступов
- Encrypted communications (TLS 1.2+)
- Segregation of duties в key management
- Real-time transaction monitoring
- Immutable audit logs
- Annual independent IT audit
AML Requirements VARA
VARA следует FATF рекомендациям + UAE Federal AML Law. Специфические требования:
Risk-based approach: формализованный Business Risk Assessment документ, описывающий клиентские риски, продуктовые риски, географические риски применительно к UAE контексту.
UAE Sanctions: дополнительно к OFAC/EU — UAE National AML/CFT Committee sanctions list (обновляется регулярно). Все UAE национальные санкции имеют приоритет.
Designated Non-Financial Businesses: особое внимание к транзакциям с UAE DNFB секторами (real estate, gold, jewellery).
Структура юридического лица
VARA требует регистрации компании в Дубае:
- Free zone компания (DMCC, Dubai South) или mainland LLC
- Физический офис (не virtual office)
- UAE resident директор
- Minimum capital: зависит от category, от AED 1M (≈$270K)
DMCC (Dubai Multi Commodities Centre) — наиболее популярный free zone для крипто благодаря Crypto Centre программе.
Процесс получения VARA лицензии
- Minimum Viable Product submission: предварительный review концепции (2-4 недели)
- Initial Application: корпоративные документы + business plan (4-8 недель подготовки)
- In-Principle Approval: VARA даёт условное согласие, затем детальный technical review
- Full Licence: после выполнения всех условий
Общий срок: 9-18 месяцев. Стоимость лицензионного сбора: $10,000-$100,000+ в зависимости от категорий.
Настройка VARA compliance: разработка Technology Governance Framework, UAE-специфичного Risk Assessment, AML Policy и поддержка при подаче — 2-4 месяца.