En tilsynsmyndighed i Dubai erstatter grundlæggende overholdelse af reglerne med strenge, datadrevne rammer. Udbydere af tjenester inden for virtuelle aktiver skal nu anvende kvantitative forretningsdata til risikovurdering i realtid i stedet for statisk overvågning.
VARA opfordrer kryptovirksomheder i Dubai til at følge FATF’s sortlister og skærpe risikostyringen
SKREVET AF
DEL
Hovedpunkter
- VARA udgav strenge AML-retningslinjer i 2026, der kræver, at kryptovirksomheder i Dubai skal anvende datadrevne risikomodeller.
- Kryptovirksomheder skal nu opdatere deres risikoprofiler mindst hver tredje måned, ellers risikerer de at blive udsat for regulerende foranstaltninger.
- De Forenede Arabiske Emirater forventer, at compliance-ansvarlige fremover tager det fulde ansvar for AI- og transaktionsrisici.
Nyt rammeværk kræver kvantitative data
Dubai Virtual Assets Regulatory Authority (VARA) har offentliggjort nye retningslinjer, der har til formål at skærpe bekæmpelsen af økonomisk kriminalitet i regionens blomstrende sektor for digitale aktiver. Vejledningen bygger på indsigter indsamlet under tilsynsmyndighedens tematiske gennemgang af forretningsrisikovurderingen i 2026 og understreger De Forenede Arabiske Emiraters (UAE) strategiske fokus på at fjerne eventuelle resterende smuthuller, som ondsindede aktører kunne udnytte inden for landets kryptoøkosystemer.
I henhold til den opdaterede ramme skal kryptovirksomheder, der opererer i Dubai, opretholde en fuldt dokumenteret, datadrevet forretningsrisikovurdering, der integrerer kvantitative forretningsdata i faktiske daglige risikovurderingsmodeller. Reglerne kræver, at udbydere af virtuelle aktivtjenester grundigt kortlægger og løbende vurderer risikoområder, såsom den specifikke profil af deres kundebase. Udbydere skal vurdere geografiske eksponeringer, herunder streng og øjeblikkelig integration af Financial Action Task Force (FATF) højrisiko- og sortlistede lande.
Vejledningen kræver, at risikovurderingen opdateres med regelmæssige intervaller på højst hver tredje måned eller straks efter enhver større ændring i driftsstrukturen eller produktlinjen. Den kræver også, at risikovurderingen af finansiering af spredning og målrettede finansielle sanktioner adskilles, i stedet for at samle dem under generel hvidvaskning af penge.
Virksomheder skal formelt dokumentere og redegøre for risici, der stammer fra nye værktøjer, med særlig vægt på kunstig intelligens (AI)-baserede operationer og transaktioner med forstærket anonymitet. Virksomheder skal også over for tilsynsmyndigheden påvise, at resultaterne direkte dikterer ressourceallokering og den daglige håndhævelse af compliance.
Ved at indføre denne ramme viser myndighederne i UAE, at de bevæger sig væk fra rent strafferetlige foranstaltninger og hen imod en aktiv og systematisk risikoreduktion. Ved at præcisere disse standarder forventer myndigheden, at compliance-ansvarlige, ledende medarbejdere og bestyrelsesmedlemmer er fuldt ud klar over deres virksomheds risikovurderinger.
Det er især værd at bemærke, at vejledningen fungerer som et operationelt spejl for bredere føderale ændringer i UAE, såsom de nyligt offentliggjorte nationale risikovurderinger. For kryptovirksomheder er budskabet fra tilsynsmyndighederne urokkeligt: Innovation vil fortsat blive stærkt støttet, men kun hvis den er bakket op af finansiel integritet i verdensklasse, der er verificeret ved hjælp af data.
