Een toezichthouder in Dubai vervangt de standaard nalevingsvereisten door strenge, datagestuurde kaders. Aanbieders van diensten op het gebied van virtuele activa moeten nu kwantitatieve bedrijfsgegevens gebruiken voor realtime risicobeoordeling in plaats van statische monitoring.
VARA dringt er bij cryptobedrijven in Dubai op aan om de zwarte lijsten van de FATF in de gaten te houden en hun risicobeheersing aan te scherpen
GESCHREVEN DOOR
DELEN
Belangrijkste punten
- VARA heeft in 2026 strenge AML-richtlijnen uitgevaardigd die cryptobedrijven in Dubai verplichten om datagestuurde risicomodellen te gebruiken.
- Cryptobedrijven moeten hun risicoprofielen nu minstens om de drie maanden bijwerken, anders krijgen ze te maken met regelgevende maatregelen.
- De VAE verwacht dat compliance officers voortaan de volledige verantwoordelijkheid nemen voor AI- en transactierisico's.
Nieuw kader vereist kwantitatieve gegevens
De Dubai Virtual Assets Regulatory Authority (VARA) heeft nieuwe richtlijnen gepubliceerd die gericht zijn op het aanscherpen van de verdediging tegen financiële criminaliteit in de bloeiende sector van digitale activa in de regio. Op basis van inzichten die zijn verzameld tijdens de thematische evaluatie van de Business Risk Assessment van 2026 door de toezichthouder, onderstreept de richtlijn de strategische focus van de Verenigde Arabische Emiraten (VAE) op het dichten van eventuele resterende mazen in de wet die kwaadwillenden zouden kunnen misbruiken binnen de crypto-ecosystemen.
Onder het bijgewerkte kader moeten cryptobedrijven die in Dubai actief zijn een volledig gedocumenteerde, datagestuurde bedrijfsrisicobeoordeling bijhouden die kwantitatieve bedrijfsgegevens integreert in actuele dagelijkse risicoscoringsmodellen. De regels vereisen dat aanbieders van virtuele activadiensten risicogebieden, zoals het specifieke profiel van hun klantenbestand, grondig in kaart brengen en continu evalueren. Aanbieders moeten geografische blootstellingen evalueren, inclusief de strikte en onmiddellijke integratie van landen die door de Financial Action Task Force (FATF) als risicovol of op de zwarte lijst geplaatst zijn.
De richtlijn schrijft voor dat de risicobeoordeling met regelmatige tussenpozen, maar niet langer dan om de drie maanden, of onmiddellijk na een belangrijke verschuiving in de operationele structuur of productlijn, moet worden geactualiseerd. Ook schrijft de richtlijn voor dat de risicobeoordeling van proliferatiefinanciering en gerichte financiële sancties moet worden gescheiden, in plaats van deze te bundelen onder algemene witwaspraktijken.
Bedrijven moeten risico's die voortvloeien uit opkomende instrumenten formeel documenteren en verantwoorden, waarbij specifiek de nadruk moet liggen op activiteiten die gebruikmaken van kunstmatige intelligentie (AI) en transacties waarbij de anonimiteit wordt vergroot. Bedrijven moeten ook aan de toezichthoudende autoriteit aantonen dat de bevindingen rechtstreeks bepalend zijn voor de toewijzing van middelen en de dagelijkse handhaving van de naleving.
Door dit kader in te voeren, laten de autoriteiten van de VAE zien dat ze afstappen van puur bestraffende maatregelen en zich richten op actieve en systematische risicobeperking. Door deze normen te verduidelijken, verwacht de autoriteit dat compliance officers, senior managers en bestuursleden zich volledig bewust zijn van de resterende risicobeoordelingen van hun bedrijf.
Opvallend is dat de richtlijnen fungeren als een operationele weerspiegeling van bredere federale verschuivingen in de VAE, zoals de onlangs gepubliceerde nationale risicobeoordelingen. Voor cryptobedrijven is de boodschap van de toezichthouders onwrikbaar: innovatie zal sterk worden ondersteund, maar alleen als deze wordt ondersteund door financiële integriteit van wereldklasse, geverifieerd door gegevens.
