Introducción
La Autoridad Reguladora de Activos Virtuales de Dubái (VARA) está implementando un enfoque más riguroso en el cumplimiento normativo, reemplazando las prácticas básicas por marcos basados en datos. A partir de ahora, los proveedores de servicios de activos virtuales deberán utilizar datos comerciales cuantitativos para realizar puntuaciones de riesgo en tiempo real, en lugar de depender de un seguimiento estático.
Objetivos de las Nuevas Directrices
Las nuevas directrices de VARA tienen como objetivo fortalecer las defensas contra el crimen financiero en el creciente sector de activos digitales de la región. Estas directrices se fundamentan en las ideas recopiladas durante la revisión temática de la Evaluación de Riesgos Empresariales 2026 del organismo regulador y subrayan el enfoque estratégico de los Emiratos Árabes Unidos (EAU) para eliminar cualquier resquicio que los actores malintencionados pudieran aprovechar dentro de sus ecosistemas cripto.
Requisitos para Empresas de Cripto
Bajo el marco actualizado, las empresas de cripto que operan en Dubái deben mantener una evaluación de riesgo empresarial completamente documentada y basada en datos, que integre datos comerciales cuantitativos en modelos de puntuación de riesgo en tiempo real. Las nuevas reglas exigen que los proveedores de servicios de activos virtuales mapeen y evalúen continuamente las áreas de riesgo, incluyendo el perfil específico de su base de clientes.
Además, deben evaluar las exposiciones geográficas, integrando de manera estricta e inmediata a los países de alto riesgo y en listas negras del Grupo de Acción Financiera (FATF).
Actualización y Documentación de Riesgos
Las directrices estipulan que la evaluación de riesgos debe actualizarse a intervalos regulares, no mayores a tres meses, o inmediatamente tras cualquier cambio significativo en la estructura operativa o en la línea de productos. También se requiere que se separe la evaluación de riesgos de financiamiento de la proliferación y sanciones financieras dirigidas, en lugar de agruparlas en un lavado de dinero generalizado.
Las empresas deben documentar formalmente y contabilizar los riesgos derivados de herramientas emergentes, destacando específicamente las operaciones habilitadas por inteligencia artificial (IA) y las transacciones que mejoran el anonimato. Asimismo, deben demostrar a la autoridad reguladora que los hallazgos de estas evaluaciones dictan directamente la asignación de recursos y la aplicación del cumplimiento diario.
Cambio de Enfoque en la Regulación
Con la adopción de este marco, las autoridades de los EAU están mostrando un cambio de medidas puramente punitivas hacia una mitigación activa y sistemática del riesgo. Al clarificar estos estándares, la autoridad espera que los oficiales de cumplimiento, gerentes senior y miembros de la junta estén completamente al tanto de las calificaciones de riesgo residual de sus empresas.
Reflejo de Cambios Federales
Es importante destacar que estas directrices reflejan cambios federales más amplios en los EAU, como las Evaluaciones Nacionales de Riesgo recientemente publicadas. Para las empresas de cripto, el mensaje de los reguladores es claro: la innovación seguirá siendo fuertemente apoyada, pero solo si está respaldada por una integridad financiera verificada por datos de clase mundial.
Por lo tanto, sería erróneo suponer que las principales regulaciones de licencias de cripto están convergiendo hacia un mismo punto; por el contrario, cada jurisdicción está desarrollando su propio enfoque distintivo.
