PayFi в Об'єднаних Арабських Еміратах: аналіз ризиків бізнесової відповідності

Автор: Хуан Веньцзин

Вступ

У час, коли хвиля Web3 охоплює світ, PayFi (платіжні фінанси, концепція, вперше запропонована Лілі Ліу, головою фонду Solana, у 2024 році) став інноваційною ареною, що пов'язує традиційні платежі з технологією блокчейн, і швидко переосмислює ландшафт міжнародних платежів. Уявіть собі: користувачі можуть здійснювати миттєві, низьковартісні глобальні перекази за допомогою технології блокчейн, без банківських посередників, і при цьому отримують гарантію прив'язки вартості стабільних монет. Це не просто технологічне оновлення, а справжній світанок фінансової демократії.

ОАЕ, будучи веб3 хабом Близького Сходу, на прикладі VARA (Virtual Assets Regulatory Authority, Управління з регулювання віртуальних активів) в Дубаї та ADGM (Abu Dhabi Global Market, Глобальний ринок Абу-Дабі) створили провідну у світі крипто-дружню інфраструктуру. Проте, для підприємців та інвесторів, які намагаються вийти на ринок ОАЕ,魅力 PayFi приховує невидимі «мінні поля» — ризики дотримання бізнес-правил. Як і в будь-якому новому ринку, ефект «двосічного меча» регулювання очевидний: можливості великі, але наслідки порушень можуть бути значними.

У першій половині 2025 року Центральний банк ОАЕ (CBUAE) наклав штрафи на кілька платіжних установ на загальну суму понад 20 мільйонів AED (близько 5,4 мільйона USD) через неналежне виконання своїх обов'язків у сфері AML/CFT (боротьба з відмиванням грошей/боротьба з фінансуванням тероризму).

Ця стаття буде зосереджена на «визначенні ризиків, наданні шляхів» і систематично проаналізує ризики дотримання бізнесу PayFi в ОАЕ. Ми поєднаємо останні регуляторні тенденції та реальні випадки, розглядаючи їх поетапно; мета - виявити «червоні лінії» та надати стратегії та ідеї для запобігання ризикам.

PayFi——від концепції до глобальних можливостей в оазисі пустелі

1.1 Що таке PayFi? Чому він буде «гарячим» у 2025 році?

PayFi є платіжною гілкою DeFi (децентралізованих фінансів), яка зосереджена на використанні блокчейну та смарт-контрактів для оптимізації основних елементів платіжного процесу: швидкості, безпеки та доступності. На відміну від традиційних платежів (як-от система SWIFT, середній термін міжнародного переказу становить 3-5 днів), PayFi реалізує майже миттєві розрахунки завдяки стейблкоїнам (як USDT, USDC) або алгоритмічним платіжним протоколам. Типові застосування включають:

Крос-граничні перекази: надання послуг миттєвого переказу для міжнародної торгівлі та міжнародних працівників.

Оплата для торговців: інтеграція крипто-платіжного шлюзу на електронній комерційній платформі.

Вбудовані фінанси: безшовне обналичення віртуальних активів у Web3 іграх.

Messari оцінює цільову ліквідність PayFi на рівні 200-250 млн доларів США, з потужним зростанням. Популярність PayFi обумовлена його ефективним вирішенням болючих проблем: високим тертям традиційних платежів (втрати на конвертації валют 5-7%) та бар'єрами, сформованими регуляторами/індустрією. Децентралізований дизайн PayFi робить його вибором для нових економік — наприклад, мобільна платіжна революція в Африці вже завдяки блокчейну “робить великий крок вперед”.

1.2 Об'єднані Арабські Емірати: «Золоте узбережжя» PayFi чи «лабіринт регулювання»?

Чому ОАЕ стали «смачним шматочком» для PayFi? Відповідь прихована в його стратегічному позиціонуванні. Як учасник G 20+, який відновив статус країни з білого списку FATF (успішно зняв обмеження у 2024 році), ОАЕ очікує, що частка цифрової економіки в ВВП у 2025 році складе 20%. Саміт PayFi на Web3 Festival у квітні ще більше активізував ринковий інтерес, а план Dubai Vision 2031 перетворює віртуальні активи на опорну галузь. Великі компанії, такі як Huma Finance та Athar Finance, вже досягли важливих етапів у розвитку бізнесу до 2025 року.

Конкретні можливості:

Податковий рай: податок на прибуток підприємств лише 9% (з 2023 року), крипто交易 без додаткового податку.

Пісочниця: Ліцензія на тестування інновацій VARA дозволяє проектам тестувати протягом 6-12 місяців у “контрольованому середовищі” без необхідності отримання повної ліцензії.

Інфраструктура: ADGM в Абу-Дабі підтримує Fiat-Referenced Tokens (FRT, токени, прив'язані до фіатних валют), що ідеально відповідає потребам стабільних платежів PayFi.

Таланти та кошти: У 2025 році фінансування криптостартапів в ОАЕ перевищить 1 мільярд доларів США, а частка інвесторів з Близького Сходу становитиме 40%.

Регуляторні дослідження: остання пропозиція DIFC скасовує обмеження на інвестиції в криптовалютні фонди, що позитивно позначається на вбудованих фондах PayFi.

У порівнянні з 2024 роком, ОАЕ перейшли з “криптораю” на “PayFi лабораторію”, але не варто радіти занадто рано. ОАЕ має тришарову структуру відповідності “федерація + емірат + вільна зона”, і бізнес PayFi може одночасно підпадати під дію закону про платежі CBUAE та правил віртуальних активів VARA. Трохи неуважності може призвести до “багаторазових сюрпризів” від різних регуляторних органів.

Регуляторна структура PayFi в ОАЕ — хто «перевіряє»?

Регуляторна система ОАЕ подібна до точної мережі, що охоплює весь ланцюг від традиційних платежів до інновацій у сфері блокчейн. У 2025 році, з набуттям чинності нового закону CBUAE, проект PayFi повинен буде впоратися з випробуваннями єдиної рамки, поступово розкриваючи наступне:

2.1 Основні регуляторні органи та їх функції

Регулювання бізнесу PayFi в ОАЕ має структуру «розділяй і володарюй», чотири основні стовпи виконують свої функції:

Порада: якщо ви стартап у сфері PayFi, обирайте VARA — вона покриває близько 90% діяльності з віртуальними активами, а термін затвердження займає лише 3-6 місяців. Але для міжрегіональної діяльності (наприклад, випуск FRT в ADGM) потрібно подати дві заявки, щоб уникнути «юрисдикційної прогалини».

2.2 Вимоги до ліцензії: від «Початкового» до «Сімейного пакету»

PayFi не є «підключи і працюй». Відповідно до 7 класів ліцензій VASP VARA, для платіжних послуг необхідно мати принаймні дві ліцензії: Advisory + Payment Services. Пороги для подачі заявки включають:

1. Статутний капітал: мінімум AED 100,000 (близько USD 27,000), для проектів високого ризику до AED 1,000,0001.

2. Антивідмивна та система управління ризиками: виконання зобов'язань AML та «Правила подорожі», моніторинг і звітування про транзакції відповідно до вимог.

3. Технічний аудит: вузли блокчейну повинні пройти технічну сертифікацію для запобігання потенційним зловмисним атакам.

4. Локалізація: щонайменше 1 виконавчий директор-резидент ОАЕ, офіс має бути в Дубаї.

Але пам'ятайте: пісочниця ≠ звільнення, порушення під час тестового періоду все ще карається штрафом від 500 000 AED.

2.3 Глобальне з'єднання: «Вплив» FATF та MiCA

Регулювання ОАЕ не ізольоване. У 2025 році рекомендації FATF щодо VASP вимагають від платформ PayFi відстежувати весь шлях онлайнових транзакцій, ОАЕ вже повністю їх прийняла. Регламент ЄС MiCA (Ринки криптоактивів) також має непрямий вплив: якщо торговці ОАЕ підключають євро-стейблкоїн, вони повинні дотримуватись розкриття резервів.

Через цю структуру ми можемо побачити, що регулювання в ОАЕ є «дружнім до інновацій + нульовою терпимістю до ризиків» балансом мистецтва. Далі ми детальніше розглянемо ризики ділової відповідності.

Аналіз ризиків дотримання бізнесу — «дзвінок» на основі випадків

3.1 Ризик 1: Недостатній моніторинг AML/CFT — невидимий вбивця «чорної діри» для відмивання грошей

Тлумачення: відповідно до «Керівництва з ПРВ» CBUAE, платформа PayFi повинна реалізувати обов'язки з боротьби з відмиванням грошей на основі ризиків, включаючи перевірку клієнтів (CDD), моніторинг транзакцій та звітність про підозрілі транзакції (STR). Перший штраф за порушення регуляторних вимог може становити до 5 мільйонів AED, у серйозних випадках можливе відкликання ліцензії.

Аналіз випадку: Порушення AML на платформі Fuze

У серпні 2025 року VARA наклала штраф на крипто-платформу Fuze, зареєстровану в Дубаї, через значні недоліки в її системі AML/CFT, включаючи неефективний моніторинг високих ризиків та несвоєчасне повідомлення про підозрілі дії, що призвело до потенційних вразливостей до відмивання грошей. Fuze, як постачальник послуг оплати стейблкоїнами, обробляє понад кілька мільйонів доларів на місяць, але має численні недоліки в перевірці своїх клієнтів. Після розслідування VARA не лише стягнула штраф невідомої суми, але й призначила незалежну «кваліфіковану особу» для нагляду за виправленням недоліків, щоб забезпечити усунення проблем з управлінням ризиками протягом 3 місяців.

3.2 Ризик два: порушення ліцензування та експлуатації — летальна рана «безліцензійного водіння»

Тлумачення: VARA “Закон No.4/2022” стаття 15 передбачає, що будь-яка діяльність VASP повинна бути попередньо дозволена, а без дозволу вважається “незаконною діяльністю”. ADGM вимагає попередньої реєстрації FRT перед випуском, інакше це вважається порушенням.

Аналіз випадків: колективна “погоня” VARA за 19 VASP

На початку жовтня 2025 року VARA розпочала правоохоронні дії проти 19 невизнаних постачальників послуг криптоплатежів та віртуальних активів, які переважно займалися переказами та маркетинговими кампаніями стабільних монет, пов'язаних із PayFi, без отримання ліцензії VASP, але рекламували свої послуги в Дубаї. Одна з типових компаній звинувачується в порушеннях протягом кількох місяців, залучивши понад тисячу роздрібних користувачів. VARA видала наказ про призупинення діяльності та наклала штрафи від 100 000 до 600 000 AED (всього понад 5 мільйонів AED), деяким компаніям також потрібно пройти незалежну перевірку на відповідність.

3.3 Ризик чотири: конфіденційність даних та кібербезпека — подвійний удар «хакер + витік»

Тлумачення: Законодавство про захист даних DIFC (PDPL, 2021) вимагає, щоб PayFi обробляв особисті дані за згодою та повідомляв про будь-які інциденти безпеки даних. Правила VARA FRVA вводять нові стандарти кіберстійкості: платформа повинна пройти тест на проникнення, щоб запобігти DDoS-атакам. Штрафи за порушення можуть становити до 10 мільйонів AED.

Аналіз випадку: Скандал з витоком конфіденційності на платформі реєстрації DIFC

У середині 2024 року реєстрована в DIFC платформа FinTech (яка займається послугами крипто-гаманців) стала жертвою фішингової атаки, внаслідок якої було розкрито дані приблизно 50 тисяч користувачів, включаючи історію транзакцій та інформацію KYC, що призвело до частих випадків шахрайства. Розслідування DFSA виявило, що платформа не запровадила обов'язкову багатофакторну аутентифікацію (MFA) та шифроване зберігання, що є порушенням зобов'язання щодо звітування про випадки даних відповідно до статті 28 PDPL. Платформу оштрафували на 4 мільйони AED і зобов'язали призупинити діяльність на 3 місяці для виправлення помилок, колективний позов користувачів ще більше збільшив втрати.

3.4 Ризик чотири: Санкції та транснаціональна відповідність — несподівана «міна» «геополітики»

Тлумачення: CBUAE та OFAC здійснюють спільне правозастосування, PayFi повинна забезпечити відповідність санкціям, а також реалізацію обміну інформацією та верифікацію згідно з Правилом подорожей.

Аналіз випадку: Штрафна накладка OFAC для банку CBUAE

У липні 2025 року CBUAE наклала штраф у розмірі 3 мільйонів AED на неназваний банк ОАЕ за те, що його платіжна система обробляла трансакції стейблкоїнів, пов’язані з високими ризиками (підозрюваними як пов’язаними з Іраном), не реалізувавши перевірку санкцій OFAC та обмін даними відповідно до Travel Rule, що призвело до прогалин у дотриманні міжнародних норм. Крипто-платіжний канал цього банку спочатку призначався для законних переказів в MENA, але через неналежний моніторинг потрапив під розслідування, частина активів була заморожена, а термін виправлення становить 6 місяців.

Практичний посібник з управління ризиками — від «пасивного реагування» до «активного супроводу»

Закон не є кайданами, а міцним щитом для довгострокового розвитку відповідального бізнесу. Виходячи з вищезазначених ризиків, підприємці (команди проекту) та інвестори (LP/VC) мають різні акценти на ідентифікацію та запобігання ризикам, приблизно такі:

4.1 Загальна рамка запобігання: побудова «комплаєнс-замкнутого кола»

1. Запуск оцінки ризиків: проведення комплаєнс-оцінки та аудиту перед запуском/інвестиціями, охоплюючи ключові області, такі як сталий бізнес-модель, комплаєнс-управління ризиками та технічна безпека.

2. Інтеграція політики: розробка комплаєнс-мануалу, попереднє проведення навчання команди, формування комплаєнс-культури.

3. Технологічна підтримка: інтеграція ефективних інструментів моніторингу та аналізу на ланцюгу, посилення контролю ризиків.

4. Постійний моніторинг: Регулярно оцінювати ефективність всього процесу виявлення, моніторингу та пом'якшення ризиків і за необхідності оновлювати та підвищувати її.

4.2 Для підприємців: «П'ятиетапний» підхід до реалізації проекту

Крок 1: Планування маршруту з дозволом

Оцінка юрисдикції: наприклад, Dubai PayFi обирає VARA.

Бізнес-планування: використання пісочниці для мосту, після тестування перехід на повну ліцензію.

Крок 2: Три лінії захисту відповідності та ризиків

Сформуйте команду, що відповідає масштабам бізнесу.

Завдяки інформаційним системам здійснюється автоматизований моніторинг ризиків.

Крок 3: Санкційний моніторинг «Брандмауер»

Перевірка дотримання санкцій для нових та існуючих клієнтів.

Слід уникати ризикових точок, які можуть бути використані для «долгового юрисдикційного контролю», таких як з'єднувальні точки.

Крок 4: Дані та безпека

Використання високих стандартів інформаційної безпеки та захисту даних.

Регулярно проводити перевірки доступності системи та пенетраційні тести, щоб забезпечити динамічну відповідність.

4.3 Для інвесторів: система перевірки «світлофор»

Інвестори, не зупиняйтеся лише на білому папері — відповідність є ключем до alpha (надприбутку).

1. Попередній відбір: перевірте статус VARA або інших регуляторних ліцензій через офіційні канали. Зелений світло: повна ліцензія; червоний світло: тільки заява про наявність ліцензії від проекту.

2. Глибоке дью diligence: проведення дью diligence професійними установами, перегляд різних даних та звітів.

3. Розподіл ризиків: проведення оцінки ризиків для бізнес-моделі продукту.

4. Механізм виходу: контракт містить положення про дотримання умов (порушення - негайний викуп).

Відповідність перш за все, шлях реалізації PayFi на Близькому Сході

Бізнес PayFi в ОАЕ швидко розвивається та вже вступив у стадію інституціоналізації та регуляторної нормалізації. У 2025 році Центральний банк ОАЕ та Управління з регулювання віртуальних активів Дубая (VARA) поетапно посилили механізми боротьби з відмиванням грошей (AML/CFT) та ліцензування, а також встановили мінімальні вимоги до дотримання через типовий випадок правозастосування.

VARA у 2025 році у серпні наклала санкції на криптоплатформу Fuze за недоліки в системі боротьби з відмиванням грошей, а в жовтні того ж року наклала штрафи на 19 невідомих постачальників послуг віртуальних активів, що демонструє нульову толерантність регуляторів до “нелегальної діяльності” та недоліків у управлінні ризиками. Ці заходи відображають ризикову орієнтацію та принцип пропорційності ОАЕ у сфері регулювання віртуальних активів і надають прогнозовані правові межі для комплаєнс-фрейму PayFi.

У майбутньому, якщо підприємства PayFi хочуть довгостроково функціонувати в Об'єднаних Арабських Еміратах, їм слід отримати ліцензію та на етапі початкового планування бізнесу впровадити механізм оцінки відповідності, щоб забезпечити відповідність на етапах подачі заявки на ліцензію, перевірки клієнтів, захисту даних та перевірки санкцій місцевим і міжнародним стандартам.

Посилення регуляції не означає обмеження інновацій, а, навпаки, встановлює довіру до ринку та безпеку капіталу шляхом правосуддя. Можна передбачити, що ОАЕ продовжить просувати легалізацію та прозорість системи платежів у віртуальних активів на принципах «відкритих інновацій та обережного регулювання», надаючи демонстраційний шлях для регіонального цифрового фінансового порядку.