Una visión práctica, centrada en la regulación, de quién regula VARA, qué espera y cómo abordar la obtención de licencias en Dubái.
VARA es el regulador especializado en activos virtuales de Dubái bajo la Ley No. 4 de 2022 de Dubái. Supervisa las actividades de activos virtuales en todo el Emirato de Dubái (incluidas las zonas francas) excepto el DIFC, que tiene su propio regulador (DFSA).
Si lleva a cabo una actividad de activos virtuales “por medio de un negocio” en o desde Dubái, debe estar licenciado por VARA para la actividad relevante. Las exenciones son estrechas.
Espere reglamentos transversales (Empresa; Cumplimiento & Riesgo; Tecnología & Información; Conducta del Mercado) + reglamentos específicos de actividad (por ejemplo, Intercambio, Custodia, Corretaje-Dealer, Préstamo & Empréstito, Gestión & Inversión, Asesoría, Transferencia & Liquidación, Emisión).
Las Regulaciones de Marketing 2024 capturan casi todas las promociones relacionadas con cripto que tocan los EAU.
AECs (criptomonedas mejoradas en anonimato) están prohibidas. Las obligaciones federales de AML/CFT se aplican además del régimen de VARA.
1) VARA de un vistazo
La Autoridad Reguladora de Activos Virtuales de Dubái (VARA) fue creada para dar al Emirato un supervisor dedicado y consciente de la tecnología para los mercados de cripto. Su mandato mezcla habilitación de innovación con protección al consumidor e integridad del mercado, buscando hacer de Dubái un centro seguro y competitivo para activos digitales. El ámbito de VARA cubre todo el Emirato—tierra firme y zonas francas—excluyendo el DIFC, donde la DFSA regula permisos de cripto separadamente.
¿Qué cuenta como un “activo virtual”? En la práctica, la definición es deliberadamente amplia y neutral respecto a la tecnología: criptoactivos, stablecoins, tokens (incluyendo tokens referenciados en activos y tokens de utilidad), y representaciones digitales similares de valor o derechos que pueden ser transferidos, almacenados o comerciados electrónicamente.
2) ¿Quién necesita una licencia VARA?
Si lleva a cabo una Actividad de VA “por medio de un negocio” en o desde Dubái, está en el ámbito. VARA considera la sustancia: ofrecer al público, regularidad/escala/continuidad, remuneración o un elemento comercial, y si está organizando o ejecutando transacciones para otros. Construir o promover desde el extranjero pero dirigido a clientes de Dubái aún crea riesgo—especialmente bajo las Regulaciones de Marketing (ver Sección 6).
Escenarios comunes que están en el ámbito
Operar un intercambio o lugar de coincidencia; ofrecer margen.
Ejecutar un escritorio de corretaje-dealer, OTC, enrutamiento o ejecución de órdenes.
Custodia de activos de clientes (custodia) o billeteras de colateral.
Iniciar o recibir transferencias de clientes, incluidos puntos de contacto de pago/remesa.
Gestionar o asesorar sobre carteras de VAs; mandatos discrecionales; investigación que equivale a recomendaciones personales.
Programas de préstamo/empréstito, colateralización o productos de rendimiento.
Emitir o distribuir tokens (especialmente donde sea público o a gran escala).
Casos límite
Los proveedores de tecnología que solo suministran software pueden estar fuera del ámbito, pero si usted opera o controla una función regulada (por ejemplo, llaves, coincidencia, liquidación), vuelve al territorio de VASP.
La educación puede convertirse en marketing si canaliza usuarios a un producto o crea expectativas de un servicio regulado.
Los sitios web globales que aceptan tráfico de Dubái sin controles geográficos aún pueden estar “dirigiéndose” a los EAU.
3) El modelo de actividad: ¿qué permisos existen?
VARA utiliza un enfoque de licencias basado en actividades. Solicita los permisos que coincidan con sus características. Las principales Actividades de VA son:
Servicios de Intercambio – operar un lugar de comercio / libro de órdenes / instalación de subasta; vigilancia del mercado; reglas del lugar; tarifas transparentes; capacidades/botones de apagado; disciplina de liquidación (por ejemplo, 24 horas donde sea tecnológicamente factible); comercio de margen solo con aprobación previa y estrictas protecciones para inversionistas.
Servicios de Corretaje – recibir/transmitir órdenes; organizar acuerdos; ejecutar como agente o, en casos limitados, como principal para llenar órdenes de clientes o gestionar inventario. “Servicios de Distribución Licenciados” (nuevas ofertas de tokens a través de un lugar/corredor) se ubican aquí y requieren una debida diligencia de “calidad” sobre el activo y el emisor.
Servicios de Custodia – custodia de VAs de clientes. Las líneas base incluyen billeteras segregadas por cliente bajo control de VASP, tenencias 1:1, gestión estricta de claves, estados mensuales y notificación de incidentes. La participación desde Custodia y Servicios de Billetera de Colateral (CWS) son permisos separados con sus propias reglas técnicas y de divulgación.
Servicios de Transferencia & Liquidación de VA – iniciar/recibir transferencias; recibos en la iniciación y finalización; reglas predeterminadas para transferencias fallidas/defectuosas; reembolso/restauración de 24 horas para ejecuciones no autorizadas o no conformes; alineación con las reglas de pago/remesas de CBUAE y la Regla de Viaje AML.
Servicios de Gestión & Inversión – gestión de cartera discrecional o no discrecional; idoneidad, valoración independiente, estados mensuales, consentimiento explícito del cliente para cualquier uso de los activos del cliente.
Servicios de Asesoría – recomendaciones personales; declaraciones independientes y verificadas; idoneidad robusta; competencia del personal; mantenimiento de registros durante 8 años.
Servicios de Préstamo & Empréstito – préstamos/prestando activos de clientes o propios; liquidez y suficiencia de colateral; divulgaciones trimestrales de activos y pasivos; estados mensuales; notificación inmediata a supervisores sobre déficits.
Emisión & Distribución – reglamento de emisión separado con pruebas de Categoría-1 vs. Categoría-2 y un anexo especial para FRVAs (tokens referenciados en activos). La emisión de AEC está prohibida.
4) Reglamentos transversales que debe implementar
Independientemente de su combinación de actividades, VARA espera que cumpla con estos marcos:
Reglamento de la Empresa – gobernanza (Junta, comités), Individuos Responsables (dos, basados en los EAU), evaluaciones de idoneidad, controles de subcontratación, métricas prudenciales (capital pagado, Activos Líquidos Netos), seguro, activos de reserva y planificación de cierre.
Reglamento de Cumplimiento & Gestión de Riesgos (CRMR) – función de cumplimiento independiente y CO/MLRO con experiencia; taxonomía de riesgos y reporte a la Junta; libros/registros (8 años); dinero de clientes (titulado Cuentas de Clientes en bancos de los EAU, depósito dentro de un día, conciliaciones diarias, estados mensuales); VAs de clientes (segregación por cliente, 1:1, sin rehypothecation sin permisos/consentimiento); sanciones & Regla de Viaje; procesos STR/GoAML; gobernanza de VASP patrocinados.
Reglamento de Tecnología & Información (T&I) – CISO (independiente de Cumplimiento), controles cibernéticos, Pruebas de Penetración Basadas en Amenazas (TLPT), BCDR, cronogramas de notificación de incidentes (por ejemplo, 72 horas para eventos cibernéticos/BCDR materiales; 24 horas si notifica a un regulador de datos o a sujetos de datos), programa de privacidad alineado con PDPL, capacitación del personal, riesgo de terceros/nube, análisis de blockchain.
Reglamento de Conducta del Mercado – acuerdos con clientes (justos, claros, no engañosos; control de versiones; aviso de cambios con 30 días; sin protección de depósitos; propiedad de VAs de clientes; términos de retiro claros; proveedores de terceros y cuándo los activos salen de su control), listas de insider (retener 8 años), restricciones de comercio en cuenta propia, clasificación de inversores (Minorista, Calificado, Institucional), divulgaciones públicas (número de licencia/permisos/restricciones; riesgos; RIs).
5) Disciplina prudencial y resiliencia financiera
Dos lentes de capital son los más importantes: Capital Pagado (absoluto o % de los gastos generales fijos anuales, dependiendo de la actividad) y Activos Líquidos Netos (por ejemplo, ≥ 1.2× gastos operativos mensuales). Agregue seguro (PII, D&O, crimen) y, cuando sea relevante, activos de reserva. Debe monitorear diariamente, reconciliar mensualmente y notificar a VARA de inmediato si se superan los umbrales—luego proporcionar actualizaciones diarias hasta que se rectifique.
Consejos prácticos
Vincule métricas prudenciales a un panel automatizado de Finanzas pero visible para Cumplimiento y la Junta.
Preacuerde palancas de remediación (inyección de capital, restricciones de costos, limitaciones ponderadas por riesgo) y documente derechos de decisión.
Alinee tesorería/creación de mercado para que nunca parezca comercio propio en violación de los límites de Conducta del Mercado.
6) Marketing: el régimen 2024 es estricto
Las Regulaciones de Marketing 2024 se aplican a cualquier marketing de activos virtuales o actividades de VA en o dirigidas a los EAU—dondequiera que esté ubicado. Solo un VASP con licencia de VARA (o un tercero aprobado por y actuando para un VASP con licencia) puede comercializar una actividad regulada. El contenido debe ser justo, claro, no engañoso. Evite garantías, afirmaciones de “bajo riesgo”, urgencia/FOMO, o sugerir que las criptomonedas son “fáciles”. No comercialice AECs. No promueva la compra de VAs a crédito a menos que esté licenciado para esa facilidad. KOLs/afiliados/agentes deben ser aprobados, guionados y monitoreados con SLAs de eliminación.
7) Alineación AML/CFT (Federal + VARA)
VARA es una autoridad supervisora designada para VASPs bajo las leyes federales AML/CFT. Espere todos los elementos estándar: evaluación de riesgos a nivel empresarial, CDD/EDD basado en RBA, aprobaciones de PEP, filtrado de sanciones, Regla de Viaje (comúnmente umbral AED 3,500), presentación de STR, monitoreo continuo con análisis de blockchain, tipologías para transacciones mejoradas en anonimato y capacitación del personal. Mantenga evidencia lista para auditoría.
8) Cómo abordar el viaje de licenciamiento
Paso 1: Mapee sus características a actividades. Cree una matriz de características del producto vs. permisos de VARA. Decida si proceder como entidad única o grupo (por ejemplo, custodia separada).
Paso 2: Assemble su gente. Identifique dos Individuos Responsables (basados en los EAU), CO/MLRO (≥ experiencia), CISO, CFO, líder de operaciones. Mapee conflictos y segregación.
Paso 3: Construya el RBP. El Plan de Negocios Regulatorio es su ancla: modelo de negocio, gobernanza, prudencial, T&I, riesgos/cumplimiento, protecciones al cliente, cierre, plan de proyecto.
Paso 4: Implementar controles técnicos. CISO en asiento; plan TLPT; BCDR; runbooks de respuesta a incidentes; gobernanza de billeteras (si custodia); análisis de cadena integrados en AML.
Paso 5: Redactar artefactos legales. Acuerdos con clientes; estándares de VA (triggers de listado/delisting); divulgaciones públicas en el sitio web; política de marketing; contratos de KOL; manejo de quejas.
Paso 6: Pruebe el dinero. Capital Pagado y evidencia de NLA; binders de seguro; política de activos de reserva (si corresponde).
Paso 7: Envíe y gestione Q&A. Asigne un gerente de proyecto interno; rastree compromisos; responda con evidencia, no retórica.
9) Errores comunes a evitar
Tratar la “educación” o “airdrops” como fuera de marketing.
Emitir tokens sin mapear Categoría-1 vs. Categoría-2 (o FRVAs).
Estándares de VA débiles, sin triggers de delisting/suspensión, o falta de vigilancia de abuso de mercado.
Recursos insuficientes para los roles de CO/MLRO y CISO o confundirlos con operaciones.
Falta de mecánicas de protección al cliente (titulación de cuentas de clientes; conciliaciones diarias; tenencias de VA 1:1; estados mensuales).
Olvidar el mantenimiento de registros durante 8 años y la retención de listas de insider.
Malos contratos de subcontratación (sin derechos de auditoría, sin SLAs de incidentes, ubicación de datos poco clara).
10) Preguntas frecuentes
¿Está una empresa extranjera en el ámbito si no tiene entidad en Dubái? Sí, si su marketing o actividades apuntan a los EAU o se llevan a cabo desde Dubái.
¿Puedo ejecutar todo en una entidad? A menudo sí, pero los modelos de múltiples actividades aumentan las expectativas de prudencia, conflicto y resiliencia operativa. Sin embargo, la custodia es una actividad independiente y necesita una entidad separada.
¿Necesitan las stablecoins un tratamiento especial? Los FRVAs tienen requisitos de cumplimiento especiales (respaldo, reservas, redención a la par, atestaciones mensuales). Los FRVAs referenciados en AED caen bajo CBUAE.
¿Qué pasa con los AECs? La emisión y todas las actividades de VA relacionadas con criptomonedas mejoradas en anonimato están prohibidas en Dubái.
11) Lista de verificación de acciones
Mapee características → actividades; decida la estructura de la entidad.
Nombre a dos Individuos Responsables; asigne a CO/MLRO y CISO.
Redacte RBP, estándares de VA, acuerdos con clientes, divulgaciones, política de marketing.
Establezca cuentas de dinero de clientes; configure billeteras por cliente y reconciliación 1:1.
Construya un panel prudencial (Capital Pagado, NLA); alinee el seguro.
Implemente TLPT/BCDR; integre análisis de cadena en AML.
Prepare un paquete de preguntas y respuestas de supervisión; asigne propietarios y cronogramas.
¿Necesita ayuda para mapear sus características a la licencia VARA correcta o preparando un RBP? CRYPTOVERSE Legal Consultancy asesora a fundadores de principio a fin sobre aplicaciones VARA, cumplimiento de reglamentos y preguntas y respuestas de supervisión.
https://www.cryptoverselawyers.io | [email protected]
#VARA #CryptoLaw #Blockchain #Fintech #cryptoverselawyers
Descargo de responsabilidad: Este artículo es solo para información y no constituye asesoría legal. Siempre busque asesoría adaptada a sus hechos y alcance de licencia.