Ikhtisar praktis, berorientasi regulasi tentang siapa yang diatur oleh VARA, apa yang diharapkan, dan bagaimana mendekati lisensi di Dubai.

  • VARA adalah regulator spesialis Dubai untuk aset virtual di bawah Undang-Undang Dubai No. 4 Tahun 2022. Ia mengawasi aktivitas aset virtual di seluruh Emirat Dubai (termasuk zona bebas) kecuali DIFC, yang memiliki regulatornya sendiri (DFSA).

  • Jika Anda melakukan aktivitas aset virtual “dalam bentuk bisnis” di atau dari Dubai, Anda harus memiliki lisensi dari VARA untuk aktivitas yang relevan. Pengecualian sangat sempit.

  • Harapkan buku aturan yang melintasi (Perusahaan; Kepatuhan & Risiko; Teknologi & Informasi; Perilaku Pasar) + buku aturan khusus aktivitas (misalnya, Pertukaran, Penyimpanan, Pialang-Pedagang, Peminjaman & Peminjaman, Manajemen & Investasi, Penasihat, Transfer & Penyelesaian, Penerbitan).

  • Peraturan Pemasaran 2024 mencakup hampir semua promosi terkait kripto yang menyentuh UAE.

  • AEC (mata uang kripto yang ditingkatkan anonimitas) dilarang. Kewajiban AML/CFT federal berlaku di samping rezim VARA.

1) VARA sekilas

Otoritas Regulasi Aset Virtual Dubai (VARA) didirikan untuk memberikan Emirat supervisor yang berdedikasi dan peka teknologi untuk pasar kripto. Mandatnya menggabungkan pemberdayaan inovasi dengan perlindungan konsumen dan integritas pasar, bertujuan untuk menjadikan Dubai sebagai pusat yang aman dan kompetitif untuk aset digital. Ruang lingkup VARA mencakup seluruh Emirat—daratan dan zona bebas—kecuali DIFC, di mana DFSA mengatur izin kripto terpisah.

Apa yang dihitung sebagai “aset virtual”? Dalam praktiknya, definisinya dengan sengaja luas dan netral terhadap teknologi: aset kripto, stablecoin, token (termasuk token yang dirujuk aset dan token utilitas), dan representasi digital nilai atau hak serupa yang dapat ditransfer, disimpan, atau diperdagangkan secara elektronik.

2) Siapa yang membutuhkan lisensi VARA?

Jika Anda melakukan Aktivitas VA “dalam bentuk bisnis” di atau dari Dubai, Anda termasuk dalam ruang lingkup. VARA melihat substansi: menawarkan kepada publik, reguler/skala/kontinuitas, remunerasi atau elemen komersial, dan apakah Anda mengatur atau mengeksekusi transaksi untuk orang lain. Membangun atau mempromosikan dari luar negeri tetapi menargetkan klien Dubai tetap menciptakan risiko—terutama di bawah Peraturan Pemasaran (lihat Bagian 6).

Skenario umum yang termasuk dalam ruang lingkup

  • Mengoperasikan bursa atau venue pencocokan; menawarkan margin.

  • Menjalankan meja pialang-pedagang, OTC, routing, atau eksekusi pesanan.

  • Menjaga aset klien (penyimpanan) atau dompet jaminan.

  • Menginisiasi atau menerima transfer klien, termasuk titik sentuh pembayaran/pengiriman.

  • Mengelola atau memberi nasihat tentang portofolio VA; mandat diskresioner; penelitian yang dianggap sebagai rekomendasi pribadi.

  • Program peminjaman/peminjaman, jaminan, atau produk hasil.

  • Mengeluarkan atau mendistribusikan token (terutama di mana publik atau berskala besar).

Kasus pinggiran

  • Pemasok teknologi yang murni menyediakan perangkat lunak mungkin berada di luar ruang lingkup—tetapi jika Anda mengoperasikan atau mengontrol fungsi yang diatur (misalnya, kunci, pencocokan, penyelesaian), Anda kembali ke wilayah VASP.

  • Pendidikan dapat menjadi pemasaran jika mengarahkan pengguna ke produk atau menciptakan ekspektasi layanan yang diatur.

  • Situs web global yang menerima lalu lintas Dubai tanpa kontrol geo masih dapat dianggap “menargetkan” UAE.

3) Model aktivitas: izin apa yang ada?

VARA menggunakan pendekatan lisensi berbasis aktivitas. Anda mengajukan izin yang cocok dengan fitur Anda. Aktivitas VA utama adalah:

  1. Layanan Pertukaran – mengoperasikan venue perdagangan / buku pesanan / fasilitas lelang; pengawasan pasar; aturan venue; biaya transparan; kapasitas/pembunuh-saklar; disiplin penyelesaian (misalnya, 24 jam di mana secara teknis memungkinkan); perdagangan margin hanya dengan persetujuan sebelumnya dan perlindungan investor yang ketat.

  2. Layanan Pialang-Pedagang – menerima/mengirim pesanan; mengatur kesepakatan; mengeksekusi sebagai agen atau, dalam kasus yang sempit, sebagai prinsipal untuk mengisi pesanan klien atau mengelola inventaris. “Layanan Distribusi Berlisensi” (penawaran token baru melalui venue/pialang) duduk di sini dan memerlukan uji tuntas “kualitas” pada aset dan penerbit.

  3. Layanan Penyimpanan – menjaga VA klien. Baseline termasuk dompet terpisah per-klien di bawah kontrol VASP, kepemilikan 1:1, manajemen kunci yang ketat, laporan bulanan, dan pelaporan insiden. Staking dari Layanan Dompet Custody dan Collateral (CWS) adalah izin terpisah dengan aturan teknis dan pengungkapan mereka sendiri.

  4. Layanan Transfer & Penyelesaian VA – memulai/menerima transfer; tanda terima pada inisiasi dan finalisasi; aturan default untuk transfer yang gagal/defektif; pengembalian/pemulihan 24 jam untuk eksekusi yang tidak sah atau tidak mematuhi; keselarasan dengan aturan pembayaran/pengiriman CBUAE dan Aturan Perjalanan AML.

  5. Layanan Manajemen & Investasi – manajemen portofolio diskresioner atau non-diskresioner; kecocokan, penilaian independen, laporan bulanan, persetujuan klien yang eksplisit untuk setiap penggunaan aset klien.

  6. Layanan Penasihat – rekomendasi pribadi; pernyataan independen yang terverifikasi; kecocokan yang kuat; kompetensi staf; pencatatan selama 8 tahun.

  7. Layanan Peminjaman & Peminjaman – meminjam/meminjamkan aset klien atau milik; kecukupan likuiditas dan jaminan; pengungkapan aset-liabilitas kuartalan; laporan bulanan; pemberitahuan pengawasan segera pada kekurangan.

  8. Penerbitan & Distribusi – buku aturan penerbitan terpisah dengan tes Kategori-1 vs. Kategori-2 dan lampiran khusus untuk FRVA (token yang dirujuk aset). Penerbitan AEC dilarang.

4) Buku aturan lintas sektoral yang harus Anda terapkan

Terlepas dari campuran aktivitas Anda, VARA mengharapkan Anda memenuhi kerangka kerja ini:

  • Buku Aturan Perusahaan – tata kelola (Dewan, komite), Individu Bertanggung Jawab (dua, berbasis di UAE), penilaian kecocokan dan kelayakan, kontrol outsourcing, metrik prudensial (modal disetor, Aset Likuid Bersih), asuransi, aset cadangan, dan perencanaan penghentian.

  • Buku Aturan Kepatuhan & Manajemen Risiko (CRMR) – fungsi kepatuhan independen dan CO/MLRO dengan pengalaman; taksonomi risiko dan laporan Dewan; buku/referensi (8 tahun); uang klien (berjudul Rekening Klien di bank UAE, setoran dalam satu hari, rekonsiliasi harian, laporan bulanan); VA klien (pemisahan per-klien, 1:1, tanpa rehypothecation tanpa izin/konsent); sanksi & Aturan Perjalanan; proses STR/GoAML; tata kelola VASP yang disponsori.

  • Buku Aturan Teknologi & Informasi (T&I)CISO (independen dari Kepatuhan), kontrol siber, Pengujian Penetrasi Berbasis Ancaman (TLPT), BCDR, garis waktu pemberitahuan insiden (misalnya, 72 jam untuk kejadian siber/BCDR material; 24 jam jika Anda memberi tahu regulator data atau subjek data), program privasi yang sesuai dengan PDPL, pelatihan staf, risiko pihak ketiga/cloud, analitik blockchain.

  • Buku Aturan Perilaku Pasar – perjanjian klien (adil, jelas, tidak menyesatkan; kontrol versi; pemberitahuan perubahan 30 hari; tidak ada perlindungan setoran; kepemilikan VA klien; syarat penarikan yang jelas; penyedia pihak ketiga dan kapan aset keluar dari kendali Anda), daftar orang dalam (pertahankan 8 tahun), pembatasan perdagangan akun sendiri, klasifikasi investor (Ritel, Berkualitas, Institusional), pengungkapan publik (nomor lisensi/izin/batasan; risiko; RIs).

5) Disiplin prudensial dan ketahanan keuangan

Dua lensa modal yang paling penting: Modal Disetor (absolut atau % dari overhead tahunan tetap, tergantung pada aktivitas) dan Aset Likuid Bersih (misalnya, ≥ 1.2× biaya operasional bulanan). Tambahkan asuransi (PII, D&O, kejahatan) dan, jika relevan, aset cadangan. Anda harus memantau setiap hari, melakukan rekonsiliasi setiap bulan, dan memberi tahu VARA segera jika ambang batas dilanggar—kemudian berikan pembaruan harian hingga diperbaiki.

Tips praktis

  • Hubungkan metrik prudensial ke dasbor otomatis yang dimiliki oleh Keuangan tetapi terlihat oleh Kepatuhan dan Dewan.

  • Pre-setel tuas remediasi (penyuntikan modal, pengendalian biaya, throttles berbasis risiko) dan dokumen hak keputusan.

  • Selaraskan perbendaharaan/pembuat pasar sehingga tidak pernah terlihat seperti perdagangan milik yang melanggar batasan Perilaku Pasar.

6) Pemasaran: rezim 2024 sangat ketat

Peraturan Pemasaran 2024 berlaku untuk setiap pemasaran aset virtual atau aktivitas VA di atau yang menargetkan UAE—di mana pun Anda berada. Hanya VASP yang memiliki lisensi VARA (atau pihak ketiga yang disetujui dan bertindak untuk VASP yang memiliki lisensi) yang dapat memasarkan aktivitas yang diatur. Konten harus adil, jelas, tidak menyesatkan. Hindari jaminan, klaim “risiko rendah”, urgensi/FOMO, atau menyarankan kripto itu “mudah”. Jangan memasarkan AEC. Jangan mempromosikan pembelian VA dengan kredit kecuali Anda memiliki lisensi untuk fasilitas itu. KOL/afiliasi/agen harus disetujui, disusun, dan dipantau dengan SLA penghapusan.

7) Penyelarasan AML/CFT (Federal + VARA)

VARA adalah otoritas pengawas yang ditunjuk untuk VASP di bawah hukum federal AML/CFT. Harapkan semua elemen standar: penilaian risiko bisnis secara menyeluruh, CDD/EDD berbasis RBA, persetujuan PEP, penyaringan sanksi, Aturan Perjalanan (biasanya ambang AED 3,500), pengajuan STR, pemantauan berkelanjutan dengan analitik blockchain, tipologi untuk transaksi yang ditingkatkan anonim, dan pelatihan staf. Simpan bukti siap audit.

8) Bagaimana cara mendekati perjalanan lisensi

Langkah 1: Peta fitur Anda ke aktivitas. Buat matriks fitur produk vs. izin VARA. Putuskan apakah akan melanjutkan sebagai entitas tunggal atau grup (misalnya, penyimpanan terpisah).

Langkah 2: Kumpulkan orang-orang Anda. Identifikasi dua Individu Bertanggung Jawab (berbasis di UAE), CO/MLRO (≥ pengalaman), CISO, CFO, pemimpin Ops. Peta konflik dan segregasi.

Langkah 3: Bangun RBP. Rencana Bisnis Regulator adalah jangkar Anda: model bisnis, tata kelola, prudensial, T&I, risiko/kepatuhan, perlindungan klien, penghentian, rencana proyek.

Langkah 4: Bangun kontrol teknis. CISO di kursi; rencana TLPT; BCDR; buku panduan respons insiden; tata kelola dompet (jika penyimpanan); analitik rantai terintegrasi ke AML.

Langkah 5: Draf artefak hukum. Perjanjian Klien; Standar VA (pemicu pencatatan/pencabutan); pengungkapan publik di situs web; kebijakan pemasaran; kontrak KOL; penanganan keluhan.

Langkah 6: Buktikan uangnya. Bukti Modal Disetor dan NLA; binder asuransi; kebijakan aset cadangan (jika berlaku).

Langkah 7: Kirim dan kelola Q&A. Tetapkan manajer proyek internal; lacak komitmen; tanggapi dengan bukti, bukan retorika.

9) Jebakan umum yang harus dihindari

  • Menganggap “pendidikan” atau “airdrop” sebagai di luar pemasaran.

  • Mengeluarkan token tanpa memetakan Kategori-1 vs. Kategori-2 (atau FRVA).

  • Standar VA yang lemah, tidak ada pemicu pencabutan/suspensi, atau pengawasan penyalahgunaan pasar yang hilang.

  • Kurangnya sumber daya untuk peran CO/MLRO dan CISO atau mengaburkan mereka dengan operasi.

  • Hilangnya mekanika perlindungan klien (penamaan akun klien; rekonsiliasi harian; kepemilikan VA 1:1; laporan bulanan).

  • Melupakan pencatatan selama 8 tahun dan retensi daftar orang dalam.

  • Kontrak outsourcing yang buruk (tidak ada hak audit, tidak ada SLA insiden, lokasi data yang tidak jelas).

10) Pertanyaan yang sering diajukan

Apakah perusahaan asing termasuk dalam ruang lingkup jika tidak memiliki entitas Dubai? Ya, jika pemasaran atau aktivitasnya menargetkan UAE atau dilakukan dari Dubai.

Bisakah saya menjalankan semuanya dalam satu entitas? Sering kali ya, tetapi model multi-kegiatan meningkatkan ekspektasi prudensial, konflik, dan ketahanan operasional. Namun, penyimpanan adalah kegiatan mandiri dan memerlukan entitas terpisah.

Apakah stablecoin memerlukan perlakuan khusus? FRVA memiliki persyaratan kepatuhan khusus (dukungan, cadangan, penukaran pada nilai, pernyataan bulanan). FRVA yang dirujuk AED jatuh di bawah CBUAE.

Bagaimana dengan AEC? Penerbitan dan semua aktivitas VA yang berkaitan dengan mata uang kripto yang ditingkatkan anonimitas dilarang di Dubai.

11) Daftar tindakan

  • Peta fitur → aktivitas; putuskan struktur entitas.

  • Nama dua Individu Bertanggung Jawab; tempatkan CO/MLRO dan CISO.

  • Draf RBP, Standar VA, perjanjian klien, pengungkapan, kebijakan pemasaran.

  • Bangun akun uang klien; konfigurasikan dompet per-klien dan rekonsiliasi 1:1.

  • Bangun dasbor prudensial (Modal Disetor, NLA); baris asuransi.

  • Terapkan TLPT/BCDR; integrasikan analitik rantai ke dalam AML.

  • Siapkan paket Q&A pengawas; alokasikan pemilik dan garis waktu.

Butuh bantuan memetakan fitur Anda ke lisensi VARA yang tepat atau menyiapkan RBP? CRYPTOVERSE Legal Consultancy memberi nasihat kepada pendiri dari awal hingga akhir tentang aplikasi VARA, kepatuhan buku aturan, dan Q&A pengawas.

https://www.cryptoverselawyers.io | info@cryptoverselawyers.io

#VARA #CryptoLaw #Blockchain #Fintech #cryptoverselawyers

Penafian: Artikel ini hanya untuk informasi dan tidak merupakan nasihat hukum. Selalu cari nasihat yang disesuaikan dengan fakta dan cakupan lisensi Anda.