核心摘要
- 迪拜虚拟资产监管局(VARA)发布《AML/CFT 业务风险评估指引》,要求持牌虚拟资产服务提供商(VASP)采用数据驱动的风险模型,每至少三个月更新一次风险评估。
- 指引将董事会问责提升为核心要求:业务风险评估(BRA)须经董事会正式批准,仅高级管理层批准是不够的;董事会须对方法论、剩余风险结论和控制有效性提出质疑。
- 新增风险维度包括:稳定币交易对手风险、DeFi 活动、无托管钱包、混币服务、AI 业务风险、匿名增强交易、扩散融资(PF)和定向金融制裁。
- 扩散融资被单独列为独立风险类别,须具备自身固有风险评分、控制有效性评估和剩余风险评级。
- 地理风险评估须逐司法管辖区分析,并使用实际 KYC 国籍数据识别高风险客户比例,不得仅做”高风险国家”笼统表述。
📑 文章目录
- VARA 监管阶段的升级 — 从发牌扩张到深度监督
- 核心要求:每季度更新的数据驱动风险评估 — 静态文件不再足够
- 董事会问责升级 — 三道防线模型与独立验证
- 加密特有的风险维度 — 稳定币、DeFi、无托管钱包与混币服务
- 扩散融资与地理风险的独立处理 — 满足 FATF 最新标准
- 对迪拜持牌 VASP 的实操影响 — 从风险评估到运营决策
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 6 月 12 日,迪拜虚拟资产监管局(VARA)发布了《AML/CFT 业务风险评估指引》(AML/CFT Business Risk Assessment Guidance),标志着迪拜虚拟资产监管从”发牌扩张”阶段正式进入“深度监督”阶段。该指引是在 VARA 2026 年对持牌 VASP 进行的专题审查(Thematic Review)基础上制定的,向市场清晰传递了监管期望的升级(Unlock Blockchain,2026-06-12)。
VARA 监管阶段的升级:从发牌扩张到深度监督
迪拜虚拟资产监管的三阶段演进
自 2022 年成立以来,VARA 的监管路径经历了清晰的三个阶段:第一阶段(2022-2023)建立法律框架和牌照类别;第二阶段(2024-2025)大规模发牌,吸引全球加密企业入驻;第三阶段(2026 年起)转向主动监督,检验持牌机构是否真正具备与其风险水平匹配的合规能力。本次发布的 AML/CFT 业务风险评估指引正是第三阶段的标志性文件。
指引的法律地位与覆盖范围
根据 VARA《合规与风险管理规则手册》(Compliance and Risk Management Rulebook),所有持牌 VASP 必须建立并维护 AML/CFT 业务风险评估,且至少每三个月审查一次,并在发生重大变化时立即更新。新指引并非创设额外法律义务,而是对现有要求的实施标准细化——它告诉市场”好的 BRA 应该长什么样”(Grafa,2026-06-15)。
核心要求:每季度更新的数据驱动风险评估
从叙事型合规到量化风险管理
VARA 明确要求 BRA 不得作为静态合规文件存在。最强实践标准下的 BRA 应使用数值评分模型、定义明确的可能性和后果等级、控制有效性评级和有记录的热力图来计算剩余风险。即便使用定性评级,也须提供清晰的叙事支撑,解释每项结论背后的依据。
数据输入点清单
指引列出了须纳入风险评分的数据来源:客户风险评级分布、交易监控预警数据、SAR/STR 趋势、制裁筛查结果、交易量、产品活动、地理暴露、加强尽职调查(EDD)统计、客户退出数据、审计发现和监管反馈。这实质上是要求企业的客户行为、交易流、预警质量和外部风险变化直接反映在风险评级中。
董事会问责升级
从 MLRO 文件到治理文件
指引最强烈的信号之一是对董事会问责的强调。VARA 明确指出:强实践标准要求 BRA 须经董事会(或同等治理机构)正式批准,批准日期须有明确记录。仅高级管理层批准是不够的。董事会还须对 BRA 的方法论、剩余风险结论、控制有效性假设和整改优先级提出质疑。这实质上是将 BRA 从合规部门(MLRO)的”内部文件”升级为董事会层面的治理文件。
三道防线模型的嵌入
指引还指向三道防线模型:第一道防线(合规/MLRO 职能)负责编制 BRA;第二道防线(董事会或风险职能)提供独立挑战;第三道防线(内部审计或外部独立方)验证方法论和控制有效性假设。对持牌机构而言,这意味着薄弱文档的成本将不再局限于合规部门,而是可能暴露整个治理架构的缺陷。
加密特有的风险维度
稳定币、DeFi 与无托管钱包
指引最大的特色之一是超越传统 AML 分类,直指虚拟资产特有风险。VARA 明确要求 BRA 评估以下方面的暴露程度:
- 无托管钱包(Unhosted Wallets):须评估与无托管钱包交互的比例和资金流向;
- 匿名增强型虚拟资产与混币服务:包括隐私币和混币协议的风险暴露;
- DeFi 活动与智能合约交互:须评估平台用户在 DeFi 协议中的参与程度和风险敞口;
- 跨境虚拟资产转移:须结合 Travel Rule 合规评估跨境交易风险;
- 稳定币:须评估稳定币交易量、交易对手风险、制裁规避风险和扩散融资风险。
对阿联酋市场而言,稳定币的单独列示尤为重要——无论是美元稳定币还是迪拉姆挂钩稳定币计划,未来都将同时接受创新促进和金融犯罪风险的双重审视。
扩散融资与地理风险的独立处理
扩散融资作为独立风险类别
指引的另一大亮点是将扩散融资(Proliferation Financing,PF)作为独立风险类别单独评估。PF 须具备自身的固有风险评分、控制有效性评估和剩余风险评级,不得与洗钱/恐怖融资合并处理。VARA 将 PF 直接与定向金融制裁挂钩,要求企业展示 PF 风险如何影响筛查、冻结和报告程序。具体风险向量包括:与扩散敏感司法管辖区存在关联的客户、复杂公司结构、嵌套账户、中介 VASP、分层区块链交易、前台公司和跨链桥机制。
逐司法管辖区的地理风险评估
VARA 要求地理风险评估须细化到单个司法管辖区级别,并使用实际的 KYC 国籍数据识别高风险客户比例。对于服务国际客户群的迪拜 VASP,这意味着”高风险国家”这类笼统表述不再被接受——必须有逐国的数据支持并与 FATF 高风险及黑名单国家信息对接。
对迪拜持牌 VASP 的实操影响
从风险评估到运营决策
指引最具实操价值的部分是要求企业记录 BRA 发现如何影响真实的合规决策,包括:交易监控阈值的调整、制裁筛查的加强、区块链分析覆盖面的扩大、特定司法管辖区的加强尽职调查、修订后的准入规则或对高风险业务线增加合规资源。此外,指引还列出了须触发 BRA 更新的事件:新产品上线、新虚拟资产上架、客户风险分布发生实质性变化、FATF 更新、VARA 监管沟通、审计发现、制裁指定、执法动态、MLRO 变更等。
合规体系的竞争差异化
对于已在迪拜持牌或正在申请牌照的机构,这份指引提供了一个合规基准线:仅拥有 BRA 文档已不足够,关键在于该评估能否经受监管审查、董事会质疑和快速变化的金融犯罪环境的检验。在未来 VARA 的监督检查中,BRA 的质量和执行深度将成为区分“持牌”与”真正合规”的关键指标。对于计划进入迪拜市场的加密企业,建议在牌照申请阶段就将指引要求纳入合规体系建设规划。
常见问题(FAQ)
VARA 要求每三个月更新风险评估,具体指什么?
根据 VARA《合规与风险管理规则手册》,持牌 VASP 必须至少每三个月审查一次 AML/CFT 业务风险评估(BRA),审查内容包括风险评估方法论的有效性、数据输入的完整性、控制措施的充分性以及剩余风险评级的准确性。此外,在发生重大变化时(如新产品上线、FATF 更新、制裁事件等),BRA 须立即更新,不受三个月周期的限制。
迪拜 VARA 持牌 VASP 目前有多少家?新指引是否适用于所有持牌类型?
VARA 将虚拟资产牌照分为多个类别(包括 VA 交易所、托管、管理、咨询服务等),所有持牌类别均须遵守 AML/CFT 合规义务。新指引适用于所有持牌 VASP,不论牌照类型。截至指引发布时,VARA 已向市场发放了相当数量的牌照,但具体数字随发牌进度持续更新,建议查阅 VARA 官网获取最新持牌机构名册。
来源:
- Unlock Blockchain:VARA Raises AML Expectations for Dubai Crypto Firms After 2026 Review(2026-06-12)
- Grafa:VARA Mandates Quarterly Crypto Risk Reviews(2026-06-15)
- VARA:AML/CFT Business Risk Assessment Guidance(PDF,2026-06-12)
- VARA:VASP Circular — AML/CFT Risk Assessment(2025-11-11)