PayFi en los Emiratos Árabes Unidos: Análisis de riesgos de cumplimiento empresarial

Artículo escrito por: Huang Wenjing

Introducción

En la actualidad, con la ola de Web3 arrasando el mundo, PayFi (Payment Finance, un concepto propuesto por primera vez por Lily Liu, presidenta de la Fundación Solana, en 2024) se presenta como una innovadora vía que conecta los pagos tradicionales con la tecnología blockchain, reconfigurando rápidamente el panorama de los pagos transfronterizos. Imagina esto: los usuarios pueden realizar transferencias globales instantáneas y de bajo costo gracias a la tecnología blockchain, sin necesidad de intermediarios bancarios, pero aún así disfrutando de la garantía de anclaje de valor de las monedas estables. Esto no es solo una actualización tecnológica, sino el amanecer de la democratización financiera.

Los Emiratos Árabes Unidos, como un centro de Web3 en Oriente Medio, han construido un marco amigable con las criptomonedas líder en el mundo, representado por la VARA (Autoridad Reguladora de Activos Virtuales) en Dubái y el ADGM (Mercado Global de Abu Dabi) en Abu Dabi. Sin embargo, para los emprendedores e inversores que apuntan al mercado de los Emiratos Árabes Unidos (EAU), el atractivo de PayFi oculta un «campo minado» invisible: el riesgo de cumplimiento normativo. Al igual que en cualquier mercado emergente, el efecto de la «espada de doble filo» de la regulación es evidente: hay abundantes oportunidades, pero el costo de la infracción es alto.

En la primera mitad de 2025, el Banco Central de los EAU (CBUAE) impuso multas a varias instituciones de pago por un total de más de AED 20 millones (aproximadamente USD 5.4 millones) debido a un incumplimiento en el cumplimiento de AML/CFT (anti lavado de dinero/contra el financiamiento del terrorismo).

Este artículo se centrará en “identificar riesgos y proporcionar caminos”, analizando sistemáticamente los riesgos de cumplimiento empresarial de PayFi en los Emiratos Árabes Unidos. Combinaremos las últimas dinámicas regulatorias y casos reales, desglosando capa por capa; con el objetivo de identificar “líneas rojas” y ofrecer estrategias y enfoques para la prevención de riesgos.

PayFi——de concepto a oportunidades globales en un oasis en el desierto

1.1 ¿Qué es PayFi? ¿Por qué será “popular” en 2025?

PayFi es la rama de pagos de DeFi (finanzas descentralizadas), enfocándose en optimizar los elementos centrales del proceso de pago mediante blockchain y contratos inteligentes: velocidad, seguridad e inclusión. A diferencia de los pagos tradicionales (como el sistema SWIFT, donde el promedio de transferencias transfronterizas toma de 3 a 5 días), PayFi logra liquidaciones casi en tiempo real mediante stablecoins (como USDT, USDC) o protocolos de pago algorítmicos. Aplicaciones típicas incluyen:

Remesas transfronterizas: servicio de transferencia instantánea para el comercio internacional y la mano de obra internacional.

Pago del comerciante: integración de la pasarela de pago en criptomonedas en la plataforma de comercio electrónico.

Finanzas integradas: monetización sin problemas de activos virtuales en juegos Web3.

Messari estima que el objetivo de liquidez de PayFi alcanzará entre 200 y 250 millones de dólares, con un fuerte impulso de crecimiento. La popularidad de PayFi radica en su efectiva solución a los puntos críticos: la alta fricción de los pagos tradicionales (pérdidas por conversión de divisas del 5-7%) y las barreras formadas por la regulación/industria. El diseño sin intermediarios de PayFi lo convierte en la opción preferida para las economías emergentes, como la revolución de los pagos móviles en África que ya está avanzando a pasos agigantados gracias a la blockchain.

1.2 Emiratos Árabes Unidos: ¿La “Costa Dorada” de PayFi o el “Labertino Regulatorio”?

¿Por qué se ha convertido los EAU en el “manjar” de PayFi? La respuesta se encuentra en su posicionamiento estratégico. Como miembro del G20+ que ha recuperado su estatus en la lista blanca del FATF (exitosamente eliminado en 2024), se espera que en 2025 el PIB de los EAU tenga un porcentaje del 20% proveniente de la economía digital. El Web3 Festival PayFi Summit de abril ha catalizado aún más el entusiasmo del mercado, mientras que el plan Vision 2031 de Dubái está transformando los activos virtuales en una industria clave, con gigantes como Huma Finance y Athar Finance alcanzando hitos comerciales en 2025.

Oportunidades específicas:

Paraíso fiscal: el impuesto sobre sociedades es solo del 9% (a partir de 2023), y las transacciones de criptomonedas están exentas del IVA.

Mecanismo de sandbox: La Licencia de Prueba de Innovación de VARA permite a los proyectos probar en un “entorno controlado” durante 6-12 meses sin necesidad de una licencia completa.

Infraestructura: ADGM en Abu Dhabi admite Tokens Referenciados en Fiat (FRT, tokens anclados a moneda fiduciaria), lo que se adapta perfectamente a las necesidades de pago estable de PayFi.

Talento y capital: En 2025, la financiación de startups de criptomonedas en los EAU superará los 1,000 millones de USD, con los inversores de Oriente Medio representando el 40%.

Exploración regulatoria: La última propuesta del DIFC elimina el límite de inversión en fondos de criptomonedas, lo que beneficia a los fondos embebidos de PayFi.

En comparación con 2024, los EAU han pasado de ser un “paraíso de criptomonedas” a un “laboratorio de PayFi”, pero no te alegres demasiado pronto. Los EAU cuentan con una estructura de cumplimiento de tres niveles: “federal + emirato + zona franca”, y el negocio de PayFi podría verse afectado simultáneamente por la ley de pagos del CBUAE y las reglas de activos virtuales de VARA. Con un pequeño descuido, se enfrentarán a “sorpresas múltiples” de diferentes organismos reguladores.

Marco regulatorio de PayFi en los Emiratos Árabes Unidos: ¿Quién está “filtrando”?

El sistema regulatorio de los Emiratos Árabes Unidos es como una red precisa, que abarca toda la cadena desde los pagos tradicionales hasta la innovación en blockchain. En 2025, con la entrada en vigor de la nueva ley del CBUAE, los proyectos de PayFi deberán enfrentar la prueba de un marco unificado, desglosándose en los siguientes niveles:

2.1 Entidades reguladoras principales y su división de funciones

La regulación del negocio de PayFi en los EAU presenta un patrón de “dividir y conquistar”, con cuatro pilares que cumplen funciones específicas:

Consejo: Si eres una startup de PayFi, lo mejor es VARA, que puede cubrir prácticamente el 90% de las actividades de activos virtuales, y el tiempo de aprobación es solo de 3 a 6 meses. Sin embargo, las operaciones transfronterizas (como emitir FRT en ADGM) requieren un doble registro para evitar “vacíos de jurisdicción”.

2.2 Requisitos de licencia: de “Inicio” a “Paquete completo”

PayFi no es “plug and play”. Según las 7 categorías de licencias VASP de VARA, los negocios relacionados con pagos requieren al menos la doble licencia de Asesoría + Servicios de Pago. Los requisitos de solicitud incluyen:

1. Capital: Mínimo AED 100,000 (aproximadamente USD 27,000), para proyectos de alto riesgo hasta AED 1,000,0001.

2. Sistema de prevención de lavado de dinero y control de riesgos: cumplir con las obligaciones de AML y la “Regla de Viaje”, monitorizar y reportar transacciones según lo requerido.

3. Auditoría técnica: Los nodos de blockchain deben ser certificados técnicamente para prevenir posibles ataques maliciosos.

4. Localización: al menos 1 ejecutivo residente en los EAU, la oficina debe estar en Dubái.

Pero recuerda: sandbox ≠ exención, las infracciones durante el período de prueba aún se penalizan con AED 500,000 en adelante.

2.3 Conexiones globales: el impacto “externo” de FATF y MiCA

La regulación de los EAU no está aislada. En 2025, las directrices de la FATF para VASPs requieren que las plataformas de PayFi rastreen todo el recorrido de las transacciones en cadena, y los Emiratos Árabes Unidos lo han adoptado por completo. El MiCA (Mercados en Criptoactivos) de la UE también tiene un impacto indirecto: los comerciantes de los EAU que integren una stablecoin en euros deberán cumplir con la divulgación de reservas.

A través de este marco, podemos ver que la regulación en los Emiratos Árabes Unidos es el arte del equilibrio entre “amigable con la innovación + cero tolerancia al riesgo”. A continuación, analizaremos más a fondo los riesgos de cumplimiento empresarial.

Análisis de riesgo de cumplimiento empresarial: el “toque de campana” impulsado por casos.

3.1 Riesgo uno: Monitoreo insuficiente de AML/CFT - el asesino invisible del “agujero negro del lavado de dinero”

Interpretación: De acuerdo con las “Guías AML” de CBUAE, la plataforma PayFi debe implementar las obligaciones de prevención de lavado de dinero bajo un enfoque basado en riesgos, que incluye la debida diligencia del cliente (CDD), el monitoreo de transacciones y los informes de transacciones sospechosas (STR), entre otros. Las sanciones por incumplir las regulaciones pueden alcanzar hasta AED 5 millones por primera vez, y los casos graves enfrentarán la revocación de la licencia.

Análisis de caso: La falla de AML en la plataforma Fuze

En agosto de 2025, VARA multó a la plataforma de pagos en criptomonedas Fuze, registrada en Dubái, debido a fallas significativas en su sistema AML/CFT, incluyendo la falta de supervisión efectiva de transacciones de alto riesgo y la no notificación oportuna de actividades sospechosas, lo que llevó a posibles brechas de lavado de dinero. Fuze, como un VASP que ofrece servicios de pago en stablecoins, maneja más de millones de dólares al mes, pero presenta numerosas deficiencias en la debida diligencia de los clientes. Tras la investigación de VARA, no solo se impuso una multa de monto no divulgado, sino que también se designó a un “Profesional Calificado” (Skilled Person) para supervisar las correcciones, asegurando que la plataforma subsane sus deficiencias en la gestión de riesgos en un plazo de 3 meses.

3.2 Riesgo dos: Violaciones de licencias y operaciones - La herida mortal de “conducir sin licencia”

Interpretación: El Artículo 15 de la Ley No.4/2022 de VARA establece que cualquier actividad de VASP debe ser autorizada previamente, y operar sin aprobación se considera “operación ilegal”. ADGM exige la presentación de un registro antes de la emisión de FRT, de lo contrario se considera una conducta infractora.

Análisis de caso: VARA realiza una «redada» colectiva a 19 VASP.

A principios de octubre de 2025, VARA inició una acción de cumplimiento contra 19 proveedores de servicios de criptomonedas y activos virtuales que operaban sin licencia, muchos de los cuales estaban involucrados en transferencias de stablecoins y actividades de marketing relacionadas con PayFi, promocionando servicios en Dubái sin una licencia de VASP. Una de las empresas típicas fue acusada de operar de manera ilegal durante varios meses, atrayendo a más de mil usuarios minoristas. VARA emitió una orden de cese y multó con entre 100,000 y 600,000 AED (un total de más de 5 millones de AED), y algunas empresas también deberán someterse a revisiones de cumplimiento independientes.

3.3 Riesgo cuatro: privacidad de datos y ciberseguridad - el doble golpe de “hacker + filtración”

Interpretación: La Ley de Protección de Datos del DIFC (PDPL, 2021) exige que PayFi obtenga consentimiento para procesar datos personales y notifique cualquier incidente de seguridad relacionado con los datos. Las nuevas normas de VARA FRVA introducen estándares de ciberresiliencia: la plataforma debe someterse a pruebas de penetración para prevenir DDoS. Las multas por incumplimiento pueden alcanzar hasta AED 10 millones.

Análisis de casos: la controversia de la filtración de datos en la plataforma registrada en DIFC

A mediados de 2024, una plataforma de pagos FinTech registrada en el DIFC (que involucra servicios de billetera de criptomonedas) sufrió una filtración de aproximadamente 50,000 datos de usuarios debido a un ataque de phishing, incluyendo historial de transacciones e información KYC, lo que provocó un aumento en los casos de fraude posteriores. La investigación de la DFSA descubrió que la plataforma no había impuesto la autenticación de múltiples factores (MFA) ni el almacenamiento encriptado, violando la obligación de reporte de incidentes de datos del artículo 28 de la PDPL. La plataforma fue multada con 4 millones de AED y se le ordenó cerrar y corregir durante 3 meses, y una demanda colectiva de usuarios amplió aún más las pérdidas.

3.4 Riesgo Cuatro: Sanciones y Cumplimiento Transfronterizo - La “Geopolítica” como una “mina” inesperada

Interpretación: CBUAE y OFAC colaboran en la aplicación de la ley, PayFi debe asegurar el cumplimiento de las sanciones y la implementación de la compartición y verificación de información de la Travel Rule.

Análisis de caso: Multa de OFAC vinculada al banco CBUAE

En julio de 2025, el CBUAE impuso una multa de 3 millones de AED a un banco de los EAU no identificado, debido a que su sistema de pagos procesó transferencias de stablecoins relacionadas con jurisdicciones de alto riesgo (presuntamente vinculadas a Irán), sin llevar a cabo el filtrado de sanciones de OFAC y el cumplimiento de la regla de viaje, lo que resultó en brechas de cumplimiento transfronterizo. El canal de pago en criptomonedas del banco se utilizaba originalmente para remesas legítimas en MENA, pero debido a la laxitud en la supervisión, se vio envuelto en una investigación, con parte de sus activos congelados, y un período de corrección de 6 meses.

Guía práctica de prevención de riesgos: de “respuesta pasiva” a “navegación activa”

La ley no es una cadena, sino un sólido escudo para el desarrollo sostenible de las operaciones conforme a la normativa. Basado en los riesgos mencionados, los emprendedores (promotores del proyecto) y los inversores (LP/VC) tienen diferentes enfoques para identificar y prevenir riesgos, que son aproximadamente los siguientes:

4.1 Marco de prevención general: construir un “círculo de cumplimiento”

1. Inicio de la evaluación de riesgos: Realizar una evaluación de cumplimiento y auditoría antes del lanzamiento/inversión, cubriendo áreas clave como la sostenibilidad del modelo de negocio, el control de cumplimiento y el riesgo, y la seguridad tecnológica.

2. Internalización de políticas: elaborar un manual de cumplimiento, implementar la capacitación del equipo con anticipación y fomentar una cultura de cumplimiento.

3. Empoderamiento tecnológico: integración de herramientas efectivas de análisis y monitoreo en cadena para fortalecer la mitigación del riesgo.

4. Monitoreo continuo: Evaluar periódicamente la eficacia del proceso completo de identificación, monitoreo y mitigación de riesgos y actualizar y mejorar según sea necesario.

4.2 Para emprendedores: “Cinco pasos” para implementar un proyecto.

Paso 1: Planificación de la ruta de permisos

Evaluación de la jurisdicción: por ejemplo, PayFi en Dubái prefiere VARA.

Planificación de negocios: usar un puente de sandbox, convertir a licencia completa después de la prueba.

Paso 2: Tres líneas de defensa de cumplimiento y control de riesgos

Construir un equipo que se ajuste a la escala del negocio.

Implementar la monitorización automatizada de riesgos a través de sistemas de información.

Paso 3: Filtrado de sanciones “cortafuegos”

Filtración de cumplimiento de sanciones para clientes que aterrizan por primera vez y de manera continua.

Evitar en la medida de lo posible la aparición de puntos de conexión y otros riesgos que puedan ser utilizados por la “jurisdicción de largo alcance”.

Paso 4: Datos y bastión de seguridad

Utilizar configuraciones de alta especificación para la seguridad de la información y la protección de datos.

Realizar pruebas de disponibilidad del sistema y pruebas de penetración de forma regular para garantizar el cumplimiento dinámico.

4.3 Para los inversores: Sistema de «semáforo» de debida diligencia

Los inversores no deben solo mirar el libro blanco: la conformidad es la clave para el alpha (rendimiento excesivo).

1. Cribado preliminar: Verificar el estado de la licencia VARA u otra licencia regulatoria a través de canales oficiales. Luz verde: licencia completa; luz roja: solo la afirmación del proyecto de tener licencia.

2. Due Diligence Profunda: realizada por instituciones profesionales, revisando varios datos e informes.

3. Clasificación de riesgos: Evaluación de riesgos según la forma del negocio del producto.

4. Mecanismo de salida: cláusulas de cumplimiento incorporadas en el contrato (redención en caso de incumplimiento).

La conformidad como prioridad, la forma en que PayFi se establece en el Medio Oriente

El negocio de PayFi en los Emiratos Árabes Unidos, mientras se desarrolla rápidamente, ha entrado en una etapa de regulación institucionalizada y estandarizada. En 2025, el Banco Central de los Emiratos Árabes Unidos y la Autoridad Reguladora de Activos Virtuales de Dubái (VARA) fortalecieron sucesivamente los mecanismos de prevención de lavado de dinero (AML/CFT) y aprobación de licencias, y establecieron una línea base de cumplimiento a través de casos de aplicación típicos.

VARA impuso sanciones a la plataforma de pagos criptográficos Fuze en agosto de 2025 debido a deficiencias en su sistema de prevención de lavado de dinero, y en octubre del mismo año multó colectivamente a 19 proveedores de servicios de activos virtuales que operaban sin licencia, lo que demuestra la actitud de tolerancia cero de las autoridades reguladoras hacia la “operación sin licencia” y las deficiencias en la gestión de riesgos. Estas medidas reflejan el enfoque de riesgo y el principio de proporcionalidad de los EAU en el ámbito de la regulación de activos virtuales, y también proporcionan un marco jurídico predecible para la conformidad de PayFi.

En el futuro, si las empresas de PayFi desean operar a largo plazo en los Emiratos Árabes Unidos, deben solicitar licencias e incorporar mecanismos de evaluación de cumplimiento desde las primeras etapas de la planificación empresarial, asegurando que todos los procesos, como la solicitud de licencias, la debida diligencia de los clientes, la protección de datos y la verificación de sanciones, cumplan con los estándares locales e internacionales.

La regulación más estricta no significa que la innovación esté limitada, sino que establece la confianza del mercado y la seguridad de los fondos a través del estado de derecho. Se prevé que los Emiratos Árabes Unidos continúen promoviendo la legalización y transparencia del sistema de pagos de activos virtuales bajo el principio de “innovación abierta y regulación prudente”, proporcionando un camino ejemplar para el orden financiero digital en la región.