PayFi aux Émirats Arabes Unis : analyse des risques de conformité des affaires

Rédaction : Huang Wenjing

Introduction

Alors que la vague Web3 déferle sur le monde, le PayFi (Payment Finance, un concept proposé pour la première fois par Lily Liu, présidente de la Solana Foundation, en 2024) émerge comme une piste innovante reliant les paiements traditionnels et la technologie blockchain, redéfinissant rapidement le paysage des paiements transfrontaliers. Imaginez : les utilisateurs réalisent des transferts mondiaux instantanés et à faible coût grâce à la technologie blockchain, sans intermédiaire bancaire, tout en bénéficiant de la garantie d'ancrage de valeur des stablecoins. Ce n'est pas seulement une mise à niveau technologique, mais l'aube de la démocratisation financière.

Les Émirats Arabes Unis, en tant que plaque tournante du Web3 au Moyen-Orient, représentent un cadre amical pour les cryptomonnaies, illustré par la VARA (Virtual Assets Regulatory Authority) à Dubaï et l'ADGM (Abu Dhabi Global Market) à Abou Dhabi. Cependant, pour les entrepreneurs et investisseurs visant le marché des Émirats (UAE), l'attrait de PayFi cache des « zones de risque » invisibles - le risque de conformité des affaires. Comme dans tout marché émergent, l'effet « épée à double tranchant » de la réglementation est évident : les opportunités sont abondantes, mais les coûts de non-conformité sont élevés.

Au cours du premier semestre 2025, la Banque centrale des Émirats arabes unis (CBUAE) a infligé des amendes totalisant plus de 20 millions AED (environ 5,4 millions USD) à plusieurs institutions de paiement pour manquement à ses obligations en matière de LBC/FT (lutte contre le blanchiment d'argent/lutte contre le financement du terrorisme).

Cet article se concentrera sur “l'identification des risques et la fourniture de solutions”, en analysant systématiquement les risques de conformité des activités de PayFi aux Émirats Arabes Unis. Nous combinerons les dernières évolutions réglementaires et des cas concrets pour décomposer les informations en profondeur ; l'objectif est d'identifier les “lignes rouges” et de fournir des stratégies et des idées pour la prévention des risques.

PayFi - Des concepts aux opportunités mondiales dans une oasis du désert

1.1 Qu'est-ce que PayFi ? Pourquoi sera-t-il “en vogue” en 2025 ?

PayFi est une branche de paiement de la DeFi (finance décentralisée), axée sur l'optimisation des éléments clés du processus de paiement grâce à la blockchain et aux contrats intelligents : la vitesse, la sécurité et l'inclusivité. Contrairement aux paiements traditionnels (comme le système SWIFT, où un transfert transfrontalier prend en moyenne 3 à 5 jours), PayFi réalise des règlements quasi en temps réel grâce à des stablecoins (comme USDT, USDC) ou des protocoles de paiement algorithmiques. Les applications typiques incluent :

Transfert transfrontalier : Fournir des services de transfert instantané pour le commerce international et les travailleurs étrangers.

Paiement des commerçants : intégration d'une passerelle de paiement cryptographique sur la plateforme de commerce électronique.

Finance intégrée : encaissement sans couture des actifs virtuels dans les jeux Web3.

Messari estime que l'objectif de liquidité de PayFi atteindra 200 à 250 millions USD, avec une forte dynamique de croissance. Le succès de PayFi réside dans sa capacité à résoudre des points de douleur : la forte friction des paiements traditionnels (perte de conversion de devises de 5 à 7 %) et les barrières créées par la réglementation/le secteur. La conception décentralisée de PayFi en fait un choix privilégié pour les économies émergentes - par exemple, la révolution des paiements mobiles en Afrique a déjà « fait un grand pas en avant » grâce à la blockchain.

1.2 Émirats Arabes Unis : “Gold Coast” de PayFi ou “labyrinthe réglementaire” ?

Pourquoi les Émirats Arabes Unis sont-ils devenus le “plat de choix” de PayFi ? La réponse se cache dans son positionnement stratégique. En tant que membre du G 20+ ayant retrouvé son statut de pays sur la liste blanche du GAFI (avec succès en 2024), les Émirats Arabes Unis prévoient que l'économie numérique représentera 20 % de leur PIB en 2025. Le Web3 Festival PayFi Summit d'avril a encore stimulé l'enthousiasme du marché, tandis que le plan Vision 2031 de Dubaï vise à faire des actifs virtuels un pilier de l'industrie, avec des géants comme Huma Finance et Athar Finance atteignant leurs jalons commerciaux en 2025.

Opportunités spécifiques :

Paradise fiscal : l'impôt sur les sociétés n'est que de 9 % (à partir de 2023), les transactions de crypto-monnaie sont exemptées de TVA.

Mécanisme de bac à sable : La licence d'innovation VARA permet aux projets de tester pendant 6 à 12 mois dans un « environnement contrôlé », sans avoir besoin d'une licence complète.

Infrastructure : L'ADGM d'Abou Dabi prend en charge les jetons référencés à des devises fiduciaires (FRT, jetons ancrés à des devises), ce qui répond parfaitement aux besoins de paiement stable de PayFi.

Talents et financement : en 2025, le financement des startups cryptographiques aux Émirats Arabes Unis dépassera 1 milliard USD, les investisseurs du Moyen-Orient représentant 40 %.

Exploration réglementaire : La dernière proposition du DIFC supprime la limite d'investissement en crypto pour les fonds, ce qui est bénéfique pour les fonds intégrés PayFi.

Comparé à 2024, les Émirats Arabes Unis passent de “paradis crypto” à “laboratoire PayFi”, mais ne vous réjouissez pas trop tôt. Les Émirats ont une structure de conformité à trois niveaux comprenant “fédération + émirats + zones franches”, et les activités PayFi pourraient toucher simultanément la loi sur les paiements de la CBUAE et les règles sur les actifs virtuels de la VARA. Un léger faux pas pourrait entraîner des “surprises multiples” de la part de différents organismes de réglementation.

Cadre réglementaire PayFi aux Émirats - Qui fait le « contrôle » ?

Le système de réglementation des Émirats arabes unis ressemble à un réseau sophistiqué, couvrant toute la chaîne, des paiements traditionnels aux innovations en blockchain. En 2025, avec l'entrée en vigueur de la nouvelle loi du CBUAE, le projet PayFi devra faire face à l'épreuve d'un cadre unifié, se déployant couche par couche comme suit :

2.1 Autorités de régulation principales et leur répartition des tâches

La réglementation des activités PayFi aux Émirats Arabes Unis se présente sous un schéma de « division et gouvernance », avec quatre grands piliers jouant chacun un rôle distinct :

Conseils : Si vous êtes une startup PayFi, optez pour VARA - elle couvre essentiellement 90 % des activités liées aux actifs virtuels, et le délai d'approbation est de seulement 3 à 6 mois. Cependant, les activités transfrontalières (comme l'émission de FRT dans l'ADGM) nécessitent un double enregistrement pour éviter le “vide juridique”.

2.2 Exigences de licence : de « Débutant » à « Pack complet »

PayFi n'est pas « plug-and-play ». Selon les 7 catégories de licence VASP de VARA, les activités liées aux paiements nécessitent au minimum une double licence Advisory+Payment Services. Les seuils de demande incluent :

1. Capital minimum : AED 100,000 (environ USD 27,000), projets à haut risque jusqu'à AED 1,000,000.

2. Système de lutte contre le blanchiment d'argent et de gestion des risques : remplir les obligations AML et de “Travel Rule”, surveiller et signaler les transactions comme requis.

3. Audit technique : Les nœuds de la blockchain doivent être certifiés techniquement pour prévenir les attaques malveillantes potentielles.

4. Localisation : Au moins un cadre résident des Émirats arabes unis, le bureau doit être situé à Dubaï.

Mais rappelez-vous : un bac à sable ≠ une exemption, les violations pendant la période de test entraînent toujours une amende de 500 000 AED.

2.3 Connexion mondiale : L'impact « débordant » de la FATF et du MiCA

La réglementation des Émirats arabes unis n'est pas isolée. En 2025, les directives du GAFI concernant les VASP exigent que les plateformes PayFi suivent le chemin complet des transactions sur la chaîne, ce qui a été pleinement adopté par les Émirats. Le MiCA (Règlement sur les marchés des crypto-actifs) de l'Union européenne a également un impact indirect : les commerçants des Émirats qui acceptent des stablecoins en euros doivent respecter des exigences de divulgation de réserves.

Grâce à ce cadre, nous pouvons voir que la réglementation des Émirats arabes unis est un art d'équilibre entre « innovation amicale + tolérance zéro au risque ». Ensuite, nous allons analyser plus en profondeur les risques de conformité commerciale.

Analyse des risques de conformité des affaires - « Alerte » basée sur des cas

3.1 Risque un : Surveillance AML/CFT insuffisante - Le tueur invisible du “trou noir du blanchiment d'argent”

Interprétation : Selon les directives AML de la CBUAE, la plateforme PayFi doit mettre en œuvre ses obligations en matière de lutte contre le blanchiment d'argent sur la base d'une approche basée sur le risque, y compris la vérification des clients (CDD), la surveillance des transactions et le rapport des transactions suspectes (STR), etc. Les violations des règlements peuvent entraîner une amende pouvant atteindre 5 millions AED, et les cas graves peuvent entraîner un retrait de licence.

Analyse de cas : Défaillance de l'AML sur la plateforme Fuze

En août 2025, la VARA a infligé une amende à la plateforme de paiement cryptographique Fuze enregistrée à Dubaï, en raison de lacunes majeures dans son système AML/CFT, notamment l'absence de surveillance efficace des transactions à haut risque et le non-signalement en temps utile des activités suspectes, entraînant des failles potentielles en matière de blanchiment d'argent. Fuze, en tant que VASP fournissant des services de paiement en stablecoin, traite des volumes mensuels de plusieurs millions de dollars, mais a négligé de manière flagrante la diligence raisonnable des clients. Après enquête, la VARA a non seulement imposé une amende d'un montant non divulgué, mais a également nommé un « Personne Compétente » (Skilled Person) indépendante pour superviser la rectification, afin de s'assurer que la plateforme comble ses lacunes en matière de gestion des risques dans un délai de 3 mois.

3.2 Risque II : Non-conformité aux licences et aux opérations - La blessure mortelle de la “conduite sans permis”

Interprétation : L'article 15 de la loi VARA No.4/2022 stipule que toute activité de VASP doit être préalablement autorisée, et que l'absence d'approbation constitue un “exercice illégal”. L'ADGM exige un enregistrement préalable avant l'émission de FRT, sinon cela est considéré comme une infraction.

Analyse de cas : VARA mène une « opération de nettoyage » collective contre 19 VASP

Début octobre 2025, la VARA a lancé une action d'exécution contre 19 fournisseurs de services de paiement cryptographiques et d'actifs virtuels opérant sans licence, ces entreprises étant principalement impliquées dans des transferts de stablecoins et des activités de marketing liés à PayFi, sans avoir obtenu de licence VASP tout en promouvant leurs services à Dubaï. Une entreprise typique a été accusée d'opérer illégalement pendant plusieurs mois, attirant plus de mille utilisateurs de détail. La VARA a émis un ordre d'arrêt et a imposé des amendes variant de 100 000 AED à 600 000 AED (pour un total de plus de 5 millions AED), certaines entreprises devant également subir un examen de conformité indépendant.

3.3 Risque quatre : Confidentialité des données et sécurité des réseaux – Double coup de « hackers + fuites »

Interprétation : La loi sur la protection des données de DIFC (PDPL, 2021) exige que PayFi obtienne le consentement pour traiter des données personnelles et signale tout incident de sécurité lié aux données. Les règles VARA FRVA ajoutent des normes de résilience cybernétique : la plateforme doit subir des tests d'intrusion pour se prémunir contre les DDoS. Les amendes pour non-conformité peuvent atteindre 10 millions AED.

Analyse de cas : La controverse sur la fuite de données sur la plateforme d'enregistrement du DIFC

À la mi-2024, une plateforme de paiement FinTech enregistrée à DIFC (impliquant des services de portefeuille cryptographique) a subi une fuite de données d'environ 50 000 utilisateurs en raison d'une attaque de phishing, y compris l'historique des transactions et les informations KYC, entraînant une augmentation des cas d'escroquerie par la suite. Une enquête de la DFSA a révélé que la plateforme n'avait pas imposé d'authentification à plusieurs facteurs (MFA) et de stockage crypté, violant l'obligation de déclaration des événements de données en vertu de l'article 28 de la PDPL. La plateforme a été condamnée à une amende de 4 millions AED et a été contrainte d'interrompre ses activités pour une période de 3 mois de rectification, tandis qu'une action en justice collective des utilisateurs a amplifié les pertes.

3.4 Risque quatre : Sanctions et conformité transfrontalière - Les “bombes” inattendues de la “géopolitique”

Interprétation : Le CBUAE collabore avec l'OFAC pour l'application des lois, PayFi doit garantir la conformité aux sanctions ainsi que la mise en œuvre du partage et de la vérification des informations concernant la Travel Rule.

Analyse de cas : amende OFAC de la banque CBUAE

En juillet 2025, la CBUAE a infligé une amende de 3 millions AED à une banque non nommée des Émirats arabes unis, en raison de transferts de stablecoins impliquant des zones à haut risque dans son système de paiement (suspecté d'être lié à l'Iran), n'ayant pas mis en œuvre le filtrage des sanctions de l'OFAC et le partage selon la Travel Rule, ce qui a entraîné des lacunes de conformité transfrontalière. Le canal de paiement en crypto-monnaie de cette banque, initialement destiné à des transferts légitimes dans la région MENA, a été impliqué dans une enquête en raison d'un manque de surveillance, avec une partie de ses actifs gelés et une période de rectification de 6 mois.

Guide pratique de prévention des risques - De “réaction passive” à “protection active”

La loi n'est pas une entrave, mais un solide bouclier pour le développement à long terme d'une exploitation conforme. Sur la base des risques susmentionnés, les entrepreneurs (équipes de projet) et les investisseurs (LP/VC) ont chacun des points d'accent différents en matière d'identification et de prévention des risques, comme suit :

4.1 Cadre de prévention général : construire un « cercle de conformité »

1. Lancement de l'évaluation des risques : effectuer une évaluation de conformité et un audit avant le lancement/l'investissement, couvrant des domaines clés tels que la durabilité du modèle commercial, la conformité et la gestion des risques, ainsi que la sécurité technique.

2. Internalisation des politiques : Élaboration d'un manuel de conformité, mise en œuvre anticipée de la formation de l'équipe, création d'une culture de conformité.

3. Autonomisation technologique : Intégration d'outils d'analyse et de surveillance on-chain efficaces pour renforcer la surveillance et l'atténuation des risques.

4. Surveillance continue : Évaluer régulièrement l'efficacité du processus complet d'identification, de surveillance et d'atténuation des risques et mettre à jour et améliorer selon les besoins.

4.2 Pour les entrepreneurs : La méthode des « cinq étapes » pour la mise en œuvre du projet

Étape 1 : Planification du chemin d'autorisation

Évaluation de la juridiction : par exemple, PayFi à Dubaï préfère VARA.

Planification des affaires : utiliser un pont sandbox, passer à une licence complète après test.

Étape 2 : Les trois lignes de défense de la conformité et de la gestion des risques

Construire une équipe adaptée à l'échelle de l'entreprise.

Automatiser la surveillance des risques grâce à des systèmes d'information.

Étape 3 : Filtrage des sanctions “pare-feu”

Vérification de conformité des sanctions pour les clients lors de leur première arrivée et de manière continue.

Tâchez d'éviter les points de connexion et autres expositions aux risques pouvant être facilement utilisés par la “longue portée”.

Étape 4 : Données et bastion de sécurité

Adoptez des configurations de sécurité de l'information et de protection des données de haut niveau.

Effectuer régulièrement des tests de disponibilité du système et des tests de pénétration pour garantir la conformité dynamique.

4.3 Pour les investisseurs : Système de due diligence « feu de circulation »

Les investisseurs ne doivent pas se contenter de lire le livre blanc - la conformité est la clé de l'alpha (rendement excessif).

1. Screening préliminaire : Vérifiez l'état de la VARA ou d'autres licences réglementaires par des canaux officiels. Feu vert : toutes les licences ; feu rouge : seule la déclaration du projet indique qu'il est licencié.

2. Due diligence approfondie : réalisée par des institutions professionnelles, examinant divers types de données et de rapports.

3. Classification des risques : Évaluation des risques en fonction de la forme d'activité des produits.

4. Mécanisme de sortie : le contrat intègre des clauses de déclenchement de conformité (violation entraînant le rachat).

La conformité d'abord, la voie de déploiement de PayFi au Moyen-Orient

Les activités de PayFi aux Émirats Arabes Unis se développent rapidement et sont désormais entrées dans une phase de réglementation institutionnalisée et normalisée. En 2025, la Banque centrale des Émirats Arabes Unis et l'Autorité de régulation des actifs virtuels de Dubaï (VARA) ont respectivement renforcé les mécanismes de lutte contre le blanchiment d'argent (AML/CFT) et d'approbation des licences, établissant ainsi une ligne de conformité à travers des cas d'application typiques.

VARA a imposé des sanctions à la plateforme de paiement cryptographique Fuze en août 2025 en raison de défauts dans son système de lutte contre le blanchiment d'argent, et en octobre de la même année, a infligé des amendes collectives à 19 fournisseurs de services d'actifs virtuels opérant sans licence, démontrant ainsi une attitude de tolérance zéro des régulateurs envers “l'exploitation sans licence” et les lacunes en matière de gestion des risques. Ces mesures reflètent l'orientation axée sur le risque et le principe de proportionnalité des Émirats Arabes Unis dans le domaine de la régulation des actifs virtuels, et fournissent également des limites juridiques prévisibles pour le cadre de conformité de PayFi.

À l'avenir, si une entreprise PayFi souhaite opérer à long terme aux Émirats Arabes Unis, elle doit demander une licence et intégrer un mécanisme d'évaluation de la conformité dès les premières étapes de la planification des affaires, afin de garantir que les demandes de licence, la due diligence des clients, la protection des données et le filtrage des sanctions respectent les normes locales et internationales.

Un renforcement de la réglementation ne signifie pas que l'innovation est limitée, mais qu'il s'agit d'établir la confiance du marché et la sécurité des fonds par des moyens juridiques. On peut prévoir que les Émirats arabes unis continueront à promouvoir la légalisation et la transparence du système de paiement des actifs virtuels selon le principe de “l'innovation ouverte et la réglementation prudente”, fournissant ainsi un chemin de démonstration pour l'ordre financier numérique régional.