PayFi nos Emirados Árabes Unidos: Análise de riscos de conformidade empresarial

Autor: Huang Wenjing

Introdução

Na atualidade em que a onda do Web3 varre o mundo, o PayFi (Payment Finance, um conceito proposto pela primeira vez por Lily Liu, presidente da Fundação Solana, em 2024) está se afirmando como uma trilha inovadora que conecta pagamentos tradicionais e tecnologia blockchain, reformulando rapidamente o cenário dos pagamentos transfronteiriços. Imagine: usuários utilizando tecnologia blockchain para realizar transferências globais instantâneas e de baixo custo, sem intermediários bancários, mas ainda assim desfrutando da garantia de ancoragem de valor das stablecoins. Isso não é apenas uma atualização tecnológica, mas sim o alvorecer da democratização financeira.

Os Emirados Árabes Unidos, como um hub Web3 no Oriente Médio, construíram uma estrutura amigável para criptomoedas de classe mundial, representada pela VARA (Virtual Assets Regulatory Authority) em Dubai e pelo ADGM (Abu Dhabi Global Market) em Abu Dhabi. No entanto, para empreendedores e investidores que visam o mercado dos Emirados Árabes Unidos (UAE), o charme do PayFi esconde riscos invisíveis de “campo minado” - riscos de conformidade comercial. Assim como em qualquer mercado emergente, o efeito da “espada de dois gumes” da regulamentação é evidente: oportunidades abundantes, mas os custos de não conformidade são altos.

No primeiro semestre de 2025, o Banco Central dos Emirados Árabes Unidos (CBUAE) multou várias instituições de pagamento em um total de mais de AED 20 milhões (cerca de USD 5,4 milhões) devido à não conformidade com as suas responsabilidades em relação à AML/CFT (anti-lavagem de dinheiro/combate ao financiamento do terrorismo).

Este artigo terá como núcleo “Identificar riscos, fornecer caminhos”, analisando sistematicamente os riscos de conformidade comercial da PayFi nos Emirados Árabes Unidos. Vamos combinar as mais recentes dinâmicas regulatórias e casos reais, desmantelando camada por camada; o objetivo é identificar as “linhas vermelhas” e fornecer estratégias e ideias de prevenção de riscos.

PayFi——da concepção às oportunidades de globalização no oásis do deserto

1.1 O que é PayFi? Por que vai “explodir” em 2025?

PayFi é o ramo de pagamentos do DeFi (finanças descentralizadas), focando na otimização dos elementos centrais do processo de pagamento utilizando blockchain e contratos inteligentes: velocidade, segurança e inclusão. Diferente dos pagamentos tradicionais (como o sistema SWIFT, onde a média de transferências internacionais leva de 3 a 5 dias), o PayFi consegue realizar liquidações quase em tempo real com a ajuda de stablecoins (como USDT, USDC) ou protocolos de pagamento algorítmicos. Aplicações típicas incluem:

Transferências internacionais: fornecimento de serviços de transferência instantânea para comércio transnacional e trabalhadores internacionais.

Pagamento do comerciante: integração de gateway de pagamento criptográfico na plataforma de comércio eletrônico.

Finanças embutidas: liquidação sem costura de ativos virtuais em jogos Web3.

A Messari estima que o objetivo de liquidez do PayFi atinja USD 200-250 M, com um forte impulso de crescimento. O sucesso do PayFi reside na sua capacidade de resolver efetivamente os pontos problemáticos: a alta fricção dos pagamentos tradicionais (perdas de conversão cambial de 5-7%) e as barreiras formadas pela regulamentação/setor. O design sem intermediários do PayFi faz dele a escolha preferida em economias emergentes - por exemplo, a revolução dos pagamentos móveis na África já está “avançando a passos largos” com a ajuda da blockchain.

1.2 Emirados Árabes Unidos: A “Costa Dourada” do PayFi ou o “Labirinto Regulatório”?

Por que os Emirados Árabes Unidos se tornaram o “biscoito da sorte” do PayFi? A resposta está em seu posicionamento estratégico. Como um membro do G 20+ que recuperou a sua posição na lista branca do FATF (com a saída prevista para 2024), os Emirados Árabes Unidos esperam que a economia digital represente 20% do PIB em 2025. O Web3 Festival PayFi Summit em abril catalisou ainda mais o entusiasmo do mercado, enquanto o plano Vision 2031 de Dubai visa transformar os ativos virtuais em uma indústria pilar, com gigantes como Huma Finance e Athar Finance alcançando marcos de negócios em 2025.

Oportunidades específicas:

Paraíso fiscal: Imposto sobre o rendimento das empresas apenas 9% (a partir de 2023), transações de criptomoedas isentas de IVA.

Mecanismo de sandbox: A Licença de Teste de Inovação da VARA permite que projetos sejam testados em um “ambiente controlado” por 6-12 meses, sem necessidade de licença completa.

Infraestrutura: O ADGM de Abu Dhabi suporta Tokens Referenciados em Fiat (FRT, tokens ancorados em moeda fiduciária), atendendo perfeitamente à necessidade de pagamentos estáveis da PayFi.

Talento e capital: em 2025, o financiamento de startups de criptomoedas nos Emirados Árabes Unidos ultrapassará USD 1 bilhão, com investidores do Oriente Médio representando 40%.

Exploração regulatória: A mais recente proposta da DIFC elimina o limite de investimento em fundos de crypto, beneficiando os fundos embutidos PayFi.

Em comparação com 2024, os Emirados Árabes Unidos passaram de “paraíso das criptomoedas” para “laboratório PayFi”, mas não fique tão feliz ainda. Os Emirados Árabes Unidos possuem uma estrutura de conformidade em três camadas: “federação + emirado + zona livre”, e os negócios de PayFi podem tocar simultaneamente na lei de pagamentos do CBUAE e nas regras de ativos virtuais da VARA. Um pequeno deslize pode resultar em “surpresas múltiplas” de diferentes órgãos reguladores.

Estrutura regulatória do PayFi nos Emirados Árabes Unidos — quem está “vigilando”?

O sistema regulatório dos Emirados Árabes Unidos assemelha-se a uma rede precisa, abrangendo toda a cadeia, desde pagamentos tradicionais até inovações em blockchain. Em 2025, com a implementação da nova lei do CBUAE, o projeto PayFi terá que enfrentar o teste de um quadro unificado, sendo desmembrado camada a camada da seguinte forma:

2.1 Principais entidades reguladoras e suas funções

A regulamentação dos negócios de PayFi nos EAU apresenta um padrão de “dividir para conquistar”, com os quatro pilares a desempenhar as suas funções.

Dica: Se você é uma startup da PayFi, escolha a VARA - ela basicamente cobre 90% das atividades de ativos virtuais, e o prazo de aprovação é de apenas 3 a 6 meses. No entanto, para negócios transfronteiriços (como a emissão de FRT no ADGM), é necessário um registro duplo para evitar “vácuo de jurisdição”.

2.2 Requisitos de Licença: do “Iniciante” ao “Pacote Completo”

PayFi não é “plug and play”. De acordo com a licença VASP de 7 categorias da VARA, os negócios relacionados a pagamentos precisam de pelo menos a dupla licença de Advisory + Payment Services. Os requisitos para a aplicação incluem:

1. Capital: mínimo AED 100,000 (aproximadamente USD 27,000), projetos de alto risco chegam a AED 1,000,0001.

2. Sistema de combate à lavagem de dinheiro e gestão de riscos: cumprir as obrigações de AML e da “Travel Rule”, monitorizando e reportando transações conforme exigido.

3. Auditoria técnica: Os nós da blockchain devem passar por certificação técnica para prevenir ataques maliciosos potenciais.

4. Localização: pelo menos 1 executivo residente nos Emirados Árabes Unidos, o escritório deve estar em Dubai.

Mas lembre-se: sandbox ≠ isenção, violações durante o período de teste ainda são punidas a partir de AED 500.000.

2.3 Conexão Global: o impacto “transbordante” do FATF e do MiCA

A regulamentação dos EAU não está isolada. Em 2025, as diretrizes da FATF para VASPs exigem que plataformas PayFi rastreiem todo o caminho das transações em blockchain, e os Emirados Árabes Unidos já adotaram isso completamente. O MiCA da União Europeia (Mercados em Criptoativos) também tem um impacto indireto: comerciantes dos EAU que aceitarem stablecoins atreladas ao euro devem cumprir a divulgação de reservas.

Através deste quadro, podemos ver que a regulamentação nos Emirados Árabes Unidos é a arte do equilíbrio entre “amigável à inovação + tolerância zero ao risco”. Em seguida, vamos analisar mais a fundo os riscos de conformidade empresarial.

Análise de risco de conformidade empresarial - “Sinal de alerta” orientado por casos

3.1 Risco Um: Monitorização Insuficiente de AML/CFT - O Assassino Invisível do “Buraco Negro de Lavagem de Dinheiro”

Interpretação: De acordo com as Diretrizes de AML do CBUAE, a plataforma PayFi deve implementar obrigações de combate à lavagem de dinheiro com base em risco, incluindo a diligência devida do cliente (CDD), monitoramento de transações e relatórios de transações suspeitas (STR). As multas por violação das regulamentações podem chegar a AED 5 milhões na primeira infração, e casos graves poderão resultar na revogação da licença.

Análise de Caso: A Falha de AML na Plataforma Fuze

Em agosto de 2025, a VARA multou a plataforma de pagamento em criptomoedas Fuze, registrada em Dubai, devido a falhas significativas em seu sistema de AML/CFT, incluindo a falta de monitoramento eficaz de transações de alto risco e a não notificação oportuna de atividades suspeitas, resultando em potenciais lacunas de lavagem de dinheiro. A Fuze, como um VASP que oferece serviços de pagamento com stablecoin, processa mensalmente mais de milhões de dólares, mas falhou em sua diligência devida em relação aos clientes. Após a investigação, a VARA não apenas impôs uma multa de valor não divulgado, mas também nomeou um “Especialista Qualificado” para supervisionar as correções, garantindo que a plataforma preenchesse suas lacunas de gerenciamento de riscos em 3 meses.

3.2 Risco Dois: Violações de Licença e Operação - A Ferida Mortal da “Condução sem Licença”

Interpretação: O Artigo 15 da Lei VARA nº 4/2022 estabelece que qualquer atividade de VASP deve ser autorizada previamente, e operar sem aprovação é considerado “atividade ilegal”. A ADGM exige que o FRT seja registrado antes da emissão, caso contrário será considerado uma infração.

Análise de Caso: A VARA faz uma “varredura” coletiva a 19 VASP

No início de outubro de 2025, a VARA iniciou uma ação de execução contra 19 prestadores de serviços de pagamento em criptomoedas e ativos virtuais que operavam sem licença. Estas empresas estavam envolvidas principalmente em transferências de stablecoins e atividades de marketing relacionadas ao PayFi, promovendo serviços em Dubai sem a licença VASP. Uma das empresas típicas foi acusada de operar irregularmente por vários meses, atraindo mais de mil usuários de varejo. A VARA emitiu uma ordem de paralisação e impôs multas que variam de AED 100.000 a 600.000 (totalizando mais de AED 5 milhões), e algumas empresas também precisarão passar por uma auditoria de conformidade independente.

3.3 Risco Quatro: Privacidade de Dados e Segurança na Rede - O Duplo Impacto de “Hackers + Vazamentos”

Interpretação: A lei de proteção de dados do DIFC (PDPL, 2021) exige que a PayFi processe dados pessoais com consentimento e relate qualquer incidente de segurança de dados. As regras VARA FRVA introduzem padrões de resiliência cibernética: a plataforma deve ser submetida a testes de penetração para prevenir DDoS. As multas por violação podem chegar a AED 10 milhões.

Análise de Caso: O Escândalo de Violação de Privacidade na Plataforma Registrada DIFC

Em meados de 2024, uma plataforma de pagamentos FinTech registrada no DIFC (envolvendo serviços de carteira de criptomoedas) sofreu uma violação de dados de cerca de 50 mil usuários devido a um ataque de phishing, incluindo histórico de transações e informações KYC, resultando em um aumento subsequente de fraudes. A investigação da DFSA descobriu que a plataforma não implementou a autenticação multifatorial (MFA) e o armazenamento criptografado, violando a obrigação de notificação de incidentes de dados sob a Seção 28 da PDPL. A plataforma foi multada em AED 4 milhões e obrigada a interromper suas operações para correção por 3 meses, enquanto uma ação coletiva dos usuários ampliou ainda mais as perdas.

3.4 Risco Quatro: Sanções e Conformidade Transfronteiriça - “Geopolítica” e as “minas terrestres” inesperadas

Interpretação: O CBUAE e o OFAC colaboram na aplicação da lei, a PayFi deve garantir a conformidade com as sanções e a implementação do compartilhamento e verificação de informações da Travel Rule.

Análise de Caso: Multa OFAC do Banco CBUAE

Em julho de 2025, o CBUAE multou um banco dos EAU não nomeado em AED 3 milhões, devido ao processamento de transferências de stablecoins envolvendo jurisdições de alto risco (suspeita de estar relacionada ao Irão) em seu sistema de pagamentos, sem implementar a triagem de sanções da OFAC e o compartilhamento da Travel Rule, resultando em lacunas de conformidade transfronteiriça. O canal de pagamento em criptomoeda do banco foi originalmente destinado a remessas legítimas na MENA, mas devido à supervisão negligente, foi alvo de investigação, com parte dos ativos congelados e um período de correção de 6 meses.

Guia Prático de Prevenção de Riscos - De “Reação Passiva” a “Proteção Ativa”

A lei não é uma corrente, mas sim um sólido escudo para o desenvolvimento a longo prazo da operação em conformidade. Com base nos riscos acima mencionados, os empreendedores (equipes de projeto) e os investidores (LP/VC) têm diferentes focos na identificação e prevenção de riscos, que são aproximadamente os seguintes:

4.1 Quadro de Prevenção Geral: Construir um “Ciclo de Conformidade”

1. Início da avaliação de riscos: realizar uma avaliação de conformidade e auditoria antes do lançamento/investimento, abrangendo áreas-chave como sustentabilidade do modelo de negócios, conformidade e controle de riscos, segurança técnica, entre outros.

2. Internalização de políticas: elaborar um manual de conformidade, implementar formação de equipa antecipadamente e criar uma cultura de conformidade.

3. Capacitação técnica: integrar ferramentas eficazes de análise e monitorização em cadeia, reforçar a mitigação de riscos.

4. Monitorização contínua: Avaliar regularmente a eficácia de todo o processo de identificação, monitorização e mitigação de riscos e atualizar e melhorar conforme necessário.

4.2 Para empreendedores: Método dos “Cinco Passos” para a implementação de projetos

Passo 1: Planejamento de caminho de permissão

Avaliação da jurisdição: por exemplo, Dubai PayFi prefere a VARA.

Planejamento de negócios: usar a ponte sandbox, testar e depois transferir para toda a licença.

Passo 2: Três linhas de defesa na conformidade e gestão de riscos

Construir uma equipe que corresponda à escala do negócio.

Aproveitar os sistemas de informação para realizar a monitorização automatizada de riscos.

Passo 3: Triagem de sanções “firewall”

Verificação de conformidade com sanções para clientes ao abrigo de regulamentações, tanto na primeira vez como de forma contínua.

Tente evitar a exposição a riscos, como pontos de conexão que possam ser facilmente utilizados pela “longa armada”.

Passo 4: Dados e bastião de segurança

Utilizar configurações de segurança da informação e proteção de dados de alta especificação.

Realizar testes de disponibilidade do sistema e testes de penetração regularmente para garantir a conformidade dinâmica.

4.3 Para investidores: sistema de due diligence “semáforo”

Os investidores não devem se concentrar apenas no white paper - a conformidade é a chave para o alpha (retorno excessivo).

1. Triagem inicial: verificar o estado da licença VARA ou de outros reguladores através de canais oficiais. Luz verde: licença completa; luz vermelha: apenas a declaração da equipe do projeto de que possui licença.

2. Due diligence: conduzida por instituições especializadas, revisão de diversos dados e relatórios.

3. Nível de risco: Avaliação de risco com base na forma de operação do produto.

4. Mecanismo de saída: cláusulas de ativação de conformidade embutidas no contrato (violações resultam em resgate).

A conformidade em primeiro lugar, o caminho da PayFi no Oriente Médio.

O negócio de PayFi nos Emirados Árabes Unidos, enquanto se desenvolve rapidamente, entrou em uma fase de regulamentação institucional e padronizada. Em 2025, o Banco Central dos Emirados Árabes Unidos e a Autoridade Reguladora de Ativos Virtuais de Dubai (VARA) reforçaram, sucessivamente, os mecanismos de combate à lavagem de dinheiro (AML/CFT) e de aprovação de licenças, estabelecendo a linha de base de conformidade por meio de casos típicos de aplicação da lei.

A VARA multou a plataforma de pagamentos em criptomoeda Fuze em agosto de 2025 devido a falhas no sistema de combate à lavagem de dinheiro, e em outubro do mesmo ano, impôs multas coletivas a 19 prestadores de serviços de ativos virtuais que operavam sem licença, demonstrando a atitude de zero tolerância das autoridades reguladoras em relação à “operações não autorizadas” e à negligência na gestão de riscos. Essas medidas refletem a orientação para riscos e o princípio da proporcionalidade da UAE no campo da regulamentação de ativos virtuais, além de fornecerem limites legais previsíveis para a estrutura de conformidade da PayFi.

No futuro, se uma empresa PayFi desejar operar a longo prazo nos Emirados Árabes Unidos, deve solicitar licenças e incorporar um mecanismo de avaliação de conformidade desde o início do planejamento de negócios, garantindo que as etapas como solicitação de licença, due diligence de clientes, proteção de dados e verificação de sanções estejam em conformidade com os padrões locais e internacionais.

A crescente regulamentação não significa que a inovação esteja limitada, mas sim que estabelece a confiança no mercado e a segurança dos fundos de forma legal. É previsível que os Emirados Árabes Unidos continuem a promover a legalização e transparência do sistema de pagamento de ativos virtuais sob o princípio de “inovação aberta, regulamentação prudente”, fornecendo um caminho modelo para a ordem financeira digital na região.