PayFi tại Các Tiểu Vương Quốc Ả Rập Thống Nhất: Phân tích rủi ro tuân thủ trong kinh doanh

Tác giả: Hoàng Văn Cảnh

Giới thiệu

Trong bối cảnh làn sóng Web3 đang quét qua toàn cầu, PayFi (Tài chính thanh toán, khái niệm do Chủ tịch Quỹ Solana Lily Liu đề xuất vào năm 2024) như một con đường đổi mới kết nối thanh toán truyền thống và công nghệ blockchain, đang nhanh chóng định hình lại bức tranh thanh toán xuyên biên giới. Hãy tưởng tượng: người dùng nhờ vào công nghệ blockchain có thể thực hiện chuyển tiền toàn cầu ngay lập tức và với chi phí thấp, không cần trung gian ngân hàng, nhưng vẫn có thể tận hưởng sự đảm bảo giá trị từ stablecoin. Đây không chỉ là một sự nâng cấp công nghệ, mà còn là ánh sáng của sự dân chủ hóa tài chính.

Các Tiểu vương quốc Ả Rập Thống nhất (UAE) với vai trò là trung tâm Web3 của Trung Đông, đại diện bởi VARA (Cơ quan Quản lý Tài sản Ảo) ở Dubai và ADGM (Thị trường Toàn cầu Abu Dhabi) ở Abu Dhabi, đã xây dựng một khung pháp lý thân thiện với tiền điện tử hàng đầu thế giới. Tuy nhiên, đối với các doanh nhân và nhà đầu tư nhắm đến thị trường UAE, sức hấp dẫn của PayFi lại ẩn chứa những “mỏ lửa” vô hình - rủi ro về tuân thủ pháp lý. Cũng như bất kỳ thị trường mới nổi nào, hiệu ứng “lưỡi dao hai lưỡi” của sự quản lý là rõ ràng: cơ hội phong phú, nhưng chi phí vi phạm thì rất cao.

Trong nửa đầu năm 2025, Ngân hàng Trung ương UAE (CBUAE) đã phạt nhiều tổ chức thanh toán với tổng số tiền phạt vượt quá 20 triệu AED (khoảng 5,4 triệu USD) do không thực hiện đầy đủ nghĩa vụ về AML/CFT (chống rửa tiền/chống tài trợ khủng bố).

Bài viết này sẽ lấy “Phân biệt rủi ro, cung cấp con đường” làm cốt lõi, phân tích hệ thống rủi ro tuân thủ doanh nghiệp của PayFi tại Các Tiểu vương quốc Ả Rập Thống nhất. Chúng tôi sẽ kết hợp với các động thái quy định mới nhất và các trường hợp thực tế, phân tích từng lớp; nhằm nhận diện “đường đỏ”, cung cấp các chiến lược và ý tưởng phòng ngừa rủi ro.

PayFi——Từ khái niệm đến cơ hội toàn cầu trong ốc đảo sa mạc

1.1 PayFi là gì? Tại sao nó sẽ “nóng” vào năm 2025?

PayFi là nhánh thanh toán của DeFi (tài chính phi tập trung), tập trung vào việc tối ưu hóa các yếu tố cốt lõi của quy trình thanh toán bằng cách sử dụng blockchain và hợp đồng thông minh: tốc độ, an toàn và tính bao trùm. Khác với thanh toán truyền thống (như hệ thống SWIFT, trung bình chuyển tiền xuyên biên giới mất 3-5 ngày), PayFi thông qua stablecoin (như USDT, USDC) hoặc giao thức thanh toán thuật toán để thực hiện thanh toán gần như tức thì. Các ứng dụng điển hình bao gồm:

Chuyển tiền xuyên biên giới: Cung cấp dịch vụ chuyển tiền tức thì cho thương mại quốc tế và lao động quốc tế.

Thanh toán cho người bán: Tích hợp cổng thanh toán tiền điện tử trên nền tảng thương mại điện tử.

Tài chính nhúng: Chuyển đổi tài sản ảo một cách liền mạch trong trò chơi Web3.

Messari ước tính mục tiêu thanh khoản PayFi đạt 200-250 triệu USD, với đà tăng trưởng mạnh mẽ. PayFi nổi bật nhờ vào việc giải quyết hiệu quả các vấn đề: ma sát cao trong thanh toán truyền thống (thiệt hại do chuyển đổi tỷ giá 5-7%) và rào cản do quy định/ngành tạo ra. Thiết kế phi trung gian của PayFi khiến nó trở thành lựa chọn hàng đầu cho các nền kinh tế mới nổi - ví dụ, cuộc cách mạng thanh toán di động ở châu Phi đã “tiến bộ nhanh chóng nhờ vào blockchain”.

1.2 Các Tiểu vương quốc Ả Rập Thống nhất: “Bờ biển vàng” của PayFi hay “Mê cung quản lý”?

Các Tiểu vương quốc Ả Rập Thống nhất tại sao lại trở thành “miếng mồi ngon” của PayFi? Câu trả lời nằm trong định vị chiến lược của nó. Là một quốc gia đã phục hồi danh sách trắng của FATF (dự kiến sẽ được gỡ bỏ vào năm 2024) và là thành viên G 20+, dự kiến tỷ trọng kinh tế số trong GDP của Các Tiểu vương quốc Ả Rập Thống nhất vào năm 2025 sẽ đạt 20%. Hội nghị PayFi tại Lễ hội Web3 vào tháng 4 đã thúc đẩy thêm sự nhiệt tình của thị trường, trong khi kế hoạch Vision 2031 của Dubai đã biến tài sản ảo thành ngành công nghiệp trụ cột, như Huma Finance và Athar Finance đều đã hoàn thành các cột mốc kinh doanh vào năm 2025.

Cơ hội cụ thể:

Thiên đường thuế: Thuế thu nhập doanh nghiệp chỉ 9% (từ năm 2023), giao dịch tiền điện tử miễn thuế giá trị gia tăng.

Cơ chế sandbox: Giấy phép thử nghiệm đổi mới của VARA cho phép các dự án thử nghiệm trong “môi trường được kiểm soát” trong 6-12 tháng mà không cần giấy phép đầy đủ.

Cơ sở hạ tầng: ADGM tại Abu Dhabi hỗ trợ các Token tham chiếu Fiat (FRT, token gắn liền với tiền pháp định), hoàn toàn phù hợp với nhu cầu thanh toán ổn định của PayFi.

Nhân tài và vốn: Năm 2025, tài trợ cho các startup tiền mã hóa ở UAE vượt 1 tỷ USD, trong đó các nhà đầu tư Trung Đông chiếm 40%.

Khám phá quy định: Đề xuất mới nhất của DIFC bãi bỏ giới hạn đầu tư quỹ crypto, có lợi cho quỹ nhúng PayFi.

So với năm 2024, UAE đã từ “thiên đường crypto” nâng cấp thành “phòng thí nghiệm PayFi”, nhưng đừng vui mừng quá sớm. UAE có cấu trúc tuân thủ ba lớp “liên bang + tiểu vương quốc + khu tự do”, các hoạt động PayFi có thể đồng thời liên quan đến luật thanh toán của CBUAE và quy định tài sản ảo của VARA. Chỉ cần một chút sơ suất, sẽ phải đối mặt với “nhiều bất ngờ” từ các cơ quan quản lý khác nhau.

Khung pháp lý PayFi tại UAE - Ai đang “kiểm soát”?

Hệ thống quản lý của Các Tiểu vương quốc Ả Rập Thống nhất giống như một mạng lưới tinh vi, bao phủ toàn bộ chuỗi từ thanh toán truyền thống đến đổi mới blockchain. Vào năm 2025, với việc luật mới của CBUAE được thực thi, dự án PayFi sẽ phải đối mặt với thử thách của khung thống nhất, từng bước được bóc tách như sau:

2.1 Các cơ quan quản lý chính và phân công

Hoạt động PayFi tại UAE được quản lý theo hình thức “chia để trị”, với bốn trụ cột thực hiện nhiệm vụ của riêng mình:

Mẹo: Nếu bạn là một doanh nghiệp khởi nghiệp PayFi, hãy chọn VARA - nó có thể phủ sóng cơ bản 90% hoạt động tài sản ảo và thời gian phê duyệt chỉ từ 3-6 tháng. Tuy nhiên, đối với các hoạt động xuyên khu vực (như phát hành FRT tại ADGM) cần phải đăng ký kép để tránh “khoảng trống quyền tài phán”.

2.2 Yêu cầu giấy phép: Từ “Nhập môn” đến “Combo gia đình”

PayFi không phải là “cắm và chạy”. Theo giấy phép VASP loại 7 của VARA, các dịch vụ liên quan đến thanh toán ít nhất cần có giấy phép Advisory + Payment Services. Các tiêu chí xin giấy phép bao gồm:

1. Vốn góp: Tối thiểu AED 100,000 (khoảng USD 27,000), dự án rủi ro cao lên đến AED 1,000,0001.

2. Hệ thống chống rửa tiền và quản lý rủi ro: Thực hiện nghĩa vụ AML và “Quy tắc Di chuyển”, theo yêu cầu giám sát và báo cáo giao dịch.

3. Kiểm toán kỹ thuật: Các nút blockchain cần được chứng nhận kỹ thuật để ngăn chặn các cuộc tấn công độc hại tiềm tàng.

4. Địa phương hóa: Ít nhất 1 giám đốc điều hành cư dân UAE, văn phòng phải ở Dubai.

Nhưng hãy nhớ: Sandbox ≠ Miễn trừ, vi phạm trong thời gian thử nghiệm vẫn bị phạt từ 500,000 AED.

2.3 Kết nối toàn cầu: Ảnh hưởng “tràn ra” của FATF và MiCA

Sự quản lý của UAE không cô lập. Vào năm 2025, hướng dẫn VASPs của FATF yêu cầu các nền tảng PayFi theo dõi toàn bộ chuỗi giao dịch trên blockchain, UAE đã hoàn toàn tiếp nhận. MiCA (Thị trường tài sản tiền điện tử) của Liên minh châu Âu cũng ảnh hưởng gián tiếp: các thương nhân UAE nếu kết nối với stablecoin Euro, cần tuân thủ việc tiết lộ dự trữ.

Thông qua khung này, chúng ta có thể thấy rằng quy định của Các Tiểu vương quốc Ả Rập Thống nhất là nghệ thuật cân bằng giữa “thân thiện với đổi mới + không khoan nhượng với rủi ro”. Tiếp theo, chúng tôi sẽ phân tích sâu hơn về rủi ro tuân thủ doanh nghiệp.

Phân tích rủi ro tuân thủ kinh doanh - «Chuông cảnh báo» dựa trên trường hợp

3.1 Rủi ro một: Giám sát AML/CFT không đủ - Kẻ giết người vô hình của “hố đen rửa tiền”

Giải thích: Theo Hướng dẫn AML của CBUAE, nền tảng PayFi phải thực hiện nghĩa vụ chống rửa tiền dựa trên nguyên tắc rủi ro, bao gồm thẩm định khách hàng (CDD), giám sát giao dịch và báo cáo giao dịch đáng ngờ (STR). Vi phạm quy định quản lý lần đầu có thể bị phạt lên đến 5 triệu AED, trong trường hợp nghiêm trọng sẽ đối mặt với việc thu hồi giấy phép.

Phân tích trường hợp: Sự thất bại của AML trên nền tảng Fuze

Vào tháng 8 năm 2025, VARA đã phạt nền tảng thanh toán tiền điện tử Fuze đăng ký tại Dubai vì hệ thống AML/CFT của họ có những thiếu sót nghiêm trọng, bao gồm việc không giám sát hiệu quả các giao dịch có rủi ro cao và không báo cáo kịp thời các hoạt động đáng ngờ, dẫn đến lỗ hổng tiềm năng về rửa tiền. Fuze, với tư cách là một VASP cung cấp dịch vụ thanh toán bằng stablecoin, có khối lượng giao dịch hàng tháng vượt quá hàng triệu đô la, nhưng lại thiếu sót nghiêm trọng trong việc thẩm định khách hàng. Sau khi điều tra, VARA không chỉ thu hồi một khoản tiền phạt không được công bố mà còn bổ nhiệm một “Người có kỹ năng” (Skilled Person) độc lập để giám sát quá trình khắc phục, đảm bảo nền tảng này bổ sung các thiếu sót trong quản lý rủi ro trong vòng 3 tháng.

3.2 Rủi ro thứ hai: Vi phạm giấy phép và hoạt động - “Lái xe không giấy phép” là tổn thương chết người

Giải thích: Điều 15 của VARA “Luật số 4/2022” quy định rằng bất kỳ hoạt động VASP nào phải được cấp phép trước, nếu không có sự chấp thuận thì được coi là “kinh doanh bất hợp pháp”. ADGM yêu cầu phải đăng ký trước khi phát hành FRT, nếu không sẽ bị coi là hành vi vi phạm.

Phân tích trường hợp: VARA tiến hành “quét” tập thể 19 VASP

Vào đầu tháng 10 năm 2025, VARA đã tiến hành các hành động thi hành pháp luật đối với 19 nhà cung cấp dịch vụ thanh toán tiền điện tử và tài sản ảo hoạt động mà không có giấy phép, những công ty này chủ yếu liên quan đến việc chuyển khoản và hoạt động tiếp thị stablecoin liên quan đến PayFi, nhưng không có giấy phép VASP lại quảng bá dịch vụ tại Dubai. Một trong những doanh nghiệp điển hình bị cáo buộc vi phạm hoạt động trong nhiều tháng, thu hút hơn một nghìn người dùng lẻ. VARA đã ban hành lệnh ngừng hoạt động và đưa ra mức phạt từ 100.000 đến 600.000 AED (tổng cộng hơn 5 triệu AED), một số công ty còn phải chịu sự kiểm tra tuân thủ độc lập.

3.3 Rủi ro thứ tư: Quyền riêng tư dữ liệu và an ninh mạng - Đòn tấn công kép “Tin tặc + Rò rỉ”

Giải thích: Luật bảo vệ dữ liệu của DIFC (PDPL, 2021) yêu cầu PayFi phải có sự đồng ý để xử lý dữ liệu cá nhân và báo cáo bất kỳ sự cố an ninh dữ liệu nào. Quy tắc VARA FRVA bổ sung tiêu chuẩn khả năng phục hồi mạng: nền tảng phải trải qua kiểm tra thâm nhập để ngăn chặn DDoS. Mức phạt vi phạm lên đến AED 10 triệu.

Phân tích trường hợp: Cuộc khủng hoảng rò rỉ thông tin cá nhân trên nền tảng đăng ký DIFC

Vào giữa năm 2024, một nền tảng thanh toán FinTech đăng ký tại DIFC (bao gồm dịch vụ ví tiền điện tử) đã bị rò rỉ khoảng 50.000 dữ liệu người dùng do một cuộc tấn công lừa đảo qua mạng, bao gồm lịch sử giao dịch và thông tin KYC, dẫn đến các vụ lừa đảo tiếp theo xảy ra thường xuyên. Cơ quan DFSA đã điều tra và phát hiện rằng nền tảng này không bắt buộc xác thực đa yếu tố (MFA) và lưu trữ mã hóa, vi phạm nghĩa vụ báo cáo sự kiện dữ liệu theo Điều 28 PDPL. Nền tảng này bị phạt 4 triệu AED và bị yêu cầu ngừng hoạt động để cải cách trong 3 tháng, vụ kiện tập thể của người dùng càng làm gia tăng thiệt hại.

3.4 Rủi ro bốn: Trừng phạt và tuân thủ xuyên biên giới - “Địa chính trị” những “mìn” bất ngờ

Giải thích: CBUAE phối hợp với OFAC trong việc thực thi pháp luật, PayFi phải đảm bảo tuân thủ các lệnh trừng phạt cũng như triển khai việc chia sẻ và xác minh thông tin theo Quy tắc Du lịch.

Phân tích trường hợp: Phạt liên kết OFAC của Ngân hàng CBUAE

Vào tháng 7 năm 2025, CBUAE đã phạt một ngân hàng UAE không được nêu tên 3 triệu AED vì hệ thống thanh toán của ngân hàng này đã xử lý các giao dịch stablecoin liên quan đến khu vực có rủi ro cao (nghi ngờ liên quan đến Iran), không thực hiện kiểm tra OFAC và chia sẻ theo Quy tắc Du lịch, dẫn đến lỗ hổng tuân thủ xuyên biên giới. Kênh thanh toán tiền điện tử của ngân hàng này ban đầu được sử dụng cho các chuyển tiền hợp pháp tại MENA, nhưng đã bị điều tra do sự lỏng lẻo trong giám sát, một phần tài sản bị đóng băng, thời gian khắc phục kéo dài 6 tháng.

Hướng dẫn phòng ngừa rủi ro thực tiễn - Từ “Đối phó thụ động” đến “Bảo vệ chủ động”

Luật pháp không phải là xiềng xích, mà là lá chắn vững chắc cho sự phát triển lâu dài của hoạt động tuân thủ. Dựa trên các rủi ro nêu trên, các doanh nhân (nhà dự án) và nhà đầu tư (LP/VC) có những điểm nhấn khác nhau trong việc nhận diện và phòng ngừa rủi ro, đại khái như sau:

4.1 Khung phòng ngừa chung: Xây dựng “Vòng khép kín tuân thủ”

1. Khởi động đánh giá rủi ro: Thực hiện đánh giá tuân thủ và kiểm toán trước khi ra mắt/đầu tư, bao gồm tính bền vững của mô hình kinh doanh, kiểm soát rủi ro tuân thủ, an toàn công nghệ và các lĩnh vực quan trọng khác.

2. Nội hóa chính sách: lập sổ tay tuân thủ, triển khai đào tạo đội ngũ trước, hình thành văn hóa tuân thủ.

3. Năng lực công nghệ: Tích hợp các công cụ phân tích và giám sát trên chuỗi hiệu quả, tăng cường kiểm soát và giảm thiểu rủi ro.

4. Giám sát liên tục: Đánh giá hiệu quả toàn bộ quy trình nhận diện, giám sát và giảm thiểu rủi ro định kỳ và cập nhật nâng cao khi cần.

4.2 Dành cho các doanh nhân: Phương pháp năm bước để triển khai dự án

Bước 1: Lập kế hoạch đường đi cho phép

Đánh giá khu vực: Ví dụ như Dubai PayFi ưu tiên VARA.

Kế hoạch kinh doanh: Sử dụng cầu sandbox, chuyển sang giấy phép đầy đủ sau khi thử nghiệm.

Bước 2: Ba lớp phòng ngừa rủi ro tuân thủ

Xây dựng đội ngũ phù hợp với quy mô kinh doanh.

Sử dụng hệ thống thông tin để thực hiện giám sát rủi ro tự động.

Bước 3: Kiểm tra trừng phạt “Tường lửa”

Kiểm tra tuân thủ trừng phạt lần đầu và liên tục cho khách hàng hiện tại.

Cố gắng tránh xuất hiện các điểm kết nối có thể bị “quyền hạn dài” sử dụng và các rủi ro liên quan.

Bước 4: Dữ liệu và pháo đài an toàn

Áp dụng cấu hình bảo mật thông tin và bảo vệ dữ liệu tiêu chuẩn cao.

Thực hiện kiểm tra tính khả dụng của hệ thống và kiểm tra thâm nhập định kỳ, đảm bảo tuân thủ động.

4.3 Đối với nhà đầu tư: Hệ thống “Đèn giao thông” thẩm định

Nhà đầu tư đừng chỉ nhìn vào whitepaper - sự tuân thủ là chìa khóa của alpha (siêu lợi nhuận).

1. Sàng lọc ban đầu: Kiểm tra trạng thái cấp phép VARA hoặc các cơ quan quản lý khác qua các kênh chính thức. Đèn xanh: Có giấy phép đầy đủ; đèn đỏ: Chỉ có dự án tuyên bố có giấy phép.

2. Thẩm định sâu: Được thực hiện bởi các tổ chức chuyên nghiệp, xem xét các loại dữ liệu và báo cáo.

3. Phân cấp rủi ro: Đánh giá rủi ro đối với hình thức kinh doanh sản phẩm.

4. Cơ chế thoát: Hợp đồng nhúng các điều khoản kích hoạt tuân thủ (vi phạm sẽ bị thu hồi).

Tuân thủ quy định trước, cách tiếp cận của PayFi tại Trung Đông.

Trong khi kinh doanh PayFi tại Các Tiểu vương quốc Ả Rập Thống nhất phát triển nhanh chóng, nó đã bước vào giai đoạn quản lý có hệ thống và quy định. Vào năm 2025, Ngân hàng Trung ương Các Tiểu vương quốc Ả Rập Thống nhất và Cơ quan Quản lý Tài sản Ảo Dubai (VARA) đã lần lượt củng cố các cơ chế chống rửa tiền (AML/CFT) và phê duyệt giấy phép, đồng thời thông qua các trường hợp thực thi điển hình đã thiết lập ranh giới tuân thủ.

VARA đã thực hiện các hình phạt đối với nền tảng thanh toán tiền điện tử Fuze vào tháng 8 năm 2025 do những thiếu sót trong hệ thống chống rửa tiền, và vào tháng 10 cùng năm đã đồng loạt phạt 19 nhà cung cấp dịch vụ tài sản ảo hoạt động không có giấy phép, thể hiện thái độ không khoan nhượng của cơ quan quản lý đối với việc “kinh doanh không giấy phép” và những thiếu sót trong kiểm soát rủi ro. Những biện pháp này thể hiện định hướng rủi ro và nguyên tắc tỷ lệ của UAE trong lĩnh vực quản lý tài sản ảo, đồng thời cung cấp các ranh giới pháp lý có thể dự đoán cho khung tuân thủ của PayFi.

Trong tương lai, nếu các doanh nghiệp PayFi muốn hoạt động lâu dài tại Các Tiểu vương quốc Ả Rập Thống nhất, họ nên nộp đơn xin giấy phép và tích hợp cơ chế đánh giá tuân thủ ngay từ giai đoạn lập kế hoạch kinh doanh ban đầu, đảm bảo rằng các bước như nộp đơn xin giấy phép, thẩm định khách hàng, bảo vệ dữ liệu và kiểm tra lệnh trừng phạt đều tuân thủ các tiêu chuẩn địa phương và quốc tế.

Việc quản lý trở nên nghiêm ngặt không có nghĩa là hạn chế đổi mới, mà là xác lập niềm tin thị trường và an toàn tài chính bằng phương pháp pháp trị. Có thể dự đoán rằng, Các Tiểu vương quốc Ả Rập Thống nhất sẽ tiếp tục thúc đẩy hợp pháp hóa và minh bạch hóa hệ thống thanh toán tài sản ảo dưới nguyên tắc “đổi mới mở, quản lý thận trọng”, cung cấp con đường mẫu cho trật tự tài chính kỹ thuật số khu vực.