VARA pousse les entreprises cryptographiques de Dubaï à suivre les listes noires du GAFI, renforçant les contrôles de risque

Un régulateur de Dubaï remplace la conformité de base par des cadres rigoureux et basés sur les données. Les fournisseurs de services d’actifs virtuels doivent désormais utiliser des données commerciales quantitatives pour une évaluation des risques en temps réel plutôt que le suivi statique.

• Points clés :
• • VARA a publié des directives strictes en matière de LBC en 2026, exigeant des entreprises cryptographiques de Dubaï qu’elles utilisent des modèles de risque basés sur les données.
• • Les entreprises de cryptographie doivent maintenant mettre à jour leurs profils de risque au moins tous les 3 mois ou faire face à des actions réglementaires.
• • Les Émirats arabes unis attendent des responsables de la conformité qu’ils assument pleinement la responsabilité des risques liés à l’IA et aux transactions à l’avenir.

Un nouveau cadre exigeant des données quantitatives

L’Autorité de régulation des actifs virtuels de Dubaï (VARA) a publié de nouvelles directives visant à renforcer la lutte contre la criminalité financière dans le secteur en plein essor des actifs numériques de la région. S’appuyant sur les enseignements tirés lors de l’évaluation thématique des risques commerciaux de 2026 menée par l’organisme de régulation, ces directives soulignent l’accent stratégique des Émirats arabes unis (EAU) sur la suppression de toute faille restante que des acteurs malveillants pourraient exploiter dans ses écosystèmes cryptographiques.

Dans le cadre du nouveau dispositif, les entreprises cryptographiques opérant à Dubaï doivent maintenir une évaluation des risques commerciaux entièrement documentée et basée sur les données, intégrant des données commerciales quantitatives dans des modèles de notation des risques quotidiens. Les règles exigent que les fournisseurs de services d’actifs virtuels cartographient et évaluent en permanence les zones de danger, telles que le profil spécifique de leur clientèle. Les fournisseurs doivent évaluer les expositions géographiques, y compris une intégration stricte et immédiate des pays à haut risque et figurant sur la liste noire du Groupe d’action financière (GAFI).

Les directives obligent à actualiser l’évaluation des risques à intervalles réguliers ne dépassant pas trois mois, ou immédiatement en cas de changement majeur dans la structure opérationnelle ou la gamme de produits. Elles imposent également de séparer l’évaluation des risques liés au financement de la prolifération et aux sanctions financières ciblées, plutôt que de les regrouper dans une lutte contre le blanchiment d’argent généralisée.

Les entreprises doivent documenter formellement et prendre en compte les risques liés aux outils émergents, en mettant particulièrement en évidence les opérations habilitées par l’intelligence artificielle (IA) et les transactions renforçant l’anonymat. Elles doivent également démontrer à l’autorité de régulation que leurs conclusions dictent directement l’allocation des ressources et l’application quotidienne des règles de conformité.

En adoptant ce cadre, les autorités des EAU montrent un virage, passant d’une approche purement punitive à une gestion active et systématique des risques. En clarifiant ces normes, l’autorité s’attend à ce que les responsables de la conformité, les cadres supérieurs et les membres du conseil soient pleinement conscients des notes de risque résiduelles de leur entreprise.

Notamment, ces directives agissent comme un miroir opérationnel des évolutions fédérales plus larges aux EAU, telles que les évaluations nationales des risques récemment publiées. Pour les entreprises cryptographiques, le message des régulateurs est clair : l’innovation continuera d’être fortement soutenue, mais uniquement si elle est appuyée par une intégrité financière vérifiée par des données de classe mondiale.