A VARA de Dubai publica novas regras de regulação de cripto: VASP deve atualizar avaliações de risco trimestralmente, com exigência obrigatória de aprovação do conselho de administração

A Autoridade de Regulação de Ativos Virtuais de Dubai (VARA) publicou, em 12 de junho, o “Guia de Boas Práticas para a Avaliação de Riscos de Atividade de VASP para AML/CFT”, exigindo de forma explícita que todos os prestadores de serviços de ativos virtuais licenciados (VASP) concluam, a cada três meses, uma revisão de Avaliação de Riscos de Atividades (BRA) de AML/CFT e que isso seja formalmente aprovado pelo Conselho (ou órgão de governança equivalente) — apenas a aprovação da alta administração não atende ao requisito.

Obrigações legais da BRA confirmadas pela Seção III.D da VARA

De acordo com as exigências legais confirmadas pela Seção III.D do “Manual de Regras de Conformidade e Gestão de Riscos da VARA”:

Intervalo máximo de revisão: não superior a três meses (Rule III.D.3)

Atualização por grandes mudanças: qualquer grande mudança em áreas listadas na Rule III.D.2 deve ser atualizada imediatamente

Obrigação de validação de eficácia: o VASP deve comprovar perante a VARA que os resultados da BRA orientam diretamente a formulação e a atualização de políticas, procedimentos, sistemas e controles de AML/CFT (Rule III.D.4)

Escopo: a BRA deve refletir as atividades específicas do VASP, base de clientes, cadeias de produtos, distribuição geográfica e o ambiente de ameaças refletido na Avaliação Nacional de Riscos (NRA) dos Emirados Árabes Unidos

Confirmação da VARA: a aprovação apenas pela alta administração não fornece um desafio independente equivalente nem responsabilização de governança; a BRA deve ser formalmente aprovada pelo Conselho, com registro da data específica de aprovação e do conteúdo das discussões ou desafios substantivos realizados pelo Conselho.

Modelo de três linhas de defesa e exigência de titularidade pelo MLRO

Exigências de governança confirmadas pelo guia da VARA:

Primeira linha de defesa: a função de Compliance e a função do MLRO são responsáveis pela preparação e pela titularidade do conteúdo da BRA

Segunda linha de defesa: a função de riscos ou o Conselho fornece um desafio independente

Terceira linha de defesa: auditoria interna valida de forma independente a metodologia da BRA e a eficácia dos controles; se a capacidade de auditoria interna for limitada, essa função pode ser delegada a uma parte externa independente para executar o trabalho com base no ciclo de risco

O guia também confirma: a revisão temática de BRA da VARA para 2026 adotará uma abordagem dupla — questionário estruturado (cobrindo oito grandes temas, incluindo governança e responsabilização da alta administração, escopo e metodologia, fontes de dados e base de evidências, etc.) e análise regulatória detalhada dos documentos de BRA submetidos pelos VASP.

Exigências de metodologia de avaliação quantitativa e integração de dados

Requisitos de metodologia de boas práticas confirmados pelo guia da VARA:

Estrutura de pontuação quantitativa: utilizar matriz de pontuação numérica (tipicamente uma escala de probabilidade e consequência em cinco níveis); a eficácia dos controles usa uma pontuação definida em múltiplos níveis; a pontuação de categorias individuais de risco é consolidada na classificação geral de risco da BRA por meio de mapa de calor registrado

Exigência de integração de dados: deve incluir a distribuição das classificações de risco de clientes, dados de alertas de monitoramento de transações, tendências e volumes de STR/SAR, resultados de triagem de sanções, volume de transações por produto e distribuição geográfica, e exposição em jurisdições de alto risco

Fontes de referência externas: a NRA dos Emirados Árabes Unidos, a lista de jurisdições de alto risco da FATF, relatórios de tipologias da FATF, diretrizes da MENAFATF e documentos de análise estratégica da UAE FIU devem ser citados explicitamente na BRA

Perguntas frequentes

Com que antecedência, no máximo, é necessário concluir uma atualização trimestral da BRA exigida pela VARA?

Com base na Seção III.D.3 do “Manual de Regras de Conformidade e Gestão de Riscos da VARA”, o intervalo de revisão da BRA não pode exceder três meses (ou seja, pelo menos uma vez por trimestre). Além disso, se houver grandes mudanças na área prevista na Rule III.D.2, independentemente de quanto tempo tenha se passado desde a última revisão, a atualização deve ser feita imediatamente.

Por que a aprovação da BRA apenas pela alta administração não atende aos requisitos da VARA?

De acordo com o guia da VARA, o papel central do Conselho é fornecer um desafio independente às conclusões do MLRO (especialmente a classificação de risco residual, as premissas de eficácia dos controles e a suficiência do arcabouço de apetite por risco). A aprovação apenas pela alta administração não consegue fornecer um nível de desafio independente ou responsabilização de governança com a mesma qualidade, portanto não atende ao requisito.

A revisão temática da BRA da VARA cobre todos os VASP licenciados?

De acordo com a explicação do guia, a VARA realiza regularmente revisões temáticas de BRA para todos os VASP licenciados, em uma base de abrangência setorial, adotando uma abordagem dupla: questionário estruturado (cobrindo oito áreas temáticas) e análise regulatória detalhada dos documentos de BRA submetidos pelos VASP. Este guia foi publicado justamente com base nas observações regulatórias da revisão temática de BRA de 2026.