A VARA de Dubai publica novas regras de regulação das criptomoedas: os VASP devem atualizar trimestralmente as avaliações de risco, com exigência de aprovação do conselho de administração

A Autoridade de Regulação de Ativos Virtuais do Dubai (VARA) publicou, a 12 de junho, as «Guidelines on Good Practices for AML/CFT Business Risk Assessments for VASPs», exigindo de forma clara que todos os Provedores de Serviços de Ativos Virtuais licenciados (VASP) concluam, de três em três meses, uma revisão da sua avaliação de risco de AML/CFT (BRA) e que a mesma obtenha aprovação formal do Conselho (ou de um órgão de governação equivalente) — a aprovação apenas por gestão de topo não cumpre os requisitos.

Obrigações legais de BRA confirmadas pela Parte III.D da VARA

De acordo com as exigências legais confirmadas pela Parte III.D do «Manual de Regras de Conformidade e Gestão de Riscos da VARA»:

Intervalo máximo de revisão: não exceder três meses (Rule III.D.3)

Atualização desencadeada por alterações materiais: quaisquer alterações materiais nos domínios enumerados na Rule III.D.2 devem ser atualizadas imediatamente

Obrigação de validação de efetividade: o VASP deve demonstrar à VARA que os resultados da BRA orientam diretamente a elaboração e atualização de políticas, procedimentos, sistemas e controlos de AML/CFT (Rule III.D.4)

Âmbito: a BRA deve refletir as atividades concretas do VASP, base de clientes, gama de produtos, distribuição geográfica, bem como o ambiente de ameaças refletido na avaliação nacional de risco (NRA) dos EAU

Confirmação da VARA: a aprovação apenas pela gestão de topo não pode proporcionar um desafio independente equivalente nem assegurar responsabilidade de governação; a BRA deve ser formalmente aprovada pelo Conselho, com registo das datas específicas de aprovação e do conteúdo substancial das deliberações ou desafios efetuados pelo Conselho.

Modelo das Três Linhas de Defesa e confirmação das exigências de titularidade do MLRO

Exigências de arquitetura de governação confirmadas pelas guidelines da VARA:

Primeira linha de defesa: conformidade e a função de MLRO responsáveis pela preparação da BRA e pela titularidade do respetivo conteúdo

Segunda linha de defesa: função de risco ou o Conselho a fornecer um desafio independente

Terceira linha de defesa: auditoria interna validando de forma independente a metodologia da BRA e a eficácia dos controlos; se a capacidade da auditoria interna for limitada, pode ser delegada a execução desta função a uma parte externa independente, em ciclos baseados no risco

As guidelines confirmam também: a revisão temática da BRA da VARA para 2026 adota uma abordagem dupla — questionário estruturado (cobrindo oito grandes temas, incluindo governação e responsabilização da gestão de topo, âmbito e metodologia, fontes de dados e base de evidências, etc.) e uma análise regulamentar detalhada dos documentos de BRA submetidos pelos VASP.

Requisitos confirmados para metodologia de avaliação quantitativa e integração de dados

Requisitos de metodologia de boas práticas confirmados pelas guidelines da VARA:

Quadro de pontuação quantitativa: utilização de uma matriz de pontuação numérica (tipicamente uma escala de probabilidade e de consequências de cinco níveis); eficácia dos controlos usando uma pontuação definida em múltiplos níveis; a pontuação de categorias individuais de risco é consolidada num nível de risco geral da BRA através de um mapa de calor agregado e registado

Requisitos de integração de dados: deve incluir a distribuição das classificações de risco dos clientes, dados de alertas de monitorização de transações, tendências e quantidade de STR/SAR, resultados de triagem para sanções, volume de transações por produto e distribuição geográfica, e exposição em jurisdições de alto risco

Fontes externas de referência: a NRA dos EAU, a lista de jurisdições de alto risco da FATF, os relatórios de tipologias da FATF, as guidelines da MENAFATF e documentos de análise estratégica do UAE FIU devem ser explicitamente citados na BRA

Perguntas frequentes

A atualização trimestral da BRA exigida pela VARA, qual é o prazo máximo para concluir uma vez?

Nos termos da Rule III.D.3 do «Manual de Regras de Conformidade e Gestão de Riscos da VARA», o intervalo de revisão da BRA não pode exceder três meses (ou seja, pelo menos uma vez por trimestre). Além disso, se ocorrerem alterações materiais nos domínios enumerados na Rule III.D.2, independentemente de quanto tempo tenha decorrido desde a última revisão, a atualização deve ser feita imediatamente.

Porque é que a aprovação da BRA apenas pela gestão de topo não cumpre os requisitos da VARA?

De acordo com as guidelines da VARA, o papel central do Conselho é fornecer um desafio independente às conclusões do MLRO (em particular, a classificação de risco residual, as suposições sobre a eficácia dos controlos e a suficiência do enquadramento da apetência pelo risco). A aprovação apenas pela gestão de topo não consegue proporcionar um desafio independente com a mesma qualidade nem responsabilização de governação; por isso, não cumpre os requisitos.

A revisão temática da BRA da VARA abrange todos os VASP licenciados?

Conforme explicado nas guidelines, a VARA realiza periodicamente revisões temáticas da BRA para todo o conjunto de VASP licenciados, cobrindo o setor, adotando uma abordagem dupla: questionário estruturado (cobrindo oito domínios temáticos) e uma análise regulatória detalhada dos documentos de BRA submetidos pelos VASP. Esta guideline foi publicada com base nas observações regulatórias da revisão temática da BRA de 2026.