Как получить VARA лицензию для крипто-биржи: пошаговый процесс

VARA — единственный регулятор виртуальных активов в Дубае и один из немногих в мире, кто создал специализированную лицензионную систему именно для VASP. В отличие от Европы, где MiCA требует получения разрешения в каждой стране ЕС, VARA даёт единый доступ к рынку ОАЭ — 10-миллионной экономике с высочайшей концентрацией состоятельных клиентов.

При VARA лицензировании биржи получают юрисдикцию с нулевым налогом на прибыль, растущим GCC-рынком и регуляторной определённостью: VARA Rulebook прямо указывает требования, что исключает размытые трактовки. Конкуренты — Бахрейн (CBB), Сингапур (MAS), Швейцария (FINMA) — предъявляют сопоставимые или более высокие требования, но не дают доступа к ОАЭ-рынку.

Важное ограничение: VARA выдаёт лицензии исключительно для деятельности на территории Дубая — за пределами DIFC. Компании в DIFC и ADGM регулируются отдельными финансовыми регуляторами (DFSA и FSRA соответственно) и получают лицензии по иным правилам.

Для полноценной крипто-биржи с возможностью торговли, маркет-мейкинга и ведением собственного ордербука необходима лицензия на Exchange Services. Это принципиально иной вид деятельности по сравнению с Broker-Dealer, который лишь исполняет клиентские ордера на сторонних площадках. Подробнее о структуре FMP лицензии Exchange Services — на соответствующей странице.

Большинство полноценных бирж подают заявку на Exchange + Custody одновременно: это позволяет хранить активы клиентов на балансе биржи без привлечения стороннего кастодиана. Суммарный капитал при совмещении не складывается — применяется наибольший из требуемых порогов.

Процесс лицензирования Exchange Services — нелинейный: VARA может возвращать документы на доработку, запрашивать дополнительные материалы или назначать встречи на любом этапе. Ниже — типовой путь при грамотно подготовленной заявке.

VARA предъявляет детальные технические требования к крипто-биржам — значительно строже, чем к другим видам VASP-деятельности. Технический аудит и cybersecurity framework должны быть готовы до подачи полного пакета документов.

• Cybersecurity Framework (ISO 27001 / NIST CSF)

  Задокументированная система управления информационной безопасностью. VARA принимает ISO 27001 или NIST Cybersecurity Framework. Требуется назначение CISO с регистрацией в VARA.
• Penetration Testing от аккредитованной компании

  Независимое тестирование на проникновение: black-box и white-box. Отчёт не должен содержать критических уязвимостей уровня Critical или High без задокументированного плана устранения.
• Hot/Cold Wallet разделение (минимум 95% в cold storage)

  VARA требует хранить не менее 95% клиентских активов в cold storage. Hot wallet должен иметь мультисиг-защиту. Полный аудит wallet-инфраструктуры с документированием ключевого управления.
• Business Continuity Plan (BCP) и Disaster Recovery Plan (DRP)

  Детальный план обеспечения непрерывности работы при инцидентах: Recovery Time Objective (RTO), Recovery Point Objective (RPO), процедуры восстановления. BCP должен ежегодно тестироваться.
• Incident Response Policy и процедура уведомления VARA

  Задокументированный порядок реагирования на инциденты кибербезопасности. VARA должен быть уведомлён о критических инцидентах в течение 24 часов с момента обнаружения.
• Мониторинг транзакций в реальном времени + Travel Rule

  Интегрированная система on-chain аналитики (Chainalysis, Elliptic или аналог) и Transaction Monitoring Programme. Travel Rule-решение для переводов от AED 3 500 обязательно с первого дня работы.
• Data Residency в ОАЭ

  Персональные данные клиентов и транзакционные записи должны храниться на серверах, физически расположенных в ОАЭ, или в облачных решениях с UAE data residency (AWS UAE, Azure UAE North и др.).
• Листинг-политика и процедура делистинга активов

  Задокументированные критерии листинга токенов на бирже, процедура due diligence по каждому активу, порядок делистинга. VARA вправе запретить листинг отдельных активов.

VARA проводит многоуровневую проверку не только документов, но и реальных людей, стоящих за компанией. Ниже — пять ключевых блоков оценки, на которых сосредоточено большинство вопросов регулятора.

Лицензирование Exchange Services — наиболее сложный трек VARA, требующий одновременной работы по корпоративному, юридическому, compliance и техническому направлениям. Мы координируем все четыре потока, чтобы не было ситуации «документы готовы, но технический аудит ещё не начат».

• Стратегия и структурирование — определяем оптимальный набор видов деятельности (Exchange + Custody или только Exchange), выбираем корпоративную структуру под требования VARA
• Полный документальный пакет — бизнес-план, финансовая модель, AML/KYC политики, операционные процедуры — всё в формате, принятом VARA
• MLRO и CISO as a Service — предоставляем квалифицированных специалистов с регистрацией в VARA на период лицензирования и после
• Технический аудит — организуем penetration testing и cybersecurity review через аккредитованных партнёров, контролируем закрытие выявленных уязвимостей
• Прямая коммуникация с VARA — представляем интересы клиента во всех запросах регулятора, готовим ответы и дополнительные материалы. Свяжитесь с нами для оценки вашего проекта

• Какой капитал нужен для VARA Exchange лицензии?

  Минимальный уставной капитал для Exchange Services составляет AED 7 000 000 (~$1 900 000). Это самый высокий порог среди всех видов VASP-деятельности VARA. Капитал должен быть полностью оплачен, находиться на счёте компании в UAE-банке и подтверждён аудиторским заключением. При совмещении с Custody (AED 750 000) применяется наибольший из порогов — то есть AED 7 000 000.

• Можно ли получить VARA лицензию для DEX?

  Этот вопрос остаётся открытым в рамках текущего VARA Rulebook. VARA регулирует VASP-деятельность применительно к централизованным субъектам. Для полностью децентрализованных протоколов без центрального оператора однозначной лицензионной рамки пока нет. Если ваш DEX имеет централизованный интерфейс или компанию-оператора — это может попадать под Exchange Services. Рекомендуем проконсультироваться с VARA напрямую или через регуляторного советника.

• Сколько времени занимает VARA лицензирование для биржи?

  5–9 месяцев — реалистичный срок при полностью готовом пакете документов. Разбивка: 2–4 недели на регистрацию компании, 4–8 недель на первичную заявку, 6–10 недель на подготовку полного пакета, 4–8 недель на технический аудит, 4–8 недель на финальное рассмотрение. Каждый раунд запросов от VARA добавляет 2–4 недели. Неполный или шаблонный пакет удваивает срок.

• Нужен ли технический аудит платформы для VARA?

  Да, для Exchange Services независимый технический аудит обязателен. Он включает penetration testing (black-box и white-box), аудит wallet-инфраструктуры и проверку Business Continuity Plan. Аудит должен проводиться аккредитованной компанией по кибербезопасности — не самостоятельно. Итоговый отчёт предоставляется в VARA как часть полного документального пакета. Наличие критических уязвимостей без задокументированного плана устранения является основанием для отказа.

• Можно ли совместить Exchange и Custody в одной VARA лицензии?

  Да. VARA позволяет совмещать несколько видов VASP-деятельности в одной лицензии. Exchange + Custody — стандартная комбинация для полноценных бирж, позволяющая хранить клиентские активы без привлечения стороннего кастодиана. Требования к капиталу не суммируются: применяется наибольший из требуемых порогов (AED 7 000 000 для Exchange). Государственные сборы начисляются отдельно по каждому виду деятельности.