ESR отменён, ОАЭ ушли с двух «серых» списков, VARA переписал крипто-правила, а исполнительный регламент к закону о персональных данных всё ещё не вышел. Разбираем без глянца, что из этого меняет модель бизнеса.
Регуляторная картина Эмиратов в 2026 году — не про «ужесточение вообще». Она про смещение: часть старых правил ушла, часть переехала внутрь корпоративного налога, часть — только на подходе. Кто читает бизнес-климат Эмиратов по агентским лендингам двухлетней давности, рискует готовиться к отчётности, которую уже отменили. Или наоборот — проспать реальные требования, зашитые в новый режим QFZP.
Ниже — карта того, за чем реально стоит следить, если у вас DMCC-компания, free zone-структура, финтех-подразделение или планируется релокация.
Что случилось с Economic Substance Regulations — их правда отменили?
Да. Постановлением Кабинета министров № 98 от 2024 года ESR больше не применяется к финансовым периодам, начинающимся с 1 января 2023 года. Документ опубликован в Official Gazette 16 сентября 2024 года.
Это не либерализация «просто так». Логика в другом: с введением корпоративного налога 9% substance-требования переехали внутрь налогового режима — плодить параллельную отчётность стало бессмысленно. Федеральная налоговая служба (FTA) объявила, что:
- нотификации и отчёты ESR за периоды с 1 января 2023 года подавать не нужно;
- административные штрафы за несоблюдение ESR по периодам, заканчивающимся после 31 декабря 2022 года, аннулированы;
- уплаченные штрафы за эти периоды подлежат возврату.
Периоды 2019–2022 остаются под старым режимом — если компания что-то не досдала за те годы, вопросы к ней сохраняются.
Тонкий момент, о котором забывают. Отмена ESR не отменяет substance как концепцию. Она отменяет отдельный отчётный контур.
Куда «переехали» требования по substance?
В правила Qualifying Free Zone Person под корпоративным налогом. Именно они теперь решают, останется ли ставка 0% на квалифицируемый доход у free zone-компании — или её пересчитают по общей ставке 9%.
Что это значит на языке практики:
- юридического адреса недостаточно — нужен реальный офис в free zone, соразмерный масштабу;
- сотрудники должны физически работать из зоны, а не с ноутбука из другой юрисдикции;
- операционные расходы должны соответствовать характеру заявленной деятельности;
- с 2025 года у QFZP появилась обязанность аудита финансовой отчётности — «нарисовать» substance задним числом не получится.
Цена ошибки высокая. Провал хотя бы одного критерия в конкретном налоговом периоде — потеря статуса QFZP на пять лет: текущий период плюс следующие четыре. Без частичного зачёта и без пропорционального смягчения.
| Что было (до 2023) | Что стало (с 2023–2026) |
|---|---|
| Отдельная ESR-отчётность в Минфин | Отдельная ESR-отчётность отменена |
| Штрафы за несоблюдение ESR | Штрафы за периоды после 31.12.2022 аннулированы |
| Substance проверялся точечно | Substance зашит в критерии QFZP под корпналогом |
| Аудит для free zone — не всегда | С 2025 аудит для QFZP — обязательный |
Практический сдвиг: substance перестал быть галочкой для комплаенс-отдела. Он стал условием сохранения нулевой ставки — то есть темой для CFO и собственника.
Что реально изменилось в AML после выхода ОАЭ с «серых» списков?
23 февраля 2024 года ОАЭ вышли из grey list FATF, а 9 июля 2025 года Европарламент утвердил снятие ОАЭ с EU high-risk list. Оба события — не косметика: они меняют режим работы европейских банков и корреспондентов с эмиратскими клиентами.
Что за этим стоит фактически. ОАЭ реализовали все 15 рекомендаций FATF, а в follow-up отчёте 2024 года 39 из 40 рекомендаций получили статус «compliant» или «largely compliant». Между июлем и октябрём 2024 года были приостановлены лицензии 32 местных золотоперерабатывающих заводов — им предъявили 256 нарушений по части AML. Регулятор действительно работает, а не имитирует.
Что это значит для обычной компании:
- европейские банки больше не обязаны применять enhanced due diligence к клиентам из ОАЭ автоматически — торговля ОАЭ с ЕС становится операционно проще;
- зато внутренний AML-контроль стал жёстче, особенно в DNFBP-секторах (недвижимость, драгметаллы, юрфирмы, корпоративные провайдеры);
- KYC/UBO по бенефициарам — не формальность. Проверки Центрального банка и MOEC стали регулярными.
Deloitte и AO Shearman в обзорах 2025 года прямо пишут: снижение статуса не означает снижение требований — оно означает, что теперь их проверяют по-настоящему. Это не пугалка, это операционная реальность.
PDPL уже работает, но исполнительный регламент до сих пор не вышел — что делать?
Федеральный закон о защите персональных данных (Decree-Law No. 45 of 2021) действует с января 2022 года, а executive regulations на начало 2026 года всё ещё не опубликованы. После публикации у компаний будет 6 месяцев на приведение процессов в соответствие.
Ситуация парадоксальная. Обязательства по закону есть — а деталей исполнения нет. Юрфирмы (DLA Piper, Chambers) сходятся: ждать регламента и ничего не делать — плохая стратегия. Базовые вещи закон описал уже сейчас.
Что сегодня трогать точно стоит:
- реестр обработки персональных данных;
- согласия и правовые основания для каждого потока данных;
- политики хранения и удаления;
- Data Processing Agreements с подрядчиками (маркетинг-инструменты, CRM, облака);
- уведомления об инцидентах — процедура должна быть, даже если пока негде подавать.
Отдельный слой — DIFC и ADGM. У обоих финансовых центров свои режимы защиты данных (DIFC Data Protection Law No. 5 of 2020, ADGM Data Protection Regulations 2021), которые ближе к GDPR и уже полноценно работают. Компания с холдингом в DIFC и операционкой в mainland живёт под двумя параллельными режимами одновременно — это стоит закладывать в юридическую архитектуру, а не «прикрутить потом».
Что VARA изменил для крипто-бизнеса в 2025-м — и как это читать в 2026-м?
19 мая 2025 года дубайский регулятор VARA опубликовал версию 2.0 своих Rulebooks; для действующих VASP полное соответствие требовалось к 19 июня 2025 года. Обновление коснулось всех двенадцати rulebook'ов одновременно — рынок такого масштабного пересмотра ждал.
Ключевые сдвиги:
- Новая категория активов — ARVA (Asset-Referenced Virtual Assets). Это виртуальные активы, привязанные к реальным активам (RWA-токены). Для их эмиссии теперь нужна лицензия VARA — так же как для FRVA (fiat-referenced).
- Обязательный wind-down plan для каждого VASP. Независимо от того, планирует ли компания уходить с рынка. План должен быть — и обновляться.
- Пересмотр капитальных требований. Порог активности, при котором применяются повышенные требования к капиталу, привязан к годовому доходу (VARA использует ориентир 700 000 AED вместо прежнего порога по денежным средствам 500 000 AED — точные суммы смотрите в актуальной версии Rulebook, они пересматриваются).
- Ужесточение market abuse и STR. Стандарты рыночного поведения и требования к отчётам о подозрительных операциях синхронизированы с международной практикой.
Про RWA стоит сказать отдельно. Токенизация реальных активов — недвижимость, доли фондов, сырьевые контракты — тема, которую ОАЭ явно продвигают. Появление ARVA как категории означает, что регулятор рассматривает RWA не как эксперимент, а как рынок с прогнозируемой инфраструктурой. Для эмитентов это плюс к предсказуемости и минус к «партизанским» схемам.
Ещё один слой, о котором забывают. Помимо VARA, крипто-деятельность в ОАЭ регулируют Central Bank UAE (по стейблкоинам и платежам), SCA (на федеральном уровне), FSRA в ADGM и DFSA в DIFC. Юрисдикцию выбирают под тип активности, а не по «где дешевле». В нашей практике консультирования именно этот вопрос — «под какого регулятора вставать» — определяет структуру, налоги и, честно говоря, срок выхода на рынок.
Как это всё вместе меняет бизнес-климат Эмиратов?
Регуляторный периметр стал зрелее и жёстче в деталях, но проще в общей архитектуре — меньше параллельных отчётностей, больше значимой substance. Экономика ОАЭ на этом фоне не «упрощается» — она перестаёт быть «лёгким» рынком в старом смысле и становится нормальным международным.
Три вывода, которые мы бы вынесли в первую очередь:
- Free zone-структура без substance больше не работает. Если у компании нет реального офиса, людей и OPEX в зоне — 0% QFZP не сохранить. Это не угроза «когда-нибудь», это правило текущего налогового периода.
- AML — не бумажка, а KYC-инфраструктура. Особенно для DNFBP. Проверки идут, лицензии отзывают. Смотреть на это как на «требования на будущее» — опоздать.
- Data governance стоит начинать сейчас, не дожидаясь регламента. Когда он выйдет, шесть месяцев на приведение процессов улетят быстро — особенно если данные разбросаны по SaaS-сервисам без реестра.
Деловые новости ОАЭ за последние два года читаются одинаково: страна выравнивается по международным стандартам, чтобы снять ограничения на капитал и торговлю. Регуляторное давление внутри — часть этой сделки.
Чеклист: что проверить в компании прямо сейчас
- Corporate Tax + QFZP. Есть ли аудитор на 2025 год? Подтверждён ли substance (офис, сотрудники, OPEX) в free zone? Не смешан ли квалифицируемый и неквалифицируемый доход?
- ESR. Закрыты ли обязательства за 2019–2022? Периоды после 1 января 2023 — не подаём, ничего.
- AML/KYC. Актуален ли реестр UBO? Есть ли рабочая процедура STR? Обучение сотрудников проводится?
- PDPL. Есть ли реестр обработки данных? Проверены ли DPA с ключевыми подрядчиками? Актуальны ли политики хранения?
- VARA / крипта. Если деятельность попадает под виртуальные активы — соответствует ли лицензия обновлённому Rulebook 2.0? Есть ли wind-down plan?
- Data — DIFC/ADGM. Если структура включает финансовый центр — применён ли правильный режим (Federal PDPL vs DIFC/ADGM)?
Практический совет из наблюдений в консалтинге DMCC: не решать эти вопросы «в порядке очереди по срокам». Они связаны. Substance под QFZP тянет за собой аудит, аудит открывает вопросы к AML, AML — к data governance. Разобраться параллельно дешевле, чем последовательно тушить каждый по отдельности.
Материал подготовлен редакцией garant.consulting. Издатель — Garant Business Consultancy DMCC, Дубай.


