С 16 сентября 2025 года в ОАЭ действует новая редакция закона о Центральном банке — Federal Decree-Law No. 6 of 2025. Регулируемым организациям дан один переходный год. Дедлайн приведения деятельности в соответствие — 16 сентября 2026 года. До него остаётся около двух месяцев.
Что именно поменял Federal Decree-Law No. 6 of 2025
Новый закон заменяет сразу два прежних акта: Federal Decree-Law No. 14 of 2018 (прежний Central Bank Law) и Federal Decree-Law No. 48 of 2023 (Insurance Decree-Law). Впервые под одной рамкой оказались банкинг, страхование, платежи и financial market infrastructures — раньше эти сегменты жили по разной логике надзора.
Главный сдвиг — расширение регуляторного периметра. Article 62 (Emerging Technologies) прямо включает virtual assets, DeFi-протоколы, stablecoins, tokenized real-world assets, децентрализованные биржи, цифровые кошельки, bridges и вспомогательную blockchain-инфраструктуру. API-провайдеры, технологические партнёры и децентрализованные платформы теперь попадают в надзор CBUAE, если их активность соответствует критериям licensed financial activity.
Отдельная точка — принцип function over form. Закон закрепляет: если деятельность по сути является лицензируемой финансовой, регулирование применяется независимо от технологии, формы или медиума. Как отмечают юристы White & Case, это закрывает лазейку «мы не банк, мы протокол» — суть операции важнее её обёртки.
Кого закон затрагивает — и в каком объёме
Список получателей широкий и однородный по нагрузке. Под требования подпадают банки, страховые компании, PSPs (payment service providers), exchange houses, финансовые компании, VASPs, цифровые банки, финтех-инфраструктура, tech-enablers, API-операторы, DeFi-платформы, эмитенты stablecoin.
Ключевое изменение — категории, ранее находившиеся в «серой зоне», теперь прямо под CBUAE. Fintech-инфраструктура, поставщики API, протоколы DeFi, платёжные сервисы поверх виртуальных активов — все они попадают в периметр, если их работа поддерживает или напрямую реализует licensed financial activity. По оценке Norton Rose Fulbright, эффект будет ощутим не только для держателей лицензий, но и для их технологических партнёров, чей стек участвует в предоставлении финансовой услуги.
Отдельная новая категория — payment services через virtual assets. Она выделена как самостоятельная Licensed Financial Activity и согласована с CBUAE Payment Token Services Regulations. Для эмитентов stablecoin и операторов кошельков это означает необходимость чёткого позиционирования — либо статус, либо перестройка бизнес-модели.
Штрафы: пятикратный рост и что это меняет
Максимальный административный штраф по новому закону вырос с 200 млн AED (около $54,5 млн) до 1 млрд AED (около $272,3 млн). Этот потолок распространяется на лицензированные финансовые институты в случае нарушения требований закона. Для unlicensed financial activity закон предусматривает отдельный трек санкций: административный минимум 1 млн AED за продвижение финансовой деятельности без лицензии и криминальная ответственность — штраф от AED 50 тыс. до 500 млн AED и/или лишение свободы. Пятикратный рост потолка — не декоративное ужесточение. Это переоценка риск-профиля целых бизнес-моделей.
Работа без лицензии в «серой» логике теперь экономически несовместима с любой стратегией масштабирования: одно решение регулятора способно закрыть проект и его материнскую структуру. Юристы Paul Hastings формулируют это прямо: перенос unlicensed-риска на уровень отчёта совета директоров стал обязательной практикой. Отдельно детализацию санкционных треков разбирает Addleshaw Goddard.
Что успеть сделать до 16 сентября 2026 года — чек-лист
Практическая часть — что регулируемой организации стоит закрыть до дедлайна. Совет: работать по чек-листу и не откладывать пункты, где нужна коммуникация с CBUAE. Сроки согласования у регулятора конечны.
1. Переоценить лицензионный периметр. Проверить, не появилась ли в деятельности активность, которая по-новому квалифицируется как licensed financial activity. Особенно — если в стеке есть работа с виртуальными активами, API-интеграции с финансовыми функциями, tokenization или DeFi-компоненты.
2. Обновить governance framework. Совет директоров, комитеты по рискам, риск-аппетит, полномочия compliance-функции. Новый закон требует чёткого распределения ответственности за regulated activities, включая технологические.
3. Сверить AML/CFT-политики. Расширение списка licensed activities автоматически расширяет периметр AML/CFT. Политики, процедуры, KYC-модели и мониторинг транзакций нужно привести к новому определению — до, а не после первой инспекции.
4. Проверить контракты с tech-провайдерами и API-партнёрами. Если технологический партнёр выполняет функцию, попадающую под Article 62, распределение ответственности должно быть отражено в договоре. Юристы Ashurst подчёркивают: outsourcing-контракты — одна из самых уязвимых точек в переходный период.
5. Работаете с виртуальными активами — согласуйте позиционирование. Payment Token Services Regulations и Article 62 задают требования к активности через virtual assets. Позиция «мы не оказываем финансовую услугу, мы обеспечиваем инфраструктуру» больше не работает по умолчанию — нужна аргументация под function over form.
6. При неопределённости — pre-application meeting в CBUAE. Закон закрепляет 60-дневный SLA на решение по лицензионным заявкам. Формат pre-application работает и для консультационных вопросов: если статус деятельности неоднозначен, лучше уточнить его до дедлайна.
Отдельный сценарий — если compliance к 16 сентября 2026 года объективно невозможен. Article 184 оставляет за CBUAE право продлить переходный период. Право, а не обязанность: обращение за extension нужно подать заранее и с аргументацией, а не постфактум.
Что даёт новый закон бизнесу, планирующему setup в ОАЭ
Для тех, кто выходит на рынок ОАЭ с регулируемой моделью, реформа — скорее преимущество. Раньше регуляторный арбитраж между CBUAE, DFSA (DIFC), FSRA (ADGM) и VARA (Dubai) создавал зоны неопределённости и лишний слой юридической подготовки. Теперь у CBUAE появилась предсказуемая рамка: единый закон, 60-дневный SLA на лицензионное решение, risk-based capital rules, ясные критерии периметра.
По оценке Gibson Dunn, консолидация правил снижает стоимость входа для зрелых игроков — тех, кто заранее готов к institutional-grade governance и понятной риск-модели. Для стартапов и tech-enablers сигнал тот же: рынок ОАЭ становится более требовательным, но одновременно — предсказуемым. Дорожная карта видна.
Если структура вашего бизнеса пересекается с новыми определениями Article 62 или если вы только формируете модель регулируемого фининститута в UAE, Garant Business Consultancy DMCC готов помочь разобраться с периметром и построить план приведения деятельности в соответствие до 16 сентября 2026 года.


