Лицензирование платежных сервисов в ОАЭ: когда нужна лицензия Центрального банка

Когда платежному бизнесу нужна лицензия CBUAE

Если компания в ОАЭ принимает, обрабатывает, переводит, агрегирует или хранит платежи клиентов, ей нужно проверить, попадает ли ее деятельность под регулирование Центрального банка ОАЭ. Регистрация в свободной зоне сама по себе не освобождает от требований CBUAE, если услуги фактически оказываются на территории ОАЭ или клиентам в ОАЭ.

Особенно внимательно должны проверять свою модель payment aggregators, merchant acquirers, wallet providers, remittance platforms, embedded finance providers, marketplaces, payroll platforms, apps with stored balances и компании, которые помогают клиентам переводить средства между счетами или платежными инструментами.

Кому это актуально

Материал актуален для финтех-стартапов, платежных посредников, e-commerce платформ, SaaS-сервисов с платежной функцией, групп с marketplace-моделью, иностранных PSP, которые выходят на рынок ОАЭ, а также инвесторов, покупающих долю в платежном бизнесе.

Ключевой вопрос: является ли компания только технологическим поставщиком или фактически оказывает регулируемую платежную услугу. Если компания контролирует платежный поток, принимает средства, инициирует перевод или хранит value, риск лицензирования становится значительно выше.

Девять регулируемых платежных услуг

Регулируемый периметр может охватывать выпуск платежных счетов, выпуск платежных инструментов, merchant acquiring, payment aggregation, domestic money transfer, cross-border money transfer, payment token services и другие услуги, связанные с движением средств или платежных данных.

Названия услуг и их технические границы нужно проверять по актуальным правилам CBUAE. На практике одна бизнес-модель может включать сразу несколько регулируемых услуг. Например, marketplace может одновременно заниматься payment aggregation, merchant settlement и хранением средств до выплаты продавцу.

Категории лицензий

CBUAE использует лицензионные категории, которые зависят от набора услуг, масштаба деятельности и уровня риска. Чем ближе компания находится к клиентским средствам, платежной инфраструктуре и трансграничным переводам, тем выше требования к капиталу, governance, risk management и compliance.

Нельзя выбирать категорию только по минимальному капиталу. Если фактическая деятельность шире заявленной лицензии, компания может столкнуться с enforcement, проблемами с банками и ограничением операций.

Что изменили реформы 2025 года

Изменения 2025 года усилили внимание к платежным сервисам, цифровым платежам, токенизированным платежным моделям, AML-контролю и защите пользователей. Для компаний это означает необходимость пересмотреть лицензии, договоры, customer terms, safeguarding arrangements, outsourcing, cybersecurity и reporting.

Если бизнес уже работает в ОАЭ, важно не ждать истечения переходного периода. Регуляторная проверка, подготовка документов и диалог с банками могут занять значительное время.

Процесс подачи на лицензию

Обычно подготовка включает анализ business model, выбор категории лицензии, подготовку бизнес-плана, финансовых прогнозов, policy documents, AML framework, governance structure, risk controls, technology architecture, information security controls и документов по акционерам.

Регулятор также будет смотреть на опыт руководства, MLRO, compliance officer, outsourcing arrangements, operational resilience, customer complaints procedure, source of funds и то, есть ли у компании реальное присутствие и управленческая способность в ОАЭ.

Постоянные compliance-обязанности

Получение лицензии не завершает процесс. PSP должен поддерживать AML и sanctions screening, transaction monitoring, safeguarding of customer funds, complaint handling, reporting, cybersecurity controls, outsourcing oversight, data protection и внутренний audit.

Слабые процедуры могут привести к штрафам, ограничениям, требованию remediation plan или отзыву лицензии. Для директоров и senior management важно понимать, что regulatory compliance становится постоянной управленческой обязанностью.

Payment token services и stored value

Если бизнес использует токены, электронные кошельки, предоплаченные балансы или stored value facilities, нужно проверить дополнительные режимы. Даже если услуга выглядит как loyalty, wallet или prepaid feature, она может затрагивать регулирование stored value или payment token services.

Особую осторожность требуют модели с crypto-assets, stablecoins, tokenized payments и cross-border settlement. Здесь может пересекаться регулирование CBUAE, VARA, DIFC или ADGM в зависимости от структуры.

DIFC и ADGM

DIFC и ADGM имеют отдельные финансовые регуляторы и собственные периметры. Однако если компания, зарегистрированная в свободной зоне, фактически обслуживает клиентов на материковой территории ОАЭ, нужно проверить, не требуется ли лицензия CBUAE или иное разрешение.

Выбор свободной зоны не должен быть попыткой обойти регулирование. Правильнее заранее определить клиентский рынок, payment flow и regulatory touchpoints.

Что платежным компаниям стоит сделать сейчас

• разобрать фактический платежный поток по шагам;
• определить, кто держит клиентские средства и кто инициирует платеж;
• проверить, какие услуги попадают в регулируемый периметр;
• оценить категорию лицензии и капитал;
• подготовить AML, safeguarding, cybersecurity и outsourcing policies;
• проверить договоры с банками, merchants, vendors и пользователями;
• оценить сроки подачи и transition risk.

Практический вывод

Платежный бизнес в ОАЭ нельзя запускать только на основании обычной коммерческой лицензии без regulatory assessment. Если компания участвует в движении денег или хранении value, требования CBUAE могут применяться даже при технологической упаковке продукта.

Kayrouz & Associates помогает payment service providers, финтех-компаниям, marketplaces и инвесторам оценивать лицензионные требования CBUAE, готовить документы и выстраивать compliance-структуру в ОАЭ.