AML в ОАЭ ужесточается: риски для бизнеса в 2026

AML compliance в ОАЭ стал жестче, поскольку ОАЭ несколько лет подряд системно перестраивали AML/CFT-контур — не на уровне лозунгов, а на уровне процедур, ответственности и измеримого контроля. В основе — риск-ориентированный подход (Risk-Based Approach, RBA): регуляторы ожидают, что бизнес не просто «имеет политику», а умеет доказуемо управлять риском от онбординга клиента до мониторинга операций и подачи STR/SAR (Suspicious Transaction Report / Suspicious Activity Report).

При этом важен контекст «после серого списка». Факт, что ОАЭ больше не находятся под усиленным мониторингом FATF, не означает снижение внимания; это означает переход к режиму «удержания качества» — постоянное подтверждение устойчивости системы и зрелости практики на уровне отраслей и конкретных компаний.

Юридический фундамент давно сформирован: базовый федеральный закон об AML/CFT (Federal Decree-Law No. 20 of 2018) и подзаконная рамка/внедрение через постановления Кабинета министров (включая Implementing Regulation — Cabinet Decision No. 10 of 2019).

Именно поэтому «ужесточение» в 2025–2026 чаще проявляется не как появление новых принципов, а как переход надзора в практическую плоскость: проверяют качество исполнения и «следы» (audit trail), а не наличие файлов.

Кто под ударом: DNFBP UAE и почему фокус на real estate, corporate services и accounting

В терминологии ОАЭ и FATF ключевые сегменты «повышенного интереса» часто лежат в периметре DNFBP UAE (Designated Non-Financial Businesses and Professions). Логика простая: это «ворота», через которые удобно скрывать UBO (Ultimate Beneficial Owner), источник средств (Source of Funds), источник благосостояния (Source of Wealth), а также экономический смысл операций — особенно там, где сделки крупные, международные и с усложнёнными цепочками.

Недвижимость (real estate)

Сделки крупные, иногда кросс-бордер, часто с многоступенчатыми платежами и посредниками. Здесь типовой набор AML-рисков: покупка «на третьих лиц», цепочки компаний, переоценка/недооценка объектов, нетипичные источники средств, давление «закрыть сделку быстро» и «не задавать вопросов».

Corporate service providers / corporate admins (часто ближе всего к TCSP-логике)

Эти провайдеры фактически «конструируют» юридическую оболочку бизнеса: структуры владения, директоров, адреса, полномочия, подготовку к банковскому онбордингу. Ошибка на этом этапе превращается в токсичную структуру на годы — и дальше проблему будут «видеть» банки, комплаенс-офицеры и надзор.

Бухгалтеры и аутсорс (accounting / outsourced finance)

Бухгалтерия видит первичку, контрагентов, регулярность и маршруты платежей — то есть «фактическую экономику». В AML-смысле это один из сильнейших ранних датчиков: бухгалтер чаще заметит несостыковку раньше, чем банк (у банка обычно фрагменты), и раньше, чем регулятор (у него выборочные проверки).

Что именно считается compliance-обязанностями: «заводские настройки», которые проверяют

Ниже — не теория, а то, что обычно «спрашивают глазами инспектора». Важно: регулятору мало слов «у нас всё есть». Нужны документы, логи, решения, подтверждения проверок.

1) Risk-Based Approach (RBA): риск-оценка не «для галочки»

RBA — это когда у вас есть понятная модель: какие клиенты/страны/сделки для вас риск-фактор, какие «красные флаги» вы признаёте, кто и как принимает решение по High Risk, и как вы документируете исключения. В зрелой модели одинаковая проверка для всех выглядит не как осторожность, а как отсутствие управления: вы либо перегружаете низкий риск, либо недопроверяете высокий.

2) KYC / CDD / EDD: кого вы реально обслуживаете

Минимальный устойчивый контур — это идентификация клиента и представителя, верификация UBO, понимание цели отношений/сделки, а также Source of Funds / Source of Wealth там, где риск это оправдывает. Параллельно — санкционные и PEP-проверки (Politically Exposed Person) с фиксацией результата и даты.

3) Ongoing monitoring: «проверили на входе и забыли» больше не работает

Типовой провал — в том, что профиль клиента меняется, а внутри компании ничего не меняется: клиент был Low Risk, затем меняется география, контрагенты, обороты, назначение платежей — но пересмотра риска нет. Для регулятора это прямой сигнал слабого контроля.

4) STR/SAR и принцип «сигнализации»

Для DNFBP важна логика: вы не расследователь и не суд. Но вы — «сигнализация». Увидели нетипичное/подозрительное, задокументировали, эскалировали и подали в установленном порядке (часто через FIU-процессы/системы, в т.ч. goAML — в зависимости от вашей категории и канала).

Что меняется в 2025–2026: от «папки политик» к проверке качества и доказательств

Даже когда формальная рамка давно существует, рынок обычно ощущает «ужесточение» в двух местах.

Во-первых, усиливается практика публичных или квази-публичных мер воздействия, особенно на финансовом периметре: надзор демонстрирует, что санкции применяются не «в теории». Это влияет на DNFBP косвенно, потому что банк/платёжная инфраструктура начинают требовать больше доказательств AML-качества от клиентов и провайдеров.

Во-вторых, проверки смещаются в «операционку»: вас просят показать не документ, а процесс. Кто утвердил риск-классификацию? Какие high-risk кейсы вы отклоняли? Где журнал обучения и проверка понимания? Как выглядит audit trail по онбордингу? Что вы делаете, когда видите red flags?

Red flags, которые чаще всего «всплывают» именно в этих трёх сферах

Я намеренно оставлю чек-лист коротким, но «злым» — это те сигналы, на которые стоит настроить внутренний контроль.

Для real estate

Если плательщик не совпадает с выгодоприобретателем, а объяснение «просто так удобно» ничем не подкреплено — это красный флаг. Туда же: третьи лица в оплате, дробление платежей, «пустые» назначения, давление «быстрее закрыть», отказ раскрывать UBO, отсутствие прозрачного Source of Funds при крупной покупке.

Для corporate services / admins

Когда клиент просит «всё сразу»: директор, адрес, доверенности, бенефициар «где-то там», а бизнес-модель объясняет туманно — это типовая зона риска. Отдельный маркер — структура создаётся под обход (банка/санкций/ограничений), даже если это звучит намёками.

Для бухгалтерии и аутсорса

Платежи без договорной логики, регулярные расходы без первички, резкие скачки оборотов «на ровном месте», контрагенты, которые не вписываются в бизнес-модель, и инвойсы, которые выглядят как маскировка вывода средств — это те вещи, которые бухгалтер видит первым.

Практический план на 30 дней: как подготовиться к AML-проверкам без имитации

Шаг 1. Экспресс AML audit / gap assessment (буквально за 2–4 часа)

Цель — честно ответить себе, где вы «не готовы доказать». Есть ли актуальная AML-политика? Есть ли риск-оценка и матрица red flags? Назначен ли ответственный (AML Compliance Officer / MLRO — как применимо), и что он реально делает? Как устроен onboarding: какие документы вы берёте и что храните как доказательство?

Шаг 2. Соберите audit-ready «доказательную базу»

Проверки ломают не компании без слов, а компании без следов. Вам нужны чек-листы KYC/EDD, отчёты/скриншоты санкций/PEP, протоколы решений «почему приняли/почему отказали», журнал обучения сотрудников, кейсы мониторинга (что было red flag и что вы сделали). Если вы не можете это показать — для инспектора это означает, что «этого не было».

Шаг 3. Привяжите AML к коммерции, иначе он не живёт

Если sales/админы воспринимают AML как тормоз, они начнут обходить процесс. Рабочая рамка для собственника звучит прагматично:

AML = фильтр качества клиента + защита банковской проходимости + защита собственника и лицензии.

Когда команда понимает, что AML защищает выручку и банковские отношения, сопротивление резко падает.

Как это влияет на собственника компании в ОАЭ в 2026

Если свести к одной фразе: AML compliance в ОАЭ становится частью «стоимости нормального бизнеса» — на одном уровне с бухгалтерией и налоговой дисциплиной. И это особенно чувствуют те, кто работает на потоке клиентов, быстро строит структуры или ведёт «админ-сопровождение по доверенности» без погружения в экономику операций.

Хорошая новость в том, что в 2026 выигрывает не тот, у кого «толще папка политик», а тот, у кого процесс простроен и доказуем. Плохая — в том, что рынок перестал прощать «формальность»: если вы DNFBP-сегмент или рядом с ним, вас всё чаще будут оценивать не по словам, а по качеству контроля и способности показать следы.