Bagaimana Membuat "Perusahaan Pembayaran Stablecoin" Beroperasi Secara Legal dan Sesuai Regulasi di Singapura: Sebuah Daftar Periksa yang Dapat Dilaksanakan oleh Pendiri

Penulis: Pengacara Yang Qi

Stablecoin semakin banyak digunakan oleh perusahaan untuk penyelesaian, pembayaran lintas batas, pengelolaan dana, dan pembayaran B2B. Tetapi di Singapura, 「menggunakan stablecoin untuk pembayaran」 sering kali bukan hanya masalah produk semata, melainkan sebuah proyek komprehensif yang melibatkan batasan regulasi + AML/CFT anti pencucian uang + manajemen risiko teknologi.

Artikel ini menjelaskan inti jalur tersebut dengan pendekatan 「pengusaha dapat melaksanakan」: pertama jelaskan model bisnis Anda dengan jelas, lalu bangun sistem perizinan dan kepatuhan, sehingga secara signifikan dapat mengurangi risiko pelanggaran dan biaya perbaikan di masa mendatang.

Catatan: Artikel ini bersifat berbagi informasi umum dan tidak merupakan nasihat hukum. Kesimpulan kepatuhan akhir tergantung pada proses transaksi Anda, jenis pelanggan, aliran dana / token, dan metode pengendalian.

1. Langkah paling penting: 「Gambarkan」 bisnis Anda

Sebelum membahas langkah implementasi spesifik, mohon pemimpin bisnis terlebih dahulu buat satu halaman diagram aliran dana / token (Flow), minimal menjawab pertanyaan berikut:

• Siapa pelanggan Anda: individu / merchant / bidang usaha tertentu atau perusahaan industri?
• Apakah Anda memegang atau mengendalikan stablecoin pelanggan (penyimpanan, kontrol kunci pribadi, hak multi-tanda)?
• Apakah Anda melakukan pertukaran fiat↔stablecoin atau stablecoin↔stablecoin?
• Apakah Anda memfasilitasi transfer (A ke B, penerimaan merchant, pembayaran perusahaan)?
• Pelanggan di Singapura atau luar negeri? Apakah 「menyediakan layanan di Singapura untuk pelanggan luar negeri」?
• Apakah Anda penerbit stablecoin atau hanya menggunakan stablecoin pihak ketiga (misalnya USDC/USDT)?

Diagram Flow ini menentukan aktivitas regulasi apa yang akan Anda aktifkan dan sistem kepatuhan apa yang Anda perlukan.

2. Penilaian lisensi: Sebagian besar pembayaran stablecoin akan berada dalam kerangka PSA (mungkin juga melibatkan FSMA)

Di Singapura, bisnis pembayaran stablecoin biasanya berada dalam lingkup pengawasan 「Payment Services Act」 (PSA), terutama terkait layanan Token Pembayaran Digital (DPT) seperti transfer, pertukaran, penyimpanan. Selain itu, jika Anda menyediakan layanan token digital dari Singapura ke pelanggan luar negeri, mungkin juga memicu persyaratan terkait FSMA.

Model bisnis umum dan 「potensi titik pemicu regulasi」

• Penerimaan merchant + penyelesaian / clearing stablecoin: biasanya memicu layanan terkait DPT; jika melibatkan penerimaan, transfer, remitansi lintas batas, juga bisa menambah jenis layanan pembayaran PSA lainnya.
• Dompet / penyimpanan (Anda mengendalikan kunci pelanggan): biasanya dianggap sebagai salah satu titik risiko tinggi (terutama jika Anda mengendalikan kunci pribadi atau hak transfer).
• OTC / pertukaran / matching: umumnya memicu layanan terkait DPT.
• Penerbit stablecoin sendiri: bagaimana memicu masuk ke dalam 「kerangka pengawasan penerbit」, tingkat kepatuhan jauh lebih tinggi.

Saran praktis: jangan mulai dari 「saya ingin mengajukan lisensi jenis apa」, tetapi dari 「aktivitas apa yang saya lakukan yang memerlukan regulasi」. Penilaian regulasi selalu melihat substansi transaksi.

3. Jika Anda ingin menerbitkan stablecoin: tentukan terlebih dahulu apakah akan mengikuti jalur 「Pengawasan Stablecoin MAS」

Jika Anda tidak hanya menggunakan stablecoin yang ada, tetapi berencana menerbitkan stablecoin sendiri, jalur kepatuhan akan berbeda total. Biasanya Anda harus memenuhi persyaratan yang lebih ketat (misalnya aset cadangan, mekanisme penebusan, pengungkapan informasi, audit dan pengendalian risiko operasional).

Kesimpulan sederhananya:

• Tidak menerbitkan: fokus pada sistem kepatuhan 「DPT / penyedia layanan pembayaran」 (terutama AML dan risiko teknologi).
• Ingin menerbitkan: Anda harus mengikuti kerangka penerbit untuk mengelola 「cadangan, penebusan, audit, pengungkapan, tata kelola」 secara institusional.

4. Pilar Kepatuhan 1: AML/CFT (Harus dilakukan seperti lembaga keuangan)

Dalam bisnis terkait stablecoin / token digital, AML dan pencegahan pendanaan terorisme (CFT) adalah bagian pertama yang diawasi.

Anda setidaknya harus memiliki sistem 「yang dapat diimplementasikan」 berikut:

1. Penilaian risiko di tingkat perusahaan (EWRA)

• Risiko produk, risiko pelanggan, risiko wilayah, risiko saluran
• Pelanggan mana yang harus dilakukan due diligence lebih mendalam (EDD)? Mana yang harus ditolak?

2. Due diligence pelanggan (KYC/CDD/EDD)

• Identifikasi dan verifikasi identitas, identifikasi benefisial nyata (misalnya pelanggan perusahaan)
• Pemeriksaan sanksi dan PEP (figur publik politik)
• Aturan pemicu risiko tinggi (misalnya anonimitas, struktur kompleks, wilayah sensitif)

3. Pemantauan transaksi dan penanganan transaksi mencurigakan (STR)

• Aturan / skenario pemantauan (misalnya pemecahan transaksi berulang, masuk/keluar cepat, alamat terkait yang tidak biasa)
• Manajemen kasus dan mekanisme eskalasi: siapa yang menyelidiki, siapa yang menyetujui, bagaimana membuktikan jejaknya
• Pelatihan karyawan dan review tahunan / audit independen

4. Analisis on-chain / penilaian risiko dompet (disarankan segera dilakukan)

• Apakah 「dengan kekuatan hukum」 tergantung model bisnis, tetapi dari sudut operasional, pelacakan dana on-chain dan penilaian risiko alamat semakin mendekati 「standar industri」, terutama saat melayani industri berisiko tinggi, melakukan lintas batas, atau menyediakan fungsi penyimpanan / transfer.

5. Pilar Kepatuhan 2: Kepatuhan pemasaran — Jangan jadikan diri Anda 「iklan kripto yang ditujukan untuk umum」

Di Singapura, promosi layanan token digital memiliki perhatian regulasi yang jelas. Banyak tim gagal bukan karena produk, tetapi karena 「cara promosi」: pemasaran besar-besaran ke publik, melebih-lebihkan keuntungan, mereduksi risiko, mengarahkan partisipasi umum, semuanya sangat sensitif.

Strategi yang lebih aman biasanya:

• Prioritas B2B (merchant, perusahaan, institusi)
• Saluran yang 「lebih profesional」: konferensi industri, pertemuan tertutup, rujukan mitra, pemasaran konten tertarget
• Pengungkapan risiko yang jelas: jangan 「meringkas secara berlebihan」, jangan 「mengklaim keuntungan pasti」, jangan 「menjamin modal」

Singkatnya: Anda bisa tumbuh, tetapi jangan gunakan 「narasi spekulatif」 untuk menarik pelanggan baru.

6. Pilar Kepatuhan 3: Risiko teknologi, keamanan penyimpanan, dan manajemen outsourcing (TRM + Outsourcing)

Perusahaan pembayaran stablecoin adalah gabungan 「keuangan + perangkat lunak」. Regulasi akan menilai apakah Anda memiliki kemampuan pengelolaan risiko teknologi tingkat institusi, terutama:

1. Pengelolaan dompet dan kunci (Custody / Key Management)

• Pemisahan hak akses, mekanisme persetujuan, multi-tanda / otorisasi berlapis
• Log seluruh rantai dan auditabilitas
• Verifikasi dua orang / otorisasi multi pihak untuk operasi penting

2. Keamanan jaringan dan respons insiden

• Manajemen kerentanan, pengujian penetrasi, patch dan konfigurasi
• Rencana dan latihan respons insiden (tabletop exercise)
• Cadangan, pemulihan, keberlanjutan bisnis (BCP)

3. Manajemen vendor / outsourcing (sangat penting) Anda kemungkinan akan mengoutsourcing-kan layanan ke penyedia cloud, vendor KYC, alat analisis on-chain, infrastruktur dompet, dll. Regulasi akan menilai:

• Due diligence dan penilaian risiko vendor
• Ketentuan kontrak (hak audit, perlindungan data, pembatasan subkontrak, mekanisme keluar)
• Alternatif dan rencana darurat vendor utama

7. Pilar Kepatuhan 4: Perlindungan data pribadi (PDPA)

Selama Anda melakukan KYC, mengumpulkan informasi pelanggan, transaksi, perangkat, maka akan melibatkan kewajiban terkait PDPA Singapura. Disarankan memulai dari dua langkah 「biaya rendah, manfaat tinggi」:

• Menunjuk DPO (penanggung jawab perlindungan data) dan membangun saluran kontak eksternal
• Membuat peta data: apa yang dikumpulkan, tujuannya, disimpan di mana, dengan siapa dibagikan, berapa lama disimpan

8. Rencana aksi pendiri: Day 0 → Day 90

Day 0–15: Jelaskan batasan secara jelas

Gambarkan diagram aliran dana / token (Flow)

Tentukan apakah Anda menyimpan, menukar, mentransfer, pelanggan di SG atau luar negeri

Awali dengan penilaian 「aktivitas yang memicu regulasi」

Day 15–45: Bangun kerangka kepatuhan

AML/CFT: penilaian risiko, CDD/EDD, proses pemantauan dan STR

Risiko teknologi: dompet / kunci, baseline keamanan, respons insiden

Manajemen outsourcing: due diligence vendor + kontrak + rencana keluar

PDPA: DPO, kebijakan privasi, pengelolaan data dan akses

Day 45–90: Jadikan kepatuhan 「dapat dioperasikan」

Implementasikan alat screening dan monitoring, buat manajemen kasus dan dokumentasi

Selesaikan pelatihan karyawan, mekanisme pelaporan kepatuhan, mekanisme pemeriksaan internal

Susun paket lisensi / persiapan kepatuhan (struktur tata kelola, kebijakan, arsitektur, proses, jejak bukti)

Penutup: Kepatuhan bukan 「biaya」, tetapi adalah ambang batas agar bisnis Anda bisa besar dan bertahan lama

Pembayaran stablecoin bisa dilakukan dengan cepat, tetapi kepatuhan harus lebih cepat. Pastikan batasan regulasi, AML, dan risiko teknologi dilakukan dengan kokoh, bisnis Anda akan lebih mudah mendapatkan kerjasama institusional, lolos due diligence, dan lebih mampu 「bertahan saat pemeriksaan penting」.