Como fazer com que uma «empresa de pagamentos com stablecoins» opere legal e compliant em Singapura: uma lista prática para fundadores

Escrito por: Advogado Yang Qi

As stablecoins estão a ser cada vez mais utilizadas por empresas para liquidações, pagamentos transfronteiriços, gestão de fundos e pagamentos B2B. Mas em Singapura, 「usar stablecoins para pagamentos」 muitas vezes não é apenas uma questão de produto, mas um projeto complexo que envolve limites regulatórios + AML/CFT (antissuborno e combate ao financiamento do terrorismo) + gestão de riscos tecnológicos.

Este artigo explica de forma 「praticável para empreendedores」 o caminho central: primeiro, esclareça o modelo de negócio, depois, implemente o sistema de licenças e conformidade, assim reduz significativamente o risco de violar regras e os custos de ajustes futuros.

Aviso: Este artigo fornece informações gerais e não constitui aconselhamento jurídico. A conformidade final depende do seu fluxo de transações, tipo de cliente, circulação e controle de fundos / tokens.

1. Faça primeiro o passo mais importante: 「desenhe」 o seu negócio

Antes de discutir etapas específicas, os responsáveis pelo negócio devem criar uma página com o fluxo de circulação de fundos / tokens, respondendo pelo menos às seguintes perguntas:

Quem são seus clientes: indivíduos / comerciantes / empresas de setores específicos?

Você possui ou controla os stablecoins dos clientes (custódia, controle de chaves privadas, permissões multiassinatura)?

Você realiza trocas entre moeda fiduciária ↔ stablecoin ou entre stablecoins?

Você facilita transferências (A para B, recebimento de comerciantes, pagamentos empresariais)?

Os clientes estão em Singapura ou no exterior? Você oferece 「serviços em Singapura para clientes no exterior」?

Você é um 「emissor de stablecoins」 ou apenas usa stablecoins de terceiros (como USDC/USDT etc.)?

Esta página de fluxo determinará quais atividades regulatórias você ativará e qual sistema de conformidade precisará implementar.

2. Avaliação de licenças: a maioria dos pagamentos com stablecoins se enquadra na estrutura PSA (possivelmente envolvendo FSMA)

Em Singapura, negócios de pagamento com stablecoins geralmente estão sob a supervisão da 「Lei de Serviços de Pagamento」 (PSA), especialmente atividades relacionadas a 「Tokens de Pagamento Digital」 (DPT), como transferência, troca, custódia, etc. Além disso, se você fornecer serviços de tokens digitais para clientes no exterior a partir de Singapura, pode ativar requisitos sob a FSMA.

Modelos de negócio comuns e 「pontos potenciais de ativação regulatória」

Recebimento de comerciantes + liquidação / compensação com stablecoins: geralmente ativam serviços relacionados a DPT; se envolver aquisição, transferências ou remessas internacionais, podem acrescentar outros tipos de serviços de pagamento PSA.

Carteira / Custódia (você controla as moedas do cliente): normalmente considerado um ponto de risco elevado (especialmente se você controla chaves privadas ou permissões de transferência).

OTC / troca / matching: geralmente ativam serviços relacionados a DPT.

Emissão de sua própria stablecoin: como isso ativa a discussão de 「regulamentação do emissor」, a conformidade será significativamente mais rigorosa.

Conselho prático: não comece pensando 「qual licença quero solicitar」, mas sim 「quais atividades reguladas estou realizando」. A avaliação regulatória sempre depende da essência da transação.

3. Se você vai emitir stablecoins: decida primeiro se quer seguir o caminho de 「regulação pelo MAS」

Se você não apenas usa stablecoins existentes, mas planeja emitir a sua própria, a rota de conformidade será completamente diferente. Normalmente, você precisará atender a requisitos mais rigorosos (como reservas de ativos, mecanismos de resgate, divulgação de informações, auditoria e controle de riscos operacionais).

A conclusão é simples:

Se não emitir: foque na conformidade de 「DPT / provedores de serviços de pagamento」 (especialmente AML e riscos tecnológicos).

Se for emitir: deve estruturar 「reservas, resgates, auditorias, divulgação, governança」 de forma institucionalizada, seguindo o quadro de 「emissor」.

4. Pilar de conformidade 1: AML/CFT (deve ser feito como uma instituição financeira)

No contexto de stablecoins / tokens digitais, ** AML e combate ao financiamento do terrorismo (CFT) ** são as primeiras áreas que a regulação observa.

Você deve estabelecer um sistema 「prático」 que inclua:

1. Avaliação de risco a nível empresarial (EWRA)

Risco de produto, risco de cliente, risco de região, risco de canal

Quais clientes precisam de due diligence aprofundada (EDD)? Quais devem ser rejeitados?

2. Due diligence de clientes (KYC/CDD/EDD)

Identificação e verificação de identidade, identificação do beneficiário final (como clientes empresariais)

Verificação de sanções e PEP (pessoas politicamente expostas)

Regras de ativação de risco elevado (por exemplo, anonimato, estruturas complexas, regiões sensíveis)

3. Monitoramento de transações e gestão de transações suspeitas (processo STR)

Regras / cenários de monitoramento (por exemplo, fragmentação frequente, entradas e saídas rápidas, endereços relacionados anormais)

Gestão de casos e mecanismos de escalonamento: quem investiga, quem aprova, como manter a cadeia de provas

Treinamento de funcionários e revisões anuais / auditoria independente

4. Análise on-chain / pontuação de risco de carteiras (recomendado implementar cedo)

Se é 「obrigatório por lei」 depende do modelo de negócio, mas na prática, rastreamento de fundos na blockchain e avaliação de risco de endereços estão se tornando padrão do setor, especialmente se você atende setores de alto risco, faz transações transfronteiriças ou oferece funções de custódia / transferência.

5. Pilar de conformidade 2: Conformidade de marketing — não se torne uma 「publicidade cripto para o público geral」

Em Singapura, há atenção regulatória clara na divulgação de serviços relacionados a tokens digitais. Muitas equipes não falham pelo produto, mas sim pela 「forma de promoção」: marketing em grande escala ao público, exagero de ganhos, minimização de riscos, incentivo à participação do público, tudo isso é altamente sensível.

A abordagem mais segura geralmente é:

Priorizar B2B (comerciantes, empresas, instituições)

Canais mais 「profissionais」: conferências do setor, reuniões fechadas, indicações de parceiros, marketing de conteúdo direcionado

Divulgação clara de riscos: não 「minimize os riscos」, não 「prometa ganhos garantidos」, não 「garanta retorno」

Resumindo: você pode crescer, mas não use 「narrativas de especulação」 para atrair clientes.

6. Pilar de conformidade 3: Riscos tecnológicos, segurança de custódia e terceirização (TRM + Outsourcing)

Empresas de pagamento com stablecoins são uma combinação de 「finanças + software」. A regulação avalia se você possui capacidade de gestão de riscos tecnológicos a nível institucional, especialmente:

1. Gestão de carteiras e chaves (Custódia / Gestão de Chaves)

Separação de permissões, mecanismos de aprovação, multiassinatura / autorização em camadas

Logs de toda a cadeia e auditabilidade

Dupla verificação / autorização de operações críticas

2. Segurança de rede e resposta a incidentes

Gestão de vulnerabilidades, testes de penetração, patches e configurações

Planos de resposta a incidentes e exercícios simulados

Backup, recuperação e continuidade de negócios (BCP)

3. Gestão de fornecedores / terceirização (especialmente importante) Você provavelmente terceirizará para provedores de nuvem, fornecedores de KYC, ferramentas de análise on-chain, infraestrutura de carteiras, etc. A regulação observará:

Due diligence e avaliação de risco dos fornecedores

Cláusulas contratuais (direitos de auditoria, proteção de dados, restrições de subcontratação, mecanismos de saída)

Planos de contingência e alternativas para fornecedores críticos

7. Pilar de conformidade 4: Proteção de dados pessoais (PDPA)

Sempre que você realiza KYC, coleta informações de clientes, transações ou dados de dispositivos, estará sujeito às obrigações do PDPA de Singapura. Recomenda-se iniciar com duas ações de 「baixo custo e alto retorno」:

Designar um DPO (Responsável pela Proteção de Dados) e estabelecer canais de contato externo

Criar um mapa de dados: o que coleta, para que usa, onde armazena, com quem compartilha, por quanto tempo mantém

8. Plano de ação para fundadores: Day 0 → Day 90

Day 0–15: Primeiro, esclareça os limites

Desenhe claramente o fluxo de fundos / tokens (Flow)

Decida se faz custódia, troca, transferência, se os clientes estão em SG ou no exterior

Faça uma avaliação preliminar de quais atividades reguladas você realiza

Day 15–45: Monte a estrutura de conformidade

AML/CFT: avaliação de risco, CDD/EDD, monitoramento e processo STR

Riscos tecnológicos: carteira / chaves, linha de base de segurança, resposta a incidentes

Gestão de terceirização: due diligence de fornecedores + cláusulas contratuais + planos de saída

PDPA: DPO, política de privacidade, retenção de dados e controle de acesso

Day 45–90: Faça a conformidade operacional

Implemente ferramentas de triagem e monitoramento, crie gestão de casos e registros

Complete treinamentos de funcionários, mecanismos de relatórios de conformidade, inspeções internas

Organize documentação de licenças / pacotes de conformidade (estrutura de governança, políticas, arquitetura, processos, cadeia de provas)

Conclusão: conformidade não é 「custo」, mas uma barreira para crescer e manter-se no mercado

Pagamentos com stablecoins podem ser rápidos, mas a conformidade deve ser ainda mais ágil. Fortaleça os limites regulatórios, AML e gestão de riscos tecnológicos, assim seu negócio terá mais facilidade para parcerias institucionais, passar nas avaliações e resistir a inspeções em momentos críticos.