MiCA pod lupou: „Máme pobočku v EU“ nestačí: Tady je to, co regulátoři skutečně chtějí vidět

MiCA Decoded je 12dílná týdenní série pro Bitcoin.com News, jejíž spoluautory jsou spoluzakladatelé a výkonní ředitelé společnosti LegalBison: Aaron Glauberman, Viktor Juskin a Sabir Alijev. LegalBison poskytuje poradenství kryptoměnovým a fintechovým společnostem v oblasti licencí MiCA, žádostí o CASP a VASP a regulační struktury v celé Evropě i mimo ni.

Článek tohoto týdne napsal Krystian Lapka, právník ve společnosti LegalBison. Krystian se specializuje na přeshraniční korporátní a obchodní transakce a na strategické řízení rizik na pomezí občanského a zvykového práva.

---

Většina zakladatelů, kteří se chystají podat svou první žádost o CASP, chápe, alespoň abstraktně, že MiCA vyžaduje skutečnou přítomnost v EU. Co však podceňují, je to, jak regulátor definuje pojem „skutečná“.

Typické uspořádání v rané fázi vypadá na papíře koherentně: sídlo v příznivé jurisdikci EU, ředitel jmenovaný v řídících dokumentech, ICT systémy hostované v cloudu nebo spravované z globální infrastruktury skupiny a splacený kapitál uložený na nově otevřeném bankovním účtu.
Z vnitřního pohledu to vypadá jako společnost v EU. Z pohledu vnitrostátního příslušného orgánu to však může vypadat jako schránka s připojeným ředitelem.

Tento článek mapuje, co požadavky MiCA na reálnou přítomnost ve skutečnosti vyžadují v oblasti personálu, technologie a finanční odolnosti, a vysvětluje, proč regulátoři každou kategorii považují spíše za funkční test než za pouhou dokumentaci.

Hlavní důvod, který to vše pohání, je stejný: zabránit vzniku „poštovních schránek“, tedy subjektů, které existují na papíře v příznivé jurisdikci, ale postrádají jakoukoli smysluplnou ekonomickou činnost, lidský kapitál nebo provozní kapacitu v rámci této jurisdikce.

Mýtus: Přítomnost se rovná podstatě

Regulační logika je zde starší než MiCA. V přelomovém rozsudku ve věci Cadbury Schweppes (věc C-196/04) Soudní dvůr Evropské unie stanovil, že svobodu usazování nelze využít k vytváření „zcela umělých uspořádání“, která postrádají skutečnou ekonomickou činnost. MiCA tento princip přímo zakotvuje do regulace kryptoaktiv.

Článek 59 odst. 2 MiCA stanoví, že autorizovaní CASP musí mít sídlo v členském státě, kde vykonávají alespoň část svých služeb v oblasti kryptoměn, musí mít místo skutečného vedení v rámci Unie a musí mít alespoň jednoho ředitele s bydlištěm v Unii. Ustanovení je stručné. To, co se za ním skrývá, je podstatně náročnější.

Informační dokument ESMA o dohledu nad autorizací CASP, ačkoli není závazný, jasně naznačuje, jak by národní orgány dohledu měly tyto požadavky v praxi vykládat.

Právě v rozporu mezi zněním zákona a očekáváním orgánů dohledu naráží mnoho žádostí na překážky.

Personál: Kdo tento subjekt skutečně řídí

Minimální požadavek podle MiCA je jeden ředitel s bydlištěm v EU. Pokyny orgánů dohledu tuto laťku zvyšují.

Informační dokument ESMA předpokládá, že denní provoz budou společně dohlížet alespoň dva vedoucí pracovníci. Důvod je jednoduchý: jediný vedoucí pracovník vytváří riziko koncentrace a odstraňuje vnitřní kontroly, které vyžaduje fungující struktura správy a řízení. Očekávaným minimem jsou dva vedoucí pracovníci s definovanými, překrývajícími se povinnostmi.

Samotné bydliště nestačí. Pokyny uvádějí, že pokud člen řídícího orgánu nemá bydliště v jurisdikci NCA, měl by být schopen se na žádost orgánu do dvou pracovních dnů zúčastnit osobních schůzek.

Pro jurisdikce, kde je fyzická blízkost k dohledovému orgánu z provozního hlediska důležitá, se jedná o praktické omezení toho, jak daleko od domovské jurisdikce může ředitel fakticky sídlit.

Časová náročnost je brána stejně vážně. Postoj ESMA, jak je formulován v jejím Supervisory Briefing on Authorization of CASPs, je takový, že členové výkonné správní rady by měli obecně věnovat 100 % svého profesního času roli CASP. Kombinování funkcí, kdy stejná osoba zastává výkonnou funkci ve více subjektech, je povoleno pouze za omezených okolností. Vedoucí pracovník, který rozděluje svou pozornost mezi CASP a jinou společnost ve skupině, bude pravděpodobně předmětem důkladného posouzení při hodnocení způsobilosti a bezúhonnosti.

Hierarchické vztahy jsou stejně důležité jako profily jednotlivých osob. Vedení musí prokázat, že strategická a operativní kontrola spočívá v subjektu v EU, nikoli v mateřské společnosti ve třetí zemi, která činí skutečná rozhodnutí a vydává pokyny směrem dolů.

Dceřiná společnost v EU, jejíž vedoucí pracovníci funkčně působí jako prováděcí agenti pro ústředí mimo EU, není z hlediska dohledu subjektem se skutečným vedením v EU.

Tento fakt podtrhuje i rozměr boje proti praní špinavých peněz (AML). Osoba odpovědná za podávání hlášení o podezřelých aktivitách (MLRO) musí být fyzicky přítomna, mít v rámci subjektu skutečnou pravomoc a být schopna přímo komunikovat s místní jednotkou pro finanční zpravodajství. Tento požadavek odráží širší globální trend: FATF a Rámec pro hlášení kryptoaktiv (CARF) OECD fungují na stejné logice a rozšiřují požadavky na podstatu a transparentnost i mimo EU.

Požadavky MiCA na personál a CARF nejsou nesouvisejícími vývojovými trendy; odrážejí sbližující se mezinárodní standard toho, jak musí regulovaný subjekt v oblasti kryptoměn vypadat zevnitř.

Standard kolektivní způsobilosti podle čl. 68 odst. 1 vyžaduje, aby řídící orgán disponoval odpovídajícími znalostmi, dovednostmi a zkušenostmi jak na individuální, tak na kolektivní úrovni. Jak bylo uvedeno v předchozím díle této série, tento standard zahrnuje regulaci tradičních finančních trhů, infrastrukturu DLT a kyberbezpečnost a organizační správu. Každá z těchto oblastí musí být v místnosti zastoupena.

Tým složený výhradně z osob s kryptoměnovým zázemím bez zkušeností s regulovanými finančními službami nebo tým s hlubokými zkušenostmi v oblasti tradičních finančních služeb (TradFi), ale bez schopnosti posoudit rizika v řetězci, má strukturální mezery, které proces posuzování odhalí.

Technologie: Kontrola, nejen hosting

Nařízení DORA (nařízení (EU) 2022/2554) se přímo vztahuje na CASP a stanoví rámec pro požadavky na odolnost ICT. Otázka, kterou si regulátoři kladou ohledně technologie, není, jakou infrastrukturu firma používá. Otázkou je, kdo ji kontroluje.

Cloudová infrastruktura hostovaná AWS, Azure nebo podobnými poskytovateli je podle současné praxe dohledu přijatelná. Problém nastává, když subjekt oprávněný v EU postrádá smysluplnou administrativní kontrolu nad systémy, na nichž závisí.

Pokud správa šifrovacích klíčů spadá pod globální IT tým mateřské společnosti, pokud jsou přístupová práva k údajům klientů spravována mimo EU nebo pokud plán obnovy po havárii závisí na schválení ze strany ústředí v třetí zemi, nemůže subjekt v EU prokázat skutečnou provozní nezávislost.

Postoj ESMA, jak je zřejmé z jejích konzultačních materiálů, je takový, že manažerský tým v EU musí mít skutečnou kontrolu nad ICT infrastrukturou relevantní pro provoz CASP. Politika kontinuity podnikání a plány obnovy po havárii požadované podle čl. 68 odst. 7 musí být ve vlastnictví subjektu v EU a musí je být schopen provádět; nesmí být závislé na globální funkci, která v krizi může, ale nemusí reagovat.

Praktický test je jasný: pokud by globální IT tým mateřské společnosti přestal být přes noc k dispozici, mohla by subjekt v EU pokračovat v činnosti, mít přístup k prostředkům klientů a vracet aktiva klientům? Pokud je odpověď ne, nebo ne bez významného eskalování na personál mimo EU, nebyla otázka podstaty vyřešena.

Požadavky na soulad s GDPR a správu dat se přidávají k rámcům DORA. Ujednání o zpracování dat, vztahy mezi správcem a zpracovatelem a úvahy o umístění dat tvoří součást technické architektury, kterou budou regulační orgány zkoumat.

Finanční: Kapitál, který skutečně funguje

Článek 67 stanoví minimální obezřetnostní záruky. Úrovně kapitálu jsou definovány podle třídy služeb:

Minimální výše kapitálu je výchozím bodem, nikoli stropem. Obezřetnostní rezervy musí odpovídat vyšší z těchto dvou částek: trvalý minimální kapitál nebo jedna čtvrtina fixních režijních nákladů z předchozího roku.

Jak CASP roste a jeho fixní režijní náklady se zvyšují, stává se tato druhá část závazným omezením. Pokud režijní náklady překročí čtyřnásobek počátečního splaceného kapitálu, musí společnost přejít na rámec založený na režijních nákladech. Tento zlomový bod nastává rychleji, než mnoho provozovatelů očekává, a regulační orgány očekávají proaktivní monitorování spíše než reaktivní úpravy.
Strukturální bod, který stojí za zmínku: kapitál musí být vkládán na účet vedený u formální úvěrové instituce.
Účet u elektronického peněžního institutu (EMI) nebo poskytovatele platebních služeb tento požadavek nesplňuje. Navázání bankovního vztahu jako kryptoměnový podnik trvá dlouho a není zaručeno. Zahájení tohoto procesu včas, ještě před formálním podáním žádosti, není volitelné. Jedná se o časové omezení, které ovlivňuje celý časový harmonogram schvalování.

Požadavek, aby finanční výkazy použité při výpočtu fixních režijních nákladů byly řádně auditovány nebo ověřeny vnitrostátními regulačními orgány, přidává další administrativní rozměr. Nově založené subjekty, které sestavují prognózu svých režijních nákladů na prvních dvanáct měsíců, musí tyto prognózy zahrnout do své žádosti o povolení, přičemž metodika musí být jasně zdokumentována.

Outsourcing a prahová hodnota substance

Článek 73 umožňuje CASP outsourcovat provozní funkce třetím stranám. Omezením je, že outsourcing nesmí vést k vyprázdnění autorizovaného subjektu. Odpovědnost zůstává na CASP; delegování nepřevádí odpovědnost.

Informační zpráva ESMA o povolování CASP identifikuje procentní podíl celkových nákladů připadajících na funkce umístěné mimo EU jako praktický ukazatel toho, zda outsourcing zašel příliš daleko. CASP, jehož většina provozních výdajů směřuje k poskytovatelům služeb mimo EU, i když se jedná o dobře řízené a renomované subjekty, může čelit otázkám, zda má subjekt v EU dostatečnou vnitřní kapacitu, aby se kvalifikoval jako skutečný poskytovatel služeb, a nikoli jako pouhý prostředník.

Regulační orgán rozlišuje mezi CASP, které outsourcují konkrétní funkce a zachovávají si kontrolu, a CASP, které outsourcují vše podstatné a zachovávají si pouze právní formu. Druhé z nich jsou pouhou skořápkou, bez ohledu na to, jak je ujednání popsáno v žádosti.

Rozdíly v jurisdikcích: stejný zákon, odlišná praxe

MiCA je přímo použitelná ve všech členských státech EU. Podstatné požadavky jsou jednotné. Dozorová praxe však nikoli.

Kypr prostřednictvím CySEC výslovně požaduje, aby většina členů představenstva CASP byla fyzickými rezidenty Kypru. U představenstva složeného ze dvou výkonných a dvou nevýkonných členů to znamená minimálně tři členy s bydlištěm na Kypru. To jde nad rámec toho, co vyžaduje text MiCA, a odráží vnitrostátní směrnice proti praní špinavých peněz, které se vrství nad harmonizovaným rámcem EU.
Estonsko představuje odlišnou dynamiku. V rámci předchozího režimu registrace VASP spravovaného Finanční zpravodajskou jednotkou se Estonsko stalo jednou z nejdostupnějších jurisdikcí pro udělování licencí v Evropě. Přechod na MiCA přesunul dohledovou odpovědnost na Estonský úřad pro finanční dohled a řešení krizí, což přináší odlišný institucionální přístup k přezkumu a průběžnému dohledu.

Legislativní situace v Polsku, o které jsme psali v předchozích dílech této série, vedla ke strukturální mezeře, kdy vnitrostátní zákon o provádění MiCA ještě nebyl přijat, což znamená, že KNF nemá formální označení jako příslušný orgán a držitelé VASP nemají schůdnou cestu k podání žádosti o CASP na vnitrostátní úrovni.

Tyto rozdíly nejsou mezerami v zákoně ani administrativními zvláštnostmi. Odrážejí skutečnost, že harmonizovaný právní rámec stále funguje prostřednictvím národních kultur dohledu, personálních omezení a institucionální historie. Výběr jurisdikce pro autorizaci CASP znamená výběr regulátora se všemi praktickými důsledky, které to s sebou nese.

Co vlastně vyžaduje „skutečné usazení“

V souhrnu požadavky na podstatu podle MiCA odrážejí spíše filozofii dohledu než kontrolní seznam. Regulační orgán chce mít jistotu, že pokud se něco pokazí, má k dispozici smysluplné prostředky nápravy.
To znamená, že výkonné vedení je fyzicky dostupné a právně odpovědné podle práva EU. Znamená to, že ICT systémy jsou kontrolovatelné subjektem z EU bez závislosti na autorizačních řetězcích mimo EU. Znamená to kapitál, který je skutečně k dispozici a jehož velikost odpovídá skutečnému operačnímu riziku.

A znamená to také správu a řízení, při nichž subjekt v EU přijímá skutečná rozhodnutí, namísto toho, aby pouze prováděl pokyny vydané jinde.

Společnosti, které k tomuto přístupu přistupují jako k pouhé dokumentaci, mají tendenci považovat tento proces za obtížnější, než očekávaly. Společnosti, které nejprve vybudují podstatu a teprve poté zdokumentují to, co vybudovaly, to obvykle považují za jednodušší. Žádost nevytváří organizaci. Popisuje organizaci, která by již měla z velké části existovat.

Zdroje:

• Informační zpráva ESMA o povolování CASP
• Konzultační dokument ESMA k MiCA, 2. balíček
• Pravidla MFSA k MiCA

Tento článek vychází ze studie provedené společností LegalBison v květnu 2026. Obsah slouží pouze pro informační účely a nepředstavuje právní poradenství.