MiCA forklaret: En sammenligning af MiCA (EU) med VARA (Dubai) og MAS (Singapore)

MiCA Decoded er en ugentlig serie på 12 artikler til Bitcoin.com News, skrevet i fællesskab af LegalBisons medstiftere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgiver krypto- og FinTech-virksomheder om MiCA-licenser, CASP- og VASP-ansøgninger samt reguleringsstrukturer i hele Europa og udenfor.

Myten: Alle større kryptorammer konvergerer mod den samme model

Når grundlæggere sammenligner jurisdiktioner, går samtalen normalt i to retninger. Enten behandler de reguleringsregimer som stort set ækvivalente, der kun adskiller sig i omkostninger og tidsplan, eller også behandler de dem som fuldstændig uforlignelige, hver især så unikke, at sammenligning er meningsløs. Ingen af disse holdninger er korrekte.

Markedsforordningen om kryptoaktiver (MiCA), Dubais rammeværk for Virtual Assets Regulatory Authority (VARA) og Singapores licensordning i henhold til Financial Services and Markets Act 2022 (FSM Act) og Payment Services Act 2019 (PS Act) ligner hinanden set udefra. Alle tre kræver licens. Alle tre pålægger egnethedsvurderinger, kapitalkrav og kontrolforanstaltninger mod hvidvaskning af penge. Alle tre hævder at skabe balance mellem innovation og forbrugerbeskyttelse.

Men ud over lighederne afspejler hvert system en specifik reguleringsfilosofi, en specifik teori om, hvem der bærer kryptorisikoen og hvorfor, samt et specifikt svar på spørgsmålet om, hvad et licenseret kryptoselskab egentlig er. Disse forskelle er ikke proceduremæssige detaljer. De afgør, om en bestemt forretningsmodel overhovedet kan licenseres, hvor meget substans en enhed skal have, og hvad en stifter forpligter sig til, når vedkommende ansøger.

Hvad forordningen faktisk siger: Omfang og tjenester

De tre ordninger tager udgangspunkt i forskellige definitioner af reguleret aktivitet, og disse definitioner har betydelige konsekvenser.

MiCA definerer ti kategorier af kryptoaktivtjenester, der spænder fra opbevaring og drift af handelsplatforme til porteføljeforvaltning og investeringsrådgivning om kryptoaktiver. Rammeværket skaber en enkelt godkendelse, en Crypto-Asset Service Provider (CASP)-licens, der dækker den delmængde af disse ti tjenester, som ansøgeren har til hensigt at levere. Anvendelsesområdet er EU-dækkende, hvilket betyder, at en enkelt CASP-licens gælder i alle 27 EU-medlemsstater og de 3 EØS-lande (Norge, Island, Liechtenstein) uden behov for sekundære ansøgninger i hvert enkelt land.
VARA inddeler regulerede aktiviteter i forskellige kategorier, herunder blandt andet mægler- og forhandlerydelser, depotydelser, børsydelser, udlåns- og låneydelser samt rådgivningsydelser. Hver kategori har sine egne krav i regelværket og sin egen tærskel for indbetalt kapital. Et firma, der har en VARA-licens til børstjenester, har andre løbende forpligtelser end et firma, der kun har en licens til rådgivningstjenester.
Singapore opererer inden for to lovgivningsmæssige rammer afhængigt af aktivitetens art. Kryptovalutabørser og depotudbydere, der handler med digitale betalingstokens, opererer under PS-loven som større betalingsinstitutter (MPI). Virksomheder, der leverer digitale token-tjenester uden for Singapore, hvilket er FSM-lovens definerede anvendelsesområde, reguleres som udbydere af digitale token-tjenester (DTSP'er) i henhold til del 9 i FSM-loven. FSM-loven dækker ti forskellige tjenestetyper i sin første bilag, herunder handel med digitale tokens, formidling af udveksling af digitale tokens og beskyttelse af digitale tokens med kontrol over kundernes aktiver.

De praktiske konsekvenser af disse forskellige tilgange til anvendelsesområdet bliver tydelige, når en stifter forsøger at afstemme sin forretningsmodel med den lovgivningsmæssige ramme. Dette er særligt udfordrende for platforme i grænsetilfælde som forudsigelsesmarkeder, der befinder sig i krydsfeltet mellem Web3 og spekulativt spil, hvor stiftere nøje skal vurdere, om de har brug for en kryptotilladelse eller en selvstændig spillicens.
Som vi så i et tidligere indlæg, kan et DeFi-protokol meget vel blive forbudt i henhold til MiCA. I henhold til VARA skal den samme protokol vurdere, om en identificerbar enhed udøver kontrol over platformen, hvilket VARA vurderer ved hjælp af en substans-over-form-tilgang. I henhold til Singapores rammer fokuserer FSM-loven på levering af tjenester fra eller af enheder med tilknytning til Singapore, hvilket betyder, at offshore-protokoloperatører, der er struktureret uden for Singapore, kan falde helt uden for licensområdet, men kun hvis de reelt undgår de foreskrevne nexus-punkter.

Hvorfor forvirringen eksisterer: Passporting, geografisk rækkevidde og lovgivningsmæssig hensigt

Den mest betydningsfulde strukturelle forskel mellem de tre rammer er passporting. MiCA skaber det. VARA og Singapore gør ikke.

En CASP, der er godkendt i Estland, kan underrette den relevante myndighed i hjemmedelstaten og begynde at tilbyde tjenester til kunder i hele EU og EØS uden yderligere licensering. Autorisationen følger med enheden. Dette europæiske passporting er en vigtig katalysator for komplekse Web3-modeller som online-spil, der gør brug af kryptoaktiver, og som ofte søger at supplere deres kryptoarkitektur med f.eks. en online-spillicens i Estland. For en virksomhed, der henvender sig til detailkunder i EU på tværs af flere lande, er dette ikke blot en bekvemmelighed, men det centrale kommercielle argument for MiCA-autorisation. Én compliance-infrastruktur betjener 450 millioner potentielle kunder.

VARA-licensering er specifik for Dubai. Den regulerer aktiviteter med virtuelle aktiver, der udføres i eller er rettet mod emiratet Dubai, som fastlagt i Dubai-lov nr. 4 af 2022. En VARA-licenseret børs, der betjener kunder i hele GCC eller internationalt, gør dette på grundlag af andre jurisdiktioners rammer eller på grundlag af, at det ikke udløser lokale licenskrav på disse markeder. VARA-licensen i sig selv giver ingen grænseoverskridende pasmekanisme.

Singapores FSM-lov DTSP-licens gælder for enheder, der opererer fra Singapore eller er registreret i Singapore, men udfører digitale token-tjenester uden for Singapore. Det er det tilsigtede anvendelsesområde. Singapore hævder ikke at regulere offshore-aktiviteter udført af udenlandske virksomheder på detailforbrugerniveau gennem FSM-loven, selvom MAS pålægger begrænsninger for, hvad licenserede og ikke-licenserede DTSP'er må gøre i forhold til indbyggere i Singapore.

Disse forskelle afspejler reelt forskellige reguleringsteorier. MiCA's pasordningsdesign afspejler EU's logik om det indre marked, hvor fragmentering af adgangen til finansielle tjenester betragtes som en reguleringsmæssig fiasko. VARA's Dubai-specifikke anvendelsesområde afspejler en strategi for opbygning af jurisdiktion, hvor målet er at gøre Dubai til et knudepunkt, ikke at regulere global kryptoaktivitet. Singapores FSM-lovgivning afspejler en tilgang til omdømmestyring, hvor MAS har gjort det klart, at licenser kun udstedes under yderst begrænsede omstændigheder, og at ordningen er designet til at forankre aktører af høj kvalitet frem for at imødekomme bred markedsadgang.

Kapitalkrav: Tre forskellige svar på det samme spørgsmål

Alle tre ordninger pålægger kapitalkrav. Tallene og logikken bag dem er ikke de samme.

I henhold til MiCA varierer minimumskapitalen for en CASP fra 50.000 EUR (klasse 1) til 125.000 EUR (klasse 2) til 150.000 EUR (klasse 3). MiCA-ordningen stiller også krav om løbende faste omkostninger, hvilket betyder, at en virksomhed skal have enten det faste minimum eller en fjerdedel af det foregående års faste omkostninger, alt efter hvad der er højest. En CASP med 10 mio. EUR i årlige driftsudgifter står over for en effektiv kapitalgrænse på 2,5 mio. EUR, uanset hvilken serviceklasse der gælder.

VARA anvender en indbetalt kapitalmodel, der er aktivitetsspecifik og har højere absolutte minimumsbeløb. Rådgivningstjenester kræver 100.000 AED. Udbydere af depotydelser kræver en basiskapital svarende til det højeste af 600.000 AED eller 25 % af de faste årlige omkostninger. For mægler- og forhandlerydelser afhænger kapitalkravet af deres depotordninger: dem, der bruger en VARA-licensieret depotforvalter, kræver det højeste af 400.000 AED eller 15 % af de faste årlige omkostninger, mens dem, der ikke bruger en VARA-licensieret depotforvalter, kræver det højeste af 600.000 AED eller 25 % af de faste årlige omkostninger.

Tilsvarende er kapitalkravet for børstjenester, den mest kapitalintensive kategori, det højeste af 800.000 AED eller 15 % af de faste årlige omkostninger, hvis VASP'en bruger en VARA-licenseret depotforvalter, og det højeste af 1.500.000 AED eller 25 % af de faste årlige omkostninger i alle andre tilfælde.VARA pålægger også et separat krav om netto likvide aktiver, der kræver, at VASP'er skal have likvide aktiver, således at deres overskud i forhold til kortfristede forpligtelser svarer til mindst 1,2 gange deres månedlige driftsudgifter, afstemt dagligt og rapporteret til VARA månedligt med kvartalsvis sammenlægning. VARA kræver også erhvervsansvarsforsikring, bestyrelses- og ledelsesforsikring samt forsikring mod økonomisk kriminalitet for aktiver, der opbevares i hot wallets.

Singapores FSM Act DTSP-ramme fastsætter en minimumsgrænse for grundkapitalen på 250.000 SGD, der gælder ens for selskaber, partnerskaber og enkeltmandsvirksomheder, med den forventning, der er angivet i MAS-retningslinjerne, at kapitalbufferen realistisk set skal dække seks til tolv måneders driftsudgifter. MAS har udtrykkeligt fastslået, at DTSP'er ikke er underlagt den samme tilsynsregulering som indskudsmodtagende institutioner og ikke har sikkerhedsnet som indskudsforsikring. Grænsen på 250.000 SGD er en tærskel for markedsadgang, ikke en risikokalibreret tilsynsmæssig buffer i MiCA- eller VARA-forstand.

Den praktiske forskel ligger ikke kun i tallene. VARA's krav til netto likvide aktiver og forsikring skaber en flerlags forpligtelse til finansiel soliditet, som MiCA og FSM-loven behandler anderledes eller mindre præskriptivt. Et firma, der beregner sin VARA-overholdelseseksponering, skal gennemgå indbetalt kapital, netto likvide aktiver og forsikringstilstrækkelighed samtidigt og afstemme alle tre med bestemte intervaller, hvor VARA er angivet som begunstiget af kapitaltrustkontoen eller kautionsforsikringen.

Forbrugerbeskyttelsesfilosofi: Risikooplysning, egnethed og adgangsbegrænsninger

Hvad angår forbrugerbeskyttelse, har MiCA, VARA og Singapore forskellige opfattelser af, hvad tilsynsmyndighederne rent faktisk bør forhindre.
MiCA behandler udbydere af kryptoaktiver som finansielle tjenesteudbydere, der er underlagt adfærdsforpligtelser, egnethedsvurderinger for porteføljeforvaltning og rådgivning, krav om bedste udførelse og løbende oplysningspligter. For detailindehavere kræver reguleringen meningsfuld risikooplysning i hvidbøger og markedsføringskommunikation, men de specifikke mekanismer til beskyttelse af indehavere afhænger af typen af token. For detailindehavere, der køber kryptoaktiver, bortset fra aktivbaserede tokens (ART'er) og e-penge-tokens (EMT'er), direkte fra en udbyder, pålægger MiCA en 14-dages fortrydelsesret. Denne fortrydelsesret gælder dog ikke for ART'er og EMT'er; i stedet er indehavere af disse tokens beskyttet af en permanent indløsningsret til enhver tid over for udstederen.

MiCA begrænser dog ikke detaildeltagernes adgang til kryptohandel. Den antager, at informeret detaildeltagelse er legitim, og strukturerer sine adfærdsregler i overensstemmelse hermed.
VARAs regelbog for markedsadfærd kræver kundeaftaler, klagehåndtering og investorinddeling. VARA inddeler investorer i tre kategorier: detailinvestorer, kvalificerede investorer og institutionelle investorer, hvor serviceparametrene tilpasses efter klassificering. De markedsføringsregler, som VARA udstedte i 2024, er blandt de mest detaljerede i enhver kryptoregion og giver specifik vejledning og illustrative casestudier om, hvad der udgør forbudt markedsføring, herunder en omfattende behandling af indlæg på sociale medier, aftaler med influencere og uddannelsesindhold, der kan grænse op til promovering.

Singapores tilgang er den mest restriktive af de tre over for detailkundernes deltagelse. MAS har konsekvent advaret offentligheden mod spekulation i kryptovaluta siden 2017 og har begrænset reklamer for DPT-tjenester i det offentlige rum. Høringsdokumentet fra 2022 om foreslåede foranstaltninger for Digital Payment Token Services introducerede de indledende forslag, der kræver, at DPTSP'er vurderer detailkundernes viden, før de leverer en DPT-tjeneste, anvender adgangsbegrænsninger for forbrugere og undgår at tilbyde incitamenter til detailhandel.

MAS' erklærede holdning er, at regulering ikke kan og ikke bør give detailkunder det indtryk, at licenserede platforme er sikre investeringssteder. Retningslinjerne for DTSP-licenser beskriver, at adgang kun gives under yderst begrænsede omstændigheder, hvilket understreger, at rammerne i Singapore ikke er designet til bred adgang til detailmarkedet for licenserede udbydere.

Operationelt indhold: Hvordan det er at leve under ordningen

Den løbende compliance-byrde på tværs af alle tre ordninger er betydelig. Men karakteren af denne byrde er forskellig.

MiCA pålægger krav til ledelse, forretningskontinuitetsforpligtelser i overensstemmelse med Digital Operational Resilience Act (DORA), AML/CTF-rammer i overensstemmelse med EU-direktiver, løbende rapportering og en obligatorisk egnethedsvurdering af ledelsen og kvalificerede aktionærer. Regimet kræver et sted for effektiv ledelse i EU og mindst én direktør med bopæl i EU. Autorisationen er tjenestespecifik, hvilket betyder, at hver CASP-licens specificerer, hvilke af de ti tjenestekategorier indehaveren er autoriseret til at levere.

VARA fungerer gennem et regelværkssystem, hvor flere regelværker gælder for alle VASP'er samtidigt: Selskabsregelværket, Regelværket for compliance og risikostyring, Regelværket for teknologi og information samt Regelværket for markedsadfærd, sammen med det specifikke aktivitetsregelværk for hver licenseret VA-aktivitet. Regelværket for teknologi og information kræver en Chief Information Security Officer, en cybersikkerhedspolitik indsendt til VARA samt en ramme for teknologistyring og risikovurdering, der dækker fem definerede risikokategorier. VARA kræver en juridisk enhed i Dubai, en klar ejerskabskæde med identificerbare endelige reelle ejere samt skriftlig godkendelse af enhver væsentlig ændring af selskabsstrukturen.
Singapores FSM-lovgivning kræver et fast forretningssted eller registreret kontor i Singapore med en repræsentant til stede mindst ti dage om måneden i mindst otte timer hver dag. DTSP-licensretningslinjerne kræver en penetrationstest af de foreslåede tjenester, før licensen udstedes, en uafhængig ekstern revisors vurdering af teknologi og cybersikkerhed som en betingelse for principgodkendelse samt compliance-foranstaltninger, der står i rimeligt forhold til virksomhedens omfang og art. MAS gennemfører samtaler med nøglemedarbejdere i ledelsen som en standarddel af gennemgangen, og konsulenter og eksterne juridiske rådgivere har udtrykkeligt ikke tilladelse til at deltage i disse samtaler.

Hvert af disse væsentlige krav har betydning for en virksomhed, der aldrig før har opereret inden for dette reguleringsmiljø. VARA's krav om, at indbetalt kapital skal sikres, enten ved at den opbevares på en trustkonto hos en bank i UAE med VARA som begunstiget eller garanteres gennem en kautionsforsikring fra et autoriseret kautionsselskab i UAE, er en strukturel forudsætning, der skal opfyldes før godkendelse. Singapores krav om samtaler betyder, at CEO'en og compliance-ansvarlige skal være i stand til at forklare forretningsmodellen, dens risikostyring og dens compliance-tilgang uden hjælp fra rådgivere. Dette er ikke abstrakte hindringer, men operationelle betingelser.

Hvad vi har afkodet: Implikationer for jurisdiktionsstrategien

De tre rammer konkurrerer ikke med hinanden i nogen enkel forstand. Et firma, der vælger mellem dem, træffer normalt en beslutning om, hvilket marked det faktisk forsøger at betjene, og hvilken type reguleringsforhold det er parat til at opretholde.

• MiCA er den eneste af de tre, der giver direkte adgang til et samlet detailmarked på kontinentalt plan gennem en enkelt godkendelse. For enhver udbyder af kryptoaktiver, hvis primære forretning omfatter detailkunder i EU, er MiCA ikke valgfri, men den ramme, der afgør, om virksomheden overhovedet kan drive lovlig virksomhed i EU. Overgangsperioden slutter den 1. juli 2026.
• VARA er en Dubai-specifik licens, der henvender sig til virksomheder, hvis forretningsstrategi er forankret i markederne i UAE og MENA, eller hvis branding drager fordel af en licenseret tilstedeværelse i Dubai. Kapitalkravene er højere end MiCA i absolutte tal, markedsføringsreglerne er blandt de mest detaljerede på verdensplan, og compliance-arkitekturen med flere bøger er omfattende. En VARA-licens gælder ikke i andre jurisdiktioner, men for virksomheder, der målretter sig mod Golfregionen eller specifikt søger at drive en compliant børs i Dubai, findes der intet tilsvarende alternativ.
• Singapores DTSP-licens er den mest restriktive af de tre at opnå og er udtrykkeligt designet til en snæver gruppe af ansøgere: virksomheder, der har tilknytning til Singapore, men udfører digitale token-tjenester uden for Singapore, og som kan påvise, at de allerede er reguleret efter internationale standarder andetsteds, at deres forretningsmodel giver økonomisk mening, og at MAS ikke har betænkeligheder ved deres struktur. At opnå denne licens er ikke en ligetil vej til at komme ind på markedet. Det er nærmere en godkendelse fra myndighederne, der er tilgængelig for et lille antal operatører, der opfylder en høj tærskel.

Regimerne er ikke funktionelt udskiftelige, og de er heller ikke designet til at være det. En virksomhed, der ansøger om alle tre samtidigt, fordi den ønsker global dækning, indgår tre forskellige forpligtelser over for tre forskellige tilsynsmyndigheder med tre forskellige teorier om, hvordan en licenseret kryptovirksomhed bør se ud. At få den koordinering til at fungere kræver mere end en parallel ansøgningsproces. Det kræver en forståelse af, hvad hver tilsynsmyndighed rent faktisk forsøger at opnå, og om virksomheden på troværdig vis kan forpligte sig til det.

Denne artikel er baseret på en undersøgelse foretaget af LegalBison i maj 2026. Indholdet er udelukkende til orientering og udgør ikke juridisk rådgivning.