»Vi er DeFi, så MiCA gælder ikke for os.« Beklager, men EBA og ESMA ser anderledes på det

MiCA Decoded er en ugentlig serie på 12 artikler til Bitcoin.com News, skrevet i fællesskab af LegalBisons medstiftere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgiver krypto- og FinTech-virksomheder om MiCA-licenser, CASP- og VASP-ansøgninger samt reguleringsstrukturering i hele Europa og udenfor.

Denne uges artikel er skrevet af Eira Järvi, senioradvokat hos LegalBison, der leder global reguleringsforskning og implementeringen af CASP-licenser og andre komplekse licenser. Eira implementerer aktivt global forskning i aktive kundevendte produkter.

DeFi på fremmarch

Decentraliseret finansiering har været i fremgang de seneste år. Kryptobranchen har været vidne til fremkomsten af nye DeFi-projekter næsten dagligt. Nye blockchain-netværk, protokoller og decentraliserede applikationer (dApps) udgør et samlingspunkt for diskussioner blandt DeFi-entusiaster og nyhedsbreve. De drejer sig om emner som effektivitet, gennemsigtighed, sammensætbarhed, privatliv og tilgængelighed inden for DeFi. Med MiCAR (Markets in Crypto-Assets Regulation) der træder i kraft, overvejer mange DeFi-udviklingshold nu at udvide deres projekter til EU-markederne.

I denne sammenhæng er der dog ét emne, der er mere afgørende end alle andre. Hvordan sikrer holdet, at det projekt, de bygger, overholder lovgivningen?

For de fleste DeFi-startups kan svaret virke simpelt: MiCAR indeholder en undtagelse for "fuldt decentraliserede" projekter, som mange startups trygt stoler på, når de begrunder deres tillid til at lancere deres projekter i EU uden at søge juridisk rådgivning, endsige overholde MiCAR.

Denne artikel søger at aflive den udbredte opfattelse, at hvis et projekt er decentraliseret nok, er MiCAR ikke noget, teamet behøver at bekymre sig om. Beklager, men lovgivningsmæssige retningslinjer punkterer den myte!

Myten: MiCA påvirker ikke DeFi og udbydere af ikke-depotbaserede tjenester

Artikel 3, stk. 1, nr. 1, i MiCAR definerer distributed ledger-teknologi ("DLT") som "en teknologi, der muliggør drift og brug af distribuerede hovedbøger", og nr. 2 definerer "distribueret hovedbog" som "et informationslager, der opbevarer registreringer af transaktioner, og som deles på tværs af og synkroniseres mellem et sæt DLT-netværksnoder ved hjælp af en konsensusmekanisme."

Betragtning 22 i MiCAR giver den mest afgørende vejledning om DeFi's forhold til forordningen. Den fastslår, at MiCAR er udformet til at omfatte tjenester og aktiviteter, der udføres, leveres eller kontrolleres, enten direkte eller indirekte, af fysiske eller juridiske personer og visse virksomheder, der beskæftiger sig med kryptoaktivtjenester, selv i tilfælde hvor der er tale om decentralisering.

Begrundelsen indeholder imidlertid følgende afgørende formulering: ”Når kryptoaktivitetstjenester leveres på en fuldt decentraliseret måde uden nogen formidler, bør de ikke falde ind under denne forordnings anvendelsesområde.” Betydningen af denne bestemmelse ligger i to nøgleudtryk: ”fuldt decentraliseret” og ”uden nogen formidler.”

Selve forordningens tekst definerer ikke ”fuldt decentraliseret” noget sted i de operative bestemmelser. Den eneste kilde til dette udtryk findes i betragtning 22, som udgør en del af præamblen snarere end de juridisk bindende formelle bestemmelser. Betragtning 83 fastslår endvidere, at »udbydere af hardware eller software til ikke-depotbaserede tegnebøger bør ikke falde ind under denne forordnings anvendelsesområde«, uden eksplicit at definere, i hvilket omfang levering af hardware eller software udgør en fuldt decentraliseret tjeneste, der er undtaget fra MiCAR.

Betragtning 109 anerkender disse fortolkningsmæssige udfordringer og pålægger Den Europæiske Banktilsynsmyndighed (EBA) og Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) at udarbejde udkast til reguleringsmæssige og gennemførelsesmæssige tekniske standarder.

Ved afgørelsen af, om tjenester falder ind under MiCAR's anvendelsesområde, kan to betingelser udledes af betragtning 22 og efterfølgende reguleringsvejledning:

• For det første må ingen enkelt enhed udøve kontrol over protokolparametre, styringsmekanismer eller den centrale teknologiske infrastruktur, som kryptoaktivtjenesten opererer på.
• For det andet skal brugerne have adgang til det, der svarer til en "fælles ressource", snarere end at købe tjenester fra en udpeget udbyder, med hvem der eksisterer et kontraktligt tjenesteudbyderforhold.

Disse betingelser er afgørende for at vurdere, om et DeFi-projekt falder inden for eller uden for MiCAR's anvendelsesområde.

Faren ved at overvurdere decentraliseringens omfang

I en verden med hurtigt fremvoksende teknologier, geopolitisk ustabilitet og fragmenterede finansielle systemer, der er afhængige af manuelle processer og mellemled, udgør DeFi en transparent og grænseløs løsning, der fundamentalt ændrer den måde, hvorpå transaktioner initieres, behandles og gennemføres. I stedet for traditionelle finansielle systemmodeller, hvor transaktioner først skal passere gennem en række formidlere og institutionelle backends, før de udføres og afregnes, handler brugerne i DeFi ved at interagere direkte med det underliggende blockchain-netværk gennem decentraliserede protokoller og grænseflader, hvilket eliminerer behovet for formidlere og komplekse systeminfrastrukturer.

I verden af on-chain-lovgivning er grænsen mellem fuld decentralisering og manglende decentralisering tyndere, end den måske ser ud. Inden noget arbejde kan påbegyndes, vil en advokat, der arbejder med et decentraliseret Web3-projekt, først finde ud af, om projektet kan betragtes som decentraliseret, ved at analysere og vurdere projektets lag, deres decentraliseringsgrad samt teamets planer for ejerskab og styring.

I denne indledende fase af den juridiske strategiplanlægning er der mange tekniske og arkitektoniske elementer, som en advokat skal vurdere for at nå frem til en endelig aftale om projektets decentraliseringsgrad. Selvom teamet måske er overbevist om, at deres projekt er fuldt decentraliseret med alle dets elementer, såsom DLT, protokollen og dApp'en, kan den indledende vurdering i virkeligheden afsløre det modsatte.

For at opnå en tilstand af ægte, fuld decentralisering skal alle elementer i projektet opfylde kriterierne for fuld autonomi og fravær af intern eller ekstern indflydelse i hele projektets økosystem og dets mange elementer, herunder, men ikke begrænset til, styring, ejerskab, grænseflader osv., hvilket, ved nærmere eftersyn, meget få projekter formår at opnå.
Denne konklusion kan bedst illustreres ved en nylig begivenhed i DeFi-verdenen. Den 21. april 2026 indefrø Arbitrums Sikkerhedsråd over 30 ETH (ca. 71 mio. USD) i forbindelse med Kelp DAO-exploit. Et styrende organ bestående af 12 medlemmer var i stand til at reagere på kompromitteringen ved at flytte midlerne til en mellemliggende tegnebog, som kun kan frigives gennem en afstemning i ledelsen, hvilket effektivt låser midlerne inde i tegnebogen.

Dette eksempel påpeger eksistensen af diskretionær operationel kontrol: selvom Arbitrum per definition er et lag-2-netværk uden tilladelseskrav og tilsyneladende fuldt decentraliseret, er udøvelsen af kontrol over brugeraktiverne netop det, der ville få det til at falde igennem MiCAR's test for fuld decentralisering. I dette tilfælde er det substans frem for form, der bestemmer det regulatoriske anvendelsesområde, uanset om det underliggende hovedbog er uden tilladelseskrav.

Som sådan er en simpel påstand om, at et DeFi-projekt er fuldt decentraliseret, ikke tilstrækkelig til at udelukke forpligtelsen til at overholde MiCAR og opnå den nødvendige godkendelse som CASP. Jurister vil primært vurdere projektets tekniske arkitektur, ejerskabslogikken og styringsreglerne, hvilket betyder, at de anvender substans frem for form-vurderingen frem for semantik. De europæiske tilsynsmyndigheder, såsom Den Europæiske Banktilsynsmyndighed (EBA) og Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA), støtter fuldt ud denne tilgang.

ESMA's og EBA's perspektiv på DeFi

ESMA's syn på decentraliseret finansiering har udviklet sig væsentligt gennem flere høringspakker og, mest markant, gennem den fælles rapport med EBA om de seneste udviklinger inden for kryptoaktiver, der blev offentliggjort den 13. januar 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), udarbejdet i henhold til artikel 142 i MiCAR.

ESMA's ræsonnement om decentraliseringens spektrum er grundlæggende for denne vurdering. I sit andet høringsoplæg om reguleringsmæssige og gennemførelsesmæssige tekniske standarder foreslog ESMA en definition af "tilladelsesfri distribueret regnskabsteknologi" som "en teknologi, der muliggør drift og brug af distribuerede regnskaber, hvor ingen enhed kontrollerer det distribuerede regnskab eller dets brug eller leverer kernetjenester til brugen af et sådant distribueret regnskab, og hvor DLT-netværksnoder kan oprettes af enhver person, der overholder de tekniske krav og protokollerne."

Denne definition bygger på Financial Stability Boards høringsdokument, der skelner mellem tilladelsesfri (fuldt decentraliseret) DLT, tilladelsesbaseret DLT, der tillader en vis grad af centralisering, og centraliserede platforme. ESMA erkender, at "det nøjagtige omfang af denne undtagelse fortsat er usikkert" og mener, at der bør foretages en vurdering af hvert system fra sag til sag under hensyntagen til systemets egenskaber.

ESMA anerkender, at decentralisering ikke er et binært begreb, men findes på et spektrum fra centralisering til forskellige grader af decentralisering: ”Med DEX’er træder blockchainen i stedet for mellemmanden. DEX’er bruger autonom kode (ofte benævnt smart contracts) til at gennemføre handler direkte på afviklingslaget i blockchainen (med forskellige grader af decentralisering).”

Den fælles rapport fra januar 2025 indeholder empiriske data, der understøtter den analytiske ramme. DeFi udgør ca. fire procent af den globale markedsværdi for kryptoaktiver, med noget højere udbredelsesgrader blandt EU-baserede brugere. Rapporten bekræfter, at meget få DeFi-systemer opnår en virkelig fuldstændig decentralisering på den måde, der er omtalt i betragtning 22. Rapporten påpeger, at selv tilsyneladende decentraliserede protokoller typisk har identificerbare enheder, der udøver forskellige grader af kontrol over styring, protokolopgraderinger, implementering af smarte kontrakter og gebyrstrukturer.

Hvad angår hardware- og softwareudbydere af CASP-tilknyttede tjenester, er den holdning, der fremgår af ESMA's vejledning, at enheder, der udelukkende udvikler og sælger softwareudviklingsværktøjer, applikationer eller platforme til levering af eller handel med kryptoaktiver, ikke automatisk klassificeres som CASP'er, hvis deres aktiviteter er begrænset til udvikling og salg af de nævnte tjenester.

Enheder, der overvåger skabelsen og udviklingen af software eller platforme til levering af kryptoaktivtjenester, kan dog betragtes som CASP'er, hvis de bevarer kontrol eller tilstrækkelig indflydelse over kryptoaktiverne, softwaren, protokollen, platformen eller forretningsforholdene med brugerne. Den afgørende test er derfor en test af kontrol og indflydelse snarere end blot teknologisk involvering.

Den rolle, som kontraktlige forhold spiller i definitionen af fuld decentralisering, understreges yderligere af ESMA's analyse af artikel 73 i MiCAR, der vedrører outsourcing af tjenester eller aktiviteter til tredjeparter. ESMA konkluderer, at der ikke findes noget juridisk grundlag for at kategorisere tilladelsesfri DLT'er, der anvendes af CASP'er, som tredjepartsudbydere, da der ikke kræves noget formelt kontraktforhold for at interagere med tilladelsesfri blockchains. Dette fører til den væsentlige konklusion, at tilladelsesfri DLT'er kan betragtes som en form for "fællesgoder", mens tilladelsesbaserede DLT'er, der drives af kommercielle virksomheder, typisk indebærer formelle kontraktmæssige aftaler og derfor udgør et "tredjepartsudbyder"-forhold. Denne skelnen er rygraden i den videre vurdering i dette memorandum.

Den fælles rapport behandler desuden ML/TF-risici og IKT-overvejelser, der gælder for decentraliserede systemer. Fraværet af traditionelle AML/CFT-kontroller i rent decentraliserede systemer giver anledning til betydelige reguleringsmæssige bekymringer, da procedurer for kundekendskab og transaktionsovervågning typisk mangler eller er ufuldstændige. Rapporten bemærker, at IKT-risici er blandt de primære bekymringer, idet størstedelen af DeFi-relaterede økonomiske tab kan tilskrives sårbarheder i smarte kontrakter, orakelmanipulation og front-running-angreb, herunder udnyttelse af maksimal udvindelig værdi ("MEV").

Disse risikofaktorer er ikke afgørende for den regulatoriske klassificering, men danner grundlag for tilsynsmetoden over for enheder, der opererer på forskellige punkter i decentraliseringsspektret.

FATF-rammeværk og kontraktmæssige forhold

FATF's vejledning om VASP'er og DeFi udgør et grundlæggende analytisk rammeværk, som er blevet vedtaget og videreudviklet af ESMA. Ifølge FATF’s opdaterede vejledning om en risikobaseret tilgang til virtuelle aktiver og udbydere af tjenester vedrørende virtuelle aktiver (oktober 2021) udgør en person, der opretter eller sælger en softwareapplikation eller en platform for virtuelle aktiver, muligvis ikke en udbyder af tjenester vedrørende virtuelle aktiver, når vedkommende udelukkende beskæftiger sig med oprettelse eller salg af applikationen eller platformen, med vægt på ordet udelukkende.

I tilfælde, hvor skabere, ejere, operatører eller andre personer synes at opretholde kontrol eller udøve tilstrækkelig indflydelse over DeFi-ordninger, selvom disse ordninger forekommer decentraliserede, kan de falde ind under FATF's definition af en VASP, hvis de leverer eller aktivt faciliterer VASP-tjenester. Kontrol eller betydelig indflydelse kan komme til udtryk gennem kontrol over aktiver eller aspekter af tjenestens protokol og gennem et løbende forretningsforhold mellem operatøren og brugerne, selvom denne kontrol udøves gennem en smart kontrakt eller, i nogle tilfælde, gennem afstemningsprotokoller.

FATF's begrundelse lægger grundlaget for vurderingen af decentralisering i henhold til MiCAR ved at fastlægge to afgørende principper:

• For det første kan ejerne og operatørerne og deres grad af kontrol over DeFi ofte identificeres ved deres forhold til de aktiviteter, der udføres, snarere end ved de betegnelser, der anvendes på ordningen.
• For det andet kan delvis centralisering ikke automatisk udelukkes, selvom andre parter end den primære tjenesteudbyder er involveret i tjenesten, eller hvis dele af processen er automatiseret gennem smarte kontrakter.

Den rolle, som kontraktlige forhold spiller i vurderingen af decentralisering, fortjener særlig opmærksomhed. Artikel 73 i MiCAR, der vedrører outsourcing af tjenester eller aktiviteter til tredjeparter med henblik på udførelse af operationelle funktioner, regulerer, hvordan CASP'er skal håndtere risici forbundet med tredjepartsudbydere.

Som det imidlertid anerkendes i ESMA's andet høringsdokument, findes der intet retsgrundlag for at kategorisere tilladelsesfri DLT'er, der anvendes af CASP'er, som tredjepartsudbydere, da der ikke kræves noget formelt kontraktforhold, såsom en serviceniveauaftale, for at interagere med tilladelsesfri blockchains. ESMA konkluderer, at tilladelsesfri DLT'er kan betragtes som en form for "fællesgoder", mens tilladelsesbaserede DLT'er, der drives af kommercielle virksomheder, typisk indebærer kontrakter, der er tilgængelige for white-label-blockchain-produkter, og dermed udgør et tredjepartsudbyderforhold.

Denne konklusion har vidtrækkende konsekvenser for den regulatoriske vurdering af platforme, der er bygget på tilladelsesfri infrastruktur. Hvis en platform implementerer smarte kontrakter på en tilladelsesfri blockchain såsom Ethereum, etablerer brugen af denne blockchain-infrastruktur ikke i sig selv et tredjepartsudbyderforhold.

Hvis platformoperatøren imidlertid bevarer kontrollen over de smarte kontrakter, kan opgradere eller ændre deres funktionalitet, kontrollerer adgangen til frontend-grænsefladen eller opbevarer administrative nøgler, der kan sætte protokollen på pause, fryse den eller ændre den, bringer disse centraliserede elementer operatøren inden for MiCAR's anvendelsesområde, uanset den underliggende ledgers tilladelsesfri karakter.

Kriteriet er derfor funktionelt snarere end teknologisk: det handler om, hvilken kontrol operatøren rent faktisk udøver, ikke hvilken teknologi systemet er bygget på.

Vigtigste konklusioner:

Under hensyntagen til ovenstående analyse og især ESMA's begrundelse som fremlagt i høringsdokumenterne og den fælles rapport fra januar 2025 er vi af den opfattelse, at følgende udsagn er gældende i forbindelse med denne vurdering.

• For det første kan DeFi-protokollen eller -platformen, så længe ingen person eller enhed kontrollerer en DeFi-protokol eller -platform og dens anvendelse, og ingen person udfylder en grundlæggende og uundværlig rolle i dens drift, uden hvilken teknologien ikke kan anvendes, anses for at være undtaget fra MiCAR's anvendelsesområde i kraft af at være "fuldt decentraliseret" i henhold til betragtning 22.
• For det andet betragtes den blotte udvikling af software eller hjælpeværktøjer til CASP'er ikke som en kryptoaktivtjeneste, medmindre yderligere MiCAR-regulerede aspekter, såsom indflydelse på udbud, salg, overførsel, opbevaring eller handel med kryptoaktiver, er omfattet af de aktiviteter, som udvikleren udfører.

Den praktiske anvendelse af disse principper på ethvert DeFi-projekt kræver dog en omhyggelig undersøgelse af dets økosystems faktiske styring og operationelle karakteristika. Hvis et projekts arkitektur indikerer centraliseret kontrol over udstedelse af tokens, protokolparametre eller styring af økosystemet, er det usandsynligt, at det opfylder undtagelsen for "fuldstændig decentraliseret" i betragtning 22, og de tjenester, der leveres i forbindelse med et sådant projekt, skal vurderes i henhold til MiCAR's bestemmelser.

Hvad vi har afkodet

Undtagelsen for "fuldstændig decentraliseret" er usædvanlig snæver: MiCA's betragtning 22 fastslår, at tjenester, der leveres på en "fuldstændig decentraliseret måde uden nogen formidler", falder uden for forordningens anvendelsesområde, men det er utroligt sjældent, at man opnår denne ægte tilstand af fuld decentralisering. Hvis en enkelt enhed udøver kontrol over styring, protokolparametre eller kerneinfrastruktur, finder undtagelsen ikke anvendelse.

Indhold frem for form dikterer overholdelse: Tilsynsmyndighederne ser bort fra markedsføringspåstande og teknisk semantik for at vurdere den faktiske operationelle kontrol. Den regulatoriske test er funktionel, ikke teknologisk: hvis en operatør opbevarer administrative nøgler, kontrollerer front-end-grænsefladen eller har mulighed for at opgradere eller sætte smartkontrakter på pause, falder de inden for MiCA's anvendelsesområde.

Decentralisering findes på et spektrum: ESMA betragter ikke decentralisering som et binært begreb. Selv hvis et projekt i høj grad er baseret på autonom kode og smartkontrakter, vil tilstedeværelsen af identificerbare enheder, der udøver varierende grader af kontrol over gebyrstrukturer, protokolopgraderinger eller styring, udløse tilsynsmyndighedernes granskning.

Tilladelsesfri blockchains er "fællesgoder": At basere sig på en offentlig, tilladelsesfri blockchain etablerer ikke et formelt outsourcingforhold til tredjepart i henhold til artikel 73 i MiCA, da ESMA kategoriserer disse som "fællesgoder". Imidlertid beskytter implementering af smartkontrakter på en fællesgodsinfrastruktur ikke platformoperatøren mod MiCA, hvis denne bevarer funktionel kontrol over disse kontrakter.

Softwareudviklere er ikke automatisk CASP'er: Det faktum, at man blot udvikler og sælger software eller hardware uden opbevaring, betyder ikke automatisk, at en enhed klassificeres som en udbyder af kryptoaktivtjenester (CASP). Hvis udviklerne eller operatørerne imidlertid bevarer tilstrækkelig indflydelse over kryptoaktiverne, platformen eller de løbende forretningsforhold med brugerne, overskrider de den regulatoriske tærskel og vil blive reguleret som CASP'er.

Denne artikel er baseret på en undersøgelse foretaget af LegalBison i april 2026. Indholdet er udelukkende til orientering og udgør ikke juridisk rådgivning.