MiCA رمزگشایی‌شده: «ما یک دفتر در اتحادیه اروپا داریم» کافی نیست؛ این‌ها چیزهایی است که ناظران واقعاً می‌خواهند ببینند

«رمزگشایی MiCA» یک مجموعه هفتگی ۱۲ مقاله‌ای برای Bitcoin.com News است که به‌صورت مشترک توسط مدیران هم‌بنیان‌گذار و مدیرعامل LegalBison نوشته شده است: Aaron Glauberman، Viktor Juskin و Sabir Alijev. LegalBison به شرکت‌های کریپتو و فین‌تک درباره اخذ مجوز MiCA، درخواست‌های CASP و VASP و ساختارسازی مقرراتی در سراسر اروپا و فراتر از آن مشاوره می‌دهد.

یادداشت این هفته را Krystian Lapka، وکیل در LegalBison نوشته است. Krystian در معاملات شرکتی و تجاری فرامرزی، در کنار مدیریت راهبردی ریسک در نقطه تلاقی حقوق نوشته (civil law) و حقوق کامن‌لا (common law) تخصص دارد.

---

بیشتر بنیان‌گذارانی که به اولین درخواست CASP خود نزدیک می‌شوند، دست‌کم به‌صورت انتزاعی می‌دانند که MiCA حضور واقعی در اتحادیه اروپا را می‌طلبد. چیزی که دست‌کم می‌گیرند این است که رگولاتور «واقعی» را چگونه تعریف می‌کند.

چیدمان معمولِ مرحله اولیه روی کاغذ منسجم به نظر می‌رسد: دفتر ثبت‌شده در یک حوزه قضایی مطلوب در اتحادیه اروپا، یک مدیر منصوب‌شده در اسناد حاکمیتی، سامانه‌های ICT که یا روی ابر میزبانی می‌شوند یا از زیرساخت جهانی گروه مدیریت می‌گردند، و سرمایه پرداخت‌شده که در یک حساب بانکی تازه‌افتتاح‌شده نشسته است.

از درون، این شبیه یک شرکت اتحادیه اروپاست. از منظر یک مرجع صلاحیت‌دار ملی (NCA)، ممکن است شبیه یک شرکت صندوق‌پستی باشد با یک مدیر الصاق‌شده.

این مقاله نشان می‌دهد الزامات «جوهره» در MiCA واقعاً در حوزه‌های نیروی انسانی، فناوری و تاب‌آوری مالی چه می‌طلبد، و توضیح می‌دهد چرا رگولاتورها با هر دسته به‌عنوان یک آزمون کارکردی برخورد می‌کنند نه یک تمرین مستندسازی.

نگرانیِ محرکِ همه این‌ها یکی است: جلوگیری از شرکت‌های صندوق‌پستی—اشخاصی که روی کاغذ در یک حوزه قضایی مطلوب وجود دارند، اما هیچ فعالیت اقتصادی معنادار، سرمایه انسانی یا ظرفیت عملیاتی واقعی در آن ندارند.

افسانه: حضور برابر است با جوهره

منطق مقرراتی در اینجا قدیمی‌تر از MiCA است. در رأی سرنوشت‌ساز Cadbury Schweppes (پرونده C-196/04)، دیوان دادگستری اتحادیه اروپا مقرر کرد که آزادیِ تأسیس نمی‌تواند برای ایجاد «ترتیبات کاملاً مصنوعی» که فاقد فعالیت اقتصادی واقعی هستند به کار رود. MiCA این اصل را مستقیماً در مقررات دارایی‌های رمزینه کُدگذاری می‌کند.

ماده 59(2) MiCA بیان می‌کند که CASPهای مجاز باید دفتر ثبت‌شده خود را در یک کشور عضو داشته باشند که در آن دست‌کم بخشی از خدمات دارایی رمزینه را انجام می‌دهند، باید محل مدیریت مؤثرشان در داخل اتحادیه باشد، و باید دست‌کم یک مدیر مقیم اتحادیه داشته باشند. متن این حکم کوتاه است. اما آنچه پشت آن قرار دارد به‌مراتب پرتقاضاتر است.

یادداشت نظارتی ESMA درباره اعطای مجوز به CASPها، هرچند الزام‌آور نیست، به‌روشنی نشان می‌دهد که از NCAs انتظار می‌رود این الزامات را در عمل چگونه تفسیر کنند.

شکاف میان متن قانونی و انتظار نظارتی همان جایی است که بسیاری از درخواست‌ها با اصطکاک روبه‌رو می‌شوند.

نیروی انسانی: چه کسی واقعاً این نهاد را اداره می‌کند

حداقل آستانه تحت MiCA داشتن یک مدیر مقیم اتحادیه اروپا است. راهنمای نظارتی این معیار را بالاتر می‌برد.

یادداشت ESMA حداقل دو مدیر ارشد را پیش‌بینی می‌کند که به‌صورت مشترک عملیات روزانه را نظارت کنند. منطق آن ساده است: یک مدیر واحد ریسک تمرکز ایجاد می‌کند و کنترل‌های داخلی موردنیاز یک ساختار حاکمیتی کارآمد را از بین می‌برد. دو مدیر با مسئولیت‌های تعریف‌شده و همپوشان، خط مبنای مورد انتظار است.

اقامت به‌تنهایی کافی نیست. راهنما نشان می‌دهد اگر یکی از اعضای ارکان مدیریتی در حوزه قضایی NCA مقیم نباشد، آن فرد باید بتواند بنا به درخواست مرجع، ظرف دو روز کاری در جلسات حضوری شرکت کند.

برای حوزه‌هایی که نزدیکی فیزیکی به ناظر از نظر عملیاتی اهمیت دارد، این یک محدودیت عملی است بر اینکه مدیر تا چه حد می‌تواند دور از حوزه قضایی «خانه» مستقر باشد و همچنان مؤثر تلقی شود.

به تعهد زمانی نیز با جدیت مشابهی برخورد می‌شود. موضع ESMA، همان‌طور که در یادداشت نظارتی درباره اعطای مجوز به CASPها بیان شده، این است که اعضای هیئت‌مدیره اجرایی مدیریت باید عموماً ۱۰۰٪ زمان حرفه‌ای خود را به نقش CASP اختصاص دهند. «دوکلاهگی» (double-hatting)، یعنی زمانی که یک فرد در ظرفیت اجرایی در چند نهاد خدمت می‌کند، فقط در شرایط محدود مجاز است. مدیری که توجه خود را بین CASP و شرکت دیگری از گروه تقسیم می‌کند، احتمالاً در ارزیابی شایستگی (fit-and-proper) با موشکافی روبه‌رو خواهد شد.

خطوط گزارش‌دهی به اندازه پروفایل‌های فردی اهمیت دارند. نهاد مدیریتی باید نشان دهد کنترل راهبردی و عملیاتی در داخل نهاد اتحادیه اروپا قرار دارد، نه در شرکت مادرِ مستقر در کشور ثالث که تصمیم‌های واقعی را می‌گیرد و دستورالعمل‌ها را به پایین صادر می‌کند.

یک شرکت تابعه اتحادیه اروپا که مدیرانش عملاً به‌عنوان مجریان دستورهای یک ستاد غیراروپایی عمل می‌کنند، از نظر نظارتی نهادی با مدیریت واقعی در اتحادیه اروپا محسوب نمی‌شود.

بُعد AML این موضوع را تقویت می‌کند. فرد مسئول ثبت و ارسال گزارش‌های فعالیت مشکوک (MLRO) باید حضور فیزیکی داشته باشد، اختیار واقعی در داخل نهاد را دارا باشد و بتواند مستقیماً با واحد اطلاعات مالی محلی تعامل کند. این الزام منعکس‌کننده یک روند جهانی گسترده‌تر است: چارچوب گزارش‌دهی دارایی‌های رمزینه (CARF) متعلق به FATF و OECD با همان منطق عمل می‌کند و الزامات جوهره و شفافیت را فراتر از اتحادیه اروپا گسترش می‌دهد.

الزامات نیروی انسانی MiCA و CARF تحولات بی‌ربطی نیستند؛ آن‌ها بازتاب یک استاندارد بین‌المللیِ همگرا درباره اینکه یک نهاد کریپتوییِ تحت نظارت از درون باید چه شکلی داشته باشد هستند.

استاندارد صلاحیت جمعی در ماده 68(1) اقتضا می‌کند نهاد مدیریتی هم به‌صورت فردی و هم جمعی دارای دانش، مهارت‌ها و تجربه مناسب باشد. همان‌طور که در بخش قبلی این مجموعه پوشش داده شد، این استاندارد حوزه‌های مقررات بازارهای مالی سنتی، زیرساخت DLT و امنیت سایبری، و حاکمیت سازمانی را دربر می‌گیرد. هر یک از این حوزه‌ها باید در اتاق نمایندگی داشته باشد.

تیمی که کاملاً از پس‌زمینه‌های بومی کریپتو تشکیل شده و تجربه خدمات مالیِ تحت نظارت ندارد، یا تیمی با تجربه عمیق TradFi اما بدون توان ارزیابی ریسک‌های آن‌چین، شکاف‌های ساختاری دارد که فرایند ارزیابی آن را آشکار خواهد کرد.

فناوری: کنترل، نه صرفاً میزبانی

DORA (مقرره (EU) 2022/2554) مستقیماً بر CASPها اعمال می‌شود و چارچوب الزامات تاب‌آوری ICT را تعیین می‌کند. پرسشی که رگولاتورها درباره فناوری می‌پرسند این نیست که یک شرکت از چه زیرساختی استفاده می‌کند. پرسش این است که چه کسی آن را کنترل می‌کند.

زیرساخت ابریِ میزبانی‌شده توسط AWS، Azure یا ارائه‌دهندگان مشابه طبق رویه نظارتی فعلی قابل قبول است. مسئله زمانی ایجاد می‌شود که نهاد مجاز در اتحادیه اروپا کنترل اداری معناداری بر سامانه‌هایی که به آن‌ها وابسته است نداشته باشد.

اگر مدیریت کلیدهای رمزنگاری در اختیار تیم IT جهانی شرکت مادر باشد، اگر حقوق دسترسی به داده‌های مشتری از خارج از اتحادیه اروپا مدیریت شود، یا اگر برنامه بازیابی پس از فاجعه به تأییدهای ستادِ کشور ثالث وابسته باشد، نهاد اتحادیه اروپا نمی‌تواند استقلال عملیاتی واقعی را نشان دهد.

موضع ESMA، همان‌طور که در مواد مشورتی‌اش منعکس است، این است که تیم مدیریتی اتحادیه اروپا باید کنترل واقعی بر زیرساخت ICT مرتبط با عملیات CASP داشته باشد. سیاست تداوم کسب‌وکار و برنامه‌های بازیابی پس از فاجعه که تحت ماده 68(7) لازم است، باید متعلق به نهاد اتحادیه اروپا باشد و قابلیت اجرا توسط آن را داشته باشد، نه وابسته به یک کارکرد جهانی که ممکن است در بحران پاسخ بدهد یا ندهد.

آزمون عملی صریح است: اگر تیم IT جهانی شرکت مادر یک‌شبه از دسترس خارج شود، آیا نهاد اتحادیه اروپا می‌تواند به فعالیت ادامه دهد، به وجوه مشتریان دسترسی داشته باشد و دارایی‌ها را به مشتریان بازگرداند؟ اگر پاسخ «نه» است، یا نه بدون تشدید قابل‌توجه به کارکنان غیراروپایی، پرسش جوهره حل‌وفصل نشده است.

انطباق با GDPR و الزامات حکمرانی داده نیز بر چارچوب DORA لایه می‌شود. ترتیبات پردازش داده، روابط کنترل‌کننده-پردازش‌گر، و ملاحظات محل اقامت داده همگی بخشی از معماری فنی هستند که رگولاتورها بررسی خواهند کرد.

مالی: سرمایه‌ای که واقعاً کار می‌کند

ماده 67 حداقل تضمین‌های احتیاطی را تعیین می‌کند. سطوح سرمایه بر اساس طبقه خدمات تعریف می‌شوند:

رقم حداقل سرمایه نقطه شروع است، نه سقف. تضمین‌های احتیاطی باید برابر با رقم بالاتر از این دو باشد: یا حداقل سرمایه دائمی، یا یک‌چهارم هزینه‌های ثابت سربارِ سال قبل.

با رشد یک CASP و افزایش هزینه‌های ثابت سربار آن، این بخش دوم به قید محدودکننده تبدیل می‌شود. وقتی سربار از چهار برابر سرمایه پرداخت‌شده اولیه فراتر رود، شرکت باید به چارچوب مبتنی بر سربار منتقل شود. این نقطه چرخش سریع‌تر از چیزی که بسیاری از اپراتورها انتظار دارند فرا می‌رسد و رگولاتورها پایش پیش‌دستانه را انتظار دارند، نه تعدیل واکنشی را.

یک نکته ساختاری که باید به آن توجه کرد: سرمایه باید به حسابی واریز شود که نزد یک مؤسسه اعتباری رسمی نگهداری می‌شود.

حساب یک EMI یا ارائه‌دهنده خدمات پرداخت این الزام را برآورده نمی‌کند. ایجاد رابطه بانکی به‌عنوان یک کسب‌وکار کریپتویی زمان‌بر است و تضمینی نیست. آغاز این فرایند از ابتدا، پیش از ثبت رسمی درخواست، اختیاری نیست. این یک محدودیت توالی است که کل زمان‌بندی اخذ مجوز را تحت تأثیر قرار می‌دهد.

الزام اینکه صورت‌های مالی مورد استفاده در محاسبه سربار ثابت به‌طور مقتضی حسابرسی شوند یا توسط مراجع نظارتی ملی اعتبارسنجی شوند، بُعد اداری دیگری اضافه می‌کند. نهادهای تازه‌تأسیس که سربار دوازده ماه نخست را پیش‌بینی می‌کنند باید این پیش‌بینی‌ها را با روش‌شناسی مستند و روشن در درخواست مجوز خود درج کنند.

برون‌سپاری و آستانه جوهره

ماده 73 به CASPها اجازه می‌دهد کارکردهای عملیاتی را به اشخاص ثالث برون‌سپاری کنند. محدودیت این است که برون‌سپاری نباید نهادِ مجاز را توخالی کند. مسئولیت بر عهده CASP باقی می‌ماند؛ تفویض، پاسخ‌گویی را منتقل نمی‌کند.

یادداشت نظارتی ESMA درباره اعطای مجوز به CASPها درصدِ کل هزینه‌های منتسب به کارکردهای خارج از اتحادیه اروپا را به‌عنوان شاخص عملیِ اینکه آیا برون‌سپاری بیش از حد پیش رفته است، معرفی می‌کند. یک CASP که بخش عمده هزینه‌های عملیاتی‌اش به ارائه‌دهندگان خدمات غیراروپایی—even اگر خوب اداره‌شده و معتبر باشند—سرازیر شود، ممکن است با پرسش‌هایی مواجه شود درباره اینکه آیا نهاد اتحادیه اروپا ظرفیت داخلی کافی دارد تا به‌عنوان ارائه‌دهنده خدمات واقعی واجد شرایط باشد، نه صرفاً یک کانال انتقال.

تمایزی که رگولاتور قائل می‌شود میان CASPهایی است که برخی کارکردهای مشخص را برون‌سپاری می‌کنند اما کنترل را حفظ می‌کنند، و CASPهایی که همه امور ماهوی را برون‌سپاری می‌کنند و فقط شکل حقوقی را نگه می‌دارند. دومی یک پوسته است، صرف‌نظر از اینکه در درخواست چگونه توصیف شود.

تفاوت‌های حوزه‌ای: قانون یکسان، اجرای متفاوت

MiCA در سراسر کشورهای عضو اتحادیه اروپا به‌طور مستقیم قابل اجراست. الزامات ماهوی یکسان‌اند. رویه نظارتی یکسان نیست.

قبرس، از طریق CySEC، صراحتاً الزام کرده است که اکثریت اعضای هیئت‌مدیره یک CASP مقیم فیزیکی قبرس باشند. برای یک هیئت‌مدیره با دو مدیر اجرایی و دو مدیر غیر اجرایی، این یعنی حداقل سه مدیر مقیم قبرس. این فراتر از آن چیزی است که متن MiCA می‌خواهد و بازتاب دستورالعمل‌های ملی AML است که بر روی چارچوب هماهنگ‌شده اتحادیه اروپا لایه می‌شود.

استونی پویایی متفاوتی دارد. تحت رژیم قبلی ثبت VASP که توسط واحد اطلاعات مالی اداره می‌شد، استونی به یکی از حوزه‌های مجوزدهیِ در دسترس اروپا تبدیل شد. گذار به MiCA مسئولیت نظارت را به «مرجع نظارت و حل‌وفصل مالی استونی» منتقل کرد که رویکرد نهادی متفاوتی برای بررسی و نظارت مستمر به همراه دارد.

وضعیت قانون‌گذاری لهستان، که در بخش‌های قبلی این مجموعه بررسی شد، شکاف ساختاری ایجاد کرده است؛ جایی که قانون داخلی اجرای MiCA هنوز تصویب نشده و KNF بدون تعیین رسمی به‌عنوان مرجع صلاحیت‌دار باقی مانده و دارندگان VASP بدون مسیر داخلیِ قابل اتکا برای ارائه درخواست CASP هستند.

این تفاوت‌ها نه رخنه‌اند و نه ظرایف اداری. آن‌ها بازتاب این واقعیت‌اند که یک چارچوب حقوقی هماهنگ‌شده همچنان از طریق فرهنگ‌های نظارتی ملی، محدودیت‌های منابع انسانی و تاریخچه‌های نهادی عمل می‌کند. انتخاب یک حوزه قضایی برای اخذ مجوز CASP یعنی انتخاب یک رگولاتور، با تمام پیامدهای عملیِ ناشی از آن.

«استقرار واقعی» واقعاً چه می‌طلبد

در مجموع، الزامات جوهره تحت MiCA بیشتر بازتاب یک فلسفه نظارتی هستند تا یک چک‌لیست. رگولاتور می‌خواهد مطمئن شود که اگر مشکلی رخ دهد، راه رجوع معناداری دارد.

یعنی رهبری اجرایی از نظر فیزیکی در دسترس و از نظر حقوقی تحت قوانین اتحادیه اروپا مسئول است. یعنی سامانه‌های ICT توسط نهاد اتحادیه اروپا قابل کنترل‌اند بدون وابستگی به زنجیره‌های مجوزدهی خارج از اتحادیه. یعنی سرمایه واقعاً در دسترس است و متناسب با ریسک عملیاتی واقعی اندازه‌گذاری شده است.

و یعنی حاکمیتی که در آن نهاد اتحادیه اروپا تصمیم‌های واقعی می‌گیرد، نه اینکه صرفاً دستورهایی را که از جای دیگری صادر شده‌اند اجرا کند.

شرکت‌هایی که به این موضوع به‌عنوان یک تمرین مستندسازی نگاه می‌کنند معمولاً فرایند را دشوارتر از انتظار می‌یابند. شرکت‌هایی که ابتدا جوهره را می‌سازند و سپس آنچه را ساخته‌اند مستند می‌کنند، معمولاً آن را سرراست‌تر می‌بینند. درخواست مجوز سازمان را ایجاد نمی‌کند. سازمانی را توصیف می‌کند که باید تا حد زیادی از پیش وجود داشته باشد.

منابع:

• یادداشت نظارتی ESMA درباره اعطای مجوز به CASPها
• سند مشورتی ESMA درباره MiCA، بسته دوم
• کتابچه قوانین MiCA از MFSA

این مقاله بر اساس یک مطالعه انجام‌شده توسط LegalBison در مه 2026 تهیه شده است. این محتوا صرفاً برای اطلاع‌رسانی است و به‌منزله مشاوره حقوقی نیست.