MiCA selitettynä: ”Meillä on EU-toimisto” ei riitä: tässä on se, mitä sääntelyviranomaiset todella haluavat nähdä

MiCA Decoded on 12-osainen viikoittainen sarja Bitcoin.com Newsille, jonka ovat kirjoittaneet yhdessä LegalBisonin perustajat ja toimitusjohtajat Aaron Glauberman, Viktor Juskin ja Sabir Alijev. LegalBison neuvoo krypto- ja FinTech-yrityksiä MiCA-lisensointiin, CASP- ja VASP-hakemuksiin sekä sääntelyrakenteisiin Euroopassa ja sen ulkopuolella.

Tämän viikon artikkelin on kirjoittanut Krystian Lapka, lakimies LegalBisonilla. Krystian on erikoistunut rajat ylittäviin yritys- ja kauppatapahtumiin sekä strategiseen riskienhallintaan siviili- ja common law -oikeuden risteyskohdassa.

---

Useimmat perustajat, jotka ovat tekemässä ensimmäistä CASP-hakemustaan, ymmärtävät ainakin abstraktilla tasolla, että MiCA edellyttää todellista läsnäoloa EU:ssa. He aliarvioivat kuitenkin sen, miten sääntelyviranomainen määrittelee sanan ”todellinen”.

Tyypillinen alkuvaiheen rakenne näyttää paperilla johdonmukaiselta: rekisteröity toimipaikka suotuisassa EU-lainsäädäntöalueella, hallintoasiakirjoissa nimetty johtaja, joko pilvipohjaiset tai konsernin globaalista infrastruktuurista hallinnoidut ICT-järjestelmät sekä maksettu pääoma vastikään avatulla pankkitilillä.
Sisäpiiristä katsottuna tämä tuntuu EU-yritykseltä. Kansallisen toimivaltaisen viranomaisen näkökulmasta se saattaa näyttää postilaatikolta, johon on liitetty johtaja.

Tässä artikkelissa kartoitetaan, mitä MiCA:n aineellisuusvaatimukset tosiasiassa edellyttävät henkilöstön, teknologian ja taloudellisen kestävyyden osalta, ja selitetään, miksi sääntelyviranomaiset käsittelevät kutakin luokkaa toiminnallisena testinä pikemminkin kuin asiakirjojen tarkasteluna.

Kaiken taustalla on sama huolenaihe: postilaatikkoyritysten estäminen, eli sellaisten yritysten, jotka ovat olemassa paperilla suotuisassa lainkäyttöalueessa, mutta joilla ei ole merkittävää taloudellista toimintaa, inhimillistä pääomaa tai toimintakykyä kyseisellä alueella.

Myytti: läsnäolo on sama kuin aineellisuus

Tämän sääntelyn logiikka on vanhempi kuin MiCA. Merkittävässä Cadbury Schweppes -tuomiossa (asia C-196/04) Euroopan unionin tuomioistuin totesi, että sijoittautumisvapautta ei voida käyttää luomaan ”täysin keinotekoisia järjestelyjä”, joilta puuttuu aito taloudellinen toiminta. MiCA kirjaa tämän periaatteen suoraan kryptovaroja koskevaan sääntelyyn.

MiCA:n 59 artiklan 2 kohdassa todetaan, että toimiluvan saaneiden CASP-yritysten on oltava rekisteröityneet jäsenvaltioon, jossa ne harjoittavat ainakin osaa kryptovaroihin liittyvistä palveluistaan, niiden on oltava toimineet tosiasiallisesti unionin alueella ja niillä on oltava vähintään yksi unionissa asuva johtaja. Säännös on lyhyt. Sen taustalla olevat vaatimukset ovat huomattavasti tiukemmat.

ESMA:n valvontakatsaus CASP-palveluntarjoajien toimilupien myöntämisestä ei ole sitova, mutta se osoittaa selvästi, miten kansallisten toimivaltaisten viranomaisten odotetaan tulkitsevan näitä vaatimuksia käytännössä.

Lakisääteisen tekstin ja valvontaviranomaisten odotusten välinen ero on se kohta, jossa monet hakemukset kohtaavat ongelmia.

Henkilöstö: kuka tosiasiassa johtaa tätä yhteisöä

MiCA:n mukainen vähimmäisvaatimus on yksi EU:ssa asuva johtaja. Valvontaviranomaisten ohjeet nostavat tätä rimaa.

ESMA:n ohjeissa edellytetään, että vähintään kaksi ylintä johtajaa valvoo yhdessä päivittäistä toimintaa. Perustelu on selkeä: yksi johtaja aiheuttaa keskittymäriskin ja poistaa toimivan hallintorakenteen edellyttämät sisäiset tarkastukset. Kaksi johtajaa, joilla on määritellyt, osittain päällekkäiset vastuualueet, on odotettu lähtökohta.

Asuinpaikka ei sinänsä riitä. Ohjeistuksessa todetaan, että jos hallintoelimen jäsen ei asu kansallisen valvontaviranomaisen lainkäyttöalueella, hänen on kyettävä osallistumaan viranomaisen pyynnöstä henkilökohtaisiin kokouksiin kahden työpäivän kuluessa.

Niissä lainkäyttöalueissa, joissa fyysinen läheisyys valvojaan on toiminnallisesti merkittävää, tämä on käytännön rajoitus sille, kuinka kaukana kotilainkäyttöalueesta johtaja voi tosiasiallisesti sijaita.

Aikapanostusta kohdellaan yhtä vakavasti. ESMA:n kanta, sellaisena kuin se on ilmaistu CASP:ien toimilupia koskevassa valvontakatsauksessa, on, että johtoryhmän jäsenten tulisi yleensä omistaa 100 % työajastaan CASP-tehtävään. Saman henkilön toimiminen johtotehtävissä useissa yhteisöissä on sallittua vain rajoitetuissa olosuhteissa. Johtaja, joka jakaa huomionsa CASP:n ja toisen konserniyhtiön välillä, joutuu todennäköisesti tarkkailun kohteeksi soveltuvuus- ja luotettavuusarvioinnin yhteydessä.

Raportointisuhteet ovat yhtä tärkeitä kuin henkilökohtaiset profiilit. Johtokunnan on osoitettava, että strateginen ja operatiivinen valvonta on EU:n yrityksessä, ei kolmannessa maassa sijaitsevassa emoyhtiössä, joka tekee todelliset päätökset ja antaa ohjeita alaspäin.
EU:n tytäryhtiö, jonka johtajat toimivat käytännössä EU:n ulkopuolisen pääkonttorin täytäntöönpanovaltuutettuina, ei ole valvonnan kannalta katsottuna yritys, jolla on aito EU-johto.

Rahanpesun torjunnan ulottuvuus vahvistaa tätä. Epäilyttävistä toimista ilmoittamisesta vastaavan henkilön (MLRO) on oltava fyysisesti läsnä, hänellä on oltava todellista valtaa yhteisön sisällä ja hänen on voitava olla suoraan yhteydessä paikalliseen rahanpesun selvittelykeskukseen. Tämä vaatimus heijastaa laajempaa globaalia suuntausta: FATF:n ja OECD:n kryptovaroja koskeva raportointikehys (CARF) toimii samalla logiikalla ja laajentaa aineellisuus- ja läpinäkyvyysvaatimukset EU:n ulkopuolelle.

MiCA:n henkilöstövaatimukset ja CARF eivät ole toisistaan riippumattomia kehityskulkuja; ne heijastavat yhtenäistyvää kansainvälistä standardia siitä, miltä säännellyn kryptovaluutta-alan yhteisön on näytettävä sisäisesti.

68 artiklan 1 kohdassa tarkoitettu kollektiivinen soveltuvuusvaatimus edellyttää, että johtokunnalla on asianmukaiset tiedot, taidot ja kokemus sekä yksilöllisesti että kollektiivisesti. Kuten tämän sarjan edellisessä osassa käsiteltiin, kyseinen standardi kattaa perinteisen rahoitusmarkkinoiden sääntelyn, DLT-infrastruktuurin ja kyberturvallisuuden sekä organisaation hallinnon. Jokaisen näistä osa-alueista on oltava edustettuna johtoryhmässä.

Tiimi, joka koostuu kokonaan kryptovaluutta-alalta tulevista henkilöistä ilman säänneltyjen rahoituspalveluiden kokemusta, tai tiimi, jolla on syvällistä perinteisen rahoitusalan kokemusta mutta ei kykyä arvioida ketjussa esiintyviä riskejä, kärsii rakenteellisista puutteista, jotka arviointiprosessi tuo esiin.

Teknologia: hallinta, ei pelkästään isännöinti

DORA (asetus (EU) 2022/2554) koskee suoraan CASP-palveluntarjoajia ja asettaa puitteet ICT-resilienssivaatimuksille. Sääntelyviranomaisten kysymys teknologian suhteen ei ole se, mitä infrastruktuuria yritys käyttää. Kysymys on siitä, kuka sitä hallitsee.

AWS:n, Azuren tai vastaavien palveluntarjoajien isännöimä pilvi-infrastruktuuri on nykyisen valvontakäytännön mukaan hyväksyttävää. Ongelma syntyy, kun EU:ssa toimiluvan saaneella yrityksellä ei ole merkittävää hallinnollista valvontaa järjestelmistä, joista se on riippuvainen.

Jos salausavainten hallinta kuuluu emoyhtiön globaalille IT-tiimille, jos asiakastietojen käyttöoikeuksia hallinnoidaan EU:n ulkopuolelta tai jos katastrofien varalle laadittu palautumissuunnitelma riippuu kolmannen maan pääkonttorin hyväksynnästä, EU:n yritys ei voi osoittaa aitoa toiminnallista riippumattomuutta.

ESMA:n kanta, joka ilmenee sen kuulemisasiakirjoista, on, että EU:n johtoryhmällä on oltava tosiasiallinen määräysvalta CASP:n toimintaan liittyvään ICT-infrastruktuuriin. Artiklan 68(7) mukaiset liiketoiminnan jatkuvuuspolitiikka ja katastrofien varalle laaditut suunnitelmat on oltava EU:n yksikön vastuulla ja toteutettavissa, eivätkä ne saa olla riippuvaisia globaalista toiminnosta, joka saattaa kriisitilanteessa toimia tai olla toimimatta.

Käytännön testi on selkeä: jos emoyhtiön globaali IT-tiimi ei olisi käytettävissä yhtäkkiä, voisiko EU-yksikkö jatkaa toimintaansa, käyttää asiakkaiden varoja ja palauttaa varat asiakkaille? Jos vastaus on ei, tai ei ilman merkittävää eskalointia EU:n ulkopuoliseen henkilöstöön, olennaista kysymystä ei ole ratkaistu.

GDPR-vaatimusten noudattaminen ja tietohallinnon vaatimukset täydentävät DORA-kehystä. Tietojenkäsittelyjärjestelyt, rekisterinpitäjän ja käsittelijän väliset suhteet sekä tietojen sijaintia koskevat näkökohdat ovat kaikki osa teknistä arkkitehtuuria, jota sääntelyviranomaiset tarkastelevat.

Taloudellinen: pääoma, joka todella toimii

67 artiklassa vahvistetaan vähimmäisvaatimukset vakavaraisuudelle. Pääomatasot määritellään palveluluokittain:

Vähimmäispääoma on lähtökohta, ei yläraja. Vakavaraisuussuojien on vastattava joko pysyvää vähimmäispääomaa tai edellisen vuoden kiinteiden yleiskustannusten neljännestä, sen mukaan kumpi on suurempi.

CASP:n kasvaessa ja sen kiinteiden yleiskustannusten noustessa tästä toisesta osasta tulee sitova rajoitus. Kun yleiskustannukset ylittävät nelinkertaisen määrän alkuperäisestä maksusta pääomasta, yrityksen on siirryttävä yleiskustannuksiin perustuvaan malliin. Tämä käännekohta saavutetaan nopeammin kuin monet toimijat ennakoivat, ja sääntelyviranomaiset odottavat ennakoivaa seurantaa reaktiivisten muutosten sijaan.

Huomionarvoinen rakenteellinen seikka: pääoma on maksettava virallisessa luottolaitoksessa pidettävälle tilille.

EMI- tai maksupalveluntarjoajan tili ei täytä tätä vaatimusta. Pankkisuhteen luominen kryptoliiketoiminnalle vie aikaa, eikä sitä voida taata. Tämän prosessin aloittaminen varhaisessa vaiheessa, ennen hakemuksen virallista jättämistä, ei ole vapaaehtoista. Se on aikataulurajoite, joka vaikuttaa koko toimilupaprosessin aikatauluun.

Vaatimus, jonka mukaan kiinteiden yleiskustannusten laskennassa käytettävät tilinpäätökset on asianmukaisesti tarkastettava tai vahvistettava kansallisten sääntelyviranomaisten toimesta, lisää hallinnollista työtä. Uusien yritysten, jotka laativat ennusteen ensimmäisten 12 kuukauden yleiskustannuksistaan, on liitettävä nämä ennusteet toimilupahakemukseensa ja dokumentoitava menetelmä selkeästi.

Ulkoistaminen ja olennaisuusraja

73 artikla sallii CASP-yritysten ulkoistaa operatiivisia toimintoja kolmansille osapuolille. Rajoituksena on, että ulkoistaminen ei saa heikentää toimiluvan saanutta yritystä. Vastuu säilyy CASP-yrityksellä; valtuuttaminen ei siirrä vastuuta.

ESMA:n valvontakatsauksessa CASP-toimilupien myöntämisestä määritellään EU:n ulkopuolella sijaitseviin toimintoihin kohdistuvien kokonaiskustannusten prosenttiosuus käytännön indikaattoriksi siitä, onko ulkoistaminen mennyt liian pitkälle. CASP, jonka operatiivisten menojen suurin osa menee EU:n ulkopuolisiin palveluntarjoajiin, vaikka nämä olisivatkin hyvin hoidettuja ja hyvämaineisia, voi joutua vastaamaan kysymyksiin siitä, onko EU-yksiköllä riittävää sisäistä kapasiteettia, jotta se voidaan katsoa aidoksi palveluntarjoajaksi eikä pelkäksi välittäjäksi.

Sääntelyviranomainen tekee eron CASP-yritysten välillä, jotka ulkoistavat tiettyjä toimintoja säilyttäen kuitenkin hallinnan, ja CASP-yritysten välillä, jotka ulkoistavat kaiken olennaisen säilyttäen vain oikeudellisen muodon. Jälkimmäinen on pelkkä kuori, riippumatta siitä, miten järjestely on kuvattu hakemuksessa.

Oikeusjärjestelmien erot: sama laki, erilaiset käytännöt

MiCA on suoraan sovellettavissa kaikissa EU:n jäsenvaltioissa. Olennaiset vaatimukset ovat yhtenäiset. Valvontakäytännöt eivät ole.

Kypros on CySEC:n kautta nimenomaisesti vaatinut, että enemmistö CASP:n hallituksen jäsenistä on fyysisesti Kyproksella asuvia. Kahden toimeenpanevan ja kahden ei-toimeenpanevan johtajan hallituksessa tämä tarkoittaa vähintään kolmea Kyproksella asuvaa johtajaa. Tämä ylittää MiCA-säädöksen vaatimukset ja heijastaa kansallisia rahanpesun torjuntaa koskevia direktiivejä, jotka on lisätty yhdenmukaistetun EU-kehyksen päälle.
Viro esittää erilaisen dynamiikan. Aiemman, rahanpesun selvittelykeskuksen hallinnoiman VASP-rekisteröintijärjestelmän alla Virosta tuli yksi Euroopan helpoimmin saavutettavista toimilupajurisdiktioista. Siirtyminen MiCA:an siirsi valvontavastuun Viron finanssivalvonta- ja kriisinratkaisuviranomaiselle, mikä tuo erilaisen institutionaalisen lähestymistavan tarkasteluun ja jatkuvaan valvontaan.

Tämän sarjan aiemmissa osissa käsitelty Puolan lainsäädäntötilanne on aiheuttanut rakenteellisen aukon, jossa kansallista MiCA-täytäntöönpanolakia ei ole vielä säädetty, minkä vuoksi KNF:llä ei ole virallista nimitystä toimivaltaisena viranomaisena ja VASP-haltijoilla ei ole toimivaa kansallista CASP-hakumenettelyä.

Nämä vaihtelut eivät ole porsaanreikiä tai hallinnollisia erikoisuuksia. Ne heijastavat todellisuutta, jossa yhdenmukaistettu oikeudellinen kehys toimii edelleen kansallisten valvontakulttuurien, henkilöstörajoitusten ja institutionaalisten historiajen kautta. CASP-lupaa varten toimivaltaisen alueen valitseminen tarkoittaa sääntelyviranomaisen valitsemista, mihin liittyy kaikki käytännön seuraukset.

Mitä ”todellinen toimipaikka” tosiasiassa edellyttää

Yhteenvetona voidaan todeta, että MiCA:n sisältövaatimukset heijastavat pikemminkin valvontaperiaatetta kuin tarkistuslistaa. Sääntelyviranomainen haluaa olla varma siitä, että jos jokin menee pieleen, sillä on merkitykselliset oikeussuojakeinot.

Tämä tarkoittaa, että yrityksen johto on fyysisesti tavoitettavissa ja oikeudellisesti vastuussa EU:n lainsäädännön nojalla. Se tarkoittaa, että EU-yksikkö voi hallita ICT-järjestelmiä ilman riippuvuutta EU:n ulkopuolisista lupaketjuista. Se tarkoittaa pääomaa, joka on aidosti käytettävissä ja mitoitettu todellisen operatiivisen riskin mukaan.

Ja se tarkoittaa hallintoa, jossa EU-yksikkö tekee todellisia päätöksiä sen sijaan, että se vain panisi täytäntöön muualta annettuja ohjeita.

Yritykset, jotka lähestyvät tätä asiakirjojen laatimisen tehtävänä, kokevat prosessin usein odotettua vaikeammaksi. Yritykset, jotka rakentavat ensin aineellisen toiminnan ja dokumentoivat sen jälkeen rakentamansa, kokevat prosessin yleensä suoraviivaisemmaksi. Hakemus ei luo organisaatiota. Se kuvaa organisaatiota, jonka pitäisi jo suurelta osin olla olemassa.

Lähteet:

• ESMA:n valvontakatsaus CASP-toimilupien myöntämisestä
• ESMA:n MiCA-kuulemisasiakirja, 2. paketti
• MFSA:n MiCA-sääntökirja

Tämä artikkeli perustuu LegalBisonin toukokuussa 2026 tekemään tutkimukseen. Sisältö on tarkoitettu vain tiedoksi eikä se ole oikeudellista neuvontaa.