MiCA מפוענח: "יש לנו משרד באיחוד האירופי" זה לא מספיק: הנה מה שהרגולטורים באמת רוצים לראות

MiCA Decoded היא סדרה שבועית בת 12 מאמרים עבור Bitcoin.com News, שנכתבת בשיתוף עם דירקטורי הייסוד והדירקטורים המנהלים של LegalBison: Aaron Glauberman, Viktor Juskin ו-Sabir Alijev. LegalBison מייעצת לחברות קריפטו ו-FinTech בנוגע לרישוי MiCA, בקשות CASP ו-VASP, ותכנון מבני רגולציה ברחבי אירופה ומעבר לה.

הרשומה של השבוע נכתבה על ידי Krystian Lapka, עורך דין ב-LegalBison. קריסטיאן מתמחה בעסקאות תאגידיות ומסחריות חוצות גבולות, לצד ניהול סיכונים אסטרטגי בצומת שבין המשפט הקונטיננטלי למשפט המקובל.

---

רוב המייסדים שניגשים לבקשת ה-CASP הראשונה שלהם מבינים, לפחות באופן מופשט, ש-MiCA מחייבת נוכחות אמיתית באיחוד האירופי. מה שהם ממעיטים בו הוא האופן שבו הרגולטור מגדיר “אמיתית”.

ההקמה הטיפוסית בשלבים מוקדמים נראית קוהרנטית על הנייר: משרד רשום בתחום שיפוט נוח באיחוד האירופי, דירקטור שמופיע במסמכי הממשל התאגידי, מערכות ICT שמאוחסנות בענן או מנוהלות מתשתית הגלובלית של הקבוצה, והון ששולם ומוחזק בחשבון בנק שנפתח זה עתה.

מבפנים, זה מרגיש כמו חברה אירופית. מנקודת מבטה של רשות מוסמכת לאומית (NCA), זה עשוי להיראות כמו “תיבת דואר” עם דירקטור צמוד.

מאמר זה ממפה מה באמת דורשות דרישות ה“מהות” של MiCA בתחומי כוח האדם, הטכנולוגיה והחוסן הפיננסי, ומסביר מדוע רגולטורים מתייחסים לכל קטגוריה כמבחן פונקציונלי ולא כתרגיל תיעוד.

הדאגה שמניעה את כולן זהה: מניעת חברות “תיבת דואר”, ישויות שקיימות על הנייר בתחום שיפוט נוח אך חסרות פעילות כלכלית משמעותית, הון אנושי או יכולת תפעולית בתוכו.

המיתוס: נוכחות שווה מהות

הלוגיקה הרגולטורית כאן ותיקה מ-MiCA. בפסק הדין המכונן Cadbury Schweppes (תיק C-196/04), בית הדין לצדק של האיחוד האירופי קבע שחופש ההתאגדות אינו יכול לשמש ליצירת “סידורים מלאכותיים לחלוטין” שחסרים פעילות כלכלית אמיתית. MiCA מעגנת את העיקרון הזה ישירות ברגולציית נכסי הקריפטו.

סעיף 59(2) של MiCA קובע כי CASPs מורשים חייבים להיות עם משרד רשום במדינה חברה שבה הם מבצעים לפחות חלק משירותי נכסי הקריפטו שלהם, חייבים שהמקום של הניהול האפקטיבי שלהם יהיה בתוך האיחוד, וחייב להיות להם לפחות דירקטור אחד תושב האיחוד. ההוראה קצרה. מה שעומד מאחוריה תובעני בהרבה.

תדרוך הפיקוח של ESMA בנושא מתן הרשאות ל-CASPs, אף שהוא אינו מחייב, מאותת בבירור כיצד מצופות ה-NCAs לפרש דרישות אלה בפועל.

הפער בין נוסח החוק לבין ציפיית הפיקוח הוא המקום שבו בקשות רבות נתקלות בחיכוך.

כוח אדם: מי באמת מנהל את הישות הזו

הסף המינימלי תחת MiCA הוא דירקטור אחד תושב האיחוד. הנחיות הפיקוח מעלות את הרף הזה.

התדרוך של ESMA צופה לפחות שני מנהלים בכירים המפקחים יחד על הפעילות היומיומית. ההיגיון פשוט: מנהל יחיד יוצר סיכון ריכוז ומבטל את מנגנוני הבקרה הפנימיים שמבנה ממשל תקין מחייב. שני מנהלים עם תחומי אחריות מוגדרים וחופפים הוא קו הבסיס המצופה.

תושבות לבדה אינה מספיקה. ההנחיות מציינות שכאשר חבר בגוף הניהול אינו תושב בתחום השיפוט של ה-NCA, אותו אדם צריך להיות מסוגל להשתתף בישיבות פרונטליות לפי דרישת הרשות בתוך שני ימי עסקים.

במדינות שבהן הקרבה הפיזית למפקח חשובה תפעולית, זהו אילוץ מעשי לגבי המרחק שממנו יכול דירקטור להיות ממוקם באופן אפקטיבי ביחס לתחום השיפוט הביתי.

גם מחויבות הזמן נתפסת ברצינות דומה. עמדת ESMA, כפי שנוסחה ב-תדרוך הפיקוח שלה בנושא מתן הרשאות ל-CASPs, היא שחברי הנהלה מבצעת בגוף הניהול צריכים בדרך כלל להקדיש 100% מזמנם המקצועי לתפקיד ה-CASP. “כפל כובעים”, שבו אותו אדם משמש בתפקיד ניהולי בכמה ישויות, מותר רק בנסיבות מוגבלות. מנהל שמחלק את תשומת לבו בין ה-CASP לבין חברה אחרת בקבוצה צפוי לעורר בדיקה במסגרת הערכת התאמה וכשירות (fit-and-proper).

קווי דיווח חשובים לא פחות מפרופילים אישיים. גוף הניהול חייב להדגים שהשליטה האסטרטגית והתפעולית נמצאת בתוך ישות האיחוד, ולא אצל חברת אם במדינה שלישית שמקבלת את ההחלטות בפועל ומעבירה הוראות כלפי מטה.

חברה-בת באיחוד שהמנהלים שלה מתפקדים בפועל כסוכני ביצוע עבור מטה שאינו באיחוד אינה, במובן הפיקוחי, ישות עם ניהול אמיתי באיחוד.

היבט ה-AML מחזק זאת. האדם האחראי להגשת דוחות פעילות חשודה (MLRO) חייב להיות נוכח פיזית, להחזיק בסמכות אמיתית בתוך הישות, ולהיות מסוגל ליצור קשר ישיר עם יחידת המודיעין הפיננסי המקומית. דרישה זו משקפת מגמה עולמית רחבה יותר: מסגרת הדיווח על נכסי קריפטו (CARF) של ה-FATF ושל ה-OECD פועלת על אותו היגיון, ומרחיבה את דרישות המהות והשקיפות מעבר לאיחוד האירופי.

דרישות כוח האדם של MiCA ו-CARF אינן התפתחויות בלתי קשורות; הן משקפות סטנדרט בינלאומי מתכנס של איך ישות קריפטו מפוקחת חייבת להיראות מבפנים.

תקן הכשירות הקולקטיבית מ-סעיף 68(1) מחייב שלגוף הניהול תהיה ידע, מיומנויות וניסיון מתאימים הן באופן אישי והן באופן קולקטיבי. כפי שנסקר בפרק הקודם של סדרה זו, התקן משתרע על רגולציה של שווקים פיננסיים מסורתיים, תשתיות DLT ואבטחת סייבר, וממשל ארגוני. כל אחד מהתחומים הללו צריך להיות מיוצג בחדר.

צוות שמגיע כולו מרקע “יליד-קריפטו” ללא ניסיון בשירותים פיננסיים מפוקחים, או כזה עם ניסיון עמוק ב-TradFi וללא יכולת להעריך סיכון on-chain, נושא פערים מבניים שתהליך ההערכה יציף.

טכנולוגיה: שליטה, לא רק אירוח

DORA (תקנה (EU) 2022/2554) חלה ישירות על CASPs וקובעת את המסגרת לדרישות חוסן ICT. השאלה שהרגולטורים שואלים לגבי טכנולוגיה אינה באיזו תשתית חברה משתמשת. השאלה היא מי שולט בה.

תשתית ענן המתארחת ב-AWS, Azure או ספקים דומים מקובלת בפרקטיקת הפיקוח הנוכחית. הבעיה מתעוררת כאשר הישות המורשית באיחוד חסרה שליטה מנהלית משמעותית על המערכות שהיא תלויה בהן.

אם ניהול מפתחות ההצפנה נמצא בידי צוות IT גלובלי של חברת האם, אם הרשאות הגישה לנתוני לקוחות מנוהלות מחוץ לאיחוד, או אם תוכנית התאוששות מאסון תלויה באישורים ממטה במדינה שלישית, הישות באיחוד אינה יכולה להדגים עצמאות תפעולית אמיתית.

עמדת ESMA, כפי שהיא משתקפת בחומרי ההתייעצות שלה, היא שצוות הניהול באיחוד חייב להחזיק בשליטה ממשית על תשתית ה-ICT הרלוונטית לפעילות ה-CASP. מדיניות ההמשכיות העסקית ותוכניות ההתאוששות מאסון הנדרשות לפי סעיף 68(7) חייבות להיות בבעלות הישות באיחוד וברות ביצוע על ידה, ולא להיות תלויות בפונקציה גלובלית שאולי תענה ואולי לא תענה בעת משבר.

המבחן המעשי חד: אם צוות ה-IT הגלובלי של חברת האם היה הופך לבלתי זמין בן לילה, האם הישות באיחוד יכולה להמשיך לפעול, לגשת לכספי הלקוחות ולהחזיר נכסים ללקוחות? אם התשובה היא לא, או לא בלי הסלמה משמעותית לאנשי צוות שאינם באיחוד, שאלת המהות לא נפתרה.

ציות ל-GDPR ודרישות ממשל נתונים מתווספים על גבי מסגרת DORA. הסדרי עיבוד נתונים, יחסי בקר-מעבד ושיקולי מיקום נתונים הם כולם חלק מהארכיטקטורה הטכנית שהרגולטורים יבדקו.

פיננסי: הון שבאמת עובד

סעיף 67 קובע את אמצעי ההגנה הפרודנציאליים המינימליים. מדרגות ההון מוגדרות לפי סוג השירות:

סכום ההון המינימלי הוא נקודת התחלה, לא התקרה. אמצעי ההגנה הפרודנציאליים חייבים להיות שווים לגבוה מבין: ההון המינימלי הקבוע, או רבע מהתקורות הקבועות של השנה הקודמת.

כאשר CASP גדל והתקורות הקבועות שלו עולות, הרכיב השני הזה הופך למגבלה המחייבת. כאשר התקורות עולות על פי ארבעה מההון ששולם בתחילה, החברה חייבת לעבור למסגרת מבוססת-תקורות. נקודת המפנה הזו מגיעה מהר יותר מכפי שמפעילים רבים מצפים, והרגולטורים מצפים לניטור פרואקטיבי ולא להתאמה ריאקטיבית.

נקודה מבנית שחשוב לשים לב אליה: ההון חייב להיות מופקד בחשבון המוחזק במוסד אשראי פורמלי.

חשבון ב-EMI או אצל ספק שירותי תשלום אינו עומד בדרישה זו. יצירת מערכת יחסים בנקאית כעסק קריפטו לוקחת זמן ואינה מובטחת. להתחיל את התהליך מוקדם, לפני שהבקשה מוגשת פורמלית, אינו אופציונלי. זהו אילוץ תזמוני שמשפיע על כל לוח הזמנים של ההרשאה.

הדרישה לכך שהדוחות הכספיים המשמשים בחישוב התקורות הקבועות יהיו מבוקרים כדין או מאומתים על ידי רשויות רגולטוריות לאומיות מוסיפה ממד אדמיניסטרטיבי נוסף. ישויות שהוקמו זה עתה ומקרינות את התקורות של 12 החודשים הראשונים חייבות לכלול את התחזיות הללו בבקשת ההרשאה שלהן, כשהמתודולוגיה מתועדת בבירור.

מיקור חוץ וסף המהות

סעיף 73 מתיר ל-CASPs לבצע מיקור חוץ של פונקציות תפעוליות לצדדים שלישיים. המגבלה היא שמיקור חוץ אינו יכול לרוקן מתוכן את הישות המורשית. האחריות נשארת אצל ה-CASP; האצלה אינה מעבירה אחריותיות.

ה-תדרוך הפיקוח של ESMA בנושא מתן הרשאות ל-CASPs מזהה את שיעור העלויות הכוללות המיוחס לפונקציות הממוקמות מחוץ לאיחוד האירופי כאינדיקטור מעשי לכך שמיקור החוץ הרחיק לכת. CASP שרוב ההוצאה התפעולית שלו זורמת לספקי שירות שאינם באיחוד, גם אם הם מנוהלים היטב ובעלי מוניטין, עשוי להיתקל בשאלות האם לישות באיחוד יש יכולת פנימית מספקת כדי להיחשב ספק שירות אמיתי ולא צינור מעבר.

ההבחנה שהרגולטור עושה היא בין CASPs שמוציאים למיקור חוץ פונקציות ספציפיות תוך שמירה על שליטה, לבין CASPs שמוציאים למיקור חוץ כל דבר מהותי תוך שמירה על הצורה המשפטית בלבד. השניים האחרונים הם קליפה, בלי קשר לאופן שבו ההסדר מתואר בבקשה.

שונות לפי תחום שיפוט: אותו חוק, פרקטיקה שונה

MiCA חלה באופן ישיר בכל המדינות החברות באיחוד האירופי. הדרישות המהותיות אחידות. פרקטיקת הפיקוח אינה אחידה.

קפריסין, באמצעות CySEC, דרשה במפורש שרוב חברי דירקטוריון ה-CASP יהיו תושבים פיזיים של קפריסין. עבור דירקטוריון של שני דירקטורים מנהלים ושני דירקטורים לא-מנהלים, המשמעות היא מינימום של שלושה דירקטורים תושבי קפריסין. זה מעבר למה שנוסח MiCA דורש ומשקף דירקטיבות AML לאומיות המתווספות על גבי המסגרת המאוחדת של האיחוד.

אסטוניה מציגה דינמיקה שונה. תחת משטר הרישום הקודם של VASP שנוהל על ידי יחידת המודיעין הפיננסי, אסטוניה הפכה לאחד מתחומי השיפוט הנגישים ביותר באירופה לרישוי. המעבר ל-MiCA העביר את אחריות הפיקוח לרשות הפיקוח וההסדרה הפיננסית האסטונית, שמביאה גישה מוסדית שונה לבחינה ולפיקוח שוטף.

המצב החקיקתי של פולין, שנדון בפרקים קודמים של סדרה זו, יצר פער מבני שבו חוק היישום המקומי של MiCA טרם נחקק, מה שמותיר את ה-KNF ללא מינוי רשמי כרשות המוסמכת ואת מחזיקי ה-VASP ללא מסלול בקשה מקומי ישים ל-CASP.

הבדלים אלה אינם פרצות או מוזרויות אדמיניסטרטיביות. הם משקפים את המציאות שבה מסגרת משפטית מאוחדת עדיין פועלת דרך תרבויות פיקוח לאומיות, מגבלות כוח אדם והיסטוריות מוסדיות. בחירת תחום שיפוט להרשאת CASP משמעותה בחירת רגולטור, עם כל ההשלכות המעשיות הכרוכות בכך.

מה באמת דורשת “התבססות אמיתית”

במצטבר, דרישות המהות תחת MiCA משקפות פילוסופיית פיקוח ולא רשימת בדיקה. הרגולטור רוצה להשתכנע שכאשר משהו משתבש, יש לו אפשרות ממשית לפנות למי שאחראי.

זה אומר שההנהגה המבצעת נגישה פיזית ונושאת באחריות משפטית לפי דיני האיחוד. זה אומר שמערכות ICT ניתנות לשליטה על ידי הישות באיחוד ללא תלות בשרשראות אישור שאינן באיחוד. זה אומר הון שהוא באמת זמין ומותאם לגודל הסיכון התפעולי בפועל.

וזה אומר ממשל תאגידי שבו הישות באיחוד מקבלת החלטות אמיתיות במקום ליישם הוראות שמגיעות ממקום אחר.

חברות שניגשות לכך כתרגיל תיעוד נוטות לגלות שהתהליך קשה מהצפוי. חברות שבונות קודם את המהות ואז מתעדות את מה שבנו נוטות לגלות שהוא פשוט יותר. הבקשה אינה יוצרת את הארגון. היא מתארת ארגון שכבר אמור להתקיים במידה רבה.

מקורות:

• תדרוך הפיקוח של ESMA בנושא מתן הרשאות ל-CASPs
• מסמך ההתייעצות של ESMA ל-MiCA, חבילה 2
• ספר הכללים של MFSA ל-MiCA

מאמר זה מבוסס על מחקר שבוצע על ידי LegalBison במאי 2026. התוכן הוא למטרות מידע בלבד ואינו מהווה ייעוץ משפטי.