MiCA מפוענח: מדוע הרגולטור רואה את צוות הציות שלכם כמוח אחד

MiCA Decoded היא סדרה שבועית בת 12 מאמרים עבור Bitcoin.com News, שנכתבת בשיתוף עם מנהלי הייסוד והניהול של LegalBison: אהרון גלאוברמן, ויקטור יוסקין ו-סאביר אליג׳ב. LegalBison מייעצת לחברות קריפטו ו-FinTech לגבי רישוי MiCA, בקשות CASP ו-VASP, ותכנון מבני רגולציה ברחבי אירופה ומעבר לה.

המיתוס: מיקור חוץ של קצין ציות זה מספיק

כאשר מייסדים מתחילים לתכנן קבלת הרשאה כספקי שירותי נכסי-קריפטו (CASP), השיחה כמעט תמיד מגיעה לאותו רגע: “אז, אנחנו צריכים לשכור קצין ציות?”

לפעמים השאלה מגיעה עם המשך: “וגם קצין דיווח על הלבנת הון (MLRO)? זה הכול?”

התשובה לשתיהן היא כן. אבל להתייחס לשני המינויים האלה כאל קו הסיום הוא הפרשנות השגויה הנפוצה ביותר—והמשמעותית ביותר—למה ש-MiCA באמת דורשת מפונקציית הציות.

הרגולטורים אינם בודקים אם בתרשים הארגוני מופיעים שמות התפקידים הנכונים. הם בוחנים האם גוף הניהול, כיחידה אחת, מחזיק בארכיטקטורת ידע, בעצמאות מבנית, ובעומק תפעולי מתועד כדי להפעיל מוסד פיננסי מפוקח. רישיון MiCA אינו ניתן לאדם. הוא ניתן לאורגניזם.

ההבחנה הזו נמצאת בלב הסיבה לכך שכל כך הרבה בקשות בשלב מוקדם נתקעות או דורשות עבודה מחדש משמעותית לפני שרשות מוסמכת לאומית (NCA) תעניק הרשאה.

מה באמת אומר “במכלול/באופן קולקטיבי” בתקנה

סעיף 68(1) של MiCA מדויק בנקודה זו. על חברי גוף הניהול להחזיק בידע, בכישורים ובניסיון המתאימים “גם באופן אישי וגם באופן קולקטיבי”. המילה היחידה הזו—”קולקטיבי”—מבצעת עבודה רגולטורית משמעותית.

ההנחיות המשותפות של ה-EBA ושל ESMA בנוגע להתאמת חברי גוף הניהול ובעלי המניות עבור ישויות תחת MiCA מבהירות במפורש את המכניקה של הסטנדרט הזה, באמצעות פירוט תחומי הניסיון המקצועי הספציפיים שעל גוף הניהול להחזיק. איירה יארבי, עורכת דין בכירה ב-LegalBison, פירטה את הדרישות הספציפיות בטבלה להלן.

כאשר מנתחים את הנחיות ESMA, מתבהר כי הפרופיל המשולב של גוף הניהול חייב לכסות באופן שניתן להדגמה שלושה תחומי ידע מרכזיים, הכוללים את כל אלה שפורטו על ידי איירה:

• שווקים פיננסיים מסורתיים: מסגרות רגולטוריות, חובות הגנת משקיעים, כללי התנהלות בשוק, והסטנדרטים התפעוליים החלים על ספקי שירותים פיננסיים מורשים.
• תשתית טכנולוגיית ספר חשבונות מבוזר (DLT) ואבטחת סייבר: ארכיטקטורת בלוקצ׳יין, סיכונים ברמת הפרוטוקול, חשיפה לחוזים חכמים, מידול איומי סייבר, והפגיעויות התפעוליות הספציפיות הנובעות מאספקת שירותים על-שרשרת (on-chain).
• אסטרטגיה עסקית וממשל ארגוני: תכנון ניהול סיכונים, ארכיטקטורת בקרות פנימיות, מדיניות ממשל, והיכולת להעריך ולסקור מעת לעת את אפקטיביות הציות של החברה.

הרגולטור אינו מצפה שאדם אחד יחזיק בכל שלושת התחומים. הציפייה—שעוגנה בדרישת ESMA שחברות יגישו הערכה של “התאמתן הקולקטיבית”—היא שהצוות, כמכלול, יכסה את כולם ללא פערים משמעותיים.

גוף ניהול שמורכב כולו מרקע של פיננסים מסורתיים, ללא אף אדם שמסוגל להעריך סיכון בתשתיות DLT, הוא חסר מבחינה מבנית עוד לפני שהבקשה מוגשת.

אותו הדבר נכון גם בכיוון ההפוך: צוות קריפטו “נייטיב” עמוק טכנית, ללא מי שמבין התנהלות בשווקים פיננסיים מפוקחים, יעמוד מול אותה רמת בדיקה.

בעיית מחויבות הזמן שאף אחד לא מדבר עליה

יש שכבה שנייה לסטנדרט ההתאמה הקולקטיבית שמפתיעה מועמדים.

האנשים הנכונים חייבים להתקיים בפועל, לא רק על הנייר. כל חבר בגוף הניהול חייב לתעד, בכתב, את מחויבות הזמן המינימלית שלו לחברה: באופן ספציפי, אומדן של הזמן המוקדש לתפקיד (עם אינדיקציות שנתיות וחודשיות), לצד הצהרה רשמית על כל תפקידי הדירקטוריון הביצועיים והלא-ביצועיים האחרים שמוחזקים כיום.

טיוטת הסטנדרטים הטכניים הרגולטוריים (RTS) של ESMA בנושא הרשאה (שנשענת על חבילת הייעוץ הראשונה) מפורשת בנושא. ההערכה בוחנת האם כל אדם נוכח תפקודית, ולא רק מופיע בשם.

דירקטור לא-ביצועי עם ארבעה מושבים נוספים בדירקטוריונים וקשר ייעוץ ציות עם שתי חברות נוספות יעמוד לבחינה ישירה. ה-NCA חייבת להשתכנע שגוף הניהול יכול באמת לבצע את חובותיו, לא רק שהשמות הנכונים מופיעים בבקשה.

הדבר חשוב במיוחד לחברות קריפטו בשלב מוקדם שמביאוֹת דמויות ציות מנוסות במשרה חלקית או בתפקיד ייעוצי כדי לחזק בקשת הרשאה. הרגולטור יראה בדיוק כמה שעות בחודש אותו אדם מתחייב, וישווה את הנתון הזה להיקף התפקיד ולשירותים שהחברה מתכוונת לספק.

אי-התאמה בין אחריות למחויבות זמן היא דגל אדום, לא עניין טכני.

פונקציות הבקרה הפנימיות: מבנה מעל תארים

הבנת ההתאמה הקולקטיבית ברמת גוף הניהול היא רק חלק מהתמונה. סעיף 68(4) של MiCA מחייב CASPs לאמץ מדיניות ונהלים “יעילים במידה מספקת כדי להבטיח ציות”. סעיף 68(5) מחייב כוח אדם בעל ידע מתאים בכל רמות החברה. סעיף 68(6) מחייב את גוף הניהול לסקור מעת לעת את אפקטיביות ההסדרים הללו ולטפל בכל ליקוי שנמצא.

טיוטת ה-RTS של ESMA מרחיבה זאת עוד יותר. היא מחייבת חברות לזהות פונקציות בקרה פנימיות ספציפיות ולתעד, עבור כל אחת:

• קו הדיווח עובר ישירות לגוף הניהול.
• כיצד הפונקציה פועלת באופן עצמאי מהתחום העסקי שעליו היא מפקחת.
• כיצד הפונקציה יכולה לגשת לגוף הניהול באופן מתוזמן ובאופן חירום (ad hoc) כאשר מזוהה סיכון ציות משמעותי.

שלושת התחומים הפונקציונליים שמרכיבים את ליבת מסגרת הבקרה הפנימית הזו הם:

• פונקציית הציות (חובות רגולטוריות, מדיניות התנהלות, נהלים פנימיים).
• פונקציית הערכת הסיכון (זיהוי סיכונים, מתודולוגיית הערכה, פרוטוקולי הסלמה).
• פונקציית הביקורת הפנימית (סקירת אפקטיביות עצמאית, הערכה תקופתית).

הערה: פונקציית AML/CFT ופונקציית ההמשכיות העסקית הן גם עמודי תווך חובה בבקשת ההרשאה, אך ESMA מתייחסת אליהן כדרישות ארגוניות מובחנות לצד מסגרת הבקרה הפנימית הליבתית הזו.

MiCA לא תמיד מקצה את התוויות המדויקות הללו בטקסט רמה 1. ה-RTS של ESMA מבהירים שהתחומים הליבתיים הללו של בקרה פנימית חייבים להיות בעלי בעלי אחריות (owners) מוגדרים בשם, תחומי אחריות מתועדים, ועצמאות מבנית מאומתת.

הנקודה האחרונה היא המקום שבו בקשות רבות חושפות פגם מבני.

פונקציית ציות שמדווחת לסמנכ”ל התפעול (COO), שמנהל גם הכנסות ופיתוח עסקי, אינה עצמאית במובן הרגולטורי. פונקציית סיכון שמשולבת בתוך דסק המסחר, ומדווחת כלפי מעלה דרך אותה שרשרת כמו הדסק שעליו היא אמורה לפקח, גם היא אינה עומדת בסטנדרט.

הרגולטור יבקש את התרשים הארגוני. לאחר מכן הוא ישאל למי ראש הציות מדווח בפועל, מהן האחריות הנוספת של אותו אדם, ואילו זכויות הסלמה יש לו כאשר מזוהה סיכון ציות חמור.

בניית בקשת רישוי CASP סביב מבנה עצמאות אמיתי מחייבת שהארכיטקטורה תתוכנן לפני שהבקשה מנוסחת—ולא תורכב מחדש בדיעבד.

מהות פיזית: בעיית הדירקטור הנומינלי

בקשת ההרשאה חייבת לתעד מקום פיזי של ניהול אפקטיבי בתוך האיחוד האירופי. המשמעות היא כתובת המשרד הראשי, מיקומי סניפים היכן שרלוונטי, והגיאוגרפיה האמיתית של קבלת ההחלטות בחברה.

• לפחות דירקטור אחד שמפעיל סמכות אמיתית חייב להיות תושב בתוך האיחוד וזמין ל-NCA של מדינת הבית.
• כתובת רשומה בתחום שיפוט באיחוד האירופי הנתמכת בהסדר דירקטור נומינלי אינה עומדת בסטנדרט הזה.
• דרישת המהות פירושה שמשקל קבלת ההחלטות האנושי חייב לשבת בפועל בתוך האיחוד.

ה-NCA בוחנות זאת באמצעות שדות המיקום בבקשת ה-RTS ובאמצעות גילויי מחויבות הזמן של כל חבר בגוף הניהול.

דירקטור שנמצא פיזית באיחוד האירופי שבועיים בכל רבעון אינו נחשב לדירקטור תושב בשום מובן רגולטורי משמעותי.

זו נקודה שחשובה במיוחד לחברות שפועלות ממטה עולמי מחוץ לאיחוד האירופי ובונות לקראת רישיון קריפטו באירופה. הישות המבוססת באיחוד חייבת לתפקד כיחידת קבלת החלטות אמיתית, ולא כחזית אדמיניסטרטיבית למבנה קבוצתי שמופעל ממקום אחר.

המשכיות עסקית שייכת לצוות הציות

המשכיות עסקית נתפסת באופן רחב כאחריות IT. תחת MiCA ו-חוק החוסן התפעולי הדיגיטלי (DORA), המסגור הזה שגוי עבור כל CASP מורשה.

מדיניות ההמשכיות העסקית חייבת להיות בבעלות (owned), מאושרת ומתוחזקת על ידי גוף הניהול. DORA (תקנה (EU) 2022/2554) מסדירה את המרכיבים הספציפיים לטכנולוגיית מידע ותקשורת, ו-CASPs נכללים בתחום DORA כישויות פיננסיות. שתי המסגרות פועלות במקביל, ופונקציית הציות חייבת להיות מסוגלת לנווט בשתיהן בו-זמנית.

מסמך הייעוץ השני של ESMA תחת MiCA הציג חובה ספציפית עבור חברות הפועלות על טכנולוגיית ספר חשבונות מבוזר ללא הרשאה (permissionless) (בלוקצ׳יינים ציבוריים כמו Ethereum): תקשורת יזומה ומובנית עם לקוחות במהלך כל שיבוש שירות ברמת ה-DLT.

החברה חייבת לעדכן לקוחות האם כספם בסיכון ולספק תמונה ברורה כיצד מנוהלת חזרת השירות לפעילות. החברה נושאת באחריות מלאה לכל הפסד הנובע מהחוזים החכמים שלה עצמה, ללא קשר לכך שהבלוקצ׳יין הבסיסי הוא permissionless.

זו אינה מדיניות סטנדרטית של השבתת IT. החזקה משמעותית של חובה זו מחייבת את גוף הניהול להבין סיכוני תשתית DLT ברמה שחורגת בהרבה ממודעות טכנית כללית.

צוות ציות שיכול לתאר סיכוני בלוקצ׳יין במונחים כלליים בלבד לא יוכל לנסח, לסקור או לתחזק מדיניות המשכיות עסקית שתעמוד בבחינה רגולטורית.

סטנדרטים של נתונים כיכולת ציות

תחומי האחריות של פונקציית הציות משתרעים גם אל ארכיטקטורת הנתונים. CASPs המפעילים פלטפורמות מסחר חייבים להשתמש בתקן Digital Token Identifier (DTI) עבור כל שמירת רשומות ודיווח ל-NCAs. ה-DTI מזהה באופן ייחודי כל נכס-קריפטו ומקשר אותו ל-DLT הספציפי שעליו הוא מונפק, נסחר או נסלק. הדבר מאפשר לרגולטורים לבצע ניטור חוצה-גבולות עם נתונים עקביים וברי-השוואה.

תקני המסרים ISO 20022 מסדירים את הפורמט של נתוני עסקאות שמוגשים לרשויות. נתוני שקיפות לפני ואחרי מסחר חייבים להיחשף באמצעות ערוצים ציבוריים בלתי-מפלים וקריאים למכונה כדי למנוע ניצול לרעה של השוק. לכל אחת מהדרישות הללו יש ממד טכני שעל צוות הציות להחזיק (own), ולא להאציל בעיוורון ל-IT.

חברה שמתייחסת לשמירת רשומות כאל משימת ניהול מערכת כללית, ללא פיקוח ציות על תקני הנתונים הספציפיים שה-RTS דורשים, תיתקל בבעיות פיקוח לאחר קבלת ההרשאה.

הסטנדרטים קיימים בדיוק כדי ש-NCAs יוכלו להשוות רשומות בין מאות CASPs בניתוח אחד. חברה שאינה יכולה להפיק נתונים בפורמט הנדרש היא חברה שאינה יכולה להדגים ציות מתמשך.

זוהי המשמעות המעשית של סטנדרט ה”מוח האחד”. צוות הציות משלב מודעות רגולטורית, מבנה ממשל, ידע תפעולי ב-DLT, ואוריינות נתונים טכנית—כיכולת תפקודית אחת. אף אחד מהמרכיבים הללו אינו יכול להיות מוצא במלואו לפונקציה אחרת.

בונים את הצוות לפני שבונים את הבקשה

בקשת ההרשאה לרישיון MiCA מסוג CASP מתעדת מוסד שכבר קיים. זהו המודל המנטלי שמבדיל בין חברות שמתקדמות ביעילות בתהליך לבין אלה שנתקעות.

חברות השואפות לרישוי בורסות קריפטו, הרשאת משמורת נכסים דיגיטליים, או כל רישיון CASP אחר באירופה, צריכות להתייחס לארכיטקטורת הצוות כתוצר הראשון—ולא כמשהו שמתגבש תוך כדי ניסוח הבקשה.

פונקציית הציות חייבת להיות עצמאית מבנית לפני שנכתב המסמך הראשון. יש להעריך את כיסוי הידע הקולקטיבי של גוף הניהול ולטפל בכל פער לפני תחילת סקירת ה-NCA. גילויי מחויבות הזמן חייבים להיות מציאותיים לפני שמגישים אותם.

אותו היגיון חל גם ברמה הגלובלית. חברות המבקשות רישיון VASP בתחומי שיפוט מחוץ לאיחוד האירופי נתקלות יותר ויותר בסטנדרטים מקבילים: רגולטורים במזרח התיכון, באסיה-פסיפיק ובאמריקות מתכנסים לדרישות דומות של מהות-מעל-צורה בתכנון פונקציית הציות.

הסטנדרט של האיחוד האירופי—שהוא המפורט והטכני ביותר מבין אלה שבתוקף כיום—הוא אמת מידה שימושית לכל צוות שבונה לקראת מעמד מפוקח בכל תחום שיפוט מרכזי.

נקודת מפתח

המיתוס: מינוי קצין ציות ו-MLRO מקיים את חובות הציות של MiCA.

המציאות: MiCA דורשת אורגניזם ציות מתפקד, לא רשימת תארי תפקידים.

שלושה דברים קובעים האם גוף ניהול עומד בסטנדרט:

כיסוי ידע קולקטיבי. הצוות, כיחידה אחת, חייב לכסות מומחיות בשווקים פיננסיים מסורתיים, מיומנות ב-DLT ובאבטחת סייבר, ויכולת ממשל ארגוני. פערים בכל תחום הם ליקויים מבניים, לא העדפות פרופיל.

עצמאות מבנית מתועדת. לפונקציות הליבה של בקרה פנימית (ציות, הערכת סיכונים וביקורת פנימית) חייב להיות בעל אחריות מוגדר בשם, קו דיווח ישיר לגוף הניהול, ועצמאות מאומתת מהתחום העסקי שעליו הן מפקחות. (הערה: AML/CFT והמשכיות עסקית הן חובה באותה מידה, אך מטופלות כעמודי תווך ארגוניים מובחנים). תרשים ארגוני שמנתב ציות דרך פונקציה מייצרת הכנסות לא ישרוד בחינה של ה-NCA.

מהות מוסדית אמיתית. מחויבויות הזמן חייבות להיות אמיתיות ומתועדות. הנוכחות הפיזית באיחוד האירופי חייבת לשקף משקל אמיתי של קבלת החלטות, ולא כתובת רשומה. מדיניות ההמשכיות העסקית חייבת להיות בבעלות ברמת גוף הניהול. דיווח הנתונים חייב לעמוד בתקני DTI ו-ISO 20022 מהיום הראשון.

בקשת רישיון CASP היא הפלט. ארכיטקטורת הציות היא היסוד. בנו קודם את היסוד.

מאמר זה מבוסס על מחקר שנערך על ידי LegalBison באפריל 2026. התוכן מיועד למטרות מידע בלבד ואינו מהווה ייעוץ משפטי.