A megfelelő munkakörökkel ellátott szervezeti felépítés önmagában nem biztosítja az engedély megszerzését. A szabályozó hatóság egy megfelelési rendszerre figyel: a függetlenség dokumentált bizonyítására, három különálló szakterületen átívelő kollektív szakértelemre, valamint valódi intézményi háttérre. Így működik ez a szabvány a gyakorlatban.
A MiCA értelmezése: Miért tekinti a szabályozó hatóság a megfelelési csapatot egyetlen agyként?
ÍRTA
MEGOSZTÁS
A MiCA Decoded egy 12 részes heti sorozat a Bitcoin.com News számára, amelynek társszerzői a LegalBison társalapítói és ügyvezető igazgatói: Aaron Glauberman, Viktor Juskin és Sabir Alijev. A LegalBison kriptovaluta- és fintech-vállalatoknak nyújt tanácsadást a MiCA-engedélyezés, a CASP- és VASP-kérelmek, valamint a szabályozási struktúrák kialakítása terén Európában és azon túl.
A mítosz: elegendő a megfelelési tisztviselő kiszervezése
Amikor az alapítók megkezdik a kriptovaluta-szolgáltatók (CASP) engedélyezésének tervezését, a beszélgetés szinte mindig ugyanoda jut el: „Szóval, kell-e felvennünk egy megfelelési tisztviselőt?”
Néha a kérdéshez egy kiegészítés is társul: „És egy pénzmosás-bejelentő tisztviselőt (MLRO)? Ennyi?”
A válasz mindkét kérdésre igen. De ha ezt a két kinevezést végcélnak tekintjük, az a leggyakoribb és legsúlyosabb félreértés azzal kapcsolatban, hogy a MiCA valójában mit követel meg a megfelelési funkciótól.
A szabályozó hatóságok nem azt ellenőrzik, hogy a szervezeti ábrán szerepelnek-e a megfelelő munkaköri megnevezések. Azt értékelik, hogy a vezetői testületnek, mint egységnek, rendelkezik-e a szabályozott pénzügyi intézmény működtetéséhez szükséges tudásbázissal, strukturális függetlenséggel és dokumentált működési mélységgel. A MiCA-engedélyt nem személynek adják ki. Hanem egy szervezetnek.
Ez a megkülönböztetés áll annak középpontjában, hogy miért akad el olyan sok korai szakaszban lévő kérelem, vagy miért igényel jelentős átdolgozást, mielőtt a nemzeti illetékes hatóság (NCA) megadná az engedélyt.
Mit jelent valójában a „kollektíven” kifejezés a rendeletben
A MiCA 68. cikkének (1) bekezdése egyértelműen fogalmaz ebben a kérdésben. Az irányító testület tagjainak „mind egyénileg, mind kollektíven” rendelkezniük kell a megfelelő ismeretekkel, készségekkel és tapasztalatokkal. Ez az egyetlen szó, a „kollektíven”, jelentős szabályozási szerepet tölt be.
Az EBA és az ESMA közös iránymutatása a MiCA hatálya alá tartozó szervezetek vezetői testületének tagjai és részvényeseinek alkalmasságáról egyértelművé teszi e szabvány működését azáltal, hogy felsorolja azokat a szakmai tapasztalatok konkrét területeit, amelyekkel a vezetői testületnek rendelkeznie kell. Eira Järvi, a LegalBison vezető jogásza az alábbi táblázatban foglalta össze a konkrét követelményeket.
| Követelménykategória | Részletes leírás |
| Pénzügyi piacok szabályozása | A pénzügyi eszközök és a DLT-pénzügyi eszközök ismerete, beleértve a SIBA és más alkalmazandó jogszabályok szerinti szabályozási követelményeket |
| AML/CTF-megfelelés | Az AML/CTF követelmények ismerete, beleértve a kockázatok azonosítását, értékelését és a kockázatcsökkentési stratégiákat |
| Virtuális eszközök | A virtuális eszközök típusainak ismerete, beleértve az eszközhivatkozású és az e-pénz tokeneket, valamint az egyes típusokhoz kapcsolódó kockázatokat |
| Adatvédelem | A Társaság működéséhez kapcsolódó adatvédelmi kötelezettségek megértése |
| Kockázatkezelés | A kockázatkezelési elvek és eljárások megértése, beleértve a piaci, hitel- és likviditási kockázatokat |
| Irányítás és belső ellenőrzés | Az irányítási rendszer, a felügyeleti mechanizmusok és a belső ellenőrzések hatékonyságának értékelésére való képesség |
| Digitális működési rugalmasság | Az operatív rugalmassággal kapcsolatos követelmények ismerete |
| Stratégiai és vezetői ismeretek | Tapasztalat a stratégiai tervezés, az üzletfejlesztés és az üzleti célok megvalósítása terén |
| Külső szolgáltatók kezelése | Az outsourcing-megállapodások, a harmadik felek kezelése és a kapcsolódó szabályozási követelmények ismerete |
| Kommunikáció és felügyelet | Képesség véleménynyilvánításra, stratégiák megvitatására és adott esetben a vezetés döntéseinek megkérdőjelezésére a hatékony felügyelet biztosítása érdekében |
| Számvitel és könyvvizsgálat | Képesség a pénzügyi információk értelmezésére, a kulcsfontosságú kérdések azonosítására, valamint a vonatkozó számviteli és könyvvizsgálati standardok megértésére |
| Jogi és szabályozási ismeretek | A VASP-ekre alkalmazandó jogi követelmények ismerete, beleértve a virtuális eszközök kibocsátását és kezelését |
Az ESMA iránymutatásainak elemzése során világossá válik, hogy a vezetői testület összetett profiljának bizonyíthatóan három alapvető tudásterületet kell lefednie, amelyek magukban foglalják az Eira által részletezett összes területet:
- Hagyományos pénzügyi piacok: szabályozási keretek, befektetővédelmi kötelezettségek, piaci magatartási szabályok és az engedéllyel rendelkező pénzügyi szolgáltatókra alkalmazandó működési szabványok.
- Digitális főkönyvi technológia (DLT) infrastruktúra és kiberbiztonság: blokklánc-architektúra, protokollszintű kockázat, intelligens szerződésekkel kapcsolatos kitettség, kiberbiztonsági fenyegetések modellezése, valamint a láncon belüli szolgáltatásnyújtásból adódó specifikus működési sebezhetőségek.
- Üzleti stratégia és szervezeti irányítás: kockázatkezelési rendszer, belső ellenőrzési architektúra, irányítási politika, valamint a vállalat megfelelési hatékonyságának értékelésére és időszakos felülvizsgálatára való képesség.
A szabályozó hatóság nem várja el, hogy egy személy mindhárom területet lefedje. Az ESMA azon követelménye, miszerint a vállalatoknak be kell nyújtaniuk „kollektív alkalmasságuk” értékelését, azt a várakozást tükrözi, hogy a csapat összességében, jelentős hiányosságok nélkül lefedje mindhárom területet.
Egy olyan vezetői testület, amely kizárólag hagyományos pénzügyi háttérrel rendelkező tagokból áll, és amelyben senki sem képes értékelni a DLT-infrastruktúra kockázatait, már a kérelem benyújtása előtt strukturálisan hiányosnak minősül.
Ugyanez fordítva is igaz: egy technikailag jártas, kriptovalutákra szakosodott csapat, amelyben senki sem ért a szabályozott pénzügyi piacok működéséhez, ugyanolyan szigorú vizsgálatnak lesz kitéve.
A időbeli elkötelezettség problémája, amiről senki sem beszél
A kollektív alkalmassági szabványnak van egy második rétege is, amely váratlanul éri a kérelmezőket.
A megfelelő személyeknek a gyakorlatban is létezniük kell, nem csak papíron. Az irányító testület minden tagjának írásban kell dokumentálnia a cégnek szentelt minimális időráfordítását: konkrétan a szerepkörre fordított idő becslését (éves és havi bontásban), valamint a jelenleg betöltött összes többi ügyvezető és nem ügyvezető igazgatói tisztség hivatalos nyilatkozatát.
Az ESMA engedélyezésre vonatkozó szabályozási technikai szabványtervezete (az első konzultációs csomagból merítve) egyértelműen rendelkezik erről. Az értékelés arra terjed ki, hogy az egyes személyek funkcionálisan jelen vannak-e, nem csupán névlegesen szerepelnek-e a listán.
Egy nem végrehajtó igazgató, aki négy másik igazgatósági tagsággal rendelkezik, és két további céggel áll compliance tanácsadói kapcsolatban, közvetlen vizsgálatnak lesz kitéve. Az NCA-nak meg kell győződnie arról, hogy az irányító testület ténylegesen képes ellátni feladatait, nem csupán arról, hogy a megfelelő nevek szerepelnek-e a kérelemben.
Ez leginkább azoknak a korai fázisban lévő kriptográfiai cégeknek fontos, amelyek tapasztalt megfelelési szakembereket vonnak be részmunkaidőben vagy tanácsadói minőségben az engedélyezési kérelem megerősítése érdekében. A szabályozó hatóság pontosan meg fogja vizsgálni, hogy az adott személy havonta hány órát szán a feladatra, és ezt a számot össze fogja hasonlítani a szerepkör és a cég által nyújtani kívánt szolgáltatások terjedelmével.
A felelősség és az időráfordítás közötti eltérés vészjelzés, nem pedig technikai részletkérdés.
A belső ellenőrzési funkciók: a struktúra fontosabb, mint a címek
A vezetői szerv szintjén a kollektív alkalmasság megértése csak a kép egy része. A MiCA 68. cikkének (4) bekezdése előírja a CASP-ek számára, hogy olyan irányelveket és eljárásokat fogadjanak el, amelyek „elég hatékonyak a megfelelés biztosításához”. A 68. cikk (5) bekezdése előírja, hogy a cég minden szintjén rendelkezésre álljanak megfelelő ismeretekkel rendelkező személyek. A 68. cikk (6) bekezdése előírja, hogy a vezetői szerv rendszeresen felülvizsgálja e rendelkezések hatékonyságát, és orvosolja az esetleges hiányosságokat.
Az ESMA RTS-tervezete ezt továbbviszi. Előírja a vállalatok számára, hogy határozzák meg a konkrét belső ellenőrzési funkciókat, és mindegyikről dokumentálják:
- A jelentési vonal közvetlenül az irányító testülethez vezet.
- Hogyan működik a funkció függetlenül az általa felügyelt üzleti területtől.
- Hogyan léphet kapcsolatba a funkció az irányító testülettel tervezett időpontokban, valamint vészhelyzetben (ad hoc), ha jelentős megfelelési kockázatot észlel.
A belső ellenőrzési keretrendszer magját képező három funkcionális terület a következő:
- A megfelelési funkció (szabályozási kötelezettségek, magatartási irányelvek, belső eljárások).
- A kockázatértékelési funkció (kockázatazonosítás, értékelési módszertan, eskalációs protokollok).
- A belső ellenőrzési funkció (független hatékonysági felülvizsgálat, időszakos értékelés).
Megjegyzés: Az AML/CFT-funkció és az üzletmenet-folytonossági funkció szintén kötelező pillérei az engedélyezési kérelemnek, de az ESMA ezeket a belső ellenőrzési keretrendszer mellett különálló szervezeti követelményként kezeli.
A MiCA nem mindig rendel ezeket a pontos megnevezéseket a 1. szintű szöveghez. Az ESMA RTS egyértelművé teszi, hogy ezeknek a belső ellenőrzési területeknek megnevezett felelősökkel, dokumentált felelősségi körrel és igazolt strukturális függetlenséggel kell rendelkezniük.
Ez az utolsó pont az, ahol sok kérelem szerkezeti hibát mutat.
Egy olyan megfelelési funkció, amely a bevételeket és az üzletfejlesztést is irányító operatív igazgatónak tartozik beszámolási kötelezettséggel, szabályozási értelemben nem független. A kereskedési részlegbe beágyazott kockázati funkció, amely ugyanazon a hierarchián keresztül jelent fel, mint a részleg, amelyet felügyelnie kellene, szintén nem felel meg a szabványnak.
A szabályozó hatóság bekéri a szervezeti ábrát. Ezután megkérdezi, hogy a megfelelési vezető gyakorlatilag kinek jelent, milyen egyéb felelősségei vannak, és milyen eskalációs jogokkal rendelkezik, ha súlyos megfelelési kockázatot azonosítanak.
A valódi függetlenségi struktúrára épülő CASP-engedélykérelem elkészítése megköveteli, hogy az architektúrát a kérelem megfogalmazása előtt tervezzék meg, és ne utólag alakítsák ki.
Fizikai jelenlét: a névleges igazgatói probléma
Az engedélykérelemnek dokumentálnia kell az EU-n belüli tényleges irányítás fizikai helyszínét. Ez magában foglalja a központi iroda címét, adott esetben a fióktelepek helyszíneit, valamint a vállalat tényleges döntéshozatali területét.
- Legalább egy, tényleges hatalmat gyakorló igazgatónak az Unióban kell lakóhellyel rendelkeznie, és elérhetőnek kell lennie a székhely szerinti tagállam nemzeti hatósága számára.
- Az EU joghatóságában bejegyzett cím, amelyet névleges igazgatói megállapodás támaszt alá, nem felel meg ennek a követelménynek.
- A lényegi követelmény azt jelenti, hogy a döntéshozatal tényleges súlypontjának az Unió területén kell lennie.
A nemzeti hatóságok ezt az RTS-kérelem helyszínre vonatkozó mezői, valamint az egyes vezetői testületi tagok időbeli elkötelezettségére vonatkozó közzétételek alapján értékelik.
Az a vezető, aki negyedévente két hétig fizikailag jelen van az EU-ban, szabályozási szempontból nem minősül rezidens vezetőnek.
Ez a szempont különösen fontos azoknak a vállalatoknak, amelyek az EU-n kívüli globális központból működnek, és európai kriptovaluta-engedély megszerzésére törekednek. Az EU-ban székhellyel rendelkező szervezetnek valódi döntéshozatali egységként kell működnie, nem pedig máshonnan működő csoportszerkezet adminisztratív fedőcégként.
Az üzletmenet-folytonosság a megfelelési csapat feladata
Az üzletmenet-folytonosságot általában az informatika felelősségi körének tekintik. A MiCA és a digitális működési reziliencia törvény (DORA) értelmében ez a megközelítés helytelen minden engedélyezett CASP esetében.
Az üzletmenet-folytonossági politikát a vezetői testületnek kell kidolgoznia, jóváhagynia és fenntartania. A DORA (2022/2554/EU rendelet) az információs és kommunikációs technológiára jellemző elemeket szabályozza, és a CASP-ek pénzügyi szervezetként a DORA hatálya alá tartoznak. A két keretrendszer párhuzamosan működik, és a megfelelési funkciónak képesnek kell lennie mindkettő kezelésére egyszerre.
Az ESMA második MiCA konzultációs dokumentuma egy konkrét kötelezettséget vezetett be az engedélyezés nélküli elosztott főkönyvi technológián (nyilvános blokkláncok, például az Ethereum) működő cégek számára: proaktív, strukturált kommunikációt az ügyfelekkel bármilyen DLT-szintű szolgáltatáskimaradás esetén.
A vállalkozásnak tájékoztatnia kell az ügyfeleket arról, hogy pénzeszközeik veszélyben vannak-e, és világos képet kell adnia arról, hogyan kezelik a szolgáltatás újraindítását. A vállalkozás továbbra is teljes mértékben felelős a saját intelligens szerződéseiből eredő bármely veszteségért, függetlenül attól, hogy az alapul szolgáló blokklánc engedélyezés nélküli-e.
Ez nem egy szokásos IT-leállási szabályzat. E kötelezettség érdemi teljesítése megköveteli a vezetőségtől, hogy a DLT-infrastruktúra kockázatait olyan szinten értsék meg, amely messze meghaladja az általános technikai ismereteket.
Az a megfelelési csapat, amely a blokklánc kockázatait csak általános kifejezésekkel tudja leírni, nem lesz képes olyan üzletmenet-folytonossági szabályzatot kidolgozni, felülvizsgálni vagy fenntartani, amely megfelel a szabályozói ellenőrzés követelményeinek.
Adatstandardok mint megfelelési képesség
A megfelelési funkció felelőssége kiterjed az adatarchitektúrára is. A kereskedési platformokat üzemeltető CASP-knek minden nyilvántartásvezetéshez és az NCA-knak történő jelentéshez a Digital Token Identifier (DTI) szabványt kell használniuk. A DTI egyedi módon azonosítja az egyes kriptopénz-eszközöket, és összekapcsolja azokat az adott DLT-vel, amelyen kibocsátásra, kereskedésre vagy elszámolásra kerülnek. Ez lehetővé teszi a szabályozók számára, hogy konzisztens, összehasonlítható adatokkal végezzenek határokon átnyúló felügyeletet.
Az ISO 20022 üzenetküldési szabványok szabályozzák a hatóságoknak benyújtott tranzakciós adatok formátumát. A kereskedés előtti és utáni átláthatósági adatokat diszkriminációmentes, géppel olvasható nyilvános csatornákon keresztül kell közzétenni a piaci visszaélések megelőzése érdekében. Ezen követelmények mindegyikének van egy technikai dimenziója, amelyet a megfelelési csapatnak magának kell kezelnie, és nem szabad vakon az IT-re bízni.
Az a cég, amely a nyilvántartás vezetését általános rendszeradminisztrációs feladatként kezeli, anélkül, hogy a RTS által megkövetelt konkrét adatstandardok megfelelését felügyelné, engedélyezés után felügyeleti problémákkal fog szembesülni.
A szabványok pontosan azért léteznek, hogy az NCA-k egyetlen elemzés keretében összehasonlíthassák a több száz CASP nyilvántartásait. Az a cég, amely nem tudja a szükséges formátumban előállítani az adatokat, nem tudja bizonyítani a folyamatos megfelelést.
Ez a „single brain” szabvány gyakorlati jelentése. A megfelelési csapat a szabályozási ismereteket, az irányítási struktúrát, a DLT működési ismereteket és a technikai adatismeretet egyetlen működőképes képességként integrálja. Ezen elemek egyike sem ruházható át teljes egészében egy másik funkcióra.
A csapat felépítése az alkalmazás fejlesztése előtt
A CASP MiCA-engedély iránti engedélyezési kérelem egy már létező intézményt dokumentál. Ez az a mentális modell, amely elválasztja azokat a vállalatokat, amelyek hatékonyan haladnak végig a folyamaton, azoktól, amelyek elakadnak.
Azok a vállalatok, amelyek kriptovaluta-tőzsdei engedélyt, digitális eszközök letéti engedélyét vagy bármely más CASP-engedélyt igényelnek Európában, a csapat felépítését kell elsődleges feladatként kezelniük, nem pedig olyasvalamiként, ami az engedélyezési kérelem kidolgozása során alakul ki.
A megfelelési funkciónak strukturálisan függetlennek kell lennie, mielőtt az első dokumentumot megírják. A vezetői testület kollektív tudáskörét fel kell mérni, és az esetleges hiányosságokat orvosolni kell, mielőtt az NCA megvizsgálása megkezdődik. Az időráfordításra vonatkozó közzétételeknek reálisnak kell lenniük, mielőtt benyújtják őket.
Ugyanez a logika érvényes globálisan is. Az EU-n kívüli joghatóságokban VASP-engedélyt kérelmező cégek egyre gyakrabban találkoznak párhuzamos szabványokkal: a közel-keleti, ázsiai-csendes-óceáni és amerikai szabályozók egyre inkább hasonló, a forma helyett a tartalmat előtérbe helyező követelmények felé konvergálnak a megfelelési funkció kialakítását illetően.
Az EU-szabvány, amely jelenleg a legrészletesebb és technikailag legspecifikusabb, hasznos referenciaérték minden olyan csapat számára, amely bármely jelentős joghatóságban szabályozott státuszra törekszik.
„Mi a DeFi vagyunk, ezért a MiCA nem vonatkozik ránk.” Sajnáljuk, de az EBA és az ESMA másképp látja a dolgot
A MiCA megkérdőjelezi a DeFi decentralizációjára vonatkozó állításokat, miközben a szabályozó hatóságok felmérik az ellenőrzési, irányítási és megfelelési szabályokat. read more.
Olvass most
„Mi a DeFi vagyunk, ezért a MiCA nem vonatkozik ránk.” Sajnáljuk, de az EBA és az ESMA másképp látja a dolgot
A MiCA megkérdőjelezi a DeFi decentralizációjára vonatkozó állításokat, miközben a szabályozó hatóságok felmérik az ellenőrzési, irányítási és megfelelési szabályokat. read more.
Olvass most„Mi a DeFi vagyunk, ezért a MiCA nem vonatkozik ránk.” Sajnáljuk, de az EBA és az ESMA másképp látja a dolgot
Olvass mostA MiCA megkérdőjelezi a DeFi decentralizációjára vonatkozó állításokat, miközben a szabályozó hatóságok felmérik az ellenőrzési, irányítási és megfelelési szabályokat. read more.
Fő tanulság:
A mítosz: A megfelelési tisztviselő és az MLRO kinevezése eleget tesz a MiCA megfelelési kötelezettségeinek.
A valóság: A MiCA működőképes megfelelési szervezetet követel meg, nem pedig egy pozíciócímekből álló listát.
Három dolog határozza meg, hogy egy vezetői testület megfelel-e a szabványnak:
A kollektív tudás lefedettsége. A csapatnak, mint egységnek, le kell fednie a hagyományos pénzügyi piacok szakértelmét, a DLT és a kiberbiztonság terén való jártasságot, valamint a szervezeti irányítási képességeket. Bármelyik területen fellelhető hiányosságok strukturális hiányosságok, nem pedig profilpreferenciák.
Dokumentált strukturális függetlenség. A legfontosabb belső ellenőrzési funkcióknak (megfelelés, kockázatértékelés és belső audit) kijelölt felelőssel kell rendelkezniük, közvetlen jelentési vonallal az irányító testület felé, valamint igazolt függetlenséggel az általuk felügyelt üzleti területtől. (Megjegyzés: az AML/CFT és az üzletmenet-folytonosság egyaránt kötelező, de különálló szervezeti pilléreknek tekintendők). Az a szervezeti felépítés, amely a megfelelést bevételt generáló funkción keresztül irányítja, nem fogja kiállni a nemzeti hatóságok vizsgálatát.
Valódi intézményi tartalom. Az időbeli elkötelezettségnek valósnak és dokumentáltnak kell lennie. Az EU-beli fizikai jelenlétnek a tényleges döntéshozatali súlyt kell tükröznie, nem pedig egy bejegyzett címet. Az üzletmenet-folytonossági politikát az irányító testület szintjén kell kezelni. Az adatszolgáltatásnak az első naptól kezdve meg kell felelnie a DTI és az ISO 20022 szabványoknak.
A CASP-engedély iránti kérelem az eredmény. A megfelelési architektúra az alap. Először az alapot kell megépíteni.
Ez a cikk a LegalBison által 2026 áprilisában végzett tanulmányon alapul. A tartalom kizárólag tájékoztató jellegű, és nem minősül jogi tanácsadásnak.
