'Kami ialah DeFi, jadi MiCA tidak terpakai kepada kami.' Maaf, tetapi EBA dan ESMA mempunyai sudut pandang yang berbeza

MiCA Decoded ialah siri mingguan 12 artikel untuk Bitcoin.com News, ditulis bersama oleh Pengarah Pengasas Bersama dan Pengarah Urusan LegalBison: Aaron Glauberman, Viktor Juskin dan Sabir Alijev. LegalBison menasihati syarikat kripto dan FinTech mengenai pelesenan MiCA, permohonan CASP dan VASP, serta penstrukturan kawal selia di seluruh Eropah dan seterusnya.

Catatan minggu ini telah ditulis oleh Eira Järvi, Peguam Kanan di LegalBison, yang mengetuai penyelidikan kawal selia global dan pelaksanaan pelesenan CASP serta lesen kompleks lain. Eira secara aktif menterjemahkan penyelidikan global kepada produk yang digunakan secara langsung untuk klien.

DeFi Semakin Meningkat

Kewangan terdesentralisasi telah meningkat dalam beberapa tahun kebelakangan ini. Industri kripto menyaksikan kemunculan projek DeFi baharu hampir setiap hari. Rangkaian blockchain, protokol dan aplikasi terdesentralisasi (dApps) baharu menjadi ringkasan perbincangan peminat DeFi dan surat berita. Ia berkisar pada topik kecekapan, ketelusan, kebolehgubahan (composability), privasi dan kebolehcapaian DeFi. Dengan MiCAR (Markets in Crypto-Assets Regulation) berkuat kuasa, banyak pasukan pembangunan DeFi kini mempertimbangkan untuk mengembangkan projek mereka ke pasaran EU.

Namun, dalam konteks ini, satu perkara kekal lebih penting daripada yang lain. Bagaimanakah pasukan memastikan projek yang mereka bina mematuhi undang-undang?

Bagi kebanyakan startup DeFi, jawapannya mungkin kelihatan mudah: MiCAR mengandungi pengecualian untuk projek yang “terdesentralisasi sepenuhnya” yang ramai startup yakin untuk bergantung padanya ketika menjustifikasikan keyakinan mereka melancarkan projek di EU tanpa mendapatkan sebarang panduan undang-undang, apatah lagi pematuhan MiCAR.

Artikel ini bertujuan untuk menolak kepercayaan popular bahawa jika sesuatu projek cukup terdesentralisasi, MiCAR tidak perlu dibimbangkan oleh pasukan. Maaf, tetapi garis panduan kawal selia mematahkan mitos itu!

Mitos: MiCA Tidak Mempengaruhi DeFi dan Penyedia Perkhidmatan Bukan Kustodian

Artikel 3(1), perkara 1 MiCAR mentakrifkan teknologi lejar teragih (“DLT”) sebagai “teknologi yang membolehkan operasi dan penggunaan lejar teragih,” dan perkara 2 mentakrifkan “lejar teragih” sebagai “repositori maklumat yang menyimpan rekod transaksi dan yang dikongsi merentas, serta disegerakkan antara, satu set nod rangkaian DLT menggunakan mekanisme konsensus.”

Perkara Mukadimah 22 MiCAR memberikan panduan paling kritikal mengenai hubungan DeFi dengan Peraturan tersebut. Ia menyatakan bahawa MiCAR direka untuk merangkumi perkhidmatan dan aktiviti yang dilaksanakan, disediakan atau dikawal, sama ada secara langsung atau tidak langsung, oleh orang semula jadi atau undang-undang dan beberapa usaha yang terlibat dalam perkhidmatan aset kripto, walaupun dalam kes yang melibatkan desentralisasi.

Namun, Perkara Mukadimah itu mengandungi bahasa penting berikut: “Di mana perkhidmatan aset kripto disediakan secara terdesentralisasi sepenuhnya tanpa sebarang perantara, ia tidak seharusnya termasuk dalam skop Peraturan ini.” Kepentingan peruntukan ini terletak pada dua frasa utama: “terdesentralisasi sepenuhnya” dan “tanpa sebarang perantara.”

Teks Peraturan itu sendiri tidak mentakrifkan “terdesentralisasi sepenuhnya” di mana-mana dalam peruntukan operatifnya. Satu-satunya sumber istilah ini ialah dalam Perkara Mukadimah 22, yang merupakan sebahagian daripada mukadimah dan bukannya peruntukan formal yang mengikat dari segi undang-undang. Perkara Mukadimah 83 seterusnya menyatakan bahawa “penyedia perkakasan atau perisian dompet bukan kustodian tidak seharusnya termasuk dalam skop Peraturan ini,” tanpa mentakrifkan secara jelas sejauh mana penyediaan perkakasan atau perisian membentuk perkhidmatan terdesentralisasi sepenuhnya yang dikecualikan daripada MiCAR.

Perkara Mukadimah 109 mengiktiraf cabaran tafsiran ini dan menyerahkan pembangunan draf piawaian teknikal kawal selia dan pelaksanaan kepada European Banking Authority (“EBA”) dan European Securities and Markets Authority (“ESMA”).

Dalam menentukan sama ada perkhidmatan termasuk dalam skop MiCAR, dua syarat boleh dirumuskan daripada Perkara Mukadimah 22 dan panduan kawal selia seterusnya:

• Pertama, tiada satu entiti pun boleh melaksanakan kawalan terhadap parameter protokol, mekanisme tadbir urus, atau infrastruktur teknologi teras yang menjadi asas operasi perkhidmatan aset kripto.
• Kedua, pengguna mesti mengakses sesuatu yang pada dasarnya merupakan “sumber kebaikan bersama” dan bukannya membeli perkhidmatan daripada penyedia yang ditetapkan yang dengannya wujud hubungan kontraktual penyedia perkhidmatan.

Syarat-syarat ini adalah kritikal untuk menilai sama ada mana-mana projek DeFi berada dalam atau di luar skop MiCAR.

Perangkap Menilai Terlalu Tinggi Tahap Desentralisasi

Dalam dunia dengan teknologi yang muncul dengan pantas, ketidakstabilan geopolitik, dan sistem kewangan yang terpecah-pecah serta bergantung pada proses manual dan perantara, DeFi menawarkan penyelesaian telus dan tanpa sempadan yang secara asasnya mengubah cara transaksi dimulakan, diproses dan dilaksanakan. Berbanding model sistem kewangan tradisional di mana transaksi mesti terlebih dahulu melalui beberapa perantara dan bahagian belakang institusi sebelum dilaksanakan dan diselesaikan, dalam DeFi, pengguna bertransaksi dengan berinteraksi secara langsung dengan rangkaian blockchain asas melalui protokol dan antara muka terdesentralisasi, sekali gus menghapuskan keperluan perantara dan infrastruktur sistem yang kompleks.

Dalam dunia undang-undang on-chain, garis antara desentralisasi penuh dan ketiadaannya adalah lebih tipis daripada yang disangka. Sebelum sebarang kerja boleh dimulakan, seorang peguam yang bekerja dengan projek Web3 terdesentralisasi akan terlebih dahulu menentukan sama ada projek itu boleh dianggap terdesentralisasi dengan menganalisis dan menilai lapisan-lapisan projek, tahap desentralisasinya, serta rancangan pasukan mengenai pemilikan dan tadbir urus.

Pada peringkat awal strategi undang-undang ini, terdapat banyak elemen teknikal dan seni bina yang mesti dinilai oleh peguam untuk mencapai persetujuan yang muktamad mengenai keadaan desentralisasi projek. Walaupun pasukan mungkin yakin bahawa projek mereka terdesentralisasi sepenuhnya, dengan semua elemennya, seperti DLT, protokol, dan dApp, pada hakikatnya penilaian awal mungkin mendedahkan sebaliknya.

Untuk mencapai keadaan desentralisasi yang benar-benar penuh, semua elemen projek mesti memenuhi kriteria autonomi sepenuhnya dan ketiadaan pengaruh dalaman atau luaran sepanjang ekosistem projek dan pelbagai elemennya, termasuk tetapi tidak terhad kepada tadbir urus, pemilikan, antara muka, dan sebagainya, yang apabila diteliti dengan lebih dekat, sangat sedikit projek berjaya mencapainya.

Pengajaran ini mungkin paling baik digambarkan oleh peristiwa baru-baru ini dalam dunia DeFi. Pada 21 April 2026, Majlis Keselamatan Arbitrum telah membekukan lebih 30 ETH (kira-kira USD 71M) yang dikaitkan dengan eksploit Kelp DAO. Badan pentadbir yang terdiri daripada 12 ahli dapat bertindak balas terhadap kompromi tersebut dengan memindahkan dana ke dalam dompet perantara, yang hanya boleh dilepaskan melalui undian tadbir urus, sekali gus menjadikan dana terkunci dalam dompet itu.

Contoh ini menunjukkan kewujudan kawalan operasi secara budi bicara: walaupun Arbitrum, menurut definisi, ialah rangkaian layer-2 tanpa kebenaran (permissionless) dan kelihatan terdesentralisasi sepenuhnya, pelaksanaan kawalan ke atas aset pengguna itulah yang tepat akan gagal ujian desentralisasi penuh MiCAR. Substansi mengatasi bentuk, dalam kes ini, menentukan skop kawal selia, tanpa mengira sifat tanpa kebenaran lejar asas.

Oleh itu, dakwaan ringkas bahawa projek DeFi terdesentralisasi sepenuhnya tidak memadai untuk menolak kewajipan mematuhi MiCAR dan mendapatkan kebenaran yang diperlukan sebagai CASP. Peguam akan menilai terutamanya seni bina teknikal projek, logik pemilikan, dan peraturan tadbir urus, yakni mereka menggunakan penilaian substansi mengatasi bentuk berbanding semantik. Badan kawal selia Eropah, seperti European Banking Authority (EBA) dan European Securities and Markets Authority (ESMA), menyokong sepenuhnya pendekatan ini.

Perspektif ESMA dan EBA mengenai DeFi

Perspektif ESMA mengenai kewangan terdesentralisasi telah berkembang dengan ketara melalui beberapa pakej konsultasi dan, paling signifikan, melalui Laporan Bersama dengan EBA mengenai Perkembangan Terkini dalam Aset Kripto yang diterbitkan pada 13 Januari 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), yang disediakan menurut Artikel 142 MiCAR.

Hujah ESMA mengenai spektrum desentralisasi adalah asas kepada penilaian ini. Dalam pakej konsultasi keduanya mengenai piawaian teknikal kawal selia dan pelaksanaan, ESMA mencadangkan takrif “teknologi lejar teragih tanpa kebenaran (permissionless)” sebagai “teknologi yang membolehkan operasi dan penggunaan lejar teragih di mana tiada entiti mengawal lejar teragih atau penggunaannya atau menyediakan perkhidmatan teras untuk penggunaan lejar teragih tersebut, dan nod rangkaian DLT boleh disediakan oleh mana-mana pihak yang mematuhi keperluan teknikal dan protokol.”

Takrif ini diambil daripada dokumen konsultatif Financial Stability Board, yang membezakan antara DLT tanpa kebenaran (terdesentralisasi sepenuhnya), DLT berizin (permissioned) yang membenarkan tahap pemusatan, dan platform berpusat. ESMA mengakui bahawa “skop tepat pengecualian ini kekal tidak pasti” dan berpendapat bahawa penilaian setiap sistem perlu dibuat berdasarkan kes demi kes, dengan mengambil kira ciri-ciri sistem tersebut.

ESMA mengiktiraf bahawa desentralisasi bukan konsep binari tetapi wujud pada spektrum daripada pemusatan kepada pelbagai darjah desentralisasi: “Dengan DEX, blockchain mengambil tempat perantara. DEX menggunakan kod autonomi (sering dirujuk sebagai kontrak pintar) untuk melaksanakan dagangan secara langsung pada lapisan penyelesaian blockchain (dengan darjah desentralisasi yang berbeza).”

Laporan Bersama Januari 2025 menyediakan data empirikal yang menyokong kerangka analisis tersebut. DeFi mewakili kira-kira empat peratus daripada permodalan pasaran global aset kripto, dengan kadar penembusan yang agak lebih tinggi diperhatikan dalam kalangan pengguna berpangkalan di EU. Laporan itu mengesahkan bahawa sangat sedikit sistem DeFi mencapai desentralisasi penuh yang benar seperti yang dibayangkan oleh Perkara Mukadimah 22. Laporan itu mengenal pasti bahawa walaupun protokol yang kelihatan terdesentralisasi biasanya mempunyai entiti yang dapat dikenal pasti yang melaksanakan pelbagai darjah kawalan terhadap tadbir urus, naik taraf protokol, penggunaan kontrak pintar, dan struktur yuran.

Berhubung penyedia perkakasan dan perisian bagi perkhidmatan sampingan CASP, pendirian yang muncul daripada panduan ESMA ialah entiti yang semata-mata mencipta dan menjual alat pembangunan perisian, aplikasi atau platform untuk penyediaan atau dagangan aset kripto tidak secara automatik diklasifikasikan sebagai CASP jika aktiviti mereka terhad kepada penciptaan dan penjualan perkhidmatan tersebut.

Namun, entiti yang menyelia penciptaan dan pembangunan perisian atau platform untuk menyediakan perkhidmatan aset kripto boleh dianggap sebagai CASP jika mereka mengekalkan kawalan atau pengaruh yang mencukupi terhadap aset kripto, perisian, protokol, platform, atau hubungan perniagaan dengan pengguna. Ujian kritikal, oleh itu, ialah kawalan dan pengaruh, bukannya sekadar penglibatan teknologi.

Peranan hubungan kontraktual dalam mentakrifkan desentralisasi penuh turut ditekankan oleh analisis ESMA terhadap Artikel 73 MiCAR, yang berkaitan dengan penyumberan luar perkhidmatan atau aktiviti kepada pihak ketiga. ESMA menyimpulkan bahawa tiada asas undang-undang untuk mengkategorikan DLT tanpa kebenaran yang digunakan oleh CASP sebagai penyedia pihak ketiga, kerana tiada hubungan kontraktual formal diperlukan untuk berinteraksi dengan blockchain tanpa kebenaran. Ini membawa kepada kesimpulan penting bahawa DLT tanpa kebenaran boleh dianggap sebagai bentuk sumber “kebaikan bersama”, manakala DLT berizin yang dikendalikan oleh perusahaan komersial lazimnya melibatkan pengaturan kontrak formal dan oleh itu membentuk hubungan “penyedia pihak ketiga”. Perbezaan ini adalah tulang belakang kepada penilaian lanjut dalam memorandum ini.

Laporan Bersama turut membincangkan risiko ML/TF dan pertimbangan ICT yang terpakai kepada sistem terdesentralisasi. Ketiadaan kawalan AML/CFT tradisional dalam sistem yang benar-benar terdesentralisasi menimbulkan kebimbangan kawal selia yang signifikan, kerana prosedur kenali-pelanggan-anda (KYC) dan pemantauan transaksi lazimnya tiada atau tidak lengkap. Laporan itu menyatakan bahawa risiko ICT adalah antara kebimbangan utama, dengan majoriti kerugian kewangan berkaitan DeFi berpunca daripada kelemahan kontrak pintar, manipulasi oracle, dan serangan front-running, termasuk eksploitasi maximal extractable value (“MEV”).

Faktor risiko ini, walaupun tidak menentukan pengelasan kawal selia, memaklumkan pendekatan penyeliaan terhadap entiti yang beroperasi pada pelbagai titik dalam spektrum desentralisasi.

Rangka Kerja FATF dan Hubungan Kontraktual

Panduan FATF mengenai VASP dan DeFi menyediakan kerangka analisis asas yang telah diterima pakai dan dibangunkan lagi oleh ESMA. Menurut FATF Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers (Oktober 2021), seseorang yang mencipta atau menjual aplikasi perisian atau platform aset maya mungkin tidak merupakan Penyedia Perkhidmatan Aset Maya apabila hanya terlibat dalam penciptaan atau penjualan aplikasi atau platform tersebut, dengan penekanan pada perkataan hanya.

Dalam kes di mana pencipta, pemilik, pengendali, atau individu lain kelihatan mengekalkan kawalan atau memberikan pengaruh yang mencukupi terhadap pengaturan DeFi, walaupun pengaturan tersebut kelihatan terdesentralisasi, mereka mungkin termasuk di bawah takrif FATF sebagai VASP jika mereka menyediakan atau secara aktif memudahkan perkhidmatan VASP. Kawalan atau pengaruh yang signifikan boleh terserlah melalui kawalan ke atas aset atau aspek protokol perkhidmatan, dan melalui hubungan perniagaan berterusan antara pengendali dan pengguna, walaupun kawalan ini dilaksanakan melalui kontrak pintar atau, dalam sesetengah keadaan, melalui protokol pengundian.

Hujah FATF meletakkan asas bagi penilaian desentralisasi di bawah MiCAR dengan menetapkan dua prinsip penting:

• Pertama, pemilik dan pengendali serta tahap kawalan mereka terhadap DeFi sering boleh dikenal pasti melalui hubungan mereka dengan aktiviti yang dijalankan, bukannya melalui label yang diberikan kepada pengaturan tersebut.
• Kedua, pemusatan separa tidak boleh dikecualikan secara automatik walaupun pihak selain penyedia perkhidmatan utama terlibat dalam perkhidmatan tersebut atau jika sebahagian proses diautomatikkan melalui kontrak pintar.

Peranan hubungan kontraktual dalam penilaian desentralisasi memerlukan perhatian khusus. Artikel 73 MiCAR, yang berkaitan dengan penyumberan luar perkhidmatan atau aktiviti kepada pihak ketiga bagi pelaksanaan fungsi operasi, mengawal selia cara CASP perlu menangani risiko berkaitan penyedia pihak ketiga.

Namun, seperti yang diakui oleh Kertas Konsultasi Kedua ESMA, tiada asas undang-undang untuk mengkategorikan DLT tanpa kebenaran yang digunakan oleh CASP sebagai penyedia pihak ketiga, kerana tiada hubungan kontraktual formal, seperti perjanjian tahap perkhidmatan, diperlukan untuk berinteraksi dengan blockchain tanpa kebenaran. ESMA menyimpulkan bahawa DLT tanpa kebenaran boleh dianggap sebagai bentuk sumber “kebaikan bersama”, manakala DLT berizin yang dikendalikan oleh perusahaan komersial lazimnya melibatkan kontrak yang tersedia untuk produk blockchain berlabel putih (white-labelled), lalu membentuk hubungan penyedia pihak ketiga.

Kesimpulan ini mempunyai implikasi yang mendalam terhadap penilaian kawal selia platform yang dibina di atas infrastruktur tanpa kebenaran. Jika sesebuah platform menggunakan kontrak pintar pada blockchain tanpa kebenaran seperti Ethereum, penggunaan infrastruktur blockchain tersebut tidak dengan sendirinya mewujudkan hubungan penyedia perkhidmatan pihak ketiga.

Namun, jika pengendali platform mengekalkan kawalan ke atas kontrak pintar, boleh menaik taraf atau mengubah suai fungsinya, mengawal akses kepada antara muka front-end, atau mengekalkan kunci pentadbiran yang boleh menjeda, membekukan, atau mengubah suai protokol, elemen berpusat ini membawa pengendali ke dalam skop MiCAR tanpa mengira sifat tanpa kebenaran lejar asas.

Ujian tersebut adalah fungsional dan bukannya teknologikal: ia bertanya kawalan apa yang sebenarnya dilaksanakan oleh pengendali, bukan teknologi apa yang digunakan untuk membina sistem.

Intipati Utama:

Dengan mengambil kira analisis di atas, dan khususnya hujah ESMA seperti yang dinyatakan dalam kertas-kertas konsultasi serta Laporan Bersama Januari 2025, kami berpendapat bahawa cadangan berikut adalah benar bagi tujuan penilaian ini.

• Pertama, selagi tiada individu atau entiti yang mengawal protokol atau platform DeFi dan penggunaannya, dan tiada individu yang memenuhi peranan asas dan tidak boleh digantikan dalam operasinya yang tanpanya teknologi tidak dapat digunakan, protokol atau platform DeFi boleh dianggap dikecualikan daripada skop pemakaian MiCAR kerana “terdesentralisasi sepenuhnya” dalam erti Perkara Mukadimah 22.
• Kedua, pembangunan semata-mata perisian atau alat bantu untuk CASP tidak dianggap sebagai perkhidmatan aset kripto melainkan aspek tambahan yang dikawal selia oleh MiCAR, seperti mempengaruhi penawaran, penjualan, pemindahan, penjagaan (custody) atau dagangan aset kripto, termasuk dalam skop aktiviti yang dijalankan oleh pembangun.

Walau bagaimanapun, penerapan praktikal prinsip-prinsip ini kepada mana-mana projek DeFi memerlukan pemeriksaan teliti terhadap ciri tadbir urus dan operasi sebenar ekosistemnya. Sekiranya seni bina sesuatu projek menunjukkan kawalan berpusat terhadap penerbitan token, parameter protokol, atau tadbir urus ekosistem, adalah tidak mungkin ia memenuhi pengecualian “terdesentralisasi sepenuhnya” Perkara Mukadimah 22, dan perkhidmatan yang disediakan berkaitan projek sedemikian mesti dinilai di bawah peruntukan MiCAR.

Apa yang Kami Huraikan

Pengecualian “Terdesentralisasi Sepenuhnya” Sangat Sempit: Perkara Mukadimah 22 MiCA menyatakan bahawa perkhidmatan yang disediakan “secara terdesentralisasi sepenuhnya tanpa sebarang perantara” berada di luar skop peraturan, tetapi mencapai keadaan desentralisasi penuh yang sebenar ini amat jarang berlaku. Jika mana-mana satu entiti melaksanakan kawalan ke atas tadbir urus, parameter protokol, atau infrastruktur teras, pengecualian itu tidak terpakai.

Substansi Mengatasi Bentuk Menentukan Pematuhan: Pengawal selia melihat melangkaui dakwaan pemasaran dan semantik teknikal untuk menilai kawalan operasi sebenar. Ujian kawal selia adalah fungsional, bukan teknologikal: jika pengendali mengekalkan kunci pentadbiran, mengawal antara muka front-end, atau mempunyai keupayaan untuk menaik taraf atau menjeda kontrak pintar, mereka termasuk dalam skop MiCA.

Desentralisasi Wujud pada Spektrum: ESMA tidak melihat desentralisasi sebagai konsep binari. Walaupun sesuatu projek sangat bergantung pada kod autonomi dan kontrak pintar, kewujudan entiti yang boleh dikenal pasti yang melaksanakan pelbagai darjah kawalan ke atas struktur yuran, naik taraf protokol atau tadbir urus akan mencetuskan penelitian kawal selia.

Blockchain Tanpa Kebenaran ialah “Kebaikan Bersama”: Bergantung pada blockchain awam tanpa kebenaran tidak mewujudkan hubungan penyumberan luar pihak ketiga formal di bawah Artikel 73 MiCA, kerana ESMA mengkategorikannya sebagai sumber “kebaikan bersama”. Walau bagaimanapun, melaksanakan kontrak pintar pada infrastruktur kebaikan bersama tidak melindungi pengendali platform daripada MiCA jika mereka mengekalkan kawalan fungsional ke atas kontrak tersebut.

Pembangun Perisian Tidak Secara Automatik Menjadi CASP: Semata-mata mencipta dan menjual perisian atau perkakasan bukan kustodian tidak secara automatik mengklasifikasikan sesebuah entiti sebagai Penyedia Perkhidmatan Aset Kripto (CASP). Namun, jika pembangun atau pengendali mengekalkan pengaruh yang mencukupi terhadap aset kripto, platform, atau hubungan perniagaan berterusan dengan pengguna, mereka melepasi ambang kawal selia dan akan dikawal selia sebagai CASP.

Artikel ini berdasarkan satu kajian yang dijalankan oleh LegalBison pada April 2026. Kandungan ini adalah untuk tujuan maklumat sahaja dan tidak merupakan nasihat undang-undang.