'Wij zijn DeFi, dus MiCA is niet op ons van toepassing.' Sorry, maar de EBA en de ESMA zien dat anders

MiCA Decoded is een wekelijkse serie van 12 artikelen voor Bitcoin.com News, geschreven door de medeoprichters en managing directors van LegalBison: Aaron Glauberman, Viktor Juskin en Sabir Alijev. LegalBison adviseert crypto- en FinTech-bedrijven over MiCA-licenties, CASP- en VASP-aanvragen en regelgevingsstructurering in heel Europa en daarbuiten.

Het artikel van deze week is geschreven door Eira Järvi, Senior Lawyer bij LegalBison, die leiding geeft aan wereldwijd onderzoek naar regelgeving en de implementatie van CASP-licenties en andere complexe licenties. Eira past wereldwijd onderzoek actief toe op producten die rechtstreeks aan klanten worden aangeboden.

DeFi in opkomst

Gedecentraliseerde financiering is de afgelopen jaren in opkomst. De crypto-industrie is bijna dagelijks getuige van de opkomst van nieuwe DeFi-projecten. Nieuwe blockchain-netwerken, protocollen en gedecentraliseerde applicaties (dApps) vormen de kern van discussies onder DeFi-enthousiastelingen en in nieuwsbrieven. Deze draaien om de onderwerpen efficiëntie, transparantie, combineerbaarheid, privacy en toegankelijkheid van DeFi. Nu MiCAR (Markets in Crypto-Assets Regulation) van kracht wordt, overwegen veel DeFi-ontwikkelingsteams nu om hun projecten uit te breiden naar de EU-markten.
In deze context blijft één onderwerp echter belangrijker dan alle andere. Hoe zorgt het team ervoor dat het project dat ze bouwen aan de wet voldoet?

Voor de meeste DeFi-startups lijkt het antwoord misschien eenvoudig: MiCAR bevat een uitzondering voor “volledig gedecentraliseerde” projecten, waarop veel startups vol vertrouwen vertrouwen om hun vertrouwen te rechtvaardigen bij het lanceren van hun projecten in de EU zonder juridisch advies in te winnen, laat staan MiCAR-naleving.

Dit artikel tracht de wijdverbreide overtuiging te ontkrachten dat als een project gedecentraliseerd genoeg is, MiCAR geen zorg is voor het team. Sorry, maar regelgevende richtlijnen ontkrachten die mythe!

De mythe: MiCA heeft geen invloed op DeFi en niet-bewarende dienstverleners

Artikel 3, lid 1, punt 1 van MiCAR definieert distributed ledger-technologie (“DLT”) als “een technologie die de werking en het gebruik van gedistribueerde grootboeken mogelijk maakt”, en punt 2 definieert “gedistribueerd grootboek” als “een informatieopslagplaats die transacties registreert en die wordt gedeeld en gesynchroniseerd tussen een reeks DLT-netwerkknooppunten met behulp van een consensusmechanisme.”

Overweging 22 van MiCAR biedt de meest cruciale richtlijnen over de relatie tussen DeFi en de verordening. Hierin staat dat MiCAR bedoeld is om diensten en activiteiten te omvatten die worden uitgevoerd, geleverd of gecontroleerd, direct of indirect, door natuurlijke of rechtspersonen en bepaalde ondernemingen die zich bezighouden met crypto-activadiensten, zelfs in gevallen waarbij decentralisatie een rol speelt.

De overweging bevat echter de volgende cruciale formulering: “Wanneer crypto-activadiensten op een volledig gedecentraliseerde wijze zonder enige tussenpersoon worden verleend, vallen zij niet onder het toepassingsgebied van deze verordening.” De betekenis van deze bepaling ligt in twee sleutelzinnen: “volledig gedecentraliseerd” en “zonder enige tussenpersoon.”

De tekst van de verordening zelf definieert “volledig gedecentraliseerd” nergens in de materiële bepalingen. De enige bron van deze term is overweging 22, die deel uitmaakt van de preambule en niet van de juridisch bindende formele bepalingen. Overweging 83 bepaalt verder dat “leveranciers van hardware of software voor non-custodial wallets niet onder het toepassingsgebied van deze verordening vallen”, zonder expliciet te definiëren in hoeverre de levering van hardware of software een volledig gedecentraliseerde dienst vormt die van MiCAR is uitgesloten.

Overweging 109 erkent deze interpretatieve uitdagingen en wijst de ontwikkeling van ontwerpen voor regelgevende en uitvoerende technische normen toe aan de Europese Bankautoriteit (“EBA”) en de Europese Autoriteit voor effecten en markten (“ESMA”).

Om te bepalen of diensten binnen het toepassingsgebied van MiCAR vallen, kunnen uit overweging 22 en de daaropvolgende regelgevingsrichtlijnen twee voorwaarden worden afgeleid:

• Ten eerste mag geen enkele entiteit zeggenschap uitoefenen over de protocolparameters, de bestuursmechanismen of de technologische kerninfrastructuur waarop de crypto-activadienst functioneert.
• Ten tweede moeten gebruikers toegang hebben tot wat neerkomt op een „gemeenschappelijke hulpbron”, in plaats van diensten af te nemen van een aangewezen aanbieder waarmee een contractuele dienstverleningsrelatie bestaat.

Deze voorwaarden zijn cruciaal om te beoordelen of een DeFi-project binnen of buiten het toepassingsgebied van MiCAR valt.

De valkuil van het overschatten van de mate van decentralisatie

In een wereld met snel opkomende technologieën, geopolitieke instabiliteit en gefragmenteerde financiële systemen die afhankelijk zijn van handmatige processen en tussenpersonen, biedt DeFi een transparante en grenzeloze oplossing die de manier waarop transacties worden geïnitieerd, verwerkt en uitgevoerd fundamenteel verandert. In plaats van traditionele financiële systeemmodellen, waarbij transacties eerst door een aantal tussenpersonen en institutionele backends moeten gaan voordat ze worden uitgevoerd en afgewikkeld, voeren gebruikers in DeFi transacties uit door rechtstreeks te communiceren met het onderliggende blockchain-netwerk via gedecentraliseerde protocollen en interfaces, waardoor de noodzaak van tussenpersonen en complexe systeeminfrastructuren wordt geëlimineerd.

In de wereld van het on-chain recht is de grens tussen volledige decentralisatie en het ontbreken daarvan dunner dan het lijkt. Voordat er met enig werk kan worden begonnen, zal een advocaat die bij een gedecentraliseerd Web3-project werkt, eerst uitzoeken of het project als gedecentraliseerd kan worden beschouwd door de lagen van het project, de mate van decentralisatie daarvan, en de plannen van het team met betrekking tot eigendom en governance te analyseren en te beoordelen.

In deze eerste fase van de juridische strategie zijn er veel technische en architecturale elementen die door een advocaat moeten worden beoordeeld om tot een definitieve overeenstemming te komen over de mate van decentralisatie van het project. Hoewel het team ervan overtuigd kan zijn dat hun project volledig gedecentraliseerd is, met al zijn elementen, zoals de DLT, het protocol en de dApp, kan de eerste beoordeling in werkelijkheid het tegenovergestelde aan het licht brengen.

Om echte, volledige decentralisatie te bereiken, moeten alle elementen van het project voldoen aan de criteria van volledige autonomie en het ontbreken van interne of externe invloed in het hele ecosysteem van het project en zijn vele elementen, waaronder maar niet beperkt tot governance, eigendom, interfaces, enz., wat bij nader inzien maar heel weinig projecten weten te bereiken.

Deze conclusie kan het best worden geïllustreerd door een recente gebeurtenis in de DeFi-wereld. Op 21 april 2026 bevroor de Veiligheidsraad van Arbitrum meer dan 30 ETH (ongeveer 71 miljoen USD) in verband met de Kelp DAO-exploit. Een bestuursorgaan bestaande uit 12 leden kon op de inbreuk reageren door de middelen over te hevelen naar de tussenliggende wallet, waaruit ze alleen kunnen worden vrijgegeven via een bestuursstemming, waardoor de middelen in feite in de wallet werden vergrendeld.

Dit voorbeeld wijst op het bestaan van discretionaire operationele controle: hoewel Arbitrum per definitie een layer-2 permissionless en schijnbaar volledig gedecentraliseerd netwerk is, is juist de uitoefening van controle over de activa van gebruikers wat de volledige decentralisatietest van MiCAR niet zou doorstaan. In dit geval bepaalt de inhoud boven de vorm de reikwijdte van de regelgeving, ongeacht het permissionless-karakter van het onderliggende grootboek.

Als zodanig is een simpele bewering dat een DeFi-project volledig gedecentraliseerd is, niet voldoende om de verplichting uit te sluiten om aan MiCAR te voldoen en de nodige vergunning als CASP te verkrijgen. Juristen zullen in de eerste plaats de technische architectuur van het project, de eigendomslogica en de governance-regels beoordelen, wat betekent dat zij de inhoud-boven-vorm-beoordeling boven semantiek stellen. De Europese regelgevende instanties, zoals de Europese Bankautoriteit (EBA) en de Europese Autoriteit voor effecten en markten (ESMA), staan volledig achter deze aanpak.

Het standpunt van de ESMA en de EBA over DeFi

Het standpunt van de ESMA over gedecentraliseerde financiering is aanzienlijk geëvolueerd door middel van meerdere raadplegingspakketten en, het belangrijkst, door het gezamenlijke rapport met de EBA over recente ontwikkelingen in crypto-activa, gepubliceerd op 13 januari 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), opgesteld overeenkomstig artikel 142 van MiCAR.

De redenering van de ESMA over het spectrum van decentralisatie vormt de basis voor deze beoordeling. In haar tweede raadplegingspakket over regelgevende en uitvoerende technische normen stelde de ESMA een definitie voor van "permissionless distributed ledger technology" als "een technologie die de werking en het gebruik van gedistribueerde grootboeken mogelijk maakt, waarbij geen enkele entiteit controle uitoefent over het gedistribueerde grootboek of het gebruik ervan, noch kernservices levert voor het gebruik van een dergelijk gedistribueerd grootboek, en waarbij DLT-netwerkknooppunten kunnen worden opgezet door elke persoon die voldoet aan de technische vereisten en de protocollen."

Deze definitie is ontleend aan het raadplegingsdocument van de Raad voor Financiële Stabiliteit, waarin een onderscheid wordt gemaakt tussen permissionless (volledig gedecentraliseerde) DLT, permissioned DLT die een zekere mate van centralisatie toestaat, en gecentraliseerde platforms. De ESMA erkent dat “de exacte reikwijdte van deze vrijstelling onzeker blijft” en is van mening dat elk systeem per geval moet worden beoordeeld, rekening houdend met de kenmerken van het systeem.

ESMA erkent dat decentralisatie geen binair concept is, maar bestaat op een spectrum van centralisatie tot verschillende gradaties van decentralisatie: “Bij DEX’en neemt de blockchain de plaats in van de tussenpersoon. DEX’en gebruiken autonome code (vaak aangeduid als smart contracts) om transacties rechtstreeks uit te voeren op de afwikkelingslaag van de blockchain (met verschillende gradaties van decentralisatie).”

Het gezamenlijke rapport van januari 2025 biedt empirische gegevens ter ondersteuning van het analytische kader. DeFi vertegenwoordigt ongeveer vier procent van de wereldwijde marktkapitalisatie van crypto-activa, waarbij enigszins hogere penetratiegraad wordt waargenomen onder gebruikers in de EU. Het rapport bevestigt dat zeer weinig DeFi-systemen daadwerkelijk volledige decentralisatie bereiken op de wijze zoals bedoeld in overweging 22. Het rapport stelt vast dat zelfs ogenschijnlijk gedecentraliseerde protocollen doorgaans identificeerbare entiteiten hebben die in verschillende mate controle uitoefenen over governance, protocolupgrades, de implementatie van smart contracts en vergoedingsstructuren.

Wat betreft hardware- en softwareleveranciers van aanvullende CASP-diensten, is het standpunt dat uit de richtsnoeren van de ESMA naar voren komt, dat entiteiten die louter softwareontwikkelingshulpmiddelen, applicaties of platforms voor het aanbieden van of de handel in crypto-activa creëren en verkopen, niet automatisch als CASP's worden aangemerkt indien hun activiteiten beperkt blijven tot het creëren en verkopen van genoemde diensten.

Entiteiten die toezicht houden op de creatie en ontwikkeling van software of platforms voor het aanbieden van crypto-activadiensten kunnen echter als CASP's worden beschouwd indien zij controle of voldoende invloed behouden over de crypto-activa, de software, het protocol, het platform of de zakelijke relaties met gebruikers. De cruciale toets is derhalve die van controle en invloed, en niet louter technologische betrokkenheid.

De rol van contractuele relaties bij het definiëren van volledige decentralisatie wordt verder onderstreept door de analyse van ESMA van artikel 73 van MiCAR, dat betrekking heeft op de uitbesteding van diensten of activiteiten aan derden. ESMA concludeert dat er geen rechtsgrondslag bestaat om permissionless DLT's die door CASP's worden gebruikt, te categoriseren als een derde-partij-aanbieder, aangezien er geen formele contractuele relatie vereist is om te communiceren met permissionless blockchains. Dit leidt tot de belangrijke conclusie dat permissionless DLT's kunnen worden beschouwd als een vorm van "algemeen nut", terwijl permissioned DLT's die door commerciële ondernemingen worden geëxploiteerd doorgaans formele contractuele afspraken met zich meebrengen en daarom een "derde-partij-aanbieder"-relatie vormen. Dit onderscheid vormt de ruggengraat van de verdere beoordeling in dit memorandum.

Het gezamenlijke rapport gaat verder in op ML/TF-risico's en ICT-overwegingen die van toepassing zijn op gedecentraliseerde systemen. Het ontbreken van traditionele AML/CFT-controles in puur gedecentraliseerde systemen levert aanzienlijke regelgevingsproblemen op, aangezien 'ken-uw-klant'-procedures en transactiemonitoring doorgaans ontbreken of onvolledig zijn. Het rapport merkt op dat ICT-risico's tot de belangrijkste zorgen behoren, waarbij het merendeel van de DeFi-gerelateerde financiële verliezen toe te schrijven is aan kwetsbaarheden in slimme contracten, manipulatie van orakels en front-running-aanvallen, waaronder het misbruik van maximal extractable value (“MEV”).

Hoewel deze risicofactoren niet bepalend zijn voor de regelgevende classificatie, vormen ze wel de basis voor de toezichtsaanpak ten aanzien van entiteiten die op verschillende punten in het decentralisatiespectrum opereren.

FATF-kader en contractuele relaties

De richtsnoeren van de FATF inzake VASP's en DeFi bieden een fundamenteel analytisch kader dat door de ESMA is overgenomen en verder is uitgewerkt. Volgens de bijgewerkte richtsnoeren van de FATF voor een risicogebaseerde benadering van virtuele activa en aanbieders van diensten met betrekking tot virtuele activa (oktober 2021) is een persoon die een softwareapplicatie of een platform voor virtuele activa creëert of verkoopt, mogelijk geen aanbieder van diensten met betrekking tot virtuele activa wanneer hij zich uitsluitend bezighoudt met het creëren of verkopen van de applicatie of het platform, waarbij de nadruk ligt op het woord uitsluitend.

In gevallen waarin makers, eigenaren, exploitanten of andere personen controle lijken te behouden of voldoende invloed uitoefenen op DeFi-regelingen, zelfs als die regelingen gedecentraliseerd lijken, kunnen zij onder de FATF-definitie van een VASP vallen indien zij VASP-diensten verlenen of actief faciliteren. Controle of aanzienlijke invloed kan tot uiting komen door controle over activa of aspecten van het protocol van de dienst, en door een voortdurende zakelijke relatie tussen de exploitant en de gebruikers, zelfs als deze controle wordt uitgeoefend via een smart contract of, in sommige gevallen, via stemprotocollen.

De redenering van de FATF legt de basis voor de beoordeling van decentralisatie onder MiCAR door twee cruciale principes vast te stellen:

• Ten eerste kunnen de eigenaren en exploitanten en hun mate van controle over DeFi vaak worden geïdentificeerd aan de hand van hun relatie tot de activiteiten die worden uitgevoerd, in plaats van aan de hand van de labels die aan de regeling worden toegekend.
• Ten tweede kan gedeeltelijke centralisatie niet automatisch worden uitgesloten, zelfs als andere partijen dan de belangrijkste dienstverlener bij de dienst betrokken zijn of als delen van het proces via slimme contracten zijn geautomatiseerd.

De rol van contractuele relaties bij de beoordeling van decentralisatie verdient bijzondere aandacht. Artikel 73 van MiCAR, dat betrekking heeft op de uitbesteding van diensten of activiteiten aan derden voor de uitvoering van operationele functies, regelt hoe CASP's om moeten gaan met risico's die verband houden met externe dienstverleners.

Zoals echter in het tweede consultatiedocument van de ESMA wordt erkend, bestaat er geen rechtsgrondslag om permissionless DLT's die door CASP's worden gebruikt, als een derde aanbieder te categoriseren, omdat er geen formele contractuele relatie, zoals een service level agreement, vereist is om met permissionless blockchains te communiceren. De ESMA concludeert dat permissionless DLT's kunnen worden beschouwd als een vorm van "algemeen nut", terwijl permissioned DLT's die door commerciële ondernemingen worden geëxploiteerd, doorgaans gepaard gaan met contracten voor white-label blockchainproducten, waardoor er sprake is van een relatie met een derde partij.

Deze conclusie heeft verstrekkende gevolgen voor de regelgevende beoordeling van platforms die zijn gebouwd op een permissionless infrastructuur. Als een platform smart contracts implementeert op een permissionless blockchain zoals Ethereum, leidt het gebruik van die blockchain-infrastructuur op zich niet tot een relatie met een externe dienstverlener.

Als de platformbeheerder echter de controle over de slimme contracten behoudt, de functionaliteit ervan kan upgraden of wijzigen, de toegang tot de front-end-interface beheert of administratieve sleutels beheert waarmee het protocol kan worden gepauzeerd, bevroren of gewijzigd, brengen deze gecentraliseerde elementen de beheerder binnen het toepassingsgebied van MiCAR, ongeacht het permissionless-karakter van het onderliggende grootboek.

De toetsing is daarom functioneel in plaats van technologisch: er wordt gekeken welke controle de exploitant daadwerkelijk uitoefent, niet op welke technologie het systeem is gebaseerd.

Belangrijkste conclusies:

Rekening houdend met de voorgaande analyse, en in het bijzonder met de redenering van de ESMA zoals uiteengezet in de consultatiedocumenten en het gezamenlijk rapport van januari 2025, zijn wij van mening dat de volgende stellingen gelden voor de doeleinden van deze beoordeling.

• Ten eerste: zolang geen enkel individu of entiteit zeggenschap heeft over een DeFi-protocol of -platform en het gebruik daarvan, en geen enkel individu een fundamentele en onmisbare rol vervult in de werking ervan zonder welke de technologie niet kan worden gebruikt, kan het DeFi-protocol of -platform worden beschouwd als vrijgesteld van het toepassingsgebied van MiCAR op grond van het feit dat het "volledig gedecentraliseerd" is in de zin van overweging 22.
• Ten tweede wordt de loutere ontwikkeling van software of hulpmiddelen voor CASP's niet beschouwd als een crypto-activadienst, tenzij aanvullende, door MiCAR gereguleerde aspecten, zoals het beïnvloeden van het aanbod, de verkoop, de overdracht, de bewaring of de handel in crypto-activa, deel uitmaken van de activiteiten van de ontwikkelaar.

De praktische toepassing van deze principes op een DeFi-project vereist echter een zorgvuldig onderzoek van de feitelijke governance en operationele kenmerken van het ecosysteem. Indien de architectuur van een project wijst op gecentraliseerde controle over de uitgifte van tokens, protocolparameters of de governance van het ecosysteem, is het onwaarschijnlijk dat het voldoet aan de vrijstelling voor "volledig gedecentraliseerde" systemen van overweging 22, en moeten de diensten die in verband met een dergelijk project worden verleend, worden beoordeeld op basis van de bepalingen van MiCAR.

Wat we hebben ontcijferd

De vrijstelling voor "volledig gedecentraliseerd" is uitzonderlijk beperkt: Overweging 22 van MiCA stelt dat diensten die op een "volledig gedecentraliseerde manier zonder enige tussenpersoon" worden verleend, buiten het toepassingsgebied van de verordening vallen, maar het bereiken van deze ware staat van volledige decentralisatie is uiterst zeldzaam. Als ook maar één enkele entiteit controle uitoefent over het bestuur, de protocolparameters of de kerninfrastructuur, is de vrijstelling niet van toepassing.

Inhoud gaat boven vorm bij naleving: toezichthouders kijken verder dan marketingclaims en technische semantiek om de daadwerkelijke operationele controle te beoordelen. De toetsing door de toezichthouder is functioneel, niet technologisch: als een exploitant administratieve sleutels beheert, de front-end-interface controleert of de mogelijkheid heeft om smart contracts te upgraden of te pauzeren, valt hij binnen het toepassingsgebied van MiCA.

Decentralisatie bestaat op een spectrum: ESMA beschouwt decentralisatie niet als een binair concept. Zelfs als een project sterk leunt op autonome code en slimme contracten, zal de aanwezigheid van identificeerbare entiteiten die in verschillende mate controle uitoefenen over vergoedingsstructuren, protocolupgrades of governance, aanleiding geven tot toezicht door de toezichthouder.

Permissionless blockchains zijn “gemeenschappelijke goederen”: Het vertrouwen op een openbare, permissionless blockchain leidt niet tot een formele uitbestedingsrelatie met een derde partij op grond van artikel 73 van MiCA, aangezien ESMA deze categoriseert als “gemeenschappelijke goederen”. Het inzetten van smart contracts op een infrastructuur voor gemeenschappelijke goederen beschermt de platformbeheerder echter niet tegen MiCA als deze functionele controle over die contracten behoudt.

Softwareontwikkelaars zijn niet automatisch CASP's: Het louter creëren en verkopen van niet-bewarende software of hardware leidt er niet automatisch toe dat een entiteit wordt aangemerkt als Crypto-Asset Service Provider (CASP). Als de ontwikkelaars of exploitanten echter voldoende invloed behouden over de crypto-activa, het platform of de lopende zakelijke relaties met gebruikers, overschrijden zij de regelgevingsdrempel en zullen zij worden gereguleerd als CASP's.

Dit artikel is gebaseerd op een onderzoek dat in april 2026 door LegalBison is uitgevoerd. De inhoud is uitsluitend bedoeld ter informatie en vormt geen juridisch advies.