MiCA avkodet: Sammenligning av MiCA (EU) med VARA (Dubai) og MAS (Singapore)

MiCA Decoded er en ukentlig serie på 12 artikler for Bitcoin.com News, medforfattet av LegalBisons medgrunnleggere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison gir råd til krypto- og FinTech-selskaper om MiCA-lisensiering, CASP- og VASP-søknader samt regulatorisk strukturering i hele Europa og utover.

Myten: Alle store kryptorammeverk konvergerer mot den samme modellen

Når gründere sammenligner jurisdiksjoner, går samtalen vanligvis én av to veier. Enten behandler de regulatoriske regimer som om de i grove trekk er likeverdige, og bare skiller seg på kostnad og tidslinje, eller de behandler dem som fullstendig usammenlignbare – hver så unik at sammenligning er meningsløs. Ingen av posisjonene er riktig.

Forordningen om markeder for kryptoaktiva (MiCA), Dubais rammeverk under Virtual Assets Regulatory Authority (VARA), og Singapores lisensieringsregime under Financial Services and Markets Act 2022 (FSM-loven) og Payment Services Act 2019 (PS-loven) ligner på hverandre sett utenfra. Alle tre krever lisensiering. Alle tre pålegger egnethets- og skikkethetsvurderinger, kapitalkrav og tiltak mot hvitvasking. Alle tre hevder å balansere innovasjon med forbrukerbeskyttelse.

Men utover likhetene reflekterer hvert regime en spesifikk regulatorisk filosofi, en spesifikk teori om hvem kryptorisikoen faller på og hvorfor, og et spesifikt svar på spørsmålet om hva et lisensiert kryptofirma faktisk er. Disse forskjellene er ikke prosessuelle detaljer. De avgjør om en bestemt forretningsmodell i det hele tatt kan lisensieres, hvor mye substans en enhet må ha, og hva en gründer faktisk forplikter seg til når de søker.

Hva reguleringen faktisk sier: Omfang og tjenester

De tre regimene starter med ulike definisjoner av regulert aktivitet, og disse definisjonsvalgene har betydelige konsekvenser.

MiCA definerer ti kategorier av kryptoaktivatjenester, fra oppbevaring og drift av handelsplattformer til porteføljeforvaltning og investeringsrådgivning om kryptoaktiva. Rammeverket etablerer én enkelt autorisasjon, en lisens som Crypto-Asset Service Provider (CASP), som dekker den delmengden av disse ti tjenestene som søkeren har til hensikt å tilby. Omfanget er EU-omfattende, noe som betyr at én CASP-lisens kan passporterer på tvers av alle de 27 EU-medlemsstatene og de 3 EØS-landene (Norge, Island, Liechtenstein) uten sekundære søknader i hvert land.

VARA organiserer regulert aktivitet i tydelige kategorier, blant annet Broker-Dealer Services, Custody Services, Exchange Services, Lending and Borrowing Services og Advisory Services, blant andre. Hver kategori har sine egne regelverkskrav og sin egen terskel for innbetalt aksjekapital. Et firma som har en VARA-lisens for Exchange Services har andre løpende forpliktelser enn et som kun er lisensiert for Advisory Services.

Singapore opererer på tvers av to lovverk avhengig av aktivitetens art. Kryptobørser og oppbevaringsleverandører som håndterer digitale betalingstokens, opererer under PS-loven som Major Payment Institutions (MPI). Selskaper som tilbyr digitale token-tjenester utenfor Singapore, som er FSM-lovens definerte virkeområde, reguleres som Digital Token Service Providers (DTSP-er) under del 9 av FSM-loven. FSM-loven dekker ti distinkte tjenestetyper i sitt First Schedule, inkludert omsetning av digitale tokens, tilrettelegging for utveksling av digitale tokens og sikring av digitale tokens med kontroll over klientmidler.

Den praktiske konsekvensen av disse ulike avgrensningstilnærmingene blir synlig når en gründer forsøker å kartlegge sin forretningsmodell inn i den regulatoriske arkitekturen. Dette er særlig krevende for grensecase-plattformer som prediksjonsmarkeder, som ligger i skjæringspunktet mellom Web3 og spekulativ gaming, der gründere må vurdere nøye om de trenger en kryptoautorisasjon eller en separat pengespilllisens.

Som vi så i en tidligere artikkel, kan en DeFi-protokoll meget vel bli forbudt under MiCA. Under VARA må den samme protokollen vurdere om en identifiserbar enhet utøver kontroll over plattformen, noe VARA evaluerer med en «substans fremfor form»-tilnærming. Under Singapores rammeverk fokuserer FSM-loven på tjenestelevering fra eller av Singapore-tilknyttede enheter, noe som betyr at offshore protokolloperatører strukturert utenfor Singapore kan falle helt utenfor lisensieringsperimeteren, men bare hvis de faktisk unngår de foreskrevne tilknytningspunktene.

Hvorfor forvirringen finnes: Passportering, geografisk rekkevidde og regulatorisk hensikt

Den mest konsekvensfulle strukturelle forskjellen mellom de tre rammeverkene er passportering. MiCA etablerer den. VARA og Singapore gjør det ikke.

En CASP autorisert i Estland kan varsle den relevante hjemstatsmyndigheten og begynne å tilby tjenester til kunder i hele EU og EØS uten ytterligere lisensiering. Autorisasjonen følger enheten. Denne Europa-omfattende passporteringen er en viktig katalysator for komplekse Web3-modeller som nettspill som bruker kryptoaktiva, som ofte ønsker å komplementere sin kryptostruktur med for eksempel en nettbasert pengespilllisens i Estland. For en virksomhet som retter seg mot EU-detaljkunder i flere land, er dette ikke en bekvemmelighetsfunksjon – det er det sentrale kommersielle argumentet for MiCA-autorisasjon. Én compliance-infrastruktur betjener 450 millioner potensielle kunder.

VARA-lisensiering er Dubai-spesifikk. Den regulerer virtuell aktivavirksomhet som utføres i, eller retter seg mot, Emiratet Dubai, slik det er fastsatt i Dubai Law No. 4 of 2022. En VARA-lisensiert børs som betjener kunder i GCC eller internasjonalt, gjør det på grunnlag av andre jurisdiksjoners rammeverk, eller på grunnlag av at den ikke utløser lokale lisenskrav i disse markedene. VARA-lisensen i seg selv gir ingen grensekryssende passporteringsmekanisme.

Singapores DTSP-lisens under FSM-loven gjelder for enheter som opererer fra Singapore eller er inkorporert i Singapore, men som leverer digitale token-tjenester utenfor Singapore. Det er den tiltenkte rekkevidden. Singapore hevder ikke å regulere offshore-aktivitet fra utenlandske selskaper på detaljforbrukernivå gjennom FSM-loven, selv om MAS innfører begrensninger for hva lisensierte og ulisensierte DTSP-er kan gjøre i forhold til Singapore-bosatte.

Disse forskjellene reflekterer reelt ulike regulatoriske teorier. MiCAs passporteringsdesign reflekterer EUs logikk om det indre markedet, der fragmentering av tilgang til finansielle tjenester anses som en regulatorisk svikt. VARAs Dubai-spesifikke omfang reflekterer en jurisdiksjonsbyggende strategi, der målet er å gjøre Dubai til en hub, ikke å regulere global kryptoaktivitet. Singapores FSM-lovsrammeverk reflekterer en tilnærming basert på omdømmerisikostyring, der MAS har vært tydelig på at lisens gis under svært begrensede omstendigheter, og at regimet er utformet for å forankre aktører av høy kvalitet snarere enn å legge til rette for bred markedsinngang.

Kapitalkrav: Tre forskjellige svar på det samme spørsmålet

Alle tre regimer pålegger kapitalkrav. Tallene og logikken bak dem er ikke den samme.

Under MiCA varierer minimumskapitalen for en CASP fra EUR 50 000 (klasse 1), til EUR 125 000 (klasse 2), til EUR 150 000 (klasse 3). MiCA-regimet anvender også et løpende krav til faste kostnader (fixed overheads), som betyr at et firma må holde det høyeste av det faste minimumet eller en fjerdedel av fjorårets faste kostnader. En CASP med EUR 10 millioner i årlige driftskostnader får et effektivt kapitalkravsgulv på EUR 2,5 millioner, uavhengig av hvilken tjenesteklasse som gjelder.

VARA bruker en modell for innbetalt kapital som er aktivitets-spesifikk og har høyere absolutte minimumskrav. Advisory Services krever AED 100 000. Leverandører av Custody Services krever basiskapital lik det høyeste av AED 600 000 eller 25 % av faste årlige kostnader. For Broker-Dealer Services avhenger kapitalkravet av oppbevaringsopplegget: de som bruker en VARA-lisensiert forvalter, krever det høyeste av AED 400 000 eller 15 % av faste årlige kostnader, mens de som ikke bruker en VARA-lisensiert forvalter, krever det høyeste av AED 600 000 eller 25 % av faste årlige kostnader.

Tilsvarende er kapitalkravet for Exchange Services, den mest kapitalintensive kategorien, det høyeste av AED 800 000 eller 15 % av faste årlige kostnader dersom VASP-en bruker en VARA-lisensiert forvalter, og det høyeste av AED 1 500 000 eller 25 % av faste årlige kostnader i alle andre tilfeller. VARA pålegger også et separat krav til Net Liquid Assets, som krever at VASP-er holder løpende likvide eiendeler slik at overskuddet deres over kortsiktige forpliktelser utgjør minst 1,2 ganger deres månedlige driftskostnader, avstemt daglig, og rapportert til VARA månedlig med kvartalsvis aggregering. VARA krever også profesjonsansvarsforsikring, styre- og ledelsesansvarsforsikring og forsikring mot kommersiell kriminalitet for eiendeler lagret i hot wallets.

Singapores DTSP-rammeverk under FSM-loven fastsetter et grunnkapitalkrav på SGD 250 000, som gjelder likt for selskaper, partnerskap og enkeltpersonforetak, med forventningen i MAS’ retningslinjer om at kapitalbufferen realistisk bør dekke seks til tolv måneder med driftskostnader. MAS har vært tydelig på at DTSP-er ikke er underlagt samme soliditetsregulering som innskuddsinstitusjoner og ikke har sikkerhetsnett som innskuddsgaranti. Gulvet på SGD 250 000 er en terskel for markedsinngang, ikke en risikokalibrert soliditetsbuffer i MiCA- eller VARA-forstand.

Den praktiske forskjellen handler ikke bare om tallene. VARAs krav til Net Liquid Assets og forsikring skaper en flerlaget forpliktelse til finansiell soliditet som MiCA og FSM-loven håndterer annerledes eller mindre preskriptivt. Et firma som beregner sin VARA-compliance-eksponering må arbeide gjennom innbetalt kapital, netto likvide eiendeler og forsikringsdekning samtidig, og avstemme alle tre med spesifikke frekvenser, med VARA som oppgitt begunstiget av kapitalens trustkonto eller kausjonsgaranti (surety bond).

Forbrukerbeskyttelsesfilosofi: Risikodisponering, egnethet og tilgangsbegrensninger

Når det gjelder forbrukerbeskyttelse, har MiCA, VARA og Singapore ulike intuisjoner om hva regulatorer faktisk bør forhindre.

MiCA behandler tilbydere av kryptoaktivtjenester som finansielle tjenesteleverandører underlagt atferdsforpliktelser, egnethetsvurderinger for porteføljeforvaltning og rådgivning, krav til best mulig gjennomføring (best execution) og løpende opplysningsplikt. For detaljinnehavere krever reguleringen meningsfulle risikodisklaimere i white papers og markedsføringskommunikasjon, men de konkrete mekanismene for innehaverbeskyttelse avhenger av token-typen. For detaljinnehavere som kjøper kryptoaktiva som ikke er asset-referenced tokens (ART-er) og e-money tokens (EMT-er) direkte fra en tilbyder, pålegger MiCA en 14-dagers angrerett. Denne angreretten gjelder imidlertid ikke for ART-er og EMT-er; i stedet er innehavere av disse tokenene beskyttet av en permanent innløsningsrett når som helst overfor utsteder.

Men MiCA begrenser ikke detaljdeltakeres tilgang til kryptohandel. Den forutsetter at informert detaljdeltakelse er legitim og strukturerer sine atferdsregler deretter.

VARAs Market Conduct Rulebook krever kundeavtaler, klagehåndtering og investorklassifisering. VARA klassifiserer investorer i tre kategorier: Retail Investors, Qualified Investors og Institutional Investors, med tjenesteparametere som justeres etter klassifisering. Markedsføringsreglene VARA utstedte i 2024 er blant de mest detaljerte i noen kryptojurisdiksjon, og gir spesifikk veiledning og illustrative casestudier om hva som utgjør forbudt markedsføring, inkludert omfattende behandling av innlegg i sosiale medier, influencer-avtaler og pedagogisk innhold som kan gli over i promotering.

Singapores tilnærming er den mest restriktive av de tre overfor detaljdeltakelse. MAS har konsekvent advart offentligheten mot kryptovalutaspekulasjon siden 2017 og har begrenset reklame for DPT-tjenester i offentlige rom. Konsultasjonspapiret fra 2022 om foreslåtte tiltak for Digital Payment Token Services introduserte de første forslagene om at DPTSP-er må vurdere detaljkunders kunnskap før de tilbyr noen DPT-tjeneste, innføre forbrukertilgangsbegrensninger og unngå å tilby insentiver for detaljhandel.

MAS’ uttalte posisjon er at regulering ikke kan og ikke bør gi detaljkunder inntrykk av at lisensierte plattformer er trygge investeringsarenaer. Retningslinjene for DTSP-lisensiering beskriver opptak som noe som skjer under svært begrensede omstendigheter, noe som understreker at Singapore-rammeverket ikke er utformet for bred tilgang til detaljmarkedet fra lisensierte tilbydere.

Operasjonell substans: Hvordan det ser ut å leve innenfor regimet

Den løpende compliance-belastningen under alle tre regimene er betydelig. Men karakteren av belastningen varierer.

MiCA pålegger krav til styring og kontroll, krav til forretningskontinuitet i tråd med Digital Operational Resilience Act (DORA), AML/CTF-rammeverk i tråd med EU-direktiver, løpende rapportering og en obligatorisk egnethets- og skikkethetsvurdering for ledelse og kvalifiserte aksjonærer. Regimet krever et sted for effektiv ledelse i EU og minst én EU-bosatt styredirektør. Autorisasjonen er tjenestespesifikk, noe som betyr at hver CASP-lisens spesifiserer hvilke av de ti tjenestekategoriene innehaveren er autorisert til å tilby.

VARA opererer gjennom et regelbokssystem der flere regelbøker gjelder for alle VASP-er samtidig: Company Rulebook, Compliance and Risk Management Rulebook, Technology and Information Rulebook og Market Conduct Rulebook, i tillegg til den spesifikke aktivitetsregelboken for hver lisensiert VA Activity. Technology and Information Rulebook krever en Chief Information Security Officer, en cybersikkerhetspolicy sendt inn til VARA, og et rammeverk for teknologistyring og risikovurdering som dekker fem definerte risikokategorier. VARA krever en juridisk enhet i Dubai, en tydelig eierkjede med identifiserbare reelle rettighetshavere, og skriftlig godkjenning for enhver vesentlig endring i selskapsstrukturen.

Singapores rammeverk under FSM-loven krever et permanent forretningssted eller registrert kontor i Singapore med en representant til stede minst ti dager per måned i minimum åtte timer hver dag. Retningslinjene for DTSP-lisensiering krever en penetrasjonstest av de foreslåtte tjenestene før lisensen gis, en vurdering av en uavhengig ekstern revisor av teknologi og cybersikkerhet som vilkår for in-principle approval, samt compliance-ordninger proporsjonale med virksomhetens omfang og art. MAS gjennomfører intervjuer med nøkkelpersonell i ledelsen som en standard del av vurderingen, og konsulenter og ekstern juridisk rådgiver har uttrykkelig ikke lov til å delta i disse intervjuene.

Hver av disse substanskravene betyr noe for et firma som aldri har bygget innenfor det regulatoriske miljøet før. VARAs krav om at innbetalt kapital må sikres, enten holdt i en trustkonto i en UAE-bank der VARA er oppført som begunstiget, eller garantert gjennom en surety bond fra et autorisert UAE-garantiselskap, er en strukturell avhengighet som må etableres før autorisasjon. Singapores intervjukrav betyr at CEO og compliance-ansvarlig må kunne forklare forretningsmodellen, risikokontrollene og compliance-tilnærmingen uten referansestøtte fra rådgivere. Dette er ikke abstrakte hindringer; de er operasjonelle vilkår.

Hva vi avkodet: Impliksjoner for jurisdiksjonsstrategi

De tre rammeverkene konkurrerer ikke med hverandre på noen enkel måte. Et firma som velger mellom dem, tar vanligvis en beslutning om hvilket marked det faktisk prøver å betjene, og hvilken type regulatorisk relasjon det er forberedt på å opprettholde.

• MiCA er den eneste av de tre som gir direkte tilgang til et samlet detaljmarked i kontinentalt omfang gjennom én autorisasjon. For enhver tilbyder av kryptoaktivtjenester hvis primærvirksomhet involverer EU-detaljkunder, er MiCA ikke valgfritt; det er rammeverket som avgjør om den virksomheten i det hele tatt kan operere lovlig i EU. Overgangsperioden slutter 1. juli 2026.
• VARA er en Dubai-spesifikk lisens som betjener selskaper hvis kommersielle strategi er forankret i UAE- og MENA-markedene, eller hvis merkevarebygging drar nytte av en Dubai-basert lisensiert tilstedeværelse. Kapitalkravene er høyere enn MiCA i absolutte tall, markedsføringsreglene er blant de mest detaljerte globalt, og compliance-arkitekturen med flere regelbøker er substansiell. En VARA-lisens følger ikke med inn i andre jurisdiksjoner, men for selskaper som retter seg mot Gulf-regionen eller som ønsker å drive en compliant børs spesifikt i Dubai, finnes det ikke noe tilsvarende alternativ.
• Singapores DTSP-lisens er den mest restriktive av de tre å få, og er uttrykkelig utformet for en snever klasse søkere: selskaper som er Singapore-tilknyttet men som leverer digitale token-tjenester utenfor Singapore, og som kan demonstrere at de allerede er regulert etter internasjonale standarder andre steder, at forretningsmodellen gir økonomisk mening, og at MAS ikke har bekymringer om strukturen deres. Å oppnå denne lisensen er ikke en enkel vei inn i markedet. Den ligger nærmere en regulatorisk godkjenning, tilgjengelig for et lite antall operatører som oppfyller en høy terskel.

Regimene er ikke funksjonelt utbyttbare, og de var ikke designet for å være det. Et firma som søker alle tre samtidig fordi det ønsker global dekning, inngår tre ulike forpliktelser overfor tre ulike regulatorer med tre ulike teorier om hvordan et lisensiert kryptofirma bør se ut. Å få denne koordineringen riktig krever mer enn en parallell søknadsprosess. Det krever forståelse av hva hver regulator faktisk forsøker å oppnå, og om virksomheten troverdig kan forplikte seg til det.

Denne artikkelen er basert på en studie gjennomført av LegalBison i mai 2026. Innholdet er kun til informasjonsformål og utgjør ikke juridisk rådgivning.