Tror du at DeFi-prosjekter er unntatt fra europeisk regulering? Tro om igjen. Tilsynsmyndighetene ser forbi teknisk arkitektur for å vurdere hvem som faktisk utøver operasjonell kontroll. Oppdag hvorfor unntaket for «fullt desentraliserte» er usedvanlig snevert, og hvordan denne substans-fremfor-form-testen fastsetter dine MiCA-forpliktelser.
'Vi er DeFi, så MiCA gjelder ikke for oss.' Beklager, men EBA og ESMA har et annet synspunkt
SKREVET AV
DEL
MiCA Decoded er en ukentlig serie på 12 artikler for Bitcoin.com News, medforfattet av LegalBisons medgrunnleggere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgir krypto- og FinTech-selskaper om MiCA-lisenser, CASP- og VASP-søknader samt regulatorisk strukturering i hele Europa og utover.
Denne ukens innlegg er skrevet av Eira Järvi, senioradvokat i LegalBison, som leder global regulatorisk forskning og implementeringen av CASP-lisensiering og andre komplekse lisenser. Eira omsetter aktivt global forskning til aktive, kundeorienterte produkter.
DeFi i vekst
Desentralisert finans har vært i vekst de siste årene. Kryptoindustrien har nesten daglig vært vitne til fremveksten av nye DeFi-prosjekter. Nye blokkjedenettverk, protokoller og desentraliserte applikasjoner (dApps) danner et grunnlag for diskusjoner blant DeFi-entusiaster og i nyhetsbrev. De kretser rundt temaer som effektivitet, transparens, komponerbarhet, personvern og tilgjengelighet i DeFi. Når MiCAR (Markets in Crypto-Assets Regulation) trer i kraft, vurderer mange DeFi-utviklingsteam nå å utvide prosjektene sine til EU-markedene.
I denne sammenhengen forblir imidlertid ett tema mer avgjørende enn alle andre. Hvordan sikrer teamet at prosjektet de bygger er juridisk etterlevelsesmessig?
For de fleste DeFi-startups kan svaret virke enkelt: MiCAR inneholder et unntak for «fullt desentraliserte» prosjekter som mange startups trygt støtter seg på når de begrunner sin trygghet i å lansere prosjektene sine i EU uten å innhente juridisk veiledning, for ikke å snakke om MiCAR-etterlevelse.
Denne artikkelen har som mål å avlive den utbredte oppfatningen om at dersom et prosjekt er desentralisert nok, er MiCAR ikke relevant for teamet. Beklager, men regulatoriske retningslinjer knuser den myten!
Myten: MiCA påvirker ikke DeFi og ikke-forvarende tjenesteleverandører
Artikkel 3(1), punkt 1 i MiCAR definerer distribuert hovedbok-teknologi («DLT») som «en teknologi som muliggjør drift og bruk av distribuerte hovedbøker», og punkt 2 definerer «distribuert hovedbok» som «et informasjonsregister som fører opptegnelser over transaksjoner og som deles på tvers av, og synkroniseres mellom, et sett av DLT-nettverksnoder ved hjelp av en konsensusmekanisme.»
Fortalepunkt 22 i MiCAR gir den mest kritiske veiledningen om DeFi sitt forhold til forordningen. Den slår fast at MiCAR er utformet for å omfatte tjenester og aktiviteter som utføres, tilbys eller kontrolleres, enten direkte eller indirekte, av fysiske eller juridiske personer og visse foretak som driver med kryptoaktivtjenester, også i tilfeller der desentralisering er involvert.
Fortalepunktet inneholder imidlertid følgende avgjørende formulering: «Der kryptoaktivtjenester tilbys på en fullt desentralisert måte uten noen mellommann, bør de ikke falle innenfor virkeområdet til denne forordningen.» Betydningen av denne bestemmelsen ligger i to nøkkelfraser: «fullt desentralisert» og «uten noen mellommann.»
Selve forordningsteksten definerer ikke «fullt desentralisert» noe sted i sine operative bestemmelser. Den eneste kilden til dette uttrykket finnes i fortalepunkt 22, som er del av fortalen heller enn de rettslig bindende formelle bestemmelsene. Fortalepunkt 83 fastsetter videre at «leverandører av maskinvare eller programvare for ikke-forvarende lommebøker ikke bør falle innenfor virkeområdet til denne forordningen», uten uttrykkelig å definere i hvilken grad levering av maskinvare eller programvare utgjør en fullt desentralisert tjeneste som er unntatt fra MiCAR.
Fortalepunkt 109 anerkjenner disse tolkningsutfordringene og tildeler utviklingen av utkast til regulatoriske og gjennomførende tekniske standarder til Den europeiske banktilsynsmyndigheten («EBA») og Den europeiske verdipapir- og markedstilsynsmyndigheten («ESMA»).
Ved vurderingen av om tjenester faller innenfor MiCARs virkeområde, kan to vilkår utledes av fortalepunkt 22 og påfølgende regulatorisk veiledning:
- For det første kan ingen enkelt enhet utøve kontroll over protokollparametere, styringsmekanismer eller den kjerne-teknologiske infrastrukturen som kryptoaktivtjenesten opererer på.
- For det andre må brukere få tilgang til det som i realiteten utgjør en «fellesgode-ressurs», snarere enn å kjøpe tjenester fra en utpekt leverandør som de har et kontraktsmessig tjenesteleverandørforhold til.
Disse vilkårene er kritiske for å vurdere om et DeFi-prosjekt faller innenfor eller utenfor MiCARs virkeområde.
Fallgruven ved å overvurdere graden av desentralisering
I en verden med raskt fremvoksende teknologier, geopolitisk ustabilitet og fragmenterte finansielle systemer avhengige av manuelle prosesser og mellommenn, presenterer DeFi en transparent og grenseløs løsning som fundamentalt endrer måten transaksjoner initieres, behandles og gjennomføres på. I stedet for tradisjonelle finanssystemmodeller der transaksjoner først må passere gjennom en rekke mellommenn og institusjonelle backends før de utføres og gjøres opp, transakterer brukere i DeFi ved å samhandle direkte med det underliggende blokkjedenettverket gjennom desentraliserte protokoller og grensesnitt, og dermed elimineres behovet for mellommenn og komplekse systeminfrastrukturer.
I on-chain-jussens verden er grensen mellom full desentralisering og fravær av den tynnere enn den kan virke. Før noe arbeid kan begynne, vil en advokat som arbeider med et desentralisert Web3-prosjekt først finne ut om prosjektet kan anses som desentralisert ved å analysere og vurdere prosjektets lag, deres grad av desentralisering, samt teamets planer for eierskap og styring.
På dette innledende stadiet av den juridiske strategiseringen er det mange tekniske og arkitektoniske elementer som må vurderes av en advokat for å komme til en endelig konklusjon om prosjektets grad av desentralisering. Selv om teamet kan være overbevist om at prosjektet deres er fullt desentralisert, med alle elementene, som DLT-en, protokollen og dApp-en, kan den innledende vurderingen i realiteten avdekke det motsatte.
For å oppnå en tilstand av ekte, full desentralisering må alle prosjektets elementer oppfylle kriteriene om full autonomi og fravær av intern eller ekstern påvirkning på tvers av prosjektets økosystem og dets mange elementer, herunder, men ikke begrenset til, styring, eierskap, grensesnitt osv. Ved nærmere ettersyn er det svært få prosjekter som klarer å oppnå dette.
Denne lærdommen kan best illustreres av en nylig hendelse i DeFi-verdenen. 21. april 2026 frøs Arbitrum sitt sikkerhetsråd over 30 ETH (omtrent 71 millioner USD) knyttet til Kelp DAO-utnyttelsen. Et styringsorgan bestående av 12 medlemmer kunne reagere på kompromitteringen ved å flytte midlene til en mellomliggende lommebok, som bare kan frigjøres gjennom en styringsavstemning, og dermed i praksis låse midlene i lommeboken.
Dette eksempelet peker på eksistensen av skjønnsmessig operasjonell kontroll: selv om Arbitrum per definisjon er et layer-2, tillatelsesløst og tilsynelatende fullt desentralisert nettverk, er utøvelsen av kontroll over brukernes aktiva nettopp det som ville falle gjennom MiCARs test for full desentralisering. Substans fremfor form avgjør i dette tilfellet det regulatoriske virkeområdet, uavhengig av tillatelsesløsheten i den underliggende hovedboken.
Dermed er ikke en enkel påstand om at et DeFi-prosjekt er fullt desentralisert tilstrekkelig til å utelukke plikten til å etterleve MiCAR og innhente nødvendig tillatelse som CASP. Advokater vil primært vurdere prosjektets tekniske arkitektur, eierskapslogikk og styringsregler, noe som innebærer at de anvender en substans-fremfor-form-vurdering fremfor semantikk. Europeiske reguleringsorganer, som Den europeiske banktilsynsmyndigheten (EBA) og Den europeiske verdipapir- og markedstilsynsmyndigheten (ESMA), støtter fullt ut denne tilnærmingen.
ESMA sitt og EBA sitt perspektiv på DeFi
ESMA sitt perspektiv på desentralisert finans har utviklet seg betydelig gjennom flere konsultasjonspakker og, mest betydningsfullt, gjennom fellesrapporten med EBA om nyere utviklingstrekk i kryptoaktiva publisert 13. januar 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), utarbeidet i henhold til artikkel 142 i MiCAR.
ESMAs resonnement om desentraliseringsspektrumet er grunnleggende for denne vurderingen. I sin andre konsultasjonspakke om regulatoriske og gjennomførende tekniske standarder foreslo ESMA en definisjon av «tillatelsesløs distribuert hovedbok-teknologi» som «en teknologi som muliggjør drift og bruk av distribuerte hovedbøker der ingen enhet kontrollerer den distribuerte hovedboken eller dens bruk eller leverer kjernetjenester for bruken av en slik distribuert hovedbok, og DLT-nettverksnoder kan settes opp av enhver person som oppfyller de tekniske kravene og protokollene.»
Denne definisjonen bygger på Financial Stability Board sitt konsultative dokument, som skiller mellom tillatelsesløs (fullt desentralisert) DLT, tillatelsesbasert DLT som tillater en viss grad av sentralisering, og sentraliserte plattformer. ESMA erkjenner at «det eksakte omfanget av dette unntaket forblir usikkert» og mener at en vurdering av hvert system bør gjøres fra sak til sak, med hensyn til systemets kjennetegn.
ESMA anerkjenner at desentralisering ikke er et binært konsept, men eksisterer på et spekter fra sentralisering til ulike grader av desentralisering: «Med DEX-er tar blokkjeden plassen til mellommannen. DEX-er bruker autonom kode (ofte omtalt som smarte kontrakter) til å gjennomføre handler direkte på oppgjørslaget til blokkjeden (med varierende grad av desentralisering).»
Fellesrapporten fra januar 2025 gir empiriske data som underbygger den analytiske rammen. DeFi utgjør om lag fire prosent av den globale markedsverdien for kryptoaktiva, med noe høyere penetrasjonsrater observert blant EU-baserte brukere. Rapporten bekrefter at svært få DeFi-systemer oppnår reelt full desentralisering slik det er forutsatt i fortalepunkt 22. Rapporten identifiserer at selv tilsynelatende desentraliserte protokoller typisk har identifiserbare enheter som utøver ulike grader av kontroll over styring, protokolloppgraderinger, utrulling av smarte kontrakter og gebyrstrukturer.
Når det gjelder maskinvare- og programvareleverandører av CASP-tilknyttede tjenester, er posisjonen som fremkommer av ESMAs veiledning at enheter som kun utvikler og selger programvareutviklingsverktøy, applikasjoner eller plattformer for tilrettelegging eller handel med kryptoaktiva, ikke automatisk klassifiseres som CASP-er dersom aktivitetene deres er begrenset til utvikling og salg av nevnte tjenester.
Enheter som fører tilsyn med utviklingen og videreutviklingen av programvare eller plattformer for å tilby kryptoaktivtjenester, kan imidlertid anses som CASP-er dersom de beholder kontroll eller tilstrekkelig innflytelse over kryptoaktivene, programvaren, protokollen, plattformen eller forretningsforholdene med brukerne. Den avgjørende testen er derfor kontroll og innflytelse snarere enn bare teknologisk involvering.
Rollen til kontraktsforhold i defineringen av full desentralisering understrekes ytterligere av ESMAs analyse av artikkel 73 i MiCAR, som gjelder utkontraktering av tjenester eller aktiviteter til tredjeparter. ESMA konkluderer med at det ikke finnes noe rettslig grunnlag for å kategorisere tillatelsesløse DLT-er brukt av CASP-er som en tredjepartsleverandør, ettersom det ikke kreves noe formelt kontraktsforhold for å samhandle med tillatelsesløse blokkjeder. Dette leder til den viktige konklusjonen at tillatelsesløse DLT-er kan betraktes som en form for «fellesgode»-ressurs, mens tillatelsesbaserte DLT-er drevet av kommersielle foretak typisk innebærer formelle kontraktsordninger og derfor utgjør et «tredjepartsleverandør»-forhold. Dette skillet er ryggraden i den videre vurderingen i dette notatet.
Fellesrapporten tar også opp ML/TF-risiko og IKT-hensyn som gjelder for desentraliserte systemer. Fraværet av tradisjonelle AML/CFT-kontroller i rent desentraliserte systemer gir betydelige regulatoriske bekymringer, ettersom «know-your-customer»-prosedyrer og transaksjonsovervåking typisk mangler eller er ufullstendige. Rapporten bemerker at IKT-risiko er blant de primære bekymringene, og at et flertall av DeFi-relaterte finansielle tap kan tilskrives sårbarheter i smarte kontrakter, orakelmanipulasjon og front-running-angrep, inkludert utnyttelse av maksimal ekstraherbar verdi («MEV»).
Disse risikofaktorene, selv om de ikke er avgjørende for regulatorisk klassifisering, informerer tilsynstilnærmingen til enheter som opererer på ulike punkter i desentraliseringsspektrumet.
FATF-rammeverk og kontraktsforhold
FATFs veiledning om VASP-er og DeFi gir et grunnleggende analytisk rammeverk som er tatt i bruk og videreutviklet av ESMA. Ifølge FATFs Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers (oktober 2021) kan en person som skaper eller selger en programvareapplikasjon eller en virtuell aktivaplattform, ikke utgjøre en Virtual Asset Service Provider når vedkommende utelukkende driver med utvikling eller salg av applikasjonen eller plattformen, med vekt på ordet utelukkende.
I tilfeller der skapere, eiere, operatører eller andre personer ser ut til å opprettholde kontroll eller utøve tilstrekkelig innflytelse over DeFi-oppsett, selv om disse oppsettene fremstår desentraliserte, kan de falle inn under FATFs definisjon av en VASP dersom de tilbyr eller aktivt tilrettelegger VASP-tjenester. Kontroll eller betydelig innflytelse kan komme til uttrykk gjennom kontroll over aktiva eller over aspekter ved tjenestens protokoll, og gjennom et løpende forretningsforhold mellom operatøren og brukerne, selv om denne kontrollen utøves gjennom en smart kontrakt eller, i noen tilfeller, gjennom avstemningsprotokoller.
FATFs resonnement danner grunnlaget for vurderingen av desentralisering under MiCAR ved å etablere to avgjørende prinsipper:
- For det første kan eiere og operatører og deres grad av kontroll over DeFi ofte identifiseres gjennom deres forhold til aktivitetene som utføres, snarere enn gjennom merkelappene som brukes om oppsettet.
- For det andre kan delvis sentralisering ikke automatisk utelukkes selv om andre parter enn den primære tjenesteleverandøren er involvert i tjenesten, eller dersom deler av prosessen er automatisert gjennom smarte kontrakter.
Rollen til kontraktsforhold i vurderingen av desentralisering fortjener særlig oppmerksomhet. Artikkel 73 i MiCAR, som gjelder utkontraktering av tjenester eller aktiviteter til tredjeparter for utførelse av operasjonelle funksjoner, regulerer hvordan CASP-er bør håndtere risiko knyttet til tredjepartsleverandører.
Som ESMAs andre konsultasjonspapir imidlertid erkjenner, finnes det ikke noe rettslig grunnlag for å kategorisere tillatelsesløse DLT-er brukt av CASP-er som en tredjepartsleverandør, fordi det ikke kreves noe formelt kontraktsforhold, som en tjenestenivåavtale, for å samhandle med tillatelsesløse blokkjeder. ESMA konkluderer med at tillatelsesløse DLT-er kan betraktes som en form for «fellesgode»-ressurs, mens tillatelsesbaserte DLT-er drevet av kommersielle foretak typisk innebærer kontrakter tilgjengelige for white-label-blokkjedeprodukter, og dermed utgjør et tredjepartsleverandørforhold.
Denne konklusjonen har dype implikasjoner for den regulatoriske vurderingen av plattformer bygget på tillatelsesløs infrastruktur. Dersom en plattform ruller ut smarte kontrakter på en tillatelsesløs blokkjede som Ethereum, etablerer bruken av den blokkjedeinfrastrukturen i seg selv ikke et tredjeparts tjenesteleverandørforhold.
Dersom plattformoperatøren derimot beholder kontroll over de smarte kontraktene, kan oppgradere eller endre funksjonaliteten deres, kontrollerer tilgang til front-end-grensesnittet, eller opprettholder administrasjonsnøkler som kan pause, fryse eller endre protokollen, bringer disse sentraliserte elementene operatøren inn under MiCARs virkeområde uavhengig av den tillatelsesløse naturen til den underliggende hovedboken.
Testen er derfor funksjonell snarere enn teknologisk: den spør hvilken kontroll operatøren faktisk utøver, ikke hvilken teknologi systemet er bygget på.
Viktige punkter:
Med hensyn til analysen ovenfor, og særlig ESMAs resonnement slik det fremgår av konsultasjonspapirene og fellesrapporten fra januar 2025, er vi av den oppfatning at følgende påstander gjelder for formålene med denne vurderingen.
- For det første: så lenge ingen person eller enhet kontrollerer en DeFi-protokoll eller -plattform og dens bruk, og ingen person oppfyller en grunnleggende og uunnværlig rolle i driften uten hvilken teknologien ikke kan benyttes, kan DeFi-protokollen eller -plattformen anses unntatt fra MiCARs anvendelsesområde i kraft av å være «fullt desentralisert» i betydningen av fortalepunkt 22.
- For det andre: ren utvikling av programvare eller hjelpeteknologier for CASP-er anses ikke som en kryptoaktivtjeneste med mindre ytterligere MiCAR-regulerte aspekter, som å påvirke tilbud, salg, overføring, forvaring eller handel med kryptoaktiva, inngår i omfanget av aktivitetene utvikleren utfører.
Den praktiske anvendelsen av disse prinsippene på ethvert DeFi-prosjekt krever imidlertid en nøye undersøkelse av økosystemets faktiske styrings- og driftskjennetegn. Dersom et prosjekts arkitektur indikerer sentralisert kontroll over token-utstedelse, protokollparametere eller økosystemstyring, er det lite sannsynlig at det oppfyller unntaket for «fullt desentralisert» i fortalepunkt 22, og tjenestene som ytes i tilknytning til et slikt prosjekt må vurderes etter MiCARs bestemmelser.
Hva vi avkodet
Unntaket for «fullt desentralisert» er usedvanlig snevert: MiCAs fortalepunkt 22 fastslår at tjenester som leveres på en «fullt desentralisert måte uten noen mellommann» faller utenfor reguleringens virkeområde, men å oppnå denne reelle tilstanden av full desentralisering er utrolig sjeldent. Dersom én enkelt enhet utøver kontroll over styring, protokollparametere eller kjerneinfrastruktur, gjelder ikke unntaket.
Substans fremfor form avgjør etterlevelse: Tilsynsmyndighetene ser forbi markedsføringspåstander og teknisk semantikk for å vurdere faktisk operasjonell kontroll. Den regulatoriske testen er funksjonell, ikke teknologisk: hvis en operatør opprettholder administrasjonsnøkler, kontrollerer front-end-grensesnittet, eller har mulighet til å oppgradere eller pause smarte kontrakter, faller de innenfor MiCAs virkeområde.
Desentralisering finnes på et spektrum: ESMA ser ikke på desentralisering som et binært konsept. Selv om et prosjekt i stor grad baserer seg på autonom kode og smarte kontrakter, vil tilstedeværelsen av identifiserbare enheter som utøver ulike grader av kontroll over gebyrstrukturer, protokolloppgraderinger eller styring utløse regulatorisk granskning.
Tillatelsesløse blokkjeder er «fellesgoder»: Å basere seg på en offentlig, tillatelsesløs blokkjede etablerer ikke et formelt tredjeparts utkontrakteringsforhold etter artikkel 73 i MiCA, ettersom ESMA kategoriserer disse som «fellesgode»-ressurser. Å rulle ut smarte kontrakter på en fellesgode-infrastruktur skjermer imidlertid ikke plattformoperatøren fra MiCA dersom de beholder funksjonell kontroll over disse kontraktene.
Programvareutviklere er ikke automatisk CASP-er: Det å bare utvikle og selge ikke-forvarende programvare eller maskinvare klassifiserer ikke automatisk en enhet som en leverandør av kryptoaktivtjenester (CASP). Dersom utviklerne eller operatørene imidlertid beholder tilstrekkelig innflytelse over kryptoaktivene, plattformen eller de løpende forretningsforholdene med brukerne, passerer de den regulatoriske terskelen og vil bli regulert som CASP-er.
Denne artikkelen er basert på en studie gjennomført av LegalBison i april 2026. Innholdet er kun til informasjonsformål og utgjør ikke juridisk rådgivning.
