Czy uważasz, że projekty DeFi są zwolnione z europejskich regulacji? Zastanów się jeszcze raz. Organy regulacyjne nie ograniczają się do analizy architektury technicznej, ale oceniają, kto faktycznie sprawuje kontrolę operacyjną. Dowiedz się, dlaczego wyłączenie dotyczące projektów „w pełni zdecentralizowanych” ma wyjątkowo wąski zakres oraz w jaki sposób ta zasada „treści nad formą” determinuje Twoje obowiązki wynikające z MiCA.
„Jesteśmy DeFi, więc MiCA nas nie dotyczy”. Niestety, EBA i ESMA mają inne zdanie na ten temat
NAPISAŁ
UDOSTĘPNIJ
MiCA Decoded to cotygodniowa seria 12 artykułów dla serwisu Bitcoin.com News, której współautorami są współzałożyciele i dyrektorzy zarządzający LegalBison: Aaron Glauberman, Viktor Juskin i Sabir Alijev. LegalBison doradza firmom z branży kryptowalutowej i FinTech w zakresie licencjonowania MiCA, wniosków CASP i VASP oraz strukturyzacji regulacyjnej w Europie i poza nią.
Autorką artykułu z tego tygodnia jest Eira Järvi, starszy prawnik w LegalBison, kierująca globalnymi badaniami regulacyjnymi oraz wdrażaniem licencji CASP i innych złożonych licencji. Eira aktywnie wykorzystuje wyniki globalnych badań w produktach przeznaczonych dla klientów.
DeFi zyskuje na popularności
W ostatnich latach obserwujemy wzrost popularności zdecentralizowanych finansów. W branży kryptowalut niemal codziennie pojawiają się nowe projekty DeFi. Nowe sieci blockchain, protokoły i zdecentralizowane aplikacje (dApps) stanowią temat dyskusji entuzjastów DeFi i biuletynów. Dotyczy to kwestii wydajności, przejrzystości, kompozycyjności, prywatności i dostępności DeFi. Wraz z wejściem w życie MiCAR (rozporządzenia w sprawie rynków aktywów kryptograficznych) wiele zespołów programistów DeFi rozważa obecnie rozszerzenie swoich projektów na rynki UE.
Jednak w tym kontekście jedna kwestia pozostaje ważniejsza od wszystkich innych. W jaki sposób zespół zapewnia zgodność tworzonego projektu z przepisami prawa?
Dla większości start-upów DeFi odpowiedź może wydawać się prosta: MiCAR zawiera wyłączenie dla projektów „w pełni zdecentralizowanych”, na którym wiele start-upów śmiało się opiera, uzasadniając swoją pewność co do uruchomienia projektów w UE bez zasięgania porady prawnej, nie mówiąc już o zgodności z MiCAR.
Niniejszy artykuł ma na celu obalenie powszechnego przekonania, że jeśli projekt jest wystarczająco zdecentralizowany, MiCAR nie ma znaczenia dla zespołu. Niestety, wytyczne regulacyjne obalają ten mit!
Mit: MiCA nie dotyczy dostawców usług DeFi i usług bez powiernictwa
Artykuł 3 ust. 1 pkt 1 MiCAR definiuje technologię rozproszonego rejestru („DLT”) jako „technologię umożliwiającą działanie i wykorzystanie rozproszonych rejestrów”, a pkt 2 definiuje „rozproszony rejestr” jako „repozytorium informacji, które przechowuje zapisy transakcji i które jest współdzielone oraz synchronizowane pomiędzy zestawem węzłów sieci DLT przy użyciu mechanizmu konsensusu”.
Motyw 22 MiCAR zawiera najważniejsze wytyczne dotyczące relacji DeFi z rozporządzeniem. Stwierdza on, że MiCAR ma obejmować usługi i działania wykonywane, świadczone lub kontrolowane, bezpośrednio lub pośrednio, przez osoby fizyczne lub prawne oraz niektóre przedsiębiorstwa zajmujące się usługami związanymi z kryptowalutami, nawet w przypadkach, gdy w grę wchodzi decentralizacja.
Jednak motyw zawiera następujące kluczowe sformułowanie: „W przypadku gdy usługi związane z kryptowalutami są świadczone w sposób w pełni zdecentralizowany, bez udziału pośredników, nie powinny one wchodzić w zakres niniejszego rozporządzenia”. Znaczenie tego przepisu wynika z dwóch kluczowych zwrotów: „w pełni zdecentralizowany” i „bez udziału pośredników”.
W samym tekście rozporządzenia nie ma nigdzie w przepisach wykonawczych definicji terminu „w pełni zdecentralizowany”. Jedynym źródłem tego terminu jest motyw 22, który stanowi część preambuły, a nie prawnie wiążących przepisów formalnych. Motyw 83 stanowi ponadto, że „dostawcy sprzętu lub oprogramowania do portfeli niepowierniczych nie powinni wchodzić w zakres niniejszego rozporządzenia”, nie definiując jednak wyraźnie, w jakim stopniu dostarczanie sprzętu lub oprogramowania stanowi w pełni zdecentralizowaną usługę wyłączoną z MiCAR.
W motywie 109 uznano te trudności interpretacyjne i powierzyło się opracowanie projektów regulacyjnych i wykonawczych standardów technicznych Europejskiemu Urzędowi Nadzoru Bankowego („EBA”) oraz Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych („ESMA”).
Przy ustalaniu, czy usługi wchodzą w zakres MiCAR, z motywu 22 i kolejnych wytycznych regulacyjnych można wywnioskować dwa warunki:
- Po pierwsze, żaden pojedynczy podmiot nie może sprawować kontroli nad parametrami protokołu, mechanizmami zarządzania ani podstawową infrastrukturą technologiczną, na której opiera się usługa związana z aktywami kryptograficznymi.
- Po drugie, użytkownicy muszą mieć dostęp do czegoś, co stanowi „zasób wspólnego dobra”, a nie kupować usługi od wyznaczonego dostawcy, z którym istnieje umowna relacja usługodawcy.
Warunki te mają kluczowe znaczenie dla oceny, czy dany projekt DeFi wchodzi w zakres MiCAR, czy też nie.
Pułapka związane z przeszacowaniem stopnia decentralizacji
W świecie szybko pojawiających się technologii, niestabilności geopolitycznej i rozdrobnionych systemów finansowych zależnych od ręcznych procesów i pośredników, DeFi stanowi przejrzyste i pozbawione granic rozwiązanie, które zasadniczo zmienia sposób inicjowania, przetwarzania i realizacji transakcji. Zamiast tradycyjnych modeli systemów finansowych, w których transakcje muszą najpierw przejść przez szereg pośredników i instytucjonalnych zapleczy, zanim zostaną zrealizowane i rozliczone, w DeFi użytkownicy dokonują transakcji, wchodząc w bezpośrednią interakcję z podstawową siecią blockchain poprzez zdecentralizowane protokoły i interfejsy, eliminując w ten sposób potrzebę korzystania z pośredników i złożonej infrastruktury systemowej.
W świecie prawa łańcucha bloków granica między pełną decentralizacją a jej brakiem jest cieńsza, niż mogłoby się wydawać. Zanim jakiekolwiek prace będą mogły się rozpocząć, prawnik współpracujący z zdecentralizowanym projektem Web3 najpierw ustali, czy projekt można uznać za zdecentralizowany, analizując i oceniając warstwy projektu, ich stan decentralizacji, a także plany zespołu dotyczące własności i zarządzania.
Na tym początkowym etapie opracowywania strategii prawnej istnieje wiele elementów technicznych i architektonicznych, które prawnik musi ocenić, aby dojść do ostatecznego porozumienia co do stanu decentralizacji projektu. Chociaż zespół może być przekonany, że ich projekt jest w pełni zdecentralizowany, wraz ze wszystkimi jego elementami, takimi jak DLT, protokół i dApp, w rzeczywistości wstępna ocena może wykazać coś przeciwnego.
Aby osiągnąć stan prawdziwej, pełnej decentralizacji, wszystkie elementy projektu muszą spełniać kryteria pełnej autonomii i braku wpływów wewnętrznych lub zewnętrznych w całym ekosystemie projektu i jego wielu elementach, w tym między innymi w zakresie zarządzania, własności, interfejsów itp., co po bliższym przyjrzeniu się udaje się osiągnąć bardzo niewielu projektom.
Wniosek ten najlepiej ilustruje niedawne wydarzenie w świecie DeFi. 21 kwietnia 2026 r. Rada Bezpieczeństwa Arbitrum zamroziła ponad 30 ETH (około 71 mln USD) związanych z luką w zabezpieczeniach Kelp DAO. Organ zarządzający składający się z 12 członków był w stanie zareagować na naruszenie bezpieczeństwa, przenosząc środki do portfela pośredniczącego, z którego można je wypłacić wyłącznie w drodze głosowania zarządczego, co w praktyce spowodowało zablokowanie środków w portfelu.
Przykład ten wskazuje na istnienie dyskrecjonalnej kontroli operacyjnej: mimo że Arbitrum jest z definicji siecią warstwy 2 bez zezwoleń i pozornie w pełni zdecentralizowaną, to właśnie sprawowanie kontroli nad aktywami użytkowników jest tym, co nie spełniałoby wymogu pełnej decentralizacji MiCAR. W tym przypadku zasada „treść nad formą” określa zakres regulacji, niezależnie od braku zezwoleń w podstawowym rejestrze.
W związku z tym samo twierdzenie, że projekt DeFi jest w pełni zdecentralizowany, nie wystarczy, aby wykluczyć obowiązek przestrzegania MiCAR i uzyskania niezbędnego zezwolenia jako CASP. Prawnicy będą przede wszystkim oceniać architekturę techniczną projektu, logikę własności oraz zasady zarządzania, co oznacza, że będą opierać się na ocenie „treści nad formą” zamiast na semantyce. Europejskie organy regulacyjne, takie jak Europejski Urząd Nadzoru Bankowego (EBA) i Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA), w pełni popierają to podejście.
Perspektywa ESMA i EBA na DeFi
Pogląd ESMA na zdecentralizowane finanse znacznie ewoluował w wyniku wielu pakietów konsultacyjnych, a przede wszystkim dzięki wspólnemu raportowi z EBA dotyczącemu najnowszych zmian w zakresie kryptowalut, opublikowanemu 13 stycznia 2025 r. (ESMA75-453128700-1391 / EBA/Rep/2025/01), przygotowanemu zgodnie z art. 142 MiCAR.
Uzasadnienie ESMA dotyczące spektrum decentralizacji ma fundamentalne znaczenie dla niniejszej oceny. W swoim drugim pakiecie konsultacyjnym dotyczącym regulacyjnych i wykonawczych standardów technicznych ESMA zaproponowała definicję „technologii rozproszonego rejestru bez zezwoleń” jako „technologii umożliwiającej działanie i wykorzystanie rozproszonych rejestrów, w których żaden podmiot nie kontroluje rozproszonego rejestru ani jego wykorzystania, ani nie świadczy podstawowych usług związanych z korzystaniem z takiego rozproszonego rejestru, a węzły sieci DLT mogą być tworzone przez dowolne osoby spełniające wymagania techniczne i protokoły”.
Definicja ta opiera się na dokumencie konsultacyjnym Rady Stabilności Finansowej, który rozróżnia DLT bez zezwoleń (w pełni zdecentralizowaną), DLT z zezwoleniami, pozwalającą na pewien stopień centralizacji, oraz platformy scentralizowane. ESMA przyznaje, że „dokładny zakres tego wyłączenia pozostaje niepewny” i uważa, że ocena każdego systemu powinna być dokonywana indywidualnie, z uwzględnieniem cech danego systemu.
ESMA uznaje, że decentralizacja nie jest pojęciem zero-jedynkowym, ale istnieje na spektrum od centralizacji do różnych stopni decentralizacji: „W przypadku DEX-ów łańcuch bloków zastępuje pośrednika. DEX-y wykorzystują autonomiczny kod (często nazywany inteligentnymi kontraktami) do wykonywania transakcji bezpośrednio na warstwie rozliczeniowej łańcucha bloków (o różnym stopniu decentralizacji)”.
Wspólny raport ze stycznia 2025 r. zawiera dane empiryczne potwierdzające ramy analityczne. DeFi stanowi około czterech procent globalnej kapitalizacji rynku aktywów kryptograficznych, przy czym nieco wyższe wskaźniki penetracji obserwuje się wśród użytkowników z siedzibą w UE. Raport potwierdza, że bardzo niewiele systemów DeFi osiąga prawdziwie pełną decentralizację w sposób przewidziany w motywie 22. Raport wskazuje, że nawet pozornie zdecentralizowane protokoły zazwyczaj mają identyfikowalne podmioty, które sprawują różny stopień kontroli nad zarządzaniem, aktualizacjami protokołów, wdrażaniem inteligentnych kontraktów i strukturami opłat.
Jeśli chodzi o dostawców sprzętu i oprogramowania świadczących usługi pomocnicze dla CASP, stanowisko wynikające z wytycznych ESMA jest takie, że podmioty zajmujące się wyłącznie tworzeniem i sprzedażą narzędzi programistycznych, aplikacji lub platform służących do świadczenia usług związanych z aktywami kryptograficznymi lub handlu nimi nie są automatycznie klasyfikowane jako CASP, o ile ich działalność ogranicza się do tworzenia i sprzedaży wspomnianych usług.
Jednak podmioty nadzorujące tworzenie i rozwój oprogramowania lub platform służących do świadczenia usług związanych z aktywami kryptograficznymi mogą zostać uznane za CASP, jeśli zachowują kontrolę lub wystarczający wpływ na aktywa kryptograficzne, oprogramowanie, protokół, platformę lub relacje biznesowe z użytkownikami. Kluczowym kryterium jest zatem kontrola i wpływ, a nie samo zaangażowanie technologiczne.
Rola relacji umownych w definiowaniu pełnej decentralizacji jest dodatkowo podkreślona w analizie ESMA dotyczącej art. 73 MiCAR, który odnosi się do outsourcingu usług lub działań na rzecz osób trzecich. ESMA stwierdza, że nie ma podstawy prawnej do klasyfikowania bezzezwolnych technologii DLT wykorzystywanych przez CASP jako dostawców zewnętrznych, ponieważ do interakcji z bezzezwolnymi łańcuchami bloków nie jest wymagana żadna formalna relacja umowna. Prowadzi to do istotnego wniosku, że technologie DLT bez zezwoleń można uznać za formę zasobów „dobra wspólnego”, podczas gdy technologie DLT z zezwoleniami, obsługiwane przez przedsiębiorstwa komercyjne, zazwyczaj wiążą się z formalnymi ustaleniami umownymi i w związku z tym stanowią relację typu „dostawca zewnętrzny”. To rozróżnienie stanowi podstawę dalszej oceny w niniejszym memorandum.
Wspólny raport porusza ponadto kwestie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu oraz kwestie dotyczące technologii informacyjno-komunikacyjnych (ICT) mające zastosowanie do systemów zdecentralizowanych. Brak tradycyjnych mechanizmów kontroli w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w systemach całkowicie zdecentralizowanych budzi poważne obawy regulacyjne, ponieważ procedury „poznaj swojego klienta” oraz monitorowanie transakcji są zazwyczaj nieobecne lub niekompletne. W raporcie zauważono, że ryzyko związane z ICT należy do głównych obaw, a większość strat finansowych związanych z DeFi wynika z luk w zabezpieczeniach inteligentnych kontraktów, manipulacji wyrocznią oraz ataków typu front-running, w tym wykorzystywania maksymalnej wartości do wydobycia („MEV”).
Czynniki ryzyka, choć nie są decydujące dla klasyfikacji regulacyjnej, wpływają na podejście nadzorcze wobec podmiotów działających w różnych punktach spektrum decentralizacji.
Ramy FATF i stosunki umowne
Wytyczne FATF dotyczące dostawców usług związanych z aktywami wirtualnymi (VASP) i DeFi stanowią podstawowe ramy analityczne, które zostały przyjęte i dalej rozwinięte przez ESMA. Zgodnie ze zaktualizowanymi wytycznymi FATF dotyczącymi podejścia opartego na ryzyku do aktywów wirtualnych i dostawców usług związanych z aktywami wirtualnymi (październik 2021 r.) osoba, która tworzy lub sprzedaje aplikację lub platformę aktywów wirtualnych, może nie stanowić dostawcy usług związanych z aktywami wirtualnymi, jeśli zajmuje się wyłącznie tworzeniem lub sprzedażą aplikacji lub platformy, przy czym nacisk kładziony jest na słowo „wyłącznie”.
W przypadkach, gdy twórcy, właściciele, operatorzy lub inne osoby wydają się sprawować kontrolę lub wywierać wystarczający wpływ na rozwiązania DeFi, nawet jeśli rozwiązania te wydają się zdecentralizowane, mogą oni podlegać definicji dostawcy usług związanych z aktywami wirtualnymi (VASP) FATF, jeśli świadczą lub aktywnie ułatwiają świadczenie usług VASP. Kontrola lub znaczący wpływ mogą przejawiać się poprzez kontrolę nad aktywami lub aspektami protokołu usługi, a także poprzez stałe relacje biznesowe między operatorem a użytkownikami, nawet jeśli kontrola ta jest sprawowana za pośrednictwem inteligentnej umowy lub, w niektórych przypadkach, poprzez protokoły głosowania.
Rozumowanie FATF stanowi podstawę do oceny decentralizacji w ramach MiCAR poprzez ustanowienie dwóch kluczowych zasad:
- Po pierwsze, właścicieli i operatorów oraz stopień ich kontroli nad DeFi często można zidentyfikować na podstawie ich związku z podejmowanymi działaniami, a nie na podstawie etykiet przypisanych do danego porozumienia.
- Po drugie, nie można automatycznie wykluczyć częściowej centralizacji, nawet jeśli w świadczeniu usługi uczestniczą podmioty inne niż główny dostawca usług lub jeśli część procesu jest zautomatyzowana za pomocą inteligentnych kontraktów.
Na szczególną uwagę zasługuje rola stosunków umownych w ocenie decentralizacji. Artykuł 73 MiCAR, który dotyczy outsourcingu usług lub działań na rzecz osób trzecich w celu wykonywania funkcji operacyjnych, reguluje sposób, w jaki CASP powinni radzić sobie z ryzykiem związanym z dostawcami zewnętrznymi.
Jednakże, jak przyznano w drugim dokumencie konsultacyjnym ESMA, nie istnieje podstawa prawna do klasyfikowania technologii DLT bez zezwoleń, z których korzystają CASP, jako dostawców zewnętrznych, ponieważ do interakcji z łańcuchami bloków bez zezwoleń nie jest wymagana żadna formalna relacja umowna, taka jak umowa o gwarantowanym poziomie usług. ESMA stwierdza, że technologie DLT bez zezwoleń można uznać za rodzaj zasobów „dobra wspólnego”, podczas gdy technologie DLT z zezwoleniami, obsługiwane przez przedsiębiorstwa komercyjne, zazwyczaj wiążą się z umowami dotyczącymi produktów opartych na łańcuchu bloków typu white label, co stanowi relację z dostawcą zewnętrznym.
Wniosek ten ma głębokie implikacje dla oceny regulacyjnej platform zbudowanych na infrastrukturze bez zezwoleń. Jeśli platforma wdraża inteligentne kontrakty w łańcuchu bloków bez zezwoleń, takim jak Ethereum, samo wykorzystanie tej infrastruktury łańcucha bloków nie tworzy relacji z dostawcą usług zewnętrznym.
Jeśli jednak operator platformy zachowuje kontrolę nad inteligentnymi kontraktami, może aktualizować lub modyfikować ich funkcjonalność, kontroluje dostęp do interfejsu użytkownika lub posiada klucze administracyjne, które pozwalają wstrzymać, zamrozić lub zmodyfikować protokół, te scentralizowane elementy sprawiają, że operator podlega przepisom MiCAR, niezależnie od bezzezwolowego charakteru podstawowego rejestru.
Test ma zatem charakter funkcjonalny, a nie technologiczny: dotyczy tego, jaką kontrolę faktycznie sprawuje operator, a nie na jakiej technologii opiera się system.
Kluczowe wnioski:
Biorąc pod uwagę powyższą analizę, a w szczególności rozumowanie ESMA przedstawione w dokumentach konsultacyjnych oraz wspólnym raporcie ze stycznia 2025 r., uważamy, że dla celów niniejszej oceny prawdziwe są następujące tezy.
- Po pierwsze, o ile żadna osoba fizyczna ani podmiot nie kontroluje protokołu lub platformy DeFi oraz jej wykorzystania, a żadna osoba fizyczna nie pełni fundamentalnej i niezbędnej roli w jej funkcjonowaniu, bez której technologia ta nie mogłaby być wykorzystywana, protokół lub platforma DeFi mogą zostać uznane za wyłączone z zakresu stosowania MiCAR ze względu na to, że są „w pełni zdecentralizowane” w rozumieniu motywu 22.
- Po drugie, samo opracowanie oprogramowania lub narzędzi pomocniczych dla CASP nie jest uznawane za usługę związaną z kryptowalutami, chyba że zakres działań podejmowanych przez twórcę obejmuje dodatkowe aspekty regulowane przez MiCAR, takie jak wywieranie wpływu na ofertę, sprzedaż, transfer, przechowywanie lub obrót kryptowalutami.
Jednak praktyczne zastosowanie tych zasad do dowolnego projektu DeFi wymaga dokładnej analizy rzeczywistego zarządzania ekosystemem oraz jego cech operacyjnych. W przypadku, gdy architektura projektu wskazuje na scentralizowaną kontrolę nad emisją tokenów, parametrami protokołu lub zarządzaniem ekosystemem, jest mało prawdopodobne, aby spełniał on wymóg „pełnej decentralizacji” określony w motywie 22, a usługi świadczone w związku z takim projektem muszą zostać ocenione zgodnie z przepisami MiCAR.
Co udało nam się rozszyfrować
Wyłączenie dotyczące „pełnej decentralizacji” ma wyjątkowo wąski zakres: motyw 22 MiCA stanowi, że usługi świadczone w „sposób w pełni zdecentralizowany, bez pośredników” nie wchodzą w zakres rozporządzenia, ale osiągnięcie tego prawdziwego stanu pełnej decentralizacji jest niezwykle rzadkie. Jeśli jakikolwiek pojedynczy podmiot sprawuje kontrolę nad zarządzaniem, parametrami protokołu lub podstawową infrastrukturą, wyłączenie nie ma zastosowania.
Zgodność z przepisami zależy od treści, a nie formy: organy regulacyjne nie zwracają uwagi na deklaracje marketingowe i semantykę techniczną, ale oceniają rzeczywistą kontrolę operacyjną. Test regulacyjny ma charakter funkcjonalny, a nie technologiczny: jeśli operator przechowuje klucze administracyjne, kontroluje interfejs użytkownika lub ma możliwość aktualizacji lub wstrzymania smart kontraktów, podlega on zakresowi MiCA.
Decentralizacja istnieje na spektrum: ESMA nie postrzega decentralizacji jako pojęcia zero-jedynkowego. Nawet jeśli projekt opiera się w dużej mierze na autonomicznym kodzie i smart kontraktach, obecność identyfikowalnych podmiotów sprawujących różny stopień kontroli nad strukturą opłat, aktualizacjami protokołu lub zarządzaniem spowoduje kontrolę regulacyjną.
Blockchainy bez zezwoleń są „dobrami wspólnymi”: Poleganie na publicznym blockchainie bez zezwoleń nie tworzy formalnej relacji outsourcingu z podmiotem zewnętrznym zgodnie z art. 73 MiCA, ponieważ ESMA klasyfikuje je jako zasoby „dobra wspólnego”. Jednak wdrożenie smart kontraktów na infrastrukturze dobra wspólnego nie chroni operatora platformy przed MiCA, jeśli zachowuje on kontrolę funkcjonalną nad tymi kontraktami.
Twórcy oprogramowania nie są automatycznie CASP: Samo tworzenie i sprzedaż oprogramowania lub sprzętu bez powiernictwa nie klasyfikuje automatycznie podmiotu jako dostawcy usług związanych z aktywami kryptograficznymi (CASP). Jeśli jednak twórcy lub operatorzy zachowują wystarczający wpływ na aktywa kryptograficzne, platformę lub bieżące relacje biznesowe z użytkownikami, przekraczają próg regulacyjny i będą podlegać regulacjom jako CASP.
Niniejszy artykuł opiera się na badaniu przeprowadzonym przez LegalBison w kwietniu 2026 r. Treść ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.
