MiCA w skrócie: „Mamy biuro w UE” to za mało: oto, czego naprawdę oczekują organy regulacyjne

MiCA Decoded to 12-częściowa seria artykułów publikowanych co tydzień na stronie Bitcoin.com News, której współautorami są współzałożyciele i dyrektorzy zarządzający LegalBison: Aaron Glauberman, Viktor Juskin i Sabir Alijev. LegalBison doradza firmom z branży kryptowalutowej i FinTech w zakresie licencjonowania MiCA, wniosków CASP i VASP oraz strukturyzacji regulacyjnej w Europie i poza nią.

Autorem artykułu z tego tygodnia jest Krystian Lapka, prawnik w LegalBison. Krystian specjalizuje się w transgranicznych transakcjach korporacyjnych i handlowych, a także w strategicznym zarządzaniu ryzykiem na styku prawa cywilnego i common law.

---

Większość założycieli, którzy po raz pierwszy składają wniosek CASP, rozumie, przynajmniej w teorii, że MiCA wymaga faktycznej obecności w UE. Nie doceniają jednak tego, jak organ regulacyjny definiuje pojęcie „faktycznej”.

Typowa struktura na wczesnym etapie wygląda spójnie na papierze: siedziba w korzystnej jurysdykcji UE, dyrektor wskazany w dokumentach dotyczących zarządzania, systemy ICT hostowane w chmurze lub zarządzane z globalnej infrastruktury grupy oraz kapitał wpłacony na nowo otwartym koncie bankowym.
Z perspektywy wewnętrznej wygląda to jak firma z UE. Z punktu widzenia krajowego organu właściwego może to jednak wyglądać jak skrzynka pocztowa z przypisanym dyrektorem.

W niniejszym artykule przedstawiono, czego faktycznie wymagają wymogi MiCA dotyczące substancji w zakresie personelu, technologii i odporności finansowej, oraz wyjaśniono, dlaczego organy regulacyjne traktują każdą kategorię jako test funkcjonalny, a nie jako ćwiczenie dokumentacyjne.

Motywacją leżącą u podstaw wszystkich tych działań jest to samo: zapobieganie powstawaniu firm-skrzynek pocztowych, czyli podmiotów, które istnieją na papierze w korzystnej jurysdykcji, ale nie prowadzą w niej żadnej znaczącej działalności gospodarczej, nie dysponują kapitałem ludzkim ani zdolnością operacyjną.

Mit: obecność równa się istocie

Logika regulacyjna w tym zakresie jest starsza niż MiCA. W przełomowym orzeczeniu w sprawie Cadbury Schweppes (sprawa C-196/04) Trybunał Sprawiedliwości Unii Europejskiej ustalił, że swoboda przedsiębiorczości nie może być wykorzystywana do tworzenia „całkowicie sztucznych konstrukcji”, które nie prowadzą rzeczywistej działalności gospodarczej. MiCA bezpośrednio włącza tę zasadę do regulacji dotyczących kryptowalut.

Artykuł 59 ust. 2 MiCA stanowi, że autoryzowani CASP muszą mieć siedzibę statutową w państwie członkowskim, w którym świadczą przynajmniej część swoich usług związanych z kryptowalutami, muszą mieć miejsce faktycznego zarządzania na terenie Unii oraz muszą mieć co najmniej jednego dyrektora zamieszkałego w Unii. Przepis ten jest zwięzły. To, co się za nim kryje, jest znacznie bardziej wymagające.

Briefing nadzorczy ESMA dotyczący autoryzacji CASP, choć nie ma charakteru wiążącego, jasno wskazuje, w jaki sposób krajowe organy nadzoru powinny interpretować te wymogi w praktyce.

Różnica między tekstem ustawowym a oczekiwaniami organów nadzoru jest przyczyną wielu problemów przy składaniu wniosków.

Personel: kto faktycznie kieruje tym podmiotem

Minimalny próg zgodnie z MiCA to jeden dyrektor będący rezydentem UE. Wytyczne nadzorcze podnoszą tę poprzeczkę.

Wytyczne ESMA przewidują co najmniej dwóch członków kierownictwa wyższego szczebla wspólnie nadzorujących bieżącą działalność. Uzasadnienie jest proste: pojedynczy członek kierownictwa stwarza ryzyko koncentracji i eliminuje wewnętrzne mechanizmy kontroli wymagane przez funkcjonującą strukturę zarządzania. Oczekiwanym standardem są dwie osoby na stanowiskach kierowniczych o zdefiniowanych, nakładających się obowiązkach.

Samo miejsce zamieszkania nie jest wystarczające. Wytyczne wskazują, że w przypadku gdy członek organu zarządzającego nie ma miejsca zamieszkania w jurysdykcji krajowego organu nadzoru, osoba ta powinna być w stanie uczestniczyć w spotkaniach osobiście na żądanie organu w ciągu dwóch dni roboczych.

W jurysdykcjach, w których fizyczna bliskość organu nadzoru ma znaczenie operacyjne, stanowi to praktyczne ograniczenie dotyczące tego, jak daleko od macierzystej jurysdykcji może faktycznie znajdować się dyrektor.

Czas poświęcony na pełnienie funkcji traktowany jest z podobną powagą. Stanowisko ESMA, wyrażone w jej briefingu nadzorczym dotyczącym autoryzacji CASP, jest takie, że członkowie zarządu powinni zasadniczo poświęcać 100% swojego czasu zawodowego na pełnienie funkcji CASP. Pełnienie podwójnej funkcji, w której ta sama osoba pełni funkcje kierownicze w wielu podmiotach, jest dozwolone tylko w ograniczonych okolicznościach. Kierownik, który dzieli swoją uwagę między CASP a inną spółkę z grupy, prawdopodobnie zostanie poddany szczegółowej kontroli podczas oceny kompetencji i reputacji.

Struktura podległości służbowej ma tak samo duże znaczenie jak profile poszczególnych osób. Organ zarządzający musi wykazać, że kontrola strategiczna i operacyjna leży w gestii podmiotu z UE, a nie spółki macierzystej w państwie trzecim, która podejmuje rzeczywiste decyzje i wydaje instrukcje w dół.
Spółka zależna z UE, której kadra kierownicza pełni funkcję wykonawczą na rzecz centrali spoza UE, nie jest, w sensie nadzorczym, podmiotem z prawdziwym zarządem w UE.

Wymogi dotyczące przeciwdziałania praniu pieniędzy (AML) dodatkowo to potwierdzają. Osoba odpowiedzialna za zgłaszanie podejrzanych działań (MLRO) musi być fizycznie obecna, posiadać rzeczywistą władzę w ramach podmiotu oraz mieć możliwość bezpośredniej współpracy z lokalną jednostką analityki finansowej. Wymóg ten odzwierciedla szerszy trend globalny: FATF oraz Ramy Sprawozdawczości w zakresie Aktywów Kryptograficznych (CARF) opracowane przez OECD działają w oparciu o tę samą logikę, rozszerzając wymogi dotyczące istoty działalności i przejrzystości poza granice UE.

Wymogi kadrowe MiCA i CARF nie są od siebie niezależnymi zjawiskami; odzwierciedlają one zbieżny międzynarodowy standard dotyczący tego, jak powinien wyglądać od wewnątrz podmiot kryptowalutowy podlegający regulacjom.

Standard zbiorowej kompetencji z art. 68 ust. 1 wymaga, aby organ zarządzający posiadał odpowiednią wiedzę, umiejętności i doświadczenie zarówno indywidualnie, jak i zbiorowo. Jak omówiono w poprzedniej części tej serii, standard ten obejmuje tradycyjne regulacje rynków finansowych, infrastrukturę DLT i cyberbezpieczeństwo oraz ład korporacyjny. Każda z tych dziedzin musi być reprezentowana w zespole.

Zespół złożony wyłącznie z osób posiadających doświadczenie w branży kryptowalutowej, ale bez doświadczenia w zakresie regulowanych usług finansowych, lub zespół posiadający głębokie doświadczenie w tradycyjnych finansach, ale bez zdolności do oceny ryzyka związanego z łańcuchem bloków, charakteryzuje się lukami strukturalnymi, które ujawni proces oceny.

Technologia: kontrola, a nie tylko hosting

Rozporządzenie DORA (Rozporządzenie (UE) 2022/2554) ma bezpośrednie zastosowanie do CASP i określa ramy wymagań dotyczących odporności ICT. Pytanie, które organy regulacyjne zadają w odniesieniu do technologii, nie dotyczy tego, z jakiej infrastruktury korzysta firma. Pytanie brzmi: kto ją kontroluje.

Infrastruktura chmurowa hostowana przez AWS, Azure lub podobnych dostawców jest akceptowalna w ramach obecnej praktyki nadzorczej. Problem pojawia się, gdy podmiot posiadający zezwolenie w UE nie ma znaczącej kontroli administracyjnej nad systemami, od których jest zależny.
Jeśli zarządzanie kluczami szyfrującymi leży w gestii globalnego zespołu IT spółki macierzystej, jeśli prawa dostępu do danych klientów są zarządzane spoza UE lub jeśli plan przywracania sprawności po awarii zależy od zatwierdzeń ze strony centrali w państwie trzecim, podmiot z UE nie może wykazać się prawdziwą niezależnością operacyjną.

Stanowisko ESMA, odzwierciedlone w materiałach konsultacyjnych, jest takie, że zespół zarządzający w UE musi sprawować faktyczną kontrolę nad infrastrukturą ICT istotną dla działalności CASP. Polityka ciągłości działania i plany przywrócenia sprawności po awarii wymagane na mocy art. 68 ust. 7 muszą być własnością podmiotu z UE i mogą być przez niego realizowane, a nie zależeć od globalnej funkcji, która może, ale nie musi zareagować w sytuacji kryzysowej.

Test praktyczny jest jasny: gdyby globalny zespół IT spółki macierzystej stał się z dnia na dzień niedostępny, czy podmiot z UE mógłby nadal funkcjonować, uzyskać dostęp do środków klientów i zwrócić im aktywa? Jeśli odpowiedź brzmi „nie” lub „nie bez znacznego eskalowania sprawy do personelu spoza UE”, kwestia merytoryczna nie została rozwiązana.

Wymogi dotyczące zgodności z RODO i zarządzania danymi nakładają się na ramy DORA. Uzgodnienia dotyczące przetwarzania danych, relacje między administratorem a podmiotem przetwarzającym oraz kwestie związane z lokalizacją danych stanowią część architektury technicznej, którą będą badać organy regulacyjne.

Finanse: Kapitał, który faktycznie działa

Artykuł 67 określa minimalne zabezpieczenia ostrożnościowe. Poziomy kapitałowe są zdefiniowane według klasy usług:

Minimalna kwota kapitału stanowi punkt wyjścia, a nie pułap. Zabezpieczenia ostrożnościowe muszą być równe wyższej z następujących wartości: stały kapitał minimalny lub jedna czwarta stałych kosztów ogólnych z poprzedniego roku.

W miarę rozwoju CASP i wzrostu jego stałych kosztów ogólnych ten drugi warunek staje się wiążącym ograniczeniem. Gdy koszty ogólne przekroczą czterokrotność początkowego kapitału wpłaconego, firma musi przejść na system oparty na kosztach ogólnych. Ten punkt zwrotny nadchodzi szybciej, niż przewiduje wielu operatorów, a organy regulacyjne oczekują proaktywnego monitorowania, a nie reaktywnych dostosowań.
Warto zwrócić uwagę na kwestię strukturalną: kapitał musi zostać wpłacony na rachunek prowadzony w formalnej instytucji kredytowej.
Rachunek w instytucji pieniądza elektronicznego (EMI) lub u dostawcy usług płatniczych nie spełnia tego wymogu. Nawiązanie relacji bankowej jako firma kryptowalutowa wymaga czasu i nie jest gwarantowane. Wczesne rozpoczęcie tego procesu, przed formalnym złożeniem wniosku, nie jest opcjonalne. Jest to ograniczenie sekwencyjne, które wpływa na cały harmonogram udzielania zezwoleń.
Wymóg, aby sprawozdania finansowe wykorzystywane do obliczania stałych kosztów ogólnych były należycie zbadane lub zatwierdzone przez krajowe organy regulacyjne, stanowi dodatkowy wymiar administracyjny. Nowo zarejestrowane podmioty prognozujące swoje koszty ogólne na pierwsze dwanaście miesięcy muszą uwzględnić te prognozy we wniosku o zezwolenie, wraz z jasno udokumentowaną metodologią.

Outsourcing i próg istotności

Artykuł 73 zezwala CASP na outsourcing funkcji operacyjnych na rzecz osób trzecich. Ograniczeniem jest to, że outsourcing nie może doprowadzić do osłabienia podmiotu posiadającego zezwolenie. Odpowiedzialność spoczywa na CASP; delegowanie zadań nie przenosi odpowiedzialności.

W briefingu nadzorczym ESMA dotyczącym udzielania zezwoleń CASP wskazano, że procent całkowitych kosztów przypisanych do funkcji zlokalizowanych poza UE stanowi praktyczny wskaźnik tego, czy outsourcing posunął się za daleko. CASP, którego większość wydatków operacyjnych trafia do dostawców usług spoza UE, nawet tych dobrze zarządzanych i cieszących się dobrą reputacją, może spotkać się z pytaniami o to, czy podmiot z UE ma wystarczające zdolności wewnętrzne, aby kwalifikować się jako prawdziwy dostawca usług, a nie tylko pośrednik.

Organ regulacyjny rozróżnia CASP, które zlecają na zewnątrz określone funkcje, zachowując kontrolę, oraz CASP, które zlecają na zewnątrz wszystkie istotne funkcje, zachowując jedynie formę prawną. Ten drugi przypadek to tylko fasada, niezależnie od tego, jak rozwiązanie to zostało opisane we wniosku.

Różnice jurysdykcyjne: to samo prawo, różne praktyki

MiCA ma bezpośrednie zastosowanie we wszystkich państwach członkowskich UE. Wymogi merytoryczne są jednolite. Praktyka nadzorcza już nie.

Cypr, poprzez CySEC, wyraźnie wymaga, aby większość członków zarządu CASP była fizycznymi rezydentami Cypru. W przypadku zarządu składającego się z dwóch dyrektorów wykonawczych i dwóch niewykonawczych oznacza to co najmniej trzech dyrektorów będących rezydentami Cypru. Wymóg ten wykracza poza to, co przewiduje tekst MiCA, i odzwierciedla krajowe dyrektywy AML nakładające się na zharmonizowane ramy UE.
Estonia prezentuje inną dynamikę. W ramach poprzedniego systemu rejestracji VASP, zarządzanego przez Jednostkę Analiz Finansowych, Estonia stała się jedną z najbardziej dostępnych jurysdykcji licencyjnych w Europie. Przejście na MiCA przeniosło odpowiedzialność nadzorczą na Estoński Urząd Nadzoru Finansowego i Restrukturyzacji, co wnosi inne podejście instytucjonalne do przeglądu i bieżącego nadzoru.

Sytuacja prawna w Polsce, omówiona we wcześniejszych częściach tej serii, spowodowała lukę strukturalną, w której krajowa ustawa wdrażająca MiCA nie została jeszcze uchwalona, co sprawia, że KNF nie ma formalnego wyznaczenia jako właściwy organ, a posiadacze VASP nie mają realnej ścieżki składania wniosków o CASP w kraju.

Te różnice nie są lukami prawnymi ani dziwactwami administracyjnymi. Odzwierciedlają one rzeczywistość, w której zharmonizowane ramy prawne nadal funkcjonują w kontekście krajowych kultur nadzorczych, ograniczeń kadrowych i historii instytucjonalnej. Wybór jurysdykcji do uzyskania zezwolenia CASP oznacza wybór organu regulacyjnego, ze wszystkimi praktycznymi konsekwencjami, jakie się z tym wiążą.

Czego faktycznie wymaga „rzeczywiste miejsce prowadzenia działalności”

Podsumowując, wymogi merytoryczne wynikające z MiCA odzwierciedlają raczej filozofię nadzorczą niż listę kontrolną. Organ regulacyjny chce mieć pewność, że w razie problemów będzie miał realne możliwości dochodzenia swoich praw.
Oznacza to, że kierownictwo wykonawcze jest fizycznie dostępne i ponosi odpowiedzialność prawną zgodnie z prawem UE. Oznacza to systemy ICT kontrolowane przez podmiot z UE bez uzależnienia od łańcuchów autoryzacyjnych spoza UE. Oznacza to kapitał, który jest rzeczywiście dostępny i dostosowany do rzeczywistego ryzyka operacyjnego.

Oznacza to również takie zarządzanie, w ramach którego podmiot z UE podejmuje rzeczywiste decyzje, a nie tylko wdraża instrukcje wydane gdzie indziej.

Firmy, które podchodzą do tego jako do zadania dokumentacyjnego, często uważają ten proces za trudniejszy niż się spodziewały. Firmy, które najpierw budują substancję, a następnie dokumentują to, co zbudowały, zazwyczaj uważają to za prostsze. Wniosek nie tworzy organizacji. Opisuje on organizację, która w dużej mierze powinna już istnieć.

Źródła:

• Briefing nadzorczy ESMA dotyczący autoryzacji CASP
• Dokument konsultacyjny ESMA dotyczący MiCA, pakiet 2
• Zbiór przepisów MFSA dotyczących MiCA

Artykuł ten opiera się na badaniu przeprowadzonym przez LegalBison w maju 2026 r. Treść ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.