MiCA Desvendada: “Temos um escritório na UE” não é suficiente: eis o que os reguladores realmente querem ver

MiCA Decoded é uma série semanal de 12 artigos para o Bitcoin.com News, de autoria conjunta dos cofundadores e diretores executivos da LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. A LegalBison assessora empresas de criptomoedas e FinTech em licenciamento MiCA, solicitações de CASP e VASP e estruturação regulatória na Europa e além.

O artigo desta semana foi escrito por Krystian Lapka, advogado da LegalBison. Krystian é especialista em transações corporativas e comerciais transfronteiriças, além de gestão estratégica de riscos na interseção entre o direito civil e o common law.

---

A maioria dos fundadores que se aproxima de seu primeiro pedido de CASP compreende, pelo menos abstratamente, que a MiCA exige uma presença real na UE. O que eles subestimam é como o regulador define “real”.

A configuração típica de uma empresa em fase inicial parece coerente no papel: uma sede social em uma jurisdição favorável da UE, um diretor nomeado nos documentos de governança, sistemas de TIC hospedados na nuvem ou gerenciados a partir da infraestrutura global do grupo, e capital integralizado depositado em uma conta bancária recém-aberta.

Visto de dentro, isso parece uma empresa da UE. Da perspectiva de uma Autoridade Nacional Competente, pode parecer uma caixa postal com um diretor associado.

Este artigo mapeia o que os requisitos de substância da MiCA realmente exigem em termos de pessoal, tecnologia e resiliência financeira, e explica por que os reguladores tratam cada categoria como um teste funcional, em vez de um exercício de documentação.

A preocupação que move tudo isso é a mesma: impedir empresas de fachada, entidades que existem no papel em uma jurisdição favorável, mas carecem de qualquer atividade econômica significativa, capital humano ou capacidade operacional dentro dela.

O mito: presença é igual a substância

A lógica regulatória aqui é mais antiga que a MiCA. Na decisão histórica do caso Cadbury Schweppes (Processo C-196/04), o Tribunal de Justiça da União Europeia estabeleceu que a liberdade de estabelecimento não pode ser usada para criar “arranjos totalmente artificiais” que carecem de atividade econômica genuína. A MiCA codifica esse princípio diretamente na regulamentação de criptoativos.

O artigo 59.º, n.º 2, da MiCA estabelece que os CASPs autorizados devem ter a sua sede social num Estado-Membro onde prestem pelo menos parte dos seus serviços de criptoativos, devem ter o seu local de gestão efetiva na União e devem ter pelo menos um administrador residente na União. A disposição é sucinta. O que está por trás dela é consideravelmente mais exigente.

O Resumo de Supervisão da ESMA sobre a Autorização de CASPs, embora não seja vinculativo, sinaliza claramente como se espera que as Autoridades Nacionais de Supervisão interpretem esses requisitos na prática.

A lacuna entre o texto legal e a expectativa de supervisão é onde muitos pedidos encontram dificuldades.

Pessoal: Quem está realmente a gerir esta entidade

O limite mínimo previsto na MiCA é um diretor residente na UE. As orientações de supervisão elevam esse padrão.

O briefing da ESMA prevê pelo menos dois executivos seniores supervisionando conjuntamente as operações diárias. A justificativa é simples: um único executivo cria risco de concentração e elimina os controles internos que uma estrutura de governança funcional requer. Dois executivos com responsabilidades definidas e sobrepostas constituem a base esperada.

A residência, por si só, não é suficiente. A orientação indica que, quando um membro do órgão de gestão não for residente na jurisdição da NCA, essa pessoa deve ser capaz de comparecer a reuniões presenciais a pedido da autoridade no prazo de dois dias úteis.

Para jurisdições em que a proximidade física com o supervisor é operacionalmente relevante, isso representa uma restrição prática quanto à distância máxima a que um diretor pode efetivamente estar localizado da jurisdição de origem.

O compromisso de tempo é tratado com igual seriedade. A posição da ESMA, conforme articulada em seu Briefing de Supervisão sobre a Autorização de CASPs, é que os membros do conselho de administração executivo devem, em geral, dedicar 100% de seu tempo profissional à função de CASP. O exercício de funções duplas, em que o mesmo indivíduo atua em capacidade executiva em múltiplas entidades, é permitido apenas em circunstâncias restritas. Um executivo que divide sua atenção entre o CASP e outra empresa do grupo provavelmente atrairá escrutínio durante a avaliação de aptidão e idoneidade.

As linhas hierárquicas são tão importantes quanto os perfis individuais. O órgão de gestão deve demonstrar que o controle estratégico e operacional reside na entidade da UE, e não em uma empresa-mãe em um país terceiro que toma as decisões reais e emite instruções para os níveis inferiores.

Uma subsidiária da UE cujos executivos atuam funcionalmente como agentes de implementação para uma sede fora da UE não é, no sentido de supervisão, uma entidade com gestão genuinamente da UE.

A dimensão AML reforça isso. O indivíduo responsável pela apresentação de relatórios de atividades suspeitas (o MLRO) deve estar fisicamente presente, deter autoridade genuína dentro da entidade e ser capaz de interagir diretamente com a Unidade de Inteligência Financeira local. Esse requisito reflete uma tendência global mais ampla: o Quadro de Relatórios sobre Ativos Criptográficos (CARF) do FATF e da OCDE opera com a mesma lógica, estendendo os requisitos de substância e transparência para além da UE.

Os requisitos de pessoal da MiCA e o CARF não são desenvolvimentos independentes; eles refletem um padrão internacional convergente sobre como uma entidade de criptomoedas regulamentada deve ser vista de dentro.

O padrão de adequação coletiva do Artigo 68(1) exige que o órgão de gestão possua conhecimentos, habilidades e experiência adequados, tanto individualmente quanto coletivamente. Conforme abordado na edição anterior desta série, esse padrão abrange a regulamentação dos mercados financeiros tradicionais, a infraestrutura de DLT e a segurança cibernética, bem como a governança organizacional. Cada um desses domínios precisa estar representado na equipe.

Uma equipe composta inteiramente por profissionais com formação exclusivamente em criptomoedas, sem experiência em serviços financeiros regulamentados, ou uma equipe com profunda experiência em finanças tradicionais (TradFi) mas sem capacidade para avaliar riscos na cadeia de blocos, apresenta lacunas estruturais que o processo de avaliação irá revelar.

Tecnologia: Controle, Não Apenas Hospedagem

O DORA (Regulamento (UE) 2022/2554) se aplica diretamente aos CASPs e define a estrutura para os requisitos de resiliência de TIC. A questão que os reguladores levantam sobre tecnologia não é qual infraestrutura uma empresa utiliza. A questão é quem a controla.

A infraestrutura em nuvem hospedada pela AWS, Azure ou provedores similares é aceitável de acordo com a prática de supervisão atual. A questão surge quando a entidade autorizada na UE carece de controle administrativo significativo sobre os sistemas dos quais depende.

Se o gerenciamento de chaves de criptografia estiver a cargo da equipe global de TI da empresa-mãe, se os direitos de acesso aos dados dos clientes forem administrados de fora da UE ou se o plano de recuperação de desastres depender de aprovações da sede em um país terceiro, a entidade da UE não poderá demonstrar independência operacional genuína.

A posição da ESMA, conforme refletida em seus materiais de consulta, é que a equipe de gestão da UE deve deter o controle efetivo sobre a infraestrutura de TIC relevante para as operações do CASP. A política de continuidade de negócios e os planos de recuperação de desastres exigidos pelo Artigo 68(7) devem ser de propriedade e executáveis pela entidade da UE, não dependendo de uma função global que pode ou não responder em uma crise.

O teste prático é direto: se a equipe global de TI da empresa-mãe ficasse indisponível da noite para o dia, a entidade da UE poderia continuar a operar, acessar os fundos dos clientes e devolver os ativos aos clientes? Se a resposta for não, ou não sem uma escalonamento significativo para o pessoal fora da UE, a questão de fundo não foi resolvida.

Os requisitos de conformidade com o GDPR e de governança de dados se somam à estrutura da DORA. Acordos de processamento de dados, relações entre controlador e processador e considerações sobre a residência de dados fazem parte da arquitetura técnica que os reguladores examinarão.

Financeiro: Capital que realmente funciona

O artigo 67 define as salvaguardas prudenciais mínimas. Os níveis de capital são definidos por classe de serviço:

O valor mínimo de capital é o ponto de partida, não o limite máximo. As salvaguardas prudenciais devem ser iguais ao maior valor entre o capital mínimo permanente ou um quarto das despesas fixas do ano anterior.

À medida que um CASP cresce e suas despesas fixas aumentam, este segundo critério torna-se a restrição vinculativa. Quando as despesas fixas excedem quatro vezes o capital integralizado inicial, a empresa deve fazer a transição para a estrutura baseada nas despesas fixas. Esse ponto de inflexão chega mais rápido do que muitos operadores antecipam, e os reguladores esperam um monitoramento proativo em vez de um ajuste reativo.

Um ponto estrutural que vale a pena notar: o capital deve ser depositado em uma conta mantida em uma instituição de crédito formal.

Uma conta de EMI (Instituição de Moeda Eletrônica) ou de prestador de serviços de pagamento não satisfaz esse requisito. Estabelecer uma relação bancária como empresa de criptomoedas leva tempo e não é garantido. Iniciar esse processo antecipadamente, antes que o pedido seja formalmente apresentado, não é opcional. Trata-se de uma restrição de sequência que afeta todo o cronograma de autorização.

A exigência de que as demonstrações financeiras utilizadas no cálculo das despesas gerais fixas sejam devidamente auditadas ou validadas pelas autoridades reguladoras nacionais acrescenta uma dimensão administrativa adicional. As entidades recém-constituídas que projetam suas despesas gerais para os primeiros doze meses devem incluir essas projeções em seu pedido de autorização, com a metodologia claramente documentada.

Terceirização e o Limite de Substância

O artigo 73 permite que os CASPs terceirizem funções operacionais a terceiros. A restrição é que a terceirização não pode esvaziar a entidade autorizada. A responsabilidade permanece com o CASP; a delegação não transfere a responsabilidade.

O Briefing de Supervisão da ESMA sobre a Autorização de CASPs identifica a porcentagem dos custos totais atribuíveis a funções localizadas fora da UE como um indicador prático para determinar se a terceirização foi longe demais. Um CASP cuja maioria das despesas operacionais seja direcionada a prestadores de serviços fora da UE, mesmo que bem administrados e de boa reputação, pode enfrentar questionamentos sobre se a entidade da UE possui capacidade interna suficiente para se qualificar como um prestador de serviços genuíno, em vez de um mero canal.

A distinção que o regulador faz é entre CASPs que terceirizam funções específicas, mantendo o controle, e CASPs que terceirizam tudo o que é substancial, mantendo apenas a forma jurídica. O último é uma empresa de fachada, independentemente de como o acordo seja descrito no pedido.

Variação Jurisdicional: Mesma Lei, Práticas Diferentes

A MiCA é diretamente aplicável em todos os Estados-Membros da UE. Os requisitos substantivos são uniformes. A prática de supervisão, não.

Chipre, por meio da CySEC, exigiu explicitamente que a maioria dos membros do conselho de administração de um CASP seja residente físico em Chipre. Para um conselho composto por dois diretores executivos e dois não executivos, isso significa um mínimo de três diretores residentes em Chipre. Isso vai além do que o texto da MiCA exige e reflete as diretivas nacionais de combate à lavagem de dinheiro (AML) sobrepostas ao quadro harmonizado da UE.
A Estônia apresenta uma dinâmica diferente. Sob o regime anterior de registro de VASP administrado pela Unidade de Inteligência Financeira, a Estônia tornou-se uma das jurisdições de licenciamento mais acessíveis da Europa. A transição para a MiCA transferiu a responsabilidade de supervisão para a Autoridade de Supervisão Financeira e Resolução da Estônia, o que traz uma abordagem institucional diferente para a análise e a supervisão contínua.

A situação legislativa da Polônia, abordada em edições anteriores desta série, gerou uma lacuna estrutural em que a lei de implementação nacional da MiCA ainda não foi promulgada, deixando a KNF sem designação formal como autoridade competente e os titulares de VASP sem um caminho viável para a solicitação de CASP no país.

Essas variações não são brechas nem peculiaridades administrativas. Elas refletem a realidade de que um quadro jurídico harmonizado ainda opera por meio de culturas de supervisão nacionais, restrições de pessoal e histórias institucionais. Selecionar uma jurisdição para a autorização CASP significa selecionar um regulador, com todas as implicações práticas que isso acarreta.

O que o “Estabelecimento Genuíno” Realmente Exige

Em conjunto, os requisitos de substância previstos na MiCA refletem uma filosofia de supervisão, e não uma lista de verificação. O regulador quer ter a certeza de que, se algo der errado, ele tenha um recurso significativo.

Isso significa que a liderança executiva esteja fisicamente acessível e seja legalmente responsável nos termos da legislação da UE. Significa que os sistemas de TIC sejam controláveis pela entidade da UE sem dependência de cadeias de autorização de fora da UE. Significa capital que esteja genuinamente disponível e dimensionado em função do risco operacional real.

E significa uma governança em que a entidade da UE toma decisões reais, em vez de implementar instruções emitidas de outros lugares.

As empresas que abordam isso como um exercício de documentação tendem a achar o processo mais difícil do que o esperado. As empresas que constroem a substância primeiro e documentam o que construíram tendem a achar isso mais simples. A solicitação não cria a organização. Ela descreve uma que já deveria existir em grande parte.

Fontes:

• Briefing de Supervisão da ESMA sobre a Autorização de CASPs
• Documento de Consulta da ESMA sobre a MiCA, 2º Pacote
• Regulamento MiCA da MFSA

Este artigo baseia-se num estudo realizado pela LegalBison em maio de 2026. O conteúdo tem fins meramente informativos e não constitui aconselhamento jurídico.