Um organograma com os cargos corretos não garante que você obtenha a licença. O que o órgão regulador busca é uma estrutura de conformidade: independência documentada, expertise coletiva em três domínios de conhecimento distintos e substância institucional real. É assim que essa norma funciona na prática.
MiCA Desvendado: Por que o órgão regulador vê sua equipe de conformidade como um único cérebro
ESCRITO POR
PARTILHAR
MiCA Decoded é uma série semanal de 12 artigos para o Bitcoin.com News, de autoria conjunta dos cofundadores e diretores executivos da LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. A LegalBison assessora empresas de criptomoedas e FinTech em licenciamento MiCA, solicitações de CASP e VASP e estruturação regulatória na Europa e além.
O mito: basta terceirizar um diretor de conformidade
Quando os fundadores começam a planejar a autorização de prestadores de serviços de criptoativos (CASP), a conversa quase sempre chega ao mesmo ponto: “Então, precisamos contratar um diretor de conformidade?”
Às vezes, a pergunta vem acompanhada de uma continuação: “E um Diretor de Relatórios de Lavagem de Dinheiro (MLRO)? É só isso?”
A resposta para ambas é sim. Mas tratar essas duas nomeações como a linha de chegada é a interpretação errônea mais comum e consequente do que a MiCA realmente exige de uma função de conformidade.
Os reguladores não estão verificando se o organograma possui os cargos corretos. Eles estão avaliando se o órgão de gestão, como uma unidade completa, possui a arquitetura de conhecimento, a independência estrutural e a profundidade operacional documentada para administrar uma instituição financeira regulamentada. Uma licença MiCA não é emitida para uma pessoa. É emitida para um organismo.
Essa distinção está no cerne da razão pela qual tantos pedidos em fase inicial ficam paralisados ou exigem um trabalho significativo de reformulação antes que uma Autoridade Nacional Competente (NCA) conceda a autorização.
O que “coletivamente” realmente significa no regulamento
O Artigo 68(1) da MiCA é preciso nesse ponto. Os membros do órgão de gestão devem possuir os conhecimentos, as competências e a experiência adequados “tanto individualmente quanto coletivamente”. Essa única palavra, “coletivamente”, desempenha um papel regulatório significativo.
As diretrizes conjuntas da EBA e da ESMA sobre a adequação dos membros do órgão de gestão e dos acionistas para entidades sob a MiCA tornam explícitos os mecanismos dessa norma, listando as áreas específicas de experiência profissional que o órgão de gestão deve possuir. Eira Järvi, advogada sênior da LegalBison, resumiu os requisitos específicos na tabela abaixo.
| Categoria de Requisito | Descrição detalhada |
| Regulamentação dos Mercados Financeiros | Compreensão de instrumentos financeiros e instrumentos financeiros DLT, incluindo requisitos regulatórios sob a SIBA e outras leis aplicáveis |
| Conformidade com AML/CTF | Conhecimento dos requisitos de AML/CTF, incluindo estratégias de identificação, avaliação e mitigação de riscos |
| Ativos virtuais | Conhecimento dos tipos de ativos virtuais, incluindo tokens referenciados a ativos e tokens de dinheiro eletrônico, e os riscos associados a cada um |
| Proteção de dados | Compreensão das obrigações de proteção de dados relevantes para as operações da Empresa |
| Gestão de riscos | Compreensão dos princípios e procedimentos de gestão de riscos, incluindo riscos de mercado, de crédito e de liquidez |
| Governança e controles internos | Capacidade de avaliar a eficácia dos arranjos de governança, mecanismos de supervisão e controles internos |
| Resiliência operacional digital | Familiaridade com os requisitos relacionados à resiliência operacional |
| Conhecimento estratégico e gerencial | Experiência em planejamento estratégico, desenvolvimento de negócios e implementação de objetivos de negócios |
| Gestão de terceiros | Compreensão de acordos de terceirização, gestão de prestadores de serviços terceirizados e requisitos regulatórios associados |
| Comunicação e supervisão | Capacidade de apresentar pontos de vista, discutir estratégias e, quando aplicável, questionar decisões da administração para garantir uma supervisão eficaz |
| Contabilidade e auditoria | Capacidade de interpretar informações financeiras, identificar questões-chave e compreender as normas contábeis e de auditoria relevantes |
| Conhecimento jurídico e regulatório | Familiaridade com os requisitos legais aplicáveis aos VASPs, incluindo a emissão e gestão de VAs |
Ao analisar as diretrizes da ESMA, fica claro que o perfil combinado do órgão de gestão deve abranger comprovadamente três domínios de conhecimento essenciais, que incluem todos aqueles detalhados pela Eira:
- Mercados financeiros tradicionais: marcos regulatórios, obrigações de proteção ao investidor, regras de conduta de mercado e as normas operacionais aplicáveis a prestadores de serviços financeiros licenciados.
- Infraestrutura de Tecnologia de Registro Digital (DLT) e segurança cibernética: arquitetura de blockchain, risco no nível do protocolo, exposição a contratos inteligentes, modelagem de ameaças à segurança cibernética e as vulnerabilidades operacionais específicas decorrentes da prestação de serviços na cadeia.
- Estratégia de negócios e governança organizacional: concepção da gestão de riscos, arquitetura de controle interno, política de governança e a capacidade de avaliar e revisar periodicamente a eficácia da conformidade da empresa.
O regulador não espera que uma única pessoa domine todas as três áreas. A expectativa, formalizada pela exigência da ESMA de que as empresas apresentem uma avaliação de sua “adequação coletiva”, é que a equipe, em conjunto, abranja todas elas sem lacunas significativas.
Um órgão de gestão composto inteiramente por profissionais com formação em finanças tradicionais, sem ninguém capaz de avaliar os riscos da infraestrutura de DLT, é estruturalmente incompleto antes mesmo da apresentação do pedido.
O mesmo se aplica no sentido inverso: uma equipe com profundo conhecimento técnico em criptomoedas, mas sem ninguém que compreenda a conduta dos mercados financeiros regulamentados, enfrentará o mesmo escrutínio.
O problema do compromisso de tempo de que ninguém fala
Há uma segunda camada no padrão de adequação coletiva que pega os requerentes de surpresa.
As pessoas certas devem existir na prática, não apenas no papel. Cada membro do órgão de gestão deve documentar, por escrito, seu compromisso mínimo de tempo com a empresa: especificamente, uma estimativa do tempo dedicado à função (com indicações anuais e mensais), juntamente com uma declaração formal de todos os outros cargos de diretor executivo e não executivo atualmente ocupados.
O projeto de normas técnicas regulamentares da ESMA sobre autorização (extraído do primeiro pacote de consulta) é explícito quanto a isso. A avaliação abrange se cada pessoa está funcionalmente presente, não apenas nominalmente listada.
Um diretor não executivo com outros quatro cargos em conselhos de administração e uma relação de consultoria de conformidade com duas empresas adicionais enfrentará um escrutínio direto. A NCA precisa estar convencida de que o órgão de gestão pode realmente desempenhar suas funções, não apenas que os nomes certos apareçam na solicitação.
Isso é mais importante para empresas de criptomoedas em fase inicial que contratam profissionais experientes em conformidade em regime de meio período ou como consultores para fortalecer um pedido de autorização. O regulador verificará exatamente quantas horas por mês essa pessoa está dedicando e comparará esse número com o escopo da função e os serviços que a empresa pretende prestar.
Uma incompatibilidade entre responsabilidade e dedicação de tempo é um sinal de alerta, não uma questão técnica.
As Funções de Controle Interno: Estrutura em vez de Títulos
Compreender a adequação coletiva no nível do órgão de gestão é apenas parte do quadro. O Artigo 68(4) da MiCA exige que os CASPs adotem políticas e procedimentos “suficientemente eficazes para garantir a conformidade”. O Artigo 68(5) exige pessoal com conhecimento adequado em todos os níveis da empresa. O Artigo 68(6) exige que o órgão de gestão revise periodicamente a eficácia dessas disposições e corrija quaisquer deficiências encontradas.
O projeto de RTS da ESMA vai além. Ele exige que as empresas identifiquem funções específicas de controle interno e documentem, para cada uma delas:
- A linha de reporte se estende diretamente ao órgão de gestão.
- Como a função opera de forma independente da área de negócios que supervisiona.
- Como a função pode acionar o órgão de gestão de forma programada e em caráter de emergência (ad hoc) quando for detectado um risco significativo de conformidade.
As três áreas funcionais que constituem o núcleo deste quadro de controlo interno são:
- A função de conformidade (obrigações regulatórias, políticas de conduta, procedimentos internos).
- A função de avaliação de riscos (identificação de riscos, metodologia de avaliação, protocolos de escalonamento).
- A função de auditoria interna (revisão independente da eficácia, avaliação periódica).
Nota: A função AML/CFT e a função de Continuidade de Negócios também são pilares obrigatórios do pedido de autorização, mas a ESMA as trata como requisitos organizacionais distintos, paralelamente a esta estrutura central de controle interno.
A MiCA nem sempre atribui essas designações precisas no texto do Nível 1. As RTS da ESMA deixam claro que essas áreas centrais de controle interno devem ter responsáveis nomeados, âmbitos de responsabilidade documentados e independência estrutural verificada.
É nesse último ponto que muitos pedidos revelam uma falha estrutural.
Uma função de conformidade que se reporta ao Diretor de Operações, que também gerencia receitas e desenvolvimento de negócios, não é independente no sentido regulatório. Uma função de risco incorporada à mesa de operações, reportando-se hierarquicamente pela mesma cadeia que a mesa que deveria monitorar, também não atende ao padrão.
O órgão regulador solicitará o organograma. Em seguida, perguntará a quem o chefe de conformidade se reporta na prática, quais são as outras responsabilidades dessa pessoa e quais direitos de escalonamento ela detém quando um risco grave de conformidade é identificado.
Construir um pedido de licença CASP em torno de uma estrutura de independência real exige que a arquitetura seja projetada antes da elaboração do pedido, e não adaptada posteriormente.
Substância física: o problema do diretor nomeado
O pedido de autorização deve documentar um local físico de gestão efetiva dentro da UE. Isso significa o endereço da sede, os endereços das filiais, quando relevante, e a localização geográfica real onde as decisões da empresa são tomadas.
- Pelo menos um diretor que exerça autoridade real deve ser residente na União e estar acessível à Autoridade Nacional Competente (NCA) do Estado-Membro de origem.
- Um endereço registrado em uma jurisdição da UE apoiado por um acordo de diretor nomeado não satisfaz esse padrão.
- O requisito de substância significa que o peso da tomada de decisões deve estar efetivamente localizado dentro da União.
As NCAs avaliam isso por meio dos campos de localização no pedido de RTS e das declarações de dedicação de tempo de cada membro do órgão de gestão.
Um diretor que esteja fisicamente presente na UE por duas semanas por trimestre não se qualifica como diretor residente em nenhum sentido regulatório significativo.
Este é um ponto particularmente importante para empresas que operam a partir de sedes globais fora da UE e que estão buscando obter uma licença de criptomoedas na Europa. A entidade sediada na UE deve funcionar como uma unidade real de tomada de decisões, e não como uma fachada administrativa para uma estrutura de grupo que opera a partir de outro local.
A continuidade dos negócios é de responsabilidade da equipe de conformidade
A continuidade de negócios é amplamente tratada como uma responsabilidade de TI. De acordo com a MiCA e a Lei de Resiliência Operacional Digital (DORA), esse enquadramento é incorreto para qualquer CASP autorizado.
A Política de Continuidade de Negócios deve ser de responsabilidade, aprovada e mantida pelo órgão de gestão. A DORA (Regulamento UE 2022/2554) rege os elementos específicos da tecnologia da informação e das comunicações, e os CASPs se enquadram no escopo da DORA como entidades financeiras. As duas estruturas operam simultaneamente, e a função de conformidade deve ser capaz de lidar com ambas ao mesmo tempo.
O segundo documento de consulta da ESMA sobre a MiCA introduziu uma obrigação específica para empresas que operam com tecnologia de contabilidade distribuída sem permissão (blockchains públicas, como a Ethereum): comunicação proativa e estruturada com os clientes durante qualquer interrupção de serviço no nível da DLT.
A empresa deve informar os clientes sobre se seus fundos estão em risco e fornecer um panorama claro de como a retomada do serviço está sendo gerenciada. A empresa permanece totalmente responsável por quaisquer perdas decorrentes de seus próprios contratos inteligentes, independentemente de a blockchain subjacente ser sem permissão.
Esta não é uma política padrão de interrupção de TI. Assumir essa obrigação de forma significativa exige que o órgão de gestão compreenda o risco da infraestrutura de DLT em um nível que vai muito além do conhecimento técnico geral.
A equipe de conformidade que apenas consegue descrever o risco de blockchain em termos gerais não será capaz de elaborar, revisar ou manter uma política de continuidade de negócios que satisfaça o escrutínio regulatório.
Padrões de dados como capacidade de conformidade
As responsabilidades da função de conformidade se estendem à arquitetura de dados. Os CASPs que operam plataformas de negociação devem usar o padrão Digital Token Identifier (DTI) para toda a manutenção de registros e relatórios às NCAs. O DTI identifica de forma única cada criptoativo e o vincula à DLT específica na qual ele é emitido, negociado ou liquidado. Isso permite que os reguladores realizem vigilância transfronteiriça com dados consistentes e comparáveis.
Os padrões de mensagens ISO 20022 regem o formato dos dados transacionais enviados às autoridades. Os dados de transparência pré e pós-negociação devem ser divulgados por meio de canais públicos não discriminatórios e legíveis por máquina para evitar abusos de mercado. Cada um desses requisitos tem uma dimensão técnica que a equipe de conformidade deve assumir, sem delegá-la cegamente à TI.
Uma empresa que trate a manutenção de registros como uma tarefa geral de administração de sistemas, sem supervisão de conformidade das normas de dados específicas exigidas pela RTS, enfrentará problemas de supervisão após a autorização.
As normas existem precisamente para que as NCAs possam comparar registros entre centenas de CASPs em uma única análise. Uma empresa que não consiga produzir dados no formato exigido é uma empresa que não consegue demonstrar conformidade contínua.
Esse é o significado prático do padrão do “cérebro único”. A equipe de conformidade integra conhecimento regulatório, estrutura de governança, conhecimento operacional de DLT e alfabetização técnica em dados como uma única capacidade funcional. Nenhum desses elementos pode ser totalmente terceirizado para outra função.
Formando a equipe antes de elaborar o pedido
O pedido de autorização para uma licença CASP MiCA documenta uma instituição que já existe. Esse é o modelo mental que separa as empresas que avançam com eficiência pelo processo daquelas que ficam paralisadas.
As empresas que buscam licença para câmbio de criptomoedas, autorização para custódia de ativos digitais ou qualquer outra licença CASP na Europa precisam abordar a arquitetura da equipe como a primeira entrega, não como algo que se forma enquanto o pedido está sendo elaborado.
A função de conformidade deve ser estruturalmente independente antes que o primeiro documento seja redigido. A cobertura do conhecimento coletivo do órgão de gestão deve ser avaliada e quaisquer lacunas devem ser sanadas antes do início da análise pela NCA. As declarações de compromisso de tempo devem ser realistas antes de serem apresentadas.
A mesma lógica se aplica globalmente. Empresas que solicitam uma licença VASP em jurisdições fora da UE estão cada vez mais encontrando padrões paralelos: reguladores no Oriente Médio, Ásia-Pacífico e nas Américas estão convergindo para requisitos semelhantes de “substância sobre forma” no que diz respeito ao desenho da função de conformidade.
O padrão da UE, que é o mais detalhado e tecnicamente específico atualmente em vigor, é uma referência útil para qualquer equipe que esteja se preparando para obter status regulatório em qualquer jurisdição importante.
"Somos DeFi, portanto a MiCA não se aplica a nós." Desculpe, mas a EBA e a ESMA têm uma opinião diferente
A MiCA questiona as alegações de descentralização da DeFi, à medida que os reguladores avaliam as regras de controle, governança e conformidade. read more.
Leia agora
"Somos DeFi, portanto a MiCA não se aplica a nós." Desculpe, mas a EBA e a ESMA têm uma opinião diferente
A MiCA questiona as alegações de descentralização da DeFi, à medida que os reguladores avaliam as regras de controle, governança e conformidade. read more.
Leia agora"Somos DeFi, portanto a MiCA não se aplica a nós." Desculpe, mas a EBA e a ESMA têm uma opinião diferente
Leia agoraA MiCA questiona as alegações de descentralização da DeFi, à medida que os reguladores avaliam as regras de controle, governança e conformidade. read more.
Conclusão principal
O mito: nomear um diretor de conformidade e um MLRO satisfaz as obrigações de conformidade da MiCA.
A realidade: a MiCA exige um órgão de conformidade em funcionamento, não uma lista de cargos.
Três fatores determinam se um órgão de gestão atende à norma:
Cobertura de conhecimento coletivo. A equipe, considerada como um todo, deve abranger conhecimentos especializados em mercados financeiros tradicionais, proficiência em DLT e segurança cibernética, e capacidade de governança organizacional. Lacunas em qualquer um desses domínios são deficiências estruturais, não preferências de perfil.
Independência estrutural documentada. As principais funções de controle interno (conformidade, avaliação de riscos e auditoria interna) devem ter um responsável designado, uma linha de reporte direta ao órgão de gestão e independência comprovada em relação à área de negócios que supervisionam. (Observação: AML/CFT e continuidade de negócios são igualmente obrigatórias, mas tratadas como pilares organizacionais distintos). Um organograma que encaminhe a conformidade por meio de uma função geradora de receita não resistirá ao escrutínio da NCA.
Substância institucional real. Os compromissos de tempo devem ser genuínos e documentados. A presença física na UE deve refletir o peso real na tomada de decisões, não apenas um endereço registrado. A política de continuidade de negócios deve ser de responsabilidade do órgão de gestão. O relatório de dados deve atender às normas DTI e ISO 20022 desde o primeiro dia.
O pedido de licença CASP é o resultado. A arquitetura de conformidade é a base. Construa a base primeiro.
Este artigo baseia-se num estudo realizado pela LegalBison em abril de 2026. O conteúdo tem fins meramente informativos e não constitui aconselhamento jurídico.
