"Somos DeFi, portanto a MiCA não se aplica a nós." Desculpe, mas a EBA e a ESMA têm uma opinião diferente

MiCA Decoded é uma série semanal de 12 artigos para o Bitcoin.com News, de autoria conjunta dos cofundadores e diretores executivos da LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. A LegalBison assessora empresas de criptomoedas e FinTech em licenciamento MiCA, solicitações de CASP e VASP e estruturação regulatória na Europa e além.

O artigo desta semana foi escrito por Eira Järvi, advogada sênior da LegalBison, líder em pesquisa regulatória global e na implementação de licenciamento CASP e outras licenças complexas. Eira aplica ativamente a pesquisa global em produtos voltados para o cliente.

DeFi em Ascensão

As finanças descentralizadas têm crescido nos últimos anos. O setor de criptomoedas tem testemunhado o surgimento de novos projetos DeFi quase que diariamente. Novas redes de blockchain, protocolos e aplicativos descentralizados (dApps) formam um resumo para discussões entre entusiastas de DeFi e boletins informativos. Eles giram em torno dos temas de eficiência, transparência, composibilidade, privacidade e acessibilidade da DeFi. Com a entrada em vigor do MiCAR (Regulamento dos Mercados de Criptoativos), muitas equipes de desenvolvimento de DeFi estão agora considerando expandir seus projetos para os mercados da UE.

No entanto, nesse contexto, um assunto permanece mais crucial do que todos os outros. Como a equipe garante que o projeto que está construindo esteja em conformidade legal?

Para a maioria das startups de DeFi, a resposta pode parecer simples: o MiCAR contém uma isenção para projetos “totalmente descentralizados” na qual muitas startups confiam com segurança ao justificar sua confiança no lançamento de seus projetos na UE sem buscar qualquer orientação jurídica, muito menos a conformidade com o MiCAR.

Este artigo busca dissipar a crença popular de que, se um projeto for suficientemente descentralizado, o MiCAR não é motivo de preocupação para a equipe. Lamentamos, mas as diretrizes regulatórias desmentem esse mito!

O mito: o MiCA não afeta a DeFi e os prestadores de serviços sem custódia

O artigo 3.º, n.º 1, ponto 1, do MiCAR define a tecnologia de registo distribuído (“DLT”) como “uma tecnologia que permite a operação e a utilização de registos distribuídos”, e o ponto 2 define “registo distribuído” como “um repositório de informações que mantém registos de transações e que é partilhado e sincronizado entre um conjunto de nós da rede DLT utilizando um mecanismo de consenso”.

O Considerando 22 do MiCAR fornece a orientação mais crítica sobre a relação da DeFi com o Regulamento. Ele afirma que o MiCAR foi concebido para abranger serviços e atividades realizados, prestados ou controlados, direta ou indiretamente, por pessoas físicas ou jurídicas e certas empresas envolvidas em serviços de criptoativos, mesmo nos casos em que haja descentralização.

No entanto, o Considerando contém a seguinte formulação crucial: “Quando os serviços de criptoativos forem prestados de forma totalmente descentralizada, sem qualquer intermediário, não devem ser abrangidos pelo âmbito de aplicação do presente Regulamento.” O significado desta disposição reside em duas frases-chave: “totalmente descentralizada” e “sem qualquer intermediário.”

O texto do próprio Regulamento não define “totalmente descentralizada” em nenhuma parte de suas disposições operacionais. A única fonte desse termo está no Considerando 22, que faz parte do preâmbulo e não das disposições formais juridicamente vinculativas. O Considerando 83 estabelece ainda que “os fornecedores de hardware ou software de carteiras sem custódia não devem estar abrangidos pelo âmbito de aplicação do presente regulamento”, sem definir explicitamente em que medida o fornecimento de hardware ou software constitui um serviço totalmente descentralizado excluído do MiCAR.

O Considerando 109 reconhece esses desafios interpretativos e atribui a elaboração de projetos de normas regulamentares e técnicas de implementação à Autoridade Bancária Europeia (“EBA”) e à Autoridade Europeia dos Valores Mobiliários e dos Mercados (“ESMA”).

Ao determinar se os serviços se enquadram no âmbito de aplicação do MiCAR, duas condições podem ser extraídas do Considerando 22 e das orientações regulatórias subsequentes:

• Primeiro, nenhuma entidade isolada pode exercer controle sobre os parâmetros do protocolo, os mecanismos de governança ou a infraestrutura tecnológica central sobre a qual o serviço de criptoativos opera.
• Em segundo lugar, os usuários devem ter acesso ao que equivale a um “recurso de interesse comum”, em vez de adquirir serviços de um provedor designado com o qual exista uma relação contratual de prestação de serviços.

Essas condições são fundamentais para avaliar se um projeto de DeFi se enquadra ou não no âmbito de aplicação do MiCAR.

A armadilha de superestimar o estado de descentralização

Em um mundo com tecnologias que surgem rapidamente, instabilidade geopolítica e sistemas financeiros fragmentados que dependem de processos manuais e intermediários, a DeFi apresenta uma solução transparente e sem fronteiras que muda fundamentalmente a maneira como as transações são iniciadas, processadas e executadas. Em vez dos modelos tradicionais do sistema financeiro, nos quais as transações devem primeiro passar por vários intermediários e back-ends institucionais antes de serem executadas e liquidadas, na DeFi os usuários realizam transações interagindo diretamente com a rede blockchain subjacente por meio de protocolos e interfaces descentralizados, eliminando assim a necessidade de intermediários e infraestruturas de sistema complexas.

No mundo do direito on-chain, a linha entre a descentralização total e a falta dela é mais tênue do que pode parecer. Antes que qualquer trabalho possa começar, um advogado que trabalhe com um projeto Web3 descentralizado primeiro determinará se o projeto pode ser considerado descentralizado, analisando e avaliando as camadas do projeto, seu estado de descentralização, bem como os planos da equipe sobre propriedade e governança.

Nesta fase inicial da elaboração da estratégia jurídica, há muitos elementos técnicos e arquitetônicos que devem ser avaliados por um advogado para se chegar a um acordo definitivo sobre o estado de descentralização do projeto. Embora a equipe possa estar convencida de que seu projeto é totalmente descentralizado, com todos os seus elementos, como a DLT, o protocolo e o dApp, na realidade, a avaliação inicial pode revelar o contrário.

Para alcançar o estado de verdadeira e plena descentralização, todos os elementos do projeto devem atender aos critérios de total autonomia e ausência de influência interna ou externa em todo o ecossistema do projeto e seus diversos elementos, incluindo, mas não se limitando a, governança, propriedade, interfaces etc., o que, após uma análise mais detalhada, poucos projetos conseguem alcançar.

Essa conclusão pode ser melhor ilustrada por um evento recente no mundo DeFi. Em 21 de abril de 2026, o Conselho de Segurança da Arbitrum congelou mais de 30 ETH (aproximadamente US$ 71 milhões) associados à exploração da Kelp DAO. Um órgão de governança composto por 12 membros conseguiu reagir ao comprometimento transferindo os fundos para a carteira intermediária, que só pode ser liberada por meio de uma votação de governança, efetivamente bloqueando os fundos na carteira.

Este exemplo aponta para a existência de controle operacional discricionário: embora a Arbitrum seja, por definição, uma rede de camada 2 sem permissão e aparentemente totalmente descentralizada, o exercício de controle sobre os ativos dos usuários é precisamente o que falharia no teste de descentralização total da MiCAR. A prevalência da substância sobre a forma, neste caso, determina o escopo regulatório, independentemente da ausência de permissão do ledger subjacente.

Assim, uma simples alegação de que um projeto DeFi é totalmente descentralizado não é suficiente para excluir a obrigação de cumprir a MiCAR e obter a autorização necessária como CASP. Os advogados avaliarão principalmente a arquitetura técnica do projeto, a lógica de propriedade e as regras de governança, o que significa que invocam a avaliação da substância sobre a forma em detrimento da semântica. Os órgãos reguladores europeus, como a Autoridade Bancária Europeia (EBA) e a Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA), apoiam plenamente essa abordagem.

Perspectiva da ESMA e da EBA sobre DeFi

A perspectiva da ESMA sobre as finanças descentralizadas evoluiu substancialmente por meio de múltiplos pacotes de consulta e, mais significativamente, por meio do Relatório Conjunto com a EBA sobre Desenvolvimentos Recentes em Criptoativos, publicado em 13 de janeiro de 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), elaborado nos termos do Artigo 142 do MiCAR.

O raciocínio da ESMA sobre o espectro da descentralização é fundamental para esta avaliação. No seu segundo pacote de consulta sobre normas técnicas de regulamentação e de execução, a ESMA propôs uma definição de «tecnologia de registo distribuído sem autorização» como «uma tecnologia que permite o funcionamento e a utilização de registos distribuídos em que nenhuma entidade controla o registo distribuído ou a sua utilização, nem presta serviços essenciais para a utilização desse registo distribuído, e em que os nós da rede DLT podem ser configurados por qualquer pessoa que cumpra os requisitos técnicos e os protocolos».

Essa definição se baseia no documento consultivo do Conselho de Estabilidade Financeira, que distingue entre DLT sem permissão (totalmente descentralizada), DLT com permissão que permite um certo grau de centralização e plataformas centralizadas. A ESMA reconhece que “o escopo exato dessa isenção permanece incerto” e considera que uma avaliação de cada sistema deve ser feita caso a caso, levando em conta as características do sistema.

A ESMA reconhece que a descentralização não é um conceito binário, mas existe num espectro que vai da centralização a vários graus de descentralização: “Com as DEXs, a blockchain substitui o intermediário. As DEXs utilizam código autónomo (frequentemente referido como contratos inteligentes) para executar transações diretamente na camada de liquidação da blockchain (com diferentes graus de descentralização).”

O Relatório Conjunto de janeiro de 2025 fornece dados empíricos que sustentam o quadro analítico. A DeFi representa aproximadamente 4% da capitalização de mercado global de criptoativos, com taxas de penetração um pouco mais elevadas observadas entre os usuários sediados na UE. O Relatório confirma que muito poucos sistemas DeFi alcançam uma descentralização verdadeiramente plena da maneira contemplada pelo Considerando 22. O Relatório identifica que mesmo protocolos ostensivamente descentralizados normalmente possuem entidades identificáveis que exercem graus variáveis de controle sobre a governança, atualizações de protocolo, implantação de contratos inteligentes e estruturas de taxas.

No que diz respeito aos fornecedores de hardware e software de serviços auxiliares de CASP, a posição que emerge das orientações da ESMA é que as entidades que se limitam a criar e vender ferramentas de desenvolvimento de software, aplicações ou plataformas para a prestação ou negociação de criptoativos não são automaticamente classificadas como CASPs se as suas atividades se limitarem à criação e venda dos referidos serviços.

No entanto, as entidades que supervisionam a criação e o desenvolvimento de software ou plataformas para a prestação de serviços de criptoativos podem ser consideradas CASPs se mantiverem controle ou influência suficiente sobre os criptoativos, o software, o protocolo, a plataforma ou as relações comerciais com os usuários. O critério decisivo é, portanto, o de controle e influência, e não o mero envolvimento tecnológico.

O papel das relações contratuais na definição da descentralização total é ainda mais ressaltado pela análise da ESMA do Artigo 73 da MiCAR, que diz respeito à terceirização de serviços ou atividades a terceiros. A ESMA conclui que não existe base jurídica para categorizar as DLTs sem permissão utilizadas por CASPs como um provedor terceirizado, uma vez que não é necessária nenhuma relação contratual formal para interagir com blockchains sem permissão. Isso leva à conclusão significativa de que as DLTs sem permissão podem ser consideradas uma forma de recurso de “bem comum”, enquanto as DLTs com permissão operadas por empresas comerciais normalmente envolvem acordos contratuais formais e, portanto, constituem uma relação de “prestador de serviços terceirizado”. Essa distinção é a espinha dorsal da avaliação posterior neste memorando.

O Relatório Conjunto aborda ainda os riscos de ML/TF e as considerações de TIC aplicáveis a sistemas descentralizados. A ausência de controles tradicionais de AML/CFT em sistemas puramente descentralizados apresenta preocupações regulatórias significativas, uma vez que os procedimentos de “conheça seu cliente” e o monitoramento de transações são tipicamente ausentes ou incompletos. O Relatório observa que os riscos de TIC estão entre as principais preocupações, com a maioria das perdas financeiras relacionadas à DeFi atribuíveis a vulnerabilidades de contratos inteligentes, manipulação de oráculos e ataques de front-running, incluindo a exploração do valor máximo extraível (“MEV”).

Esses fatores de risco, embora não sejam determinantes para a classificação regulatória, orientam a abordagem de supervisão para entidades que operam em vários pontos do espectro de descentralização.

Estrutura da FATF e Relações Contratuais

As orientações da FATF sobre VASPs e DeFi fornecem uma estrutura analítica fundamental que foi adotada e desenvolvida pela ESMA. De acordo com a Orientação Atualizada da FATF para uma Abordagem Baseada no Risco em relação a Ativos Virtuais e Prestadores de Serviços de Ativos Virtuais (outubro de 2021), uma pessoa que crie ou venda um aplicativo de software ou uma plataforma de ativos virtuais pode não constituir um Prestador de Serviços de Ativos Virtuais quando se dedique exclusivamente à criação ou venda do aplicativo ou da plataforma, com ênfase na palavra exclusivamente.

Nos casos em que criadores, proprietários, operadores ou outros indivíduos pareçam manter o controle ou exercer influência suficiente sobre arranjos de DeFi, mesmo que esses arranjos pareçam descentralizados, eles podem se enquadrar na definição da FATF de um VASP se estiverem prestando ou facilitando ativamente serviços de VASP. O controle ou influência significativa pode se manifestar por meio do controle sobre ativos ou aspectos do protocolo do serviço e por meio de uma relação comercial contínua entre o operador e os usuários, mesmo que esse controle seja exercido por meio de um contrato inteligente ou, em alguns casos, por meio de protocolos de votação.

O raciocínio do FATF estabelece as bases para a avaliação da descentralização sob a MiCAR ao definir dois princípios cruciais:

• Primeiro, os proprietários e operadores e seu grau de controle sobre a DeFi podem frequentemente ser identificados por sua relação com as atividades realizadas, e não pelas denominações aplicadas ao arranjo.
• Em segundo lugar, a centralização parcial não pode ser automaticamente excluída, mesmo que outras partes além do principal prestador de serviços estejam envolvidas no serviço ou se partes do processo forem automatizadas por meio de contratos inteligentes.

O papel das relações contratuais na avaliação da descentralização merece atenção especial. O artigo 73 do MiCAR, que se refere à terceirização de serviços ou atividades a terceiros para o desempenho de funções operacionais, regula como os CASPs devem lidar com os riscos associados a prestadores terceirizados.

No entanto, como reconhece o Segundo Documento de Consulta da ESMA, não existe base jurídica para classificar as DLTs sem permissão utilizadas pelos CASPs como prestadores terceirizados, pois não é necessária nenhuma relação contratual formal, como um acordo de nível de serviço, para interagir com blockchains sem permissão. A ESMA conclui que as DLTs sem permissão podem ser consideradas uma forma de recurso de “bem comum”, enquanto as DLTs com permissão operadas por empresas comerciais normalmente envolvem contratos disponíveis para produtos de blockchain de marca branca, constituindo assim uma relação de prestador de serviços terceirizado.

Essa conclusão tem implicações profundas para a avaliação regulatória de plataformas construídas sobre infraestrutura sem permissão. Se uma plataforma implantar contratos inteligentes em uma blockchain sem permissão, como a Ethereum, o uso dessa infraestrutura de blockchain não estabelece, por si só, uma relação de prestador de serviços terceirizado.

No entanto, se o operador da plataforma mantiver o controle sobre os contratos inteligentes, puder atualizar ou modificar sua funcionalidade, controlar o acesso à interface front-end ou mantiver chaves administrativas capazes de pausar, congelar ou modificar o protocolo, esses elementos centralizados colocam o operador no âmbito do MiCAR, independentemente da natureza sem permissão do livro-razão subjacente.

O teste é, portanto, funcional e não tecnológico: ele questiona qual controle o operador realmente exerce, e não em que tecnologia o sistema está baseado.

Principais conclusões:

Levando em conta a análise acima e, em particular, o raciocínio da ESMA conforme exposto nos documentos de consulta e no Relatório Conjunto de janeiro de 2025, somos da opinião de que as seguintes proposições se aplicam para os fins desta avaliação.

• Primeiro, desde que nenhum indivíduo ou entidade controle um protocolo ou plataforma DeFi e sua utilização, e nenhum indivíduo desempenhe um papel fundamental e indispensável em sua operação sem o qual a tecnologia não possa ser utilizada, o protocolo ou plataforma DeFi pode ser considerado isento do âmbito de aplicação do MiCAR por ser “totalmente descentralizado” na acepção do Considerando 22.
• Em segundo lugar, o mero desenvolvimento de software ou ferramentas auxiliares para CASPs não é considerado um serviço de criptoativos, a menos que aspectos adicionais regulados pelo MiCAR, tais como influenciar a oferta, venda, transferência, custódia ou negociação de criptoativos, estejam incluídos no âmbito das atividades realizadas pelo desenvolvedor.

No entanto, a aplicação prática desses princípios a qualquer projeto DeFi requer uma análise cuidadosa das características operacionais e de governança reais de seu ecossistema. Caso a arquitetura de um projeto indique controle centralizado sobre a emissão de tokens, parâmetros de protocolo ou governança do ecossistema, é improvável que ele satisfaça a isenção de “totalmente descentralizado” do Considerando 22, e os serviços prestados em conexão com tal projeto devem ser avaliados de acordo com as disposições da MiCAR.

O que descodificámos

A isenção de “totalmente descentralizado” é excepcionalmente restrita: o Considerando 22 da MiCA estabelece que os serviços prestados de “maneira totalmente descentralizada, sem qualquer intermediário” estão fora do âmbito do regulamento, mas alcançar esse verdadeiro estado de total descentralização é extremamente raro. Se qualquer entidade exercer controle sobre a governança, os parâmetros do protocolo ou a infraestrutura central, a isenção não se aplica.

A substância prevalece sobre a forma na determinação da conformidade: os reguladores vão além das alegações de marketing e da semântica técnica para avaliar o controle operacional real. O teste regulatório é funcional, não tecnológico: se um operador mantém chaves administrativas, controla a interface front-end ou tem a capacidade de atualizar ou pausar contratos inteligentes, ele se enquadra no âmbito do MiCA.

A descentralização existe em um espectro: a ESMA não vê a descentralização como um conceito binário. Mesmo que um projeto dependa fortemente de código autônomo e contratos inteligentes, a presença de entidades identificáveis que exerçam graus variados de controle sobre estruturas de taxas, atualizações de protocolo ou governança acionará o escrutínio regulatório.

Blockchains sem permissão são “bens comuns”: Depender de uma blockchain pública e sem permissão não estabelece uma relação formal de terceirização nos termos do Artigo 73 da MiCA, uma vez que a ESMA classifica esses recursos como “bens comuns”. No entanto, a implantação de contratos inteligentes em uma infraestrutura de bem comum não isenta o operador da plataforma da MiCA se ele mantiver controle funcional sobre esses contratos.

Desenvolvedores de software não são automaticamente CASPs: A mera criação e venda de software ou hardware não custodial não classifica automaticamente uma entidade como Prestadora de Serviços de Criptoativos (CASP). No entanto, se os desenvolvedores ou operadores mantiverem influência suficiente sobre os criptoativos, a plataforma ou as relações comerciais em andamento com os usuários, eles ultrapassam o limite regulatório e serão regulamentados como CASPs.

Este artigo baseia-se num estudo realizado pela LegalBison em abril de 2026. O conteúdo tem fins meramente informativos e não constitui aconselhamento jurídico.