MiCA pe înțelesul tuturor: „Avem un birou în UE” nu este suficient: iată ce vor să vadă de fapt autoritățile de reglementare

MiCA Decoded este o serie săptămânală de 12 articole pentru Bitcoin.com News, scrisă în colaborare de cofondatorii și directorii generali ai LegalBison: Aaron Glauberman, Viktor Juskin și Sabir Alijev. LegalBison oferă consultanță companiilor din domeniul criptomonedelor și FinTech cu privire la licențierea MiCA, cererile CASP și VASP, precum și structurarea reglementării în Europa și în afara acesteia.

Articolul din această săptămână a fost scris de Krystian Lapka, avocat la LegalBison. Krystian este specializat în tranzacții corporative și comerciale transfrontaliere, alături de gestionarea strategică a riscurilor la intersecția dintre dreptul civil și dreptul comun.

---

Majoritatea fondatorilor care se apropie de prima lor cerere CASP înțeleg, cel puțin la nivel abstract, că MiCA necesită o prezență reală în UE. Ceea ce subestimează este modul în care autoritatea de reglementare definește termenul „real”.

Configurația tipică din faza incipientă pare coerentă pe hârtie: un sediu social într-o jurisdicție favorabilă din UE, un director numit în documentele de guvernanță, sisteme TIC găzduite în cloud sau gestionate din infrastructura globală a grupului și capitalul vărsat într-un cont bancar nou deschis.

Din interior, aceasta pare o companie din UE. Din perspectiva unei autorități naționale competente, poate părea o cutie poștală cu un director atașat.

Acest articol prezintă cerințele de substanță ale MiCA în ceea ce privește personalul, tehnologia și reziliența financiară și explică de ce autoritățile de reglementare tratează fiecare categorie ca pe un test funcțional, mai degrabă decât ca pe un exercițiu de documentare.

Preocuparea care stă la baza tuturor acestor aspecte este aceeași: prevenirea companiilor-cutie poștală, entități care există pe hârtie într-o jurisdicție favorabilă, dar care nu au nicio activitate economică semnificativă, capital uman sau capacitate operațională în cadrul acesteia.

Mitul: prezența este egală cu substanța

Logica de reglementare de aici este mai veche decât MiCA. În hotărârea de referință Cadbury Schweppes (Cauza C-196/04), Curtea de Justiție a Uniunii Europene a stabilit că libertatea de stabilire nu poate fi utilizată pentru a crea „aranjamente complet artificiale” care nu au o activitate economică autentică. MiCA codifică acest principiu direct în reglementarea cripto-activelor.

Articolul 59 alineatul (2) din MiCA prevede că CASP-urile autorizate trebuie să aibă sediul social într-un stat membru în care desfășoară cel puțin o parte din serviciile lor de cripto-active, trebuie să aibă locul de conducere efectivă în cadrul Uniunii și trebuie să aibă cel puțin un director rezident în Uniune. Dispoziția este succintă. Ceea ce se află în spatele ei este considerabil mai exigent.

Informarea de supraveghere a ESMA privind autorizarea CASP-urilor, deși nu este obligatorie, indică în mod clar modul în care se așteaptă ca autoritățile naționale de supraveghere să interpreteze aceste cerințe în practică.

Discrepanța dintre textul legal și așteptările de supraveghere este punctul în care multe cereri de autorizare întâmpină dificultăți.

Personal: cine conduce efectiv această entitate

Pragul minim prevăzut de MiCA este de un director rezident în UE. Orientările de supraveghere ridică această barieră.

Notificarea ESMA prevede cel puțin doi directori executivi care să supravegheze în comun operațiunile zilnice. Raționamentul este simplu: un singur director executiv creează un risc de concentrare și elimină controalele interne necesare unei structuri de guvernanță funcționale. Doi directori executivi cu responsabilități definite și care se suprapun reprezintă standardul de bază așteptat.

Rezidența nu este suficientă în sine. Ghidul indică faptul că, în cazul în care un membru al organismului de conducere nu este rezident în jurisdicția autorității naționale de supraveghere (NCA), acea persoană ar trebui să fie capabilă să participe la întâlniri în persoană la cererea autorității în termen de două zile lucrătoare.

Pentru jurisdicțiile în care proximitatea fizică față de autoritatea de supraveghere contează din punct de vedere operațional, aceasta reprezintă o constrângere practică privind distanța la care un director se poate afla efectiv față de jurisdicția de origine.

Timpul dedicat este tratat cu aceeași seriozitate. Poziția ESMA, astfel cum este exprimată în Informarea de supraveghere privind autorizarea CASP-urilor, este că membrii consiliului de administrație executiv ar trebui, în general, să dedice 100% din timpul lor profesional rolului de CASP. Dubla funcție, în care aceeași persoană îndeplinește funcții executive în mai multe entități, este permisă numai în circumstanțe limitate. Un director care își împarte atenția între CASP și o altă companie din grup este susceptibil să atragă o examinare atentă în timpul evaluării de adecvare și integritate.

Liniile ierarhice sunt la fel de importante ca profilurile individuale. Organul de conducere trebuie să demonstreze că controlul strategic și operațional se află în cadrul entității din UE, nu la o societate-mamă dintr-o țară terță care ia deciziile reale și emite instrucțiuni către nivelurile inferioare.

O filială din UE ai cărei directori executivi funcționează ca agenți de implementare pentru un sediu central din afara UE nu este, din punct de vedere al supravegherii, o entitate cu o conducere autentică din UE.

Dimensiunea AML întărește acest lucru. Persoana responsabilă cu depunerea rapoartelor privind activitățile suspecte (MLRO) trebuie să fie prezentă fizic, să dețină autoritate reală în cadrul entității și să poată interacționa direct cu Unitatea de Informații Financiare locală. Această cerință reflectă o tendință globală mai largă: FATF și Cadrul de raportare a activelor criptografice (CARF) al OCDE funcționează pe aceeași logică, extinzând cerințele de substanță și transparență dincolo de UE.

Cerințele MiCA privind personalul și CARF nu sunt evoluții fără legătură; ele reflectă un standard internațional convergent privind modul în care trebuie să arate din interior o entitate criptografică reglementată.

Standardul de adecvare colectivă din articolul 68 alineatul (1) impune ca organul de conducere să dețină cunoștințe, competențe și experiență adecvate, atât la nivel individual, cât și colectiv. Așa cum s-a arătat în episodul anterior al acestei serii, standardul respectiv acoperă reglementarea piețelor financiare tradiționale, infrastructura DLT și securitatea cibernetică, precum și guvernanța organizațională. Fiecare dintre aceste domenii trebuie să fie reprezentat în cadrul echipei.

O echipă alcătuită în întregime din persoane cu experiență exclusiv în domeniul criptomonedelor, fără experiență în serviciile financiare reglementate, sau una cu experiență profundă în finanțele tradiționale, dar fără capacitatea de a evalua riscul on-chain, prezintă lacune structurale pe care procesul de evaluare le va scoate la iveală.

Tehnologie: control, nu doar găzduire

DORA (Regulamentul (UE) 2022/2554) se aplică direct CASP-urilor și stabilește cadrul pentru cerințele de reziliență TIC. Întrebarea pe care autoritățile de reglementare o pun cu privire la tehnologie nu este ce infrastructură utilizează o firmă. Întrebarea este cine o controlează.

Infrastructura cloud găzduită de AWS, Azure sau furnizori similari este acceptabilă în conformitate cu practica de supraveghere actuală. Problema apare atunci când entitatea autorizată în UE nu deține un control administrativ semnificativ asupra sistemelor de care depinde.
Dacă gestionarea cheilor de criptare revine echipei IT globale a unei societăți-mamă, dacă drepturile de acces la datele clienților sunt administrate din afara UE sau dacă planul de recuperare în caz de dezastru depinde de aprobările unui sediu central dintr-o țară terță, entitatea din UE nu poate demonstra o independență operațională autentică.

Poziția ESMA, așa cum se reflectă în materialele sale de consultare, este că echipa de management din UE trebuie să dețină controlul efectiv asupra infrastructurii TIC relevante pentru operațiunile CASP. Politica de continuitate a activității și planurile de recuperare în caz de dezastru prevăzute la articolul 68 alineatul (7) trebuie să fie deținute și executabile de către entitatea din UE, fără a depinde de o funcție globală care poate sau nu să răspundă în cazul unei crize.

Testul practic este clar: dacă echipa globală de IT a societății-mamă ar deveni indisponibilă peste noapte, ar putea entitatea din UE să continue să funcționeze, să acceseze fondurile clienților și să returneze activele clienților? Dacă răspunsul este nu, sau nu fără o escaladare semnificativă către personalul din afara UE, problema de fond nu a fost rezolvată.

Cerințele de conformitate cu RGPD și de guvernanță a datelor se adaugă la cadrul DORA. Acordurile de prelucrare a datelor, relațiile dintre operator și persoana împuternicită de operator și considerentele privind rezidența datelor fac toate parte din arhitectura tehnică pe care autoritățile de reglementare o vor examina.

Financiar: Capital care funcționează cu adevărat

Articolul 67 stabilește garanțiile prudențiale minime. Nivelurile de capital sunt definite în funcție de clasa de servicii:

Valoarea capitalului minim reprezintă punctul de plecare, nu plafonul. Garanțiile prudențiale trebuie să fie egale cu valoarea cea mai mare dintre capitalul minim permanent și un sfert din cheltuielile fixe ale anului precedent.

Pe măsură ce un CASP se dezvoltă și cheltuielile sale fixe cresc, această a doua condiție devine constrângerea obligatorie. Atunci când cheltuielile fixe depășesc de patru ori capitalul inițial vărsat, firma trebuie să treacă la cadrul bazat pe cheltuieli fixe. Acest punct de inflexiune survine mai repede decât anticipează mulți operatori, iar autoritățile de reglementare se așteaptă la o monitorizare proactivă, mai degrabă decât la o ajustare reactivă.
Un aspect structural demn de menționat: capitalul trebuie depus într-un cont deschis la o instituție de credit oficială.
Un cont la un institut monetar european (EMI) sau la un furnizor de servicii de plată nu îndeplinește această cerință. Stabilirea unei relații bancare ca afacere în domeniul criptomonedelor necesită timp și nu este garantată. Începerea acestui proces din timp, înainte de depunerea oficială a cererii, nu este opțională. Este o constrângere de secvențialitate care afectează întregul calendar de autorizare.

Cerința ca situațiile financiare utilizate în calculul cheltuielilor generale fixe să fie auditate sau validate în mod corespunzător de autoritățile naționale de reglementare adaugă o dimensiune administrativă suplimentară. Entitățile nou înființate care își prognozează cheltuielile generale pentru primele douăsprezece luni trebuie să includă aceste prognoze în cererea de autorizare, cu metodologia clar documentată.

Externalizarea și pragul de substanță

Articolul 73 permite CASP-urilor să externalizeze funcții operaționale către terți. Constrângerea este că externalizarea nu poate goli de conținut entitatea autorizată. Responsabilitatea rămâne la CASP; delegarea nu transferă răspunderea.

Informarea de supraveghere a ESMA privind autorizarea CASP-urilor identifică procentul din costurile totale atribuibile funcțiilor situate în afara UE ca un indicator practic al faptului dacă externalizarea a mers prea departe. Un CASP a cărui majoritate a cheltuielilor operaționale se îndreaptă către furnizori de servicii din afara UE, chiar și cei bine gestionați și cu reputație bună, se poate confrunta cu întrebări cu privire la faptul dacă entitatea din UE are capacitate internă suficientă pentru a se califica ca un furnizor de servicii autentic, mai degrabă decât un simplu canal.

Distincția pe care o face autoritatea de reglementare este între CASP-urile care externalizează funcții specifice, păstrând în același timp controlul, și CASP-urile care externalizează tot ceea ce este esențial, păstrând doar forma juridică. Cel din urmă este o simplă fațadă, indiferent de modul în care este descrisă înțelegerea în cerere.

Variații jurisdicționale: aceeași lege, practici diferite

MiCA se aplică direct în toate statele membre ale UE. Cerințele de fond sunt uniforme. Practica de supraveghere nu este.

Cipru, prin CySEC, a cerut în mod explicit ca majoritatea membrilor consiliului de administrație al unui CASP să fie rezidenți fizici în Cipru. Pentru un consiliu format din doi directori executivi și doi directori neexecutivi, aceasta înseamnă un minim de trei directori rezidenți în Cipru. Aceasta depășește cerințele textului MiCA și reflectă directivele naționale AML care se suprapun peste cadrul armonizat al UE.
Estonia prezintă o dinamică diferită. În cadrul regimului anterior de înregistrare a VASP administrat de Unitatea de Informații Financiare, Estonia a devenit una dintre cele mai accesibile jurisdicții de licențiere din Europa. Tranziția la MiCA a transferat responsabilitatea de supraveghere către Autoritatea Estoniană de Supraveghere Financiară și Rezoluție, ceea ce aduce o abordare instituțională diferită în ceea ce privește revizuirea și supravegherea continuă.

Situația legislativă a Poloniei, abordată în articolele anterioare din această serie, a creat un decalaj structural, întrucât legea națională de punere în aplicare a MiCA nu a fost încă adoptată, lăsând KNF fără desemnarea oficială ca autoritate competentă și deținătorii de VASP fără o cale viabilă de solicitare a CASP la nivel național.

Aceste variații nu sunt lacune sau ciudățenii administrative. Ele reflectă realitatea că un cadru juridic armonizat funcționează în continuare prin intermediul culturilor naționale de supraveghere, al constrângerilor de personal și al istoriilor instituționale. Alegerea unei jurisdicții pentru autorizarea CASP înseamnă alegerea unei autorități de reglementare, cu toate implicațiile practice pe care acest lucru le presupune.

Ce presupune de fapt „stabilirea efectivă”

Luate împreună, cerințele de substanță prevăzute de MiCA reflectă mai degrabă o filosofie de supraveghere decât o listă de verificare. Autoritatea de reglementare dorește să aibă certitudinea că, dacă ceva nu merge bine, dispune de căi de atac semnificative.

Aceasta înseamnă că conducerea executivă este fizic accesibilă și responsabilă din punct de vedere legal în conformitate cu legislația UE. Înseamnă sisteme TIC controlabile de entitatea din UE, fără a depinde de lanțuri de autorizare din afara UE. Înseamnă capital care este cu adevărat disponibil și dimensionat în funcție de riscul operațional real.

Și înseamnă o guvernanță în care entitatea din UE ia decizii reale, mai degrabă decât să pună în aplicare instrucțiuni emise din altă parte.

Firmele care abordează acest lucru ca pe un exercițiu de documentare tind să considere procesul mai dificil decât se așteptau. Firmele care construiesc mai întâi substanța și documentează apoi ceea ce au construit tind să considere procesul mai simplu. Cererea nu creează organizația. Ea descrie una care ar trebui să existe deja în mare parte.

Surse:

• Informare de supraveghere a ESMA privind autorizarea CASP
• Documentul de consultare al ESMA privind MiCA, al doilea pachet
• Regulamentul MiCA al MFSA

Acest articol se bazează pe un studiu realizat de LegalBison în mai 2026. Conținutul are doar scop informativ și nu constituie consultanță juridică.