O organigramă cu denumirile potrivite ale posturilor nu vă va asigura obținerea licenței. Ceea ce caută autoritatea de reglementare este o arhitectură de conformitate: independență documentată, expertiză colectivă în trei domenii distincte de cunoaștere și o substanță instituțională reală. Așa funcționează acest standard în practică.
MiCA pe înțelesul tuturor: De ce autoritatea de reglementare consideră echipa ta de conformitate ca fiind un singur organism
SCRIS DE
DISTRIBUIE
MiCA Decoded este o serie săptămânală de 12 articole pentru Bitcoin.com News, scrisă în colaborare de cofondatorii și directorii generali ai LegalBison: Aaron Glauberman, Viktor Juskin și Sabir Alijev. LegalBison oferă consultanță companiilor din domeniul criptomonedelor și FinTech cu privire la licențierea MiCA, cererile CASP și VASP, precum și structurarea reglementării în Europa și în afara acesteia.
Mitul: externalizarea unui responsabil cu conformitatea este suficientă
Când fondatorii încep să planifice autorizarea furnizorilor de servicii de cripto-active (CASP), conversația ajunge aproape întotdeauna la același moment: „Deci, trebuie să angajăm un responsabil de conformitate?”
Uneori, întrebarea este urmată de o altă întrebare: „Și un responsabil cu raportarea spălării banilor (MLRO)? Asta e tot?”
Răspunsul la ambele întrebări este da. Dar a trata aceste două numiri ca pe o linie de sosire este cea mai comună și mai gravă interpretare eronată a ceea ce MiCA cere de fapt de la o funcție de conformitate.
Autoritățile de reglementare nu verifică dacă organigrama conține funcțiile potrivite. Ele evaluează dacă organismul de conducere, ca unitate de ansamblu, dispune de arhitectura de cunoștințe, de independența structurală și de profunzimea operațională documentată necesare pentru a conduce o instituție financiară reglementată. O licență MiCA nu se eliberează unei persoane. Se eliberează unui organism.
Această distincție stă la baza motivului pentru care atât de multe cereri aflate în stadiu incipient se blochează sau necesită modificări semnificative înainte ca o Autoritate Națională Competentă (NCA) să acorde autorizația.
Ce înseamnă de fapt „colectiv” în regulament
Articolul 68 alineatul (1) din MiCA este precis în această privință. Membrii organismului de conducere trebuie să dețină cunoștințele, competențele și experiența adecvate „atât individual, cât și colectiv”. Acest singur cuvânt, „colectiv”, are o importanță semnificativă din punct de vedere normativ.
Orientările comune ale ABE și AEVM privind adecvarea membrilor organului de conducere și a acționarilor pentru entitățile care intră sub incidența MiCA explicitează mecanismele acestui standard, enumerând domeniile specifice de experiență profesională pe care organul de conducere trebuie să le dețină. Eira Järvi, avocat senior la LegalBison, a prezentat cerințele specifice în tabelul de mai jos.
| Categoria cerințelor | Descriere detaliată |
| Reglementarea piețelor financiare | Înțelegerea instrumentelor financiare și a instrumentelor financiare DLT, inclusiv cerințele de reglementare prevăzute de SIBA și de alte legi aplicabile |
| Conformitate AML/CTF | Cunoașterea cerințelor AML/CTF, inclusiv identificarea riscurilor, evaluarea și strategiile de atenuare |
| Active virtuale | Cunoașterea tipurilor de active virtuale, inclusiv token-urile referențiate la active și cele de tip monedă electronică, precum și a riscurilor asociate fiecăruia |
| Protecția datelor | Înțelegerea obligațiilor privind protecția datelor relevante pentru operațiunile companiei |
| Gestionarea riscurilor | Înțelegerea principiilor și procedurilor de gestionare a riscurilor, inclusiv a riscurilor de piață, de credit și de lichiditate |
| Guvernanță și controale interne | Capacitatea de a evalua eficacitatea măsurilor de guvernanță, a mecanismelor de supraveghere și a controalelor interne |
| Reziliența operațională digitală | Cunoașterea cerințelor legate de reziliența operațională |
| Cunoștințe strategice și manageriale | Experiență în planificare strategică, dezvoltarea afacerilor și implementarea obiectivelor de afaceri |
| Gestionarea terților | Înțelegerea acordurilor de externalizare, a gestionării furnizorilor terți și a cerințelor de reglementare asociate |
| Comunicare și supraveghere | Capacitatea de a prezenta opinii, de a discuta strategii și, acolo unde este cazul, de a contesta deciziile conducerii pentru a asigura o supraveghere eficientă |
| Contabilitate și audit | Capacitatea de a interpreta informațiile financiare, de a identifica problemele cheie și de a înțelege standardele relevante de contabilitate și audit |
| Cunoștințe juridice și de reglementare | Cunoașterea cerințelor legale aplicabile VASP-urilor, inclusiv emiterea și gestionarea activelor virtuale |
Atunci când analizați liniile directoare ale ESMA, devine clar că profilul combinat al organismului de conducere trebuie să acopere în mod demonstrabil trei domenii de cunoștințe de bază, care includ toate cele detaliate de Eira:
- Piețele financiare tradiționale: cadrele de reglementare, obligațiile de protecție a investitorilor, regulile de conduită pe piață și standardele operaționale care se aplică furnizorilor de servicii financiare autorizați.
- Infrastructura tehnologiei registrelor digitale (DLT) și securitatea cibernetică: arhitectura blockchain, riscul la nivel de protocol, expunerea la contractele inteligente, modelarea amenințărilor la adresa securității cibernetice și vulnerabilitățile operaționale specifice care decurg din furnizarea de servicii în lanț.
- Strategia de afaceri și guvernanța organizațională: proiectarea managementului riscurilor, arhitectura controlului intern, politica de guvernanță și capacitatea de a evalua și revizui periodic eficacitatea conformității firmei.
Autoritatea de reglementare nu se așteaptă ca o singură persoană să acopere toate cele trei domenii. Așteptarea, formalizată prin cerința ESMA ca firmele să prezinte o evaluare a „adecvării colective”, este ca echipa, în ansamblu, să le acopere pe toate fără lacune semnificative.
Un organism de conducere format în întregime din persoane cu experiență în domeniul financiar tradițional, fără nimeni capabil să evalueze riscul infrastructurii DLT, este structural incomplet înainte de depunerea cererii.
Același lucru se aplică și în sens invers: o echipă cu cunoștințe tehnice aprofundate în domeniul criptomonedelor, dar fără nimeni care să înțeleagă conduita piețelor financiare reglementate, se va confrunta cu aceeași examinare amănunțită.
Problema angajamentului de timp despre care nimeni nu vorbește
Există un al doilea aspect al standardului de adecvare colectivă care îi ia pe solicitanți prin surprindere.
Persoanele potrivite trebuie să existe în practică, nu doar pe hârtie. Fiecare membru al organismului de conducere trebuie să documenteze, în scris, timpul minim pe care îl dedică firmei: mai precis, o estimare a timpului dedicat rolului (cu indicații atât anuale, cât și lunare), alături de o declarație formală a tuturor celorlalte funcții de director executiv și neexecutiv deținute în prezent.
Proiectul de standarde tehnice de reglementare al ESMA privind autorizarea (preluat din primul pachet de consultare) este explicit în această privință. Evaluarea vizează dacă fiecare persoană este prezentă din punct de vedere funcțional, nu doar menționată nominal.
Un director neexecutiv care deține alte patru funcții în consilii de administrație și are o relație de consultanță în materie de conformitate cu alte două firme va fi supus unei examinări directe. Autoritatea națională de supraveghere trebuie să se asigure că organul de conducere își poate îndeplini efectiv atribuțiile, nu doar că numele potrivite apar în cerere.
Acest aspect este cel mai important pentru firmele de criptomonede aflate în faza incipientă, care angajează persoane cu experiență în conformitate în regim part-time sau în calitate de consultanți pentru a consolida o cerere de autorizare. Autoritatea de reglementare va vedea exact câte ore pe lună dedică acea persoană și va compara această cifră cu sfera rolului și a serviciilor pe care firma intenționează să le furnizeze.
O neconcordanță între responsabilitate și timpul dedicat este un semnal de alarmă, nu o chestiune de natură tehnică.
Funcțiile de control intern: structura înaintea titlurilor
Înțelegerea adecvării colective la nivelul organismului de conducere este doar o parte a imaginii. Articolul 68 alineatul (4) din MiCA impune CASP-urilor să adopte politici și proceduri „suficient de eficiente pentru a asigura conformitatea”. Articolul 68 alineatul (5) impune ca personalul să dețină cunoștințe adecvate la fiecare nivel al firmei. Articolul 68 alineatul (6) impune organismului de conducere să revizuiască periodic eficacitatea acestor aranjamente și să remedieze orice deficiențe constatate.
Proiectul de RTS al ESMA merge mai departe. Acesta impune firmelor să identifice funcții specifice de control intern și să documenteze, pentru fiecare dintre acestea:
- Linia ierarhică care duce direct la organul de conducere.
- Modul în care funcția operează independent de domeniul de activitate pe care îl supraveghează.
- Modul în care funcția poate accesa organul de conducere în mod programat și în situații de urgență (ad hoc) atunci când este detectat un risc semnificativ de conformitate.
Cele trei domenii funcționale care constituie nucleul acestui cadru de control intern sunt:
- Funcția de conformitate (obligații de reglementare, politici de conduită, proceduri interne).
- Funcția de evaluare a riscurilor (identificarea riscurilor, metodologia de evaluare, protocoale de escaladare).
- Funcția de audit intern (revizuire independentă a eficacității, evaluare periodică).
Notă: Funcția AML/CFT și funcția de continuitate a activității sunt, de asemenea, piloni obligatorii ai cererii de autorizare, dar ESMA le tratează ca cerințe organizaționale distincte, alături de acest cadru de control intern de bază.
MiCA nu atribuie întotdeauna aceste denumiri precise în textul de nivel 1. RTS-urile ESMA precizează clar că aceste domenii de control intern de bază trebuie să aibă responsabili desemnați, sfere de responsabilitate documentate și independență structurală verificată.
Acest ultim punct este locul în care multe cereri dezvăluie o deficiență structurală.
O funcție de conformitate care raportează directorului operațional, care gestionează și veniturile și dezvoltarea afacerii, nu este independentă în sensul reglementării. Nici o funcție de risc integrată în cadrul departamentului de tranzacționare, care raportează în sus prin aceeași ierarhie ca și departamentul pe care ar trebui să îl monitorizeze, nu îndeplinește standardul.
Autoritatea de reglementare va solicita organigrama. Apoi va întreba cui raportează, în practică, șeful departamentului de conformitate, care sunt celelalte responsabilități ale acelei persoane și ce drepturi de escaladare deține atunci când este identificat un risc grav de conformitate.
Construirea unei cereri de licență CASP în jurul unei structuri de independență reală necesită ca arhitectura să fie proiectată înainte de redactarea cererii, nu adaptată ulterior.
Substanță fizică: problema directorului nominal
Cererea de autorizare trebuie să documenteze un loc fizic de gestionare efectivă în interiorul UE. Aceasta înseamnă adresa sediului central, locațiile sucursalelor, dacă este cazul, și zona geografică reală de luare a deciziilor a firmei.
- Cel puțin un director care exercită autoritate reală trebuie să fie rezident în Uniune și accesibil autorității naționale competente (NCA) din statul membru de origine.
- O adresă înregistrată într-o jurisdicție a UE, susținută de un acord cu un director nominal, nu îndeplinește acest standard.
- Cerința de substanță înseamnă că puterea de decizie umană trebuie să se afle efectiv în interiorul Uniunii.
Autoritățile naționale de supraveghere evaluează acest aspect prin intermediul câmpurilor de localizare din cererea RTS și prin informațiile privind timpul dedicat de fiecare membru al organismului de conducere.
Un director care este prezent fizic în UE timp de două săptămâni pe trimestru nu se califică ca director rezident în niciun sens regulamentar semnificativ.
Acesta este un aspect important în special pentru firmele care operează din sediul central global din afara UE și care urmăresc obținerea unei licențe pentru criptomonede în Europa. Entitatea cu sediul în UE trebuie să funcționeze ca o unitate reală de luare a deciziilor, nu ca o fațadă administrativă pentru o structură de grup care operează din altă parte.
Continuitatea activității ține de echipa de conformitate
Continuitatea activității este considerată pe scară largă o responsabilitate a departamentului IT. În conformitate cu MiCA și cu Legea privind reziliența operațională digitală (DORA), această abordare este incorectă pentru orice CASP autorizat.
Politica de continuitate a activității trebuie să fie deținută, aprobată și menținută de organul de conducere. DORA (Regulamentul UE 2022/2554) reglementează elementele specifice tehnologiei informației și comunicațiilor, iar CASP-urile intră în sfera de aplicare a DORA ca entități financiare. Cele două cadre funcționează simultan, iar funcția de conformitate trebuie să fie capabilă să le gestioneze pe amândouă în același timp.
Al doilea document de consultare MiCA al ESMA a introdus o obligație specifică pentru firmele care operează pe tehnologia registrelor distribuite fără permisiune (blockchain-uri publice, cum ar fi Ethereum): comunicarea proactivă și structurată cu clienții în timpul oricărei întreruperi a serviciului la nivel de DLT.
Firma trebuie să informeze clienții cu privire la eventualele riscuri la care sunt expuse fondurile acestora și să ofere o imagine clară a modului în care este gestionată reluarea serviciului. Firma rămâne pe deplin răspunzătoare pentru orice pierderi rezultate din propriile contracte inteligente, indiferent dacă blockchain-ul subiacent este fără autorizare.
Aceasta nu este o politică standard privind întreruperile IT. Asumarea acestei obligații în mod semnificativ impune organismului de conducere să înțeleagă riscul infrastructurii DLT la un nivel care depășește cu mult cunoștințele tehnice generale.
Echipa de conformitate care poate descrie riscul blockchain doar în termeni generali nu va fi în măsură să elaboreze, să revizuiască sau să mențină o politică de continuitate a activității care să satisfacă cerințele de reglementare.
Standardele de date ca capacitate de conformitate
Responsabilitățile funcției de conformitate se extind la arhitectura datelor. CASP-urile care operează platforme de tranzacționare trebuie să utilizeze standardul Digital Token Identifier (DTI) pentru toate înregistrările și raportările către autoritățile naționale de supraveghere (NCA). DTI identifică în mod unic fiecare cripto-activ și îl leagă de DLT-ul specific pe care este emis, tranzacționat sau decontat. Acest lucru permite autorităților de reglementare să efectueze supraveghere transfrontalieră cu date consistente și comparabile.
Standardele de mesagerie ISO 20022 reglementează formatul datelor tranzacționale transmise autorităților. Datele privind transparența pre- și post-tranzacționare trebuie divulgate prin canale publice nediscriminatorii și lizibile de mașini, pentru a preveni abuzul de piață. Fiecare dintre aceste cerințe are o dimensiune tehnică pe care echipa de conformitate trebuie să o stăpânească, fără a o delega orbește departamentului IT.
O firmă care tratează păstrarea evidențelor ca pe o sarcină generală de administrare a sistemului, fără supravegherea conformității cu standardele specifice de date cerute de RTS, se va confrunta cu probleme de supraveghere după autorizare.
Standardele există tocmai pentru ca autoritățile naționale competente (NCA) să poată compara înregistrările de la sute de CASP într-o singură analiză. O firmă care nu poate produce date în formatul cerut este o firmă care nu poate demonstra conformitatea continuă.
Acesta este sensul practic al standardului „creier unic”. Echipa de conformitate integrează cunoștințele privind reglementările, structura de guvernanță, cunoștințele operaționale privind DLT și competențele tehnice în materie de date într-o singură capacitate funcțională. Niciunul dintre aceste elemente nu poate fi externalizat în totalitate către o altă funcție.
Construirea echipei înainte de construirea cererii
Cererea de autorizare pentru o licență CASP MiCA documentează o instituție care există deja. Acesta este modelul mental care separă firmele care parcurg procesul în mod eficient de cele care se împotmolesc.
Firmele care urmăresc obținerea unei licențe pentru schimburi de criptomonede, a unei autorizații de custodie a activelor digitale sau a oricărei alte licențe CASP în Europa trebuie să abordeze arhitectura echipei ca pe primul rezultat, nu ca pe ceva care se conturează pe măsură ce cererea este redactată.
Funcția de conformitate trebuie să fie independentă din punct de vedere structural înainte de redactarea primului document. Acoperirea cunoștințelor colective ale organismului de conducere trebuie evaluată, iar eventualele lacune trebuie remediate înainte de începerea evaluării de către autoritatea națională de reglementare (NCA). Declarațiile privind timpul dedicat trebuie să fie realiste înainte de a fi depuse.
Aceeași logică se aplică la nivel global. Firmele care solicită o licență VASP în jurisdicții din afara UE se confruntă din ce în ce mai des cu standarde paralele: autoritățile de reglementare din Orientul Mijlociu, Asia-Pacific și America converg către cerințe similare de substanță în detrimentul formei pentru proiectarea funcției de conformitate.
Standardul UE, care este cel mai detaliat și specific din punct de vedere tehnic în vigoare în prezent, este un punct de referință util pentru orice echipă care se pregătește să obțină statutul de entitate reglementată în orice jurisdicție majoră.
„Noi suntem DeFi, așa că MiCA nu se aplică în cazul nostru.” Ne pare rău, dar ABE și AEVM au o altă părere
MiCA pune sub semnul întrebării afirmațiile privind descentralizarea DeFi, în contextul în care autoritățile de reglementare evaluează normele privind controlul, guvernanța și conformitatea. read more.
Citește acum
„Noi suntem DeFi, așa că MiCA nu se aplică în cazul nostru.” Ne pare rău, dar ABE și AEVM au o altă părere
MiCA pune sub semnul întrebării afirmațiile privind descentralizarea DeFi, în contextul în care autoritățile de reglementare evaluează normele privind controlul, guvernanța și conformitatea. read more.
Citește acum„Noi suntem DeFi, așa că MiCA nu se aplică în cazul nostru.” Ne pare rău, dar ABE și AEVM au o altă părere
Citește acumMiCA pune sub semnul întrebării afirmațiile privind descentralizarea DeFi, în contextul în care autoritățile de reglementare evaluează normele privind controlul, guvernanța și conformitatea. read more.
Concluzie cheie
Mitul: Numirea unui responsabil de conformitate și a unui MLRO îndeplinește obligațiile de conformitate ale MiCA.
Realitatea: MiCA necesită un organism de conformitate funcțional, nu o listă de funcții.
Trei aspecte determină dacă un organism de conducere îndeplinește standardul:
Acoperirea colectivă a cunoștințelor. Echipa, considerată ca o unitate, trebuie să acopere expertiza tradițională în piețele financiare, competențele în domeniul DLT și al securității cibernetice, precum și capacitatea de guvernanță organizațională. Lacunele din orice domeniu reprezintă deficiențe structurale, nu preferințe de profil.
Independență structurală documentată. Funcțiile esențiale de control intern (conformitate, evaluarea riscurilor și auditul intern) trebuie să aibă un responsabil desemnat, o linie de raportare directă către organismul de conducere și o independență verificată față de domeniul de activitate pe care îl supraveghează. (Notă: AML/CFT și continuitatea activității sunt la fel de obligatorii, dar tratate ca piloni organizaționali distincți). O organigramă care direcționează conformitatea printr-o funcție generatoare de venituri nu va trece de examinarea autorității naționale de supraveghere.
Substanță instituțională reală. Angajamentele de timp trebuie să fie autentice și documentate. Prezența fizică în UE trebuie să reflecte ponderea reală în procesul decizional, nu o adresă de înregistrare. Politica de continuitate a activității trebuie să fie asumată la nivelul organului de conducere. Raportarea datelor trebuie să respecte standardele DTI și ISO 20022 încă din prima zi.
Cererea de licență CASP este rezultatul final. Arhitectura de conformitate este fundamentul. Construiți mai întâi fundamentul.
Acest articol se bazează pe un studiu realizat de LegalBison în aprilie 2026. Conținutul are doar scop informativ și nu constituie consultanță juridică.
