MiCA razloženo: »Imamo pisarno v EU« ni dovolj: to je tisto, kar regulativni organi dejansko želijo videti

MiCA Decoded je tedenska serija 12 člankov za Bitcoin.com News, ki so jo skupaj napisali soustanovitelji in direktorji podjetja LegalBison: Aaron Glauberman, Viktor Juskin in Sabir Alijev. LegalBison svetuje podjetjem s področja kriptovalut in finančnih tehnologij glede licenciranja MiCA, vlog za CASP in VASP ter regulativne strukture po Evropi in zunaj nje.

Ta teden je prispevek napisal Krystian Lapka, odvetnik pri podjetju LegalBison. Krystian je specializiran za čezmejne korporativne in komercialne transakcije ter strateško upravljanje tveganj na stičišču civilnega in običajnega prava.

---

Večina ustanoviteljev, ki se lotevajo svoje prve vloge za CASP, vsaj abstraktno razume, da MiCA zahteva dejansko prisotnost v EU. Podcenjujejo pa, kako regulator opredeljuje pojem »dejanska«.

Tipična ureditev v zgodnji fazi na papirju izgleda koherentno: sedež v ugodni jurisdikciji EU, direktor, imenovan v dokumentih o upravljanju, IKT-sistemi, ki so gostovani v oblaku ali upravljani iz globalne infrastrukture skupine, ter vplačani kapital na novo odprtem bančnem računu.
Znotraj se to zdi kot podjetje EU. Z vidika nacionalnega pristojnega organa pa lahko izgleda kot poštni predal z dodanim direktorjem.

Ta članek prikazuje, kaj dejansko zahtevajo zahteve MiCA glede vsebine na področju kadrov, tehnologije in finančne odpornosti, ter pojasnjuje, zakaj regulatorji vsako kategorijo obravnavajo kot funkcionalni test in ne kot zgolj dokumentacijsko vajo.

Skrb, ki vse to poganjata, je ista: preprečevanje poštnih predalov, subjektov, ki obstajajo na papirju v ugodni jurisdikciji, vendar nimajo nobene pomembne gospodarske dejavnosti, človeškega kapitala ali operativne zmogljivosti znotraj nje.

Mit: prisotnost je enaka vsebini

Regulativna logika je tu starejša od MiCA. V prelomni sodbi Cadbury Schweppes (zadeva C-196/04) je Sodišče Evropske unije ugotovilo, da se svoboda ustanavljanja ne sme uporabljati za ustvarjanje »povsem umetnih ureditev«, ki nimajo resnične gospodarske dejavnosti. MiCA to načelo neposredno kodificira v uredbo o kriptoaktivnih sredstvih.

Člen 59(2) MiCA določa, da morajo imeti pooblaščeni CASP sedež v državi članici, v kateri opravljajo vsaj del svojih storitev s kriptosredstvi, morajo imeti kraj dejanskega upravljanja znotraj Unije in morajo imeti vsaj enega direktorja s stalnim prebivališčem v Uniji. Določba je kratka. Tisto, kar se skriva za njo, je precej bolj zahtevno.

Nadzorni pregled ESMA o pooblastitvi CASP-ov, čeprav ni zavezujoč, jasno nakazuje, kako naj nacionalni pristojni organi v praksi razlagajo te zahteve.

Razlika med zakonskim besedilom in nadzornimi pričakovanji je tista točka, kjer mnoge vloge naletijo na težave.

Osebje: Kdo dejansko vodi to podjetje

Minimalni prag v skladu z MiCA je en direktor s stalnim prebivališčem v EU. Nadzorna navodila dvigujejo to letvico.

Navodila ESMA predvidevajo vsaj dva višja vodstvena delavca, ki skupaj nadzorujeta vsakodnevno poslovanje. Utemeljitev je preprosta: en sam vodstveni delavec ustvarja tveganje koncentracije in onemogoča notranje kontrole, ki jih zahteva delujoča struktura upravljanja. Dva vodstvena delavca z opredeljenimi, prekrivajočimi se odgovornostmi sta pričakovana osnovna merila.

Samo prebivališče ni dovolj. Smernice navajajo, da mora član upravnega organa, ki nima prebivališča v pristojnosti nacionalnega nadzornega organa, biti sposoben na zahtevo organa v dveh delovnih dneh osebno prisostvovati sestankom.

Za jurisdikcije, kjer je fizična bližina nadzorniku operativno pomembna, je to praktična omejitev glede tega, kako daleč od matične jurisdikcije se lahko direktor dejansko nahaja.

Časovna zavezanost se obravnava enako resno. Stališče ESMA, kot je izraženo v njenem nadzornem poročilu o odobritvi CASP, je, da morajo člani izvršilnega upravnega odbora na splošno posvetiti 100 % svojega delovnega časa vlogi CASP. Dvojna vloga, pri kateri ista oseba opravlja izvršilne funkcije v več subjektih, je dovoljena le v omejenih okoliščinah. Izvršilni direktor, ki svojo pozornost deli med CASP in drugo družbo v skupini, bo verjetno pod drobnogledom med ocenjevanjem primernosti in ustreznosti.

Poročevalne linije so enako pomembne kot posamezni profili. Upravni organ mora dokazati, da strateški in operativni nadzor leži znotraj subjekta v EU, ne pa pri matični družbi v tretji državi, ki sprejema dejanske odločitve in izdaja navodila navzdol.

Hčerinska družba v EU, katere vodstveni delavci funkcionalno delujejo kot izvajalci za sedež zunaj EU, v nadzornem smislu ni subjekt s pravim upravljanjem v EU.

To še dodatno poudarja vidik preprečevanja pranja denarja. Oseba, odgovorna za vlaganje poročil o sumljivih dejavnostih (MLRO), mora biti fizično prisotna, imeti dejansko pooblastilo znotraj subjekta in biti sposobna neposredno sodelovati z lokalno enoto za finančni nadzor. Ta zahteva odraža širši globalni trend: FATF in Okvir za poročanje o kriptoaktivnih sredstvih (CARF) OECD delujeta po isti logiki, pri čemer zahteve glede vsebine in preglednosti razširjata tudi zunaj EU.

Zahteve MiCA glede osebja in CARF niso nepovezani razvojni dogodki; odražajo zbližujoč se mednarodni standard za to, kako mora regulirani subjekt s področja kriptovalut izgledati od znotraj.

Skupni standard primernosti iz člena 68(1) zahteva, da upravni organ razpolaga z ustreznim znanjem, spretnostmi in izkušnjami tako posamezno kot skupaj. Kot je bilo obravnavano v prejšnjem delu te serije, ta standard zajema regulacijo tradicionalnih finančnih trgov, infrastrukturo DLT in kibernetsko varnost ter organizacijsko upravljanje. Vsako od teh področij mora biti zastopano v upravnem organu.

Ekipa, sestavljena izključno iz strokovnjakov s področja kriptovalut brez izkušenj z reguliranimi finančnimi storitvami, ali ekipa z bogatimi izkušnjami s tradicionalnimi finančnimi storitvami, a brez sposobnosti za oceno tveganj v verigi, ima strukturne vrzeli, ki jih bo ocenjevalni postopek razkril.

Tehnologija: nadzor, ne le gostovanje

Uredba DORA (Uredba (EU) 2022/2554) se neposredno nanaša na CASP in določa okvir za zahteve glede odpornosti IKT. Vprašanje, ki ga regulatorji postavljajo v zvezi s tehnologijo, ni, katero infrastrukturo podjetje uporablja. Vprašanje je, kdo jo nadzira.

Oblakova infrastruktura, ki jo gostijo AWS, Azure ali podobni ponudniki, je v skladu s trenutno nadzorno prakso sprejemljiva. Problem nastane, ko subjekt, pooblaščen v EU, nima pomembnega upravnega nadzora nad sistemi, od katerih je odvisen.
Če upravljanje šifrirnih ključev opravlja globalna IT-ekipa matične družbe, če se pravice dostopa do podatkov strank upravljajo zunaj EU ali če je načrt za obnovo po nesreči odvisen od odobritev sedeža v tretji državi, subjekt v EU ne more dokazati resnične operativne neodvisnosti.

Stališče ESMA, kot je izraženo v njenih posvetovalnih gradivih, je, da mora vodstvena ekipa v EU imeti dejanski nadzor nad infrastrukturo IKT, ki je pomembna za poslovanje CASP. Politika neprekinjenega poslovanja in načrti za obnovo po nesreči, ki jih zahteva člen 68(7), morajo biti v lasti subjekta v EU in jih mora ta izvajati, ne smejo pa biti odvisni od globalne funkcije, ki v krizi morda ne bo odzivna.

Praktični test je jasen: če bi globalna IT-ekipa matične družbe čez noč postala nedostopna, ali bi subjekt v EU lahko nadaljeval z delovanjem, dostopal do sredstev strank in vrnil sredstva strankam? Če je odgovor ne ali ne brez znatnega posredovanja osebja zunaj EU, vsebinsko vprašanje ni rešeno.

Zahteve glede skladnosti z GDPR in upravljanja podatkov se nanašajo na okvir DORA. Dogovori o obdelavi podatkov, odnosi med upravljavci in obdelovalci ter vidiki glede lokacije podatkov so del tehnične arhitekture, ki jo bodo pregledali regulatorji.

Finančno: kapital, ki dejansko deluje

Člen 67 določa minimalne bonitetne zaščitne ukrepe. Stopnje kapitala so opredeljene po razredih storitev:

Znesek minimalnega kapitala je izhodišče, ne zgornja meja. Preudarne zaščitne ukrepe morajo biti enake višjemu znesku med stalnim minimalnim kapitalom ali četrtino fiksnih splošnih stroškov iz preteklega leta.

Ko CASP raste in se njegovi fiksni splošni stroški povečujejo, ta drugi del postane zavezujoča omejitev. Ko splošni stroški presegajo štirikratni znesek začetnega vplačanega kapitala, mora podjetje preiti na okvir, ki temelji na splošnih stroških. Ta prelomnica pride hitreje, kot mnogi operaterji pričakujejo, regulatorji pa pričakujejo proaktivno spremljanje namesto reaktivnega prilagajanja.

Strukturna točka, ki jo je vredno omeniti: kapital mora biti vplačan na račun pri uradni kreditni instituciji.

Račun EMI ali ponudnika plačilnih storitev te zahteve ne izpolnjuje. Vzpostavitev bančnega odnosa kot kripto podjetje traja in ni zagotovljena. Zgodnje začetje tega procesa, še preden je vloga uradno vložena, ni neobvezno. Gre za časovno omejitev, ki vpliva na celoten časovni okvir za pridobitev dovoljenja.
Zahteva, da morajo biti računovodski izkazi, uporabljeni pri izračunu fiksnih splošnih stroškov, ustrezno revidirani ali potrjeni s strani nacionalnih regulativnih organov, dodaja še eno administrativno dimenzijo. Novo ustanovljena podjetja, ki napovedujejo svoje splošne stroške za prvih dvanajst mesecev, morajo te napovedi vključiti v svojo vlogo za pridobitev dovoljenja, pri čemer mora biti metodologija jasno dokumentirana.

Zunanje izvajanje in prag vsebine

Člen 73 dovoljuje CASP-om, da operativne funkcije zunanje izvajajo tretje osebe. Omejitev je, da zunanje izvajanje ne sme izprazniti pooblaščenega subjekta. Odgovornost ostaja pri CASP-u; prenos nalog ne prenaša odgovornosti.

V poročilu ESMA o nadzoru nad izdajo dovoljenj CASP je odstotek skupnih stroškov, ki se nanašajo na funkcije zunaj EU, opredeljen kot praktični kazalnik tega, ali je zunanje izvajanje šlo predaleč. CASP, katerega večina operativnih izdatkov gre ponudnikom storitev zunaj EU, četudi so ti dobro vodeni in ugledni, se lahko sooča z vprašanji, ali ima subjekt v EU zadostne notranje zmogljivosti, da se šteje za pravega ponudnika storitev in ne le za posrednika.

Regulator razlikuje med CASP-ji, ki zunanje izvajajo določene funkcije, pri čemer ohranjajo nadzor, in CASP-ji, ki zunanje izvajajo vse bistvene dejavnosti, pri čemer ohranjajo le pravno obliko. Slednji so le lupina, ne glede na to, kako je dogovor opisan v vlogi.

Razlike v jurisdikciji: isti zakon, različna praksa

MiCA se neposredno uporablja v vseh državah članicah EU. Vsebinske zahteve so enotne. Nadzorna praksa pa ni.

Ciper je prek CySEC izrecno zahteval, da mora biti večina članov upravnega odbora CASP fizičnih rezidentov Cipra. Za upravni odbor, ki ga sestavljata dva izvršna in dva neizvršna direktorja, to pomeni najmanj tri direktorje, ki so rezidenti Cipra. To presega zahteve besedila MiCA in odraža nacionalne direktive o preprečevanju pranja denarja, ki so nadgrajene na usklajenem okviru EU.
Estonija predstavlja drugačno dinamiko. V okviru prejšnjega režima registracije VASP, ki ga je upravljala enota za finančni nadzor, je Estonija postala ena izmed najbolj dostopnih jurisdikcij za izdajo licenc v Evropi. Prehod na MiCA je prenesel nadzorno odgovornost na estonski organ za finančni nadzor in reševanje, kar prinaša drugačen institucionalni pristop k pregledu in tekočemu nadzoru.

Zakonodajna situacija na Poljskem, ki je bila obravnavana v prejšnjih delih te serije, je povzročila strukturno vrzel, saj domači zakon o izvajanju MiCA še ni bil sprejet, zaradi česar KNF nima uradnega imenovanja za pristojni organ, imetniki VASP pa nimajo izvedljive poti za vložitev vloge za CASP na nacionalni ravni.

Te razlike niso vrzeli ali administrativne posebnosti. Odražajo realnost, da usklajeni pravni okvir še vedno deluje skozi nacionalne nadzorne kulture, kadrovske omejitve in institucionalno zgodovino. Izbira jurisdikcije za pridobitev dovoljenja CASP pomeni izbiro regulatorja, s vsemi praktičnimi posledicami, ki to prinaša.

Kaj dejansko zahteva »resnična ustanovitev«

Vse skupaj zahteve glede vsebine v okviru MiCA odražajo nadzorno filozofijo in ne le seznam za preverjanje. Regulator želi biti prepričan, da ima v primeru težav na voljo ustrezne pravne sredstva.
To pomeni, da je vodstvo fizično dosegljivo in pravno odgovorno v skladu z zakonodajo EU. Pomeni, da so informacijsko-komunikacijski sistemi pod nadzorom subjekta iz EU, ne da bi bili odvisni od verig odobritev zunaj EU. Pomeni kapital, ki je dejansko na voljo in je velikostno prilagojen dejanskemu operativnemu tveganju.

In pomeni upravljanje, pri katerem subjekt EU sprejema dejanske odločitve, namesto da izvršuje navodila, izdana od drugod.

Podjetja, ki to obravnavajo kot dokumentacijsko vajo, imajo pogosto težave s tem postopkom. Podjetja, ki najprej vzpostavijo vsebino in nato dokumentirajo, kar so vzpostavila, imajo pogosto manj težav. Vloga ne ustvarja organizacije. Opisuje organizacijo, ki bi morala v veliki meri že obstajati.

Viri:

• Poročilo ESMA o nadzoru glede odobritve CASP
• Posvetovalni dokument ESMA o MiCA, 2. paket
• Pravila MFSA o MiCA

Ta članek temelji na študiji, ki jo je maja 2026 izvedlo podjetje LegalBison. Vsebina je namenjena izključno informativnim namenom in ne predstavlja pravnega nasveta.