MiCA förklarat: En jämförelse mellan MiCA (EU), VARA (Dubai) och MAS (Singapore)

MiCA Decoded är en veckoserie i 12 delar för Bitcoin.com News, skriven av LegalBisons medgrundare och verkställande direktörer: Aaron Glauberman, Viktor Juskin och Sabir Alijev. LegalBison ger råd till krypto- och FinTech-företag om MiCA-licensiering, CASP- och VASP-ansökningar samt regleringsstrukturer i Europa och utanför.

Myten: Alla större kryptoramverk konvergerar mot samma modell

När grundare jämför jurisdiktioner går samtalet vanligtvis i en av två riktningar. Antingen behandlar de regleringssystemen som ungefär likvärdiga, med endast skillnader i kostnad och tidsplan, eller så behandlar de dem som helt ojämförbara, var och en så unik att en jämförelse är meningslös. Ingen av dessa ståndpunkter är korrekt.

Marknadsförordningen om kryptotillgångar (MiCA), Dubais ramverk för Virtual Assets Regulatory Authority (VARA) och Singapores licenssystem enligt Financial Services and Markets Act 2022 (FSM Act) och Payment Services Act 2019 (PS Act) har yttre likheter. Alla tre kräver licensiering. Alla tre ställer krav på lämplighetsprövningar, kapitalkrav och kontroller mot penningtvätt. Alla tre hävdar att de balanserar innovation med konsumentskydd.

Men bortom likheterna speglar varje system en specifik regleringsfilosofi, en specifik teori om vem som bär kryptoriskerna och varför, samt ett specifikt svar på frågan om vad ett licensierat kryptoföretag egentligen är. Dessa skillnader är inte procedurmässiga detaljer. De avgör om en specifik affärsmodell överhuvudtaget kan licensieras, hur mycket substans en enhet måste ha och vad en grundare förbinder sig till när de ansöker.

Vad förordningen faktiskt säger: Tillämpningsområde och tjänster

De tre systemen utgår från olika definitioner av reglerad verksamhet, och dessa definitionsval får betydande konsekvenser.

MiCA definierar tio kategorier av tjänster för kryptotillgångar, allt från förvaring och drift av handelsplattformar till portföljförvaltning och investeringsrådgivning om kryptotillgångar. Ramverket skapar en enda auktorisation, en licens för leverantör av tjänster för kryptotillgångar (CASP), som täcker den delmängd av dessa tio tjänster som sökanden avser att tillhandahålla. Tillämpningsområdet är EU-omfattande, vilket innebär att en enda CASP-licens gäller i alla 27 EU-medlemsstater och de tre EES-länderna (Norge, Island, Liechtenstein) utan att sekundära ansökningar behöver göras i varje enskilt land.
VARA delar in reglerad verksamhet i olika kategorier, bland annat mäklartjänster, förvaringstjänster, börstjänster, utlånings- och upplåningstjänster samt rådgivningstjänster. Varje kategori har sina egna regelkrav och sin egen tröskel för inbetalt kapital. Ett företag som innehar en VARA-licens för börstjänster har andra löpande skyldigheter än ett företag som endast har licens för rådgivningstjänster.
Singapore tillämpar två olika lagstiftningsramar beroende på verksamhetens art. Kryptovalutabörser och förvaringsleverantörer som handlar med digitala betalningstoken verkar enligt PS-lagen som större betalningsinstitut (MPI). Företag som tillhandahåller tjänster för digitala token utanför Singapore, vilket är det område som definieras i FSM-lagen, regleras som leverantörer av tjänster för digitala token (DTSP) enligt del 9 i FSM-lagen. FSM-lagen omfattar tio olika tjänstetyper i sin första bilaga, inklusive handel med digitala token, underlättande av utbyte av digitala token och skydd av digitala token med kontroll över kundtillgångar.

De praktiska konsekvenserna av dessa olika tillämpningsområden blir tydliga när en grundare försöker anpassa sin affärsmodell till regelverket. Detta är särskilt utmanande för plattformar i gränsfall, såsom prediktionsmarknader som befinner sig i skärningspunkten mellan Web3 och spekulativt spelande, där grundare noggrant måste bedöma om de behöver en kryptotillstånd eller en fristående spellicens.
Som vi såg i ett tidigare inlägg kan ett DeFi-protokoll mycket väl förbjudas enligt MiCA. Enligt VARA måste samma protokoll bedöma om någon identifierbar enhet utövar kontroll över plattformen, vilket VARA utvärderar med hjälp av ett substans-över-form-tillvägagångssätt. Enligt Singapores ramverk fokuserar FSM-lagen på tjänsteleverans från eller av enheter med koppling till Singapore, vilket innebär att offshore-protokolloperatörer som är strukturerade utanför Singapore kan falla helt utanför licensieringsområdet, men endast om de verkligen undviker de föreskrivna kopplingspunkterna.

Varför förvirringen råder: passering, geografisk räckvidd och lagstiftarens avsikt

Den mest betydande strukturella skillnaden mellan de tre ramverken är passering. MiCA skapar den. VARA och Singapore gör det inte.

En CASP som är auktoriserad i Estland kan anmäla detta till den relevanta myndigheten i hemmedlemsstaten och börja erbjuda tjänster till kunder i hela EU och EES utan ytterligare licensiering. Auktorisationen följer med enheten. Detta EU-omfattande passsystem är en viktig katalysator för komplexa Web3-modeller som onlinespel som använder kryptotillgångar, vilka ofta vill komplettera sin kryptoarkitektur med exempelvis en licens för onlinespel i Estland. För ett företag som riktar sig till EU-privatkunder i flera länder är detta inte en bekvämlighet, utan det centrala affärsargumentet för MiCA-auktorisation. En enda infrastruktur för regelefterlevnad betjänar 450 miljoner potentiella kunder.

VARA-licensiering är specifik för Dubai. Den reglerar verksamhet med virtuella tillgångar som bedrivs i, eller riktar sig till, emiratet Dubai, enligt vad som fastställs i Dubais lag nr 4 från 2022. En VARA-licensierad börs som betjänar kunder i GCC-länderna eller internationellt gör detta på grundval av andra jurisdiktioners ramverk, eller på grundval av att det inte utlöser lokala licenskrav på dessa marknader. VARA-licensen i sig ger ingen gränsöverskridande passmekanism.

Singapores FSM-lag DTSP-licens gäller för enheter som bedriver verksamhet från Singapore eller är registrerade i Singapore men tillhandahåller digitala tokentjänster utanför Singapore. Det är den avsedda tillämpningsområdet. Singapore gör inte anspråk på att reglera utländska företags offshore-verksamhet på detaljhandelsnivå genom FSM-lagen, även om MAS inför restriktioner för vad licensierade och olicensierade DTSP:er får göra i förhållande till invånare i Singapore.

Dessa skillnader återspeglar genuint olika regleringsteorier. MiCA:s passlösningsmodell återspeglar EU:s inre marknadslogik, där fragmentering av tillgången till finansiella tjänster betraktas som ett regleringsmisslyckande. VARA:s Dubai-specifika tillämpningsområde återspeglar en strategi för att bygga upp jurisdiktion, där målet är att göra Dubai till en knutpunkt, inte att reglera global kryptoverksamhet. Singapores FSM-lagstiftning återspeglar en strategi för hantering av anseenderisker, där MAS tydligt har angett att licenser beviljas under extremt begränsade omständigheter och att systemet är utformat för att förankra aktörer av hög kvalitet snarare än att möjliggöra ett brett marknadsinträde.

Kapitalkrav: Tre olika svar på samma fråga

Alla tre systemen ställer kapitalkrav. Siffrorna och logiken bakom dem är inte desamma.

Enligt MiCA varierar minimikapitalet för en CASP från 50 000 euro (klass 1) till 125 000 euro (klass 2) och 150 000 euro (klass 3). MiCA-systemet tillämpar också ett krav på löpande fasta omkostnader, vilket innebär att ett företag måste ha det högre av det fasta minimibeloppet eller en fjärdedel av företagets fasta omkostnader från föregående år. En CASP med 10 miljoner euro i årliga driftskostnader står inför en effektiv kapitalgräns på 2,5 miljoner euro, oavsett vilken tjänsteklass som gäller.

VARA tillämpar en modell för inbetalt kapital som är verksamhetsspecifik och har högre absoluta minimikrav. Rådgivningstjänster kräver 100 000 AED. Leverantörer av förvaringstjänster kräver ett baskapital som motsvarar det högre av 600 000 AED eller 25 % av de fasta årliga omkostnaderna. För mäklar- och handlarverksamhet beror kapitalkravet på deras förvaringsarrangemang: de som använder en VARA-licensierad förvarare kräver det högre av 400 000 AED eller 15 % av de fasta årliga omkostnaderna, medan de som inte använder en VARA-licensierad förvarare kräver det högre av 600 000 AED eller 25 % av de fasta årliga omkostnaderna.

På samma sätt är kapitalkravet för börstjänster, den mest kapitalintensiva kategorin, det högre av 800 000 AED eller 15 % av de fasta årliga omkostnaderna om VASP använder en VARA-licensierad förvaringsinstitut, och det högre av 1 500 000 AED eller 25 % av de fasta årliga omkostnaderna i alla andra fall.VARA ställer också ett separat krav på nettolikvida tillgångar, vilket innebär att VASP:er måste inneha likvida tillgångar så att överskottet över kortfristiga skulder motsvarar minst 1,2 gånger deras månatliga driftskostnader, avstämda dagligen och rapporterade till VARA månadsvis med kvartalsvis sammanställning. VARA kräver också ansvarsförsäkring, styrelse- och ledningsförsäkring samt försäkring mot ekonomisk brottslighet för tillgångar som förvaras i hot wallets.

Singapores FSM Act DTSP-ramverk fastställer en minimikapitalgräns på 250 000 SGD, som gäller enhetligt för aktiebolag, handelsbolag och enskilda företagare, med den förväntning som anges i MAS-riktlinjerna att kapitalbufferten realistiskt sett ska täcka sex till tolv månaders driftskostnader. MAS har uttryckligen klargjort att DTSP:er inte omfattas av samma tillsynsregler som inlåningsinstitut och inte har säkerhetsnät som insättningsgaranti. Gränsen på 250 000 SGD är en tröskel för marknadsinträde, inte en riskkalibrerad tillsynsbuffert i MiCA- eller VARA-bemärkelse.

Den praktiska skillnaden ligger inte bara i siffrorna. VARA:s krav på nettolikvida tillgångar och försäkring skapar en mångfacetterad skyldighet avseende finansiell sundhet som MiCA och FSM-lagen hanterar på ett annat sätt eller mindre föreskrivande. Ett företag som beräknar sin exponering för VARA-efterlevnad måste samtidigt gå igenom inbetalt kapital, nettolikvida tillgångar och försäkringsadekvatitet, och stämma av alla tre med specifika intervall, med VARA som angiven förmånstagare till kapitalförvaltningskontot eller borgensförbindelsen.

Konsumentskyddsfilosofi: riskinformation, lämplighet och åtkomstbegränsningar

När det gäller konsumentskydd har MiCA, VARA och Singapore olika uppfattningar om vad tillsynsmyndigheterna faktiskt bör förhindra.
MiCA behandlar leverantörer av kryptotjänster som finansiella tjänsteleverantörer som omfattas av uppförandekrav, lämplighetsbedömningar för portföljförvaltning och rådgivning, krav på bästa utförande samt fortlöpande informationsskyldigheter. För privatinnehavare kräver förordningen meningsfull riskinformation i vitböcker och marknadsföringskommunikation, men de specifika mekanismerna för skydd av innehavare beror på typen av token. För icke-professionella innehavare som köper kryptotillgångar, med undantag för tillgångsrefererade tokens (ART) och e-pengatokens (EMT), direkt från en erbjudare, inför MiCA en 14-dagars ångerrätt. Denna ångerrätt gäller dock inte för ART och EMT; istället skyddas innehavare av dessa tokens av en permanent inlösenrätt när som helst gentemot emittenten.

MiCA begränsar dock inte tillgången till kryptohandel för icke-professionella deltagare. Man utgår från att informerat deltagande från icke-professionella är legitimt och utformar sina uppföranderegler därefter.
VARAs regelbok för marknadsuppförande kräver kundavtal, hantering av klagomål och klassificering av investerare. VARA klassificerar investerare i tre kategorier: icke-professionella investerare, kvalificerade investerare och institutionella investerare, med tjänsteparametrar som anpassas efter klassificering. De marknadsföringsregler som VARA utfärdade 2024 är bland de mest detaljerade i någon kryptovalutajurisdiktion och ger specifik vägledning och illustrativa fallstudier om vad som utgör förbjuden marknadsföring, inklusive omfattande behandling av inlägg på sociala medier, influencer-avtal och utbildningsinnehåll som kan övergå till marknadsföring.

Singapores tillvägagångssätt är det mest restriktiva av de tre när det gäller deltagande av icke-professionella investerare. MAS har konsekvent varnat allmänheten för spekulation i kryptovalutor sedan 2017 och har begränsat reklam för DPT-tjänster i offentliga utrymmen. I samrådsdokumentet från 2022 om föreslagna åtgärder för Digital Payment Token Services presenterades de initiala förslagen som kräver att DPTSP:er ska bedöma icke-professionella kunders kunskaper innan de tillhandahåller någon DPT-tjänst, tillämpa åtkomstbegränsningar för konsumenter och undvika att erbjuda incitament för icke-professionell handel.

MAS uttalade ståndpunkt är att regleringen varken kan eller bör ge privatkunder intrycket att licensierade plattformar är säkra investeringsplatser. Riktlinjerna för DTSP-licensiering beskriver att tillträde sker under extremt begränsade omständigheter, vilket förstärker att Singapores ramverk inte är utformat för bred tillgång till detaljhandelsmarknaden för licensierade leverantörer.

Operativ substans: Hur det ser ut att leva inom regelverket

Den löpande efterlevnadsbördan inom alla tre systemen är betydande. Men karaktären på denna börda skiljer sig åt.

MiCA ställer krav på styrning, skyldigheter avseende affärskontinuitet i linje med lagen om digital operativ motståndskraft (DORA), ramverk för bekämpning av penningtvätt och finansiering av terrorism (AML/CTF) i linje med EU-direktiv, löpande rapportering samt en obligatorisk lämplighetsprövning för ledning och kvalificerade aktieägare. Regimen kräver en plats för effektiv ledning inom EU och minst en styrelseledamot bosatt i EU. Auktorisationen är tjänstespecifik, vilket innebär att varje CASP-licens specificerar vilken av de tio tjänstekategorierna innehavaren är auktoriserad att tillhandahålla.

VARA fungerar genom ett regelverkssystem där flera regelböcker gäller för alla VASP:er samtidigt: företagsregelboken, regelboken för efterlevnad och riskhantering, regelboken för teknik och information samt regelboken för marknadsuppförande, tillsammans med den specifika regelboken för varje licensierad VA-verksamhet. Regelboken för teknik och information kräver en Chief Information Security Officer, en cybersäkerhetspolicy som lämnas in till VARA samt ett ramverk för teknikstyrning och riskbedömning som täcker fem definierade riskkategorier. VARA kräver en juridisk person i Dubai, en tydlig ägarkedja med identifierbara slutliga verkliga ägare samt skriftligt godkännande för varje väsentlig förändring av företagsstrukturen.
Singapores FSM-lagstiftning kräver en permanent verksamhetsplats eller ett registrerat säte i Singapore med en representant närvarande minst tio dagar per månad under minst åtta timmar per dag. DTSP-licensriktlinjerna kräver en penetrationstest av föreslagna tjänster innan licensen beviljas, en oberoende extern revisors bedömning av teknik och cybersäkerhet som ett villkor för ett principgodkännande, samt efterlevnadsarrangemang som står i proportion till verksamhetens omfattning och karaktär. MAS genomför intervjuer med nyckelpersoner i ledningen som en standarddel av granskningen, och konsulter och externa juridiska rådgivare är uttryckligen inte tillåtna att närvara vid dessa intervjuer.

Var och en av dessa väsentliga krav har betydelse för ett företag som aldrig tidigare har verkat inom den regleringsmiljön. VARA:s krav på att det inbetalda kapitalet ska säkras, antingen genom att det hålls på ett förvaltningskonto hos en bank i Förenade Arabemiraten med VARA som förmånstagare eller genom en borgensförbindelse från ett auktoriserat borgensbolag i Förenade Arabemiraten, är ett strukturellt krav som måste uppfyllas innan auktorisationen beviljas. Singapores krav på intervju innebär att VD och compliance-ansvarig måste kunna förklara affärsmodellen, dess riskkontroller och dess compliance-strategi utan stöd från rådgivare. Detta är inte abstrakta hinder, utan operativa villkor.

Vad vi har tolkat: Konsekvenser för jurisdiktionsstrategin

De tre ramverken konkurrerar inte med varandra i någon enkel bemärkelse. Ett företag som väljer mellan dem fattar vanligtvis ett beslut om vilken marknad det faktiskt försöker betjäna och vilken typ av regleringsförhållande det är berett att upprätthålla.

• MiCA är det enda av de tre som ger direkt tillgång till en enhetlig detaljhandelsmarknad av kontinental skala genom en enda auktorisation. För alla tjänsteleverantörer av kryptotillgångar vars huvudsakliga verksamhet omfattar detaljhandelskunder i EU är MiCA inte valfritt, utan det ramverk som avgör om verksamheten överhuvudtaget kan bedrivas lagligt i EU. Övergångsperioden slutar den 1 juli 2026.
• VARA är en Dubai-specifik licens som riktar sig till företag vars affärsstrategi är förankrad i marknaderna i Förenade Arabemiraten och MENA, eller vars varumärke gynnas av en licensierad närvaro i Dubai. Kapitalkraven är högre än MiCA i absoluta tal, marknadsföringsreglerna är bland de mest detaljerade globalt och arkitekturen för efterlevnad av flera regelverk är omfattande. En VARA-licens gäller inte i andra jurisdiktioner, men för företag som riktar sig mot Gulfregionen eller som specifikt vill driva en regelbunden börs i Dubai finns det inget motsvarande alternativ.
• Singapores DTSP-licens är den mest restriktiva av de tre att erhålla och är uttryckligen utformad för en snäv kategori av sökande: företag som har kopplingar till Singapore men bedriver digitala tokentjänster utanför Singapore, och som kan visa att de redan är reglerade enligt internationella standarder på annat håll, att deras affärsmodell är ekonomiskt rimlig och att MAS inte har några invändningar mot deras struktur. Att erhålla denna licens är inte en enkel väg in på marknaden. Det liknar snarare ett godkännande från tillsynsmyndigheten, tillgängligt för ett litet antal aktörer som uppfyller höga krav.

Systemen är inte funktionellt utbytbara, och de var inte utformade för att vara det. Ett företag som ansöker om alla tre samtidigt för att det vill ha global täckning gör tre olika åtaganden gentemot tre olika tillsynsmyndigheter med tre olika teorier om hur ett licensierat kryptoföretag bör se ut. För att få den samordningen rätt krävs mer än en parallell ansökningsprocess. Det kräver förståelse för vad varje tillsynsmyndighet faktiskt försöker åstadkomma och om verksamheten på ett trovärdigt sätt kan åta sig detta.

Denna artikel baseras på en studie genomförd av LegalBison i maj 2026. Innehållet är endast avsett för informationsändamål och utgör inte juridisk rådgivning.