MiCA förklarat: ”Vi har ett EU-kontor” räcker inte – här är vad tillsynsmyndigheterna faktiskt vill se

MiCA Decoded är en veckoserie i 12 delar för Bitcoin.com News, skriven av LegalBisons medgrundare och verkställande direktörer: Aaron Glauberman, Viktor Juskin och Sabir Alijev. LegalBison ger råd till krypto- och FinTech-företag om MiCA-licenser, CASP- och VASP-ansökningar samt regleringsstrukturer i Europa och utanför.

Veckans inlägg har skrivits av Krystian Lapka, advokat på LegalBison. Krystian är specialiserad på gränsöverskridande företags- och handelstransaktioner, samt strategisk riskhantering i skärningspunkten mellan civilrätt och common law.

---

De flesta grundare som står inför sin första CASP-ansökan förstår, åtminstone i teorin, att MiCA kräver en verklig närvaro i EU. Vad de underskattar är hur tillsynsmyndigheten definierar ”verklig”.

Den typiska uppstarten ser sammanhängande ut på papperet: ett säte i en gynnsam EU-jurisdiktion, en styrelseledamot som anges i styrdokumenten, IKT-system som antingen är molnbaserade eller hanteras från koncernens globala infrastruktur, samt inbetalt kapital på ett nyöppnat bankkonto.

Inifrån känns detta som ett EU-företag. Ur en nationell behörig myndighets perspektiv kan det se ut som en brevlåda med en styrelseledamot knuten till sig.

Denna artikel kartlägger vad MiCA:s substanskrav faktiskt innebär när det gäller personal, teknik och finansiell motståndskraft, och förklarar varför tillsynsmyndigheterna behandlar varje kategori som ett funktionstest snarare än en dokumentationsövning.

Den bakomliggande oron är densamma: att förhindra brevlådeföretag, enheter som existerar på papperet i en gynnsam jurisdiktion men saknar meningsfull ekonomisk verksamhet, humankapital eller operativ kapacitet inom den.

Myten: Närvaro är lika med substans

Regleringslogiken här är äldre än MiCA. I det banbrytande Cadbury Schweppes-domen (mål C-196/04) fastställde Europeiska unionens domstol att etableringsfriheten inte kan användas för att skapa ”helt artificiella arrangemang” som saknar verklig ekonomisk verksamhet. MiCA kodifierar den principen direkt i regleringen av kryptotillgångar.

Artikel 59.2 i MiCA anger att auktoriserade CASP:er måste ha sitt säte i en medlemsstat där de utför åtminstone en del av sina tjänster avseende kryptotillgångar, måste ha sin faktiska ledningsort inom unionen och måste ha minst en styrelseledamot som är bosatt i unionen. Bestämmelsen är kortfattad. Det som ligger bakom den är betydligt mer krävande.

ESMA:s tillsynsbriefing om auktorisation av CASP:er är visserligen inte bindande, men signalerar tydligt hur de nationella tillsynsmyndigheterna förväntas tolka dessa krav i praktiken.

Det är i klyftan mellan lagtexten och tillsynsmyndigheternas förväntningar som många ansökningar stöter på problem.

Personal: Vem driver egentligen denna enhet

Minimikravet enligt MiCA är en styrelseledamot bosatt i EU. Tillsynsriktlinjerna höjer ribban.

ESMA:s vägledning förutsätter att minst två ledande befattningshavare gemensamt övervakar den dagliga verksamheten. Motiveringen är enkel: en enda befattningshavare skapar koncentrationsrisk och tar bort de interna kontroller som en fungerande styrningsstruktur kräver. Två befattningshavare med definierade, överlappande ansvarsområden är den förväntade basnivån.

Bosättning är inte tillräckligt i sig. Riktlinjerna anger att om en medlem av ledningsorganet inte är bosatt inom den nationella tillsynsmyndighetens jurisdiktion, ska den personen kunna delta i fysiska möten på myndighetens begäran inom två arbetsdagar.

För jurisdiktioner där fysisk närhet till tillsynsmyndigheten är av operativ betydelse är detta en praktisk begränsning för hur långt från hemjurisdiktionen en styrelseledamot effektivt kan befinna sig.

Tidsåtagande behandlas med liknande allvar. ESMA:s ståndpunkt, såsom den formuleras i dess tillsynsbriefing om auktorisation av CASP:er, är att ledande styrelseledamöter i allmänhet bör ägna 100 % av sin arbetstid åt sin roll som CASP. Dubbelroll, där samma person har ledande befattningar i flera enheter, är endast tillåten under begränsade omständigheter. En ledande befattningshavare som delar sin uppmärksamhet mellan CASP:en och ett annat bolag i koncernen kommer sannolikt att bli föremål för granskning under lämplighetsprövningen.

Rapporteringsvägarna är lika viktiga som de enskilda profilerna. Ledningsorganet måste visa att den strategiska och operativa kontrollen ligger inom EU-enheten, inte hos ett moderbolag i ett tredjeland som fattar de verkliga besluten och ger instruktioner nedåt.
Ett EU-dotterbolag vars ledning i praktiken fungerar som genomförandeorgan för ett huvudkontor utanför EU är, i tillsynsmässig mening, inte en enhet med äkta EU-ledning.

AML-dimensionen förstärker detta. Den person som ansvarar för att lämna in rapporter om misstänkta aktiviteter (MLRO) måste vara fysiskt närvarande, ha verklig befogenhet inom enheten och kunna interagera direkt med den lokala finansunderrättelseenheten. Detta krav återspeglar en bredare global trend: FATF och OECD:s Crypto-Asset Reporting Framework (CARF) fungerar enligt samma logik och utvidgar kraven på substans och transparens utanför EU.

MiCA:s personalkrav och CARF är inte oberoende utvecklingar; de återspeglar en konvergerande internationell standard för hur en reglerad kryptoenhet måste se ut inifrån.

Den kollektiva lämplighetsstandarden i artikel 68.1 kräver att ledningsorganet besitter lämplig kunskap, kompetens och erfarenhet både individuellt och kollektivt. Som behandlades i föregående del av denna serie spänner den standarden över traditionell finansmarknadsreglering, DLT-infrastruktur och cybersäkerhet samt organisatorisk styrning. Var och en av dessa områden måste vara representerade i ledningen.

Ett team som helt och hållet består av personer med bakgrund inom kryptovalutor utan erfarenhet av reglerade finansiella tjänster, eller ett team med djup erfarenhet av traditionell finans men utan förmåga att bedöma risker på blockkedjan, har strukturella brister som kommer att upptäckas under bedömningsprocessen.

Teknik: Kontroll, inte bara hosting

DORA (förordning (EU) 2022/2554) gäller direkt för CASP:er och fastställer ramverket för krav på IKT-resiliens. Den fråga som tillsynsmyndigheterna ställer om teknik är inte vilken infrastruktur ett företag använder. Frågan är vem som kontrollerar den.

Molninfrastruktur som hostas av AWS, Azure eller liknande leverantörer är acceptabelt enligt gällande tillsynspraxis. Problemet uppstår när den enhet som är auktoriserad i EU saknar meningsfull administrativ kontroll över de system den är beroende av.
Om hanteringen av krypteringsnycklar ligger hos moderbolagets globala IT-team, om åtkomsträttigheter till kunddata administreras utanför EU, eller om katastrofåterställningsplanen är beroende av godkännanden från ett huvudkontor i ett tredjeland, kan EU-enheten inte visa på verklig operativ oberoende.

ESMA:s ståndpunkt, såsom den återspeglas i dess samrådsmaterial, är att ledningsgruppen inom EU måste ha faktisk kontroll över den IKT-infrastruktur som är relevant för CASP:s verksamhet. Den policy för affärskontinuitet och de katastrofåterställningsplaner som krävs enligt artikel 68.7 måste ägas och kunna genomföras av enheten inom EU, och inte vara beroende av en global funktion som kanske eller kanske inte reagerar i en kris.

Det praktiska testet är tydligt: om moderbolagets globala IT-team plötsligt blev otillgängligt, skulle EU-enheten kunna fortsätta sin verksamhet, få tillgång till kundernas medel och återlämna tillgångar till kunderna? Om svaret är nej, eller inte utan betydande eskalering till personal utanför EU, har den väsentliga frågan inte lösts.

Krav på efterlevnad av GDPR och datastyrning läggs ovanpå DORA-ramverket. Arrangemang för databehandling, relationer mellan personuppgiftsansvariga och personuppgiftsbiträden samt överväganden kring datalagring utgör alla en del av den tekniska arkitekturen som tillsynsmyndigheterna kommer att granska.

Finansiellt: Kapital som faktiskt fungerar

Artikel 67 fastställer minimikraven för tillsynssäkerhet. Kapitalnivåerna definieras efter tjänsteklass:

Minimikapitalbeloppet är utgångspunkten, inte taket. De försiktighetsmässiga säkerhetsåtgärderna måste motsvara det högre av antingen det permanenta minimikapitalet eller en fjärdedel av föregående års fasta omkostnader.

När en CASP växer och dess fasta omkostnader ökar blir denna andra del den bindande begränsningen. När omkostnaderna överstiger fyra gånger det initiala inbetalda kapitalet måste företaget övergå till det omkostnadsbaserade ramverket. Denna vändpunkt inträffar snabbare än många operatörer förväntar sig, och tillsynsmyndigheterna förväntar sig proaktiv övervakning snarare än reaktiva justeringar.
En strukturell punkt värd att notera: kapitalet måste sättas in på ett konto hos ett formellt kreditinstitut.
Ett konto hos en EMI eller betalningstjänstleverantör uppfyller inte detta krav. Att etablera en bankrelation som kryptovärdstagare tar tid och är inte garanterat. Att påbörja den processen tidigt, innan ansökan formellt lämnas in, är inte valfritt. Det är en tidsmässig begränsning som påverkar hela tidsplanen för auktoriseringen.

Kravet att de finansiella rapporter som används i beräkningen av fasta omkostnader ska vara vederbörligen reviderade eller validerade av nationella tillsynsmyndigheter tillför ytterligare en administrativ dimension. Nystartade företag som prognostiserar sina omkostnader för de första tolv månaderna måste inkludera dessa prognoser i sin auktorisationsansökan, med metoden tydligt dokumenterad.

Outsourcing och substansgränsen

Artikel 73 tillåter CASP:er att outsourca operativa funktioner till tredje part. Begränsningen är att outsourcing inte får urholka den auktoriserade enheten. Ansvaret ligger kvar hos CASP:en; delegering innebär inte att ansvaret överförs.

ESMA:s tillsynsbriefing om auktorisering av CASP:er identifierar andelen av de totala kostnaderna som kan hänföras till funktioner utanför EU som en praktisk indikator på om utkontrakteringen har gått för långt. En CASP vars majoritet av de operativa utgifterna går till tjänsteleverantörer utanför EU, även välskötta och ansedda sådana, kan ställas inför frågor om huruvida EU-enheten har tillräcklig intern kapacitet för att kvalificera sig som en äkta tjänsteleverantör snarare än en genomledningskanal.

Tillsynsmyndigheten gör en åtskillnad mellan CASP:er som outsourcar specifika funktioner samtidigt som de behåller kontrollen och CASP:er som outsourcar allt väsentligt samtidigt som de endast behåller den juridiska formen. Det senare är ett skalbolag, oavsett hur arrangemanget beskrivs i ansökan.

Variationer mellan jurisdiktioner: Samma lag, olika praxis

MiCA är direkt tillämpligt i alla EU-medlemsstater. De väsentliga kraven är enhetliga. Tillsynspraxis är det inte.

Cypern har genom CySEC uttryckligen krävt att majoriteten av styrelsen i en CASP ska vara fysiskt bosatta på Cypern. För en styrelse bestående av två verkställande och två icke-verkställande ledamöter innebär det minst tre styrelseledamöter bosatta på Cypern. Detta går utöver vad MiCA:s text kräver och återspeglar nationella AML-direktiv som läggs ovanpå det harmoniserade EU-ramverket.
Estland uppvisar en annan dynamik. Under det tidigare VASP-registreringssystemet som administrerades av Financial Intelligence Unit blev Estland en av Europas mest tillgängliga licensjurisdiktioner. Övergången till MiCA flyttade tillsynsansvaret till den estniska myndigheten för finansiell tillsyn och resolution, vilket medför en annan institutionell approach till granskning och löpande tillsyn.

Polens lagstiftningssituation, som behandlats i tidigare delar av denna serie, har skapat en strukturell lucka där den inhemska MiCA-genomförandelagen ännu inte har antagits, vilket innebär att KNF saknar formell utnämning som behörig myndighet och att VASP-innehavare saknar en fungerande inhemsk ansökningsväg för CASP.

Dessa variationer är inte kryphål eller administrativa egenheter. De speglar verkligheten att ett harmoniserat rättsligt ramverk fortfarande fungerar genom nationella tillsynskulturer, personalbegränsningar och institutionell historia. Att välja en jurisdiktion för CASP-auktorisation innebär att välja en tillsynsmyndighet, med alla praktiska konsekvenser som det medför.

Vad ”verklig etablering” faktiskt kräver

Sammantaget återspeglar de materiella kraven enligt MiCA en tillsynsfilosofi snarare än en checklista. Tillsynsmyndigheten vill vara säker på att den har meningsfulla möjligheter till rättslig prövning om något går fel.
Det innebär att den verkställande ledningen är fysiskt tillgänglig och juridiskt ansvarig enligt EU-lagstiftningen. Det innebär att IKT-systemen kan kontrolleras av EU-enheten utan beroende av auktorisationskedjor utanför EU. Det innebär kapital som är verkligt tillgängligt och dimensionerat efter den faktiska operativa risken.

Och det innebär en styrning där EU-enheten fattar verkliga beslut snarare än att genomföra instruktioner som utfärdats från annat håll.

Företag som ser detta som en dokumentationsuppgift tenderar att uppleva processen som svårare än väntat. Företag som först bygger upp substansen och sedan dokumenterar vad de har byggt upp tenderar att uppleva det som enklare. Ansökan skapar inte organisationen. Den beskriver en organisation som i stort sett redan bör existera.

Källor:

• ESMA:s tillsynsbriefing om auktorisering av CASP
• ESMA:s MiCA-samrådsdokument, andra paketet
• MFSA:s MiCA-regelbok

Denna artikel baseras på en studie genomförd av LegalBison i maj 2026. Innehållet är endast avsett för informationsändamål och utgör inte juridisk rådgivning.