Tror du att DeFi-projekt är undantagna från europeisk reglering? Tänk om. Tillsynsmyndigheterna ser bortom den tekniska arkitekturen för att bedöma vem som faktiskt utövar den operativa kontrollen. Upptäck varför undantaget för ”helt decentraliserade” system är exceptionellt snävt och hur detta test, där substans går före form, avgör dina skyldigheter enligt MiCA.
”Vi är DeFi, så MiCA gäller inte för oss.” Tyvärr, men EBA och ESMA ser annorlunda på saken
SKRIVEN AV
DELA
MiCA Decoded är en veckoserie med 12 artiklar för Bitcoin.com News, författad av LegalBisons medgrundare och verkställande direktörer: Aaron Glauberman, Viktor Juskin och Sabir Alijev. LegalBison ger råd till krypto- och FinTech-företag om MiCA-licensiering, CASP- och VASP-ansökningar samt regleringsstrukturering i Europa och utanför.
Veckans artikel har skrivits av Eira Järvi, seniorjurist på LegalBison, som leder global forskning om regelverk och implementeringen av CASP-licenser och andra komplexa licenser. Eira implementerar aktivt global forskning i aktiva kundinriktade produkter.
DeFi på uppgång
Decentraliserad finans har varit på uppgång de senaste åren. Kryptobranschen har nästan dagligen bevittnat framväxten av nya DeFi-projekt. Nya blockkedjenätverk, protokoll och decentraliserade applikationer (dApps) utgör ett samlingsämne för diskussioner bland DeFi-entusiaster och i nyhetsbrev. De kretsar kring ämnen effektivitet, transparens, komposibilitet, integritet och tillgänglighet inom DeFi. Med MiCAR (Markets in Crypto-Assets Regulation) som träder i kraft överväger nu många DeFi-utvecklingsteam att expandera sina projekt till EU-marknaderna.
I detta sammanhang är dock ett ämne viktigare än alla andra. Hur säkerställer teamet att det projekt de bygger är lagligt?
För de flesta DeFi-startups kan svaret verka enkelt: MiCAR innehåller ett undantag för ”helt decentraliserade” projekt som många startups tryggt förlitar sig på när de motiverar sin tillförsikt att lansera sina projekt i EU utan att söka någon juridisk vägledning, än mindre se till att de följer MiCAR.
Denna artikel syftar till att motbevisa den utbredda uppfattningen att om ett projekt är tillräckligt decentraliserat behöver teamet inte bry sig om MiCAR. Tyvärr, men de regulatoriska riktlinjerna krossar den myten!
Myten: MiCA påverkar inte DeFi och icke-förvarande tjänsteleverantörer
Artikel 3.1, punkt 1 i MiCAR definierar distribuerad liggarteknik (”DLT”) som ”en teknik som möjliggör drift och användning av distribuerade liggare”, och punkt 2 definierar ”distribuerad liggare” som ”ett informationslager som för register över transaktioner och som delas mellan, och synkroniseras mellan, en uppsättning DLT-nätverksnoder med hjälp av en konsensusmekanism.”
Skäl 22 i MiCAR ger den viktigaste vägledningen om DeFi:s förhållande till förordningen. Där anges att MiCAR är utformad för att omfatta tjänster och aktiviteter som utförs, tillhandahålls eller kontrolleras, direkt eller indirekt, av fysiska eller juridiska personer och vissa företag som bedriver kryptotillgångstjänster, även i fall där decentralisering förekommer.
Skälet innehåller dock följande avgörande formulering: ”När tjänster avseende kryptotillgångar tillhandahålls på ett helt decentraliserat sätt utan någon mellanhand bör de inte omfattas av denna förordning.” Betydelsen av denna bestämmelse ligger i två nyckeluttryck: ”helt decentraliserat” och ”utan någon mellanhand.”
Texten i själva förordningen definierar inte ”helt decentraliserat” någonstans i sina operativa bestämmelser. Den enda källan till detta begrepp finns i skäl 22, som ingår i ingressen snarare än i de rättsligt bindande formella bestämmelserna. I skäl 83 anges vidare att ”leverantörer av hårdvara eller mjukvara för icke-förvarande plånböcker bör inte omfattas av denna förordning”, utan att uttryckligen definiera i vilken utsträckning tillhandahållande av hårdvara eller mjukvara utgör en helt decentraliserad tjänst som undantas från MiCAR.
I skäl 109 erkänns dessa tolkningssvårigheter och utarbetandet av utkast till regleringsstandarder och tekniska genomförandestandarder tilldelas Europeiska bankmyndigheten (EBA) och Europeiska värdepappers- och marknadsmyndigheten (ESMA).
Vid bedömningen av om tjänster omfattas av MiCAR:s tillämpningsområde kan två villkor utläsas av skäl 22 och efterföljande regleringsvägledning:
- För det första får ingen enskild enhet utöva kontroll över protokollparametrar, styrningsmekanismer eller den centrala tekniska infrastrukturen som kryptotillgångstjänsten bygger på.
- För det andra måste användarna få tillgång till vad som motsvarar en ”gemensam resurs” snarare än att köpa tjänster från en utsedd leverantör med vilken det finns ett avtalsenligt leverantörsförhållande.
Dessa villkor är avgörande för att bedöma om ett DeFi-projekt faller inom eller utanför MiCAR:s tillämpningsområde.
Faran med att överskatta graden av decentralisering
I en värld med snabbt framväxande teknik, geopolitisk instabilitet och fragmenterade finansiella system som är beroende av manuella processer och mellanhänder, erbjuder DeFi en transparent och gränslös lösning som fundamentalt förändrar hur transaktioner initieras, behandlas och genomförs. I stället för traditionella finansiella systemmodeller där transaktioner först måste passera ett antal mellanhänder och institutionella backend-system innan de verkställs och avvecklas, genomför användare i DeFi transaktioner genom att interagera direkt med det underliggande blockkedjenätverket via decentraliserade protokoll och gränssnitt, vilket eliminerar behovet av mellanhänder och komplexa systeminfrastrukturer.
I världen av on-chain-lagstiftning är gränsen mellan fullständig decentralisering och brist på sådan tunnare än den kan verka. Innan något arbete kan påbörjas kommer en advokat som arbetar med ett decentraliserat Web3-projekt först att ta reda på om projektet kan anses vara decentraliserat genom att analysera och bedöma projektets lager, deras decentraliseringsgrad samt teamets planer för ägande och styrning.
I detta inledande skede av den juridiska strategin finns det många tekniska och arkitektoniska element som måste bedömas av en advokat för att man ska kunna komma fram till en definitiv slutsats om projektets decentraliseringsgrad. Även om teamet kanske är övertygat om att deras projekt är fullt decentraliserat, med alla dess element, såsom DLT, protokollet och dAppen, kan den inledande bedömningen i själva verket visa på motsatsen.
För att uppnå en verklig, fullständig decentralisering måste alla delar av projektet uppfylla kriterierna för full autonomi och avsaknad av intern eller extern påverkan i hela projektets ekosystem och dess många delar, inklusive men inte begränsat till styrning, ägande, gränssnitt etc., vilket, vid närmare granskning, mycket få projekt lyckas uppnå.
Denna slutsats kan bäst illustreras av en händelse som nyligen inträffade i DeFi-världen. Den 21 april 2026 fryste Arbitrums säkerhetsråd över 30 ETH (cirka 71 miljoner USD) kopplade till Kelp DAO-exploiten. Ett styrande organ bestående av 12 medlemmar kunde reagera på intrånget genom att flytta medlen till en mellanhandplånbok, som endast kan frigöras genom en styrningsomröstning, vilket i praktiken låste in medlen i plånboken.
Detta exempel pekar på förekomsten av diskretionär operativ kontroll: även om Arbitrum per definition är ett tillståndsfritt och till synes helt decentraliserat nätverk på lager 2, är utövandet av kontroll över användarnas tillgångar just det som skulle göra att MiCAR:s test för fullständig decentralisering inte klaras. I detta fall avgör substans framför form det regulatoriska tillämpningsområdet, oavsett om den underliggande liggaren är tillståndsfri eller inte.
Därför räcker det inte med ett enkelt påstående om att ett DeFi-projekt är helt decentraliserat för att utesluta skyldigheten att följa MiCAR och erhålla nödvändigt tillstånd som CASP. Jurister kommer i första hand att bedöma projektets tekniska arkitektur, ägarförhållandena och styrningsreglerna, vilket innebär att de tillämpar principen om substans framför form framför semantik. De europeiska tillsynsmyndigheterna, såsom Europeiska bankmyndigheten (EBA) och Europeiska värdepappers- och marknadsmyndigheten (ESMA), stöder fullt ut detta tillvägagångssätt.
ESMA:s och EBA:s syn på DeFi
ESMA:s syn på decentraliserad finansiering har utvecklats avsevärt genom flera samrådspaket och, framför allt, genom den gemensamma rapporten med EBA om den senaste utvecklingen inom kryptotillgångar som publicerades den 13 januari 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), utarbetad i enlighet med artikel 142 i MiCAR.
ESMA:s resonemang om decentraliseringens spektrum ligger till grund för denna bedömning. I sitt andra samrådspaket om tekniska standarder för reglering och genomförande föreslog ESMA en definition av ”tillståndsfri distribuerad liggarteknik” som ”en teknik som möjliggör drift och användning av distribuerade liggare där ingen enhet kontrollerar den distribuerade liggaren eller dess användning eller tillhandahåller kärntjänster för användningen av en sådan distribuerad liggare, och där DLT-nätverksnoder kan inrättas av alla personer som uppfyller de tekniska kraven och protokollen.”
Denna definition bygger på Financial Stability Boards samrådsdokument, som skiljer mellan tillståndsfri (helt decentraliserad) DLT, tillståndsbaserad DLT som medger en viss grad av centralisering, och centraliserade plattformar. ESMA medger att ”den exakta räckvidden för detta undantag fortfarande är osäker” och anser att en bedömning av varje system bör göras från fall till fall, med hänsyn till systemets egenskaper.
ESMA erkänner att decentralisering inte är ett binärt begrepp utan existerar på ett spektrum från centralisering till varierande grader av decentralisering: ”Med DEX:er tar blockkedjan över mellanhandens roll. DEX:er använder autonom kod (ofta kallad smarta kontrakt) för att utföra transaktioner direkt på blockkedjans avvecklingslager (med olika grader av decentralisering).”
Den gemensamma rapporten från januari 2025 innehåller empiriska data som stöder den analytiska ramen. DeFi står för cirka fyra procent av den globala marknadsvärdet för kryptotillgångar, med något högre penetrationsgrader bland användare baserade i EU. Rapporten bekräftar att mycket få DeFi-system uppnår en verkligt fullständig decentralisering på det sätt som avses i skäl 22. Rapporten konstaterar att även till synes decentraliserade protokoll vanligtvis har identifierbara enheter som utövar varierande grad av kontroll över styrning, protokolluppgraderingar, implementering av smarta kontrakt och avgiftsstrukturer.
När det gäller leverantörer av hårdvara och mjukvara för CASP-tillhörande tjänster är den ståndpunkt som framgår av ESMA:s vägledning att enheter som endast skapar och säljer verktyg för mjukvaruutveckling, applikationer eller plattformar för tillhandahållande av eller handel med kryptotillgångar inte automatiskt klassificeras som CASP:er om deras verksamhet begränsas till skapandet och försäljningen av nämnda tjänster.
Enheter som övervakar skapandet och utvecklingen av programvara eller plattformar för tillhandahållande av tjänster avseende kryptotillgångar kan dock anses vara CASP:er om de behåller kontroll eller tillräckligt inflytande över kryptotillgångarna, programvaran, protokollet, plattformen eller affärsrelationerna med användarna. Det avgörande kriteriet är därför kontroll och inflytande snarare än enbart tekniskt engagemang.
Den roll som avtalsförhållanden spelar för att definiera fullständig decentralisering understryks ytterligare av ESMA:s analys av artikel 73 i MiCAR, som avser utkontraktering av tjänster eller verksamhet till tredje part. ESMA drar slutsatsen att det inte finns någon rättslig grund för att kategorisera tillståndsfria DLT:er som används av CASP:er som tredjepartsleverantörer, eftersom inget formellt avtalsförhållande krävs för att interagera med tillståndsfria blockkedjor. Detta leder till den viktiga slutsatsen att tillståndsfria DLT kan betraktas som en form av ”allmännyttig” resurs, medan tillståndsbaserade DLT som drivs av kommersiella företag vanligtvis innebär formella avtalsarrangemang och därför utgör en relation med en ”tredjepartsleverantör”. Denna distinktion utgör grunden för den vidare bedömningen i detta memorandum.
Den gemensamma rapporten behandlar vidare risker för penningtvätt och finansiering av terrorism samt IKT-aspekter som är tillämpliga på decentraliserade system. Avsaknaden av traditionella kontroller för bekämpning av penningtvätt och finansiering av terrorism i rent decentraliserade system ger upphov till betydande regleringsmässiga farhågor, eftersom kundkännskapsförfaranden och transaktionsövervakning vanligtvis saknas eller är ofullständiga. Rapporten konstaterar att IKT-risker är bland de främsta farhågorna, där en majoritet av DeFi-relaterade finansiella förluster kan hänföras till sårbarheter i smarta kontrakt, orakelmanipulation och front-running-attacker, inklusive utnyttjande av maximalt utvinningsbart värde (”MEV”).
Dessa riskfaktorer är visserligen inte avgörande för den regulatoriska klassificeringen, men ligger till grund för tillsynsstrategin gentemot enheter som verkar på olika punkter i decentraliseringsspektrumet.
FATF:s ramverk och avtalsförhållanden
FATF:s riktlinjer för VASP:er och DeFi utgör ett grundläggande analytiskt ramverk som har antagits och vidareutvecklats av ESMA. Enligt FATF:s uppdaterade riktlinjer för en riskbaserad strategi för virtuella tillgångar och leverantörer av tjänster för virtuella tillgångar (oktober 2021) utgör en person som skapar eller säljer en programvaruapplikation eller en plattform för virtuella tillgångar inte nödvändigtvis en leverantör av tjänster för virtuella tillgångar när denne enbart ägnar sig åt skapandet eller försäljningen av applikationen eller plattformen, med betoning på ordet enbart.
I fall där skapare, ägare, operatörer eller andra individer verkar ha kontroll över eller utöva tillräckligt inflytande över DeFi-arrangemang, även om dessa arrangemang verkar decentraliserade, kan de omfattas av FATF:s definition av en VASP om de tillhandahåller eller aktivt underlättar VASP-tjänster. Kontroll eller betydande inflytande kan ta sig uttryck genom kontroll över tillgångar eller aspekter av tjänstens protokoll, och genom en pågående affärsrelation mellan operatören och användarna, även om denna kontroll utövas genom ett smart kontrakt eller, i vissa fall, genom röstningsprotokoll.
FATF:s resonemang lägger grunden för bedömningen av decentralisering enligt MiCAR genom att fastställa två avgörande principer:
- För det första kan ägarna och operatörerna samt deras grad av kontroll över DeFi ofta identifieras genom deras relation till de aktiviteter som bedrivs snarare än genom de beteckningar som tillämpas på arrangemanget.
- För det andra kan partiell centralisering inte automatiskt uteslutas, även om andra parter än den huvudsakliga tjänsteleverantören är involverade i tjänsten eller om delar av processen är automatiserade genom smarta kontrakt.
Den roll som avtalsförhållanden spelar vid bedömningen av decentralisering förtjänar särskild uppmärksamhet. Artikel 73 i MiCAR, som avser utkontraktering av tjänster eller aktiviteter till tredje part för utförandet av operativa funktioner, reglerar hur CASP:er ska hantera risker förknippade med tredjepartsleverantörer.
Som ESMA:s andra samrådsdokument erkänner finns det dock ingen rättslig grund för att kategorisera tillståndsfria DLT:er som används av CASP:er som tredjepartsleverantörer, eftersom inget formellt avtalsförhållande, såsom ett servicenivåavtal, krävs för att interagera med tillståndsfria blockkedjor. ESMA drar slutsatsen att tillståndsfria DLT kan betraktas som en form av ”allmännyttig” resurs, medan tillståndsbaserade DLT som drivs av kommersiella företag vanligtvis innebär avtal som är tillgängliga för white-label-blockkedjeprodukter, vilket därmed utgör en relation med en tredjepartsleverantör.
Denna slutsats har djupgående konsekvenser för den regulatoriska bedömningen av plattformar som bygger på tillståndsfri infrastruktur. Om en plattform använder smarta kontrakt på en tillståndsfri blockkedja såsom Ethereum, innebär användningen av den blockkedjeinfrastrukturen inte i sig att ett förhållande med en tredjepartsleverantör uppstår.
Om plattformsoperatören däremot behåller kontrollen över de smarta kontrakten, kan uppgradera eller modifiera deras funktionalitet, kontrollerar åtkomsten till frontend-gränssnittet eller förvaltar administrativa nycklar som kan pausa, frysa eller modifiera protokollet, innebär dessa centraliserade element att operatören omfattas av MiCAR oavsett den underliggande liggarens tillståndsfria karaktär.
Testet är därför funktionellt snarare än tekniskt: det handlar om vilken kontroll operatören faktiskt utövar, inte vilken teknik systemet bygger på.
Viktiga slutsatser:
Med beaktande av ovanstående analys, och i synnerhet ESMA:s resonemang som framgår av samrådsdokumenten och den gemensamma rapporten från januari 2025, anser vi att följande påståenden gäller för denna bedömning.
- För det första: så länge ingen enskild person eller enhet kontrollerar ett DeFi-protokoll eller en DeFi-plattform och dess användning, och ingen enskild person fyller en grundläggande och oumbärlig roll i dess drift utan vilken tekniken inte kan utnyttjas, kan DeFi-protokollet eller plattformen anses vara undantagen från MiCAR:s tillämpningsområde på grund av att den är ”helt decentraliserad” i den mening som avses i skäl 22.
- För det andra anses enbart utveckling av programvara eller hjälpverktyg för CASP:er inte utgöra en tjänst avseende kryptotillgångar, såvida inte ytterligare MiCAR-reglerade aspekter, såsom att påverka erbjudande, försäljning, överföring, förvaring eller handel med kryptotillgångar, ingår i omfattningen av de aktiviteter som utförs av utvecklaren.
Den praktiska tillämpningen av dessa principer på ett DeFi-projekt kräver dock en noggrann granskning av ekosystemets faktiska styrning och operativa egenskaper. Om ett projekts arkitektur tyder på centraliserad kontroll över utfärdandet av token, protokollparametrar eller ekosystemets styrning, är det osannolikt att det uppfyller undantaget för ”helt decentraliserat” i skäl 22, och de tjänster som tillhandahålls i samband med ett sådant projekt måste bedömas enligt MiCAR:s bestämmelser.
Vad vi har tolkat
Undantaget för ”fullt decentraliserat” är exceptionellt snävt: I skäl 22 i MiCA anges att tjänster som tillhandahålls på ett ”fullt decentraliserat sätt utan någon mellanhand” faller utanför förordningens tillämpningsområde, men det är oerhört sällsynt att uppnå detta verkliga tillstånd av full decentralisering. Om en enda enhet utövar kontroll över styrningen, protokollparametrarna eller kärninfrastrukturen gäller inte undantaget.
Innehåll framför form avgör efterlevnaden: Tillsynsmyndigheter ser bortom marknadsföringspåståenden och teknisk semantik för att bedöma den faktiska operativa kontrollen. Regleringstestet är funktionellt, inte tekniskt: om en operatör förvaltar administrativa nycklar, kontrollerar frontend-gränssnittet eller har möjlighet att uppgradera eller pausa smarta kontrakt, faller de inom MiCA:s tillämpningsområde.
Decentralisering existerar på ett spektrum: ESMA betraktar inte decentralisering som ett binärt begrepp. Även om ett projekt i hög grad förlitar sig på autonom kod och smarta kontrakt, kommer förekomsten av identifierbara enheter som utövar varierande grad av kontroll över avgiftsstrukturer, protokolluppgraderingar eller styrning att utlösa tillsynsmyndigheternas granskning.
Tillståndsfria blockkedjor är ”allmänna nyttigheter”: Att förlita sig på en offentlig, tillståndsfri blockkedja innebär inte att ett formellt outsourcingförhållande med tredje part uppstår enligt artikel 73 i MiCA, eftersom ESMA kategoriserar dessa som ”allmänna nyttigheter”. Att implementera smarta kontrakt på en infrastruktur som är en allmän nyttighet skyddar dock inte plattformsoperatören från MiCA om denne behåller den funktionella kontrollen över dessa kontrakt.
Mjukvaruutvecklare är inte automatiskt CASP: Att enbart skapa och sälja icke-förvarande mjukvara eller hårdvara klassificerar inte automatiskt en enhet som en Crypto-Asset Service Provider (CASP). Om utvecklarna eller operatörerna dock behåller tillräckligt inflytande över kryptotillgångarna, plattformen eller de pågående affärsrelationerna med användarna, överskrider de den regulatoriska tröskeln och kommer att regleras som CASP.
Denna artikel baseras på en studie genomförd av LegalBison i april 2026. Innehållet är endast avsett för informationsändamål och utgör inte juridisk rådgivning.
