MiCA ถอดรหัส: “เรามีสำนักงานในสหภาพยุโรป” ยังไม่เพียงพอ: นี่คือสิ่งที่หน่วยงานกำกับดูแลต้องการเห็นจริง ๆ

MiCA Decoded เป็นซีรีส์รายสัปดาห์จำนวน 12 บทความสำหรับ Bitcoin.com News เขียนร่วมกับ LegalBison โดย Co-Founding และ Managing Directors ได้แก่ Aaron Glauberman, Viktor Juskin และ Sabir Alijev LegalBison ให้คำปรึกษาบริษัทคริปโตและฟินเทคเกี่ยวกับการขอใบอนุญาต MiCA การยื่นคำขอ CASP และ VASP และการจัดโครงสร้างด้านกฎระเบียบทั่วทั้งยุโรปและนอกยุโรป

บทความสัปดาห์นี้เขียนโดย Krystian Lapka ทนายความของ LegalBison โดย Krystian เชี่ยวชาญธุรกรรมบริษัทและพาณิชย์ข้ามพรมแดน ควบคู่กับการบริหารความเสี่ยงเชิงกลยุทธ์ ณ จุดตัดระหว่างระบบกฎหมายซีวิลลอว์และคอมมอนลอว์

---

ผู้ก่อตั้งส่วนใหญ่ที่กำลังยื่นคำขอ CASP ครั้งแรกมักเข้าใจอย่างน้อยในเชิงนามธรรมว่า MiCA ต้องการให้มี “การมีอยู่จริง” ในสหภาพยุโรป แต่สิ่งที่มักประเมินต่ำไปคือ หน่วยงานกำกับดูแลนิยามคำว่า “จริง” อย่างไร

โครงสร้างแบบสตาร์ตอัปทั่วไปในช่วงแรกมักดูสมเหตุสมผลบนกระดาษ: มีสำนักงานจดทะเบียนในเขตอำนาจศาลของสหภาพยุโรปที่เอื้ออำนวย มีการแต่งตั้งกรรมการในเอกสารกำกับดูแล ระบบ ICT โฮสต์บนคลาวด์หรือบริหารจากโครงสร้างพื้นฐานระดับโลกของกลุ่มบริษัท และมีเงินทุนชำระแล้วนอนอยู่ในบัญชีธนาคารที่เพิ่งเปิดใหม่

จากมุมมองภายใน สิ่งนี้ให้ความรู้สึกว่าเป็นบริษัทในสหภาพยุโรป แต่จากมุมมองของหน่วยงานผู้มีอำนาจตามกฎหมายระดับชาติ (National Competent Authority) มันอาจดูเหมือน “บริษัทตู้ไปรษณีย์” ที่มีกรรมการแนบมาด้วยเท่านั้น

บทความนี้อธิบายว่าข้อกำหนดด้าน substance ของ MiCA ต้องการอะไรจริง ๆ ในด้านบุคลากร เทคโนโลยี และความทนทานทางการเงิน และอธิบายว่าเหตุใดผู้กำกับดูแลจึงมองแต่ละหมวดเป็น “การทดสอบการทำงานจริง” มากกว่า “แบบฝึกหัดด้านเอกสาร”

ความกังวลที่ขับเคลื่อนทั้งหมดนี้เหมือนกัน: ป้องกันบริษัทตู้ไปรษณีย์ ซึ่งเป็นนิติบุคคลที่มีอยู่บนกระดาษในเขตอำนาจศาลที่เอื้ออำนวย แต่ไม่มีกิจกรรมทางเศรษฐกิจที่มีนัยสำคัญ ทุนมนุษย์ หรือขีดความสามารถในการดำเนินงานภายในเขตนั้นอย่างแท้จริง

มายาคติ: การมีอยู่เท่ากับ substance

ตรรกะด้านกฎระเบียบนี้เก่ากว่า MiCA ในคำพิพากษาสำคัญ Cadbury Schweppes (คดี C-196/04) ศาลยุติธรรมแห่งสหภาพยุโรปได้วางหลักว่า เสรีภาพในการจัดตั้งไม่อาจใช้เพื่อสร้าง “การจัดการที่เป็นเพียงการจัดฉาก” (wholly artificial arrangements) ที่ขาดกิจกรรมทางเศรษฐกิจที่แท้จริง MiCA นำหลักการนั้นมาเข้ารหัสโดยตรงในกฎระเบียบคริปโตแอสเซ็ต

มาตรา 59(2) ของ MiCA ระบุว่า CASP ที่ได้รับอนุญาต ต้องมีสำนักงานจดทะเบียนในประเทศสมาชิกที่ตนให้บริการคริปโตแอสเซ็ตอย่างน้อยบางส่วน ต้องมีสถานที่ที่เป็นศูนย์กลางการบริหารจัดการที่มีประสิทธิผลภายในสหภาพ และต้องมีกรรมการอย่างน้อยหนึ่งคนที่พำนักอยู่ในสหภาพ บทบัญญัตินี้สั้น แต่สิ่งที่อยู่เบื้องหลังนั้นเข้มงวดกว่ามาก

เอกสาร Supervisory Briefing ของ ESMA ว่าด้วยการอนุญาต CASP แม้ไม่ผูกพันตามกฎหมาย แต่ส่งสัญญาณชัดเจนว่า NCA ควรตีความข้อกำหนดเหล่านี้อย่างไรในทางปฏิบัติ

ช่องว่างระหว่างถ้อยคำของกฎหมายกับความคาดหวังด้านการกำกับดูแล คือจุดที่ทำให้คำขอจำนวนมากเกิดแรงเสียดทาน

บุคลากร: ใครเป็นผู้บริหารนิติบุคคลนี้จริง ๆ

เกณฑ์ขั้นต่ำภายใต้ MiCA คือมีกรรมการที่พำนักในสหภาพยุโรป 1 คน แต่แนวทางกำกับดูแลยกระดับมาตรฐานนั้นขึ้น

เอกสาร briefing ของ ESMA คาดหวังให้มีผู้บริหารระดับสูงอย่างน้อย 2 คนร่วมกันกำกับดูแลการดำเนินงานประจำวัน เหตุผลชัดเจน: ผู้บริหารเพียงคนเดียวสร้างความเสี่ยงจากการกระจุกตัว และตัดการถ่วงดุลภายในที่โครงสร้างธรรมาภิบาลที่ทำงานได้จริงต้องมี ผู้บริหารสองคนที่มีความรับผิดชอบชัดเจนและซ้อนทับกันบางส่วนคือ baseline ที่คาดหวัง

การพำนักเพียงอย่างเดียวไม่เพียงพอ แนวทางระบุว่า หากสมาชิกของคณะผู้บริหารไม่ได้พำนักในเขตอำนาจศาลของ NCA บุคคลนั้นควรสามารถเข้าร่วมประชุมแบบพบหน้าตามที่หน่วยงานร้องขอได้ภายในสองวันทำการ

สำหรับเขตอำนาจศาลที่ความใกล้ชิดทางกายภาพต่อผู้กำกับดูแลมีความสำคัญเชิงปฏิบัติ นี่เป็นข้อจำกัดจริงว่า กรรมการสามารถอยู่ไกลจากเขตอำนาจศาลบ้านเกิดได้มากเพียงใดจึงจะยังทำหน้าที่ได้อย่างมีประสิทธิผล

เวลาในการทุ่มเทก็ถูกพิจารณาอย่างจริงจังเช่นกัน จุดยืนของ ESMA ตามที่ระบุใน Supervisory Briefing on Authorization of CASPs คือ โดยทั่วไปสมาชิกคณะผู้บริหารควรทุ่มเทเวลาในการทำงาน 100% ให้กับบทบาท CASP การ “สวมหมวกสองใบ” (double-hatting) คือการที่บุคคลเดียวทำหน้าที่ผู้บริหารในหลายหน่วยงาน อนุญาตได้เฉพาะในสถานการณ์จำกัด ผู้บริหารที่แบ่งความสนใจระหว่าง CASP กับบริษัทอื่นในกลุ่มมีแนวโน้มถูกตรวจสอบในการประเมินความเหมาะสมและความสุจริต (fit-and-proper)

สายการรายงานสำคัญพอ ๆ กับโปรไฟล์ของแต่ละบุคคล คณะผู้บริหารต้องแสดงให้เห็นว่าการควบคุมเชิงกลยุทธ์และเชิงปฏิบัติการอยู่ภายในนิติบุคคลในสหภาพยุโรป ไม่ใช่อยู่กับบริษัทแม่ในประเทศที่สามซึ่งเป็นผู้ตัดสินใจจริงและสั่งการลงมา

บริษัทย่อยในสหภาพยุโรปที่ผู้บริหารทำหน้าที่เชิงฟังก์ชันเป็นเพียงผู้ปฏิบัติตามคำสั่งจากสำนักงานใหญ่ที่อยู่นอกสหภาพ จะไม่ถือว่าเป็นนิติบุคคลที่มี “การบริหารจัดการในสหภาพยุโรปอย่างแท้จริง” ในความหมายเชิงกำกับดูแล

มิติ AML ยิ่งตอกย้ำประเด็นนี้ ผู้ที่รับผิดชอบการยื่นรายงานธุรกรรมน่าสงสัย (MLRO) ต้องอยู่ในพื้นที่จริง มีอำนาจแท้จริงภายในนิติบุคคล และสามารถติดต่อโดยตรงกับหน่วยข่าวกรองทางการเงิน (Financial Intelligence Unit) ในท้องถิ่นได้ ข้อกำหนดนี้สะท้อนแนวโน้มระดับโลกที่กว้างขึ้น: Crypto-Asset Reporting Framework (CARF) ของ FATF และ OECD ทำงานด้วยตรรกะเดียวกัน โดยขยายข้อกำหนดด้าน substance และความโปร่งใสไปไกลกว่าสหภาพยุโรป

ข้อกำหนดด้านบุคลากรของ MiCA และ CARF ไม่ใช่พัฒนาการที่ไม่เกี่ยวกัน แต่สะท้อนมาตรฐานสากลที่กำลังบรรจบกันว่าหน่วยงานคริปโตที่ถูกกำกับต้องมีหน้าตาอย่างไรจากภายใน

มาตรฐานความเหมาะสมโดยรวมจาก มาตรา 68(1) กำหนดให้คณะผู้บริหารต้องมีความรู้ ทักษะ และประสบการณ์ที่เหมาะสมทั้งในรายบุคคลและโดยรวม ดังที่กล่าวไว้ในตอนก่อนหน้าของซีรีส์นี้ มาตรฐานดังกล่าวครอบคลุมกฎระเบียบตลาดการเงินแบบดั้งเดิม โครงสร้างพื้นฐาน DLT และความมั่นคงปลอดภัยไซเบอร์ และธรรมาภิบาลองค์กร แต่ละโดเมนต้องมีตัวแทนอยู่ในห้องประชุม

ทีมที่มาจากสายคริปโตล้วน ๆ โดยไม่มีประสบการณ์บริการทางการเงินที่อยู่ภายใต้การกำกับ หรือทีมที่มีประสบการณ์ TradFi ลึกแต่ขาดศักยภาพในการประเมินความเสี่ยงบนเชน จะมีช่องว่างเชิงโครงสร้างที่กระบวนการประเมินจะเปิดเผยออกมา

เทคโนโลยี: การควบคุม ไม่ใช่แค่การโฮสต์

DORA (Regulation (EU) 2022/2554) มีผลบังคับใช้กับ CASP โดยตรงและกำหนดกรอบข้อกำหนดด้านความทนทานของ ICT คำถามที่ผู้กำกับดูแลถามเกี่ยวกับเทคโนโลยีไม่ใช่ว่าบริษัทใช้โครงสร้างพื้นฐานอะไร คำถามคือใครเป็นผู้ควบคุมมัน

โครงสร้างพื้นฐานคลาวด์ที่โฮสต์บน AWS, Azure หรือผู้ให้บริการคล้ายกัน เป็นที่ยอมรับได้ภายใต้แนวปฏิบัติการกำกับดูแลปัจจุบัน ปัญหาเกิดขึ้นเมื่อหน่วยงานที่ได้รับอนุญาตในสหภาพยุโรปขาดการควบคุมเชิงผู้ดูแลระบบอย่างมีนัยสำคัญเหนือระบบที่ตนพึ่งพา

หากการจัดการคีย์เข้ารหัสอยู่กับทีมไอทีระดับโลกของบริษัทแม่ หากสิทธิ์เข้าถึงข้อมูลลูกค้าถูกบริหารจากนอกสหภาพยุโรป หรือหากแผนกู้คืนภัยพิบัติต้องพึ่งการอนุมัติจากสำนักงานใหญ่ในประเทศที่สาม หน่วยงานในสหภาพยุโรปย่อมไม่สามารถแสดงความเป็นอิสระเชิงปฏิบัติการอย่างแท้จริงได้

จุดยืนของ ESMA ตามที่สะท้อนในเอกสารการปรึกษาหารือ คือทีมผู้บริหารในสหภาพยุโรปต้องมีการควบคุมจริงเหนือโครงสร้างพื้นฐาน ICT ที่เกี่ยวข้องกับการดำเนินงานของ CASP นโยบายความต่อเนื่องทางธุรกิจและแผนกู้คืนภัยพิบัติที่กำหนดไว้ภายใต้ มาตรา 68(7) ต้องเป็นของและสามารถนำไปปฏิบัติได้โดยนิติบุคคลในสหภาพยุโรป ไม่ใช่ขึ้นกับฟังก์ชันระดับโลกที่อาจตอบสนองหรือไม่ตอบสนองในยามวิกฤต

การทดสอบเชิงปฏิบัติชัดเจน: หากทีมไอทีระดับโลกของบริษัทแม่ไม่สามารถใช้งานได้ในชั่วข้ามคืน หน่วยงานในสหภาพยุโรปสามารถดำเนินงานต่อ เข้าถึงเงินของลูกค้า และคืนทรัพย์สินให้ลูกค้าได้หรือไม่? หากคำตอบคือไม่ได้ หรือไม่ได้หากไม่มีการยกระดับไปยังบุคลากรนอกสหภาพอย่างมีนัยสำคัญ คำถามเรื่อง substance ก็ยังไม่ถูกคลี่คลาย

การปฏิบัติตาม GDPR และข้อกำหนดธรรมาภิบาลข้อมูลซ้อนทับอยู่บนกรอบ DORA การจัดการประมวลผลข้อมูล ความสัมพันธ์ผู้ควบคุม-ผู้ประมวลผล และข้อพิจารณาเรื่องที่ตั้งข้อมูล ล้วนเป็นส่วนหนึ่งของสถาปัตยกรรมทางเทคนิคที่ผู้กำกับดูแลจะตรวจสอบ

การเงิน: เงินทุนที่ใช้งานได้จริง

มาตรา 67 กำหนดมาตรการคุ้มครองเชิงพรูเดนเชียลขั้นต่ำ โดยแบ่งระดับเงินทุนตามประเภทบริการ:

ตัวเลขเงินทุนขั้นต่ำเป็นจุดเริ่มต้น ไม่ใช่เพดาน มาตรการคุ้มครองเชิงพรูเดนเชียลต้องเท่ากับค่าที่สูงกว่า ระหว่างเงินทุนขั้นต่ำถาวรหรือหนึ่งในสี่ของค่าใช้จ่ายคงที่ (fixed overheads) ของปีก่อนหน้า

เมื่อ CASP เติบโตและค่าใช้จ่ายคงที่เพิ่มขึ้น เงื่อนไขหลังจะกลายเป็นข้อจำกัดหลัก เมื่อค่าใช้จ่ายคงที่มากกว่า 4 เท่าของเงินทุนชำระแล้วเริ่มต้น บริษัทต้องเปลี่ยนไปใช้กรอบที่อิงค่าใช้จ่ายคงที่ จุดเปลี่ยนนี้มาถึงเร็วกว่าที่หลายผู้ประกอบการคาด และผู้กำกับดูแลคาดหวังการติดตามเชิงรุก ไม่ใช่การปรับตัวแบบตามหลัง

ประเด็นเชิงโครงสร้างที่ควรสังเกต: เงินทุนต้องชำระเข้าบัญชีที่ถืออยู่กับสถาบันสินเชื่อ (credit institution) อย่างเป็นทางการ

บัญชีของ EMI หรือผู้ให้บริการชำระเงินไม่เป็นไปตามข้อกำหนดนี้ การสร้างความสัมพันธ์กับธนาคารในฐานะธุรกิจคริปโตต้องใช้เวลาและไม่ได้รับประกัน การเริ่มกระบวนการนั้นตั้งแต่เนิ่น ๆ ก่อนยื่นคำขออย่างเป็นทางการ ไม่ใช่ทางเลือก แต่เป็นข้อจำกัดด้านลำดับขั้นที่มีผลต่อไทม์ไลน์การอนุญาตทั้งหมด

ข้อกำหนดให้งบการเงินที่ใช้คำนวณค่าใช้จ่ายคงที่ต้องผ่านการตรวจสอบบัญชี (audited) หรือการรับรองโดยหน่วยงานกำกับดูแลระดับชาติ เพิ่มมิติด้านธุรการอีกชั้น นิติบุคคลที่เพิ่งจัดตั้งและต้องคาดการณ์ค่าใช้จ่ายคงที่ใน 12 เดือนแรก ต้องใส่การคาดการณ์ดังกล่าวในคำขออนุญาต พร้อมระบุระเบียบวิธีอย่างชัดเจน

การเอาต์ซอร์สและเกณฑ์ substance

มาตรา 73 อนุญาตให้ CASP เอาต์ซอร์สฟังก์ชันการปฏิบัติการให้บุคคลที่สามได้ ข้อจำกัดคือ การเอาต์ซอร์สต้องไม่ทำให้นิติบุคคลที่ได้รับอนุญาตกลวงเปล่า ความรับผิดชอบยังคงอยู่ที่ CASP การมอบหมายงานไม่โอนความรับผิด

Supervisory Briefing on Authorization of CASPs ของ ESMA ระบุว่า สัดส่วนของต้นทุนรวมที่เกิดจากฟังก์ชันที่อยู่นอกสหภาพยุโรปเป็นตัวชี้วัดเชิงปฏิบัติว่าเอาต์ซอร์ส “มากเกินไป” หรือไม่ CASP ที่ค่าใช้จ่ายการดำเนินงานส่วนใหญ่ไหลไปยังผู้ให้บริการนอกสหภาพยุโรป แม้จะมีคุณภาพและน่าเชื่อถือ ก็อาจถูกตั้งคำถามว่า หน่วยงานในสหภาพยุโรปมีขีดความสามารถภายในเพียงพอที่จะเป็นผู้ให้บริการที่แท้จริง หรือเป็นเพียงทางผ่าน (conduit)

ความแตกต่างที่ผู้กำกับดูแลวาดไว้คือ ระหว่าง CASP ที่เอาต์ซอร์สฟังก์ชันเฉพาะทางแต่ยังคงการควบคุม กับ CASP ที่เอาต์ซอร์สทุกสิ่งที่เป็นสาระสำคัญแต่คงไว้เพียงรูปแบบทางกฎหมาย อย่างหลังเป็น “เปลือก” ไม่ว่าข้อตกลงจะถูกอธิบายอย่างไรในคำขอ

ความแตกต่างตามเขตอำนาจศาล: กฎหมายเดียวกัน ปฏิบัติไม่เหมือนกัน

MiCA มีผลใช้โดยตรงทั่วทุกประเทศสมาชิกสหภาพยุโรป ข้อกำหนดด้าน substance เป็นมาตรฐานเดียวกัน แต่แนวปฏิบัติการกำกับดูแลไม่เหมือนกัน

ไซปรัสผ่าน CySEC ได้กำหนดอย่างชัดเจนว่า กรรมการส่วนใหญ่ของคณะกรรมการของ CASP ต้องพำนักอยู่ในไซปรัสจริง สำหรับคณะกรรมการที่มีกรรมการบริหาร 2 คนและกรรมการไม่บริหาร 2 คน หมายถึงต้องมีกรรมการที่พำนักในไซปรัสอย่างน้อย 3 คน ข้อกำหนดนี้เกินกว่าที่ข้อความของ MiCA ระบุ และสะท้อนคำสั่ง AML ระดับชาติที่ซ้อนทับอยู่บนกรอบสหภาพยุโรปที่ทำให้สอดคล้องกัน

เอสโตเนีย มีพลวัตต่างออกไป ภายใต้ระบอบการจดทะเบียน VASP เดิมที่บริหารโดย Financial Intelligence Unit เอสโตเนียเคยเป็นหนึ่งในเขตอำนาจศาลที่ขอใบอนุญาตได้ง่ายที่สุดของยุโรป การเปลี่ยนผ่านสู่ MiCA ทำให้ความรับผิดชอบด้านการกำกับดูแลย้ายไปยัง Estonian Financial Supervision and Resolution Authority ซึ่งมีแนวทางเชิงสถาบันต่อการทบทวนและการกำกับดูแลต่อเนื่องที่แตกต่างกัน

สถานการณ์ทางกฎหมายของโปแลนด์ที่กล่าวถึงในตอนก่อน ๆ ของซีรีส์นี้ ทำให้เกิดช่องว่างเชิงโครงสร้าง เนื่องจากกฎหมายภายในประเทศเพื่อรองรับ MiCA ยังไม่ถูกตราขึ้น ส่งผลให้ KNF ยังไม่ได้รับการแต่งตั้งอย่างเป็นทางการเป็นหน่วยงานผู้มีอำนาจ และผู้ถือ VASP ไม่มีช่องทางในประเทศที่ใช้ได้จริงในการยื่นคำขอ CASP

ความแตกต่างเหล่านี้ไม่ใช่ช่องโหว่หรือความแปลกประหลาดทางธุรการ แต่สะท้อนความจริงว่า แม้กรอบกฎหมายจะทำให้สอดคล้องกันแล้ว ก็ยังดำเนินงานผ่านวัฒนธรรมการกำกับดูแลระดับชาติ ข้อจำกัดด้านบุคลากร และประวัติสถาบัน การเลือกเขตอำนาจศาลเพื่อขออนุญาต CASP คือการเลือกผู้กำกับดูแลพร้อมนัยเชิงปฏิบัติทั้งหมดที่ตามมา

สิ่งที่ “การจัดตั้งที่แท้จริง” ต้องการจริง ๆ

เมื่อพิจารณารวมกัน ข้อกำหนดด้าน substance ภายใต้ MiCA สะท้อนปรัชญาการกำกับดูแลมากกว่าจะเป็นเช็กลิสต์ ผู้กำกับดูแลต้องการมั่นใจว่า หากมีบางอย่างผิดพลาด จะมีช่องทางบังคับใช้หรือดำเนินการได้อย่างมีความหมาย

นั่นหมายถึง ผู้นำระดับผู้บริหารต้องติดต่อได้ในเชิงกายภาพและมีความรับผิดตามกฎหมายภายใต้กฎหมายสหภาพยุโรป หมายถึงระบบ ICT ต้องอยู่ภายใต้การควบคุมของนิติบุคคลในสหภาพยุโรปโดยไม่ต้องพึ่งโซ่การอนุมัติจากนอกสหภาพ หมายถึงเงินทุนต้องมีอยู่จริงและมีขนาดเหมาะสมกับความเสี่ยงการดำเนินงานจริง

และหมายถึงธรรมาภิบาลที่นิติบุคคลในสหภาพยุโรปเป็นผู้ตัดสินใจจริง ไม่ใช่เพียงผู้ปฏิบัติตามคำสั่งจากที่อื่น

บริษัทที่มองเรื่องนี้เป็นแบบฝึกหัดด้านเอกสาร มักพบว่ากระบวนการยากกว่าที่คาด บริษัทที่สร้าง substance ก่อน แล้วค่อยจัดทำเอกสารสิ่งที่สร้างขึ้น มักพบว่าตรงไปตรงมากว่า การยื่นคำขอไม่ได้สร้างองค์กร แต่มันอธิบายองค์กรที่ควรมีอยู่แล้วเป็นส่วนใหญ่

แหล่งที่มา:

• ESMA Supervisory Briefing on Authorization of CASPs
• ESMA MiCA Consultation Paper, 2nd Package
• MFSA MiCA Rulebook

บทความนี้อ้างอิงจาก การศึกษา ที่ดำเนินการโดย LegalBison ในเดือนพฤษภาคม 2026 เนื้อหานี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ถือเป็นคำแนะนำทางกฎหมาย