MiCA'yı Anlamak: "AB Ofisimiz Var" Demek Yeterli Değil: Düzenleyicilerin Aslında Ne Görmek İstediği İşte Bu

MiCA Decoded, Bitcoin.com News için hazırlanan, LegalBison'un kurucu ortakları ve genel müdürleri Aaron Glauberman, Viktor Juskin ve Sabir Alijev tarafından yazılan 12 makalelik haftalık bir dizidir. LegalBison, kripto ve FinTech şirketlerine MiCA lisanslama, CASP ve VASP başvuruları ve Avrupa ve ötesindeki düzenleyici yapılandırma konularında danışmanlık vermektedir.

Bu haftaki yazı, LegalBison'da avukat olarak görev yapan Krystian Lapka tarafından yazılmıştır. Krystian, medeni hukuk ve örf ve adet hukukunun kesiştiği noktada stratejik risk yönetiminin yanı sıra, sınır ötesi kurumsal ve ticari işlemler konusunda uzmanlaşmıştır.

---

İlk CASP başvurusu yapan çoğu kurucu, MiCA'nın gerçek bir AB varlığı gerektirdiğini en azından soyut olarak anlıyor. Ancak, düzenleyici kurumun "gerçek" kavramını nasıl tanımladığını hafife alıyorlar.

Tipik bir erken aşama kurulum, kağıt üzerinde tutarlı görünür: uygun bir AB yargı bölgesinde kayıtlı bir merkez, yönetişim belgelerinde adı geçen bir yönetici, bulutta barındırılan veya grubun küresel altyapısından yönetilen ICT sistemleri ve yeni açılmış bir banka hesabında bulunan ödenmiş sermaye.
İçeriden bakıldığında, bu bir AB şirketi gibi görünür. Ulusal Yetkili Makamın bakış açısına göre ise, bir yöneticiye sahip bir posta kutusu gibi görünebilir.

Bu makale, MiCA'nın personel, teknoloji ve finansal dayanıklılık alanlarında gerçeklik gerekliliklerinin aslında ne olduğunu ortaya koyar ve düzenleyicilerin neden her kategoriyi bir belgeleme çalışması değil de işlevsel bir test olarak ele aldığını açıklar.

Tüm bunları yönlendiren endişe aynıdır: posta kutusu şirketlerini, yani elverişli bir yargı alanında kağıt üzerinde var olan ancak bu alanda anlamlı bir ekonomik faaliyet, insan sermayesi veya operasyonel kapasiteye sahip olmayan kuruluşları önlemek.

Efsane: Varlık, Maddi Varlık Demektir

Buradaki düzenleyici mantık, MiCA'dan daha eskidir. Dönüm noktası niteliğindeki Cadbury Schweppes kararında (Dava C-196/04), Avrupa Birliği Adalet Divanı, yerleşim özgürlüğünün gerçek ekonomik faaliyetten yoksun "tamamen yapay düzenlemeler" oluşturmak için kullanılamayacağını belirlemiştir. MiCA, bu ilkeyi doğrudan kripto varlık düzenlemesine dahil etmektedir.

MiCA'nın 59(2) maddesi, yetkili CASP'lerin kayıtlı ofislerinin kripto varlık hizmetlerinin en azından bir kısmını yürüttükleri bir Üye Devlette olması, fiili yönetim yerlerinin Birlik içinde olması ve en az bir yöneticisinin Birlik içinde ikamet etmesi gerektiğini belirtir. Hüküm kısadır. Bunun arkasında yatanlar ise oldukça daha zorlayıcıdır.

ESMA'nın CASP'lerin Yetkilendirilmesine İlişkin Denetim Brifingi, bağlayıcı olmasa da, ulusal yetkili makamların (NCA) bu gereklilikleri pratikte nasıl yorumlamaları gerektiğine dair net bir sinyal vermektedir.

Yasal metin ile denetim beklentisi arasındaki uçurum, birçok başvurunun sorun yaşadığı noktadır.

Personel: Bu Kuruluşu Aslında Kim Yönetiyor?

MiCA kapsamında asgari eşik, AB'de ikamet eden bir yönetici olmasıdır. Denetim kılavuzu bu çıtayı yükseltmektedir.

ESMA'nın brifingi, günlük operasyonları ortaklaşa denetleyen en az iki üst düzey yönetici olmasını öngörmektedir. Gerekçe açıktır: tek bir yönetici, yoğunlaşma riski yaratır ve işleyen bir yönetişim yapısının gerektirdiği iç kontrolleri ortadan kaldırır. Tanımlanmış, birbiriyle örtüşen sorumlulukları olan iki yönetici, beklenen temel şarttır.

Yalnızca ikamet etmek yeterli değildir. Kılavuz, bir yönetim organı üyesinin NCA'nın yetki alanında ikamet etmemesi durumunda, o kişinin otoritenin talebi üzerine iki iş günü içinde yüz yüze toplantılara katılabilmesi gerektiğini belirtmektedir.

Denetleyiciye fiziksel yakınlığın operasyonel olarak önemli olduğu yargı bölgeleri için bu, bir yöneticinin kendi yargı bölgesinden ne kadar uzakta bulunabileceğine dair pratik bir kısıtlamadır.

Zaman ayırma konusu da benzer bir ciddiyetle ele alınmaktadır. ESMA'nın CASP'lerin Yetkilendirilmesine İlişkin Denetim Brifinginde ifade ettiği gibi, üst yönetim kurulu üyelerinin mesai saatlerinin %100'ünü genel olarak CASP rolüne ayırmaları gerektiği yönündedir. Aynı kişinin birden fazla kuruluşta yönetici olarak görev yaptığı çift görev, yalnızca sınırlı durumlarda izin verilir. Dikkatini CASP ile başka bir grup şirketi arasında bölüştüren bir yönetici, uygunluk ve yeterlilik değerlendirmesi sırasında incelemeye maruz kalma olasılığı yüksektir.

Raporlama hiyerarşisi, bireysel profiller kadar önemlidir. Yönetim organı, stratejik ve operasyonel kontrolün, gerçek kararları alan ve talimatları aşağıya ileten üçüncü bir ülkedeki ana şirkette değil, AB kuruluşu içinde olduğunu göstermelidir.

Yöneticileri işlevsel olarak AB dışındaki bir genel merkezin uygulama temsilcisi olarak görev yapan bir AB bağlı kuruluşu, denetim anlamında gerçek bir AB yönetimine sahip bir kuruluş değildir.

Kara Para Aklama (AML) boyutu bunu pekiştirir. Şüpheli faaliyet raporlarını sunmaktan sorumlu kişi (MLRO), fiziksel olarak mevcut olmalı, kuruluş içinde gerçek yetkiye sahip olmalı ve yerel Mali İstihbarat Birimi ile doğrudan etkileşim kurabilmelidir. Bu gereklilik, daha geniş bir küresel eğilimi yansıtmaktadır: FATF ve OECD'nin Kripto Varlık Raporlama Çerçevesi (CARF), aynı mantıkla işler ve öz ve şeffaflık gerekliliklerini AB'nin ötesine genişletir.

MiCA'nın personel gereklilikleri ile CARF birbirinden bağımsız gelişmeler değildir; bunlar, düzenlemeye tabi bir kripto kuruluşunun iç yapısının nasıl olması gerektiğine dair yakınsayan bir uluslararası standardı yansıtmaktadır.

Madde 68(1)'deki toplu uygunluk standardı, yönetim organının hem bireysel hem de toplu olarak uygun bilgi, beceri ve deneyime sahip olmasını gerektirmektedir. Bu serinin önceki bölümünde ele alındığı gibi, bu standart geleneksel finansal piyasalar düzenlemesi, DLT altyapısı ve siber güvenlik ile kurumsal yönetişimi kapsamaktadır. Bu alanların her birinin yönetim organında temsil edilmesi gerekmektedir.

Düzenlenmiş finansal hizmetler deneyimi olmayan, tamamen kripto para kökenli bir ekip ya da derin TradFi deneyimi olan ancak zincir içi riski değerlendirme kapasitesi bulunmayan bir ekip, değerlendirme sürecinde ortaya çıkacak yapısal eksiklikler barındırmaktadır.

Teknoloji: Sadece Barındırma Değil, Kontrol

DORA (Yönetmelik (AB) 2022/2554), CASP'lere doğrudan uygulanır ve ICT dayanıklılık gereklilikleri için bir çerçeve oluşturur. Düzenleyicilerin teknoloji hakkında sorduğu soru, bir firmanın hangi altyapıyı kullandığı değildir. Soru, bunu kimin kontrol ettiği ile ilgilidir.

AWS, Azure veya benzer sağlayıcılar tarafından barındırılan bulut altyapısı, mevcut denetim uygulamaları kapsamında kabul edilebilir. Sorun, AB'de yetkilendirilmiş kuruluşun, bağlı olduğu sistemler üzerinde anlamlı bir idari kontrole sahip olmaması durumunda ortaya çıkar.
Şifreleme anahtarı yönetimi ana şirketin küresel BT ekibinde ise, müşteri verilerine erişim hakları AB dışından yönetiliyorsa veya felaket kurtarma planı üçüncü bir ülkedeki genel merkezin onayına bağlıysa, AB kuruluşu gerçek bir operasyonel bağımsızlık sergileyemez.

ESMA'nın danışma belgelerinde yansıtıldığı üzere tutumu, AB yönetim ekibinin CASP'nin faaliyetleriyle ilgili ICT altyapısı üzerinde fiili kontrol sahibi olması gerektiğidir. Madde 68(7) kapsamında gerekli olan iş sürekliliği politikası ve felaket kurtarma planları, bir kriz durumunda yanıt verebilecek veya veremeyecek küresel bir fonksiyona bağlı olmamalı, AB kuruluşuna ait olmalı ve bu kuruluş tarafından yürütülebilmelidir.

Pratik test nettir: Ana şirketin küresel BT ekibi bir gecede ulaşılamaz hale gelirse, AB kuruluşu faaliyetlerine devam edebilir, müşteri fonlarına erişebilir ve varlıkları müşterilere iade edebilir mi? Cevap hayırsa veya AB dışındaki personele önemli ölçüde başvurmadan bu mümkün değilse, esas mesele çözülmemiştir.

GDPR uyumluluğu ve veri yönetişimi gereklilikleri, DORA çerçevesinin üzerine eklenir. Veri işleme düzenlemeleri, kontrolör-işleyici ilişkileri ve veri yerleşimi hususları, düzenleyicilerin inceleyeceği teknik mimarinin bir parçasını oluşturur.

Finansal: Gerçekten İşe Yarayan Sermaye

Madde 67, asgari ihtiyatlı koruma önlemlerini belirler. Sermaye kademeleri hizmet sınıfına göre tanımlanır:

Asgari sermaye rakamı bir başlangıç noktasıdır, tavan değildir. İhtiyatlı güvenlik önlemleri, kalıcı asgari sermaye ile bir önceki yılın sabit genel giderlerinin dörtte biri arasında hangisi daha yüksekse ona eşit olmalıdır.

Bir CASP büyüdükçe ve sabit genel giderleri arttıkça, bu ikinci şart bağlayıcı bir kısıtlama haline gelir. Genel giderler, başlangıçtaki ödenmiş sermayenin dört katını aştığında, firma genel giderlere dayalı çerçeveye geçmelidir. Bu dönüm noktası, birçok operatörün tahmin ettiğinden daha hızlı gelir ve düzenleyiciler, reaktif ayarlamalar yerine proaktif izleme bekler.

Dikkat edilmesi gereken yapısal bir nokta: sermaye, resmi bir kredi kurumunda bulunan bir hesaba yatırılmalıdır.

Bir EMI veya ödeme hizmeti sağlayıcısının hesabı bu gerekliliği karşılamaz. Kripto işletmesi olarak bir bankacılık ilişkisi kurmak zaman alır ve garantisi yoktur. Başvuru resmi olarak yapılmadan önce bu sürece erken başlamak isteğe bağlı değildir. Bu, tüm yetkilendirme zaman çizelgesini etkileyen bir sıralama kısıtlamasıdır.

Sabit genel gider hesaplamasında kullanılan mali tabloların ulusal düzenleyici otoriteler tarafından usulüne uygun olarak denetlenmesi veya onaylanması gerekliliği, idari boyutu daha da artırmaktadır. İlk on iki aylık genel gider tahminlerini yapan yeni kurulan kuruluşlar, bu tahminleri yetkilendirme başvurularına dahil etmeli ve metodolojiyi açıkça belgelemelidir.

Dış Kaynak Kullanımı ve Maddi Eşik

73. madde, CASP'lerin operasyonel işlevlerini üçüncü taraflara dış kaynak olarak devretmesine izin vermektedir. Kısıtlama, dış kaynak kullanımının yetkilendirilmiş kuruluşu içi boşaltmamasıdır. Sorumluluk CASP'de kalır; yetki devri, hesap verebilirliği devretmez.

ESMA'nın CASP'lerin Yetkilendirilmesine İlişkin Denetim Brifingi, dış kaynak kullanımının aşırıya kaçıp kaçmadığının pratik bir göstergesi olarak, AB dışındaki işlevlere atfedilebilen toplam maliyetlerin yüzdesini belirlemektedir. Operasyonel harcamalarının çoğunluğu AB dışındaki hizmet sağlayıcılara akan bir CASP, bu hizmet sağlayıcılar iyi yönetilen ve saygın kuruluşlar olsa bile, AB kuruluşunun bir aracı değil, gerçek bir hizmet sağlayıcı olarak nitelendirilebilecek yeterli iç kapasiteye sahip olup olmadığı konusunda sorgulanabilir.

Düzenleyici kurum, kontrolü elinde tutarken belirli işlevleri dış kaynaklara devreden CASP'ler ile, sadece yasal yapıyı elinde tutarken tüm önemli işlevleri dış kaynaklara devreden CASP'ler arasında bir ayrım yapmaktadır. İkincisi, başvuruda düzenlemenin nasıl tanımlandığına bakılmaksızın bir paravan niteliğindedir.

Yargı Yetkisi Farklılıkları: Aynı Yasa, Farklı Uygulama

MiCA, tüm AB üye devletlerinde doğrudan uygulanabilir. Esas gereklilikler tek tiptir. Denetim uygulamaları ise öyle değildir.

Kıbrıs, CySEC aracılığıyla, bir CASP'nin yönetim kurulunun çoğunluğunun fiziksel olarak Kıbrıs'ta ikamet etmesini açıkça şart koşmuştur. İki icra ve iki icra dışı üyeden oluşan bir yönetim kurulu için bu, en az üç Kıbrıs'ta ikamet eden üye anlamına gelir. Bu, MiCA metninin gerektirdiklerinin ötesine geçmekte ve uyumlaştırılmış AB çerçevesinin üzerine eklenmiş ulusal AML direktiflerini yansıtmaktadır.
Estonya ise farklı bir dinamik sergilemektedir. Finansal İstihbarat Birimi tarafından yönetilen önceki VASP kayıt rejimi altında Estonya, Avrupa'nın en erişilebilir lisanslama yargı bölgelerinden biri haline gelmişti. MiCA'ya geçiş, denetim sorumluluğunu Estonya Finansal Denetim ve Çözüm Otoritesine kaydırmış ve bu da inceleme ve sürekli denetime farklı bir kurumsal yaklaşım getirmiştir.

Bu serinin önceki bölümlerinde ele alınan Polonya'nın yasal durumu, ulusal MiCA uygulama yasasının henüz yürürlüğe girmemesi nedeniyle yapısal bir boşluk yaratmıştır; bu durum, KNF'yi yetkili otorite olarak resmi olarak atamamış ve VASP sahiplerini uygulanabilir bir ulusal CASP başvuru yolundan mahrum bırakmıştır.

Bu farklılıklar, yasal boşluklar veya idari tuhaflıklar değildir. Bunlar, uyumlaştırılmış bir yasal çerçevenin hala ulusal denetim kültürleri, personel kısıtlamaları ve kurumsal geçmişler aracılığıyla işlediğini yansıtmaktadır. CASP yetkilendirmesi için bir yargı yetkisi seçmek, bunun getirdiği tüm pratik sonuçlarla birlikte bir düzenleyici kurum seçmek anlamına gelir.

'Gerçek Yerleşim'in Aslında Gerektirdikleri

Bir bütün olarak ele alındığında, MiCA kapsamındaki maddi gereklilikler bir kontrol listesinden ziyade bir denetim felsefesini yansıtmaktadır. Düzenleyici kurum, bir sorun ortaya çıktığında anlamlı bir başvuru yoluna sahip olacağından emin olmak istemektedir.

Bu, üst yönetimin fiziksel olarak ulaşılabilir ve AB hukuku kapsamında yasal olarak sorumlu olması anlamına gelir. AB dışındaki yetkilendirme zincirlerine bağımlı olmaksızın AB kuruluşu tarafından kontrol edilebilen ICT sistemleri anlamına gelir. Gerçekten kullanılabilir ve fiili operasyonel riske göre boyutlandırılmış sermaye anlamına gelir.

Ve bu, AB kuruluşunun başka yerlerden gelen talimatları uygulamak yerine gerçek kararlar aldığı bir yönetişim anlamına gelir.

Bunu bir dokümantasyon çalışması olarak ele alan firmalar, süreci beklenenden daha zor bulma eğilimindedir. Önce özü oluşturup sonra oluşturduklarını belgeleyen firmalar ise süreci daha basit bulma eğilimindedir. Başvuru, organizasyonu yaratmaz. Zaten büyük ölçüde var olması gereken bir organizasyonu tanımlar.

Kaynaklar:

• CASPs'nin Yetkilendirilmesine İlişkin ESMA Denetim Brifingi
• ESMA MiCA Danışma Belgesi, 2. Paket
• MFSA MiCA Kural Kitabı

Bu makale, LegalBison tarafından Mayıs 2026'da yapılan bir araştırmaya dayanmaktadır. İçerik yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz.