«Ми — це DeFi, тому MiCA на нас не поширюється». На жаль, Європейське управління з банківської діяльності (EBA) та Європейська організація з цінних паперів та ринків (ESMA) дотримуються іншої думки

MiCA Decoded — це щотижнева серія з 12 статей для Bitcoin.com News, співавторами якої є співзасновники та керуючі директори LegalBison: Аарон Глауберман, Віктор Юскін та Сабір Алієв. LegalBison консультує крипто- та FinTech-компанії з питань ліцензування MiCA, подачі заявок на CASP та VASP, а також регуляторного структурування в Європі та за її межами.

Стаття цього тижня написана Ейрою Ярві, старшим юристом LegalBison, яка очолює глобальні дослідження в галузі регулювання та впровадження ліцензування CASP та інших складних ліцензій. Ейра активно впроваджує глобальні дослідження в активні продукти, орієнтовані на клієнтів.

DeFi на підйомі

Децентралізовані фінанси набирають обертів останніми роками. Криптоіндустрія майже щодня стає свідком появи нових DeFi-проектів. Нові блокчейн-мережі, протоколи та децентралізовані додатки (dApps) становлять основу для обговорень ентузіастів DeFi та інформаційних бюлетенів. Вони обертаються навколо тем ефективності, прозорості, компонуваності, приватності та доступності DeFi. З набранням чинності MiCAR (Регламенту про ринки криптоактивів) багато команд розробників DeFi зараз розглядають можливість розширення своїх проєктів на ринки ЄС.

Однак у цьому контексті одне питання залишається важливішим за всі інші. Як команда може гарантувати, що проєкт, який вона створює, відповідає законодавству?

Для більшості DeFi-стартапів відповідь може здатися простою: MiCAR містить виняток для «повністю децентралізованих» проєктів, на який багато стартапів впевнено покладаються, обґрунтовуючи свою впевненість у запуску своїх проєктів в ЄС без звернення за юридичною консультацією, не кажучи вже про відповідність вимогам MiCAR.

Ця стаття має на меті розвіяти поширену думку, що якщо проєкт є достатньо децентралізованим, MiCAR не має значення для команди. На жаль, регуляторні рекомендації спростовують цей міф!

Міф: MiCA не впливає на DeFi та постачальників некастодіальних послуг

Стаття 3(1), пункт 1 MiCAR визначає технологію розподіленого реєстру («DLT») як «технологію, що забезпечує функціонування та використання розподілених реєстрів», а пункт 2 визначає «розподілений реєстр» як «сховище інформації, що зберігає записи про транзакції та яке спільно використовується та синхронізується між набором вузлів мережі DLT за допомогою механізму консенсусу».

Преамбула 22 MiCAR надає найважливіші вказівки щодо взаємозв'язку DeFi з Регламентом. У ній зазначено, що MiCAR розроблено для охоплення послуг та діяльності, що виконуються, надаються або контролюються, прямо чи опосередковано, фізичними або юридичними особами та певними підприємствами, які займаються послугами з криптоактивів, навіть у випадках, коли йдеться про децентралізацію.

Однак у преамбулі міститься таке важливе формулювання: «У випадках, коли послуги з криптоактивів надаються повністю децентралізовано без будь-яких посередників, вони не повинні підпадати під сферу застосування цього Регламенту». Значення цього положення полягає у двох ключових фразах: «повністю децентралізовано» та «без будь-яких посередників».

У тексті самого Регламенту термін «повністю децентралізовано» ніде не визначається в його оперативних положеннях. Єдиним джерелом цього терміна є пункт 22 преамбули, який є частиною преамбули, а не юридично зобов’язуючих формальних положень. Пункт 83 преамбули також передбачає, що «постачальники апаратного чи програмного забезпечення для некастодіальних гаманців не повинні підпадати під дію цього Регламенту», не визначаючи при цьому чітко, в якій мірі надання апаратного чи програмного забезпечення становить повністю децентралізовану послугу, виключену з MiCAR.

У преамбулі 109 визнаються ці проблеми з тлумаченням і доручається розробка проектів регуляторних та імплементаційних технічних стандартів Європейському банківському органу («ЄБО») та Європейському органу з цінних паперів та ринків («ЄОЦПР»).

При визначенні того, чи підпадають послуги під сферу застосування MiCAR, з преамбули 22 та подальших регуляторних рекомендацій можна виокремити дві умови:

• По-перше, жодна окрема організація не може здійснювати контроль над параметрами протоколу, механізмами управління або основною технологічною інфраструктурою, на якій функціонує послуга з криптоактивів.
• По-друге, користувачі повинні мати доступ до того, що є «ресурсом загального користування», а не купувати послуги у визначеного постачальника, з яким існують договірні відносини щодо надання послуг.

Ці умови мають вирішальне значення для оцінки того, чи підпадає будь-який проект DeFi під дію MiCAR.

Пастка переоцінки рівня децентралізації

У світі, де стрімко розвиваються технології, панує геополітична нестабільність та існують фрагментовані фінансові системи, що залежать від ручних процесів та посередників, DeFi пропонує прозоре та безмежне рішення, яке кардинально змінює спосіб ініціювання, обробки та виконання транзакцій. На відміну від традиційних моделей фінансових систем, де транзакції спочатку мають пройти через низку посередників та інституційних бекендів, перш ніж бути виконаними та врегульованими, у DeFi користувачі здійснюють транзакції, взаємодіючи безпосередньо з базовою мережею блокчейну через децентралізовані протоколи та інтерфейси, тим самим усуваючи потребу в посередниках та складних системних інфраструктурах.

У світі ончейн-права межа між повною децентралізацією та її відсутністю тонша, ніж може здаватися. Перш ніж розпочати будь-яку роботу, юрист, який працює з децентралізованим проєктом Web3, спочатку з’ясує, чи можна вважати проєкт децентралізованим, проаналізувавши та оцінивши його рівні, стан децентралізації, а також плани команди щодо власності та управління.

На цьому початковому етапі розробки правової стратегії є багато технічних та архітектурних елементів, які юрист повинен оцінити, щоб дійти остаточної згоди щодо стану децентралізації проєкту. Хоча команда може бути переконана, що їхній проєкт є повністю децентралізованим, з усіма його елементами, такими як DLT, протокол та dApp, насправді початкова оцінка може виявити протилежне.

Щоб досягти стану справжньої, повної децентралізації, всі елементи проекту повинні відповідати критеріям повної автономії та відсутності внутрішнього чи зовнішнього впливу в усій екосистемі проекту та її численних елементах, включаючи, але не обмежуючись, управлінням, власністю, інтерфейсами тощо, чого, при детальнішому розгляді, вдається досягти дуже небагатьом проектам.

Цю висновку найкраще ілюструє недавня подія у світі DeFi. 21 квітня 2026 року Рада безпеки Arbitrum заморозила понад 30 ETH (приблизно 71 млн доларів США), пов’язаних з експлойтом Kelp DAO. Керівний орган, що складається з 12 членів, зміг відреагувати на компрометацію, перемістивши кошти в проміжний гаманець, з якого їх можна випустити лише шляхом голосування з питань управління, фактично заблокувавши кошти в гаманці.

Цей приклад вказує на існування дискреційного оперативного контролю: навіть якщо Arbitrum, за визначенням, є бездозвільною мережею рівня 2, яка, на перший погляд, є повністю децентралізованою, саме здійснення контролю над активами користувачів є тим, що не пройде тест MiCAR на повну децентралізацію. У цьому випадку «субстанція над формою» визначає сферу регулювання, незалежно від бездозвільності базового реєстру.

Таким чином, простого твердження про те, що DeFi-проект є повністю децентралізованим, недостатньо, щоб виключити обов’язок дотримуватися MiCAR та отримати необхідну авторизацію як CASP. Юристи в першу чергу оцінюватимуть технічну архітектуру проекту, логіку власності та правила управління, що означає, що вони застосовують оцінку «субстанція над формою» замість семантики. Європейські регуляторні органи, такі як Європейський банківський орган (EBA) та Європейський орган з цінних паперів та ринків (ESMA), повністю підтримують цей підхід.

Погляд ESMA та EBA на DeFi

Погляд ESMA на децентралізовані фінанси суттєво еволюціонував завдяки численним консультаційним пакетам і, що найважливіше, завдяки Спільному звіту з EBA щодо останніх подій у сфері криптоактивів, опублікованому 13 січня 2025 року (ESMA75-453128700-1391 / EBA/Rep/2025/01), підготовленому відповідно до статті 142 MiCAR.

Аргументація ESMA щодо спектру децентралізації є основою цієї оцінки. У своєму другому пакеті консультацій щодо регуляторних та імплементаційних технічних стандартів ESMA запропонувала визначення «технології розподіленого реєстру без дозволу» як «технології, що забезпечує функціонування та використання розподілених реєстрів, в яких жодна особа не контролює розподілений реєстр або його використання, а також не надає основних послуг для використання такого розподіленого реєстру, і вузли мережі DLT можуть бути налаштовані будь-якими особами, що дотримуються технічних вимог та протоколів».

Це визначення базується на консультативному документі Ради з фінансової стабільності, який розрізняє бездозвільну (повністю децентралізовану) DLT, дозвільну DLT, що допускає певний ступінь централізації, та централізовані платформи. ESMA визнає, що «точний обсяг цього винятку залишається невизначеним», і вважає, що оцінка кожної системи повинна проводитися в індивідуальному порядку з урахуванням особливостей системи.

Європейська організація з цінних паперів та ринків (ESMA) визнає, що децентралізація не є бінарним поняттям, а існує на спектрі від централізації до різних ступенів децентралізації: «У випадку з DEX блокчейн замінює посередника. DEX використовують автономний код (який часто називають смарт-контрактами) для виконання угод безпосередньо на рівні розрахунків блокчейну (з різним ступенем децентралізації)».

Спільний звіт за січень 2025 року надає емпіричні дані на підтримку аналітичної рамки. DeFi становить приблизно чотири відсотки від глобальної капіталізації ринку криптоактивів, причому серед користувачів з ЄС спостерігаються дещо вищі показники проникнення. Звіт підтверджує, що дуже мало систем DeFi досягають справді повної децентралізації у тому вигляді, який передбачено у преамбулі 22. У звіті зазначається, що навіть нібито децентралізовані протоколи зазвичай мають ідентифіковані суб’єкти, які здійснюють різний ступінь контролю над управлінням, оновленнями протоколу, розгортанням смарт-контрактів та структурами комісій.

Щодо постачальників апаратного та програмного забезпечення допоміжних послуг CASP, позиція, що випливає з рекомендацій ESMA, полягає в тому, що суб’єкти, які лише створюють та продають інструменти розробки програмного забезпечення, додатки або платформи для надання або торгівлі криптоактивами, не класифікуються автоматично як CASP, якщо їхня діяльність обмежується створенням та продажем зазначених послуг.

Однак суб’єкти, які контролюють створення та розробку програмного забезпечення або платформ для надання послуг з криптоактивів, можуть вважатися CASP, якщо вони зберігають контроль або достатній вплив на криптоактиви, програмне забезпечення, протокол, платформу або ділові відносини з користувачами. Отже, вирішальним критерієм є контроль та вплив, а не лише технологічна участь.

Роль договірних відносин у визначенні повної децентралізації ще більше підкреслюється аналізом ESMA статті 73 MiCAR, яка стосується аутсорсингу послуг або діяльності третім сторонам. ESMA робить висновок, що не існує правової основи для класифікації бездозвільних DLT, що використовуються CASP, як сторонніх постачальників, оскільки для взаємодії з бездозвільними блокчейнами не потрібні офіційні договірні відносини. Це призводить до важливого висновку, що бездозвільні DLT можуть розглядатися як форма ресурсу «загального блага», тоді як дозвільні DLT, що експлуатуються комерційними підприємствами, зазвичай передбачають офіційні договірні домовленості і, отже, становлять відносини «стороннього постачальника». Це розрізнення є основою подальшої оцінки в цьому меморандумі.

У Спільному звіті також розглядаються ризики МЛ/ТФ та питання ІКТ, що стосуються децентралізованих систем. Відсутність традиційних засобів контролю у сфері ПВК/ФТ у суто децентралізованих системах викликає значні занепокоєння з точки зору регулювання, оскільки процедури «знай свого клієнта» та моніторинг транзакцій зазвичай відсутні або є неповними. У звіті зазначається, що ризики у сфері ІКТ є одними з головних проблем, причому більшість фінансових втрат, пов’язаних із DeFi, можна пояснити вразливістю смарт-контрактів, маніпулюванням оракулами та атаками типу «фронт-раннінг», включаючи експлуатацію максимальної витяжної вартості («MEV»).

Ці фактори ризику, хоча й не є визначальними для регуляторної класифікації, формують підхід до нагляду за суб’єктами, що діють на різних рівнях децентралізації.

Рамки FATF та договірні відносини

Рекомендації FATF щодо VASP та DeFi забезпечують базову аналітичну структуру, яка була прийнята та вдосконалена ESMA. Відповідно до Оновлених рекомендацій FATF щодо підходу, заснованого на ризиках, до віртуальних активів та постачальників послуг у сфері віртуальних активів (жовтень 2021 р.), особа, яка створює або продає програмне забезпечення чи платформу віртуальних активів, може не вважатися постачальником послуг у сфері віртуальних активів, якщо вона займається виключно створенням або продажем такого програмного забезпечення чи платформи, причому наголос робиться на слові «виключно».

У випадках, коли творці, власники, оператори або інші особи, як видається, зберігають контроль або чинять достатній вплив на механізми DeFi, навіть якщо ці механізми здаються децентралізованими, вони можуть підпадати під визначення FATF щодо VASP, якщо вони надають або активно сприяють наданню послуг VASP. Контроль або значний вплив можуть проявлятися через контроль над активами або аспектами протоколу послуги, а також через постійні ділові відносини між оператором та користувачами, навіть якщо цей контроль здійснюється через смарт-контракт або, в деяких випадках, через протоколи голосування.

Аргументація FATF закладає основу для оцінки децентралізації відповідно до MiCAR, встановлюючи два ключові принципи:

• По-перше, власників та операторів, а також ступінь їхнього контролю над DeFi часто можна визначити за їхніми відносинами до діяльності, що здійснюється, а не за позначками, застосованими до угоди.
• По-друге, часткова централізація не може бути автоматично виключена, навіть якщо в наданні послуги беруть участь інші сторони, крім основного постачальника послуг, або якщо частини процесу автоматизовані за допомогою смарт-контрактів.

Особливої уваги заслуговує роль договірних відносин в оцінці децентралізації. Стаття 73 MiCAR, що стосується аутсорсингу послуг або діяльності третім сторонам для виконання операційних функцій, регулює, як CASP повинні вирішувати ризики, пов’язані з сторонніми постачальниками.

Однак, як визнається у Другому консультаційному документі ESMA, не існує правової основи для класифікації бездозвільних DLT, що використовуються CASP, як сторонніх постачальників, оскільки для взаємодії з бездозвільними блокчейнами не потрібні офіційні договірні відносини, такі як угода про рівень обслуговування. Європейська організація з цінних паперів та ринків (ESMA) робить висновок, що бездозвільні технології розподіленого реєстру (DLT) можуть розглядатися як форма ресурсу «загального блага», тоді як дозвільні DLT, що експлуатуються комерційними підприємствами, зазвичай передбачають укладення договорів щодо блокчейн-продуктів під білою маркою, тим самим створюючи відносини з постачальниками-третіми сторонами.

Цей висновок має глибокі наслідки для регуляторної оцінки платформ, побудованих на бездозвільній інфраструктурі. Якщо платформа розгортає смарт-контракти на бездозвільному блокчейні, такому як Ethereum, використання цієї блокчейн-інфраструктури саме по собі не встановлює відносин із стороннім постачальником послуг.

Однак, якщо оператор платформи зберігає контроль над смарт-контрактами, може оновлювати або модифікувати їхню функціональність, контролює доступ до інтерфейсу користувача або зберігає адміністративні ключі, які можуть призупиняти, заморожувати або модифікувати протокол, ці централізовані елементи ставлять оператора під дію MiCAR незалежно від бездозвільного характеру базового реєстру.

Отже, критерій є функціональним, а не технологічним: він стосується того, який контроль фактично здійснює оператор, а не на якій технології побудована система.

Основні висновки:

Беручи до уваги вищезазначений аналіз, а зокрема аргументацію ESMA, викладену в консультаційних документах та Спільному звіті за січень 2025 року, ми вважаємо, що для цілей цієї оцінки справедливими є такі твердження.

• По-перше, якщо жодна фізична або юридична особа не контролює протокол або платформу DeFi та їх використання, і жодна особа не виконує фундаментальну та незамінну роль у їхній роботі, без якої технологія не може бути використана, протокол або платформа DeFi можуть вважатися такими, що не підпадають під сферу застосування MiCAR, оскільки є «повністю децентралізованими» у значенні пункту 22 преамбули.
• По-друге, сама лише розробка програмного забезпечення або допоміжних інструментів для CASP не вважається послугою з криптоактивів, якщо до сфери діяльності розробника не входять додаткові аспекти, що регулюються MiCAR, такі як вплив на пропозицію, продаж, передачу, зберігання або торгівлю криптоактивами.

Однак практичне застосування цих принципів до будь-якого DeFi-проєкту вимагає ретельного вивчення фактичного управління та операційних характеристик його екосистеми. Якщо архітектура проєкту вказує на централізований контроль над випуском токенів, параметрами протоколу або управлінням екосистемою, він навряд чи відповідатиме вимогам щодо винятку «повністю децентралізованого» з Преамбули 22, і послуги, що надаються у зв’язку з таким проєктом, повинні оцінюватися відповідно до положень MiCAR.

Що ми розшифрували

Виняток щодо «повністю децентралізованих» проектів є надзвичайно вузьким: у преамбулі 22 MiCA зазначено, що послуги, які надаються «повністю децентралізовано без будь-яких посередників», не підпадають під дію регламенту, але досягнення такого справжнього стану повної децентралізації є надзвичайно рідкісним. Якщо будь-який окремий суб’єкт здійснює контроль над управлінням, параметрами протоколу або основною інфраструктурою, виняток не застосовується.

Суть, а не форма, визначає відповідність вимогам: Регулюючі органи не зважають на маркетингові заяви та технічну семантику, а оцінюють фактичний операційний контроль. Регулятивний тест є функціональним, а не технологічним: якщо оператор зберігає адміністративні ключі, контролює інтерфейс або має можливість оновлювати чи призупиняти смарт-контракти, він підпадає під дію MiCA.

Децентралізація існує на спектрі: ESMA не розглядає децентралізацію як бінарне поняття. Навіть якщо проект значною мірою покладається на автономний код та смарт-контракти, наявність ідентифікованих суб’єктів, які здійснюють різний ступінь контролю над структурами комісій, оновленнями протоколу або управлінням, спричинить ретельну перевірку з боку регуляторних органів.

Блокчейни без дозволів є «загальним благом»: використання публічного блокчейну без дозволів не створює офіційних відносин аутсорсингу з третьою стороною відповідно до статті 73 MiCA, оскільки ESMA класифікує їх як ресурси «загального блага». Однак розгортання смарт-контрактів на інфраструктурі загального блага не захищає оператора платформи від MiCA, якщо він зберігає функціональний контроль над цими контрактами.

Розробники програмного забезпечення не є автоматично CASP: Сам факт створення та продажу некастодіального програмного забезпечення або обладнання не класифікує суб’єкта господарювання автоматично як постачальника послуг у сфері криптоактивів (CASP). Однак, якщо розробники або оператори зберігають достатній вплив на криптоактиви, платформу або поточні ділові відносини з користувачами, вони перетинають регуляторний поріг і будуть регулюватися як CASP.

Ця стаття базується на дослідженні, проведеному LegalBison у квітні 2026 року. Її зміст має виключно інформаційний характер і не є юридичною порадою.