Розшифровка MiCA: «У нас є представництво в ЄС» — цього недостатньо: ось що насправді хочуть бачити регулятори

MiCA Decoded — це щотижнева серія з 12 статей для Bitcoin.com News, співавторами якої є співзасновники та керуючі директори LegalBison: Аарон Глауберман, Віктор Юскін та Сабір Алієв. LegalBison консультує крипто- та FinTech-компанії з питань ліцензування MiCA, подання заявок на CASP та VASP, а також регуляторного структурування в Європі та за її межами.

Статтю цього тижня написав Кристіан Лапка, юрист LegalBison. Кристіан спеціалізується на транскордонних корпоративних та комерційних транзакціях, а також на стратегічному управлінні ризиками на стику цивільного та загального права.

---

Більшість засновників, які готуються до подання своєї першої заявки на CASP, розуміють, принаймні абстрактно, що MiCA вимагає реальної присутності в ЄС. Що вони недооцінюють, так це те, як регулятор визначає поняття «реальна».

Типова організаційна структура на початковому етапі виглядає логічною на папері: зареєстрований офіс у сприятливій юрисдикції ЄС, директор, зазначений у документах про управління, ІКТ-системи, розміщені у хмарі або керовані з глобальної інфраструктури групи, та сплачений капітал на нововідкритому банківському рахунку.

Зсередини це виглядає як компанія ЄС. З точки зору національного компетентного органу це може виглядати як поштова скринька з прикріпленим директором.

У цій статті викладено, чого насправді вимагають вимоги MiCA щодо сутності в плані персоналу, технологій та фінансової стійкості, а також пояснено, чому регулятори розглядають кожну категорію як функціональний тест, а не як процедуру оформлення документів.

Усі ці заходи спрямовані на одне й те саме: запобігання створенню «поштових скриньок» — юридичних осіб, які існують на папері у сприятливій юрисдикції, але не мають жодної значущої економічної діяльності, людського капіталу чи операційних можливостей у ній.

Міф: присутність дорівнює сутності

Логіка регулювання тут старша за MiCA. У знаковому рішенні у справі Cadbury Schweppes (справа C-196/04) Суд Європейського Союзу встановив, що свобода заснування не може використовуватися для створення «цілком штучних схем», які не мають справжньої економічної діяльності. MiCA кодифікує цей принцип безпосередньо в регулюванні криптоактивів.

Стаття 59(2) MiCA встановлює, що авторизовані CASP повинні мати зареєстрований офіс у державі-члені, де вони здійснюють принаймні частину своїх послуг з криптоактивів, повинні мати місце ефективного управління в межах Союзу та повинні мати принаймні одного директора, який проживає в Союзі. Положення є коротким. Те, що стоїть за ним, є значно більш вимогливим.

Інформаційний бюлетень ESMA щодо авторизації CASP, хоча й не є обов’язковим, чітко вказує, як національні компетентні органи (NCA) мають тлумачити ці вимоги на практиці.

Саме розбіжність між текстом закону та очікуваннями наглядових органів є причиною труднощів у багатьох заявках.

Персонал: хто насправді керує цією організацією

Мінімальний поріг згідно з MiCA — це один директор-резидент ЄС. Наглядові рекомендації підвищують цю планку.

Інформаційний бюлетень ESMA передбачає, що щонайменше двоє керівників вищого рівня спільно контролюють повсякденну діяльність. Логіка проста: один керівник створює ризик концентрації та усуває внутрішні перевірки, необхідні для функціонування структури управління. Двоє керівників із чітко визначеними, що частково перетинаються, обов’язками — це очікуваний базовий рівень.

Само по собі місце проживання не є достатнім. У рекомендаціях зазначено, що якщо член керівного органу не є резидентом юрисдикції національного компетентного органу (NCA), ця особа повинна бути здатна особисто відвідувати засідання на вимогу органу протягом двох робочих днів.

Для юрисдикцій, де фізична близькість до наглядового органу має оперативне значення, це є практичним обмеженням щодо того, як далеко від юрисдикції проживання директор може фактично перебувати.

До питання часу приділяється така ж серйозна увага. Позиція ESMA, викладена в її Інформаційному бюлетені з питань нагляду щодо авторизації CASP, полягає в тому, що члени виконавчого правління, як правило, повинні присвячувати 100% свого робочого часу виконанню обов’язків CASP. Поєднання посад, коли одна й та сама особа обіймає керівні посади в декількох організаціях, дозволяється лише в обмежених випадках. Керівник, який розподіляє свою увагу між CASP та іншою компанією групи, ймовірно, приверне до себе пильну увагу під час оцінки відповідності та доброчесності.

Підпорядкованість має таке ж значення, як і індивідуальні профілі. Керівний орган повинен продемонструвати, що стратегічний та операційний контроль належить організації в ЄС, а не материнській компанії в третій країні, яка приймає реальні рішення та видає вказівки вниз.

Дочірня компанія в ЄС, керівники якої функціонально виконують роль виконавців для штаб-квартири за межами ЄС, не є, з точки зору нагляду, організацією з справжнім керівництвом в ЄС.

Аспект протидії відмиванню грошей (AML) підкріплює це. Особа, відповідальна за подання звітів про підозрілу діяльність (MLRO), повинна бути фізично присутньою, мати реальні повноваження в організації та мати можливість безпосередньо взаємодіяти з місцевим підрозділом фінансової розвідки. Ця вимога відображає ширшу глобальну тенденцію: FATF та Рамка звітності щодо криптоактивів (CARF) ОЕСР діють за тією ж логікою, поширюючи вимоги щодо сутності та прозорості за межі ЄС.

Вимоги MiCA до персоналу та CARF не є непов'язаними розробками; вони відображають збіжний міжнародний стандарт щодо того, як має виглядати зсередини регульована криптоорганізація.

Колективний стандарт придатності, передбачений статтею 68(1), вимагає, щоб керівний орган володів відповідними знаннями, навичками та досвідом як індивідуально, так і колективно. Як було розглянуто в попередній частині цієї серії, цей стандарт охоплює регулювання традиційних фінансових ринків, інфраструктуру DLT та кібербезпеку, а також організаційне управління. Кожна з цих сфер має бути представлена в команді.

Команда, що повністю складається з фахівців з криптосфери без досвіду роботи у сфері регульованих фінансових послуг, або команда з глибоким досвідом у традиційній фінансовій сфері, але без здатності оцінювати ризики в ланцюжку, має структурні прогалини, які виявляться в процесі оцінки.

Технології: контроль, а не лише хостинг

DORA (Регламент (ЄС) 2022/2554) безпосередньо застосовується до CASP та встановлює рамки вимог до стійкості ІКТ. Питання, яке регулятори ставлять щодо технологій, полягає не в тому, яку інфраструктуру використовує компанія. Питання полягає в тому, хто її контролює.

Хмарна інфраструктура, що розміщується на AWS, Azure або у подібних провайдерів, є прийнятною згідно з чинною практикою нагляду. Проблема виникає, коли суб’єкт, уповноважений в ЄС, не має значного адміністративного контролю над системами, від яких він залежить.

Якщо управління ключами шифрування здійснює глобальна ІТ-команда материнської компанії, якщо права доступу до даних клієнтів адмініструються з-поза меж ЄС, або якщо план відновлення після аварій залежить від схвалення штаб-квартири в третій країні, суб’єкт ЄС не може продемонструвати справжню операційну незалежність.

Позиція ESMA, як це відображено в її консультаційних матеріалах, полягає в тому, що керівна команда в ЄС повинна мати фактичний контроль над ІКТ-інфраструктурою, що має відношення до діяльності CASP. Політика забезпечення безперервності бізнесу та плани відновлення після аварій, що вимагаються згідно зі статтею 68(7), повинні належати суб’єкту господарювання в ЄС та бути реалізовані ним, а не залежати від глобальної функції, яка може реагувати на кризу, а може й ні.

Практичний тест є чітким: якщо глобальна ІТ-команда материнської компанії раптово стала недоступною, чи змогла б організація в ЄС продовжувати свою діяльність, отримувати доступ до коштів клієнтів та повертати активи клієнтам? Якщо відповідь «ні» або «ні, без значного залучення персоналу з-поза меж ЄС», питання щодо сутності не вирішено.

Вимоги щодо дотримання GDPR та управління даними накладаються на рамки DORA. Угоди про обробку даних, відносини між контролером та обробником, а також міркування щодо місцезнаходження даних — все це є частиною технічної архітектури, яку перевірятимуть регуляторні органи.

Фінансовий аспект: капітал, який дійсно працює

Стаття 67 встановлює мінімальні пруденційні гарантії. Рівні капіталу визначаються за класом послуг:

Мінімальний розмір капіталу є відправною точкою, а не верхньою межею. Заходи пруденційного контролю повинні дорівнювати більшому з двох значень: постійному мінімальному капіталу або чверті фіксованих накладних витрат за попередній рік.

У міру зростання CASP та збільшення його фіксованих накладних витрат, ця друга умова стає обов'язковим обмеженням. Коли накладні витрати перевищують у чотири рази початковий сплачений капітал, компанія повинна перейти до системи, що базується на накладних витратах. Ця точка перелому настає швидше, ніж очікують багато операторів, і регулятори очікують проактивного моніторингу, а не реактивного коригування.

Структурний момент, на який варто звернути увагу: капітал повинен бути внесений на рахунок, відкритий у офіційній кредитній установі.

Рахунок EMI або постачальника платіжних послуг не відповідає цій вимозі. Налагодження банківських відносин як криптобізнесу займає час і не гарантується. Початок цього процесу заздалегідь, до офіційного подання заявки, є обов’язковим. Це обмеження щодо послідовності дій, яке впливає на весь графік отримання дозволу.

Вимога щодо того, щоб фінансові звіти, які використовуються для розрахунку фіксованих накладних витрат, були належним чином перевірені або затверджені національними регуляторними органами, додає ще один адміністративний аспект. Новостворені юридичні особи, які прогнозують свої накладні витрати на перші дванадцять місяців, повинні включити ці прогнози до своєї заявки на отримання дозволу, чітко задокументувавши методологію.

Аутсорсинг та поріг суттєвості

Стаття 73 дозволяє CASP передавати операційні функції на аутсорсинг третім сторонам. Обмеження полягає в тому, що аутсорсинг не може призвести до випорожнення авторизованого суб’єкта. Відповідальність залишається за CASP; делегування не перекладає відповідальності.

У наглядовому брифінгу ESMA щодо авторизації CASP відсоток загальних витрат, що припадає на функції, розташовані за межами ЄС, визначено як практичний показник того, чи не зайшов аутсорсинг занадто далеко. CASP, більша частина операційних витрат якого спрямовується до постачальників послуг за межами ЄС, навіть добре керованих та авторитетних, може зіткнутися з питаннями щодо того, чи має суб’єкт у ЄС достатній внутрішній потенціал, щоб кваліфікуватися як справжній постачальник послуг, а не як посередник.

Регулятор проводить розмежування між CASP, які передають на аутсорсинг конкретні функції, зберігаючи контроль, та CASP, які передають на аутсорсинг усі суттєві функції, зберігаючи лише юридичну форму. Останні є фіктивними структурами, незалежно від того, як така схема описана в заявці.

Відмінності в юрисдикціях: один закон, різна практика

MiCA безпосередньо застосовується у всіх державах-членах ЄС. Суттєві вимоги є єдиними. Наглядова практика — ні.

Кіпр через CySEC прямо вимагає, щоб більшість членів ради директорів CASP були фізичними особами, які проживають на Кіпрі. Для ради, що складається з двох виконавчих та двох невиконавчих директорів, це означає щонайменше трьох директорів-резидентів Кіпру. Це виходить за межі вимог тексту MiCA та відображає національні директиви щодо протидії відмиванню грошей, накладені на гармонізовану рамку ЄС.
Естонія демонструє іншу динаміку. За попередньої системи реєстрації VASP, яку адміністрував Підрозділ фінансової розвідки, Естонія стала однією з найбільш доступних юрисдикцій для ліцензування в Європі. Перехід до MiCA переніс наглядові повноваження до Естонського органу фінансового нагляду та врегулювання, що привносить інший інституційний підхід до перевірки та поточного нагляду.

Законодавча ситуація в Польщі, розглянута в попередніх частинах цієї серії, створила структурну прогалину, де внутрішній закон про впровадження MiCA ще не прийнято, що залишає KNF без офіційного призначення як компетентного органу, а власників VASP — без реального внутрішнього шляху подання заявки на CASP.

Ці відмінності не є лазівками чи адміністративними примхами. Вони відображають реальність, в якій гармонізована правова база все ще діє через національні культури нагляду, кадрові обмеження та інституційну історію. Вибір юрисдикції для отримання дозволу CASP означає вибір регулятора з усіма практичними наслідками, що з цього випливають.

Що насправді вимагає поняття «справжнє встановлення»

У сукупності вимоги до сутності, передбачені MiCA, відображають філософію нагляду, а не перелік контрольних питань. Регулюючий орган хоче бути впевненим, що, якщо щось піде не так, він матиме реальні засоби правового захисту.
Це означає, що керівництво є фізично доступним та несе юридичну відповідальність згідно із законодавством ЄС. Це означає, що ІКТ-системи контролюються суб’єктом ЄС без залежності від ланцюгів авторизації за межами ЄС. Це означає, що капітал є дійсно доступним та його розмір відповідає фактичному операційному ризику.

І це означає управління, за якого суб’єкт ЄС приймає реальні рішення, а не виконує вказівки, видані з іншого місця.

Компанії, які підходять до цього як до процедури оформлення документів, зазвичай вважають цей процес складнішим, ніж очікували. Компанії, які спочатку створюють суттєву діяльність, а потім документують те, що вони створили, зазвичай вважають це простішим. Заявка не створює організацію. Вона описує ту, яка вже має значною мірою існувати.

Джерела:

• Інформаційний бюлетень ESMA щодо авторизації CASP
• Консультаційний документ ESMA щодо MiCA, 2-й пакет
• Правила MFSA щодо MiCA

Ця стаття базується на дослідженні, проведеному LegalBison у травні 2026 року. Зміст статті має виключно інформаційний характер і не є юридичною порадою.