Giải mã MiCA: Chỉ nói 'Chúng tôi có văn phòng tại EU' là chưa đủ: Đây là những gì các cơ quan quản lý thực sự mong muốn

MiCA Decoded là loạt bài gồm 12 phần được đăng hàng tuần trên Bitcoin.com News, do các Đồng sáng lập kiêm Giám đốc Điều hành của LegalBison đồng tác giả: Aaron Glauberman, Viktor Juskin và Sabir Alijev. LegalBison tư vấn cho các công ty tiền điện tử và FinTech về cấp phép MiCA, đơn đăng ký CASP và VASP, cũng như cấu trúc pháp lý trên toàn châu Âu và các khu vực khác.

Bài viết tuần này được viết bởi Krystian Lapka, Luật sư tại LegalBison. Krystian chuyên về các giao dịch doanh nghiệp và thương mại xuyên biên giới, cùng với quản lý rủi ro chiến lược tại giao điểm giữa luật dân sự và luật thông thường.

---

Hầu hết các nhà sáng lập chuẩn bị nộp đơn đăng ký CASP lần đầu tiên đều hiểu, ít nhất là về mặt lý thuyết, rằng MiCA yêu cầu sự hiện diện thực sự tại EU. Điều họ đánh giá thấp là cách cơ quan quản lý định nghĩa "thực sự".

Cấu trúc ban đầu thường trông hợp lý trên giấy tờ: trụ sở đăng ký tại một quốc gia thành viên EU có chính sách thuận lợi, một giám đốc được chỉ định trong các tài liệu quản trị, hệ thống CNTT được lưu trữ trên đám mây hoặc quản lý từ hạ tầng toàn cầu của tập đoàn, và vốn góp được chuyển vào tài khoản ngân hàng mới mở.

Từ góc độ nội bộ, điều này có vẻ như một công ty EU. Tuy nhiên, từ góc độ của Cơ quan Quản lý Quốc gia, nó có thể trông giống như một "hộp thư" có kèm theo một giám đốc.

Bài viết này phân tích những yêu cầu về thực thể mà MiCA thực sự đòi hỏi trên các khía cạnh nhân sự, công nghệ và khả năng phục hồi tài chính, đồng thời giải thích lý do tại sao các cơ quan quản lý xem mỗi hạng mục này như một bài kiểm tra chức năng thay vì một thủ tục giấy tờ.

Mối quan ngại thúc đẩy tất cả những điều này là giống nhau: ngăn chặn các công ty hộp thư, tức là những thực thể chỉ tồn tại trên giấy tờ tại một khu vực pháp lý thuận lợi nhưng thiếu bất kỳ hoạt động kinh tế có ý nghĩa, nguồn nhân lực hoặc năng lực vận hành nào tại đó.

Lầm tưởng: Sự hiện diện đồng nghĩa với thực chất

Lý luận quy định này đã có từ trước MiCA. Trong phán quyết mang tính bước ngoặt Cadbury Schweppes (Vụ kiện C-196/04), Tòa án Công lý Liên minh Châu Âu đã xác định rằng quyền tự do thành lập không thể được sử dụng để tạo ra các "thỏa thuận hoàn toàn nhân tạo" thiếu hoạt động kinh tế thực sự. MiCA đã đưa nguyên tắc này trực tiếp vào quy định về tài sản kỹ thuật số.

Điều 59(2) của MiCA quy định rằng các CASP được cấp phép phải có trụ sở đăng ký tại một quốc gia thành viên nơi họ thực hiện ít nhất một phần dịch vụ tài sản kỹ thuật số, phải có địa điểm quản lý thực tế trong Liên minh, và phải có ít nhất một thành viên ban quản trị cư trú trong Liên minh. Quy định này khá ngắn gọn. Tuy nhiên, những yêu cầu đằng sau nó lại phức tạp hơn nhiều.

Bản tóm tắt giám sát của ESMA về việc cấp phép cho các CASP, mặc dù không mang tính ràng buộc, nhưng đã chỉ ra rõ ràng cách các cơ quan quản lý quốc gia (NCAs) được kỳ vọng sẽ giải thích các yêu cầu này trong thực tế.

Khoảng cách giữa văn bản pháp luật và kỳ vọng giám sát chính là nơi nhiều đơn đăng ký gặp phải trở ngại.

Nhân sự: Ai thực sự điều hành thực thể này

Ngưỡng tối thiểu theo MiCA là một thành viên ban quản lý cư trú tại EU. Hướng dẫn giám sát nâng cao tiêu chuẩn này.

Bản hướng dẫn của ESMA dự kiến ít nhất hai giám đốc điều hành cấp cao cùng giám sát hoạt động hàng ngày. Lý do rất đơn giản: một giám đốc điều hành duy nhất tạo ra rủi ro tập trung và loại bỏ các cơ chế kiểm soát nội bộ mà một cơ cấu quản trị hoạt động hiệu quả yêu cầu. Hai giám đốc điều hành với trách nhiệm được định rõ và chồng chéo là tiêu chuẩn cơ bản được kỳ vọng.

Việc cư trú không đủ điều kiện. Hướng dẫn nêu rõ rằng nếu thành viên cơ quan quản lý không cư trú trong phạm vi thẩm quyền của cơ quan giám sát (NCA), người đó phải có khả năng tham dự các cuộc họp trực tiếp theo yêu cầu của cơ quan này trong vòng hai ngày làm việc.

Đối với các khu vực pháp lý mà khoảng cách vật lý với cơ quan giám sát có ý nghĩa về mặt vận hành, đây là một hạn chế thực tế về khoảng cách mà một thành viên ban quản lý có thể đặt trụ sở ngoài khu vực pháp lý chính.

Cam kết về thời gian cũng được xem xét với mức độ nghiêm túc tương tự. Quan điểm của ESMA, được nêu rõ trong Bản tóm tắt giám sát về việc cấp phép cho CASPs, là các thành viên ban quản lý điều hành nên dành 100% thời gian chuyên môn cho vai trò CASP. Việc đảm nhiệm nhiều chức vụ (double-hatting), tức là cùng một cá nhân đảm nhận vai trò điều hành tại nhiều thực thể, chỉ được phép trong các trường hợp hạn chế. Một nhà điều hành chia sẻ sự chú ý giữa CASP và một công ty con khác có thể bị xem xét kỹ lưỡng trong quá trình đánh giá tính phù hợp và đạo đức.

Đường dây báo cáo quan trọng không kém hồ sơ cá nhân. Cơ quan quản lý phải chứng minh rằng quyền kiểm soát chiến lược và vận hành nằm trong thực thể EU, chứ không phải ở công ty mẹ tại quốc gia thứ ba, nơi đưa ra các quyết định thực tế và ban hành chỉ thị từ trên xuống.

Một công ty con EU mà các nhà quản lý thực chất chỉ đóng vai trò là đại diện thực thi cho trụ sở chính ngoài EU không được coi là thực thể có quản lý EU thực sự theo nghĩa giám sát.

Khía cạnh chống rửa tiền (AML) củng cố điều này. Cá nhân chịu trách nhiệm nộp báo cáo hoạt động đáng ngờ (MLRO) phải có mặt tại chỗ, nắm giữ quyền hạn thực sự trong thực thể và có khả năng tương tác trực tiếp với Đơn vị Tình báo Tài chính địa phương. Yêu cầu này phản ánh xu hướng toàn cầu rộng lớn hơn: Khung Báo cáo Tài sản Kỹ thuật số (CARF) của FATF và OECD hoạt động trên cùng logic, mở rộng các yêu cầu về thực chất và minh bạch vượt ra ngoài EU.

Các yêu cầu về nhân sự của MiCA và CARF không phải là những phát triển tách biệt; chúng phản ánh một tiêu chuẩn quốc tế đang hội tụ về hình thức mà một thực thể tiền điện tử được quy định phải có từ bên trong.

Tiêu chuẩn phù hợp chung theo Điều 68(1) yêu cầu cơ quan quản lý phải sở hữu kiến thức, kỹ năng và kinh nghiệm phù hợp cả về mặt cá nhân lẫn tập thể. Như đã đề cập trong phần trước của loạt bài này, tiêu chuẩn đó bao quát quy định thị trường tài chính truyền thống, cơ sở hạ tầng DLT và an ninh mạng, cũng như quản trị tổ chức. Mỗi lĩnh vực trong số đó cần phải có đại diện trong ban quản lý.

Một đội ngũ hoàn toàn đến từ nền tảng tiền điện tử mà không có kinh nghiệm về dịch vụ tài chính được quản lý, hoặc một đội ngũ có kinh nghiệm sâu rộng về tài chính truyền thống nhưng không có khả năng đánh giá rủi ro trên chuỗi, đều mang những lỗ hổng cấu trúc mà quá trình đánh giá sẽ bộc lộ.

Công nghệ: Kiểm soát, không chỉ là lưu trữ

DORA (Quy định (EU) 2022/2554) áp dụng trực tiếp cho các Nhà cung cấp Dịch vụ Lưu trữ Dữ liệu (CASPs) và thiết lập khung pháp lý cho các yêu cầu về khả năng phục hồi công nghệ thông tin (ICT). Câu hỏi mà các cơ quan quản lý đặt ra về công nghệ không phải là cơ sở hạ tầng mà một công ty sử dụng. Câu hỏi là ai kiểm soát nó.

Hạ tầng đám mây được lưu trữ bởi AWS, Azure hoặc các nhà cung cấp tương tự là chấp nhận được theo thực tiễn giám sát hiện tại. Vấn đề nảy sinh khi thực thể được cấp phép tại EU thiếu quyền kiểm soát hành chính thực chất đối với các hệ thống mà họ phụ thuộc.

Nếu việc quản lý khóa mã hóa nằm trong tay đội ngũ CNTT toàn cầu của công ty mẹ, nếu quyền truy cập vào dữ liệu khách hàng được quản lý từ bên ngoài EU, hoặc nếu kế hoạch phục hồi thảm họa phụ thuộc vào sự phê duyệt từ trụ sở chính ở quốc gia thứ ba, thực thể EU không thể chứng minh được sự độc lập hoạt động thực sự.

Quan điểm của ESMA, như được phản ánh trong tài liệu tham vấn của cơ quan này, là đội ngũ quản lý tại EU phải nắm quyền kiểm soát thực tế đối với hạ tầng CNTT liên quan đến hoạt động của CASP. Chính sách duy trì hoạt động kinh doanh và các kế hoạch khôi phục thảm họa theo Điều 68(7) phải do thực thể tại EU sở hữu và thực thi, không phụ thuộc vào một chức năng toàn cầu có thể hoặc không thể phản ứng trong tình huống khẩn cấp.

Thử nghiệm thực tế rất rõ ràng: nếu đội ngũ CNTT toàn cầu của công ty mẹ đột ngột không thể tiếp cận được, liệu thực thể EU có thể tiếp tục hoạt động, truy cập quỹ khách hàng và hoàn trả tài sản cho khách hàng hay không? Nếu câu trả lời là không, hoặc không thể thực hiện mà không cần sự can thiệp đáng kể từ nhân viên ngoài EU, thì vấn đề về bản chất vẫn chưa được giải quyết.

Các yêu cầu về tuân thủ GDPR và quản trị dữ liệu được đặt lên trên khung DORA. Các thỏa thuận xử lý dữ liệu, mối quan hệ giữa bên kiểm soát và bên xử lý, cũng như các cân nhắc về nơi lưu trữ dữ liệu đều là một phần của kiến trúc kỹ thuật mà các cơ quan quản lý sẽ xem xét.

Tài chính: Vốn thực sự hiệu quả

Điều 67 quy định các biện pháp bảo vệ thận trọng tối thiểu. Các cấp vốn được xác định theo loại dịch vụ:

Số vốn tối thiểu là điểm khởi đầu, không phải là giới hạn trên. Các biện pháp bảo đảm an toàn phải bằng mức cao hơn giữa vốn tối thiểu vĩnh viễn hoặc một phần tư chi phí cố định của năm trước.

Khi một CASP phát triển và chi phí cố định tăng lên, yếu tố thứ hai này trở thành rào cản bắt buộc. Khi chi phí cố định vượt quá bốn lần vốn góp ban đầu, công ty phải chuyển sang khung dựa trên chi phí cố định. Điểm ngoặt này đến nhanh hơn nhiều so với dự đoán của các nhà điều hành, và cơ quan quản lý mong đợi việc giám sát chủ động thay vì điều chỉnh phản ứng.

Một điểm cấu trúc đáng lưu ý: vốn phải được nộp vào tài khoản mở tại một tổ chức tín dụng chính thức.

Tài khoản của EMI hoặc nhà cung cấp dịch vụ thanh toán không đáp ứng yêu cầu này. Việc thiết lập mối quan hệ ngân hàng với tư cách là doanh nghiệp tiền điện tử mất thời gian và không được đảm bảo. Bắt đầu quá trình này sớm, trước khi nộp đơn xin cấp phép chính thức, không phải là tùy chọn. Đây là một ràng buộc về trình tự ảnh hưởng đến toàn bộ thời gian cấp phép.

Yêu cầu rằng các báo cáo tài chính được sử dụng trong tính toán chi phí cố định phải được kiểm toán hoặc xác nhận hợp lệ bởi các cơ quan quản lý quốc gia thêm một khía cạnh hành chính nữa. Các thực thể mới thành lập dự báo chi phí cố định cho 12 tháng đầu tiên phải bao gồm các dự báo đó trong đơn xin cấp phép, với phương pháp luận được ghi chép rõ ràng.

Thuê ngoài và ngưỡng thực chất

Điều 73 cho phép các CASP thuê ngoài các chức năng vận hành cho bên thứ ba. Yêu cầu là việc thuê ngoài không được làm suy yếu thực thể được cấp phép. Trách nhiệm vẫn thuộc về CASP; việc ủy quyền không chuyển giao trách nhiệm.

Bản tóm tắt giám sát của ESMA về việc cấp phép cho CASPs xác định tỷ lệ phần trăm chi phí tổng thể liên quan đến các chức năng nằm ngoài EU là một chỉ số thực tiễn để đánh giá liệu việc thuê ngoài có đi quá xa hay không. Một CASP mà phần lớn chi phí hoạt động chảy vào các nhà cung cấp dịch vụ ngoài EU, ngay cả khi những nhà cung cấp này được quản lý tốt và có uy tín, có thể phải đối mặt với câu hỏi liệu thực thể EU có đủ năng lực nội bộ để được coi là nhà cung cấp dịch vụ thực sự hay chỉ là một kênh trung gian.

Sự phân biệt mà cơ quan quản lý đưa ra là giữa các CASP thuê ngoài các chức năng cụ thể trong khi vẫn giữ quyền kiểm soát và các CASP thuê ngoài mọi hoạt động thực chất trong khi chỉ giữ lại hình thức pháp lý. Loại thứ hai là một vỏ bọc, bất kể thỏa thuận được mô tả như thế nào trong đơn đăng ký.

Sự khác biệt về thẩm quyền: Luật giống nhau, thực tiễn khác nhau

MiCA có hiệu lực trực tiếp trên toàn bộ các quốc gia thành viên EU. Các yêu cầu về nội dung là thống nhất. Tuy nhiên, thực tiễn giám sát thì không.

Síp, thông qua CySEC, đã yêu cầu rõ ràng rằng đa số thành viên hội đồng quản trị của một CASP phải là cư dân thực tế tại Síp. Đối với hội đồng quản trị gồm hai thành viên điều hành và hai thành viên không điều hành, điều này có nghĩa là phải có ít nhất ba thành viên cư trú tại Síp. Điều này vượt quá yêu cầu trong văn bản của MiCA và phản ánh các chỉ thị chống rửa tiền (AML) quốc gia được áp dụng trên khung pháp lý hài hòa của EU.

Estonia có một bối cảnh khác biệt. Dưới chế độ đăng ký VASP trước đây do Đơn vị Tình báo Tài chính (FIU) quản lý, Estonia đã trở thành một trong những khu vực cấp phép dễ tiếp cận nhất ở châu Âu. Việc chuyển sang MiCA đã chuyển giao trách nhiệm giám sát cho Cơ quan Giám sát và Giải quyết Tài chính Estonia (EFRA), mang lại một cách tiếp cận tổ chức khác biệt trong việc xem xét và giám sát thường xuyên.

Tình hình lập pháp của Ba Lan, được đề cập trong các phần trước của loạt bài này, đã tạo ra một khoảng trống cấu trúc khi luật thực thi MiCA trong nước vẫn chưa được ban hành, khiến KNF chưa được chỉ định chính thức là cơ quan có thẩm quyền và các chủ thể VASP không có lộ trình đăng ký CASP trong nước khả thi.

Những khác biệt này không phải là kẽ hở hay sự bất thường về mặt hành chính. Chúng phản ánh thực tế rằng một khung pháp lý hài hòa vẫn hoạt động thông qua văn hóa giám sát quốc gia, những hạn chế về nhân sự và lịch sử thể chế. Lựa chọn một khu vực pháp lý để xin cấp phép CASP có nghĩa là lựa chọn một cơ quan quản lý, với tất cả những hệ quả thực tiễn đi kèm.

'Cơ sở thực sự' thực sự yêu cầu điều gì

Khi xem xét tổng thể, các yêu cầu về bản chất theo MiCA phản ánh một triết lý giám sát hơn là một danh sách kiểm tra. Cơ quan quản lý muốn đảm bảo rằng, nếu có sự cố xảy ra, họ có thể có biện pháp khắc phục có ý nghĩa.

Điều đó có nghĩa là ban lãnh đạo điều hành phải có thể tiếp cận được về mặt vật lý và chịu trách nhiệm pháp lý theo luật EU. Điều đó có nghĩa là các hệ thống CNTT phải do thực thể EU kiểm soát mà không phụ thuộc vào các chuỗi cấp phép ngoài EU. Điều đó có nghĩa là vốn phải thực sự sẵn có và được định mức phù hợp với rủi ro hoạt động thực tế.

Và điều đó có nghĩa là cơ chế quản trị nơi thực thể EU đưa ra các quyết định thực sự thay vì chỉ thực hiện các chỉ thị từ nơi khác.

Các doanh nghiệp tiếp cận vấn đề này như một bài tập lập hồ sơ thường thấy quy trình này khó khăn hơn dự kiến. Các doanh nghiệp xây dựng cơ sở thực chất trước rồi mới lập hồ sơ về những gì đã xây dựng thường thấy quy trình này đơn giản hơn. Đơn đăng ký không tạo ra tổ chức. Nó mô tả một tổ chức vốn đã tồn tại phần lớn.

Nguồn:

• Bản tóm tắt giám sát của ESMA về việc cấp phép cho CASPs
• Tài liệu tham vấn MiCA của ESMA, Gói thứ 2
• Sổ tay quy định MiCA của MFSA

Bài viết này dựa trên một nghiên cứu do LegalBison thực hiện vào tháng 5 năm 2026. Nội dung chỉ mang tính chất thông tin và không cấu thành tư vấn pháp lý.