Rozporządzenie MiCA (Markets in Crypto-Assets Regulation) to bez wątpienia kamień milowy w historii europejskiego rynku kryptowalut. Po raz pierwszy powstał akt prawny, który w sposób kompleksowy reguluje działalność zarówno emitentów tokenów, jak i dostawców usług związanych z kryptoaktywami (CASP) na poziomie całej Unii Europejskiej.
MiCA – milowy krok dla rynku kryptowalut w UE
MiCA nie powstała jednak wyłącznie po to, by zacieśnić kontrolę nad dynamicznie rosnącym sektorem krypto. Jej głównym celem jest zbudowanie zaufania do rynku, wzmocnienie bezpieczeństwa obrotu oraz ochrona klientów detalicznych przed skutkami nieprzejrzystych praktyk, które przez lata były normą. Dzięki jednolitym regułom firmy z branży zyskują przewidywalne otoczenie prawne, a konsumenci – gwarancję, że podmioty oferujące im usługi spełniają minimalne standardy kapitałowe, organizacyjne i bezpieczeństwa.
Nie bez znaczenia jest tło, w jakim MiCA powstawała. Po latach funkcjonowania rynku w swoistej „szarej strefie”, bez europejskiej koordynacji i przy szczątkowych regulacjach krajowych, nastąpiła seria wstrząsów. Upadki tak głośnych projektów jak FTX czy Terra Luna, które pochłonęły miliardy dolarów oszczędności inwestorów, unaoczniły unijnym regulatorom, że ochrona uczestników rynku wymaga wspólnotowych ram prawnych. MiCA jest właśnie odpowiedzią na tę potrzebę.
CASP w praktyce – co zmienia MiCA dla giełd, kantorów, aplikacji i doradców
Wprowadzenie przez MiCA kategorii CASP (Crypto-Asset Service Provider) oznacza, że cała gama firm zajmujących się kryptowalutami będzie musiała dostosować swoją działalność do zupełnie nowych realiów. CASP to bowiem nie tylko globalne giełdy pokroju Binance czy Coinbase, które większość osób kojarzy w pierwszej kolejności.
MiCA w praktyce obejmie również:
- lokalne kantory krypto, które umożliwiają wymianę tokenów na gotówkę lub inne kryptowaluty,
- fintechy oferujące portfele (wallety) z opcją przechowywania kluczy prywatnych w imieniu klienta,
- platformy swapowe czy agregatory liquidity pooli, nawet jeśli formalnie „tylko” integrują API,
- startup’y NFT, które mogą zostać objęte obowiązkami CASP w zależności od tego, jak zaprojektują mechanizm emisji i obrotu tokenami,
- a także firmy doradcze, które w ramach usługi inwestycyjnej rekomendują zakup konkretnych kryptoaktywów.
To często umyka przedsiębiorcom, którzy zakładają, że skoro np. „tylko udostępniają technologię” albo „tylko automatyzują wymianę tokenów przez API”, to nie mają nic wspólnego z obowiązkami CASP. Tymczasem już samo przechowywanie kluczy prywatnych w imieniu klientów, realizacja zleceń kupna/sprzedaży czy prowadzenie platformy kojarzącej oferty spełnia kryteria z art. 3 MiCA i oznacza konieczność uzyskania licencji CASP oraz podporządkowania się unijnym wymogom kapitałowym i compliance.
Nowe obowiązki pod lupą – kapitał, procedury, AML i travel rule
MiCA nie ogranicza się do narzucenia wymogu uzyskania licencji CASP. W praktyce to cały pakiet obowiązków organizacyjnych i finansowych, które firmy z branży krypto będą musiały wdrożyć, by móc legalnie działać w UE.
Na czoło wysuwają się minimalne kapitały ostrożnościowe, uzależnione od zakresu prowadzonej działalności:
- 50 tys. euro dla podmiotów świadczących najprostsze usługi, jak doradztwo czy przekazywanie zleceń;
- 125 tys. euro dla firm zajmujących się przechowywaniem kryptoaktywów w imieniu klientów czy ich wymianą;
- 150 tys. euro dla operatorów platform obrotu, czyli giełd.
Dla wielu startupów to będzie znaczący próg wejścia, zmuszający do gruntownego przeanalizowania modelu biznesowego i źródeł finansowania.
Równolegle MiCA nakłada obowiązki w zakresie AML i KYC, które w praktyce wymagają wdrożenia rozbudowanych procedur weryfikacji klientów i monitorowania transakcji. Szczególnym wyzwaniem będzie dostosowanie się do rozporządzenia TFR („travel rule”), które od 30 grudnia 2024 r. obowiązuje w całej UE. Przepisy te nakazują dołączać do transferów krypto danych identyfikujących nadawcę i odbiorcę, co wymusza posiadanie systemów IT zdolnych do ich automatycznej obsługi.
Do tego dochodzą wymogi dotyczące przejrzystości struktury właścicielskiej, polityk bezpieczeństwa i raportowania do nadzoru. Trzeba pamiętać, że nadzór nad CASP to nie tylko kwestia polskiego KNF. MiCA buduje bowiem wspólny europejski system nadzoru, w który włączone są organy takie jak ESMA (European Securities and Markets Authority) oraz EUNB (European Banking Authority). Te instytucje mają kompetencje do koordynowania działań krajowych regulatorów, co oznacza, że wymogi w praktyce będą egzekwowane w podobnym standardzie w całej Unii.
Polska specyfika – co z projektem ustawy i czy na pewno mamy czas do 2026?
Często w branży powtarza się zdanie: „MiCA daje czas aż do połowy 2026 roku, więc mamy sporo przestrzeni na spokojne przygotowania”. Tymczasem to tylko część prawdy, bo wynika z literalnego brzmienia art. 143 rozporządzenia MiCA, który faktycznie przewiduje możliwość działania na dotychczasowych zasadach do 1 lipca 2026 r. dla firm, które świadczyły usługi krypto przed końcem grudnia 2024 r.
Jednak ten sam przepis MiCA pozwala państwom członkowskim skracać okresy przejściowe, a Polska z tej możliwości skorzystała. Zgodnie z art. 105 projektu polskiej ustawy o rynku kryptoaktywów, krajowy okres przejściowy ma się zakończyć najpóźniej 31 grudnia 2025 r. Oznacza to, że VASP-y działające dotychczas w Polsce będą musiały w praktyce uzyskać licencję CASP wcześniej niż przewiduje to harmonogram unijny.
W praktyce należy się spodziewać, że krajowa ustawa zacznie obowiązywać w III kwartale 2025 roku, bo obecnie wciąż trwa procedura legislacyjna (projekt znajduje się na etapie konsultacji z Radą Ministrów). Od momentu wejścia ustawy w życie dla polskich firm zaczną biec krótsze terminy na dostosowanie się do wymogów MiCA i złożenie wniosków licencyjnych.
Jeszcze trudniejsza jest sytuacja nowych podmiotów, które chciałyby dopiero wejść na rynek. Już teraz w praktyce nie mogą one zacząć działalności w oparciu o stary rejestr VASP, bo procedura wpisu została zamknięta. Dla nich rozpoczęcie operacyjnego świadczenia usług będzie możliwe dopiero po uzyskaniu licencji CASP, a więc dopiero po formalnym uruchomieniu procesu licencyjnego przez KNF.
Dlaczego nie opłaca się „uciekać” za granicę
Niektórzy przedsiębiorcy z branży krypto rozważają przeniesienie działalności do innych państw UE, licząc na mniej restrykcyjny nadzór czy szybsze procedury licencyjne – najczęściej wybierają Litwę lub Estonię. To jednak strategia krótkowzroczna i ryzykowna.
MiCA to rozporządzenie unijne, które obowiązuje wprost i w jednolitej formie we wszystkich krajach członkowskich. Oznacza to identyczne wymogi w zakresie kapitału, AML/KYC, travel rule czy sprawozdawczości, niezależnie od tego, czy firma działa w Polsce, Niemczech czy na Litwie.
MiCA w art. 65 wprowadza mechanizm tzw. paszportyzacji CASP: dostawca usług w zakresie kryptoaktywów, który uzyskał licencję w swoim państwie, może świadczyć usługi w całej UE po uprzednim zgłoszeniu listy krajów i zakresu usług do macierzystego nadzoru. Nie oznacza to jednak braku kontroli – organ macierzysty zachowuje pełny nadzór nad CASP, a organy w państwach przyjmujących mogą żądać danych, prowadzić kontrole i wnioskować o działania naprawcze.
Praktyka pokazuje, że po wejściu w życie MiCA kraje takie jak Estonia czy Litwa zaczęły wręcz zaostrzać kryteria – wprowadzając wymogi faktycznej obecności zarządów i realnych struktur operacyjnych, co uniemożliwia działanie „na słupa”.
W efekcie rejestracja w innym kraju UE nie eliminuje ryzyka nadzoru, a w przypadku naruszeń może skutkować interwencją organów krajowych i europejskich, a w skrajnym przypadku nawet cofnięciem licencji w całej UE.
Jak przygotować firmę na MiCA? – praktyczna mapa działań
Wbrew pozorom MiCA to nie tylko zbiór obostrzeń, ale także szansa na profesjonalizację branży i wzmocnienie zaufania inwestorów oraz partnerów instytucjonalnych. Warunkiem jest jednak rozpoczęcie przygotowań z odpowiednim wyprzedzeniem, bo procedury dostosowawcze w praktyce trwają miesiące.
Co powinno znaleźć się na checkliście każdej firmy chcącej działać jako CASP w nowej rzeczywistości prawnej?
- Przeprowadzenie audytu procesów AML i KYC, dostosowanie ich do poziomu zgodnego z MiCA oraz rozporządzeniem TFR (travel rule), które w UE obowiązuje od 30 grudnia 2024 r.
- Dokładna klasyfikacja usług według MiCA, aby ustalić, do której klasy działalności podmiot będzie przyporządkowany i jaki minimalny kapitał ostrożnościowy (50 / 125 / 150 tys. euro) musi zabezpieczyć.
- Przygotowanie wewnętrznych polityk w zakresie ładu korporacyjnego, bezpieczeństwa systemów IT, ochrony środków klientów oraz procedur raportowych na wypadek żądania nadzorcy.
- Uporządkowanie struktury właścicielskiej i dokumentacji organizacyjnej, którą trzeba będzie przedstawić w postępowaniu o uzyskanie licencji CASP.
Nie warto zwlekać na ostatni moment i czekać, aż polska ustawa o rynku kryptoaktywów formalnie zacznie obowiązywać. Wtedy bowiem wniosek o licencję CASP trzeba będzie złożyć praktycznie natychmiast, aby nie wpaść w lukę prawną i nie zmusić firmy do wstrzymania działalności.
MiCA to nie tylko obowiązek, ale i narzędzie budowy reputacji: uzyskanie licencji CASP w oczach banków, partnerów technologicznych i inwestorów będzie mocnym sygnałem, że firma działa zgodnie z europejskimi standardami. A to w coraz bardziej konkurencyjnym środowisku może przełożyć się na przewagę rynkową i łatwiejszy dostęp do finansowania.
Kamila Wasilewska
Radca prawny, Kancelaria RPMS Staniszewski & Wspólnicy
