Rynek kryptoaktywów w Polsce zmienia się szybciej, niż większość firm zdążyła dostosować swoje procedury. Rozporządzenie MiCA – Markets in Crypto-Assets – weszło w życie 30 czerwca 2023 r. i od 30 grudnia 2024 r. stosuje się w pełnym zakresie do emitentów tokenów i dostawców usług w zakresie kryptoaktywów (CASP). Polska ma własne wyzwanie: ustawa wdrażająca krajowe ramy dla CASP przeszła przez Sejm, ale po wecie prezydenckim framework wciąż wymaga doprecyzowania. Dla firm działających na rynku tokenów, DeFi czy giełd krypto – to oznacza jedno: okno na uzyskanie przewagi regulacyjnej jest otwarte, ale nie na zawsze.
MiCA (Rozporządzenie Parlamentu Europejskiego i Rady UE 2023/1114) tworzy jednolity unijny reżim dla kryptoaktywów, obejmując trzy kategorie tokenów: tokeny powiązane z aktywami (ART), tokeny pieniądza elektronicznego (EMT) oraz pozostałe kryptoaktywa (np. utility tokens i tokeny podobne do papierów wartościowych są wyłączone z zakresu MiCA). Dostawcy usług CASP muszą uzyskać zezwolenie od właściwego organu nadzoru – w Polsce jest nim Komisja Nadzoru Finansowego (KNF). Termin graniczny dla pełnego stosowania MiCA wobec CASP minął 30 grudnia 2024 r.
Ten przewodnik prowadzi krok po kroku przez procedurę licencyjną MiCA w Polsce – od oceny, czy Twoja działalność wchodzi w zakres rozporządzenia, przez wniosek do KNF, po najczęstsze błędy, które opóźniają uzyskanie zezwolenia o wiele miesięcy. Omówimy też trzy scenariusze biznesowe oraz kwestie, które MiCA dzieli z innymi regulacjami cyfrowymi: AI Act, DORA i RODO.
Kogo obejmuje MiCA i jakie usługi wymagają zezwolenia?
MiCA stosuje się do każdego, kto oferuje, dopuszcza do obrotu lub świadczy usługi w zakresie kryptoaktywów na terenie Unii Europejskiej – niezależnie od siedziby podmiotu. Oznacza to, że polska spółka obsługująca klientów z Niemiec oraz firma zarejestrowana w Singapurze, która aktywnie pozyskuje polskich użytkowników, podlegają temu samemu reżimowi. KNF jest organem właściwym dla podmiotów z siedzibą w Polsce.
Rozporządzenie wymienia dziewięć kategorii usług CASP. Należą do nich: przechowywanie kryptoaktywów i zarządzanie nimi w imieniu klientów, prowadzenie platformy obrotu, wymiana kryptoaktywów na środki pieniężne lub inne kryptoaktywa, wykonywanie zleceń, plasowanie kryptoaktywów, przyjmowanie i przekazywanie zleceń oraz doradztwo w zakresie kryptoaktywów. Każda z tych usług wymaga oddzielnego wskazania we wniosku licencyjnym.
Ważne wyłączenia to m.in. tokeny kwalifikujące się jako instrumenty finansowe (objęte MiFID II), tokeny będące pieniądzem elektronicznym poza definicją EMT oraz NFT, jeśli są naprawdę unikalne i nie są zamienne. W praktyce – wiele firm o tym zapomina – granica między utility tokenem a tokenem przypominającym papier wartościowy jest cienka i wymaga analizy prawnej przed złożeniem jakiegokolwiek dokumentu do KNF.
Trzy scenariusze biznesowe ilustrują zakres obowiązków. Giełda kryptowalut z Warszawy prowadząca obrót BTC i ETH za złote potrzebuje zezwolenia CASP na prowadzenie platformy obrotu i wymianę na środki pieniężne. Startup IT z Krakowa emitujący własny utility token w ramach ICO musi sporządzić white paper i notyfikować KNF – chyba że oferta jest skierowana do mniej niż 150 osób lub wartość nie przekracza 1 000 000 EUR w ciągu 12 miesięcy (wówczas obowiązuje wyłączenie). Inwestor zagraniczny – np. fundusz z Luksemburga – zamierzający świadczyć usługi przechowywania dla polskich klientów może skorzystać z paszportowania, jeśli uzyskał zezwolenie CASP w innym państwie UE i notyfikował KNF.
Jak przebiega procedura uzyskania zezwolenia CASP w Polsce?
Procedura licencyjna MiCA przed KNF składa się z czterech etapów. Organ ma 25 dni roboczych na ocenę kompletności wniosku, a następnie 40 dni roboczych na wydanie decyzji – łącznie do 65 dni roboczych od złożenia kompletnych dokumentów. W praktyce, przy pierwszych wnioskach, KNF może prosić o uzupełnienia, co wydłuża czas nawet do 6 miesięcy.
Etap 1 to samoocena zakresu: ustalenie, które z dziewięciu usług CASP spółka będzie świadczyć, oraz analiza, czy emitowane tokeny to ART, EMT czy inny kryptoaktyw. Etap 2 to przygotowanie dokumentacji: program działania, opis struktury organizacyjnej, polityki AML/CFT zgodne z dyrektywą AMLD, procedury zarządzania ryzykiem operacyjnym (tu pojawia się powiązanie z programem compliance i ramami antykorupcyjnymi), oraz opis środków ochrony aktywów klientów. Etap 3 to złożenie wniosku do KNF wraz z dowodem opłaty. Etap 4 to dialog z nadzorem: odpowiedzi na pytania KNF, ewentualne korekty dokumentów.
Minimalne wymogi kapitałowe zależą od zakresu usług. Dla podstawowych usług CASP wynoszą od 50 000 EUR, dla platform obrotu – 150 000 EUR, a dla podmiotów przechowujących aktywa klientów – 150 000 EUR. Alternatywnie dopuszczalne jest ubezpieczenie od odpowiedzialności zawodowej pokrywające co najmniej równowartość tych kwot.
- Przygotuj szczegółowy program działania obejmujący wszystkie planowane usługi CASP
- Opisz strukturę właścicielską i wskaż osoby pełniące kluczowe funkcje (fit & proper)
- Wdróż politykę AML/CFT i procedury zarządzania konfliktami interesów
- Zapewnij wymagany kapitał minimalny lub ubezpieczenie OC
- Sporządź white paper (jeśli dotyczy) i zweryfikuj jego zgodność z wymogami MiCA art. 19
Rejestr CASP w Polsce jest budowany od podstaw. KNF nie miała dotąd dedykowanego trybu dla podmiotów krypto – wcześniej działały one w oparciu o wpis do rejestru działalności w zakresie walut wirtualnych prowadzonego przez izbę administracji skarbowej. MiCA ten rejestr zastępuje, ale podmioty wpisane przed 30 grudnia 2024 r. mogą korzystać z okresu przejściowego do 1 lipca 2026 r. – pod warunkiem złożenia wniosku licencyjnego w tym terminie.
Konkretna sytuacja Państwa firmy może oznaczać, że termin na złożenie wniosku licencyjnego upływa szybciej, niż wynika to z kalendarza. Jeśli spółka była wpisana do rejestru walut wirtualnych przed końcem 2024 r. i nie złoży wniosku CASP do 1 lipca 2026 r., traci prawo do kontynuowania działalności – a konsekwencji tej decyzji nie można cofnąć.
Jeśli Państwa firma korzysta z okresu przejściowego lub planuje złożenie wniosku CASP do KNF – przeprowadzimy analizę dokumentacji i ocenimy gotowość regulacyjną: info@kordeckipartners.com.
Jakie są najczęstsze błędy przy wdrożeniu MiCA?
Błędy przy wdrożeniu MiCA mają jedną wspólną cechę: kosztują czas. Opóźnienie uzyskania zezwolenia o 3–4 miesiące to realna strata szansy rynkowej, a w przypadku podmiotów korzystających z okresu przejściowego – ryzyko przymusowego zaprzestania działalności. Regulacja wyprzedza rynek, więc firmy, które zaczęły przygotowania wcześniej, już teraz budują przewagę.
Błąd pierwszy: błędna klasyfikacja tokenu. Spółka z Trójmiasta – wiosna 2025 r. – złożyła white paper dla utility tokenu, który KNF zakwalifikowała jako ART (token powiązany z aktywami). Wniosek musiał być przebudowany, co opóźniło procedurę o ponad 4 miesiące. Granica między kategoriami tokenów zależy od mechanizmu stabilizacji wartości i praw przyznanych posiadaczom.
Błąd drugi: niedoszacowanie wymogów AML/CFT. MiCA nie zastępuje obowiązków wynikających z dyrektywy AMLD – je uzupełnia. Polityka KYC, procedury weryfikacji beneficjenta rzeczywistego i raportowanie do GIIF muszą być opisane szczegółowo. Podmioty, które skopiowały procedury z innej branży finansowej bez dostosowania do specyfiki krypto, regularnie otrzymują wezwania do uzupełnień.
Błąd trzeci: ignorowanie wymagań dotyczących ochrony danych. RODO (Rozporządzenie UE 2016/679) stosuje się do każdego CASP przetwarzającego dane osobowe klientów UE – a w przypadku kryptoaktywów dane te obejmują adresy portfeli, historię transakcji i dane identyfikacyjne. PUODO jest organem nadzorczym. Brak oceny skutków dla ochrony danych (DPIA) przy wdrożeniu systemów monitorowania blockchain to częsty brak, który może skutkować karami finansowymi niezależnymi od postępowania MiCA.
Błąd czwarty: pominięcie DORA. Rozporządzenie DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 r. i stosuje się do podmiotów finansowych, w tym – zdaniem KNF – do licencjonowanych CASP. Oznacza to obowiązki w zakresie zarządzania ryzykiem ICT, raportowania incydentów do KNF i testowania odporności cyfrowej. Firmy, które przygotowały wniosek MiCA bez uwzględnienia DORA, mogą stanąć przed koniecznością uzupełnienia polityk jeszcze przed wydaniem decyzji.
Jak MiCA łączy się z innymi regulacjami cyfrowymi?
MiCA nie działa w próżni. Dla firm technologicznych i inwestorów wchodzących na rynek kryptoaktywów w Polsce, rozporządzenie to jeden z czterech filarów regulacyjnych, które muszą działać spójnie. Pominięcie któregokolwiek z nich oznacza lukę compliance, którą nadzór może wykryć w trakcie postępowania licencyjnego lub kontroli następczej.
Pierwszy filar to RODO. Każdy CASP przetwarza dane osobowe – już samo przechowywanie adresu e-mail i historii transakcji to przetwarzanie w rozumieniu Rozporządzenia UE 2016/679. Podstawa prawna przetwarzania, obowiązki informacyjne, polityka retencji i umowy z podmiotami przetwarzającymi muszą być wdrożone przed uruchomieniem usług. Naruszenia ochrony danych osobowych klientów krypto mogą skutkować karą PUODO do 20 000 000 EUR lub 4% globalnego obrotu.
Drugi filar to DORA. Licencjonowany CASP to podmiot finansowy w rozumieniu DORA. Obowiązek zarządzania ryzykiem ICT, rejestr umów z dostawcami usług ICT i raportowanie poważnych incydentów do KNF w ciągu 4 godzin od wykrycia – to wymogi, które muszą być wdrożone niezależnie od postępowania MiCA. Firma kryptowalutowa z Poznania, jesień 2024 r., odkryła podczas audytu przedlicencyjnego, że jej umowy z dostawcami chmury nie spełniają wymogów DORA – dostosowanie zajęło 3 miesiące.
Trzeci filar to AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.). Jeśli CASP używa systemów AI do oceny ryzyka kredytowego, scoringu klientów lub automatycznego monitorowania transakcji, może wchodzić w zakres systemów wysokiego ryzyka. Wymogi: ocena zgodności przed wdrożeniem, dokumentacja techniczna i rejestracja w unijnej bazie danych. AI Act jest szczególnie istotny dla platform oferujących zautomatyzowane doradztwo inwestycyjne w kryptoaktywa.
Czwarty filar to ochrona marki i własności intelektualnej. Nazwa tokenu, logo platformy i white paper mogą podlegać ochronie jako znaki towarowe lub utwory. Naruszenie cudzego znaku towarowego przez platformę krypto to ryzyko, które pojawia się szybciej niż spółki się tego spodziewają – więcej o środkach prawnych w tym zakresie w materiale o naruszeniu znaku towarowego i środkach prawnych w Polsce. Rejestracja znaku towarowego dla nazwy tokenu lub platformy w EUIPO (znak UE) lub UPRP (znak krajowy) powinna poprzedzać publiczne ogłoszenie oferty.
Dla firm łączących usługi CASP z działalnością regulowaną (np. płatniczą lub inwestycyjną) kwestia, które przepisy mają pierwszeństwo i jak unikać podwójnych wymogów compliance, wymaga oceny prawnej uwzględniającej pełny profil działalności. Kancelaria IP Warszawa z doświadczeniem w regulacjach cyfrowych może tu odegrać istotną rolę.
Zbieg MiCA, DORA, RODO i AI Act tworzy złożony obraz regulacyjny, który nieodwracalnie zamknie dostęp do rynku dla podmiotów nieprzygotowanych. Każda z tych regulacji ma własne terminy i własne organy nadzorcze – KNF, PUODO, UOKiK – a brak zgodności z jedną może zablokować postępowanie licencyjne w drugiej.
Aby otrzymać ocenę gotowości regulacyjnej Państwa firmy w zakresie MiCA, DORA i RODO – napisz do info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska spółka musi uzyskać osobne zezwolenie MiCA, jeśli już posiada licencję instytucji płatniczej od KNF?
O: Licencja instytucji płatniczej i zezwolenie CASP to dwa odrębne reżimy. Posiadanie licencji płatniczej nie zwalnia z obowiązku uzyskania zezwolenia MiCA na usługi w zakresie kryptoaktywów. Wyjątek dotyczy instytucji kredytowych – banki mogą świadczyć usługi CASP po notyfikacji KNF bez odrębnego zezwolenia, ale muszą spełnić wymogi organizacyjne MiCA. Dla każdej innej spółki – pełna procedura licencyjna jest obowiązkowa.
P: Ile czasu i pieniędzy zajmuje przygotowanie wniosku CASP?
O: Przygotowanie kompletnego wniosku CASP zajmuje od 3 do 6 miesięcy, w zależności od złożoności działalności i stanu wewnętrznych procedur spółki. Koszty obejmują doradztwo prawne, audyt AML/CFT, wdrożenie polityk DORA i ewentualnie DPIA pod RODO. Koszt całości projektu wdrożeniowego w Polsce mieści się zazwyczaj w przedziale 80 000–200 000 PLN, choć dla dużych platform może być wyższy. Opłata za rozpatrzenie wniosku przez KNF jest regulowana przepisami krajowymi i podlega aktualizacji.
P: Czy NFT są objęte MiCA i czy platforma handlująca NFT potrzebuje zezwolenia?
O: MiCA co do zasady wyłącza NFT z zakresu regulacji, jeśli są naprawdę unikalne i niewymienialne. Jednak gdy NFT są emitowane w dużych seriach z identycznymi prawami dla posiadaczy lub gdy platforma umożliwia ich wymianę na inne kryptoaktywa za wynagrodzeniem, organy nadzoru mogą zakwestionować wyłączenie. Europejski Urząd Nadzoru Bankowego (EBA) i ESMA mają wydać wytyczne w tym zakresie. Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie analizy prawnej przed uruchomieniem platformy NFT, a nie po pierwszym piśmie od KNF.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji rynku kryptoaktywów, MiCA, DORA, AI Act i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.