Firma technologiczna z Warszawy, która od lat prowadzi platformę wymiany tokenów, w grudniu 2024 r. odkryła, że jej dotychczasowy model działania wymaga gruntownego przeglądu. Rozporządzenie MiCA – Markets in Crypto-Assets – weszło w pełni w życie 30 grudnia 2024 r. i objęło wszystkich dostawców usług w zakresie kryptoaktywów działających na terenie Unii Europejskiej. Brak dostosowania oznacza utratę dostępu do rynku UE – bezpowrotnie, do czasu uzyskania nowego zezwolenia.
Rozporządzenie MiCA (Rozporządzenie UE 2023/1114) wprowadza jednolity unijny reżim regulacyjny dla kryptoaktywów. W Polsce nadzór sprawuje Komisja Nadzoru Finansowego (KNF). Podmioty prowadzące działalność jako CASP (dostawcy usług w zakresie kryptoaktywów) muszą uzyskać zezwolenie KNF lub skorzystać z okresu przejściowego, który kończy się najpóźniej 30 czerwca 2025 r.
Ten alert wyjaśnia, co się zmieniło, kogo MiCA dotyczy bezpośrednio, jakie progi i terminy obowiązują oraz jakie kroki należy podjąć natychmiast. Dotyczy to giełd kryptowalut, emitentów tokenów, doradców inwestycyjnych w zakresie kryptoaktywów i operatorów portfeli.
Co zmieniło się po wejściu MiCA w życie?
MiCA zastąpiło krajowe, fragmentaryczne regulacje dotyczące kryptoaktywów jednolitym europejskim reżimem. Przed 30 grudnia 2024 r. polskie podmioty działały na podstawie przepisów AML oraz dobrowolnych wytycznych KNF. Teraz obowiązuje bezpośrednio stosowane rozporządzenie unijne – bez konieczności implementacji krajowej, ale z koniecznością uzyskania zezwolenia.
Rozporządzenie dzieli kryptoaktywa na trzy kategorie. Pierwsza to tokeny powiązane z aktywami (ART – asset-referenced tokens). Druga to tokeny pieniądza elektronicznego (EMT – e-money tokens). Trzecia to pozostałe kryptoaktywa, w tym utility tokens. Każda kategoria podlega innym wymogom kapitałowym i proceduralnym.
Emitenci ART muszą uzyskać zezwolenie KNF przed emisją i utrzymywać rezerwy aktywów. Emitenci EMT potrzebują licencji instytucji pieniądza elektronicznego. Dla CASP – a więc giełd, brokerów, doradców i operatorów portfeli – wymagane jest odrębne zezwolenie CASP. Minimalne wymogi kapitałowe dla CASP wynoszą od 50 000 EUR do 150 000 EUR w zależności od klasy usług.
Polska rama regulacyjna jest w trakcie rewizji po prezydenckiej wecie projektu ustawy wdrażającej CASP. KNF prowadzi jednak rejestrację podmiotów na podstawie bezpośrednio stosowanego rozporządzenia. Podmioty, które przed 30 grudnia 2024 r. prowadziły działalność legalnie na podstawie prawa krajowego, mogą korzystać z okresu przejściowego – maksymalnie do 30 czerwca 2025 r. – bez nowego zezwolenia. Po tej dacie działalność bez zezwolenia jest nielegalna.
Warto zestawić MiCA z innymi regulacjami technologicznymi. DORA (Rozporządzenie UE 2022/2554), które weszło w życie 17 stycznia 2025 r., nakłada na podmioty finansowe – w tym CASP – dodatkowe wymogi w zakresie zarządzania ryzykiem ICT i raportowania incydentów do KNF. RODO (Rozporządzenie UE 2016/679) stosuje się do przetwarzania danych klientów platform kryptowalutowych – PUODO może kontrolować CASP niezależnie od KNF. AI Act (Rozporządzenie UE 2024/1689) dotyczy platform używających algorytmów scoringowych lub rekomendacyjnych sklasyfikowanych jako systemy wysokiego ryzyka.
Pominięcie któregokolwiek z tych reżimów przy wdrożeniu MiCA to błąd kosztowny podwójnie – regulacyjnie i reputacyjnie. W praktyce – wiele firm o tym zapomina – audyt MiCA powinien obejmować jednocześnie DORA i RODO.
Kogo dotyczy MiCA i jakie działania są wymagane natychmiast?
MiCA obejmuje każdy podmiot oferujący usługi w zakresie kryptoaktywów na terenie UE – niezależnie od miejsca siedziby. Polska spółka z siedzibą w Krakowie obsługująca klientów z Niemiec podlega MiCA tak samo jak podmiot z Frankfurtu. Paszport europejski działa w obie strony: zezwolenie KNF uprawnia do działalności w całej UE bez dodatkowych licencji krajowych.
Kogo MiCA dotyczy bezpośrednio? Przede wszystkim:
- giełd kryptowalut i platform obrotu (klasa CASP – wymogi kapitałowe od 150 000 EUR),
- emitentów tokenów użytkowych oferowanych publicznie powyżej 1 000 000 EUR,
- dostawców usług przechowywania i administrowania kryptoaktywami,
- podmiotów świadczących doradztwo inwestycyjne w zakresie kryptoaktywów,
- operatorów portfeli powierniczych obsługujących klientów detalicznych.
Startup IT z Poznania, który wiosną 2024 r. uruchomił platformę tokenizacji aktywów rzeczowych, stanął przed wyborem: złożyć wniosek o zezwolenie CASP do KNF przed końcem okresu przejściowego albo zawiesić działalność. Wybrał pierwsze rozwiązanie – i uniknął utraty bazy klientów zbudowanej przez dwa lata.
Co zrobić teraz? Działania są sekwencyjne i mają twarde terminy. Najpierw – do 30 czerwca 2025 r. – należy złożyć kompletny wniosek o zezwolenie CASP do KNF lub zakończyć działalność. Wniosek musi zawierać program działalności, opis struktury korporacyjnej, polityki AML/CFT, plan ciągłości działania i dokumentację wymogów kapitałowych. KNF ma 25 dni roboczych na potwierdzenie kompletności wniosku i do 3 miesięcy na decyzję.
Równolegle należy wdrożyć wymogi DORA – polityki zarządzania ryzykiem ICT, procedury raportowania incydentów i testy odporności cyfrowej. Obowiązują od 17 stycznia 2025 r. Brak wdrożenia DORA przy jednoczesnym wniosku o zezwolenie CASP osłabi pozycję przed KNF.
Podmioty emitujące tokeny powiązane z aktywami muszą opublikować zatwierdzony przez KNF white paper przed każdą ofertą publiczną. Wymóg dotyczy ofert powyżej 1 000 000 EUR w ciągu 12 miesięcy. Poniżej tego progu – wystarczy uproszczony white paper bez zatwierdzenia, ale z notyfikacją do KNF.
Ochrona znaku towarowego platformy kryptowalutowej to element często pomijany przy wdrożeniu MiCA. Zezwolenie CASP nie chroni nazwy handlowej ani logotypu. Rejestracja znaku towarowego w UPRP powinna być prowadzona równolegle z procesem licencyjnym – szczegółową procedurę opisujemy w przewodniku po rejestracji znaku towarowego w UPRP.
Dla podmiotów zatrudniających specjalistów ds. compliance i AML istotne są też zasady zatrudnienia i delegowania pracowników. Pracodawcy wdrażający nowe procedury MiCA powinni uwzględnić uprawnienia pracownicze – w tym urlopy związane z rodzicielstwem opisane w przewodniku dla pracodawców dotyczącym urlopu macierzyńskiego i rodzicielskiego.
Uważamy, że bezpieczniejszym rozwiązaniem jest złożenie wniosku do KNF z odpowiednim wyprzedzeniem – minimum 90 dni przed 30 czerwca 2025 r. – a nie czekanie na ostatni moment. KNF może wezwać do uzupełnienia wniosku, co wydłuża procedurę poza termin przejściowy. Konsekwencją jest konieczność zawieszenia działalności do czasu uzyskania zezwolenia – co oznacza utratę przychodów i klientów.
Konkretna sytuacja Państwa firmy wymaga oceny, czy działalność mieści się w zakresie MiCA, jakie zezwolenie jest właściwe i czy obecna dokumentacja spełnia wymogi KNF. Zwłoka po 30 czerwca 2025 r. nieodwracalnie zamknie drogę do legalnej działalności na rynku UE bez nowego postępowania licencyjnego od zera.
Jeśli Państwa spółka prowadzi usługi w zakresie kryptoaktywów lub planuje emisję tokenów i nie złożyła jeszcze wniosku do KNF – przeprowadzimy analizę zakresu regulacyjnego, przygotujemy dokumentację wniosku CASP i skoordynujemy wdrożenie DORA oraz RODO: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska spółka obsługująca wyłącznie klientów z Polski musi uzyskać zezwolenie MiCA?
O: Tak. MiCA stosuje się do wszystkich podmiotów oferujących usługi w zakresie kryptoaktywów na terenie UE, niezależnie od tego, czy klienci są krajowi czy zagraniczni. Polska spółka obsługująca wyłącznie polskich klientów podlega MiCA i musi uzyskać zezwolenie KNF jako CASP. Wyjątek dotyczy wyłącznie podmiotów oferujących kryptoaktywa w ściśle zamkniętych sieciach bez elementu finansowego – co w praktyce jest rzadkością.
P: Ile kosztuje i ile trwa uzyskanie zezwolenia CASP w Polsce?
O: KNF ma ustawowo 3 miesiące na wydanie decyzji od momentu złożenia kompletnego wniosku. Opłata za rozpatrzenie wniosku wynosi kilka tysięcy złotych, jednak główne koszty to przygotowanie dokumentacji – w zależności od złożoności modelu biznesowego od kilkudziesięciu do kilkuset tysięcy złotych. Minimalne wymogi kapitałowe dla CASP wynoszą od 50 000 EUR do 150 000 EUR. Regulacja kryptoaktywów w Polsce wymaga też wdrożenia procedur AML, co generuje dodatkowe koszty operacyjne.
P: Czy AI Act dotyczy platform kryptowalutowych?
O: Tak, jeśli platforma używa systemów sztucznej inteligencji do scoringu kredytowego, rekomendacji inwestycyjnych lub weryfikacji tożsamości. Artykuł 6 AI Act (Rozporządzenie UE 2024/1689) klasyfikuje takie systemy jako wysokiego ryzyka, co wymaga przeprowadzenia oceny zgodności przed wdrożeniem. Kancelaria IP Warszawa specjalizująca się w regulacjach technologicznych może przeprowadzić taką ocenę równolegle z procesem MiCA.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym MiCA, AI Act, DORA i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.