Rynek kryptoaktywów w Polsce zmienia się szybciej, niż wiele firm zdążyło to zauważyć. Rozporządzenie MiCA – Markets in Crypto-Assets – weszło w życie 30 czerwca 2023 r. i od 30 grudnia 2024 r. stosuje się w pełnym zakresie do wszystkich podmiotów działających na rynku kryptoaktywów w Unii Europejskiej. Dla polskich emitentów tokenów, operatorów giełd i dostawców usług w zakresie kryptoaktywów oznacza to jedno: czas na dostosowanie się minął.

MiCA (Rozporządzenie UE 2023/1114) wprowadza jednolity unijny reżim regulacyjny dla kryptoaktywów. Obejmuje emitentów tokenów powiązanych z aktywami (ART), tokenów będących pieniądzem elektronicznym (EMT) oraz dostawców usług w zakresie kryptoaktywów (CASP). Polska rama prawna dla CASP jest w trakcie rewizji po zawetowaniu przez Prezydenta RP ustawy implementującej – co tworzy lukę regulacyjną wymagającą natychmiastowej uwagi.

Ten alert wyjaśnia, co się zmieniło, kogo dotyczy i jakie kroki należy podjąć teraz – zanim brak licencji zamknie drogę do legalnej działalności na rynku UE.

Co zmienia MiCA i kogo dotyczy w Polsce?

MiCA zastępuje krajowe reżimy regulacyjne jednolitym paszportem unijnym. Podmiot z licencją CASP wydaną przez organ nadzoru jednego państwa członkowskiego może świadczyć usługi w całej UE. To szansa – ale też obowiązek. Brak licencji CASP po 30 grudnia 2024 r. oznacza działalność nielegalną na terenie całej Unii.

Rozporządzenie obejmuje trzy główne kategorie podmiotów. Po pierwsze, emitenci ART – tokenów powiązanych z koszykiem walut, towarów lub innych aktywów – muszą uzyskać zezwolenie właściwego organu nadzoru i opublikować zatwierdzony whitepaper. Po drugie, emitenci EMT (tokenów e-pieniądza) potrzebują licencji instytucji pieniądza elektronicznego. Po trzecie, CASP – giełdy, portfele powiernicze, doradcy, animatorzy rynku – muszą uzyskać autoryzację i spełniać wymogi kapitałowe, organizacyjne i AML.

Polska znalazła się w trudnej sytuacji. Ustawa implementująca przepisy MiCA na poziomie krajowym – określająca m.in. właściwy organ nadzoru i procedury autoryzacji CASP – została zawetowana przez Prezydenta RP. W praktyce oznacza to, że polskie firmy muszą śledzić prace legislacyjne i rozważyć autoryzację w innym państwie UE, jeśli chcą działać bez przerwy. Regulacja wyprzedza rynek – i tym razem wyprzedza też krajowego ustawodawcę.

Progi zwolnień są ograniczone. Emitenci ART o wartości poniżej 5 mln EUR w ciągu 12 miesięcy mogą skorzystać z uproszczonego trybu – bez formalnego zezwolenia, ale z obowiązkiem publikacji whitepaperów. Małe podmioty nie są więc całkowicie poza zasięgiem MiCA. Warto też pamiętać, że MiCA nie obejmuje NFT indywidualnych ani kryptoaktywów kwalifikowanych jako instrumenty finansowe – te pozostają pod reżimem MiFID II.

Jakie działania są wymagane natychmiast?

Brak autoryzacji CASP to nie tylko ryzyko administracyjne. Organy nadzoru mogą nakazać natychmiastowe zaprzestanie działalności, nałożyć kary finansowe i opublikować decyzję – co nieodwracalnie niszczy reputację firmy na rynku UE. Okno na uregulowanie statusu prawnego jest wąskie.

Pierwszym krokiem jest klasyfikacja posiadanych lub emitowanych tokenów. Nie każdy token to ART lub EMT – ale błędna klasyfikacja naraża na odpowiedzialność. Warto skorzystać ze ścieżki rozstrzygania sporów regulacyjnych, jeśli organ nadzoru kwestionuje kwalifikację tokenu. Spory z regulatorem w obszarze MiCA będą coraz częstsze – warto być przygotowanym.

Drugim krokiem jest audyt dokumentacji. MiCA wymaga whitepaperów spełniających szczegółowe wymogi formalne – analogicznie do prospektu emisyjnego, choć mniej rozbudowanych. Whitepaper musi zawierać opis projektu, praw posiadaczy tokenów, ryzyk i technologii. Brakujące lub niekompletne dokumenty to bezpośrednia podstawa do odmowy autoryzacji.

Trzecim krokiem jest ocena wymogów AML i RODO (Rozporządzenie UE 2016/679). MiCA nakłada na CASP obowiązki weryfikacji tożsamości klientów (KYC) i monitorowania transakcji – spójne z dyrektywą AML6. Jednocześnie przetwarzanie danych osobowych w procesie KYC musi być zgodne z RODO. Firmy technologiczne działające w obszarze kryptoaktywów powinny też uwzględnić wymagania ochrony oprogramowania i praw autorskich przy budowie infrastruktury technicznej.

Czwartym krokiem jest weryfikacja, czy firma nie podlega jednocześnie pod DORA (Rozporządzenie UE 2022/2554). Duże CASP – zwłaszcza te klasyfikowane jako podmioty finansowe – od 17 stycznia 2025 r. muszą spełniać wymogi zarządzania ryzykiem ICT i raportowania incydentów. To dodatkowa warstwa compliance, której nie można pominąć.

Checklist – co przygotować w pierwszej kolejności:

  • Klasyfikacja tokenów i usług pod kątem MiCA (ART, EMT, CASP, wyłączenia)
  • Weryfikacja statusu autoryzacji lub wniosek do właściwego organu UE
  • Przygotowanie lub aktualizacja whitepaperów zgodnie z wymogami MiCA
  • Audyt procedur KYC/AML i polityki prywatności pod kątem RODO
  • Ocena zastosowania DORA dla podmiotów kwalifikowanych jako finansowe

Firma z Trójmiasta działająca jako operator portfela powierniczego odkryła wiosną 2025 r., że jej dotychczasowy wpis do rejestru VASP nie zastępuje autoryzacji CASP wymaganej przez MiCA. Proces uzyskania licencji w państwie UE zajął ponad sześć miesięcy – w tym czasie firma nie mogła pozyskiwać nowych klientów instytucjonalnych z Niemiec i Francji. Utracone kontrakty oszacowano na kilkaset tysięcy euro.

Podobna sytuacja spotkała startup z Krakowa emitujący token powiązany z portfelem nieruchomości. Brak zatwierdzonego whitepaperów przed 30 grudnia 2024 r. zablokował możliwość oferty publicznej w UE. Projekt musiał zostać przeprojektowany – co opóźniło rundę finansowania o ponad osiem miesięcy.

Konkretna sytuacja Państwa firmy wymaga oceny, zanim organ nadzoru podejmie działania z urzędu. Brak autoryzacji CASP lub błędna klasyfikacja tokenu może nieodwracalnie zamknąć dostęp do rynku UE – i uruchomić postępowanie administracyjne widoczne publicznie w rejestrach regulatorów.

Jeśli Państwa spółka działa w obszarze kryptoaktywów lub planuje emisję tokenów i nie ma pewności co do statusu regulacyjnego pod MiCA – przeprowadzimy klasyfikację, audyt dokumentacji i ocenę ścieżki autoryzacji: info@kordeckipartners.com.

Często zadawane pytania

P: Czy wpis do polskiego rejestru VASP zastępuje autoryzację CASP wymaganą przez MiCA?

O: Nie. Rejestr VASP funkcjonował na podstawie przepisów AML i obejmował wąski zakres działalności. MiCA wprowadza odrębny reżim autoryzacji dla CASP – szerszy zakresowo i oparty na wymogach kapitałowych oraz organizacyjnych. Dotychczasowy wpis do rejestru nie daje prawa do działania jako CASP po 30 grudnia 2024 roku. Podmioty zarejestrowane jako VASP muszą uzyskać autoryzację CASP lub zaprzestać działalności objętej rozporządzeniem.

P: Ile kosztuje i jak długo trwa uzyskanie autoryzacji CASP w UE?

O: Czas i koszt zależą od wybranego państwa UE i zakresu planowanych usług. Procedura trwa od czterech do ośmiu miesięcy w zależności od organu nadzoru. Wymogi kapitałowe dla CASP wynoszą od 50 000 EUR do 150 000 EUR w zależności od kategorii usług. Należy uwzględnić też koszty przygotowania dokumentacji, polityk wewnętrznych i ewentualnego doradztwa prawnego – łącznie kilkadziesiąt do kilkuset tysięcy złotych.

P: Czy MiCA dotyczy firm, które używają technologii blockchain wyłącznie wewnętrznie – np. do zarządzania dokumentami lub znakiem towarowym?

O: Co do zasady nie. MiCA reguluje emisję i obrót kryptoaktywami oraz świadczenie usług w zakresie kryptoaktywów na rzecz osób trzecich. Wewnętrzne systemy blockchain nieemitujące tokenów dostępnych publicznie i nieoferujące usług zewnętrznym klientom nie podlegają MiCA. Jednak każdy przypadek – w tym projekty związane z tokenizacją praw do znaku towarowego lub ochroną danych – wymaga indywidualnej oceny klasyfikacyjnej, szczególnie w kontekście kancelarii IP Warszawa obsługujących klientów technologicznych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym MiCA, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.