Firma technologiczna z Krakowa planuje emisję tokenów użytkowych dla swojej platformy DeFi. Prawnicy pytają: czy potrzebne jest zezwolenie KNF? Czy wystarczy whitepaper? A może projekt kwalifikuje się jako token pieniądza elektronicznego? Odpowiedzi na te pytania zmieniły się fundamentalnie po wejściu w życie rozporządzenia MiCA.

Rozporządzenie MiCA (Markets in Crypto-Assets, Rozporządzenie UE 2023/1114) ustanawia jednolite ramy regulacyjne dla kryptoaktywów w całej Unii Europejskiej. W Polsce nadzór sprawuje Komisja Nadzoru Finansowego (KNF). Rozporządzenie stosuje się w pełni od 30 grudnia 2024 roku, przy czym przepisy dotyczące tokenów ART i EMT obowiązują już od 30 czerwca 2024 roku.

Ten przewodnik wyjaśnia krok po kroku, jak poruszać się po wymaganiach MiCA w polskich realiach. Omówimy klasyfikację kryptoaktywów, procedurę uzyskania zezwolenia CASP, obowiązki informacyjne i najczęstsze pułapki. Trzy scenariusze biznesowe – startup tokenowy, giełda kryptowalut i fundusz inwestycyjny – pokażą, jak regulacja działa w praktyce.

Jak MiCA klasyfikuje kryptoaktywa i co to oznacza dla Twojej firmy?

MiCA dzieli kryptoaktywa na trzy kategorie. Każda kategoria niesie inne obowiązki i progi wejścia. Błędna klasyfikacja to jeden z najkosztowniejszych błędów na etapie projektowania tokenu.

Pierwsza kategoria to tokeny powiązane z aktywami (ART – Asset-Referenced Tokens). Stabilizują wartość przez odniesienie do koszyka walut, towarów lub innych aktywów. Emitenci ART muszą uzyskać zezwolenie KNF przed emisją. Minimalny kapitał własny emitenta wynosi 350 000 EUR. Wymogi dotyczące rezerwy aktywów i płynności są szczegółowo uregulowane w rozporządzeniu.

Druga kategoria to tokeny pieniądza elektronicznego (EMT – E-Money Tokens). Stabilizują wartość przez odniesienie do jednej waluty fiducjarnej. Emitent musi posiadać licencję instytucji pieniądza elektronicznego lub banku. W Polsce licencję taką wydaje KNF na podstawie krajowych przepisów o usługach płatniczych. Próg kapitałowy dla instytucji pieniądza elektronicznego wynosi co najmniej 350 000 EUR.

Trzecia kategoria – i najszersza – to pozostałe kryptoaktywa, potocznie zwane tokenami użytkowymi (utility tokens). Obejmuje bitcoin, ether i większość tokenów projektów DeFi. Emitenci tych tokenów muszą opublikować whitepaper zgodny z wymogami MiCA i zgłosić go do KNF. Nie ma wymogu uzyskania zezwolenia, ale obowiązki informacyjne są rozbudowane. Whitepaper musi być złożony co najmniej 20 dni roboczych przed publikacją.

W praktyce – wiele firm o tym zapomina – klasyfikacja tokenu nie jest raz na zawsze ustalona. Zmiana funkcjonalności produktu może przesunąć token do wyższej kategorii regulacyjnej. Warto zaplanować przegląd klasyfikacji przy każdej istotnej aktualizacji projektu. Dotyczy to również projektów, które pierwotnie kwalifikowały się jako wyłączone spod MiCA (np. tokeny NFT lub tokeny emitowane wyłącznie dla sieci walidatorów).

Jakie kroki należy podjąć, żeby uzyskać zezwolenie CASP?

Dostawcy usług w zakresie kryptoaktywów (CASP – Crypto-Asset Service Providers) muszą uzyskać zezwolenie KNF przed rozpoczęciem działalności. Procedura trwa do 40 dni roboczych od złożenia kompletnego wniosku. Kapitał założycielski zależy od zakresu usług i wynosi od 50 000 EUR do 150 000 EUR.

Krok pierwszy to określenie zakresu usług. MiCA wyróżnia dziewięć kategorii usług CASP, w tym prowadzenie platformy obrotu, wymianę kryptoaktywów na środki pieniężne, przechowywanie i zarządzanie kryptoaktywami, doradztwo i zarządzanie portfelem. Każda dodatkowa usługa zwiększa wymogi kapitałowe i organizacyjne. Firma z Warszawy oferująca wyłącznie przechowywanie tokenów potrzebuje innego zezwolenia niż platforma obrotu.

Krok drugi to przygotowanie dokumentacji. Wniosek do KNF obejmuje program działania, opis struktury organizacyjnej, polityki zarządzania ryzykiem, procedury AML/CFT, regulamin platformy i opis rozwiązań technicznych. Wymogi dotyczące bezpieczeństwa IT są zbieżne z wymaganiami rozporządzenia DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 roku stosuje się do podmiotów finansowych. CASP powinien sprawdzić, czy DORA obejmuje jego działalność bezpośrednio.

Krok trzeci to spełnienie wymogów dotyczących kadry zarządzającej. Członkowie zarządu muszą posiadać odpowiednie kwalifikacje i niekaralność. KNF weryfikuje "fit and proper" każdego z nich. Wymóg ten jest szczególnie istotny dla spółek z udziałem kapitału zagranicznego – dokumenty z innych jurysdykcji wymagają tłumaczenia przysięgłego i apostille.

Krok czwarty to złożenie wniosku i oczekiwanie na decyzję. KNF może wezwać do uzupełnienia braków – każde wezwanie zatrzymuje bieg terminu. Po uzyskaniu zezwolenia w jednym państwie UE obowiązuje "paszport europejski": CASP może świadczyć usługi w pozostałych krajach UE bez dodatkowych zezwoleń, po notyfikacji właściwego organu.

Uważamy, że bezpieczniejszym rozwiązaniem jest złożenie wniosku z wyprzedzeniem co najmniej 3 miesięcy przed planowanym startem działalności. Procedura KNF bywa dłuższa niż ustawowe 40 dni, jeśli dokumentacja wymaga uzupełnień. Dla projektów z harmonogramem emisji tokenu jest to ryzyko nieodwracalne – opóźnienie o jeden kwartał może oznaczać utratę okna rynkowego.

Projekty działające transgranicznie powinny skonsultować się z doradcami w zakresie restrukturyzacji zapobiegawczej, jeśli planują zmianę jurysdykcji rejestracji w związku z wdrożeniem MiCA. Relokacja podmiotu do innego państwa UE może być alternatywą dla polskiej procedury, ale niesie własne ryzyka korporacyjne.

Trzy scenariusze biznesowe – jak MiCA działa w praktyce?

Regulacja MiCA nie jest jednorodna. Jej wpływ różni się w zależności od modelu biznesowego. Poniżej trzy scenariusze ilustrujące praktyczne konsekwencje.

Scenariusz 1 – startup tokenowy (Warszawa, jesień 2024). Spółka technologiczna emituje token użytkowy dla platformy streamingowej. Token daje dostęp do treści premium, nie jest powiązany z żadną walutą. Emitent przygotowuje whitepaper zgodny z MiCA i zgłasza go do KNF z 20-dniowym wyprzedzeniem. Koszt przygotowania dokumentacji przez kancelarię IP – od 15 000 do 30 000 PLN, w zależności od złożoności projektu. Brak wymogu zezwolenia skraca czas do emisji do ok. 6–8 tygodni.

Scenariusz 2 – giełda kryptowalut (Trójmiasto, wiosna 2025). Operator giełdy oferuje wymianę BTC, ETH i kilkudziesięciu altcoinów na PLN i EUR. Musi uzyskać zezwolenie CASP w kategorii "platforma obrotu". Kapitał własny musi wynosić co najmniej 150 000 EUR. Dokumentacja AML/CFT jest kluczowa – Generalny Inspektor Informacji Finansowej (GIIF) weryfikuje procedury przeciwdziałania praniu pieniędzy niezależnie od KNF. Termin uzyskania zezwolenia: 4–6 miesięcy od złożenia kompletnego wniosku.

Scenariusz 3 – inwestor zagraniczny (Niemcy, wejście na rynek polski). Fundusz z siedzibą we Frankfurcie chce oferować zarządzanie portfelem kryptoaktywów polskim klientom instytucjonalnym. Posiada zezwolenie BaFin jako CASP. Dzięki paszportowi europejskiemu wystarczy notyfikacja KNF – procedura trwa do 15 dni roboczych. Fundusz musi jednak dostosować materiały informacyjne do wymogów RODO (Rozporządzenie UE 2016/679) i polskich przepisów konsumenckich. Ochrona danych osobowych klientów to oddzielna warstwa compliance, często pomijana przez podmioty wchodzące na rynek polski.

W każdym z tych scenariuszy pojawia się pytanie o ochronę własności intelektualnej. Kod źródłowy platformy, algorytmy smart contractów i znak towarowy projektu tokenowego wymagają odrębnej ochrony prawnej. Więcej o tym w naszym przewodniku dotyczącym ochrony oprogramowania i praw autorskich w polskim prawie.

Jakich błędów unikać przy wdrażaniu MiCA?

Wdrożenie MiCA ujawnia kilka powtarzających się błędów. Ich znajomość pozwala zaoszczędzić czas i pieniądze. Każdy z tych błędów może zamknąć drogę do legalnej działalności w UE.

Błąd pierwszy: mylna klasyfikacja tokenu. Wiele projektów zakłada, że token użytkowy jest zawsze poza reżimem ART lub EMT. Tymczasem token, który stabilizuje wartość przez mechanizm algorytmiczny lub jest powiązany z walutą fiducjarną, może być EMT niezależnie od intencji emitenta. KNF ocenia ekonomiczną funkcję tokenu, nie tylko jego nazwę w dokumentacji.

Błąd drugi: nieprawidłowy whitepaper. MiCA określa dokładną strukturę i treść whitepapera. Brak obowiązkowych sekcji – np. opisu ryzyk, struktury zarządczej lub mechanizmu wykupu – skutkuje odrzuceniem przez KNF. Whitepaper to dokument prawny, nie materiał marketingowy. Jego przygotowanie wymaga współpracy prawnika z zespołem technicznym.

Błąd trzeci: niedoszacowanie wymogów AML. Podmioty CASP podlegają pełnemu reżimowi AML/CFT. Procedury KYC (Know Your Customer), monitorowanie transakcji i raportowanie do GIIF to obowiązki operacyjne, nie jednorazowe dokumenty. Wdrożenie tych procedur zajmuje od 4 do 8 tygodni i wymaga integracji z systemami IT.

Błąd czwarty: pominięcie AI Act. Platformy kryptoaktywów korzystające z algorytmów rekomendacyjnych lub systemów scoringowych mogą podlegać Rozporządzeniu AI Act (Rozporządzenie UE 2024/1689), które weszło w życie 1 sierpnia 2024 roku. Systemy AI używane w credit scoringu lub zarządzaniu ryzykiem są klasyfikowane jako systemy wysokiego ryzyka. Kancelaria IP Warszawa specjalizująca się w regulacjach technologicznych powinna ocenić, czy systemy AI danej platformy wymagają oceny zgodności.

  • Sprawdź klasyfikację tokenu przed rozpoczęciem prac nad whitepaperern
  • Zweryfikuj, czy działalność podlega DORA, AI Act i RODO niezależnie od MiCA
  • Złóż wniosek CASP co najmniej 3 miesiące przed planowanym startem
  • Wdróż procedury AML/CFT i KYC przed emisją lub uruchomieniem platformy
  • Zaplanuj przegląd klasyfikacji tokenu przy każdej istotnej zmianie projektu

Uważamy, że największym zagrożeniem jest nie tyle nieznajomość MiCA, ile fałszywe poczucie bezpieczeństwa. Projekt, który działał legalnie przed 30 grudnia 2024 roku, niekoniecznie spełnia wymogi po tej dacie. Regulacja kryptoaktywów w Polsce weszła w nową fazę – a okno na dostosowanie się zamknęło się szybciej, niż wielu uczestników rynku zakładało.

Konkretna sytuacja Państwa projektu wymaga indywidualnej oceny – błędna klasyfikacja tokenu lub brak zezwolenia CASP to konsekwencje nieodwracalne w krótkim czasie. KNF może nakazać zaprzestanie działalności ze skutkiem natychmiastowym.

Jeśli Państwa spółka planuje emisję tokenów lub świadczenie usług CASP w Polsce – przeprowadzimy analizę klasyfikacji, przygotujemy whitepaper i dokumentację wniosku CASP: info@kordeckipartners.com.

Często zadawane pytania

P: Czy polska spółka, która już świadczyła usługi wymiany kryptowalut przed 30 grudnia 2024 roku, musi teraz uzyskać zezwolenie CASP?

O: Tak, ale MiCA przewiduje okres przejściowy. Podmioty działające zgodnie z prawem krajowym przed datą stosowania rozporządzenia mogą kontynuować działalność przez 18 miesięcy bez nowego zezwolenia – czyli do 1 lipca 2026 roku. W tym czasie muszą złożyć wniosek o zezwolenie CASP do KNF. Polskie przepisy krajowe dotyczące wirtualnych aktywów (ustawa AML) nadal obowiązują równolegle. Brak złożenia wniosku przed upływem okresu przejściowego oznacza konieczność natychmiastowego zaprzestania działalności.

P: Ile kosztuje uzyskanie zezwolenia CASP w Polsce i jak długo trwa cała procedura?

O: Opłata za złożenie wniosku do KNF jest uregulowana przepisami krajowymi. Koszty przygotowania dokumentacji przez kancelarię wynoszą od 25 000 do 60 000 PLN w zależności od zakresu usług i złożoności struktury. Łączny czas od rozpoczęcia prac do uzyskania zezwolenia to zwykle 5–8 miesięcy. Termin ustawowy dla KNF wynosi 40 dni roboczych od złożenia kompletnego wniosku, ale uzupełnienia formalne wydłużają ten czas. Warto zaplanować budżet na bieżące koszty compliance po uzyskaniu zezwolenia – raportowanie do KNF i GIIF to obowiązki ciągłe.

P: Czy token NFT jest objęty regulacją MiCA?

O: Co do zasady tokeny NFT (non-fungible tokens) są wyłączone spod MiCA, ponieważ są unikalne i niewymienialne. Jednak wyłączenie nie jest absolutne. Jeśli NFT jest emitowany w dużych seriach o identycznych właściwościach, KNF może uznać go za kryptoaktywo podlegające regulacji. Podobnie NFT pełniący funkcję instrumentu finansowego może podlegać dyrektywie MiFID II, a nie MiCA. Każdy projekt NFT powinien przejść indywidualną analizę klasyfikacyjną przed emisją. Błędne założenie o wyłączeniu spod regulacji kryptoaktywów to powszechne nieporozumienie na rynku.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym MiCA, AI Act, DORA i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.