MiCA – regulacja kryptoaktywów w Polsce

Polska firma fintech planuje emisję tokenów użytkowych. Jej zarząd zakłada, że wystarczy zarejestrować działalność w KRS i opublikować whitepaper. W praktyce – wiele firm o tym zapomina – MiCA wymaga znacznie więcej. Bez zezwolenia CASP albo zatwierdzonego prospektu emisyjnego cała operacja może zostać zablokowana przez KNF, a zebrane środki trafią do depozytu sądowego.

Rozporządzenie MiCA (Regulation EU 2023/1114) stanowi pierwszą kompleksową regulację kryptoaktywów w Unii Europejskiej. Obowiązuje bezpośrednio w Polsce od 30 grudnia 2024 roku dla emitentów tokenów powiązanych z aktywami i tokenów pieniądza elektronicznego. Dla dostawców usług w zakresie kryptoaktywów (CASP) pełne stosowanie nastąpiło 30 grudnia 2024 roku. Naruszenie obowiązków może skutkować cofnięciem zezwolenia i odpowiedzialnością odszkodowawczą wobec inwestorów.

Poniższy przewodnik omawia kroki, jakie polska firma powinna podjąć: od klasyfikacji kryptoaktywa, przez procedurę uzyskania zezwolenia CASP lub zatwierdzenia whitepapers, po typowe błędy i trzy scenariusze biznesowe. Przywołujemy też powiązane regulacje – AI Act, DORA i RODO – które często dotykają tych samych podmiotów.

Czym jest MiCA i kogo dotyczy w Polsce?

Rozporządzenie MiCA dzieli kryptoaktywa na trzy kategorie: tokeny powiązane z aktywami (ART), tokeny pieniądza elektronicznego (EMT) oraz pozostałe kryptoaktywa (utility tokens, tokeny inwestycyjne). Każda kategoria podlega innym wymogom. Emitent ART musi uzyskać zezwolenie KNF. Emitent EMT – licencję instytucji pieniądza elektronicznego. Emitent utility tokenów – wyłącznie zatwierdzić whitepaper, chyba że oferta skierowana jest do mniej niż 150 osób lub wartość emisji nie przekracza 1 000 000 EUR rocznie.

Dostawcy usług w zakresie kryptoaktywów – giełdy, podmioty przechowujące aktywa, doradcy – potrzebują zezwolenia CASP. Wniosek składa się do KNF. Organ ma 25 dni roboczych na potwierdzenie kompletności wniosku i następnie 40 dni roboczych na wydanie decyzji. Łącznie procedura może trwać do 4 miesięcy.

Polska ma dodatkową komplikację: w maju 2025 roku Prezydent RP zawetował ustawę implementującą krajowe przepisy wykonawcze do MiCA. Oznacza to, że na dzień pisania tego tekstu KNF stosuje MiCA bezpośrednio jako rozporządzenie unijne, lecz krajowe przepisy sankcyjne i nadzorcze są niepełne. Podmioty działające na rynku powinny śledzić postęp nowych prac legislacyjnych.

Kogo MiCA nie obejmuje? Rozporządzenie wyłącza m.in. unikalne tokeny kolekcjonerskie (NFT), instrumenty finansowe w rozumieniu MiFID II, a także kryptoaktywa emitowane przez banki centralne. Granica między utility tokenem a instrumentem finansowym bywa cienka – błędna klasyfikacja może narazić emitenta na zarzut oferowania papierów wartościowych bez prospektu.

Jak uzyskać zezwolenie CASP – krok po kroku?

Procedura CASP składa się z czterech etapów. Wniosek do KNF musi zawierać program działalności, politykę zarządzania ryzykiem, dokumenty korporacyjne, opis systemów IT oraz politykę przeciwdziałania praniu pieniędzy (AML). Minimalny kapitał zakładowy zależy od zakresu usług: dla przechowywania kryptoaktywów wynosi 125 000 EUR. Dla prowadzenia platformy obrotu – 150 000 EUR lub 25% stałych kosztów operacyjnych za poprzedni rok, w zależności od tego, która kwota jest wyższa.

Etap 1 – klasyfikacja usług. Firma musi określić, które z dziewięciu kategorii usług CASP zamierza świadczyć. Każda kategoria wymaga osobnego opisu w programie działalności. Etap 2 – przygotowanie dokumentacji. Polityki AML, procedury KYC i systemy monitorowania transakcji muszą być gotowe przed złożeniem wniosku – KNF weryfikuje je w ramach oceny.

Etap 3 – złożenie wniosku. Dokumenty składa się w formie elektronicznej przez platformę KNF. Organ potwierdza kompletność w ciągu 25 dni roboczych. Etap 4 – decyzja. KNF wydaje zezwolenie lub odmawia w ciągu 40 dni roboczych od potwierdzenia kompletności. Decyzja odmowna podlega zaskarżeniu do WSA, a następnie NSA.

Po uzyskaniu zezwolenia CASP korzysta z paszportu europejskiego. Wystarczy notyfikacja do organów nadzoru w innych państwach członkowskich. Firma z Warszawy może świadczyć usługi we wszystkich 27 państwach UE bez odrębnych licencji – to jedna z największych szans wynikających z MiCA, której wiele polskich podmiotów jeszcze nie wykorzystuje.

Warto tu zauważyć powiązanie z DORA (Rozporządzenie UE 2022/2554). CASP spełniający definicję podmiotu finansowego podlega obowiązkom zarządzania ryzykiem ICT, testowania systemów i raportowania incydentów do KNF. Termin stosowania DORA minął 17 stycznia 2025 roku. Firmy, które złożyły wniosek CASP, a nie wdrożyły DORA, narażają się na odmowę zezwolenia lub późniejsze sankcje.

Jakie błędy najczęściej popełniają polskie firmy przy emisji tokenów?

Błąd pierwszy: błędna klasyfikacja tokenu. Startup z Mazowsza wiosną 2024 roku wyemitował „token dostępowy" do platformy SaaS. Whitepaper opisywał go jako utility token. KNF zakwestionował tę kwalifikację, wskazując cechy instrumentu finansowego. Emisja została wstrzymana, a spółka musiała złożyć wniosek o zatwierdzenie prospektu do Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA). Opóźnienie kosztowało firmę 8 miesięcy i kilkaset tysięcy złotych.

Błąd drugi: pominięcie wymogów RODO. MiCA wymaga przechowywania danych klientów przez co najmniej 5 lat. Blockchain jest z natury niemodyfikowalny. Wdrożenie prawa do usunięcia danych (art. 17 RODO) w środowisku on-chain wymaga osobnego projektu techniczno-prawnego. Firmy, które o tym zapomniały, stanęły przed koniecznością kosztownej przebudowy architektury systemu.

Błąd trzeci: brak polityki dotyczącej znaku towarowego. Token emitowany pod nazwą zbliżoną do istniejącego znaku towarowego może narazić emitenta na spór sądowy. Kancelaria IP Warszawa rekomenduje weryfikację nazwy tokenu w bazach EUIPO i UPRP przed emisją – to koszt kilkuset złotych, który może zaoszczędzić wieloletni spór.

Błąd czwarty: ignorowanie wymogów whitepaper. Whitepaper musi zawierać 17 kategorii informacji wskazanych w Załączniku I do MiCA. Brak choćby jednej z nich grozi odmową zatwierdzenia przez KNF i koniecznością ponownego złożenia dokumentu. Termin na zatwierdzenie whitepaper wynosi 20 dni roboczych – ale liczy się od dnia złożenia kompletnego dokumentu.

• Zweryfikuj klasyfikację tokenu przed emisją – utility token czy instrument finansowy?
• Sprawdź wymogi RODO wobec danych on-chain i off-chain.
• Przygotuj whitepaper zgodny z Załącznikiem I do MiCA (17 kategorii).
• Zarejestruj lub sprawdź znak towarowy nazwy tokenu w EUIPO i UPRP.
• Oceń, czy podmiot podlega DORA jako CASP lub instytucja finansowa.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny. Błędna klasyfikacja tokenu lub pominięcie wymogów DORA może nieodwracalnie zamknąć drogę do uzyskania paszportu europejskiego CASP i wejścia na rynki UE.

Jeśli Państwa spółka planuje emisję tokenów lub świadczenie usług CASP – przeprowadzimy klasyfikację kryptoaktywa, przygotujemy dokumentację do KNF i ocenimy zgodność z DORA oraz RODO: info@kordeckipartners.com.

Trzy scenariusze biznesowe: jak MiCA działa w praktyce?

Scenariusz pierwszy – polska spółka produkcyjna tokenizuje należności handlowe. Firma z Dolnego Śląska latem 2025 roku chce wyemitować tokeny reprezentujące wierzytelności wobec kontrahentów. Tokeny te będą zbywalne na wtórnym rynku. KNF zakwalifikuje je prawdopodobnie jako ART lub instrumenty finansowe. Emitent musi uzyskać zezwolenie lub prospekt. Minimalny kapitał własny emitenta ART to 350 000 EUR. Procedura zajmuje od 4 do 6 miesięcy.

Scenariusz drugi – startup IT z Krakowa buduje giełdę kryptoaktywów. Spółka świadczy usługi obrotu tokenami. Musi uzyskać zezwolenie CASP w kategorii „prowadzenie platformy obrotu kryptoaktywami". Kapitał minimalny: 150 000 EUR lub 25% stałych kosztów. Po uzyskaniu polskiego zezwolenia spółka notyfikuje działalność w Niemczech i Francji – bez dodatkowych licencji. To szansa na szybką ekspansję europejską w ciągu 30 dni od notyfikacji.

Scenariusz trzeci – inwestor zagraniczny wchodzi na rynek polski. Dla niemieckiego inwestora wchodzącego na rynek polski MiCA jest neutralna – zezwolenie CASP uzyskane przez BaFin obowiązuje w Polsce automatycznie po notyfikacji. Jednak inwestor musi uwzględnić polskie przepisy AML i wymogi RODO, które stosuje UODO. Brak lokalnej polityki ochrony danych może narazić go na karę do 20 000 000 EUR lub 4% globalnego obrotu.

We wszystkich trzech scenariuszach pojawia się temat ochrony danych. Regulacja MiCA nie zastępuje RODO – oba akty stosują się łącznie. Podobnie AI Act (Rozporządzenie UE 2024/1689) może dotyczyć platform kryptoaktywów, które stosują algorytmy do wyceny lub rekomendacji inwestycyjnych. Jeśli taki system spełnia definicję systemu wysokiego ryzyka, wymagana jest ocena zgodności przed wprowadzeniem go do obrotu.

Szczegółowe informacje o wcześniejszych analizach MiCA w polskim kontekście znajdą Państwo w naszym wcześniejszym opracowaniu: MiCA – regulacja kryptoaktywów w Polsce. Spory z KNF lub kontrahentami w sprawach kryptoaktywów obsługujemy w ramach praktyki sporów: Spory – Polska.

Często zadawane pytania

P: Czy polska firma musi uzyskać odrębne zezwolenie KNF, jeśli posiada już licencję CASP z innego państwa UE?

O: Nie – rozporządzenie MiCA wprowadza paszport europejski. Zezwolenie CASP wydane przez organ nadzoru dowolnego państwa członkowskiego, w tym BaFin lub AMF, obowiązuje w Polsce automatycznie po notyfikacji do KNF. Procedura notyfikacji trwa do 10 dni roboczych. Firma musi jednak dostosować polityki AML i ochrony danych do wymogów polskich przepisów wykonawczych i rozporządzenia RODO.

P: Ile kosztuje uzyskanie zezwolenia CASP w Polsce i jak długo trwa procedura?

O: Opłata skarbowa za wniosek do KNF wynosi kilka tysięcy złotych. Realny koszt to jednak przygotowanie dokumentacji: polityk AML, programu działalności, opisów systemów IT – łącznie od 50 000 do 150 000 PLN przy wsparciu kancelarii i doradców IT. Procedura od złożenia wniosku do decyzji trwa od 3 do 4 miesięcy przy kompletnej dokumentacji. Błędy formalne wydłużają ją o kolejne tygodnie lub miesiące.

P: Czy NFT podlegają regulacji MiCA?

O: Co do zasady unikalne tokeny kolekcjonerskie (NFT) są wyłączone z zakresu MiCA. Jednak wyłączenie nie jest automatyczne – token musi być rzeczywiście unikalny i niezamienny. Seria identycznych lub podobnych NFT emitowanych w dużych nakładach może zostać zakwalifikowana jako kryptoaktywo objęte MiCA. Ocena wymaga analizy konkretnego projektu. Błędne założenie o wyłączeniu jest jednym z najczęstszych błędów projektów NFT w Polsce.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji kryptoaktywów, MiCA, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Konkretna sytuacja Państwa firmy w obszarze kryptoaktywów wymaga indywidualnej analizy. Brak zezwolenia CASP lub błędna klasyfikacja tokenu mogą nieodwracalnie zamknąć drogę do ekspansji europejskiej i narazić zarząd na odpowiedzialność osobistą wobec inwestorów.

Jeśli Państwa spółka planuje emisję tokenów, uzyskanie zezwolenia CASP lub ocenę zgodności z MiCA, DORA i RODO – przeprowadzimy pełną analizę prawną i przygotujemy dokumentację do KNF: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.