Firma fintech z Warszawy uruchamia platformę do obrotu tokenami. Prawnicy pytają: czy potrzebujemy zezwolenia? Kiedy? Od kogo? Odpowiedź zależy od jednego dokumentu – rozporządzenia MiCA, które weszło w pełni w życie 30 grudnia 2024 r. i objęło cały rynek kryptoaktywów w Unii Europejskiej.

Rozporządzenie MiCA (Markets in Crypto-Assets, Rozporządzenie UE 2023/1114) to pierwsze kompleksowe unijne ramy regulacyjne dla rynku kryptoaktywów. Obowiązuje bezpośrednio we wszystkich 27 państwach członkowskich, w tym w Polsce. Emitenci tokenów i dostawcy usług w zakresie kryptoaktywów (CASP) muszą spełnić wymogi autoryzacyjne lub notyfikacyjne – w zależności od rodzaju prowadzonej działalności i skali operacji.

Ten przewodnik wyjaśnia, kogo MiCA dotyczy w Polsce, jakie kroki należy podjąć, czego unikać i jak wygląda procedura krok po kroku. Omawiamy trzy scenariusze biznesowe – producenta, firmę IT i inwestora zagranicznego – oraz najczęstsze błędy, które kosztują czas i pieniądze.

Kogo MiCA dotyczy i jakie kryptoaktywa obejmuje?

MiCA reguluje emisję, ofertę publiczną i obrót kryptoaktywami niebędącymi instrumentami finansowymi w rozumieniu dyrektywy MiFID II. Rozporządzenie dzieli kryptoaktywa na trzy kategorie: tokeny powiązane z aktywami (ART), tokeny pieniądza elektronicznego (EMT) oraz pozostałe kryptoaktywa – w tym popularne utility tokens i tokeny nieposiadające specjalnego statusu.

KNF (Komisja Nadzoru Finansowego) pełni rolę właściwego organu nadzorczego w Polsce. To do KNF składa się wnioski o zezwolenie CASP, zatwierdza się white papert i zgłasza wszelkie zmiany operacyjne. Instytucja ta współpracuje z ESMA i EBA na poziomie unijnym. Podmioty zarejestrowane wcześniej w rejestrze KAS lub NBP jako dostawcy usług wymiany walut wirtualnych korzystają z okresu przejściowego do 1 lipca 2026 r.

Regulacja nie obejmuje NFT uznanych za unikalne, kryptoaktywów kwalifikowanych jako instrumenty finansowe ani aktywów emitowanych przez banki centralne. Warto jednak pamiętać, że RODO (Rozporządzenie UE 2016/679) i AI Act (Rozporządzenie UE 2024/1689) mogą nakładać równoległe obowiązki – szczególnie gdy platforma kryptoaktywów przetwarza dane osobowe lub wykorzystuje algorytmy rekomendacyjne.

Trzy pytania pozwalają wstępnie ocenić, czy MiCA dotyczy Twojej firmy: (1) Czy emitujesz lub oferujesz publicznie kryptoaktywa? (2) Czy świadczysz usługi na rzecz osób trzecich – przechowywanie, wymianę, realizację zleceń? (3) Czy działasz na rzecz klientów z UE, nawet z siedziby poza Unią? Odpowiedź twierdząca na choćby jedno pytanie oznacza konieczność analizy prawnej.

Jak wygląda procedura autoryzacji CASP krok po kroku?

Uzyskanie statusu CASP (Crypto-Asset Service Provider) w Polsce wymaga złożenia kompletnego wniosku do KNF. Organ ma 25 dni roboczych na weryfikację kompletności dokumentacji, a następnie 40 dni roboczych na wydanie decyzji – łącznie do 65 dni roboczych od potwierdzenia kompletności wniosku. W praktyce, przy pierwszych wnioskach, termin ten może się wydłużyć.

Procedura autoryzacji przebiega w następujących etapach:

  • Etap 1 – analiza wstępna: klasyfikacja kryptoaktywów i usług, ocena czy wymagany jest white paper, wybór odpowiedniej ścieżki regulacyjnej (pełna autoryzacja lub notyfikacja)
  • Etap 2 – przygotowanie dokumentacji: program działalności, polityki AML/CFT, regulaminy świadczenia usług, procedury zarządzania ryzykiem, dane kadry zarządzającej
  • Etap 3 – złożenie wniosku do KNF: opłata za wniosek wynosi obecnie kilka tysięcy złotych, jednak KNF może żądać uzupełnień w ciągu 25 dni roboczych
  • Etap 4 – weryfikacja merytoryczna: KNF ocenia wymogi kapitałowe (minimum 50 000 EUR lub 150 000 EUR w zależności od usługi), kompetencje zarządu i polityki wewnętrzne
  • Etap 5 – decyzja i wpis do rejestru: po uzyskaniu zezwolenia CASP wpisywany jest do rejestru ESMA i może korzystać z paszportu europejskiego

Paszport europejski to jeden z największych atutów MiCA. CASP z zezwoleniem KNF może świadczyć usługi we wszystkich 27 państwach UE bez odrębnych zezwoleń krajowych. Wystarczy notyfikacja do organu nadzorczego państwa przyjmującego. Dla polskich firm fintech oznacza to otwarcie na rynek 450 milionów konsumentów bez dodatkowych kosztów regulacyjnych.

Firma IT z Krakowa, oferująca portfele kryptowalutowe dla klientów korporacyjnych w Niemczech i Austrii, wiosną 2025 r. uniknęła podwójnej rejestracji właśnie dzięki paszportowi MiCA – oszczędzając szacunkowo kilkadziesiąt tysięcy euro na kosztach compliance.

Konkretna sytuacja Państwa firmy wymaga oceny, czy prowadzona działalność kwalifikuje się jako usługa CASP, emisja ART czy EMT. Błędna klasyfikacja może zamknąć drogę do paszportu europejskiego i narazić spółkę na nieodwracalne konsekwencje reputacyjne. Jeśli Państwa spółka świadczy usługi w zakresie kryptoaktywów lub planuje emisję tokenów – przeprowadzimy analizę klasyfikacyjną i przygotujemy dokumentację KNF: info@kordeckipartners.com.

Jakie są wymogi dla emitentów tokenów ART i EMT?

Tokeny powiązane z aktywami (ART) i tokeny pieniądza elektronicznego (EMT) podlegają najsurowszym wymogom MiCA. Emitent ART musi uzyskać zezwolenie KNF przed emisją – niezależnie od tego, czy jest to spółka polska, czy zagraniczna oferująca tokeny klientom w Polsce. Minimalny wymóg kapitałowy dla emitenta ART to 350 000 EUR.

White paper dla ART i EMT musi zawierać szczegółowe informacje o aktywach bazowych, mechanizmach stabilizacji kursu, polityce rezerw i prawach posiadaczy tokenów. KNF zatwierdza white paper w terminie 60 dni roboczych od złożenia kompletnego wniosku. Dokument musi być opublikowany na stronie emitenta przez cały okres emisji.

Emitenci EMT muszą spełnić wymogi analogiczne do instytucji pieniądza elektronicznego. W Polsce oznacza to de facto podwójną regulację – zarówno MiCA, jak i ustawy o usługach płatniczych. Rezerwy muszą być utrzymywane w bezpiecznych aktywach, a posiadacze tokenów mają prawo do wykupu po wartości nominalnej w każdym czasie.

Dla utility tokens i pozostałych kryptoaktywów white paper jest wymagany przy ofercie publicznej powyżej 1 000 000 EUR w ciągu 12 miesięcy. Poniżej tego progu emitent może skorzystać z wyłączenia, ale musi sporządzić i opublikować stosowne oświadczenie. Znak towarowy i ochrona marki tokenów to dodatkowy aspekt, który warto uwzględnić już na etapie projektowania emisji – RODO nakłada zaś obowiązki informacyjne wobec inwestorów jako podmiotów danych.

Trzy scenariusze biznesowe – gdzie czają się pułapki?

Regulacja MiCA wygląda prosto na papierze. W praktyce – wiele firm wpada w te same pułapki, tracąc czas i środki na kosztowne poprawki dokumentacji lub, co gorzej, działając bez wymaganego zezwolenia.

Scenariusz 1 – producent tokenizujący produkt. Firma produkcyjna z Łodzi tokenizuje prawa do przyszłych dostaw surowców. Jeśli tokeny dają posiadaczom prawa zbywalne i są oferowane publicznie, mogą zostać sklasyfikowane jako ART. Błędne założenie, że to „tylko program lojalnościowy", może narazić zarząd na odpowiedzialność osobistą za działalność bez zezwolenia. Kara administracyjna może sięgnąć 5 000 000 EUR lub 3% rocznego obrotu – zależnie od tego, która kwota jest wyższa.

Scenariusz 2 – firma IT jako CASP. Spółka technologiczna z Wrocławia buduje giełdę kryptoaktywów obsługującą klientów z całej UE. Wymaga pełnej autoryzacji CASP z wymogiem kapitałowym 150 000 EUR dla usług realizacji zleceń. DORA (Rozporządzenie UE 2022/2554) nakłada równocześnie obowiązki w zakresie zarządzania ryzykiem ICT – dokumentację odporności operacyjnej i plany ciągłości działania. Pominięcie DORA to kolejny front ryzyka regulacyjnego.

Scenariusz 3 – inwestor zagraniczny. Dla niemieckiego inwestora wchodzącego na rynek polski z platformą DeFi sytuacja jest złożona. MiCA nie reguluje bezpośrednio zdecentralizowanych protokołów bez centralnego emitenta. Jednak jeśli platforma ma identyfikowalny podmiot zarządzający, KNF może uznać go za CASP. Inwestor powinien uzyskać wiążącą interpretację przed uruchomieniem działalności w Polsce. Kancelaria IP Warszawa z doświadczeniem w regulacjach kryptoaktywów jest niezbędna na tym etapie.

Najczęstsze błędy operacyjne to: składanie niekompletnych wniosków do KNF (wydłuża procedurę o kolejne 25 dni roboczych), brak polityk AML zgodnych z dyrektywą AMLD6, niedostosowanie umów z klientami do wymogów MiCA oraz ignorowanie obowiązków RODO przy zbieraniu danych KYC.

Co przygotować – lista kontrolna dla firm kryptoaktywów?

Przed złożeniem wniosku do KNF lub uruchomieniem działalności w zakresie kryptoaktywów warto zweryfikować gotowość organizacyjną. Poniższa lista obejmuje minimum, które organ nadzorczy sprawdza w pierwszej kolejności.

  • Klasyfikacja prawna kryptoaktywów i usług – pisemna opinia prawna z uzasadnieniem
  • Dokumentacja AML/CFT – procedury KYC, monitoring transakcji, raportowanie do GIIF
  • White paper (jeśli wymagany) – zatwierdzony przez organ lub złożony do KNF z wnioskiem
  • Wymogi kapitałowe – potwierdzenie posiadania minimalnego kapitału (50 000–350 000 EUR zależnie od usługi)
  • Polityki RODO i cyberbezpieczeństwa – zgodność z RODO i wymogami DORA w zakresie ICT

Firma fintech z Poznania, która latem 2024 r. złożyła wniosek CASP bez kompletnej dokumentacji AML, otrzymała wezwanie do uzupełnienia i straciła 25 dni roboczych. Korekta dokumentacji i ponowne złożenie opóźniły start działalności o ponad trzy miesiące – w sezonie, gdy konkurencja już obsługiwała klientów.

Warto też pamiętać, że MiCA wprowadza obowiązki bieżące po uzyskaniu zezwolenia: roczne sprawozdania dla KNF, natychmiastowe zgłaszanie istotnych zmian operacyjnych (w terminie 30 dni) oraz coroczne audyty procedur AML. Zaniedbanie obowiązków po autoryzacji może skutkować zawieszeniem lub cofnięciem zezwolenia – co jest skutkiem nieodwracalnym dla działalności operacyjnej.

Konkretna sytuacja Państwa firmy – jej model biznesowy, rodzaj tokenów i rynki docelowe – decyduje o tym, którą ścieżkę regulacyjną wybrać i jakie dokumenty przygotować w pierwszej kolejności. Błędna ścieżka zamyka drogę do paszportu europejskiego. Jeśli Państwa spółka planuje emisję tokenów lub rejestrację jako CASP w Polsce – przeprowadzimy pełną analizę regulacyjną, przygotujemy white paper i dokumentację KNF: info@kordeckipartners.com.

Często zadawane pytania

P: Czy polska spółka z o.o. może działać jako CASP bez zezwolenia KNF, jeśli obsługuje tylko klientów zagranicznych?

O: Nie. MiCA stosuje się do każdego podmiotu świadczącego usługi kryptoaktywów na rzecz klientów z UE, niezależnie od miejsca siedziby usługodawcy. Polska spółka z o.o. oferująca usługi klientom z Niemiec, Francji czy Czech bez zezwolenia KNF działa nielegalnie i podlega karze administracyjnej do 5 000 000 EUR. Brak zezwolenia nie jest usprawiedliwiony tym, że klienci są zagraniczni.

P: Ile kosztuje i jak długo trwa uzyskanie zezwolenia CASP w Polsce?

O: Procedura trwa od 3 do 6 miesięcy przy kompletnej dokumentacji. Opłata za wniosek do KNF to kilka tysięcy złotych, jednak całkowity koszt compliance – przygotowanie dokumentacji, polityk AML, white paperu i obsługa prawna – wynosi zwykle od 50 000 do 150 000 PLN w zależności od złożoności działalności. Wymogi kapitałowe (minimum 50 000 EUR) dochodzą do tego osobno i muszą być spełnione przed wydaniem decyzji.

P: Czy NFT podlegają regulacji MiCA?

O: Co do zasady NFT uznane za unikalne i nieposiadające cech instrumentu finansowego są wyłączone spod MiCA. Jednak seria identycznych lub podobnych NFT emitowanych masowo może zostać uznana przez KNF za kryptoaktywa objęte rozporządzeniem. Kwalifikacja zależy od funkcji tokenu, jego zbywalności i sposobu emisji. Błędne założenie o wyłączeniu NFT to jeden z najczęstszych błędów – przed emisją serii NFT warto uzyskać pisemną opinię prawną.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji kryptoaktywów, MiCA, AI Act i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. Więcej o naszej praktyce IP/Tech znajdą Państwo na stronie działu IP & Tech. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autorem artykułu jest Jakub Górski, adwokat specjalizujący się w prawie własności intelektualnej, technologiach i regulacjach AI. Więcej informacji o procedurach zatrudnienia i compliance pracowniczego znajdą Państwo w naszym przewodniku dla pracodawców.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.