Firma technologiczna z Mazowsza planuje emisję tokenów użytkowych dla swojej platformy. Prawnicy pytają o licencję CASP. Księgowi pytają o VAT. Zarząd pyta, czy w ogóle można działać – skoro Polska zawetowała krajową ustawę. Odpowiedź brzmi: tak, można. Ale droga do zgodności z MiCA jest dłuższa, niż większość zarządów zakłada.
Rozporządzenie MiCA (Regulation (EU) 2023/1114 w sprawie rynków kryptoaktywów) obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, w tym w Polsce, od 30 grudnia 2024 roku dla dostawców usług w zakresie kryptoaktywów (CASP). Polska ustawa implementacyjna nie weszła w życie po prezydenckiej veto – co oznacza, że krajowy organ nadzoru (KNF) działa na podstawie przepisów przejściowych. Podmioty bez licencji CASP ryzykują zakazem działalności i odpowiedzialnością karną.
Ten przewodnik wyjaśnia, kogo MiCA dotyczy w Polsce, jak przebiega procedura uzyskania licencji, jakie błędy kosztują firmy miesiące opóźnień oraz jakie scenariusze dotyczą przedsiębiorców z branży produkcyjnej, IT i zagranicznych inwestorów. Cztery sekcje – od ram regulacyjnych po praktyczną listę kontrolną.
Kogo obejmuje MiCA i jakie podmioty muszą uzyskać licencję CASP?
MiCA dzieli kryptoaktywa na trzy kategorie. Pierwsza to tokeny powiązane z aktywami (ART – asset-referenced tokens). Druga to tokeny będące pieniądzem elektronicznym (EMT – e-money tokens). Trzecia to pozostałe kryptoaktywa, w tym utility tokens. Każda kategoria ma inne wymogi kapitałowe i proceduralne. Emitent ART lub EMT podlega surowszemu reżimowi niż emitent zwykłego tokenu użytkowego.
Licencja CASP jest wymagana dla podmiotów świadczących usługi w zakresie kryptoaktywów: prowadzenia platform obrotu, wymiany kryptoaktywów na waluty fiducjarne lub inne kryptoaktywa, przechowywania i administrowania kryptoaktywami, realizacji zleceń oraz doradztwa inwestycyjnego dotyczącego kryptoaktywów. Katalog jest szeroki. W praktyce obejmuje giełdy, kantory krypto, portfele powiernicze i doradców tokenowych.
Polska jest w specyficznej sytuacji. Prezydent zawetował ustawę dostosowującą krajowe przepisy do MiCA. KNF prowadzi postępowania licencyjne na podstawie art. 63 MiCA oraz bezpośrednio stosowanych przepisów rozporządzenia. Firmy, które przed 30 grudnia 2024 r. działały legalnie jako dostawcy usług w zakresie walut wirtualnych (VASP) na podstawie krajowego rejestru, korzystają z okresu przejściowego – maksymalnie do 1 lipca 2026 r. Po tej dacie bez licencji CASP działalność staje się nielegalna.
Z zakresu MiCA wyłączone są kryptoaktywa będące instrumentami finansowymi w rozumieniu MiFID II, tokeny NFT o unikalnym charakterze (choć granica jest rozmyta), oraz tokeny CBDC emitowane przez banki centralne. Jeśli Państwa firma nie jest pewna klasyfikacji swojego tokenu – to już jest problem prawny wymagający opinii, nie wewnętrznej decyzji zarządu.
Instytucja nadzorcza w Polsce to Komisja Nadzoru Finansowego (KNF). Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) wydaje wiążące wytyczne techniczne (RTS/ITS). Europejski Urząd Nadzoru Bankowego (EBA) reguluje EMT i ART. Trzy organy, trzy zestawy dokumentów – i wszystkie mają znaczenie dla polskiego wnioskodawcy.
Jak wygląda procedura uzyskania licencji CASP w Polsce krok po kroku?
Procedura licencyjna CASP przed KNF składa się z sześciu etapów. Wniosek musi być kompletny od pierwszego dnia – KNF ma 25 dni roboczych na stwierdzenie kompletności, a następnie 40 dni roboczych na wydanie decyzji. Łącznie to około 65 dni roboczych, czyli blisko cztery miesiące w najlepszym przypadku. W praktyce – przy brakach w dokumentacji – postępowanie wydłuża się do 8–12 miesięcy.
Krok pierwszy: ocena wstępna. Firma określa, które usługi będzie świadczyć i jaka kategoria licencji jest wymagana. To moment na analizę white paper (jeśli emitowane są tokeny), struktury właścicielskiej i modelu biznesowego. Krok drugi: przygotowanie dokumentacji. Wymagane są: biznesplan na co najmniej trzy lata, polityki AML/CFT zgodne z dyrektywą AMLD6, procedury zarządzania ryzykiem operacyjnym, polityka wynagrodzeń, opis środków bezpieczeństwa ICT.
Krok trzeci: weryfikacja wymogów kapitałowych. Minimalne wymagania zależą od zakresu usług – od 50 000 EUR dla usług doradztwa do 150 000 EUR dla platform obrotu. Kapitał musi być wykazany jako opłacony i dostępny. Krok czwarty: złożenie wniosku do KNF. Wniosek składa się elektronicznie przez system ePUAP lub bezpośrednio do KNF. Krok piąty: postępowanie administracyjne, w tym ewentualne wezwania do uzupełnień. Krok szósty: decyzja i wpis do rejestru ESMA.
Szczególna uwaga dotyczy wymogów z zakresu ochrony danych. Przetwarzanie danych klientów przez CASP podlega RODO (Rozporządzenie (UE) 2016/679) – Urząd Ochrony Danych Osobowych (UODO) jest organem nadzorczym. White paper CASP musi zawierać klauzulę informacyjną RODO. Brak tej klauzuli to jeden z najczęstszych powodów wezwania do uzupełnienia przez KNF.
Firmy z branży fintech podlegają jednocześnie DORA (Rozporządzeniu (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej), które obowiązuje od 17 stycznia 2025 r. Wymogi DORA dotyczące zarządzania ryzykiem ICT, raportowania incydentów i testowania odporności muszą być wbudowane w dokumentację licencyjną CASP – nie jako osobny projekt, lecz jako część tej samej architektury compliance.
Mikroprzedsiębiorstwa i małe firmy mogą korzystać z uproszczonego trybu white paper dla utility tokens. Jednak uproszczenie nie oznacza braku obowiązków. Nawet uproszczony white paper musi zostać opublikowany na stronie internetowej emitenta i przesłany do KNF co najmniej 20 dni roboczych przed emisją.
Jakie błędy najczęściej opóźniają lub uniemożliwiają uzyskanie licencji?
Błąd pierwszy: błędna klasyfikacja tokenu. Firma zakłada, że jej token to utility token wyłączony z obowiązku licencyjnego. KNF ocenia inaczej – token zawiera cechy instrumentu finansowego lub ART. Postępowanie zostaje zawieszone, firma traci 6 miesięcy i musi przebudować strukturę. To scenariusz, który widzieliśmy już w kilku polskich projektach tokenizacyjnych w 2024 r.
Błąd drugi: niedostateczna dokumentacja AML. MiCA wymaga pełnej zgodności z przepisami AML/CFT. Wiele firm składa ogólne polityki skopiowane z dokumentacji bankowej. KNF oczekuje polityk dostosowanych do specyfiki kryptoaktywów – w tym procedur weryfikacji portfeli blockchain (chain analysis), polityki dotyczącej mixerów i adresów objętych sankcjami. Przepisy sankcyjne to tu odrębna warstwa: Polska ustawa sankcyjna z 15 kwietnia 2022 r. oraz unijne pakiety sankcji nakładają zakaz obsługi adresów powiązanych z podmiotami na listach SDN i EU Consolidated List.
Błąd trzeci: ignorowanie wymogów kapitałowych na etapie strukturyzacji. Startup zakłada spółkę z kapitałem 5 000 PLN (minimum z art. 154 § 1 k.s.h.) i składa wniosek o licencję CASP. Wymóg 125 000 EUR (dla większości usług) nie jest spełniony. Podwyższenie kapitału po złożeniu wniosku wydłuża postępowanie o kolejne 2–3 miesiące.
Błąd czwarty: brak koordynacji z wymogami RODO i DORA. Compliance traktowany jest jako osobny projekt IT. Tymczasem KNF ocenia spójność całej dokumentacji – jeśli polityka bezpieczeństwa ICT nie koresponduje z rejestrem czynności przetwarzania RODO, organ widzi lukę systemową. Firmy, które skoordynowały wdrożenie MiCA, DORA i RODO w jednym procesie, składały kompletne wnioski za pierwszym razem.
Błąd piąty: pomijanie wymogów dotyczących znaku towarowego i ochrony IP. Token, platforma i white paper zawierają elementy chronione prawem własności intelektualnej. Kilka firm odkryło po emisji, że nazwa tokenu koliduje z wcześniejszym znakiem towarowym. Weryfikacja w bazie EUIPO i UPRP przed emisją kosztuje kilka godzin. Spór o znak towarowy po emisji – miesiące i dziesiątki tysięcy złotych. Więcej o ochronie IP w projektach technologicznych znajdą Państwo w naszej praktyce IP/Tech.
Trzy scenariusze biznesowe: producent, spółka IT i zagraniczny inwestor
Scenariusz pierwszy: firma produkcyjna z Wielkopolski chce tokenizować wierzytelności handlowe. Emituje tokeny reprezentujące prawa do przyszłych płatności od kontrahentów. To klasyczny ART – token powiązany z aktywem finansowym. Emitent musi uzyskać autoryzację KNF jako emitent ART, utrzymywać rezerwy aktywów i publikować szczegółowy white paper. Wymóg kapitałowy wynosi co najmniej 350 000 EUR lub 2% wartości emisji (wyższa wartość). Projekt tokenizacji wymaga też analizy podatkowej – organy skarbowe traktują tokeny ART jako prawa majątkowe, a ich emisja może generować przychód już w momencie objęcia przez inwestorów.
Scenariusz drugi: spółka IT z Krakowa buduje platformę DeFi z własnym tokenem governance. Token daje prawo głosu w protokole, nie ma wartości finansowej zagwarantowanej przez emitenta. Czy to utility token poza MiCA? Niekoniecznie. Jeśli token jest przedmiotem obrotu na giełdach i ma wartość rynkową, KNF może uznać go za kryptoaktywo w rozumieniu MiCA. Platforma DeFi działająca bez scentralizowanego emitenta może korzystać z wyłączenia – ale wyłączenie wymaga analizy, czy protokół jest „w pełni zdecentralizowany" w rozumieniu art. 4 ust. 1 lit. f MiCA. Granica jest ostra tylko w teorii. Spółka powinna ponadto uwzględnić wymogi AI Act (Rozporządzenie (UE) 2024/1689), jeśli platforma używa algorytmów rekomendacyjnych do zarządzania portfelem – takie systemy mogą być klasyfikowane jako systemy wysokiego ryzyka AI.
Scenariusz trzeci: inwestor z Niemiec wchodzący na rynek polski z giełdą kryptowalut. Posiada licencję BaFin jako CASP w Niemczech. Czy może działać w Polsce na podstawie paszportu europejskiego? Tak – MiCA przewiduje mechanizm paszportowania w art. 58 rozporządzenia. CASP z licencją w jednym państwie członkowskim może świadczyć usługi w całej UE po notyfikacji do ESMA i właściwego organu przyjmującego (KNF). Procedura notyfikacji trwa 10 dni roboczych. Jednak działalność w Polsce wymaga spełnienia lokalnych wymogów AML i polskich przepisów sankcyjnych – paszport europejski nie zwalnia z krajowych obowiązków w tym zakresie.
Warto zwrócić uwagę na zagadnienie podatku od nieruchomości przy tokenizacji aktywów rzeczowych. Jeśli token reprezentuje udział w nieruchomości komercyjnej, pojawia się pytanie o kwalifikację podatkową zarówno tokenu, jak i samego obiektu. Nowe definicje budynku i budowli obowiązujące od 2025 r. mogą wpłynąć na wartość aktywów bazowych tokenizowanych nieruchomości – więcej na ten temat w naszym artykule o podatku od nieruchomości.
Co przygotować przed złożeniem wniosku – lista kontrolna i dalsze kroki
Przygotowanie do złożenia wniosku licencyjnego CASP wymaga co najmniej 3–4 miesięcy pracy wewnętrznej, zanim dokumentacja trafi do KNF. Firmy, które próbują skrócić ten czas, płacą za to wezwaniami do uzupełnień i de facto dłuższym postępowaniem. Uważamy, że bezpieczniejszym rozwiązaniem jest solidne przygotowanie niż szybkie złożenie niekompletnego wniosku.
Lista kontrolna przed złożeniem wniosku CASP:
- Klasyfikacja tokenu i usług – opinia prawna potwierdzająca kategorię (utility token / ART / EMT) i zakres licencji
- Dokumentacja AML/CFT – polityki dostosowane do kryptoaktywów, w tym procedury chain analysis i obsługi adresów sankcjonowanych
- Wymogi kapitałowe – potwierdzenie wniesienia kapitału min. 50 000–150 000 EUR (zależnie od zakresu usług)
- Zgodność z RODO i DORA – rejestr czynności przetwarzania, polityka ICT, plan testów odporności cyfrowej
- White paper – przygotowany zgodnie z Załącznikiem I do MiCA, przesłany do KNF co najmniej 20 dni roboczych przed emisją
Po uzyskaniu licencji obowiązki nie kończą się. CASP musi raportować istotne incydenty ICT do KNF zgodnie z DORA, aktualizować white paper przy każdej istotnej zmianie i corocznie przekazywać sprawozdanie do KNF. Naruszenia obowiązków sprawozdawczych mogą skutkować cofnięciem licencji – a cofnięcie licencji to skutek nieodwracalny dla ciągłości biznesu.
Polska ustawa implementacyjna MiCA – mimo prezydenckiego veta – prawdopodobnie zostanie uchwalona w zmienionej formie w drugiej połowie 2025 r. lub na początku 2026 r. Nowe przepisy mogą doprecyzować kompetencje KNF, wprowadzić sankcje administracyjne i karne oraz uregulować kwestię rejestrów VASP działających na podstawie przepisów przejściowych. Firmy, które już teraz budują infrastrukturę compliance, będą gotowe na te zmiany bez konieczności przebudowy systemu.
Kancelaria prawna wyspecjalizowana w regulacjach krypto może skrócić czas przygotowania dokumentacji nawet o połowę – nie przez skróty, lecz przez znajomość aktualnych oczekiwań KNF i ESMA. To różnica między wnioskiem składanym raz a wnioskiem uzupełnianym czterokrotnie.
Konkretna sytuacja Państwa firmy – czy chodzi o klasyfikację tokenu, przygotowanie white paper, czy strukturyzację kapitałową przed wnioskiem – wymaga oceny indywidualnej. Brak licencji CASP po 1 lipca 2026 r. zamyka drogę do legalnej działalności na rynku UE i może skutkować odpowiedzialnością karną zarządu. To skutek nieodwracalny.
Jeśli Państwa spółka planuje emisję tokenów lub świadczenie usług CASP w Polsce i potrzebuje analizy zgodności z MiCA, DORA lub RODO – przeprowadzimy klasyfikację tokenu, ocenimy luki w dokumentacji i przygotujemy wniosek licencyjny do KNF: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska firma tokenizująca produkty musi uzyskać licencję CASP, jeśli tokeny są wydawane tylko pracownikom?
O: Nie każde wydanie tokenu jest działalnością CASP. Jeśli tokeny są wydawane wyłącznie pracownikom w ramach programu lojalnościowego, nie są przedmiotem obrotu i nie można ich wymienić na walutę fiducjarną poza firmą, mogą korzystać z wyłączenia dla tokenów o ograniczonym zasięgu. Jednak próg „ograniczonego zasięgu" jest wąski – całkowita wartość emisji nie może przekroczyć 1 mln EUR w ciągu 12 miesięcy. Powyżej tego progu obowiązek notyfikacji do KNF i publikacji white paper powstaje automatycznie.
P: Jak długo trwa uzyskanie licencji CASP w Polsce i ile to kosztuje?
O: Formalne postępowanie przed KNF trwa od 65 dni roboczych (około czterech miesięcy) do ponad roku przy niekompletnej dokumentacji. Opłata skarbowa za wniosek wynosi 616 PLN, jednak całkowity koszt projektu – obejmujący doradztwo prawne, przygotowanie dokumentacji AML, analizę ICT zgodną z DORA i ewentualne audyty – wynosi zwykle od 80 000 do 200 000 PLN w zależności od zakresu usług i złożoności struktury. Firmy z istniejącą infrastrukturą compliance mogą liczyć na niższe koszty.
P: Czy posiadanie licencji BaFin lub innego unijnego organu wystarczy do działania w Polsce?
O: Tak – MiCA wprowadza mechanizm paszportowania, który pozwala CASP z licencją udzieloną przez organ nadzorczy jednego państwa członkowskiego świadczyć usługi w całej UE. Wystarczy notyfikacja do ESMA i KNF. Procedura notyfikacji trwa 10 dni roboczych. Należy jednak pamiętać, że paszport europejski nie zwalnia z obowiązków wynikających z polskich przepisów AML, sankcyjnych i podatkowych. Nierespektowanie tych wymogów może skutkować postępowaniem przed KNF nawet wobec podmiotu posiadającego licencję zagraniczną.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji kryptoaktywów, prawa IP/Tech, MiCA, DORA i AI Act. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie prawne
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.