Firma technologiczna z Trójmiasta planowała uruchomienie platformy do obrotu tokenami użytkowymi w pierwszym kwartale 2025 roku. Projekt był gotowy, inwestorzy czekali, a harmonogram sprzedaży tokenów zatwierdzony. Jeden szczegół – brak licencji CASP zgodnej z MiCA – zatrzymał całe przedsięwzięcie na sześć miesięcy. Koszt przestoju: utracone rundy finansowania i konieczność przebudowy architektury prawnej od podstaw.
Rozporządzenie MiCA (Markets in Crypto-Assets, Rozporządzenie UE 2023/1114) weszło w życie 30 czerwca 2023 roku i obowiązuje bezpośrednio we wszystkich państwach członkowskich UE – w tym w Polsce. Przepisy dotyczące emitentów tokenów powiązanych z aktywami (ART) i tokenów pieniądza elektronicznego (EMT) stosuje się od 30 czerwca 2024 roku. Przepisy dotyczące dostawców usług w zakresie kryptoaktywów (CASP) obowiązują od 30 grudnia 2024 roku. Krajowa rama nadzorcza w Polsce jest w trakcie rewizji po prezydenckim weto wobec wcześniejszej ustawy o CASP.
Ten przewodnik wyjaśnia, co MiCA oznacza dla polskich firm. Omawia procedurę licencjonowania, kluczowe obowiązki, trzy scenariusze biznesowe oraz najczęstsze błędy. Czytasz po to, by nie stracić okna czasowego – bo pierwsi licencjonowani gracze zdobędą przewagę, której nie da się kupić później.
Czym jest MiCA i kogo dotyczy w Polsce?
MiCA to pierwsze kompleksowe rozporządzenie UE regulujące rynek kryptoaktywów. Obejmuje trzy kategorie aktywów: tokeny powiązane z aktywami (ART), tokeny pieniądza elektronicznego (EMT) oraz inne kryptoaktywa – w tym tokeny użytkowe. Rozporządzenie działa na zasadzie jednolitego paszportu: jedna licencja CASP w dowolnym państwie UE uprawnia do działania na całym rynku wewnętrznym. Dla polskich firm to zarówno szansa, jak i obowiązek.
W Polsce nadzór nad podmiotami MiCA sprawuje Komisja Nadzoru Finansowego (KNF). To ona przyjmuje wnioski licencyjne, prowadzi rejestr CASP i może nakładać sankcje. Dotychczasowy Rejestr Działalności w Zakresie Walut Wirtualnych (RDWWW) prowadzony przez Dyrektora Izby Administracji Skarbowej nie jest tożsamy z licencją CASP – wpis do RDWWW nie zwalnia z obowiązków wynikających z MiCA. To jeden z najczęstszych błędów polskich podmiotów.
Rozporządzenie MiCA nie obejmuje wszystkich kryptoaktywów. Wyłączone są NFT (o ile mają charakter unikatowy i niewymienny), kryptoaktywa kwalifikowane jako instrumenty finansowe w rozumieniu MiFID II, a także depozyty i ubezpieczenia. Firmy, które błędnie zakładają, że ich token jest NFT, a w rzeczywistości ma charakter wymienny, ryzykują działaniem bez wymaganej licencji.
Trzy grupy podmiotów muszą działać najszybciej. Pierwsza – emitenci ART i EMT, którzy powinni uzyskać zezwolenie KNF przed emisją. Druga – dostawcy usług takich jak wymiana, przechowywanie, zarządzanie portfelem, doradztwo i animacja rynku. Trzecia – podmioty już wpisane do RDWWW, które mają 18-miesięczny okres przejściowy (do 30 czerwca 2026 roku) na uzyskanie licencji CASP lub zakończenie działalności.
Jak przebiega procedura licencjonowania CASP w KNF?
Wniosek licencyjny CASP składa się do KNF. Organ ma 25 dni roboczych na ocenę kompletności wniosku, a następnie 3 miesiące na wydanie decyzji. W praktyce – przy pierwszych wnioskach i rozbudowanej dokumentacji – termin ten może się wydłużyć. Warto założyć bufor co najmniej 6 miesięcy od złożenia wniosku do uzyskania licencji.
Dokumentacja wniosku obejmuje kilka kluczowych elementów:
- program działalności i plan biznesowy na co najmniej 3 lata
- opis środków ochrony aktywów klientów (w tym segregacji aktywów)
- polityki AML/CFT zgodne z dyrektywą AMLD i polską ustawą o przeciwdziałaniu praniu pieniędzy
- regulamin wewnętrzny zarządzania ryzykiem operacyjnym i IT (z uwzględnieniem DORA, jeśli podmiot kwalifikuje się jako podmiot finansowy)
- informacje o kadrze zarządzającej – wymóg niekaralności i odpowiednich kwalifikacji
Wymogi kapitałowe zależą od zakresu usług. Podmiot świadczący wyłącznie doradztwo lub przyjmowanie i przekazywanie zleceń potrzebuje minimalnego kapitału 50 000 EUR. Firma prowadząca wymianę lub przechowywanie aktywów – 125 000 EUR. Emitent ART o znaczeniu systemowym może podlegać wyższym wymogom ustalonym przez Europejski Urząd Nadzoru Bankowego (EBA).
Przed złożeniem wniosku warto skorzystać z procedury pre-application meeting z KNF. Organ prowadzi nieformalne konsultacje, które pozwalają zidentyfikować braki dokumentacji na wczesnym etapie. W praktyce – wiele firm o tym zapomina – spotkanie wstępne skraca czas procedury o kilka tygodni.
Jeśli Twoja spółka planuje działać transgranicznie, licencja polska automatycznie uprawnia do paszportu europejskiego. Wystarczy powiadomić KNF i organ nadzoru kraju przyjmującego. Procedura notyfikacji trwa 10 dni roboczych od momentu kompletnego powiadomienia.
Jakie obowiązki ciążą na podmiotach po uzyskaniu licencji MiCA?
Licencja CASP to dopiero początek. Rozporządzenie MiCA nakłada na licencjonowane podmioty szereg obowiązków bieżących, których niewykonanie grozi cofnięciem zezwolenia. KNF może zawiesić działalność CASP, nałożyć grzywnę lub zakazać świadczenia usług – bez konieczności prowadzenia długotrwałego postępowania sądowego.
Obowiązki informacyjne wobec klientów są bardzo rozbudowane. Emitent kryptoaktywa musi opublikować white paper zatwierdzony przez organ nadzoru. Dokument musi zawierać opis projektu, technologii, praw związanych z tokenem, ryzyk i sposobu przechowywania aktywów. White paper podlega aktualizacji przy każdej istotnej zmianie. Za błędne lub wprowadzające w błąd informacje odpowiada emitent – solidarnie z osobami, które white paper zatwierdziły.
Wymogi operacyjne obejmują m.in. segregację aktywów klientów, zakaz wykorzystywania aktywów klientów na własny rachunek oraz obowiązek prowadzenia rejestru transakcji przez co najmniej 5 lat. Podmioty przechowujące aktywa powyżej progu określonego przez EBA muszą posiadać polisę ubezpieczeniową lub ekwiwalentny fundusz gwarancyjny.
Warto pamiętać o przecięciu MiCA z innymi regulacjami. Dane osobowe klientów przetwarzane w ramach onboardingu podlegają RODO (Rozporządzenie UE 2016/679) – a KNF może przekazać sprawę do UODO, jeśli stwierdzi naruszenia. Podmioty finansowe objęte MiCA i jednocześnie zakwalifikowane jako podmioty finansowe w rozumieniu DORA (Rozporządzenie UE 2022/2554, w mocy od 17 stycznia 2025 roku) muszą spełniać wymogi zarządzania ryzykiem ICT i raportować incydenty do KNF. To dodatkowy obowiązek, który wiele startupów kryptowalutowych pomija na etapie planowania.
Sprawdź, jak połączyć działalność CASP z ulgą IP Box dla firm IT – analiza KORDECKI & Partners.Trzy scenariusze biznesowe – jak MiCA wpływa na Twoją firmę?
MiCA nie jest jednorodna w zastosowaniu. Jej wpływ różni się w zależności od modelu biznesowego. Poniżej trzy konkretne scenariusze, które ilustrują zakres obowiązków i ryzyk.
Scenariusz 1 – Startup IT z Mazowsza, wiosna 2025 roku. Firma tworzy token użytkowy do platformy SaaS. Token daje dostęp do funkcji premium – nie obiecuje zysku, nie jest powiązany z aktywem. Czy MiCA obowiązuje? Tak – token użytkowy podlega MiCA, jeśli jest oferowany publicznie lub dopuszczony do obrotu. Obowiązek: white paper i notyfikacja do KNF (bez pełnej licencji CASP, jeśli firma nie świadczy usług obrotu). Koszt przygotowania dokumentacji: od 20 000 PLN wzwyż, zależnie od złożoności projektu. Błąd: brak white paper przy emisji powyżej progu 1 miliona EUR w ciągu 12 miesięcy.
Scenariusz 2 – Giełda kryptowalut z Małopolski, jesień 2025 roku. Podmiot działa od 2021 roku, wpisany do RDWWW. Świadczy wymianę kryptoaktywów na walutę fiat i peer-to-peer. Termin graniczny: 30 czerwca 2026 roku na uzyskanie licencji CASP lub likwidację działalności. Wymogi kapitałowe: minimum 125 000 EUR. Dokumentacja: pełny wniosek do KNF z politykami AML, opisem systemu IT i planem biznesowym. Ryzyko: przedłużona procedura KNF może oznaczać, że wniosek złożony po 31 grudnia 2025 roku nie zdąży przed upływem okresu przejściowego.
Scenariusz 3 – Inwestor zagraniczny wchodzący na rynek polski. Firma z Niemiec posiada licencję BaFin jako CASP. Chce obsługiwać polskich klientów. Rozwiązanie: paszport europejski – powiadomienie KNF i BaFin o zamiarze transgranicznego świadczenia usług. Procedura: 10 dni roboczych. Uwaga: polska ustawa AML nakłada dodatkowe obowiązki rejestracyjne wobec polskich klientów, niezależnie od licencji macierzystej. Brak rejestracji w Polsce może skutkować blokadą rachunków bankowych firmy przez polskie instytucje finansowe.
Dowiedz się, jak chronić znak towarowy projektu kryptoaktywów w UPRP – przewodnik KORDECKI & Partners.Jakie błędy najczęściej popełniają polskie firmy przy wdrożeniu MiCA?
Regulacja MiCA jest nowa, a rynek dopiero uczy się jej stosowania. Na podstawie analizy pierwszych wniosków i konsultacji z podmiotami rynku kryptoaktywów można wskazać kilka powtarzających się błędów. Każdy z nich może kosztować firmę miesiące opóźnienia lub utratę licencji.
Błąd 1: Pomylenie RDWWW z licencją CASP. Wpis do Rejestru Działalności w Zakresie Walut Wirtualnych nie zastępuje licencji CASP. To dwa odrębne reżimy prawne. Podmioty wpisane do RDWWW muszą złożyć wniosek do KNF – nie wystarczy aktualizacja danych w rejestrze. Termin: do 30 czerwca 2026 roku.
Błąd 2: Błędna kwalifikacja tokenu jako NFT. Wiele firm zakłada, że token cyfrowy jest NFT i tym samym wyłączony z MiCA. Tymczasem MiCA ocenia charakter ekonomiczny tokenu, nie jego nazwę. Token emitowany w seriach, wymienny i służący jako środek płatności lub inwestycji – podlega MiCA, niezależnie od nazwy. Kancelaria IP Warszawa powinna być pierwszym punktem konsultacji przy kwalifikacji tokenu.
Błąd 3: Pominięcie przecięcia z AI Act. Platformy kryptowalutowe coraz częściej używają systemów AI do oceny ryzyka klienta, scoringu kredytowego lub wykrywania nadużyć. AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 roku) kwalifikuje takie systemy jako wysokiego ryzyka. Wymogi: ocena zgodności, rejestracja w bazie EU AI Office, dokumentacja techniczna. Brak zgodności z AI Act nie blokuje licencji CASP – ale może skutkować sankcjami ze strony odrębnego organu nadzoru.
Błąd 4: Brak polityki ochrony danych. Onboarding klientów CASP wiąże się z przetwarzaniem danych biometrycznych i finansowych. RODO wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed wdrożeniem systemu KYC. Podmioty, które pomijają DPIA, narażają się na postępowanie UODO równolegle z postępowaniem KNF.
Checklist przed złożeniem wniosku CASP do KNF:
- weryfikacja kwalifikacji prawnej tokenu (ART, EMT, token użytkowy, NFT, instrument finansowy)
- ocena wymaganego kapitału i struktury właścicielskiej
- przygotowanie white paper zgodnego z wymogami MiCA
- wdrożenie polityk AML/CFT i procedury KYC
- analiza przecięcia z DORA, AI Act i RODO – i przygotowanie dokumentacji DPIA
Często zadawane pytania
P: Czy firma już działająca jako giełda kryptowalut w Polsce musi uzyskać licencję CASP od zera?
O: Tak, ale korzysta z okresu przejściowego. Podmioty wpisane do Rejestru Działalności w Zakresie Walut Wirtualnych (RDWWW) mogą kontynuować działalność do 30 czerwca 2026 roku bez licencji CASP. Po tym terminie działalność bez zezwolenia KNF jest nielegalna. Wniosek należy złożyć z odpowiednim wyprzedzeniem – procedura może trwać do 6 miesięcy. Firmy, które złożą wniosek po 31 grudnia 2025 roku, ryzykują, że decyzja KNF nie zapadnie przed upływem terminu przejściowego.
P: Czy token użytkowy zawsze wymaga white paper zgodnego z MiCA?
O: Nie zawsze. Rozporządzenie MiCA przewiduje zwolnienie z obowiązku publikacji white paper w kilku przypadkach. Dotyczy to m.in. emisji skierowanej wyłącznie do inwestorów kwalifikowanych, emisji poniżej progu 1 miliona EUR w ciągu 12 miesięcy oraz emisji kierowanej do mniej niż 150 osób w każdym państwie członkowskim. Mimo zwolnienia z obowiązku formalnego, dokument opisujący projekt – nawet w uproszczonej formie – jest dobrą praktyką chroniącą przed roszczeniami klientów. Zwolnienia nie dotyczą ART i EMT – te kategorie zawsze wymagają zatwierdzonego white paper.
P: Ile kosztuje uzyskanie licencji CASP w Polsce i jak długo trwa procedura?
O: Opłata skarbowa za rozpatrzenie wniosku przez KNF wynosi 616 PLN. To jednak marginalny koszt. Przygotowanie pełnej dokumentacji wniosku – z udziałem doradców prawnych, specjalistów AML i audytorów IT – kosztuje od 80 000 PLN do 250 000 PLN, zależnie od zakresu usług i stopnia złożoności struktury. Procedura KNF trwa formalnie 3 miesiące od złożenia kompletnego wniosku, ale w praktyce przy pierwszych wnioskach należy liczyć się z 5–6 miesiącami. Łączny czas od decyzji o uzyskaniu licencji do jej otrzymania – przy sprawnej organizacji – to minimum 9 miesięcy.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny zakresu obowiązków MiCA. Błędna kwalifikacja tokenu lub pominięcie wymogów DORA i AI Act mogą zamknąć drogę do licencjonowania na wiele miesięcy – a tego czasu nie da się odzyskać.
Jeśli Państwa spółka planuje emisję kryptoaktywów lub świadczenie usług CASP w Polsce lub w UE – przeprowadzimy kwalifikację prawną tokenu, przygotujemy dokumentację wniosku do KNF i doradzamy w zakresie przecięcia z DORA, AI Act i RODO: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji kryptoaktywów, technologii i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.