MiCA – regulacja kryptoaktywów i wpływ na polskie

Firma technologiczna z Mazowsza, która od trzech lat prowadzi platformę wymiany kryptowalut, odbiera telefon od swojego banku. Pytanie brzmi: czy posiada zezwolenie CASP wymagane przez MiCA? Jeśli nie – bank rozważa zamknięcie rachunku. Właściciel nie wie, od czego zacząć. To scenariusz, który w 2025 i 2026 roku powtarza się coraz częściej w Polsce.

Rozporządzenie MiCA (Markets in Crypto-Assets, Rozporządzenie UE 2023/1114) weszło w życie w grudniu 2024 roku jako pierwsza w pełni zharmonizowana regulacja kryptoaktywów w Unii Europejskiej. Nakłada na dostawców usług w zakresie kryptoaktywów – czyli CASP (Crypto-Asset Service Providers) – obowiązek uzyskania zezwolenia od krajowego organu nadzoru. W Polsce tym organem pozostaje Komisja Nadzoru Finansowego (KNF), a ramy prawne dla polskich VASP (Virtual Asset Service Providers) zmieniają się fundamentalnie.

Ten artykuł prowadzi przez cztery obszary: krajobraz regulacyjny MiCA w Polsce, obowiązki operacyjne CASP, pułapki compliance i zagadnienia transgraniczne. Na końcu znajdą Państwo listę kontrolną do samodzielnej oceny gotowości.

Czym jest MiCA i kogo dotyczy w Polsce?

MiCA to rozporządzenie unijne – obowiązuje bezpośrednio, bez implementacji krajowej. Polska nie musi uchwalać osobnej ustawy, by przepisy zaczęły działać. To radykalna zmiana w porównaniu z dotychczasowym modelem, gdzie VASP rejestrowały się w rejestrze prowadzonym przez Ministerstwo Finansów na podstawie ustawy AML.

Rozporządzenie obejmuje trzy główne kategorie kryptoaktywów. Pierwsza to tokeny powiązane z aktywami (ART – asset-referenced tokens), które stabilizują wartość w odniesieniu do koszyka walut lub towarów. Druga to tokeny pieniądza elektronicznego (EMT – e-money tokens), powiązane z jedną walutą fiat. Trzecia to pozostałe kryptoaktywa, w tym popularne kryptowaluty jak Bitcoin czy Ether.

Zakres podmiotowy jest szeroki. CASP to każdy podmiot świadczący przynajmniej jedną z usług wymienionych w art. 3 ust. 1 pkt 16 MiCA – od przechowywania i administrowania kryptoaktywami, przez prowadzenie platform obrotu, po doradztwo w zakresie kryptoaktywów. Polskie podmioty wpisane dotychczas do rejestru VASP muszą przeprowadzić migrację do reżimu CASP. Termin graniczny dla większości z nich upłynął lub upływa w 2025 roku – okres przejściowy wynosi maksymalnie 18 miesięcy od daty stosowania rozporządzenia w danym państwie.

Nadzór sprawuje KNF. Komisja jest uprawniona do wydawania zezwoleń, prowadzenia kontroli i nakładania sankcji administracyjnych. W praktyce oznacza to, że każdy podmiot prowadzący działalność bez zezwolenia CASP naraża się na cofnięcie rejestracji i zakaz działalności – z natychmiastowym skutkiem dla rachunków bankowych i relacji z partnerami.

Jakie obowiązki operacyjne nakłada MiCA na CASP?

Uzyskanie zezwolenia to dopiero początek. MiCA nakłada na CASP rozbudowany katalog obowiązków operacyjnych, które muszą być spełnione w sposób ciągły – pod rygorem cofnięcia zezwolenia. Wymogi dotyczą kapitału, organizacji wewnętrznej, ochrony aktywów klientów i przejrzystości rynkowej.

Wymogi kapitałowe są uzależnione od rodzaju świadczonych usług. Dla CASP prowadzącego platformę obrotu minimalny kapitał wynosi 150 000 EUR. Podmioty świadczące wyłącznie usługi doradcze mogą kwalifikować się do niższego progu – 50 000 EUR. Emitenci ART muszą utrzymywać rezerwy aktywów odpowiadające wartości wyemitowanych tokenów.

Wymogi organizacyjne obejmują politykę zarządzania ryzykiem, procedury AML/CFT (zgodne z Dyrektywą AMLD i rozporządzeniem TFR – Transfer of Funds Regulation), a także systemy wykrywania nadużyć rynkowych. W praktyce – wiele firm o tym zapomina – MiCA wprost zakazuje obrotu z wykorzystaniem informacji poufnych i manipulacji rynkowej w odniesieniu do kryptoaktywów dopuszczonych do obrotu na regulowanych platformach.

Ochrona aktywów klientów to osobny rozdział. CASP musi przechowywać aktywa klientów w sposób oddzielony od własnych środków. Niedopuszczalne jest wykorzystywanie środków klientów jako własnego kapitału obrotowego. Wymóg ten wymaga dostosowania systemów IT i umów powierniczych – co w przypadku polskich podmiotów często oznacza przebudowę architektury rachunkowej.

Obowiązki informacyjne obejmują przygotowanie białej księgi (white paper) dla każdego kryptoaktywa oferowanego publicznie lub dopuszczanego do obrotu. Dokument musi być notyfikowany do KNF co najmniej 20 dni roboczych przed publikacją. Nierzetelna lub niepełna biała księga może być podstawą odpowiedzialności cywilnej emitenta wobec inwestorów.

Podmioty świadczące usługi dla instytucji finansowych muszą dodatkowo uwzględnić wymogi wynikające z DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 roku nakłada na instytucje finansowe – w tym potencjalnie na CASP kwalifikujące się jako instytucje finansowe – obowiązki w zakresie odporności ICT, zarządzania ryzykiem dostawców zewnętrznych i raportowania incydentów do KNF.

Konkretna sytuacja Państwa firmy wymaga oceny, które z tych wymogów dotyczą jej bezpośrednio. Opóźnienie we wdrożeniu może zamknąć drogę do uzyskania zezwolenia i doprowadzić do nieodwracalnego wykluczenia z rynku regulowanego.

Jeśli Państwa spółka prowadzi działalność CASP lub planuje jej uruchomienie i nie przeprowadziła jeszcze analizy zgodności z MiCA – przeprowadzimy audyt regulacyjny, przygotujemy wniosek do KNF i wdrożymy wymagane procedury wewnętrzne: info@kordeckipartners.com.

Gdzie najczęściej polskie VASP popełniają błędy w procesie migracji?

Migracja z rejestru VASP do reżimu CASP to nie tylko formalność. To gruntowna przebudowa modelu operacyjnego. Obserwujemy cztery kategorie błędów, które powtarzają się w polskich podmiotach.

Pierwszy błąd to błędna kwalifikacja usług. Część podmiotów zakłada, że prowadzi wyłącznie wymianę kryptowalut i nie świadczy innych usług CASP. Tymczasem MiCA rozszerza katalog usług – przechowywanie kluczy prywatnych na rzecz klientów, nawet jako usługa poboczna, kwalifikuje podmiot jako CASP w zakresie custody. Kwalifikacja powinna być przeprowadzona przez prawnika z doświadczeniem w prawie regulacyjnym, nie przez dział IT.

Drugi błąd to ignorowanie wymogów RODO (Rozporządzenie UE 2016/679) w kontekście MiCA. Procesy KYC/AML generują przetwarzanie danych osobowych na dużą skalę. Polskie CASP muszą posiadać aktualną dokumentację RODO, w tym oceny skutków dla ochrony danych (DPIA) dla procesów profilowania transakcji. PUODO jest uprawniony do nakładania kar do 20 mln EUR lub 4% globalnego obrotu – niezależnie od sankcji KNF.

Trzeci błąd to niedoszacowanie czasu potrzebnego na przygotowanie wniosku do KNF. Dokumentacja CASP obejmuje kilkadziesiąt dokumentów – od programu działalności, przez polityki AML, po opisy systemów IT i oceny ryzyka operacyjnego. Realistyczny czas przygotowania wniosku to 3 do 6 miesięcy dla podmiotu, który nie miał wcześniej do czynienia z nadzorem finansowym.

Czwarty błąd dotyczy ochrony własności intelektualnej platformy. Firma, która zbudowała autorski protokół lub algorytm handlowy, rzadko myśli o tym w kategoriach IP. Tymczasem w momencie ubiegania się o zezwolenie CASP i ujawniania dokumentacji technicznej organowi nadzoru, kwestia ochrony tajemnicy przedsiębiorstwa staje się pilna. Szczegółowe strategie ochrony tajemnicy przedsiębiorstwa opisujemy w osobnym opracowaniu – trade secret protection strategies under Polish law.

Piąty – często pomijany – błąd to brak analizy podatkowej modelu biznesowego po rejestracji CASP. KSeF i nowe wymogi ewidencyjne dotyczące transakcji kryptoaktywami mogą wpłynąć na sposób dokumentowania przychodów. Praktyczne omówienie skutków KSeF dla firm technologicznych znajdą Państwo tutaj: what KSeF means for your business in Poland.

Jak MiCA wpływa na działalność transgraniczną CASP w Polsce?

MiCA wprowadza jednolity paszport europejski dla CASP. Podmiot z zezwoleniem wydanym przez KNF może świadczyć usługi w pozostałych 26 państwach członkowskich UE bez konieczności uzyskiwania odrębnych zezwoleń krajowych. To ogromna przewaga konkurencyjna dla polskich podmiotów, które dotychczas musiały otwierać oddziały lub spółki zależne w każdym kraju.

Procedura notyfikacji transgranicznej jest stosunkowo prosta. CASP składa do KNF wniosek o rozszerzenie działalności na inne państwa, a KNF przekazuje informację właściwemu organowi przyjmującemu w ciągu 10 dni roboczych. Działalność transgraniczna może rozpocząć się po upływie 15 dni roboczych od daty notyfikacji.

Dla zagranicznych CASP wchodzących na rynek polski schemat jest symetryczny. Podmiot z zezwoleniem wydanym przez organ nadzoru innego państwa UE notyfikuje swoją działalność KNF i może działać w Polsce bez polskiego zezwolenia. To oznacza, że polskie platformy będą konkurować z podmiotami z Malty, Luksemburga czy Estonii – państw, które jako pierwsze wdrożyły krajowe ramy dla VASP.

Zagraniczny inwestor wchodzący na rynek polski przez akwizycję polskiego CASP musi uwzględnić kilka warstw regulacyjnych jednocześnie: zezwolenie MiCA, wymogi AML/CFT, kwestie IP (szczególnie istotne dla platform z unikalną technologią – zob. IP protection strategy for Ukraine tech companies in Poland), a także obowiązki podatkowe wynikające z polskiego prawa.

Osobna kwestia to CASP działające globalnie i obsługujące klientów spoza UE. MiCA nie reguluje usług świadczonych wyłącznie na rzecz podmiotów z państw trzecich, jeżeli usługa jest inicjowana przez klienta z własnej inicjatywy (reverse solicitation). Jednak granica między reverse solicitation a aktywną akwizycją klientów jest cienka i budzi kontrowersje interpretacyjne w całej UE. KNF może zająć stanowisko bardziej restrykcyjne niż organy z innych państw.

Warto również pamiętać, że AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku, może mieć zastosowanie do systemów AI wykorzystywanych przez CASP – szczególnie algorytmów scoringowych i systemów wykrywania nadużyć. Systemy AI stosowane w usługach finansowych mogą kwalifikować się jako systemy wysokiego ryzyka, wymagające oceny zgodności przed wdrożeniem.

Konkretna sytuacja Państwa firmy – zwłaszcza jeśli łączy działalność w kilku jurysdykcjach – wymaga analizy, która uwzględnia zarówno paszport MiCA, jak i lokalne wymogi regulacyjne. Nieodwracalne konsekwencje naruszenia przepisów w jednym państwie mogą zablokować działalność we wszystkich pozostałych.

Jeśli Państwa spółka planuje ekspansję transgraniczną w oparciu o zezwolenie MiCA lub jest przejmowana przez zagranicznego inwestora – przeprowadzimy due diligence regulacyjne i doradzimy przy strukturyzacji transakcji: info@kordeckipartners.com.

Lista kontrolna gotowości CASP – co przygotować przed złożeniem wniosku do KNF?

Poniższa lista obejmuje minimum dokumentacyjne wymagane przez MiCA i praktykę KNF. Brak któregokolwiek elementu wydłuża postępowanie lub skutkuje wezwaniem do uzupełnienia – co przesuwa termin uzyskania zezwolenia o kolejne tygodnie.

Program działalności – szczegółowy opis świadczonych usług CASP, modelu biznesowego i rynków docelowych, z mapowaniem na kategorie art. 3 ust. 1 pkt 16 MiCA
Dokumentacja AML/CFT – polityka przeciwdziałania praniu pieniędzy, procedury KYC, ocena ryzyka klientów i transakcji, zgodna z wymogami TFR (rozporządzenie o transferach środków pieniężnych)
Opis systemów IT i bezpieczeństwa – architektura techniczna, polityka cyberbezpieczeństwa, plan ciągłości działania i procedury odtwarzania po awarii (wymagane przez DORA dla podmiotów kwalifikujących się jako instytucje finansowe)
Dokumentacja RODO – rejestr czynności przetwarzania, DPIA dla procesów KYC/AML, polityka retencji danych, klauzule informacyjne dla klientów
Biała księga – dla każdego kryptoaktywa oferowanego publicznie, notyfikowana do KNF minimum 20 dni roboczych przed publikacją

Firma IT z Trójmiasta, która przygotowała kompletną dokumentację w ciągu 4 miesięcy i złożyła wniosek do KNF w połowie 2025 roku, uniknęła przerwy w działalności wynikającej z wygaśnięcia rejestracji VASP. Kontrprzykład: podmiot z Małopolski, który odłożył migrację na ostatni kwartał, musiał zawiesić onboarding nowych klientów na 6 tygodni z powodu niekompletnego wniosku.

Często zadawane pytania

P: Czy polska firma wpisana do rejestru VASP może nadal działać bez zezwolenia CASP?

O: Tak, ale tylko przez ograniczony czas. MiCA przewiduje okres przejściowy – maksymalnie 18 miesięcy od daty stosowania rozporządzenia w Polsce. Po upływie tego okresu działalność bez zezwolenia CASP jest nielegalna. Krajowa Komisja Nadzoru Finansowego może wszcząć postępowanie administracyjne i nakazać natychmiastowe zaprzestanie działalności. Podmiot powinien złożyć wniosek do KNF z odpowiednim wyprzedzeniem – realistycznie co najmniej 6 miesięcy przed końcem okresu przejściowego.

P: Czy MiCA obejmuje NFT i tokeny DeFi?

O: To jeden z najczęstszych błędów interpretacyjnych. MiCA co do zasady wyłącza NFT z zakresu regulacji – pod warunkiem że są unikalne i niewymienialne. Jednak seria NFT o identycznych cechach może zostać zakwalifikowana jako kryptoaktywa objęte rozporządzeniem. Tokeny DeFi są wyłączone, jeśli protokół jest w pełni zdecentralizowany i nie ma pośrednika. W praktyce większość platform DeFi ma elementy scentralizowane, co czyni kwalifikację nieoczywistą. Kwestię tę warto skonsultować z prawnikiem przed uruchomieniem produktu.

P: Ile kosztuje i ile trwa uzyskanie zezwolenia CASP od KNF?

O: Opłata za rozpatrzenie wniosku przez Komisję Nadzoru Finansowego wynosi kilkanaście tysięcy złotych, jednak koszt przygotowania dokumentacji – obsługa prawna, audyt IT, wdrożenie procedur AML – może przekroczyć 200 000 PLN dla średniej wielkości platformy. Czas rozpatrzenia wniosku przez KNF wynosi maksymalnie 25 dni roboczych od złożenia kompletnego wniosku, jednak w praktyce – przy uzupełnieniach i wezwaniach – proces trwa od 3 do 6 miesięcy. Warto zaplanować harmonogram z co najmniej 9-miesięcznym wyprzedzeniem względem planowanego uruchomienia działalności regulowanej.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji kryptoaktywów, compliance MiCA i technologii finansowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.