Polska firma technologiczna planuje uruchomić platformę do obrotu tokenami użytkowymi. Prawnicy spółki pytają: czy potrzebujemy zezwolenia KNF? Kiedy dokładnie? Co grozi, jeśli zaczniemy działać bez licencji? Odpowiedzi na te pytania wyznacza Rozporządzenie MiCA – i od 30 grudnia 2024 roku nie ma już taryfy ulgowej.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 w sprawie rynków kryptoaktywów (MiCA) stosuje się w Polsce bezpośrednio, bez potrzeby implementacji krajowej. Obowiązuje w pełnym zakresie od 30 grudnia 2024 roku. Dostawcy usług w zakresie kryptoaktywów (CASP) muszą uzyskać zezwolenie Komisji Nadzoru Finansowego lub skorzystać z okresu przejściowego, który w Polsce – po prezydenckiej odmowie podpisania ustawy adaptacyjnej – pozostaje w stanie prawnej niepewności.
Ten materiał omawia strukturę MiCA, obowiązki CASP, pułapki polskiej ścieżki licencyjnej, wymiar transgraniczny oraz praktyczną listę kontrolną dla firm wchodzących na rynek kryptoaktywów. Regulacja wyprzedza rynek – i właśnie dlatego wczesne przygotowanie ma nieodwracalne znaczenie dla pozycji konkurencyjnej Państwa spółki.
Czym jest MiCA i kogo obejmuje w Polsce?
MiCA reguluje emisję, ofertę publiczną i obrót kryptoaktywami na terenie całej Unii Europejskiej. Rozporządzenie dzieli kryptoaktywa na trzy główne kategorie: tokeny powiązane z aktywami (ART), tokeny pieniądza elektronicznego (EMT) oraz pozostałe kryptoaktywa – w tym tokeny użytkowe. Każda kategoria rządzi się odmiennymi wymogami dotyczącymi zezwoleń, białych ksiąg i rezerw kapitałowych.
W Polsce organem właściwym do wydawania zezwoleń CASP jest KNF – Komisja Nadzoru Finansowego. Podmiot prowadzący działalność CASP bez zezwolenia naraża się na karę administracyjną do 5 000 000 EUR lub do 15% rocznego obrotu, zależnie od tego, która kwota jest wyższa. Sankcje obejmują również zakaz prowadzenia działalności i publiczne ogłoszenie decyzji.
Rozporządzenie MiCA stosuje się do podmiotów mających siedzibę w UE oraz – w określonych przypadkach – do podmiotów spoza UE świadczących usługi na rzecz klientów unijnych. Polska firma działająca wyłącznie jako deweloper oprogramowania bez kontaktu z klientami końcowymi może nie podlegać MiCA. Jednak każda platforma wymiany, portfel powierniczy czy usługa doradztwa inwestycyjnego w zakresie kryptoaktywów wymagają analizy zakresu podmiotowego.
Warto odnotować, że MiCA nie obejmuje instrumentów finansowych w rozumieniu MiFID II ani tokenów niepowtarzalnych (NFT), o ile rzeczywiście mają charakter unikalny. W praktyce – wiele firm o tym zapomina – klasyfikacja tokenu jako NFT nie jest automatyczna i wymaga indywidualnej oceny prawnej. RODO (Rozporządzenie UE 2016/679) nakłada dodatkowe obowiązki na CASP przetwarzające dane osobowe klientów, co nadzoruje PUODO.
Jakie zezwolenia i obowiązki nakłada MiCA na CASP?
Dostawca usług w zakresie kryptoaktywów musi uzyskać zezwolenie CASP przed rozpoczęciem działalności. Wniosek składa się do KNF i powinien zawierać program działalności, opis struktury organizacyjnej, polityki zarządzania ryzykiem oraz dokumentację kapitałową. KNF ma 40 dni roboczych na ocenę kompletności wniosku i kolejne 40 dni roboczych na wydanie decyzji – łącznie do 25 tygodni w praktyce.
MiCA wyróżnia dziewięć kategorii usług CASP: przechowywanie i administrowanie kryptoaktywami, prowadzenie platformy obrotu, wymiana kryptoaktywów na środki pieniężne lub inne kryptoaktywa, realizacja zleceń, subemisja kryptoaktywów, przyjmowanie i przekazywanie zleceń, doradztwo, zarządzanie portfelem oraz usługi transferu. Zezwolenie obejmuje wyłącznie wskazane kategorie.
Minimalne wymogi kapitałowe są zróżnicowane. CASP świadczący usługi przechowywania lub prowadzenia platformy obrotu musi dysponować kapitałem własnym na poziomie co najmniej 150 000 EUR. Dla podmiotów świadczących pełny zakres usług próg wynosi 150 000 EUR stałego kapitału, uzupełnionego wymogami buforowymi. Emitenci ART podlegają surowszym wymogom – co najmniej 350 000 EUR lub 2% średniej wartości rezerw.
Spółka z Trójmiasta złożyła wniosek CASP w pierwszym kwartale 2025 roku. Po trzech miesiącach otrzymała wezwanie do uzupełnienia o politykę zarządzania konfliktami interesów. Uzupełnienie zajęło kolejne sześć tygodni. Ostateczne zezwolenie wydano po siedmiu miesiącach od złożenia wniosku. Ten przykład pokazuje, że planowanie uruchomienia platformy bez co najmniej dziewięciomiesięcznego buforu czasowego jest ryzykowne.
CASP mają również stałe obowiązki operacyjne: przechowywanie aktywów klientów w separacji od własnych, raportowanie do KNF, prowadzenie rejestru transakcji przez co najmniej pięć lat, wdrożenie procedur AML zgodnych z unijną dyrektywą AMLD6 oraz utrzymanie planów ciągłości działania. DORA (Rozporządzenie UE 2022/2554) stosuje się do CASP jako podmiotów finansowych – oznacza to obowiązek zarządzania ryzykiem ICT i raportowania incydentów do KNF od 17 stycznia 2025 roku.
Gdzie kryją się największe pułapki polskiej ścieżki licencyjnej?
Polska ustawa adaptacyjna do MiCA – mająca wyznaczyć krajowy okres przejściowy i doprecyzować kompetencje KNF – nie weszła w życie w planowanym terminie. Prezydent odmówił jej podpisania, co stworzyło lukę prawną. Podmioty, które prowadziły działalność CASP przed 30 grudnia 2024 roku na podstawie wcześniejszych przepisów krajowych, nie mają jednoznacznej podstawy do korzystania z okresu przejściowego przewidzianego w art. 143 MiCA.
Pierwsza pułapka: błędna klasyfikacja tokenu. Firma zakłada, że jej token jest tokenem użytkowym zwolnionym z obowiązku białej księgi (oferta poniżej 1 000 000 EUR w ciągu 12 miesięcy lub mniej niż 150 nabywców w każdym państwie członkowskim). Tymczasem token pełni funkcje zbliżone do ART – i KNF może zakwestionować klasyfikację już po uruchomieniu sprzedaży. Konsekwencja: nakaz wstrzymania oferty i obowiązek zwrotu środków inwestorom.
Druga pułapka: passporting bez weryfikacji. Zezwolenie CASP wydane przez organ nadzoru jednego państwa członkowskiego uprawnia do świadczenia usług we wszystkich państwach UE – ale wymaga notyfikacji do organu przyjmującego. Spółka z Estonii świadcząca usługi polskim klientom bez notyfikacji KNF działa niezgodnie z MiCA, mimo posiadania estońskiego zezwolenia. Podobnie polska spółka wchodząca na rynek niemiecki musi notyfikować BaFin z 40-dniowym wyprzedzeniem.
Trzecia pułapka: biała księga bez weryfikacji prawnej. MiCA wymaga, by biała księga zawierała rzetelne, jasne i niewprowadzające w błąd informacje. Odpowiedzialność cywilna emitenta za nieprawdziwe lub niekompletne informacje w białej księdze jest bezpośrednia. Zasady zwrotu kosztów i odpowiedzialności odszkodowawczej w polskim postępowaniu cywilnym opisujemy szerzej w osobnym materiale: zasady zwrotu kosztów w polskim postępowaniu cywilnym.
Czwarta pułapka: ignorowanie AI Act. Platformy stosujące algorytmy rekomendacji inwestycyjnych lub scoringowe mogą podlegać Rozporządzeniu (UE) 2024/1689 (AI Act) jako systemy wysokiego ryzyka w obszarze usług finansowych. AI Act wszedł w życie 1 sierpnia 2024 roku, a obowiązki dla systemów wysokiego ryzyka stosują się od 2 sierpnia 2026 roku – co oznacza, że spółki mają ograniczony czas na dostosowanie architektury systemów.
Jak MiCA działa w wymiarze transgranicznym dla polskich firm?
Mechanizm paszportu europejskiego to jedna z największych korzyści MiCA dla polskich CASP. Zezwolenie KNF otwiera dostęp do rynku 27 państw UE bez konieczności uzyskiwania odrębnych licencji w każdym z nich. Warunkiem jest notyfikacja do KNF z podaniem państw, w których spółka zamierza działać, rodzaju usług i planowanego terminu rozpoczęcia działalności.
Dla niemieckiego inwestora wchodzącego na rynek polski przez spółkę celową zarejestrowaną w Polsce – uzyskanie zezwolenia KNF może być szybszą ścieżką niż aplikacja do BaFin, który mierzy się z większym wolumenem wniosków. Uważamy, że bezpieczniejszym rozwiązaniem jest jednak wybór jurysdykcji, w której spółka ma rzeczywistą substancję biznesową – siedzibę zarządu, pracowników, systemy IT – a nie wyłącznie adres rejestrowy.
Podmioty z państw trzecich – spoza UE – mogą świadczyć usługi CASP w Polsce wyłącznie na żądanie klienta (reverse solicitation). Zakres tej wyłączenia jest wąski: klient musi sam zainicjować kontakt, a CASP nie może prowadzić żadnej aktywnej akwizycji w UE. Naruszenie tej granicy skutkuje objęciem pełnym reżimem MiCA bez możliwości powołania się na wyłączenie.
Ochrona własności intelektualnej – w tym ochrona oprogramowania platform transakcyjnych – stanowi oddzielną warstwę ryzyka dla CASP działających transgranicznie. Zagadnienie to omawiamy w kontekście polskiego prawa autorskiego: ochrona oprogramowania – prawa autorskie w polskim prawie. Znak towarowy platformy oraz ochrona danych użytkowników (RODO) tworzą łącznie trójkąt ryzyk regulacyjnych, które należy adresować równolegle z procesem licencyjnym.
Spółka z Małopolski obsługująca klientów z Czech i Słowacji skorzystała w lecie 2025 roku z mechanizmu paszportu. Notyfikacja do czeskiego ČNB i słowackiego NBS zajęła łącznie sześć tygodni. Kluczowe okazało się przygotowanie dokumentacji w językach lokalnych – wymóg, który MiCA pozostawia organom przyjmującym.
Checklist: co przygotować przed złożeniem wniosku CASP do KNF?
Proces licencyjny CASP wymaga starannego przygotowania dokumentacji korporacyjnej, technicznej i compliance. Poniżej lista kontrolna dla spółek planujących złożenie wniosku do KNF w ciągu najbliższych 12 miesięcy.
- Klasyfikacja kryptoaktywu – pisemna opinia prawna określająca kategorię tokenu (ART, EMT, token użytkowy) z analizą wyłączeń i obowiązku białej księgi.
- Dokumentacja kapitałowa – potwierdzenie minimalnego kapitału własnego (co najmniej 150 000 EUR), aktualne sprawozdania finansowe lub pro forma dla spółek nowych.
- Program działalności i struktura organizacyjna – opis usług CASP, schemat organizacyjny, CV i weryfikacja niekaralności członków zarządu oraz osób na kluczowych stanowiskach.
- Polityki compliance – procedury AML/CFT, polityka zarządzania konfliktami interesów, polityka przechowywania aktywów klientów, plany ciągłości działania zgodne z DORA.
- Biała księga – kompletna, zweryfikowana prawnie, zawierająca wszystkie elementy wymagane przez art. 6 MiCA; w przypadku ART lub EMT – dodatkowe wymogi art. 19 i 51 MiCA.
Firmy IT tworzące oprogramowanie dla CASP powinny dodatkowo przeanalizować, czy same nie stają się dostawcami usług CASP przez świadczenie usług powierniczych lub wykonywanie zleceń. Granica między dostawcą infrastruktury a CASP bywa cienka – i KNF może ocenić ją inaczej niż spółka.
Inwestorzy zagraniczni wchodzący na polski rynek powinni uwzględnić dodatkowy czas na tłumaczenia przysięgłe dokumentów, apostille oraz weryfikację przez KNF ekwiwalentności zagranicznych regulacji. W praktyce wydłuża to proces o 4–8 tygodni.
Często zadawane pytania
P: Czy polska spółka może korzystać z okresu przejściowego MiCA bez krajowej ustawy adaptacyjnej?
O: Artykuł 143 MiCA przewiduje okres przejściowy dla podmiotów, które prowadziły działalność CASP na podstawie krajowych przepisów przed 30 grudnia 2024 roku. Polska nie uchwaliła ustawy adaptacyjnej w terminie – co oznacza, że zakres podmiotów uprawnionych do okresu przejściowego i jego długość pozostają niepewne. Podmioty planujące powołać się na ten przepis powinny uzyskać indywidualną interpretację KNF lub opinię prawną przed kontynuowaniem działalności. Ryzyko działania bez zezwolenia jest nieodwracalne – KNF może nakazać natychmiastowe wstrzymanie działalności.
P: Ile kosztuje i ile trwa uzyskanie zezwolenia CASP w Polsce?
O: Opłata skarbowa za wniosek do KNF wynosi 616 PLN. Rzeczywisty koszt procesu licencyjnego obejmuje przede wszystkim obsługę prawną i compliance – w zależności od złożoności modelu biznesowego od 50 000 do ponad 200 000 PLN. Czas oczekiwania wynosi formalnie do 25 tygodni roboczych, jednak praktyka wskazuje na 7–12 miesięcy od złożenia kompletnego wniosku. Spółki powinny planować uruchomienie działalności z co najmniej dziewięciomiesięcznym zapasem czasowym.
P: Czy NFT podlegają MiCA i czy potrzebujemy osobnej analizy?
O: MiCA wyłącza tokeny niepowtarzalne (NFT) ze swojego zakresu, jednak wyłączenie nie jest automatyczne. Organ nadzoru może uznać, że token opisywany jako NFT ma w rzeczywistości charakter zamienny lub spełnia funkcje ART. Każdy token wymaga indywidualnej klasyfikacji prawnej. Dotyczy to szczególnie kolekcji NFT emitowanych w dużych seriach o identycznych parametrach – praktyka KNF w tym zakresie dopiero się kształtuje i nie ma utrwalonej linii interpretacyjnej.
Konkretna sytuacja Państwa firmy – model biznesowy, typ tokenu, planowane rynki – wymaga indywidualnej analizy. Błędna klasyfikacja kryptoaktywa lub działanie bez zezwolenia zamyka drogę do legalnego funkcjonowania na rynku UE i może nieodwracalnie zaszkodzić reputacji spółki wobec inwestorów.
Jeśli Państwa spółka planuje emisję tokenów, uruchomienie platformy CASP lub wejście na rynek polski jako zagraniczny dostawca usług kryptoaktywowych – przeprowadzimy klasyfikację prawną tokenu, ocenę wymogów licencyjnych i przygotujemy dokumentację wniosku CASP do KNF: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym MiCA, AI Act, DORA i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Data publikacji: 15.05.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.