Firma tokenizująca aktywa rzeczowe odkrywa, że jej model biznesowy – przez lata działający w szarej strefie regulacyjnej – od 30 grudnia 2024 r. podlega rygorystycznym wymogom unijnym. Rozporządzenie MiCA weszło w pełni w życie i zmienia zasady gry dla każdego, kto emituje kryptoaktywa, prowadzi giełdę krypto lub świadczy usługi w tym sektorze w Polsce.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 w sprawie rynków kryptoaktywów (MiCA) stosuje się w Polsce bezpośrednio – bez osobnej ustawy wdrożeniowej. Obowiązek uzyskania zezwolenia CASP (crypto-asset service provider) dotyczy podmiotów świadczących usługi kryptoaktywów na rzecz klientów w UE. Polska rama prawna dla CASP jest w trakcie rewizji po prezydenckiej wecie projektu ustawy dostosowującej przepisy krajowe.
Ten przewodnik wyjaśnia, jakie podmioty muszą uzyskać zezwolenie, jakie kategorie kryptoaktywów MiCA reguluje, gdzie tkwią praktyczne pułapki dla polskich emitentów i operatorów, oraz co zrobić, jeśli Państwa firma działa transgranicznie. Na końcu każdej sekcji znajdą Państwo konkretne wnioski – bez teorii, z naciskiem na praktykę.
Czym jest MiCA i kogo dotyczy w Polsce?
MiCA to rozporządzenie bezpośrednio stosowane we wszystkich państwach UE. Oznacza to, że polskie firmy nie czekają na ustawę krajową – obowiązek wynika wprost z aktu unijnego. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego (KNF), która przejęła kompetencje wobec emitentów i dostawców usług kryptoaktywów.
Rozporządzenie obejmuje trzy kategorie kryptoaktywów. Po pierwsze – tokeny powiązane z aktywami (ART), których wartość ma być stabilizowana przez koszyk aktywów. Po drugie – tokeny pieniądza elektronicznego (EMT), powiązane z jedną walutą fiat. Po trzecie – pozostałe kryptoaktywa, czyli m.in. utility tokens i klasyczne kryptowaluty niebędące ART ani EMT.
Kto dokładnie podlega MiCA? Obowiązki dotyczą emitentów tokenów (zarówno ART, jak i EMT), a także podmiotów świadczących usługi kryptoaktywów – CASP. Do usług CASP zalicza się m.in. prowadzenie platformy obrotu, wymianę kryptoaktywów na waluty fiat lub inne kryptoaktywa, przechowywanie i administrowanie kryptoaktywami w imieniu klientów, zarządzanie portfelem kryptoaktywów oraz doradztwo w zakresie kryptoaktywów.
Wyłączenia spod MiCA są wąskie. Nie obejmuje ona NFT (co do zasady), kryptoaktywów kwalifikowanych jako instrumenty finansowe w rozumieniu MiFID II ani kryptoaktywów emitowanych przez banki centralne. W praktyce – wiele firm o tym zapomina – klasyfikacja tokena decyduje o całym reżimie regulacyjnym. Błędna kwalifikacja to ryzyko działania bez zezwolenia.
Jakie zezwolenia i obowiązki nakłada MiCA na emitentów tokenów?
MiCA wprowadza obowiązek publikacji white papera przed emisją kryptoaktywów innych niż ART i EMT. White paper musi zawierać informacje o emitencie, projekcie, technologii, prawach posiadaczy tokenów oraz ryzykach. Dokument zgłasza się do KNF – ale KNF go nie zatwierdza, jedynie przyjmuje do wiadomości. Odpowiedzialność za treść spoczywa na emitencie.
Emitenci ART muszą uzyskać zezwolenie KNF przed emisją. Wymogi kapitałowe są tu istotne: minimalny kapitał własny to 350 000 EUR lub 2% średniej wartości rezerwy aktywów – w zależności, która kwota jest wyższa. Dla EMT emitentami mogą być wyłącznie instytucje kredytowe lub instytucje pieniądza elektronicznego posiadające odpowiednie zezwolenie.
Polska firma tokenizująca portfel nieruchomości komercyjnych w Warszawie latem 2024 r. odkryła, że jej tokeny – choć marketingowo opisywane jako „utility" – spełniają definicję ART. Zmiana modelu biznesowego i uzyskanie zezwolenia zajęły ponad sześć miesięcy. Koszt dostosowania przekroczył 400 000 PLN.
Obowiązki emitenta ART obejmują ponadto: stałe utrzymywanie rezerwy aktywów, audyt rezerwy co najmniej raz w roku, politykę zarządzania płynnością, raportowanie do KNF oraz wdrożenie procedur zgodnych z RODO (Rozporządzenie UE 2016/679) w zakresie danych posiadaczy tokenów. Naruszenie wymogów rezerwy grozi wstrzymaniem emisji i cofnięciem zezwolenia.
Warto zestawić to z reżimem CASP. Emitent, który jednocześnie prowadzi platformę obrotu własnymi tokenami, może potrzebować dwóch odrębnych zezwoleń – jako emitent ART i jako CASP. To typowa pułapka dla startupów tworzących własne ekosystemy tokenowe.
Jak uzyskać zezwolenie CASP w Polsce i jakie są terminy?
Zezwolenie CASP wydaje KNF na podstawie wniosku zawierającego m.in. program działania, opis usług, strukturę właścicielską, polityki zarządzania ryzykiem, procedury AML i plan ciągłości działania. KNF ma 25 dni roboczych na potwierdzenie kompletności wniosku i kolejne 40 dni roboczych na wydanie decyzji – łącznie do 65 dni roboczych od złożenia kompletnego wniosku.
Podmioty wpisane do krajowego rejestru dostawców usług walutowych (tzw. VASP pod reżimem AMLD5) mogły skorzystać z okresu przejściowego. Dla podmiotów, które do 30 grudnia 2024 r. prowadziły działalność CASP na podstawie przepisów krajowych, MiCA przewiduje okres przejściowy do 1 lipca 2026 r. – ale wyłącznie w państwach, które zdecydowały się go wprowadzić. Polska w tym zakresie wymaga śledzenia aktualnego stanowiska KNF.
Startup IT z Krakowa świadczący usługi przechowywania kryptoaktywów od jesieni 2023 r. złożył wniosek CASP w lutym 2025 r. Procedura trwała niemal 80 dni roboczych z uwagi na braki formalne w dokumentacji AML. Brak zezwolenia przez ten czas oznaczał zawieszenie przyjmowania nowych klientów instytucjonalnych.
Kluczowe elementy wniosku CASP, które najczęściej generują braki formalne, to:
- szczegółowy opis mechanizmów zarządzania konfliktami interesów,
- polityka outsourcingu kluczowych funkcji operacyjnych,
- procedury cyberbezpieczeństwa zgodne z wymogami DORA (Rozporządzenie UE 2022/2554),
- plan przywrócenia działania po incydencie ICT,
- dokumentacja due diligence klientów na potrzeby AML.
Zezwolenie CASP udzielone przez KNF obowiązuje w całej UE na zasadzie paszportowania. Oznacza to, że polska firma może świadczyć usługi CASP w Niemczech, Francji czy Czechach bez konieczności uzyskiwania odrębnych zezwoleń krajowych – wystarczy notyfikacja właściwego organu nadzoru w państwie przyjmującym.
Jeśli Państwa spółka rozważa uzyskanie zezwolenia CASP, warto pamiętać, że odpowiedzialność osobista zarządu za decyzje podjęte w trakcie procesu regulacyjnego może być daleko idąca – szczególnie gdy firma działa bez wymaganego zezwolenia.
Konkretna sytuacja Państwa firmy wymaga oceny, czy działalność prowadzona przed 30 grudnia 2024 r. kwalifikuje się do okresu przejściowego. Zaniechanie weryfikacji może nieodwracalnie zamknąć drogę do paszportowania w UE.
Jeśli Państwa spółka świadczy usługi kryptoaktywów lub planuje emisję tokenów, a status regulacyjny pozostaje niejasny – przeprowadzimy analizę kwalifikacji działalności, przygotujemy wniosek CASP i reprezentujemy przed KNF: info@kordeckipartners.com.
Jakie są pułapki MiCA dla polskich firm i jak ich unikać?
Pierwsza pułapka: błędna kwalifikacja tokena. Wiele projektów opisuje swoje tokeny jako „utility" wyłącznie z powodów marketingowych. Tymczasem MiCA stosuje definicje funkcjonalne – liczy się faktyczna funkcja ekonomiczna tokena, a nie jego nazwa. Token dający prawo do udziału w zysku projektu może być instrumentem finansowym w rozumieniu MiFID II, co całkowicie wyklucza MiCA i wymaga zezwolenia KPWiG/KNF na innej podstawie.
Druga pułapka: brak zgodności z wymogami RODO. Emitenci i CASP przetwarzają dane osobowe posiadaczy tokenów, dane transakcyjne i dane KYC. RODO (Rozporządzenie UE 2016/679) stosuje się tu w pełni. Urząd Ochrony Danych Osobowych (UODO) może wszcząć postępowanie niezależnie od KNF. Kary administracyjne mogą sięgać 20 000 000 EUR lub 4% globalnego obrotu – w zależności, która kwota jest wyższa.
Trzecia pułapka: niedostosowanie do wymogów DORA. CASP jest podmiotem finansowym w rozumieniu DORA (Rozporządzenie UE 2022/2554), które weszło w życie 17 stycznia 2025 r. Oznacza to obowiązki w zakresie zarządzania ryzykiem ICT, testowania odporności cyfrowej i raportowania incydentów do KNF. Pominięcie DORA w procesie wdrożenia MiCA to jeden z najczęstszych błędów.
Czwarta pułapka: pominięcie wymogów dotyczących komunikatów marketingowych. MiCA szczegółowo reguluje treść i formę reklam kryptoaktywów. Komunikaty muszą być uczciwe, jednoznaczne i niezawierające mylących informacji. KNF może nakazać wstrzymanie kampanii marketingowej i nałożyć sankcje administracyjne.
Piąta pułapka dotyczy spółek z grupy. Jeśli podmiot z siedzibą poza UE świadczy usługi CASP na rzecz klientów w Polsce przez spółkę-córkę, MiCA obejmuje tę spółkę-córkę w pełnym zakresie. Struktura holdingowa nie chroni przed obowiązkiem uzyskania zezwolenia przez podmiot unijny.
Aspekty transgraniczne – jak MiCA działa dla inwestorów zagranicznych i modeli cross-border?
Dla zagranicznego inwestora wchodzącego na rynek polski MiCA jest jednocześnie ułatwieniem i pułapką. Ułatwieniem – bo jedno zezwolenie CASP wydane przez organ dowolnego państwa UE pozwala działać na całym rynku wewnętrznym. Pułapką – bo wybór jurysdykcji do rejestracji CASP ma znaczenie praktyczne: różne organy nadzoru stosują różne standardy i tempa rozpatrywania wniosków.
KNF jako organ nadzoru MiCA w Polsce stosuje standardy zbliżone do tych przy licencjonowaniu instytucji finansowych. Oznacza to wysokie wymogi dokumentacyjne, ale też przewidywalność procesu. Alternatywne jurysdykcje – np. Malta czy Luksemburg – miały wcześniej bardziej liberalne podejście do krypto, ale dziś MiCA ujednolica standardy minimalne w całej UE.
Podmiot z Ukrainy lub innego kraju spoza UE nie może bezpośrednio uzyskać zezwolenia CASP – musi działać przez spółkę zarejestrowaną w UE. Polska sp. z o.o. jest popularnym wehikułem z uwagi na niskie koszty założenia (minimalny kapitał zakładowy to 5 000 PLN zgodnie z art. 154 § 1 k.s.h.) i sprawność rejestracji przez S24. Jednak KNF oczekuje, że spółka prowadzi realną działalność w Polsce, a nie jest jedynie „skrzynką pocztową".
Aspekt znaków towarowych i ochrony własności intelektualnej (kancelaria IP Warszawa) jest tu często pomijany. Projekt kryptoaktywów o zasięgu europejskim powinien zarejestrować znak towarowy nazwy projektu i logo w Urzędzie UE ds. Własności Intelektualnej (EUIPO), zanim uruchomi kampanię marketingową. Koszt rejestracji unijnego znaku towarowego to około 850 EUR za jedną klasę.
AI Act (Rozporządzenie UE 2024/1689) nabiera znaczenia dla CASP stosujących algorytmy scoringowe do oceny klientów lub wykrywania nadużyć. Systemy te mogą być klasyfikowane jako systemy AI wysokiego ryzyka, co wiąże się z obowiązkiem oceny zgodności przed wdrożeniem. Temat ten rozwijamy szerzej w analizie dotyczącej harmonogramu wdrożenia AI Act dla polskich firm.
Konkretna sytuacja Państwa firmy – szczególnie gdy struktura własności obejmuje podmioty z różnych jurysdykcji – wymaga analizy, czy obecna konfiguracja nie prowadzi do nieodwracalnego naruszenia wymogów MiCA. Błędny wybór jurysdykcji rejestracji CASP zamyka drogę do efektywnego paszportowania przez wiele miesięcy.
Jeśli Państwa spółka planuje wejście na rynek UE przez Polskę lub optymalizację istniejącej struktury krypto – przeprowadzimy analizę struktury, doradzimy w wyborze jurysdykcji i przygotujemy dokumentację dla KNF: info@kordeckipartners.com.
Lista kontrolna: co przygotować przed złożeniem wniosku CASP lub white papera?
Przygotowanie do procesu regulacyjnego MiCA zajmuje od 3 do 6 miesięcy przy dobrze zorganizowanym projekcie. Poniższa lista kontrolna obejmuje elementy, których brak najczęściej prowadzi do opóźnień lub odmowy przez KNF.
- Analiza kwalifikacji tokena – pisemna opinia prawna wskazująca, czy token to ART, EMT, pozostały kryptoaktyw czy instrument finansowy poza MiCA.
- Struktura korporacyjna – dokumenty rejestrowe, schemat własności, dane beneficjentów rzeczywistych w CRBR.
- White paper lub wniosek CASP – kompletna dokumentacja zgodna z wymogami technicznymi określonymi w aktach delegowanych KE.
- Polityki AML/KYC – procedury due diligence klientów, raportowania transakcji podejrzanych i oceny ryzyka zgodne z ustawą o przeciwdziałaniu praniu pieniędzy.
- Dokumentacja ICT i cyberbezpieczeństwa – polityki zarządzania ryzykiem ICT, plany ciągłości działania i procedury raportowania incydentów zgodne z DORA.
Decyzja o tym, czy złożyć wniosek CASP, czy ograniczyć działalność do emisji tokenów objętych obowiązkiem white papera, zależy od modelu biznesowego. Jeśli firma świadczy usługi na rzecz klientów zewnętrznych (nie tylko własny ekosystem), CASP jest co do zasady wymagany. Emisja własnych tokenów bez świadczenia usług na rzecz osób trzecich może – ale nie musi – wymagać pełnego zezwolenia CASP.
Matryca decyzyjna jest prosta. Jeśli firma emituje ART lub EMT – potrzebuje zezwolenia emitenta (KNF, 350 000 EUR minimalnego kapitału). Jeśli firma świadczy usługi CASP – potrzebuje zezwolenia CASP (KNF, 65 dni roboczych). Jeśli firma emituje inne kryptoaktywa bez świadczenia usług – składa white paper do KNF bez zezwolenia, ale z pełną odpowiedzialnością za treść dokumentu.
Dla firm technologicznych budujących narzędzia dla sektora krypto (np. oprogramowanie dla CASP, infrastrukturę blockchain) MiCA co do zasady nie nakłada bezpośrednich obowiązków – chyba że firma jednocześnie świadczy usługi CASP. Warto jednak zbadać, czy działalność nie podpada pod definicję outsourcingu kluczowych funkcji CASP, co rodzi obowiązki po stronie zlecającego.
Często zadawane pytania
P: Czy polska firma kryptoaktywowa, która działała legalnie przed 30 grudnia 2024 r., musi od razu uzyskać zezwolenie CASP?
O: Niekoniecznie – ale to zależy od tego, czy Polska zdecydowała się wprowadzić okres przejściowy przewidziany przez MiCA, który może trwać do 1 lipca 2026 roku. Podmioty wpisane do krajowego rejestru VASP mogły korzystać z działania na dotychczasowych zasadach przez ograniczony czas. Aktualną pozycję KNF w tej sprawie należy zweryfikować bezpośrednio, ponieważ ustawa dostosowująca przepisy krajowe nadal jest przedmiotem prac po prezydenckiej wecie. Brak zezwolenia CASP po upływie okresu przejściowego oznacza działanie bez zezwolenia i sankcje administracyjne.
P: Jakie są koszty uzyskania zezwolenia CASP w Polsce i ile trwa cały proces?
O: Samo zezwolenie KNF nie wiąże się z opłatą skarbową porównywalną do innych licencji finansowych, ale koszty przygotowania dokumentacji są znaczące. Opracowanie kompletnego wniosku CASP – łącznie z politykami AML, dokumentacją ICT zgodną z DORA i analizami prawnymi – kosztuje zazwyczaj od 80 000 do 200 000 PLN w zależności od złożoności modelu biznesowego. Formalny czas rozpatrzenia wniosku przez KNF to do 65 dni roboczych od złożenia kompletnej dokumentacji, ale w praktyce braki formalne wydłużają proces do 4–6 miesięcy. Należy uwzględnić także czas przygotowania wewnętrznego: 3–6 miesięcy przed złożeniem wniosku.
P: Czy MiCA dotyczy NFT?
O: Co do zasady – nie. MiCA wyłącza ze swojego zakresu NFT jako tokeny unikatowe i niezamienne. Jednak wyłączenie nie jest absolutne. Jeśli NFT jest emitowany w dużej serii o identycznych cechach ekonomicznych, KNF może uznać go za kryptoaktyw objęty MiCA. Podobnie – NFT dający prawa do udziału w zysku lub zapewniający dostęp do usług finansowych może być kwalifikowany jako instrument finansowy lub ART. Każdy projekt NFT powinien przejść indywidualną analizę kwalifikacji przed emisją, aby uniknąć działania bez wymaganego zezwolenia lub white papera.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji kryptoaktywów, prawa technologicznego i compliance cyfrowego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji wdrażającymi MiCA, AI Act i DORA. Nasi prawnicy doradzali przy strukturyzacji projektów tokenowych, uzyskiwaniu zezwoleń CASP i dostosowaniu działalności do wymogów unijnych. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.