MiCA dla Finansów i ubezpieczeń

Czym jest MiCA?

MiCA (Markets in Crypto-Assets) to rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej, które weszło w życie w czerwcu 2023 roku i jest stopniowo stosowane od 2024 roku. Regulacja ta ustanawia jednolite ramy prawne dla rynków kryptoaktywów na terenie całej Unii Europejskiej, wypełniając lukę prawną, która przez lata pozostawiała emitentów i dostawców usług kryptoaktywów poza nadzorem regulacyjnym. MiCA obejmuje emisję tokenów, stablecoinów oraz świadczenie usług związanych z kryptoaktywami, nakładając na podmioty rynkowe obowiązki porównywalne z tymi, które od dawna obowiązują tradycyjne instytucje finansowe.

MiCA a branża Finanse i ubezpieczenia

Sektor finansowy i ubezpieczeniowy znajduje się w centrum zainteresowania regulacji MiCA, ponieważ to właśnie banki, domy maklerskie, towarzystwa ubezpieczeniowe i inne instytucje finansowe coraz częściej rozwijają produkty i usługi oparte na kryptoaktywach lub pośredniczą w ich obrocie. Tradycyjne instytucje finansowe, które dotychczas działały wyłącznie na rynkach regulowanych papierów wartościowych, muszą teraz uwzględnić nowe zasady w swoich modelach biznesowych.

Przykładem bezpośredniego wpływu MiCA na sektor finansowy jest działalność banków, które oferują klientom możliwość przechowywania lub zakupu kryptowalut. Taki bank staje się automatycznie dostawcą usług w zakresie kryptoaktywów (CASP — Crypto-Asset Service Provider) i musi uzyskać odpowiednie zezwolenie od krajowego organu nadzoru. W Polsce rolę tę pełni Komisja Nadzoru Finansowego. Podobnie towarzystwa ubezpieczeniowe, które rozważają tworzenie produktów opartych na tokenach bezpieczeństwa lub stablecoinach, muszą dostosować się do wymogów dotyczących kapitału, przejrzystości i ochrony konsumentów wynikających z MiCA. Domy maklerskie oferujące handel kryptoaktywami na rachunek klientów podlegają obowiązkom zbliżonym do tych znanych z dyrektywy MiFID II, tyle że rozszerzonym o specyfikę rynku kryptowalutowego.

Kluczowe wymagania

• Uzyskanie zezwolenia CASP: Każdy podmiot z branży finansowej, który świadczy usługi w zakresie kryptoaktywów — w tym przechowywanie, wymianę, wykonywanie zleceń czy doradztwo — musi uzyskać licencję dostawcy usług w zakresie kryptoaktywów od właściwego organu krajowego.
• Wymogi kapitałowe: Dostawcy usług kryptoaktywowych zobowiązani są do utrzymywania minimalnego kapitału własnego, którego wysokość zależy od rodzaju świadczonych usług — od 50 000 euro dla doradztwa po 150 000 euro dla podmiotów przechowujących kryptoaktywa klientów.
• Białe księgi (White Papers): Emitenci kryptoaktywów, w tym instytucje finansowe tokenizujące aktywa lub emitujące stablecoiny, są zobowiązani do publikacji szczegółowego dokumentu informacyjnego zawierającego opis projektu, ryzyk i praw nabywców.
• Zasady dotyczące stablecoinów (ART i EMT): Tokeny powiązane z aktywami (Asset-Referenced Tokens) i tokeny pieniądza elektronicznego (Electronic Money Tokens) podlegają szczególnie rygorystycznym wymogom dotyczącym rezerw, płynności i nadzoru — co bezpośrednio dotyczy instytucji finansowych planujących emisję takich instrumentów.
• Ochrona klientów i przejrzystość: Podmioty muszą wdrożyć procedury rzetelnego informowania klientów o ryzykach, kosztach i charakterze oferowanych kryptoaktywów, a polityki marketingowe nie mogą wprowadzać w błąd.
• Zapobieganie nadużyciom rynkowym: MiCA wprowadza przepisy analogiczne do regulacji MAR, zakazując manipulacji rynkiem i obrotu z wykorzystaniem informacji poufnych w odniesieniu do kryptoaktywów.
• Procedury AML/KYC: Instytucje finansowe muszą stosować rozszerzone procedury przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, dostosowane do specyfiki transakcji kryptowalutowych.
• Wymogi technologiczne i cyberbezpieczeństwo: Dostawcy usług są zobowiązani do wdrożenia systemów zarządzania ryzykiem operacyjnym i cyberbezpieczeństwem, w tym planów ciągłości działania i procedur reagowania na incydenty.
• Segregacja aktywów klientów: Kryptoaktywa klientów muszą być przechowywane oddzielnie od aktywów własnych podmiotu, co wymaga dostosowania systemów rachunkowości i infrastruktury technicznej.

Kroki wdrożenia w firmie z branży Finanse i ubezpieczenia

1. Audyt obecnej działalności i analiza luki regulacyjnej: Pierwszym krokiem jest dokładna ocena, czy i w jakim zakresie firma już działa lub planuje działać na rynku kryptoaktywów. Należy zidentyfikować wszystkie produkty, usługi i procesy, które mogą wchodzić w zakres regulacji MiCA — w tym usługi custody, platformy handlowe, fundusze inwestycyjne z ekspozycją na kryptowaluty oraz ubezpieczenia portfeli kryptoaktywowych.
2. Powołanie zespołu ds. zgodności z MiCA: Wdrożenie regulacji wymaga zaangażowania specjalistów z obszarów prawnego, compliance, IT oraz zarządzania ryzykiem. W zależności od skali działalności może to oznaczać rozbudowanie istniejących zespołów lub zatrudnienie ekspertów wyspecjalizowanych w prawie kryptoaktywów. Warto rozważyć współpracę z zewnętrznymi kancelariami prawnymi z doświadczeniem w sektorze fintech i regulacji MiCA.
3. Złożenie wniosku o licencję CASP do KNF: Instytucje finansowe planujące świadczenie usług w zakresie kryptoaktywów muszą złożyć kompletny wniosek o zezwolenie CASP. Dokumentacja obejmuje m.in. program działania, opis systemu zarządzania, plan ciągłości działania, procedury AML/KYC oraz politykę zarządzania konfliktami interesów. Warto rozpocząć ten proces z odpowiednim wyprzedzeniem, ponieważ KNF ma na rozpatrzenie wniosku 40 dni roboczych od momentu jego kompletności.
4. Dostosowanie procedur AML/KYC do specyfiki kryptoaktywów: Istniejące procedury przeciwdziałania praniu pieniędzy muszą zostać uzupełnione o elementy charakterystyczne dla transakcji kryptowalutowych — w tym analizę blockchainową, identyfikację adresów portfeli wysokiego ryzyka i monitorowanie transakcji na łańcuchu bloków. Należy wdrożyć lub zakupić narzędzia do analityki blockchainowej od dostawców takich jak Chainalysis, Elliptic czy TRM Labs.
5. Dostosowanie systemów IT i infrastruktury technicznej: Wdrożenie wymogów technologicznych MiCA wymaga audytu istniejących systemów pod kątem cyberbezpieczeństwa, segregacji aktywów klientów oraz zdolności do generowania wymaganych raportów dla organu nadzoru. Niezbędne może okazać się wdrożenie dedykowanego systemu do zarządzania portfelami kryptoaktywów lub integracja z platformami custody klasy instytucjonalnej.
6. Opracowanie białej księgi (jeśli dotyczy): Jeśli firma planuje emisję kryptoaktywów, tokenizację produktów finansowych lub ubezpieczeniowych, konieczne jest przygotowanie dokumentu informacyjnego zgodnego z wymogami MiCA. Biała księga musi zawierać pełne informacje o emitencie, cechach oferowanego aktywa, prawach i ryzykach nabywców oraz metodologii wyceny.
7. Szkolenia pracowników i aktualizacja dokumentacji wewnętrznej: Cały personel zaangażowany w obsługę klientów w zakresie kryptoaktywów musi przejść szkolenia z zakresu wymogów MiCA, procedur KYC specyficznych dla kryptoaktywów oraz zasad rzetelnego informowania klientów. Należy zaktualizować regulaminy, umowy z klientami, polityki prywatności oraz dokumenty informacyjne.
8. Wdrożenie systemu monitorowania i raportowania: MiCA nakłada na dostawców usług obowiązki sprawozdawcze wobec organów nadzoru. Konieczne jest wdrożenie procesów regularnego raportowania zdarzeń operacyjnych, incydentów cyberbezpieczeństwa, danych o wolumenie transakcji i liczbie klientów. System monitorowania musi umożliwiać wykrywanie potencjalnych nadużyć rynkowych w czasie rzeczywistym.

Najczęstsze pytania

Czy bank, który jedynie pośredniczy w zakupie kryptowalut przez klientów, musi uzyskać licencję CASP?
Tak. Każdy podmiot, który świadczy usługę wykonywania zleceń nabycia lub zbycia kryptoaktywów na rachunek klientów, jest uznawany za dostawcę usług w zakresie kryptoaktywów i podlega obowiązkowi uzyskania zezwolenia. Wyjątkiem są sytuacje, gdy bank prowadzi tę działalność wyłącznie jako agent powiązany z licencjonowanym dostawcą — wówczas to licencjodawca ponosi odpowiedzialność regulacyjną.

Jakie kryptoaktywa są wyłączone z zakresu MiCA?
Rozporządzenie MiCA nie obejmuje kryptoaktywów kwalifikujących się jako instrumenty finansowe w rozumieniu dyrektywy MiFID II (np. tokenizowane papiery wartościowe), ani kryptoaktywów kwalifikowanych jako depozyty lub produkty ubezpieczeniowe na mocy odrębnych przepisów unijnych. Wyłączone są również unikalne tokeny niezbywalne (NFT), choć Komisja Europejska może zmienić to podejście w przyszłości, jeżeli rynek NFT nabierze cech rynku masowego.

Jak MiCA wpływa na towarzystwa ubezpieczeniowe niedziałające bezpośrednio na rynku kryptowalut?
Towarzystwa ubezpieczeniowe, które nie oferują produktów powiązanych z kryptoaktywami, nie podlegają bezpośrednio MiCA. Jednak regulacja pośrednio wpływa na ten sektor — ubezpieczyciele coraz częściej otrzymują zapytania o ubezpieczenie ryzyk związanych z kryptoaktywami (np. ubezpieczenia portfeli, custody czy odpowiedzialności podmiotów CASP). Oferowanie takich produktów ubezpieczeniowych wymaga dostosowania oceny ryzyka i modeli aktuarialnych do specyfiki rynku kryptowalutowego.

Co grozi za brak dostosowania do wymogów MiCA?
Sankcje za naruszenie przepisów MiCA należą do kompetencji krajowych organów nadzoru. W Polsce KNF może nałożyć kary administracyjne, nakazać zaprzestanie działalności, cofnąć zezwolenie CASP lub podać informację o naruszeniu do publicznej wiadomości. Rozporządzenie przewiduje możliwość nakładania kar finansowych na osoby zarządzające odpowiedzialne za naruszenie. Brak licencji przy jednoczesnym świadczeniu usług CASP stanowi działalność nielegalną i może wiązać się z odpowiedzialnością karną.

Podsumowanie

Regulacja MiCA stanowi jedno z najważniejszych wyzwań compliance dla sektora finansowego i ubezpieczeniowego w najbliższych latach — im wcześniej instytucja rozpocznie proces dostosowania, tym mniej kosztowne i ryzykowne będzie jego wdrożenie. Firmy, które potraktują MiCA nie tylko jako obowiązek regulacyjny, ale jako szansę na budowanie zaufania klientów i przewagi konkurencyjnej na dynamicznie rosnącym rynku kryptoaktywów, zyskają solidne fundamenty pod nowe linie biznesowe. Nie zwlekaj z analizą luki regulacyjnej — skontaktuj się z ekspertem ds. compliance i zacznij działać jeszcze dziś.