Rozporządzenie MiCA – Mniej czasu, więcej wymogów

Wydaje się, że podmiotom prowadzącym działalność w zakresie usług związanych z kryptoaktywami, zostało coraz mniej czasu na jej dostosowanie do nowych regulacji i uzyskanie odpowiedniego zezwolenia. Zgodnie bowiem z ostatnią wersją Projektu ustawy o kryptoaktywach, mającej uzupełnić na poziomie krajowym przepisy unijnego Rozporządzenia MiCA, aby nieprzerwanie kontynuować działalność, muszą one odpowiednio, w zależności od statusu, złożyć kompletny wniosek do Komisji Nadzoru Finansowego przed 1 maja 2025 r. albo uzyskać zezwolenie z Rozporządzenia MiCA do 30 czerwca 2025 r.

Rozporządzenie MiCA, które w pełni będzie obowiązywało od 30 grudnia tego roku, reglamentuje działalność wszystkich podmiotów świadczących usługi w zakresie kryptoaktywów – do szeregu nowych wymogów organizacyjnych, technicznych i ostrożnościowych będą się musiały dostosować zarówno podmioty dotychczas nieregulowane i nienadzorowane (np. giełdy kryptowalut) czy podmioty wpisane do rejestru działalności w zakresie walut wirtualnych, jak i tradycyjne instytucje finansowe typu banki czy firmy inwestycyjne.

O ile spełnienie nowych wymogów dla instytucji finansowych, posiadających już zezwolenia KNF ‘równoważne’ do tych z Rozporządzenia MiCA, w większości będzie się sprowadzało do modyfikacji rozwiązań już wdrożonych w tych podmiotach (choć w praktyce to oczywiście również może okazać się pracochłonne), prawdziwy problem powstaje dla podmiotów dotychczas nienadzorowanych. Zgodnie z Rozporządzeniem MiCA, podmioty te muszą bowiem uzyskać zezwolenie KNF na prowadzenie działalności, a złożenie wniosku wymaga m.in.:

1. potwierdzenia spełnienia wymogów ostrożnościowych (min. wymogi kapitałowe nawet do 150 000 EUR),
2. przygotowania opisu zarządzania,
3. dowodu, że członkowie organu zarządzającego cieszą się wystarczająco dobrą opinią i posiadają odpowiednią wiedzę, umiejętności i doświadczenie,
4. przekazania tożsamości akcjonariuszy lub udziałowców i dowodów, że osoby te cieszą się wystarczająco dobrą opinią,
5. wdrożenia mechanizmów kontroli wewnętrznej,
6. przyjęcia polityki i procedur w zakresie identyfikowania i oceny ryzyka oraz zarządzania nim,
7. opracowania planu ciągłości działania,
8. przygotowania dokumentacji technicznej systemów ICT,
9. wdrożenia rozwiązań w zakresie bezpieczeństwa,
10. opracowania procedur wyodrębnienia kryptoaktywów i środków pieniężnych klienta i
11. opracowania procedur rozpatrywania skarg klientów.

Powyższa lista wymienia tylko niektóre z wymogów, kolejne zależą przede wszystkim od rodzaju usług, jakie mają być świadczone, a wszystkie są dodatkowo rozbudowane na poziomie szczegółowych regulacyjnych standardów technicznych opracowanych przez ESMA i mających zostać przyjętych przez Komisję Europejską.

Dużo? Okazuje się, że może być jeszcze więcej i trudniej.

Mając na uwadze ilość nowych wymogów i stopień ich skomplikowania, Rozporządzenie MiCA przyznało podmiotom 18 miesięczny okres przejściowy na dostosowanie działalności, który wydaje się być terminem rozsądnym. Gdzie więc leży problem? Niestety, jednocześnie przyznano państwom członkowskim prawo do skrócenia okresu przejściowego, na zasadzie uznaniowości. Czy Polska z tego uprawnienia zamierza skorzystać? Najwyraźniej wydaje się, że tak.

Zgodnie z pierwotnym brzmieniem Projektu, okres przejściowy względem Rozporządzenia MiCA skrócono o pół roku, czyli przesunięto z 1 lipca 2026 r. na 31 grudnia 2025 r. To oczywiście spotkało się z ogólną dezaprobatą w trakcie konsultacji społecznych Projektu, podczas których szereg instytucji postulowało zachowanie terminu z Rozporządzenia MiCA i oceniało możliwość dochowania terminu krótszego jako wręcz nierealną, podając szereg zasadnych argumentów, m.in. konieczność równoległego wdrożenia obowiązków z Rozporządzenia UE 2023/1113 w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów. Niestety zaproponowany termin spotkał się z dezaprobatą nie tylko uczestników rynku, ale także KNF, która z kolei uznała, że termin ten jest nadal niezasadnie długi i zaproponowała jego dalsze skrócenie o kolejne pół roku. Jaki mamy efekt?

Aktualny Projekt wskazuje jako maksymalny termin, do którego można świadczyć usługi na dotychczasowych zasadach, 30 czerwca 2025 r. (tj. termin krótszy o rok od przewidzianego w Rozporządzeniu MiCA oraz krótszy o pół roku od przewidzianego w pierwotnej wersji Projektu). Tak więc na dostosowanie działalności do szeregu nowych wymogów i odpowiednio:

1. złożenie kompletnego wniosku o zezwolenie na świadczenie usług – w przypadku podmiotów świadczących usługi niebędące działalnością w zakresie walut wirtualnych albo
2. uzyskanie zezwolenia, czyli wydania decyzji przez KNF po przeprowadzeniu całego postępowania – w przypadku podmiotów wpisanych do rejestru działalności w zakresie walut wirtualnych,

zostało tylko nieco ponad pół roku. To, czy wniosek jest kompletny czy nie, ocenia oczywiście KNF i ma na to aż 25 dni roboczych, po których wzywa do uzupełnienia braków w dowolnie wyznaczonym terminie, a dopiero po ich właściwym uzupełnieniu, powiadamia podmiot o stwierdzeniu kompletności wniosku. Jest to istotne, ponieważ podmioty inne niż wykonujące działalność w zakresie walut wirtualnych zgodnie z przepisami AML, mogą świadczyć usługi również po 30 czerwca 2025 r., aż do momentu wydania decyzji przez KNF, ale tylko jeśli wniosek zostanie uznany za kompletny przed 1 maja 2025 r. Nie da się więc nie zauważyć, że w każdym z dwóch powyższych przypadków, to na wnioskodawców przerzucono ryzyko związane z procedowaniem KNF, dla których opieszałość organu może mieć tragiczne skutki – zwłaszcza, jeśli wnioski te spłyną z całego rynku w mniej więcej tym samym czasie. Czy może być gorzej? Niestety tak.

Na wniosek KNF, zgłoszony w ramach konsultacji społecznych pierwotnej wersji Projektu, wprowadzono do niego delegację do wydania na poziomie krajowym rozporządzeń w zakresie (i) trybu i warunków postępowania oraz (ii) szczegółowych warunków technicznych i organizacyjnych, jakie dodatkowo (oprócz tych z Rozporządzenia MiCA i RTS) miałyby spełniać podmioty świadczące poszczególne rodzaje usług w zakresie kryptoaktywów. Tak więc, na dzień dzisiejszy, być może nie mamy nawet pełnego obrazu wymagań, jakie będą musiały spełnić podmioty ubiegające się o zezwolenie KNF.

Co na zakończenie? Na zakończenie warto wspomnieć o przepisach karnych. Zgodnie z Projektem, kto, nie będąc do tego uprawnionym, prowadzi działalność związaną ze świadczeniem usług w zakresie kryptoaktywów, o której mowa w Rozporządzeniu MiCA, podlega grzywnie do 5 mln zł albo karze pozbawienia wolności do lat 5, albo obu tym karom łącznie (tej samej karze ma podlegać osoba działająca w imieniu lub interesie powyższego podmiotu). Kara pozbawienia wolności została dodana do aktualnej wersji Projektu na skutek uwzględnienia postulatu KNF. Pierwotna wersja przewidywała jedynie karę pieniężną.

Aktualna wersja Projektu ustawy o kryptoaktywach jest dostępna na stronie RCL pod poniższym linkiem: https://legislacja.gov.pl/projekt/12382311/katalog/13040387#13040387.