Kwalifikacja prawna tokenów i obowiązki z nimi związane na podstawie ustawy o kryptowalutach oraz Rozporządzenia MiCA

Dlaczego tokeny muszą mieć swoją kwalifikację?

Z technicznego punktu widzenia token jest linijką kodu. Z perspektywy prawa to potencjalne zobowiązanie, obietnica, środek płatniczy, papier wartościowy, a czasem wszystko po trochu. Przez lata to niedookreślenie było wygodne – pozwalało emitować cyfrowe aktywa bez większych barier regulacyjnych. Dziś ta wygoda się kończy.

W czerwcu 2023 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE2023/1114, znane jako MiCA, które po raz pierwszy w unijnym porządku prawnym systemowo uregulowało rynek kryptoaktywów.

MiCA zmieniło język rozmowy o tokenach. Nakazało jasno określać, z jakim typem aktywa mamy do czynienia, kto ponosi za nie odpowiedzialność i jakie obowiązki są z tym związane. Wymusiło też rejestrację, nadzór i pełną przejrzystość – zarówno po stronie emitenta, jak i operatora platformy, portfela czy giełdy.

Do tego dochodzi projekt ustawy o kryptoaktywach, który ma uzupełnić regulacje MiCA na poziomie polskim – w szczególności w zakresie nadzoru i sankcji administracyjnych. W rezultacie każde cyfrowe aktywo, niezależnie od tego, czy nazywa się tokenem użytkowym, inwestycyjnym czy płatniczym, musi zostać zakwalifikowane w świetle nowych przepisów. Brak tej kwalifikacji nie tylko uniemożliwi legalną emisję, ale projekt przewiduje sankcje administracyjne i penalne.

Rodzaje tokenów według MiCA i ich znaczenie praktyczne

Rozporządzenie MiCA nie pozostawia miejsca na domysły. Jasno rozróżnia trzy podstawowe typy kryptoaktywów, z których każdy niesie inny ciężar regulacyjny. To właśnie od tej kwalifikacji zaczyna się cała układanka obowiązków prawnych.

Kwalifikacja decyduje, czy projekt może zostać zrealizowany jako startupowy token użytkowy, czy też będzie wymagał kapitału, zabezpieczeń i nadzoru właściwego dla instytucji finansowych:

1. Pierwszą i najlżejszą kategorią są tzw. tokeny użytkowe

Są to kryptoaktywa, które służą wyłącznie do uzyskania dostępu do towaru lub usługi w określonym środowisku. Przykładem jest token dający dostęp do platformy streamingowej, gry, szkolenia lub oprogramowania. Bardzo istotne jest to, że nie pełni on funkcji środka płatniczego ani nie reprezentuje prawa do jakichkolwiek aktywów zewnętrznych.

Zgodnie z art. 3 ust. 1 pkt 9 MiCA., taki token nie musi być zatwierdzany przez nadzór. Wystarczy opublikowanie dokumentu informacyjnego, o ile nie jest oferowany na dużą skalę (np. ponad 1 mln euro w ciągu 12 miesięcy) i nie podlega innym unijnym regulacjom.

2. Dalsza kategoria to tokeny powiązane z aktywami

Te mają za zadanie utrzymać względnie stabilną wartość względem jednej lub kilku walut, towarów czy innych aktywów. W rzeczywistości jest to odpowiednik zdecentralizowanych stablecoinów, które nie są wyemitowane przez banki i nie mają statusu pieniądza elektronicznego, ale próbują zachować jego funkcję.

W ich przypadku MiCA nakłada pełen zestaw wymagań:

• zezwolenie,

• bufor kapitałowy,

• obowiązek utrzymywania rezerwy odpowiadającej wartości tokenów,

• a także zapewnienie prawa wykupu przez posiadacza.

3. Wyższy reżim dotyczy tokenów będących pieniądzem elektronicznym

Są to kryptoaktywa, które utrzymują wartość 1:1 względem oficjalnej waluty państwowej. Zgodnie z art. 48 ust. 1 MiCA, tego typu tokeny mogą być emitowane wyłącznie przez instytucje pieniądza elektronicznego lub banki – a więc podmioty posiadające odrębne zezwolenie na mocy dyrektywy 2009/110/WE.

Emitent musi zagwarantować możliwość wykupu tokenów po wartości nominalnej w dowolnym momencie. To oznacza, że mamy do czynienia z pełnoprawnym instrumentem finansowym o funkcji płatniczej, a nie tylko z elementem infrastruktury blockchainowej.

Kwalifikacja tokenu wpływa na wszystko: od treści dokumentów, przez strukturę prawno-organizacyjną, aż po to, kto może być jego emitentem i jakie ryzyka musi przewidzieć w komunikacji z użytkownikami. Jest to punkt wyjścia, od którego zależy, czy projekt będzie legalny i jak długo się utrzyma.

Obowiązki emitentów tokenów według MiCA

MiCA wprowadza dla emitentów tokenów zupełnie nową jakość, nie tylko formalną, ale również organizacyjną. Od chwili, gdy zdecydujesz się wypuścić na rynek token, nie jesteś już tylko twórcą technologii. Stajesz się podmiotem, który bierze prawnie określoną odpowiedzialność, i to nie tylko wobec organów nadzoru, ale także wobec każdego, kto ten token kupi, przechowa lub wymieni.

W tym momencie potrzebujesz nie tylko programistów, ale zespołu prawnego, który pomoże Ci przygotować whitepaper, dokumentację zgodną z MiCA i strukturę zgodności, szczególnie jeśli projekt prowadzisz jako start-up.

Podstawowym obowiązkiem, który dotyczy większości tokenów, jest sporządzenie i publikacja dokumentu informacyjnego. Jak wskazuje art. 6 MiCA, dokument ten musi zawierać m.in. szczegółowy opis:

• tokena,

• jego funkcji,

• technologii,

• ryzyk,

• struktury zarządzania,

• planów rozwoju.

Zgodnie z art. 7 ust. 1, emitent ponosi odpowiedzialność za jego rzetelność, kompletność i brak wprowadzających w błąd informacji, także jeśli dokument był rozpowszechniany przez inne podmioty.

W przypadku tokenów typu ART i EMT obowiązki są znacznie szersze. Emitenci muszą:

• uzyskać zezwolenie od właściwego organu (w Polsce KNF),

• przedstawić plan działania, mechanizmy zarządzania, politykę płynności i procedury compliance,

• wykazać odpowiedni kapitał – m.in. co najmniej 350 tys. euro w przypadku ART, jak wynika z art. 35 ust. 1.

Tokeny muszą również mieć pokrycie w aktywach, a emitent odpowiada za utrzymanie rezerwy w pełnej wartości wyemitowanych tokenów (art. 36 ust. 1 MiCA). W przypadku EMT przepisy przewidują obowiązek natychmiastowego wykupu tokena przez emitenta po wartości nominalnej na każde żądanie posiadacza (art. 44 ust. 1 MiCA).

MiCA nie pozostawia też wątpliwości co do odpowiedzialności cywilnej. Zgodnie z art. 15 każda osoba, która poniosła szkodę z powodu błędnych, wprowadzających w błąd lub niepełnych informacji zawartych w dokumencie informacyjnym, może dochodzić roszczeń wobec emitenta. Co istotne – odpowiedzialność ta może również dotyczyć członków organów zarządzających spółki. Projektodawcy MiCA wprost wskazali, że brak staranności w przygotowaniu informacji może prowadzić do roszczeń o naprawienie szkody, niezależnie od formy prawnej tokena.

Oznacza to jedno: emitent nie może już być jedynie zespołem programistów i prawników. Potrzebna jest pełna struktura organizacyjna, plan zgodności, odpowiedzialność zarządcza i gotowość do wzięcia pełnej odpowiedzialności zarówno przed inwestorem, jak i przed regulatorem.

Obowiązki dostawców usług w zakresie kryptoaktywów

MiCA nie ogranicza się do emisji tokenów. Reguluje również działalność tych, którzy się nimi na co dzień posługują. Są to operatorzy giełd i portfeli, doradcy, pośrednicy i firmy przyjmujące zlecenia na rzecz klientów. W unijnym rozporządzeniu określa się ich wspólnym mianem CASP – czyli dostawców usług w zakresie kryptoaktywów.

Jak mówi art. 3 ust. 1 pkt 11 MiCA, CASP to każdy podmiot, który zawodowo świadczy przynajmniej jedną z usług wymienionych w art. 3 ust. 1 pkt 16 lit. a. Katalog jest szeroki:

• przechowywanie tokenów i zarządzanie portfelami klientów,

• obrót,

• wymiana,

• poświadczanie transakcji,

• doradztwo,

• prowadzenie platform obrotu.

Jak widać, niemal każda firma funkcjonująca dziś na rynku kryptowalut, niezależnie od wielkości, może zostać zakwalifikowana jako CASP.

To niesie za sobą konkretne obowiązki. Pierwszy jest wymóg zezwolenia. Artykuł 60 ust. 1 MiCA mówi, że świadczenie usług CASP wymaga uprzedniego uzyskania zgody właściwego organu nadzoru. Podmiot ubiegający się o wpis musi przedstawić m.in. informacje o strukturze właścicielskiej, wewnętrznych procedurach, bezpieczeństwie przechowywania kluczy kryptograficznych, systemach zarządzania ryzykiem i środkach ochrony klienta. Do tego dochodzą wymogi kapitałowe, obowiązek prowadzenia rozdzielnych kont klienta czy szczegółowe standardy komunikacji marketingowej. Wdrożenie procedur AML i systemów zarządzania zgodnością to jeden z warunków uzyskania i utrzymania licencji CASP – KNF może to kontrolować na każdym etapie.

Zgodnie z art. 60 ust. 3 MiCA, firma inwestycyjna posiadająca zgodnie z MiFID II zezwolenie może realizować zbliżone usługi krypto w UE, po 40‑dniowym zgłoszeniu do właściwego organu. Nie wymaga wówczas pełnego wniosku jako CASP.

Nowością, którą MiCA podnosi na poziom obowiązku prawnego, są także wymogi związane z bezpieczeństwem cyfrowym. Przechowywanie kluczy prywatnych, zabezpieczenia środków klientów, przejrzystość transakcji – wszystko to przestaje być kwestią dobrej praktyki, a staje się regulowanym standardem. A jeśli CASP przetwarza dane osobowe, musi stosować zabezpieczenia zgodne z RODO, mimo że MiCA nie reguluje tego bezpośrednio.

Każda usługa świadczona przez CASP musi być zgodna z zasadą działania „w najlepiej pojętym interesie klienta” (art. 27). Ten wymóg prawny ma bezpośrednie przełożenie na sposób doradzania, informowania i wykonywania zleceń.

MiCA vs. polski projekt ustawy o kryptoaktywach

MiCA obowiązuje bezpośrednio w całej UE, ale wymaga wsparcia na poziomie krajowym. W Polsce trwają prace nad ustawą o kryptoaktywach, która ma wskazać KNF jako organ nadzoru nad CASP i określić szczegółowe obowiązki rejestrowe, kontrolne i karne.

Projekt zakłada m.in.: obowiązek zgłoszenia działalności, zasady postępowań licencyjnych i tryb nakładania kar administracyjnych. Ustawa ma także precyzować, jak przebiega nadzór nad reklamą, bezpieczeństwem systemów IT i ochroną klientów detalicznych.

Ostatecznie MiCA wyznacza ramy, a ustawa ma dopisać szczegóły. Firmy muszą więc zapamiętać jedno: nie wystarczy znać unijne rozporządzenie, trzeba śledzić krajowe przepisy, które zadecydują o tym, jak będzie wyglądać ich egzekwowanie.

Pytania i odpowiedzi

Zaufali nam