Licencja CASP – Twoja przepustka do rynku kryptowalut w UE - przewodnik

Wdrożenie rozporządzenia MiCA to moment, w którym sektor kryptoaktywów oficjalnie staje się częścią systemu finansowego. Dla biznesu oznacza to koniec „szarej strefy”, ale i konieczność przejścia rygorystycznego procesu przed Komisją Nadzoru Finansowego (KNF). Polska, dzięki rozwiniętej kadrze IT i relatywnie szybkim procedurom notyfikacyjnym, wyrasta na jedno z najlepszych miejsc do uzyskania licencji CASP (Crypto-Asset Service Provider).

Dlaczego polska licencja otwiera drzwi w całej Europie?

Największą wartością licencji CASP jest tzw. paszportyzacja. Zezwolenie uzyskane w Polsce pozwala na legalne świadczenie usług w pozostałych 26 krajach UE bez konieczności otwierania tam lokalnych spółek czy ubiegania się o dodatkowe zgody.

W praktyce licencja CASP to przede wszystkim:

• Przełamanie bankowego oporu: Banki, które dotąd wykazały dość oportunistyczną postawę, zyskują jasną podstawę do współpracy z podmiotem nadzorowanym.

• Wzrost wartości exitowej: Spółka z licencją CASP jest warta znacznie więcej przy ewentualnej sprzedaży lub rundzie finansowania.

• Ochrona przed karami: Unikasz drastycznych sankcji finansowych (sięgających milionów euro), które MiCA przewiduje za brak zgodności.

Kamienie milowe – co musisz wiedzieć przed startem?

W procesie przed KNF diabeł tkwi w szczegółach. Oto co realnie decyduje o sukcesie wniosku:

1. Kapitał własny – pułapka płynności Twoja spółka musi posiadać kapitał własny na poziomie zależnym od profilu usług (50k, 125k lub 150k EUR). Co ważne, te środki nie mogą zostać „wydane” na marketing czy pensje zaraz po założeniu spółki – muszą być utrzymywane przez cały okres działalności jako zabezpieczenie płynności. Musisz utrzymywać albo powyższe minima, albo równowartość 25% stałych kosztów ogólnych z poprzedniego roku – w zależności od tego, która kwota jest wyższa.

2. Test rękojmi i realna obecność (Substance) KNF nie akceptuje „wirtualnych zarządów”. Osoby kierujące spółką muszą nie tylko mieć nieposzlakowaną opinię (zaświadczenia o niekaralności oraz oświadczenie o niepodleganiu sankcjom), ale też udowodnić, że faktycznie mieszkają w Polsce i stąd zarządzają operacjami. Urzędy coraz częściej sprawdzają tzw. substance, czyli czy firma ma w Polsce realne biuro i pracowników, a nie tylko adres. Spółka musi wykazać, że posiada na miejscu personel zdolny do monitorowania transakcji i zarządzania systemami IT. Outsourcing jest dozwolony, ale nie może prowadzić do powstania "pustej spółki".

3. Bezpieczeństwo IT (rozporządzenie DORA) – standard bankowy Podlegasz pod rozporządzenie DORA, co oznacza, że Twoja platforma musi być odporna na ataki typu DDoS, posiadać procedury odzyskiwania danych po awarii (DRP) i regularnie przechodzić testy penetracyjne. Organ kładzie szczególny nacisk na to, jak oddzielone są klucze prywatne klientów od kluczy operacyjnych firmy.

4. Procedury AML i KYC – koniec anonimowości Twoje systemy muszą integrować się z narzędziami do analizy blockchain (takimi jak Chainalysis czy Elliptic). Nadzór wymaga, abyś wiedział nie tylko, kim jest Twój klient, ale też skąd pochodzą jego kryptoaktywa (tzw. Source of Wealth/Funds w kontekście on-chain). Musisz posiadać systemy wykrywające manipulacje rynkowe, takie jak wash trading czy front-running.

Architektura wniosku: Co musi zawierać dokumentacja?

Wniosek o licencję CASP to setki stron dokumentacji proceduralnej. Regulator poddaje analizie przede wszystkim:

·       Program działalności: Szczegółowy opis rodzaju usług, geograficznego zasięgu oraz planowanej infrastruktury technicznej.

·       Opis systemów IT i bezpieczeństwa (DORA): Dokumentacja musi wykazać odporność na incydenty cybernetyczne, procedury backupu i plany odzyskiwania danych po awarii (Disaster Recovery).

·       Polityka ochrony aktywów klientów: Musisz udowodnić techniczne i prawne oddzielenie (segregację) kluczy prywatnych i środków klientów od majątku własnego spółki.

·       Whitepapers: Jeśli jesteś również emitentem, musisz przygotować dokumenty informacyjne spełniające rygorystyczne wymogi art. 4-14 MiCA.

Ile czasu zajmuje uzyskanie licencji w praktyce?

Harmonogram ustawowy to jedno, a rzeczywistość rynkowa drugie. Należy przygotować się na następujący proces:

1.     Analiza i przygotowanie (2-3 miesiące): Audyt modelu biznesowego, budowa dokumentacji i dostosowanie systemów, pisanie procedur.

2.     Ocena kompletności wniosku przez KNF (40 dni roboczych): padają pierwsze pytania uzupełniające. Następuje dialog z regulatorem i weryfikacja kompletności wniosku.

3.     Postępowanie merytoryczne (ok. 3-6 miesięcy): Pogłębiona analiza ryzyka i modelu operacyjnego. Wyjaśnianie szczegółów technicznych. Finalna decyzja.

Realnie cały proces trwa od 9 do 12 miesięcy. Dlatego firmy, które chcą być gotowe przed pełnym wygaśnięciem okresów przejściowych (lipiec 2026), powinny zacząć przygotowania już teraz.

Jak możemy pomóc w uzyskaniu licencji CASP?

Uzyskanie licencji to projekt interdyscyplinarny. Jako kancelaria nie tylko przygotujemy regulaminy, ale pomagamy „przetłumaczyć” technologię na język prawniczy akceptowalny dla KNF. Blisko współpracujemy z biznesem. M.in.:

• Przeprowadzamy Gap Analysis – wskazujemy, co w Twoim obecnym systemie nie przejdzie audytu. Proponujemy rozwiązania.

• Przygotowujemy pełny pakiet dokumentacji (AML, DORA, Whitepapers).

• Reprezentujemy Cię w bezpośrednim dialogu z regulatorem i po wydaniu decyzji.

• Wspólnie z Tobą rozwiążemy bieżące problemy korporacyjne i prawne.

• Jeśli planujesz wejście na rynek regulowany lub chcesz zabezpieczyć swoją obecną działalność, zapraszamy do kontaktu.