Logo kancelarii SWITALSKI.LAW - doradztwo prawne FinTech, Web3 i MiCA
Powrót do wpisów

Licencja CASP i MiCA w Polsce: Kompletny przewodnik dla biznesu krypto (2026)

Spis treści

Najważniejsze wnioski

  • Brak operacyjnej procedury w Polsce. Z uwagi na dwukrotne weto Prezydenta RP (grudzień 2025 r. i luty 2026 r.) do ustawy o rynku kryptoaktywów, Komisja Nadzoru Finansowego (KNF) nie ma obecnie kompetencji do wydawania licencji CASP.
  • Okres przejściowy do 1 lipca 2026 r. Tylko podmioty wpisane do polskiego rejestru VASP przed 30 grudnia 2024 r. mogą tymczasowo kontynuować działalność. Nowe wpisy zostały trwale wstrzymane.
  • Paszportowanie usług do Polski. Autoryzacja CASP uzyskana w innym państwie członkowskim UE (np. na Cyprze, w Niemczech czy w Estonii) pozwala na legalne wejście na rynek polski na podstawie procedury paszportowania (Art. 65 MiCA).
  • Wymogi unijne są identyczne. Ramy regulacyjne MiCA – w tym wymogi kapitałowe, ład korporacyjny (governance), DORA czy zasady AML/CFT – mają bezpośrednie zastosowanie. Pracę nad dokumentacją wdrożeniową można (i należy) rozpocząć bez czekania na polską ustawę.

Licencja na kryptoaktywa w Polsce: Stan na maj 2026 r.

Jeśli szukasz szybkiej ścieżki do uzyskania licencji CASP bezpośrednio w Komisji Nadzoru Finansowego, odpowiedź na maj 2026 r. jest jednoznaczna: taka procedura w Polsce operacyjnie nie funkcjonuje. KNF nie posiada jeszcze formalnych kompetencji do wydawania autoryzacji z uwagi na opóźnienia legislacyjne – projekt polskiej ustawy o rynku kryptoaktywów został dwukrotnie zawetowany przez Prezydenta (najpierw w grudniu 2025 r., a następnie w lutym 2026 r.).

Co to oznacza w praktyce dla polskiego biznesu? Jeśli nie posiadasz wpisu do krajowego rejestru VASP dokonanego przed 30 grudnia 2024 r., nie możesz dziś legalnie rozpocząć świadczenia usług w zakresie kryptoaktywów z poziomu spółki zarejestrowanej w Polsce. Sytuacja ta ulegnie ostatecznemu ujednoliceniu 1 lipca 2026 r., kiedy zakończy się unijny okres przejściowy.

Przedsiębiorcy planujący start mają w tej sytuacji dwie ścieżki. Pierwsza to budowa struktury, kapitału i dokumentacji “do szuflady” w oczekiwaniu na uchwalenie ustawy i otwarcie okienka aplikacyjnego w KNF. Druga, znacznie bardziej przewidywalna dla zagranicznych founderów i dynamicznych projektów, to uzyskanie licencji CASP w sprawdzonej jurysdykcji UE i notyfikowanie paszportowania usług bezpośrednio do Polski.

Z VASP do CASP: Co zmienia się po wejściu MiCA?

Wygasający polski rejestr działalności w zakresie walut wirtualnych (VASP) był z założenia reżimem uproszczonym, skupionym niemal w 100% na przepisach o przeciwdziałaniu praniu pieniędzy (AML/CFT). Bariery wejścia były znikome. Rozporządzenie MiCA drastycznie zmienia tę rzeczywistość, wprowadzając pełny reżim ostrożnościowy i nadzorczy, któremu bliżej do wymogów stawianych instytucjom płatniczym niż dotychczasowym kantorom krypto.

Dla podmiotów działających w Polsce, pełne wdrożenie MiCA oznacza szereg rygorystycznych obowiązków operacyjnych. Konieczne będzie pokrycie wymogów kapitałowych (od 50 000 do 150 000 EUR), wdrożenie kompleksowych zasad ładu korporacyjnego oraz przejście rygorystycznego badania reputacji i kompetencji członków zarządu oraz wspólników (test fit-and-proper). Firmy będą musiały zapewnić pełną segregację środków klientów oraz dostosować systemy IT do wymogów cyberbezpieczeństwa dyrektywy DORA. Należy również pamiętać, że unijne rozporządzenie w sprawie transferu środków pieniężnych (Travel Rule) obowiązuje wszystkich dostawców już od 30 grudnia 2024 r.

Rynek znajduje się obecnie w stanie zawieszenia. Rejestr VASP jest zamknięty dla nowych wnioskodawców od 30 grudnia 2024 r., a ścieżka migracji do pełnej licencji CASP w Polsce pozostaje zamrożona. Podmioty z historycznym wpisem korzystają z okresu przejściowego, który nieubłaganie kończy się 1 lipca 2026 r. Po tej dacie, świadczenie usług bez pełnej autoryzacji CASP (polskiej lub paszportowanej z innego kraju UE) stanie się niezgodne z prawem i będzie podlegać surowym sankcjom.

Jakie usługi wymagają licencji CASP?

Kwalifikacja prawna modelu biznesowego to zawsze pierwszy i najważniejszy krok. Rozporządzenie MiCA w art. 3 ust. 1 pkt 16 precyzyjnie definiuje 10 rodzajów „usług w zakresie kryptoaktywów”. Świadczenie chociażby jednej z nich na terytorium Unii Europejskiej w sposób zorganizowany i zawodowy wymaga autoryzacji CASP.

Zgodnie z oficjalną polską terminologią unijną, licencjonowaniu podlegają:

  1. Zapewnianie przechowywania kryptoaktywów i administrowania nimi w imieniu klientów (tzw. custody, w tym zarządzanie kluczami kryptograficznymi).
  2. Prowadzenie platformy obrotu kryptoaktywami (tradycyjne giełdy z orderbookiem).
  3. Wymiana kryptoaktywów na środki pieniężne (wymiana fiat-to-crypto, czyli klasyczne kantory, tzw. on/off-ramps).
  4. Wymiana kryptoaktywów na inne kryptoaktywa (wymiana crypto-to-crypto).
  5. Wykonywanie zleceń związanych z kryptoaktywami w imieniu klientów (działanie w charakterze brokera).
  6. Plasowanie kryptoaktywów (pośrednictwo w ofertach publicznych i ICO/IEO).
  7. Przyjmowanie i przekazywanie zleceń związanych z kryptoaktywami w imieniu klientów (routing zleceń do innych dostawców lub na platformy obrotu).
  8. Doradztwo w zakresie kryptoaktywów (udzielanie spersonalizowanych rekomendacji inwestycyjnych).
  9. Zarządzanie portfelem kryptoaktywów (dyskrecjonalne zarządzanie środkami klienta).
  10. Świadczenie usług transferu kryptoaktywów w imieniu klientów (realizacja transferów z jednego adresu DLT na inny).

Warto podkreślić, że tworzenie oprogramowania, portfeli typu non-custodial (self-hosted) czy dostarczanie samej infrastruktury technologicznej bez przejmowania kontroli nad aktywami klientów, z zasady pozostaje poza reżimem licencyjnym MiCA. Granica bywa jednak płynna i zawsze wymaga dogłębnej analizy prawno-technicznej.

Wymogi kapitałowe i kwalifikacyjne

Przejście z reżimu VASP na CASP oznacza drastyczną zmianę w obszarze wymogów ostrożnościowych. Regulator nie ocenia już tylko procedur przeciwdziałania praniu pieniędzy, ale przede wszystkim stabilność finansową wnioskodawcy i bezpieczeństwo środków klientów.

Minimalny kapitał zakładowy

Zgodnie z art. 67 MiCA, firma składająca wniosek musi stale dysponować zabezpieczeniami ostrożnościowymi. Bazowy wymóg kapitałowy jest uzależniony od rodzaju świadczonych usług:

  • 50 000 EUR – m.in. dla usług wykonywania zleceń, doradztwa, zarządzania portfelem oraz transferu kryptoaktywów.
  • 125 000 EUR – dla usług powiernictwa i administrowania, a także wymiany kryptoaktywów (na środki pieniężne lub inne kryptoaktywa).
  • 150 000 EUR – dla podmiotów prowadzących platformę obrotu kryptoaktywami (giełdy).

W przypadku świadczenia wielu usług obowiązuje próg najwyższy (nie ulegają one sumowaniu). Należy jednak pamiętać, że kwoty bazowe to jedynie punkt wyjścia. Rzeczywisty wymóg kapitałowy musi stanowić wyższą z dwóch wartości: stałego wymogu minimalnego (opisanego wyżej) albo jednej czwartej stałych kosztów pośrednich (fixed overheads) z poprzedniego roku działalności.

Sam kapitał to nie wszystko. Zgodnie z unijnymi dyrektywami bankowymi, środki własne CASP muszą składać się z instrumentów najwyższej jakości (Common Equity Tier 1, Additional Tier 1 lub Tier 2). W praktyce przed organem nadzoru (takim jak KNF czy CySEC) oznacza to rygorystyczne, wielopoziomowe badanie źródła pochodzenia majątku (Source of Wealth / Source of Funds). Każde euro wniesione do spółki musi posiadać w pełni udokumentowaną i legalną historię.

Ład korporacyjny i test “Fit-and-Proper”

Reżim CASP nakłada ścisłe wymogi kompetencyjne na osoby zarządzające podmiotem. Członkowie zarządu muszą przejść test odpowiedniości (fit-and-proper), wykazując nie tylko niekaralność za przestępstwa finansowe, ale także realne doświadczenie w sektorze finansowym, IT lub krypto.

Ponadto, co najmniej jeden z dyrektorów zarządzających musi posiadać rezydencję na terytorium Unii Europejskiej. Wymóg “substance” (realnej obecności operacyjnej) wyklucza tworzenie spółek-wydmuszek (letterbox companies) – wnioskodawca musi wykazać posiadanie realnego biura, lokalnego personelu oraz infrastruktury technicznej adekwatnej do skali prowadzonej działalności. Badaniu podlegają również wszyscy wspólnicy posiadający znaczny pakiet akcji lub udziałów (tzw. qualifying holdings powyżej 10%).

Wymogi kapitałowe CASP w MiCA — trzy klasy kapitału według Załącznika IV: 50, 125 i 150 tys EUR
Masz wątpliwości, jak sklasyfikować swój model pod MiCA lub w której jurysdykcji najszybciej złożyć wniosek CASP? Umów się na 30-minutową konsultację wstępną – przeanalizujemy Twój projekt i zminimalizujemy ryzyko potknięcia przed regulatorem.
Kontakt

Proces aplikacji o licencję CASP krok po kroku

Procedura uzyskania autoryzacji CASP, uregulowana w przepisach MiCA, opiera się na z góry określonym harmonogramie. W teorii czas rozpatrywania wniosków jest krótki, jednak organy nadzoru rygorystycznie podchodzą do kwestii formalnych. Zgodnie z art. 63 rozporządzenia MiCA, proces wygląda następująco:

Potwierdzenie wpływu wniosku (5 dni roboczych). Organ nadzoru musi oficjalnie potwierdzić otrzymanie dokumentacji.

Ocena kompletności (25 dni roboczych). Na tym etapie regulator sprawdza wyłącznie to, czy wniosek zawiera wszystkie wymagane załączniki i polityki. Brak chociażby jednego dokumentu skutkuje wezwaniem do uzupełnienia, co zatrzymuje bieg terminów.

Ocena merytoryczna (40 dni roboczych). Właściwa weryfikacja modelu biznesowego, zabezpieczeń kapitałowych, polityk AML oraz architektury IT. Organ może w tym czasie zażądać dodatkowych wyjaśnień, co powoduje zawieszenie biegu terminu na maksymalnie 20 dni roboczych.

Choć formalny maksymalny czas na wydanie decyzji wynosi około 70 dni roboczych (nie licząc ewentualnego zawieszenia), realia operacyjne są inne. Biorąc pod uwagę konieczność iteracji dokumentacji, odpowiadania na szczegółowe pytania nadzorcy oraz uzupełniania braków w testach fit-and-proper, realny czas trwania procesu autoryzacji w większości jurysdykcji UE wynosi obecnie od 4 do 8 miesięcy.

Proces uzyskania licencji CASP — terminy zgodnie z Art. 63 MiCA: 5 dni potwierdzenia, 25 dni oceny kompletności, 40 dni oceny merytorycznej

6 najczęstszych błędów we wnioskach o licencję CASP

Na podstawie bezpośredniej pracy nad wnioskami CASP, w tym uzyskanej autoryzacji przed CySEC oraz licencjonowania w Estonii, regularnie obserwuję te same błędy w podejściu firm do reżimu MiCA. Brak uwzględnienia poniższych kwestii na etapie projektowania biznesu prowadzi do wielomiesięcznych opóźnień, a często do konieczności wycofania wniosku.

1. Błędna klasyfikacja produktów i usług

Wnioskodawcy nagminnie próbują naciągnąć swój model biznesowy tak, aby wpasował się w “lżejsze” kategorie usług w zakresie kryptoaktywów, ignorując faktyczną architekturę technologiczną platformy. Kwalifikacja prawna tokenów (czy dany zasób to token powiązany z aktywami – ART, token powiązany z pieniądzem elektronicznym – EMT, czy może instrument finansowy wchodzący w reżim MiFID II) determinuje całą ścieżkę licencyjną. Oparcie wniosku na życzeniowej klasyfikacji bez twardej analizy flow środków to najszybsza droga do jego odrzucenia.

2. Wdrażanie Travel Rule jako kalki z tradycyjnych finansów (TradFi)

Unijne rozporządzenie w sprawie transferu środków pieniężnych (Travel Rule / Travel of Funds Regulation) weszło w życie i ma bezpośrednie zastosowanie. Błędem jest próba implementacji procedur AML rodem z klasycznej bankowości bezpośrednio do infrastruktury blockchain. Mechanizmy bankowe nie rozumieją specyfiki modelu UTXO (Unspent Transaction Output) ani technologicznych barier związanych z identyfikacją. Wnioski upadają, gdy wnioskodawca nie potrafi wykazać przed regulatorem, jak technicznie zrealizuje obowiązki weryfikacji portfeli nieobsługiwanych (self-hosted wallets), co jest bezwzględnie wymagane np. przez art. 14 wspomnianego rozporządzenia.

3. Błędna interpretacja obowiązków transparentności (Art. 77 MiCA)

Artykuł 77 MiCA nakłada na podmioty prowadzące platformy obrotu surowe obowiązki w zakresie przejrzystości operacyjnej. Wnioskodawcy często traktują ten punkt jako formalność, dołączając ogólnikowe deklaracje marketingowe. Tymczasem regulatorzy wymagają precyzyjnych i kompletnych polityk (m.in. order execution policy, polityka opłat, struktura spreadów), z których podmiot będzie następnie bezlitośnie rozliczany podczas audytów nadzorczych.

4. Pułapki w architekturze produktu (Art. 70 i Art. 76)

Wymogi ostrożnościowe to nie tylko kwestie kapitałowe, ale twarde ograniczenia produktowe. Art. 70 ust. 1 oraz Art. 76 ust. 5 MiCA narzucają rygorystyczne zasady segregacji środków (safeguarding) oraz absolutny zakaz wykorzystywania kryptoaktywów powierzonych przez klientów na własny rachunek CASP. Projektowanie produktu (np. platformy oferującej w tle mechanizmy yield generation na środkach klientów) bez dogłębnej analizy tych zakazów oznacza, że w trakcie oceny wniosku organ zażąda całkowitej przebudowy architektury IT i księgowości. Ten koszt na tym etapie jest już nieodwracalny.

5. Wybór jurysdykcji bez analizy operacyjnej

Decyzja o tym, w którym państwie członkowskim złożyć wniosek (aby następnie paszportować usługi na resztę UE), rzadko bywa poparta solidną analizą. Przedsiębiorcy kierują się wyłącznie kosztem lub renomą. Tymczasem poszczególne organy nadzoru drastycznie różnią się kulturą pracy. Jurysdykcje takie jak estoński FSA czy cypryjski CySEC charakteryzują się bardzo otwartą i bezpośrednią komunikacją z rynkiem. Z kolei inne urzędy opierają się na wysoce sformalizowanym, papierowym obiegu dokumentów i unikają roboczych konsultacji. Brak dostosowania własnych procesów wewnętrznych (i językowych) do kultury wybranego nadzoru operacyjnego paraliżuje proces wydania licencji.

6. Rozmycie granicy między MiCA a reżimem usług płatniczych (PSD2)

Fundamentalny błąd założycielski: “jeśli działam w krypto, dotyczy mnie tylko MiCA”. Bardzo wiele modeli biznesowych – takich jak bramki płatnicze (payment gateways), usługi on/off-ramp czy transfery peer-to-peer realizowane z wykorzystaniem stablecoinów (EMT) – krzyżuje się z przepisami dyrektywy o usługach płatniczych (PSD2/PSD3). Nierozpoznanie momentu, w którym świadczenie usługi w zakresie kryptoaktywów staje się w istocie świadczeniem usługi płatniczej (wymagającej odrębnej licencji Krajowej Instytucji Płatniczej lub Małej Instytucji Płatniczej), to krytyczne ryzyko regulacyjne, którego organy nadzoru nie przeoczą.

Czas trwania procesu i praktyka KNF

Chociaż ramy MiCA są jednolite dla całej Unii Europejskiej, praktyka nadzorcza i kultura urzędnicza pozostają ściśle lokalne. Bazując na moim doświadczeniu z postępowań licencyjnych dla Małych i Krajowych Instytucji Płatniczych (MIP/KIP), należy przygotować się na to, że polska Komisja Nadzoru Finansowego (KNF) zachowa swoje wysoce sformalizowane, konserwatywne podejście.

W przeciwieństwie do nadzorców z krajów bałtyckich czy Cypru, którzy często dopuszczają elastyczny dialog pre-aplikacyjny i iteracyjną pracę nad modelem biznesowym, KNF opiera się na twardym, papierowym (lub podpisanym kwalifikowanym podpisem elektronicznym) obiegu dokumentów. Cała dokumentacja wewnętrzna musi być sporządzona w języku polskim (lub przetłumaczona przez tłumacza przysięgłego).

Po wejściu w życie ustawy, weryfikacja biznesplanów, testów fit-and-proper oraz badania źródeł kapitału (Source of Funds) będzie w Polsce przeprowadzana niezwykle rygorystycznie. Spodziewane obciążenie KNF nowym reżimem oznacza, że realny czas procedowania polskiego wniosku może być bliższy 6-8 miesiącom, a w skomplikowanych przypadkach może ten okres przekroczyć. Właśnie dlatego tak atrakcyjną ścieżką dla polskiego biznesu staje się licencjonowanie za granicą i notyfikacja paszportowa.

Paszportowanie usług do Polski i reverse solicitation

Ze względu na wciąż opóźniony proces legislacyjny w Polsce, mechanizm paszportowania opisany w art. 65 MiCA to obecnie absolutnie kluczowa strategia wejścia na rynek polski. Licencja CASP uzyskana w dowolnym innym państwie członkowskim UE pozwala na w pełni legalne świadczenie usług nad Wisłą bez konieczności ponownego licencjonowania przez KNF. Procedura notyfikacyjna przebiega między regulatorami: na co najmniej 40 dni roboczych przed planowanym startem przekazujesz swojemu rodzimemu nadzorcy (np. na Cyprze) listę usług i wykaz działań marketingowych, a ten w ciągu 10 dni przesyła to powiadomienie do KNF. To najszybszy i najbardziej pewny “pomost” dla polskich biznesów krypto w 2026 roku.

Dla kontrastu, świadczenie usług na podstawie wyłącznej inicjatywy klienta (tzw. reverse solicitation z art. 61 MiCA) to bardzo wąski wyjątek prawny, a nie skalowalny model biznesowy. Reguła ta zakazuje prowadzenia jakichkolwiek celowanych działań promocyjnych w danym kraju. Europejskie organy nadzoru interpretują ten przepis niezwykle restrykcyjnie – oparcie na nim długoterminowej strategii obecności w Polsce to ogromne ryzyko regulacyjne.

Obowiązki bieżące po uzyskaniu autoryzacji

Uzyskanie licencji to koniec projektu aplikacyjnego, ale początek ciągłego nadzoru. Działający CASP podlega reżimowi ostrożnościowemu MiCA (utrzymywanie wymogów kapitałowych, stałe raportowanie), przepisom AML/CFT, rygorystycznemu monitorowaniu przepływów z tytułu rozporządzenia Travel Rule oraz obowiązkom w zakresie cyberbezpieczeństwa wprowadzanym przez dyrektywę DORA (w tym audyty dostawców usług IT zewnętrznych).

KNF, gdy ustawa finalnie nada mu te kompetencje, będzie bezwzględnie weryfikował te obowiązki. System kar na gruncie MiCA jest bezlitosny – sankcje administracyjne mogą wynieść do 5 milionów euro dla osób prawnych, lub – co często znacznie bardziej dotkliwe dla działających biznesów – od 3% do 5% całkowitego rocznego obrotu. Utrzymanie szczelnego systemu compliance staje się tu krytycznym warunkiem przetrwania na rynku.

FAQ – Często zadawane pytania

Nie. W związku z zawetowaniem ustawy o rynku kryptoaktywów (stan na maj 2026 r.), KNF nie posiada kompetencji do przyjmowania wniosków pod reżimem MiCA. Nowe wpisy do krajowego rejestru VASP również są wstrzymane od 30 grudnia 2024 r.

Firmy wpisane do polskiego rejestru przed 30 grudnia 2024 r. mogą tymczasowo świadczyć usługi, jednak okres przejściowy bezpowrotnie kończy się 1 lipca 2026 r. Po tej dacie brak licencji CASP (krajowej lub paszportowanej) uniemożliwi legalną działalność.

Minimalny stały wymóg wynosi 50 000 EUR (np. transfer kryptoaktywów, doradztwo), 125 000 EUR (wymiana, powiernictwo) lub 150 000 EUR (prowadzenie platformy obrotu). Prawo wymaga utrzymywania wyższej z dwóch kwot: tego bazowego progu lub równowartości 1/4 stałych kosztów pośrednich z ubiegłego roku.

Teoretyczny czas przewidziany w rozporządzeniu to około 70 dni roboczych. W praktyce, jako praktyk z doświadczeniem CASP wiem, że proces ten, obejmujący iteracje z regulatorem i wezwania do uzupełnień, zajmuje od 4 do 8 miesięcy.

Co najmniej jeden dyrektor zarządzający podmiotem musi być rezydentem Unii Europejskiej. Wspólnicy mogą przebywać poza UE, jednak każdy z nich posiadający powyżej 10% udziałów musi pozytywnie przejść drobiazgowe badanie fit-and-proper.

Prawo na to nie pozwala, poza bardzo wąskim wyjątkiem reverse solicitation. Zezwala on na obsługę klienta wyłącznie z jego własnej inicjatywy, ale kategorycznie zabrania jakichkolwiek lokalnych działań marketingowych czy ofertowania, zamykając drogę do skalowania biznesu.

Picture of Mateusz Świtalski

Mateusz Świtalski

Radca prawny, członek Okręgowej Izby Radców Prawnych w Poznaniu (nr wpisu PZ-5181). Specjalizuje się w regulacjach aktywów cyfrowych w UE, compliance MiCA oraz prawie spółek.

Jego doświadczenie obejmuje prowadzenie postępowania licencyjnego CASP przed CySEC od złożenia wniosku do uzyskania zgody, prowadzenie postępowania licencyjnego CASP w Estonii oraz wcześniejsze uzyskanie ponad 10 rejestracji Małych Instytucji Płatniczych (MIP) i Krajowych Instytucji Płatniczych (KIP) przed Komisją Nadzoru Finansowego (KNF).

SKONTAKTUJ SIĘ Z NAMI

pozostałe newsy