Jestem radcą prawnym specjalizującym się w regulacjach aktywów cyfrowych w Unii Europejskiej. Pomagam giełdom kryptowalut, dostawcom portfeli i startupom Web3 uzyskać licencję CASP w reżimie MiCA oraz zachować zgodność z AMLD6, DORA i Travel Rule.
Rejestr VASP prowadzony przez Izbę Administracji Skarbowej w Katowicach (przyjmował nowe wpisy do 31 grudnia 2024 roku) został zastąpiony przez reżim CASP w MiCA. Podmioty wpisane do rejestru VASP przed 31 grudnia 2024 roku korzystają z okresu przejściowego – w Polsce trwa on do 30 czerwca 2026 roku – w trakcie którego muszą uzyskać autoryzację CASP, jeśli chcą kontynuować działalność po tej dacie. CASP to licencja wydawana przez uprawniony organ nadzoru (na ten moment jeszcze żaden organ nie został wyznaczony, ale najprawdopodobniej będzie to KNF), podlegająca ciągłemu nadzorowi, w odróżnieniu od dotychczasowego rejestru, który miał charakter ewidencyjny. Jeśli prowadzisz działalność na podstawie rejestru VASP, czas na złożenie wniosku CASP jest ograniczony – przygotowanie kompletnej dokumentacji zajmuje typowo 2-3 miesiące, postępowanie przed organem nadzoru kolejne 3-6 miesięcy.
To zależy od dokładnego modelu biznesowego. MiCA katalogizuje 10 usług w zakresie aktywów kryptograficznych – od prowadzenia giełdy i platformy obrotu, przez wymianę krypto-fiat i krypto-krypto, custody, doradztwo w zakresie aktywów kryptograficznych, aż po przyjmowanie i przekazywanie zleceń. Każda działalność spełniająca definicję jednej z tych usług wymaga autoryzacji CASP, jeśli prowadzona jest profesjonalnie. Niektóre modele biznesowe pozostają jednak poza zakresem MiCA – między innymi: usługi świadczone wyłącznie w odniesieniu do aktywów wyłączonych z definicji aktywów kryptograficznych (NFT które są unikalne i niezamienne), działalność w pełni zdecentralizowana bez identyfikowalnego dostawcy usług oraz usługi świadczone wyłącznie w obrębie grupy kapitałowej. Pierwszy krok w każdym projekcie to klasyfikacja regulacyjna – analiza, czy działalność klienta mieści się w MiCA, a jeśli tak, której konkretnie usługi z katalogu dotyczy. Bez tej analizy nie ma sensu rozpoczynać postępowania licencyjnego.
Koszt projektu licencyjnego CASP składa się z trzech komponentów. Pierwszy to wynagrodzenie za pomoc prawną – w mojej praktyce to ryczałt zależny od skali planowanej działalności i liczby usług, o które wnioskuje klient. Drugi komponent to opłaty publicznoprawne – krajowy regulator pobiera opłatę za rozpoznanie wniosku oraz roczną opłatę nadzorczą. Trzeci komponent to koszty zewnętrzne – audyt IT i security (w zależności od profilu działalności wymagany na etapie wniosku lub bezpośrednio po autoryzacji), konsultanci AML, koszty zewnętrznego biura prowadzącego księgowość spółki, ewentualne tłumaczenia przysięgłe. Pełny budżet projektu CASP w Polsce dla podmiotu o średniej skali (jedna giełda kryptowalut, podstawowy zakres usług) startuje od kilkuset tysięcy złotych, dla projektów wielousługowych może to być kwota wyższa. Konkretną wycenę przygotowuję po analizie modelu biznesowego klienta, zwykle podczas wstępnej konsultacji.
Nie. Jeśli prowadzisz już spółkę z istniejącą strukturą operacyjną – wpisaną do rejestru VASP, posiadającą zezwolenie KIP/MIP, prowadzącą działalność płatniczą – punktem wyjścia jest analiza luki: co już mamy, czego brakuje do standardów MiCA, co wymaga restrukturyzacji. Często polskie podmioty z istniejącą infrastrukturą AML, IT i compliance są zaledwie kilka kroków od poziomu wymaganego przez CASP.
Szczegółowo opisuję ten proces w artykule o licencji CASP w Polsce.
Dotychczasowe wdrożenia wymogów AMLD5/6 (znaczna część polskiego rynku ma już wdrożone polityki KYC/EDD/Travel Rule, choć w wersji uproszczonej) stanowią solidną podstawę. Konkretne obszary, na które trzeba zwrócić uwagę przy migracji z VASP do CASP w Polsce: dokapitalizowanie spółki do wymogów kapitałowych MiCA (zależnie od klasy CASP – od 50 000 do 150 000 EUR), wzmocnienie governance (niezależni członkowie zarządu, polityki konfliktów interesów), pełne IT security framework (Rozporządzenie DORA stosowane od 17 stycznia 2025), oraz gruntowny update polityk AML pod kątem wymogów MiCA i Travel Rule.
Reprezentuję klientów również w postępowaniach reaktywnych przed KNF – kontrolach, postępowaniach wyjaśniających, wezwaniach do udzielenia informacji, postępowaniach naruszeniowych. Pierwszy krok to zawsze analiza zakresu czynności KNF: co konkretnie jest przedmiotem badania, jaki jest harmonogram, jaki obowiązek po stronie spółki. Następnie przygotowujemy strategię odpowiedzi: jakie informacje przekazujemy w pełnym zakresie, gdzie korzystamy z prawa do milczenia (uwzględniając, że standardy są inne dla spółek niż dla osób fizycznych), jak chronimy dokumentację objętą tajemnicą zawodową lub poufnością handlową. Działania licencyjne i reaktywne to dwa różne tryby pracy – w postępowaniu kontrolnym kluczowy jest czas reakcji (typowo 7-14 dni od wezwania), znajomość praktyki danej jednostki KNF i umiejętność precyzyjnego komunikowania się z urzędem. Jeśli prowadzisz spółkę crypto w Polsce i otrzymałeś pierwsze wezwanie z KNF, najlepszy moment na kontakt to teraz, nie po upływie pierwszego terminu odpowiedzi.
Umów 30-minutową konsultację wstępną