Opodatkowanie VAT transakcji w przedmiocie NFT

Opodatkowanie VAT transakcji w przedmiocie NFT

Czytaj: 6 min

Popularność tokenów NFT (ang. non-fungible tokens) i liczne nowe propozycje ich zastosowania, rodzą pytania dotyczące sposobu opodatkowania transakcji w ich przedmiocie. Na pierwszy plan wysuwa się problem traktowania transakcji z udziałem NFT na gruncie podatku VAT. W tym kontekście nasuwa się bowiem szereg pytań: Czy NFT jest towarem czy usługą? Jeżeli usługą, to jaką? Czy sprzedaż tokenów stanowi usługę finansową? Czy podlega zwolnieniu z VAT? Na te pytania postaramy się odpowiedzieć w tym tekście.

Czym są tokeny NFT?

Tokeny NFT są niewymienialnymi, niepowtarzalnymi elementami cyfrowymi reprezentującymi unikatowy przedmiot cyfrowy lub nawet fizyczny poprzez dane przechowywane na blockchainie. Dzięki temu rozwiązaniu dane te można uznać za unikalne i autentyczne, co pozwala na zastosowanie NFT jako swego rodzaju certyfikatu odnoszącego się do określonego prawa.

Warto jeszcze doprecyzować, czym token NFT nie jest. Przede wszystkim nie należy utożsamiać go z walutą wirtualną w rozumieniu ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu [1], tj. cyfrowym odwzorowaniem pewnych wartości, które jest wymienialne w obrocie gospodarczym na prawne środki płatnicze i akceptowane jako środek wymiany, a także może być elektronicznie przechowywane lub przeniesione albo może być przedmiotem handlu elektronicznego. To właśnie wymienialność stanowi istotę funkcjonalności walut wirtualnych, które są akceptowane jako środek wymiany, a także mogą stanowić przedmiot handlu elektronicznego. Przykładem tak rozumianej waluty wirtualnej są np. kryptowaluty Bitcoin czy Ether.

Natomiast token NFT, w przeciwieństwie do walut wirtualnych, co do zasady nie jest wymienialny na środek płatniczy (zwłaszcza walutę fiducjarną), co oznacza, że nie posiada nawet pośrednio funkcji płatniczej czy zbliżonej do niej. Czy jednak zawsze tak jest? Można sobie wyobrazić, że NFT będzie przedmiotem obrotu – w końcu przedstawia pewną wartość i jego właściciel może być zainteresowany jego zbyciem, a inna osoba – nabyciem. Nie można także wykluczyć, że token taki będzie stanowił przedmiot obrotu np. na giełdzie kryptowalut. Granica między wymienialnością a niewymienialnością jest więc cienka i trudna do uchwycenia. W niektórych przypadkach NFT będzie zatem mógł stanowić walutę wirtualną w rozumieniu przepisów AML, na co wskazuje również stanowisko Financial Action Task Force (FATF).

Równie skomplikowana jest kwestia ewentualnej kwalifikacji tokenu NFT jako papieru wartościowego czy szerzej – instrumentu finansowego w rozumieniu ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi [2]. Organy podatkowe, jak np. Dyrektor Krajowej Informacji Skarbowej w interpretacji indywidualnej z dnia 7 października 2022 r. (nr 0112-KDIL1-3.4012.279.2022.2.KK), przyjmują że token NFT nie stanowi instrumentu finansowego. Wydaje się jednak, że kwestia ta nie jest jednoznaczna i można wyobrazić sobie taką konstrukcję NFT, która przesądzi o nadaniu mu charakteru instrumentu finansowego. Należy mieć tutaj na uwadze również kwestie związane w implementacją do polskiego porządku prawnego zmian w dyrektywie MIFID II [3], które dotyczą zmiany definicji instrumentu finansowego tak, aby zawierała w sobie instrumenty wyemitowane za pomocą technologii DLT, na co wskazywaliśmy w artykule dotyczącym rozporządzenia pilotażowego DLT [4].

Token NFT – „mintowany” na blockchainie – nie stanowi sam w sobie przedmiotu praw autorskich, a jego transfer nie przenosi na nabywcę praw własności intelektualnej dotyczących treści cyfrowej stanowiącej dzieło, do którego odwołuje się dany token NFT oraz nie oznacza zawarcia licencji na korzystanie z tego dzieła. W zależności od sytuacji, do korzystania z treści cyfrowej może być potrzebne np. zawarcie umowy licencji niewyłącznej.

Towar czy usługa?

Specyficzna konstrukcja i charakter prawny tokenu NFT jest przyczyną wątpliwości co do jego klasyfikacji na gruncie VAT. Podstawowe pytanie w tym zakresie dotyczy tego, czy sprzedaż NFT stanowi dostawę towarów czy świadczenie usług w rozumieniu ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług[5] (dalej: „ustawa VAT”). W tym kontekście istotne znaczenie ma fakt, że token ten nie ma charakteru rzeczowego, ale stanowi prawo. W konsekwencji nie można go zakwalifikować jako towar w rozumieniu art. 2 pkt 6 ustawy VAT. Natomiast każde świadczenie, które nie stanowi dostawy towarów, jest na gruncie VAT traktowane jako świadczenie usług (art. 8 ust. 1 ustawy VAT). Dotyczy to również przeniesienia praw. W związku z tym sprzedaż NFT należy na gruncie VAT traktować jako świadczenie usług.

Takie stanowisko zajął Dyrektor Krajowej Informacji Skarbowej w interpretacji indywidualnej z dnia 29 sierpnia 2022 r. (nr 0111-KDIB3-1.4012.346.2022.7.ICZ). W przedstawionym przez wnioskodawcę stanie faktycznym dochodziło do przeniesienia tokenów NFT w zamian za walutę wirtualną. Organ uznał, że czynność taka podlega opodatkowaniu podatkiem od towarów i usług. Poza charakterem dokonywanej czynności (na zasadzie „usługa za usługę”), zwrócono również uwagę na ekwiwalentność świadczeń stron w ramach takiego stosunku prawnego oraz na obecność wynagrodzenia. Uznano, że pomiędzy stronami omawianego stosunku istnieje ekwiwalentność świadczeń oraz że podjęte przez obie strony działania mają charakter świadczeń wzajemnych. Między działaniami stron występuje bezpośredni związek prawny oraz ekwiwalentność i wzajemność świadczeń (zapłata ustalonej kwoty w kryptowalucie w ramach czynności dokonania zakupu tokenu NFT o konkretnej wartości, a zatem za wynagrodzeniem). Zdaniem organu transakcja taka spełnia kryteria świadczenia usług przez zbywcę i tym samym kwalifikuje do opodatkowania takiej czynności (której przedmiotem jest przeniesienie NFT na nabywcę) podatkiem VAT.

W tym przypadku kluczowe znaczenie miał zatem odpłatny charakter transakcji. Natomiast nieodpłatny transfer tokenów NFT mógłby być traktowany inaczej. W interpretacji indywidualnej z dnia 31 stycznia 2023 r. (nr 0113-KDIPT1-2.4012.751.2022.2.PRP) Dyrektor Krajowej Informacji Skarbowej wskazał, że czynność wytworzenia i nieodpłatnego przeniesienia tokenów NFT na rzecz kontrahentów będących uczestnikami programu lojalnościowego w ogóle nie stanowi czynności podlegającej opodatkowaniu VAT. Stanowisko to, jakkolwiek korzystne dla podatnika, powinno być traktowane ostrożnie. Należy bowiem zwrócić uwagę, że zgodnie z art. 8 ust. 2 pkt 2 Ustawy VAT, za odpłatne świadczenie usług uważa się również nieodpłatne świadczenie usług na cele osobiste podatnika lub jego pracowników, w tym byłych pracowników, wspólników, udziałowców, akcjonariuszy, członków spółdzielni i ich domowników, członków organów stanowiących osób prawnych, członków stowarzyszenia, oraz wszelkie inne nieodpłatne świadczenie usług do celów innych niż działalność gospodarcza podatnika. Zatem aby nieodpłatne świadczenie podlegało wyłączeniu spod zakresu opodatkowania VAT, powinno ono służyć celom działalności gospodarczej podatnika, co w niektórych przypadkach może być trudne do wykazania.

Jeżeli usługa – to jaka?

Z punktu widzenia klasyfikacji transakcji w przedmiocie NFT dla potrzeb podatku VAT istotne jest ustalenie, jaką konkretnie usługę stanowi taka czynność. Jeśli bowiem uznać, że jest to usługa finansowa, może ona podlegać zwolnieniu z VAT.

Z tego punktu widzenia istotne znaczenie ma to, czy NFT może być uznane za walutę wirtualną lub instrument finansowy. W pierwszym przypadku w grę wchodziłaby klasyfikacja usługi jako zwolnionej z VAT na podstawie art. 43 ust. 1 pkt 7 ustawy VAT, w świetle którego zwolnieniu z VAT podlegają transakcje, łącznie z pośrednictwem, dotyczące walut, banknotów i monet używanych jako prawny środek płatniczy.

Podstawę do zwolnienia z VAT stanowiłaby także klasyfikacja NFT jako instrumentu finansowego. Zgodnie bowiem z art. 43 ust. 1 pkt 41 ustawy VAT, zwolnieniu podlegają usługi, których przedmiotem są instrumenty finansowe, z wyłączeniem ich przechowywania i zarządzania nimi, oraz usługi pośrednictwa w tym zakresie.

W tym kontekście warto przytoczyć stanowisko wyrażone przez Dyrektora Krajowej Informacji Skarbowej w interpretacji indywidualnej z 7 października 2022 r. (nr 0112-KDIL1-3.4012.279.2022.2.KK), w której organ stwierdził, że jeżeli NFT nie stanowi waluty wirtualnej ani instrumentu finansowego, to transakcja w jego przedmiocie nie podlega zwolnieniu z VAT.

Konkludując, w większości przypadków NFT nie stanowi waluty wirtualnej ani instrumentu finansowego, w związku z czym transakcja w przedmiocie tego rodzaju tokenów nie podlega zwolnieniu z VAT. Jednak w niektórych przypadkach taka kwalifikacja NFT może być uzasadniona i wówczas może znaleźć zastosowanie zwolnienie przedmiotowe.

Podsumowanie

Jak się okazuje, zagadnienie opodatkowania podatkiem VAT transakcji w przedmiocie tokenów NFT nie jest jednoznaczne i budzi wiele wątpliwości. W zależności od charakteru transakcji, specyfiki danego NFT oraz podejścia regulacyjnego, transakcja taka może stanowić czynność opodatkowaną VAT lub nie, a jeżeli podlega opodatkowaniu, to może korzystać ze zwolnienia z VAT lub też nie. Ostateczna ocena w tym zakresie jest zatem uwarunkowana szeregiem zmiennych, z których niektóre mają charakter ocenny.

Można założyć, że wraz z rozwojem zjawiska tokenizacji, pojawianiem się różnych form samego NFT oraz zmian regulacyjnych, wątpliwości tych będzie się pojawiać coraz więcej. Dlatego przed podjęciem działalności w zakresie obrotu NFT warto skonsultować się ze specjalistą z zakresu prawa podatkowego. W niektórych przypadkach zasadne może być również uzyskanie interpretacji indywidualnej, która pozwoli na zmniejszenie ryzyka podatkowego.

Przypisy:

[1] Dz.U.2022.593 t.j.

[2] Dz.U.2022.1500 t.j.

[3] Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE.

[4] https://spcgblog.pl/spcg-for-fintech/czy-rozporzadzenie-pilotazowe-dlt-jest-szansa-dla-polskich-firm-inwestycyjnych/ – „Ze względu na to, że MiFID II jest aktem wymagającym dla swej pełnej skuteczności implementacji, również opisana powyżej zmiana będzie musiała zostać wdrożona do krajowych porządków prawnych. W tym miejscu powstaje pytanie, czy brak implementacji do polskiego prawa zmiany definicji instrumentu finansowego w dniu rozpoczęcia stosowania Rozporządzenia (a więc w dniu 23 marca 2023 r.) nie zaburzy funkcjonowania tych przepisów w praktyce, czy też organ nadzoru, czyli KNF, ale też organy skarbowe (przepisy podatkowe również posługują się pojęciem „instrumenty finansowe”) będą uwzględniać przepis dyrektywy niezaimplementowanej w procesie stosowania prawa, co umożliwiłoby właściwe funkcjonowanie tych przepisów i w efekcie korzystanie z nich nawet pomimo braku wprowadzenia niezbędnych zmian dostosowawczych w przepisach krajowych.”

[5] Dz.U.2022.931 t.j.

Współautor tekstu: Igor Sobieski, prawnik, Junior Associate.

 

Napisz do autorów:

Grzegorz Keler SPCG

dr Grzegorz Keler

adwokat
Associate

Igor Sobieski SPCG

Igor Sobieski

prawnik
Junior Associate

E-money tokens – co zmieni pojawienie się rozporządzenia MiCA?

E-money tokens – co zmieni pojawienie się rozporządzenia MiCA?

Czytaj: 13 min

W instytucjach unijnych trwają zaawansowane prace nad Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniającym dyrektywę (UE) 2019/1937, zwanym powszechnie „MiCA”. To kolejny akt prawny wpisujący się w politykę tworzenia ram działalności podmiotów budujących europejski rynek krypto. W projektowanych rozwiązaniach określono m.in. wymogi informacyjne stawiane emitentom oraz wskazano na szczególną podstawę dochodzenia roszczeń cywilnoprawnych wobec emitentów tokenów będących pieniądzem elektronicznym (e-money tokens).

Współautor tekstu: Igor Sobieski, Junior Associate. Nadzór merytoryczny: Ewa Mazurkiewicz, Partner.

Zespoły FinTech, Financial Litigation oraz regulacji rynku kapitałowego kancelarii SPCG łączą siły, dokonując analizy wybranych przepisów projektu MiCA [1] z perspektywy doświadczeń płynących z sądów krajowych, które prędzej czy później będą musiały zmierzyć się ze wskazanym rozporządzeniem, po jego przyjęciu, i procesami wytaczanymi na jego podstawie. To przyszłość europejskiego, a zatem także i polskiego financial litigation, z czego podmioty zaangażowane w emisję i obrót kryptoaktywami powinny zdawać sobie sprawę. To na nich bowiem spocznie ciężar ryzyk idących za nowymi uprawnieniami inwestorów i organów nadzoru.

Zagadnienia wyjściowe

Zważywszy na skomplikowany charakter omawianego zagadnienia, wpierw należy odpowiedzieć na kilka podstawowych pytań.

Jaki będzie cel rozporządzenia MiCA? Podstawowym celem tego rozporządzenia będzie regulacja obrotu kryptoaktywami poprzez nałożenie szeregu obowiązków na podmioty w nim uczestniczące, jak i ustanowienie pewnej minimalnej ochrony inwestorów. Za kryptoaktywa w art. 3 ust. 1 projektu MiCA uznano cyfrowe odzwierciedlenia wartości lub praw, które można przenosić i przechowywać w formie elektronicznej z wykorzystaniem DLT lub innej podobnej technologii (o wykorzystaniu tych technologii w kontekście obrotu instrumentami finansowymi pisaliśmy tutaj).

Jakie podmioty będą adresatami projektowanych regulacji? Będą to przede wszystkim emitenci kryptoaktywów, a zatem podmioty publicznie oferujące jakiekolwiek ich rodzaje lub ubiegające się o ich dopuszczenie na platformie obrotu. Warto zwrócić uwagę, że o ile emitentami co do zasady mogą być zarówno osoby fizyczne, jak i prawne, o tyle w odniesieniu do tokenów będących pieniądzem elektronicznym zakres podmiotowy zawęża się wyłącznie do osób prawnych. Ponadto, adresatami projektowanych przepisów będą również podmioty świadczące usługi związane z obrotem kryptoaktywami, jak prowadzący platformy obrotu czy pośrednicy działający jako wykonujący zlecenia lub doradzający w zakresie tego typu instrumentów.

Kto będzie beneficjentem projektowanych rozwiązań? Co do zasady można uznać, że wszyscy uczestnicy obrotu kryptoaktywami, bowiem uregulowanie jego zasad oraz poddanie go nadzorowi będzie wartością również dla emitentów i pośredników (abstrahując od korzyści takich jak zwiększenie bezpieczeństwa prowadzonej działalności, to niewątpliwym skutkiem wdrożenia MiCA będzie wzrost wiarygodności obrotu kryptoaktywami, a więc także i popytu na tym rynku). Grupą, która skorzysta najbardziej na wdrożeniu omawianych przepisów, będą jednak inwestorzy. Zyskają oni dostęp do rzetelnej, wiarygodnej informacji (wystandaryzowany dokument informacyjny), a posiadaczom tokenów będących pieniądzem elektronicznym (bo o nich przede wszystkim mowa w niniejszej publikacji) zapewnione zostanie ułatwienie w dochodzeniu roszczeń cywilnoprawnych z tytułu braku realizacji wymogów określonych nowymi przepisami. Jednocześnie, wprowadzenie wskazanych wymogów oznacza pojawienie się ryzyka ich niedochowania i, w efekcie, konieczności zmierzenia się przez uczestników obrotu (emitentów, pośredników) z roszczeniami wysuwanymi na tym tle, co powinni brać pod uwagę w planowaniu swojej działalności.

Ponadto, w kontekście podmiotów uprawnionych do ochrony przewidywanej w projekcie MiCA, uwagę przykuwa zmiana wprowadzona po spotkaniu Komitetu Stałych Przedstawicieli w dniu 5 października 2022 r. Otóż autorzy projektu zmierzają w kierunku:

  1. rezygnacji z definiowania pojęcia „konsument” („consumer”) na rzecz pojęcia „posiadacz detaliczny” („retail holder”), choć zakresy definicji tych dwóch pojęć są zbieżne (art. 3 ust. 1 pkt 28 projektu MiCA pierwotnie konsumentem, a obecnie posiadaczem detalicznym, nazywa „każdą każda osobę fizyczną, która działa w celach innych niż jej działalność handlowa, gospodarcza, rzemieślnicza lub związana z wykonywaniem wolnego zawodu”);
  2. określenia szerszego zakresu podmiotów, do których kierowane są nowe rozwiązania – w wersji pierwotnej art. 1 lit. d projektu MiCA wskazywał na ochronę osób nazywanych mianem „consumer”, obecnie zaś posługuje się pojęciem w ogóle niezdefiniowanym, a zarazem szerszym, tj. „holder” (czyli posiadacz, a nie nawet „retail holder” – posiadacz detaliczny danego kryptoaktywa).

Generalnie zmiany te należy ocenić pozytywnie, bowiem dalece niewskazane jest mieszanie pojęć właściwych odrębnym reżimom prawnym – sektorowej ochronie inwestora (na gruncie obecnego projektu MiCA: „posiadacza”, a w poszczególnych przypadkach – „posiadacza detalicznego”) oraz szerokiej palety uprawnień właściwych ochronie praw „konsumenta” (pojęcia dobrze znanego tak prawu unijnemu, jak i krajowemu, a zarazem obrosłego orzecznictwem i doktryną). Innymi słowy, każdy z tych reżimów powinien posługiwać się właściwą tylko sobie terminologią, bowiem nie każdy inwestor (czy posiadacz) będzie konsumentem. Jednocześnie jednak, niepokój budzi wskazany wyżej fakt zrównania ze sobą definicji „konsumenta” i „posiadacza detalicznego”. Taka decyzja projektodawców nie przysłuży się bowiem słusznemu stanowisku prezentowanemu przez instytucje finansowe w toczącej się obecnie dyskusji, zgodnie z którym nie każdemu inwestorowi indywidualnemu przysługuje miano konsumenta i związane z tym uprawnienia (do dyskusji tej, głównie dotyczącej pojęć „konsumenta”, „inwestora indywidualnego” oraz „klienta detalicznego”, nawiązywaliśmy w różnych artykułach dot.: właściwości miejscowej sądów, uprawnień Rzecznika Finansowego czy też stałej opłaty od pozwu).

Kiedy MiCA może się pojawić w obrocie prawnym? Mając na uwadze niedawno uchwalone, pozostałe części Digital Finance Package [2], dopełnienia go poprzez wejście w życie rozporządzenia MiCA można spodziewać się prawdopodobnie już w okolicy połowy roku. Od tego momentu, zgodnie z aktualnym brzmieniem projektu, oczekiwane rozwiązania mają znaleźć zastosowanie po upływie:

  1. dwunastu miesięcy – odnośnie do przepisów regulujących dwie z trzech kategorii kryptoaktywów, tj. tokeny powiązane z aktywami oraz – interesujące nas z perspektywy omawianego dalej roszczenia – tokeny będące pieniądzem elektronicznym,
  2. osiemnastu miesięcy – odnośnie do pozostałych przepisów MiCA.

Co dotyczy dwóch ostatnich pytań, aktualnie nie została jeszcze wypracowana polska wersja najnowszego projektu rozporządzenia (nota bene w źródłach anglojęzycznych wskazuje się, że głosowanie nad MiCA przełożono z lutego na kwiecień 2023 r. z uwagi na trudności z tłumaczeniem rozporządzenia na wszystkie 24 języki [3]). Oczekujemy jej z niecierpliwością – z punktu widzenia późniejszych sporów sądowych i badania uprawnień osób zgłaszających roszczenia, warstwa pojęciowa będzie miała bardzo istotne znaczenie.

Istota projektowanych rozwiązań

Brak kompleksowego uregulowania zasad emisji oraz obrotu kryptoaktywami niebędącymi instrumentami finansowymi naraża sektor krypto na szereg niebezpieczeństw, które materializując się, dotykają bezpośrednio zarówno emitentów, jak i inwestorów.

Projekt rozporządzenia MiCA można postrzegać jako próbę zmierzenia się jego autorów z tego rodzaju zagrożeniami, których realność potwierdziła się już po złożeniu projektu tejże regulacji – namacalnym przykładem może być głośna sprawa giełdy kryptowalut FTX, która upadła w listopadzie 2022 r. (choć w obrocie mówiło się o niej jako o jednej z bardziej wiarygodnych na rynku).

Po pierwsze, MiCA ma nakładać na podmioty rynku kryptoaktywów obowiązki mające na celu spełnienie wymogów skrojonych na miarę ery cyfrowej, gwarantujących pewność prawa i obrotu w omawianym obszarze. Innymi słowy, MiCA ureguluje obszary dotychczas prawnie niezagospodarowane w odniesieniu do obrotu kryptoaktywami, w tym m.in.:

  1. obowiązek optymalnego zarządzania płynnością przez emitentów,
  2. ustalenie odpowiednich wymogów kapitałowych dla emitentów dokonujących emisji tokenów danej kategorii,
  3. nadzór publiczny nad wykonywaną działalnością rynkową,
  4. wymogi dotyczące uzyskania zezwolenia na publiczne oferowanie tokenów oraz na ubieganie się o dopuszczenie aktywów do obrotu na platformie obrotu (z zastrzeżeniem wskazanych w MiCA wyjątków),
  5. zakaz wyłączenia odpowiedzialności cywilnej emitenta w przypadku braku bądź wadliwego spełnienia nowych, rygorystycznych obowiązków informacyjnych.

Po drugie, MiCA ma wprowadzić klasyfikację różnicującą podstawowe kategorie tokenów (tokeny użytkowe, tokeny powiązane z aktywami oraz tokeny będące pieniądzem elektronicznym), jak i ich podkategorie (znaczące tokeny powiązane z aktywami i znaczące tokeny będące pieniądzem elektronicznym). Zależnie od przynależności do danej kategorii, będącej pochodną stopnia wymaganej ostrożności i nadzoru, do danych tokenów i czynności z nimi związanych będziemy stosować inne rygory.

Przepisy projektu rozporządzenia MiCA różnicują warunki emisji i obrotu kryptoaktywami uwzględniając poziom ryzyka, jaki te aktywa mogą powodować, w tym dla stabilności i polityki finansowej państwa, przewidując najbardziej rygorystyczne zasady w odniesieniu do tokenów będących pieniądzem elektronicznym (e-money tokens).

E-money token

Token będący pieniądzem elektronicznym jest w rozumieniu art. 3 ust. 1 MiCA kryptoaktywem, które ma utrzymywać stałą wartość poprzez odniesienie do wartości jednej oficjalnej waluty fiducjarnej, będącej prawnym środkiem płatniczym, wyemitowanej przez bank centralny danego państwa lub inny organ monetarny. Stanowi on zatem w ogólnym znaczeniu cyfrowy nośnik reprezentacji wartości pieniężnej. Funkcja takich kryptoaktywów jest bardzo podobna do funkcji pieniądza elektronicznego w rozumieniu art. 2 pkt 2 dyrektywy Parlamentu Europejskiego i Rady 2009/110/WE [4] i tak jak pieniądz elektroniczny, takie kryptoaktywa będą mogły stanowić elektroniczne substytuty monet oraz banknotów, które prawdopodobnie będą mogły być wykorzystywane do dokonywania płatności lub wymiany. Ze względu na ścisły związek tokenu z walutą fiat powstała konieczność objęcia tokenów będących pieniądzem elektronicznym szczególną ochroną, możliwie zbliżoną do ochrony realnego pieniądza.

Szczególna ochrona obrotu tymi kryptoaktywami wiąże się przede wszystkim z nadaniem szczególnych uprawnień inwestorom. Szczególną uwagę w tym kontekście należy zwrócić na przyjmowane przez projektowane rozporządzenie rozwiązanie, zgodnie z którym, na wniosek posiadacza tokenów będących pieniądzem elektronicznym, emitent będzie zobowiązany w dowolnym momencie, bez ponoszenia przez posiadacza dodatkowych kosztów i po wartości nominalnej wykupić wartość pieniężną tokenów posiadanych przez ich posiadacza. Co istotne, zabronione będzie również naliczanie przez emitentów oraz pośredników w obrocie kryptoaktywami odsetek lub przyznawanie jakichkolwiek innych korzyści związanych z posiadaniem tokenów omawianej kategorii.

Wymogi stawiane emitentom e-money tokens – dokument informacyjny

Mając na uwadze opisaną wyżej specyfikę tokenów będących pieniądzem elektronicznym, projekt MiCA stawia ich emitentom trzy kluczowe warunki dla dopuszczenia tych kryptoaktywów do obrotu. Są to:

  1. posiadanie zezwolenia na prowadzenie działalności jako instytucja kredytowa lub instytucja pieniądza elektronicznego,
  2. sporządzenie dokumentu informacyjnego w zgodzie z postanowieniami rozporządzenia (tzw. whitepaper),
  3. dokonanie notyfikacji adresowanej do organu nadzoru (w formie przekazania właściwemu organowi projektu whitepaper na co najmniej 20 dni przed datą jego publikacji).

Sama koncepcja dokumentu informacyjnego (whitepaper) dla praktyki obrotu nie jest niczym nowym, niemniej na mocy postanowień MiCA ma on zyskać konkretny kształt, którego niedochowanie może rodzić poważne konsekwencje po stronie emitenta.

I tak, dokonując oferty publicznej nabycia tokenów będących pieniądzem elektronicznym lub ubiegając się o dopuszczenie ich do obrotu na platformie obrotu, emitent będzie wprost zobowiązany do przekazania draftu dokumentu informacyjnego odpowiedniemu organowi nadzoru na 20 dni przed datą jego publikacji, a następnie opublikowania go na swojej stronie internetowej. Szczegółowy zestaw danych, które mają być tam zawarte, określa załącznik nr 3 do projektowanego rozporządzenia – pośród nich znaleźć można m.in.: dane emitenta (w tym dotyczące jego kondycji finansowej), informacje o samym tokenie oraz technologii, na której oparte jest jego funkcjonowanie, informacje o prawach i obowiązkach związanych z takimi tokenami, szczegółowe informacje w zakresie ryzyka związanego z taką inwestycją, jak również informacje o przysługującym posiadaczom prawie wykupu tokenów w dowolnym momencie po wartości nominalnej oraz o warunkach takiego wykupu.

Jednocześnie wszystkie informacje zawarte w whitepaper będą musiały być przedstawione w sposób rzetelny, jasny, niewprowadzający w błąd, bez pominięć, a to wszystko przy zachowaniu zwięzłej i przystępnej formy dla potencjalnego posiadacza tokenów.

Weryfikacją dokumentu informacyjnego zajmie się właściwy dla danego państwa członkowskiego organ nadzoru, który zostanie wyposażony w wachlarz uprawnień nadzorczych względem emitentów, które będzie mógł aktywować m. in. w przypadku, gdy dokument informacyjny nie będzie spełniał wymagań MiCA. Organ nadzoru będzie wówczas uprawniony do żądania modyfikacji dokumentu informacyjnego, do żądania zawieszenia na okres do 30 dni lub wstrzymania oferty publicznej e-money tokenów w przypadku istnienia uzasadnionego podejrzenia, że doszło lub może dojść do naruszenia MiCA. Organ nadzoru będzie mógł również nałożyć na emitenta karę administracyjną w przypadku, gdy emitent będzie się posługiwał dokumentem informacyjnym sprzecznym z wymogami rozporządzenia.

Na marginesie, w ramach ciekawostki, można wskazać na rozwiązanie przewidziane w projektowanym art. 46 ust. 7 MiCA. Otóż dopuszcza się w nim sporządzenie dokumentu informacyjnego w języku urzędowym macierzystego państwa członkowskiego lub w języku zwyczajowo przyjętym w sferze finansów międzynarodowych – a zatem po angielsku (o czym mowa w pkt 14a preambuły projektu rozporządzenia). Użycie spójnika „lub” wskazuje na możliwość wyboru jednej z tych opcji. Można zatem wyobrazić sobie przygotowanie whitepaper wyłącznie po angielsku przez polskiego emitenta. W takim przypadku, gdyby posiadacz wyemitowanego w ten sposób tokenu doznał jakiegoś uszczerbku, dochodząc swoich roszczeń mógłby powoływać się także na to, że dokument informacyjny nie był dla niego zrozumiały z przyczyn językowych. Niemniej, rozważania te mają charakter teoretyczny, bowiem korzystając z doświadczeń w zakresie reprezentacji różnych podmiotów w postępowaniach przed KNF można przyjąć, że, o ile w danym stanie faktycznym nie występowałby jakikolwiek czynnik uzasadniający sporządzenie whitepaper w języku innym niż polski, organ nadzoru nie dopuściłby do przeprowadzenia oferty publicznej w oparciu o tak sporządzony dokument wykorzystując posiadane uprawnienia nadzorcze uznawszy dokument za sprzeczny z wymogiem rzetelności i jasności (przynajmniej z punktu widzenia obecnego poziomu rozwoju polskiego rynku).

Roszczenie posiadacza e-money tokens wobec emitenta

W myśl art. 47 ust. 1 MiCA, w przypadku naruszenia przepisów regulujących obowiązki informacyjne emitenta, tj. w przypadku, gdy informacje zawarte w whitepaper lub w jego aktualizacji będą niekompletne, nieprawdziwe, niejasne lub będą wprowadzać w błąd, posiadaczom tokenów będących pieniądzem elektronicznym przysługiwać będzie roszczenie odszkodowawcze przeciwko emitentowi lub jego organowi zarządzającemu.

Na gruncie polskiego prawa próba dochodzenia roszczeń względem podmiotów zaangażowanych w emisję i obrót kryptoaktywami teoretycznie jest możliwa już teraz – na gruncie przepisów ogólnych Kodeksu cywilnego. „Teoretycznie”, ponieważ – w dużym uproszczeniu – trudno obecnie powiedzieć:

  1. kto miałby odpowiadać (a zatem komu przysługuje legitymacja bierna),
  2. jaki dokładnie charakter ma relacja emitenta z nabywcą kryptoaktywa (jest to jakiś rodzaj zobowiązania cywilnoprawnego, jednak niejasna jest jego dokładna treść, a w konsekwencji – przedmiot, świadczenia i obowiązki z nim związane, co utrudnia skorzystanie z art. 471 k.c. jako podstawy odpowiedzialności) oraz
  3. czy na gruncie takiej relacji może dojść do deliktu (a jeśli tak, to do jakiego) w rozumieniu art. 415 k.c., skoro nie ma przepisów określających obowiązki emitenta – nie ma zatem jednoznacznego przedmiotu bezprawnego zachowania, czyli naruszenia będącego czynem niedozwolonym.

Przywołany wyżej przepis MiCA wyeliminuje – przynajmniej częściowo – wskazane wątpliwości. Po pierwsze, pod rządami nowych przepisów pojawi się podmiot odpowiedzialny w postaci emitenta (będącej nim osoby prawnej) lub jego organu zarządzającego, wyznaczonego zgodnie z prawem krajowym (szeroko zdefiniowanego w art. 3 ust. 1 pkt 18 MiCA). Po drugie, choć nadal relacja kontraktowa (zobowiązaniowa) między emitentem a posiadaczem tokenu nie będzie jednoznaczna, to stosunkowo jasne staną się obowiązki emitenta (których naruszenie będzie deliktem), a inwestorzy zyskają podstawę prawną, w oparciu o którą będą mogli konstruować powództwo cywilne.

Rozpoznając roszczenia posiadaczy e-money tokens, sąd krajowy niewątpliwie będzie szukał analogii do już funkcjonujących przepisów i wypracowanej na ich tle praktyki. Z dużą dozą prawdopodobieństwa (zważywszy, że emitent tokenów będących pieniądzem elektronicznym będzie w reżimie MiCA instytucją finansową) można przyjąć, że poszukiwania tej analogii zaprowadzą właśnie do badania relacji między podmiotami na rynku finansowym. W relacjach tych bowiem są określone wymogi informacyjne, których naruszenie wiąże się z odpowiedzialnością w różnych postaciach. Takich regulacji, do których mogą odwoływać się sądy badając roszczenia nabywców tokenów, jest co najmniej kilka – w szczególności uwagę zwracają:

  1. art. 98 ust. 1 ustawy o ofercie publicznej [5], mówiący o odpowiedzialności za zgodność ze stanem faktycznym informacji zamieszczanych m.in. w prospekcie emisyjnym i memorandum informacyjnym;
  2. art. 24 ust. 2 pkt 4 ustawy o ochronie konkurencji i konsumentów [6], wskazujący na misseling, tj. m.in. proponowanie konsumentom nabycia usług finansowych, które nie odpowiadają potrzebom tych konsumentów lub proponowanie nabycia tych usług w sposób nieadekwatny do ich charakteru;
  3. art. 5 i art. 12 ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym [7], które przewidują określone roszczenia w przypadku wprowadzenia konsumenta przez przedsiębiorcę w błąd, w tym co do cech danego produktu i związanych z nim ryzyk.

Korzystając z doświadczenia w procesach cywilnych, w których sądy krajowe rozpoznają zarzuty oparte na ww. przepisach, należy zwrócić szczególną uwagę na trzy aspekty – komu przysługuje roszczenie projektowane w ramach MiCA, jakie przesłanki należy wykazać i jak będzie kształtował się ciężar dowodu.

Komu ma przysługiwać roszczenie? Projekt rozporządzenia posługuje się w obecnym kształcie pojęciem „holder”. Zakres przedmiotowego pojęcia nie został ograniczony tak, jak pojęcie „retail holder” (posiadacz detaliczny) wyłącznie do inwestorów posiadających de facto status konsumenta (zgodnie z analogicznym rozumieniem przyjętym na gruncie przepisów o ochronie konsumentów). Legitymacja czynna ma zatem charakter bardziej ogólny – wystarczy być posiadaczem tokenu i nie trzeba spełniać dalej idących kryteriów (przy czym pojęcie „posiadacza” należy rozumieć jako podmiot, któremu przysługują prawa z tokenu, mającego wirtualny charakter). Ogólny charakter legitymacji czynnej określonej w MiCA przypomina zatem najbardziej art. 98 ust. 1 ustawy o ofercie publicznej.

Jakie przesłanki należy wykazać? Roszczenie ma mieć charakter odszkodowawczy, a w przekonaniu autorów niniejszego tekstu – odpowiedzialność ta będzie kwalifikowana jako deliktowa. Posiadacz zyskuje bowiem uprawnienie do kompensacji szkody wynikającej z czynu niedozwolonego w postaci nienależytego wykonania bądź niewykonania obowiązków wynikających z MiCA przez emitenta. Podobnie postrzega się w orzecznictwie odpowiedzialność wynikającą z przywoływanego powyżej art. 98 ust. 1 ustawy o ofercie publicznej [8], do którego projektowany art. 47 ust. 1 MiCA wykazuje największe podobieństwo.

W konsekwencji przesłanki, od których będzie zależała odpowiedzialność emitenta lub jego organu zarządzającego, to bezprawne i zawinione zdarzenie sprawcze (w postaci naruszenia obowiązków informacyjnych wynikających z MiCA), wystąpienie i wysokość szkody prawnie relewantnej oraz związek przyczynowo-skutkowy pomiędzy zdarzeniem sprawczym a wskazaną szkodą. Rozporządzenie przewiduje jeszcze jedną, dodatkową przesłankę, a zatem wpływ naruszenia na decyzję posiadacza tokenu o jego kupnie, sprzedaży lub wymianie.

Wypada również zauważyć, że reżimy odpowiedzialności odszkodowawczej nie mają charakteru rozłącznego i w realiach konkretnego przypadku nie można wykluczyć zbiegu podstaw odpowiedzialności deliktowej i kontraktowej (art. 443 k.c.). Nabycie tokenu (inwestor stanie się jego posiadaczem) jest swoistą kontraktową czynnością prawną, a ta – zgodnie z art. 56 k.c. – wywołuje nie tylko skutki w niej wyrażone, lecz również te, które wynikają z ustawy (rozumianej jako wszelkie obowiązujące powszechnie normy prawne, a więc także regulacje MiCA po ich wejściu w życie). W konsekwencji emitent, w zakresie czynności związanych z emisją tokenów oraz ich wprowadzaniem do obrotu będzie zobligowany do wypełnienia obowiązków w zakresie nakładanym przez rozporządzenie i obowiązki te składać się będą na treść jego zobowiązania. Nie można zatem wykluczyć kwalifikacji naruszenia wymogów MiCA jako spełnienia jednej z przesłanek odpowiedzialności kontraktowej.

Na kim spoczywa ciężar dowodu? Jest to najistotniejsze pytanie z perspektywy przebiegu postępowania cywilnego. Projektowany art. 47 ust. 2 MiCA wskazuje obecnie, że to na posiadaczu tokenów spoczywać będzie ciężar przedstawienia dowodów, iż:

  1. emitent naruszył wymogi określone w art. 46 MiCA oraz
  2. miało to wpływ na decyzję posiadacza o kupnie, sprzedaży lub wymianie tokenów.

Innymi słowy, samo rozporządzenie nie będzie przesądzać, że to posiadacz tokenów ma wykazać ww. wpływ (który stanowi odrębną, dodatkową przesłankę tego reżimu odpowiedzialności) oraz – posługując się terminologią reżimu odpowiedzialności deliktowej – bezprawne zachowanie emitenta kryptoaktywów. Na gruncie tego reżimu pozostaje jeszcze wina, wystąpienie i wysokość szkody oraz związek przyczynowo-skutkowy.

W niektórych przypadkach przepisy szczególne odwracają ciężar dowodu, np. co do przesłanki winy w art. 98 ust. 1 ustawy o ofercie publicznej lub co do nieuczciwości danej praktyki rynkowej w art. 13 ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym – wtedy to pozwany musi bronić się przed zarzutami i udowodnić, że nie ponosi winy albo że stosowana praktyka jest jednak uczciwa. W odniesieniu do reżimu określanego w projektowanym rozporządzeniu takiego odwrócenia ciężaru dowodu nie będzie, w związku z czym, należy przyjąć, że to powód (poszkodowany posiadacz tokenu) będzie musiał udowodnić także resztę przesłanek, w zgodzie z przepisami ogólnymi o ciężarze dowodu, tj. art. 6 k.c. oraz art. 232 k.p.c.

Podsumowanie

Jesteśmy obecnie świadkami istotnych zmian w dwóch, ściśle powiązanych ze sobą sferach. Z jednej strony obserwujemy gwałtowne przemiany rynku, coraz powszechniejsze wykorzystywanie nowoczesnych, cyfrowych technologii w świecie finansów, w tym wzrost znaczenia oraz popularyzację emisji i obrotu kryptoaktywami. Z drugiej strony ewoluuje również – powolnie, acz konsekwentnie – świadomość inwestorów i umiejętność dochodzenia swoich racji względem instytucji finansowych (na coraz bardziej rozwiniętym rynku).

Jednocześnie, ewentualne spory częściej niż kiedyś eskalują i przeradzają się w postępowanie sądowe – pozywane są banki, domy maklerskie czy też towarzystwa funduszy inwestycyjnych. Ma na to wpływ wiele czynników, w tym głośne spory na gruncie tzw. „kredytów frankowych” czy obligacji korporacyjnych, z których zobowiązania nie zostały zrealizowane w przewidzianym terminie.

Różne podmioty, idąc z duchem czasu i kierując się potrzebami inwestorów, rozważają zaangażowanie w rynek kryptoaktywów, jednak jego nieuregulowanie i brak transparentności mogą zniechęcać zainteresowanych. Naprzeciw temu wychodzą instytucje unijne, projektując niezbędne rozwiązania – zapewniające prawidłowe i stabilne funkcjonowanie rynku oraz ochronę inwestorów.

Rozporządzenie MiCA, a co za tym idzie – uregulowanie obrotu tokenami – jest niewątpliwie potrzebne. Niemniej, zważywszy na określenie stosunkowo precyzyjnych wymogów informacyjnych oraz ustanowienie szczególnej podstawy roszczeń cywilnoprawnych, stanowi również źródło pewnych ryzyk po stronie podmiotów, które podejmą się emisji kryptoaktywów.

O ryzykach tych, które mogą przerodzić się w postępowania sporne, warto myśleć już na etapie tworzenia dokumentu informacyjnego (whitepaper), natomiast w razie sporu – korzystać z doświadczeń zebranych na gruncie stosunkowo podobnych rozwiązań, już obecnych i obrosłych praktyką w polskim porządku prawnym. Zespół kancelarii SCPG może pomóc w obydwu przypadkach – w razie pytań lub wątpliwości jesteśmy do Państwa dyspozycji.

 

Przypisy:

[1] Najbardziej aktualne brzmienie projektu MiCA jest dostępne pod adresem: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_13198_2022_INIT&from=EN Na dzień publikacji niniejszego wpisu najnowsza wersja projektu nie ma jeszcze polskiej wersji językowej, stąd też autorzy analizowali wersję angielską oraz polską projektu zawnioskowanego, sprzed jego rozszerzenia.

[2] https://www.consilium.europa.eu/pl/press/press-releases/2022/11/28/digital-finance-council-adopts-digital-operational-resilience-act/.

[3] https://www.coindesk.com/policy/2023/01/17/european-union-postpones-mica-vote-to-april/.

[4] Dyrektywa Parlamentu Europejskiego i Rady 2009/110/WE z dnia 16 września 2009 r. w sprawie podejmowania i prowadzenia działalności przez instytucje pieniądza elektronicznego oraz nadzoru ostrożnościowego nad ich działalnością, zmieniająca dyrektywy 2005/60/WE i 2006/48/WE oraz uchylająca dyrektywę 2000/46/WE.

[5] Ustawa z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych (tj. Dz.U. z 2022 r. poz. 2554).

[6] Ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (tj. Dz.U. z 2021 r. poz. 275).

[7] Ustawa z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym (tj. Dz.U. z 2017 r. poz. 2070).

[8] Por. m.in. wyrok Sądu Najwyższego z dnia 23 czerwca 2020 r., sygn. akt V CSK 506/18, w którym stwierdzono że odpowiedzialność osób wskazanych w art. 98 ust. 1 ustawy o ofercie publicznej „ma charakter deliktowy, jej podstawą jest wina, którą ustawodawca nakazuje domniemywać (art. 98 ust. 1 OfertaPublU in fine), a osobami mogącymi ją ponosić są również członkowie zarządu emitenta, na których spoczywa obowiązek dbałości o rzetelne realizowanie obowiązków informacyjnych przez kierowaną spółkę.”.

 

Napisz do autorów:

Szymon Jelonek SPCG

Szymon Jelonek

radca prawny
Associate

Igor Sobieski SPCG

Igor Sobieski

prawnik
Junior Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Czy Rozporządzenie Pilotażowe DLT jest szansą dla polskich firm inwestycyjnych?

Czy Rozporządzenie Pilotażowe DLT jest szansą dla polskich firm inwestycyjnych?

Czytaj: 7 min

Przepisy Rozporządzenia Pilotażowego DLT [1] („Rozporządzenie”) zaczną być stosowane od dnia 23 marca 2023 r., a zważywszy na fakt, że mamy już IV kwartał 2022 r. warto zastanowić się nad tym, czy przepisy te niosą ze sobą prawdziwe szanse dla polskiego rynku kapitałowego, czyli jakie konkretnie możliwości otworzą przed polskimi firmami, a w efekcie jakie nowe usługi domy maklerskie będą mogły zaproponować swoim klientom zwłaszcza jeśli do dnia pełnej ich skuteczności w polskim prawie nie pojawią się inne zmiany, które mogłyby zwiększyć możliwość zastosowania technologii DLT na rynku kapitałowym.

Nowa definicja instrumentu finansowego

Przepisy Rozporządzenia m.in. zmieniają katalog instrumentów finansowych zawarty w dyrektywie w sprawie rynków instrumentów finansowych [2] (”MiFID II”), w taki sposób, że po ich wejściu w życie, obejmie on swoim zakresem również instrumenty finansowe emitowane z wykorzystaniem technologii DLT, a więc takie:

  • które mieszczą się w katalogu instrumentów finansowych zawartym w tej dyrektywie oraz
  • z których prawa powstały poprzez zapisanie w technologii rozproszonych rejestrów („DLT”), w tym blockchain.

Takie podejście do uwzględnienia w katalogu instrumentów finansowych również aktywów kreowanych w technologii DLT, nie wyłącza jednocześnie z tego katalogu aktywów emitowanych „tradycyjnie” i następnie tokenizowanych (tokenizacja wtórna), pod warunkiem jednak, że powstałe w ten sposób instrumenty (prawa), będą mogły zostać zakwalifikowane do katalogu instrumentów finansowych zawartego w MiFID II, a więc, że da się uznać przenoszone pod postacią tokenów prawa za któryś z wymienionych w tym katalogu instrumentów finansowych (w zależności od sposobu tokenizacji może to być odpowiednik stokenizowanego instrumentu – o ile doszło do prawnego unicestwienia instrumentu w jego pierwotnej formie, lub np. derywat – jeżeli instrument podstawowy, bazowy, w dalszym ciągu istnieje, a tokenizacji uległy jedynie pewne prawa do tego instrumentu).

Na marginesie jedynie wskazujemy, że aktywa, które nie będą mogły zostać uznane za instrument finansowy w rozumieniu przepisów MiFID II a będą emitowane i rejestrowane w technologii DLT objęte będą co do zasady zakresem projektowanego obecnie rozporządzenia MiCA [3], którego wdrożenie planowane jest na rok 2024 (obecnie projekt jest w Parlamencie Europejskim, gdzie przygotowywana jest opinia po pierwszym czytaniu, w projekcie przewidziany jest dostosowawczy okres 18-miesięczny, którego bieg rozpocznie się już po wejściu w życie aktu).

Rozporządzenie a implementacja przepisów MiFID II

Ze względu na to, że MiFID II jest aktem wymagającym dla swej pełnej skuteczności implementacji, również opisana powyżej zmiana będzie musiała zostać wdrożona do krajowych porządków prawnych. W tym miejscu powstaje pytanie, czy brak implementacji do polskiego prawa zmiany definicji instrumentu finansowego w dniu rozpoczęcia stosowania Rozporządzenia (a więc w dniu 23 marca 2023 r.) nie zaburzy funkcjonowania tych przepisów w praktyce, czy też organ nadzoru, czyli KNF, ale też organy skarbowe (przepisy podatkowe również posługują się pojęciem „instrumenty finansowe”) będą uwzględniać przepis dyrektywy niezaimplementowanej w procesie stosowania prawa, co umożliwiłoby właściwe funkcjonowanie tych przepisów i w efekcie korzystanie z nich nawet pomimo braku wprowadzenia niezbędnych zmian dostosowawczych w przepisach krajowych.

Przyjmując, że po dniu 23 marca przyszłego roku Rozporządzenie będzie działać w sposób niezaburzony, firma inwestycyjna posiadająca zezwolenie na organizowanie MTF będzie uprawniona do organizowania DLT MTF, przy czym sam system obrotu organizowany zgodnie z tymi przepisami będzie mógł korzystać z pewnych preferencji, o ile organizator obrotu zwróci się o zgodę na ich zastosowanie, a organ nadzoru takiej zgody udzieli. Niewątpliwie jedną z najatrakcyjniej wyglądających preferencji jest możliwość zorganizowania systemu obrotu, którego uczestnikami mogą być sami inwestorzy bez pośrednictwa firmy inwestycyjnej, czy banku (pod warunkiem spełnienia pewnych wymogów, jakie organizator obrotu powinien wprowadzić, zapewniających bezpieczeństwo obrotu).

Jakie instrumenty finansowe będą dopuszczone do obrotu przy zastosowaniu technologii DLT?

Co jednak będzie mogło być przedmiotem obrotu w ramach DLT MTF? Do obrotu będą mogły być dopuszczane wyłącznie instrumenty finansowe emitowane, przenoszone i rejestrowane z wykorzystaniem technologii DLT, które spełnią kryteria ilościowe określone w Rozporządzeniu. Już samo jednak Rozporządzenie zawęża zakres przedmiotowy instrumentów finansowych do:

  • akcji,
  • obligacji oraz papierów dłużnych,
  • kwitów depozytowych (na akcje spełniające kryteria ilościowe),
  • instrumentów rynku pieniężnego, z wyłączeniem instrumentów zawierających wbudowany instrument pochodny lub innych uniemożliwiających klientowi zrozumienie istoty ryzyka,
  • tytułów uczestnictwa instytucji zbiorowego inwestowania typu UCITS.

A więc przede wszystkim, abstrahując od jakichkolwiek kryteriów ilościowych, uwzględniając wyłącznie istotę instrumentu i związane z nim ryzyko, Rozporządzenie wyłącza z możliwości organizowania DLT MTF:

  • instrumenty pochodne (derywaty) oraz
  • tytuły uczestnictwa alternatywnych funduszy inwestycyjnych (na rynku polskim: certyfikaty inwestycyjne emitowane przez fundusze inwestycyjne zamknięte oraz jednostki uczestnictwa specjalistycznych funduszy inwestycyjnych otwartych).

W celu ustalenia, które z kategorii instrumentów finansowych przewidzianych w Rozporządzeniu mogą być przedmiotem DLT MTF organizowanego w Polsce (pomijamy przy tym rozważania dotyczące instrumentów finansowych emitowanych/wystawianych na podstawie prawa obcego) niezbędne jest przeanalizowanie przepisów regulujących zasady emisji, rejestracji praw z poszczególnych instrumentów finansowych w celu ustalenia dopuszczalności zastosowania technologii DLT, czyli zastosowania w praktyce przepisów Rozporządzenia.

I tak, zauważyć należy przede wszystkim, że:

  • akcje [4]: zgodnie z przepisami KSH, możliwe jest prowadzenie rejestru akcjonariuszy w postaci elektronicznej, która może mieć formę rozproszonej i zdecentralizowanej bazy danych (zgodnie z zamysłem ustawodawcy przepisy wprowadzone do KSH miały umożliwiać wykorzystywanie technologii blockchain), co więcej, rejestr akcjonariuszy ma charakter rejestru praw i może być prowadzony w szczególności przez firmę inwestycyjną, przy czym nie jest możliwe jednoczesne rejestrowanie akcji spółki w rejestrze akcjonariuszy oraz w systemie depozytowym papierów wartościowym organizowanym przez Krajowy Depozyt Papierów Wartościowych S.A. („KDPW”) – niespełniającym kryteriów technologii DLT, a więc nie jest możliwe organizowanie DLT MTF dla spółki publicznej;
  • obligacje korporacyjne: zgodnie z przepisami ustawy z dnia 15 stycznia 2015 r. o obligacjach, obligacje nie mają formy dokumentu i podlegają zarejestrowaniu w depozycie papierów wartościowych prowadzonym na zasadach określonych w ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi („Ustawa o Obrocie”), a więc w scentralizowanym systemie rejestracji organizowanym przez KDPW – niespełniającym kryteriów technologii DLT (zmiany w zakresie emisji i rejestracji obligacji wprowadzone w polskim porządku prawnym w 2019 r.);
  • obligacje skarbowe: zgodnie z przepisami rozporządzeń Ministra Finansów w sprawie warunków emisji poszczególnych typów obligacji skarbowych, wydanych na podstawie ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, obligacje skarbowe nie mają formy dokumentu i podlegają zarejestrowaniu w scentralizowanym systemie rejestracji organizowanym przez KDPW, co wyłącza możliwość zastosowania technologii DLT dla tego typu skarbowych papierów wartościowych;
  • bony skarbowe oraz bony pieniężne: bony skarbowe emitowane przez Ministra Finansów działającego w imieniu Skarbu Państwa oraz bony pieniężne emitowane przez Narodowy Bank Polski („NBP”) nie podlegają ograniczeniom co do sposobu emisji i rejestracji wynikającym z przepisów prawa powszechnie obowiązującego, jakkolwiek obecna praktyka w tym zakresie wskazuje, że naturalnym wyborem dotychczas pozostawała scentralizowana rejestracja w systemie organizowanym przez NBP, pozostaje to jednak w dalszym ciągu w gestii emitenta, co w zestawieniu z deklaracjami zawartymi w przyjętej przez Radę Ministrów 1 października 2019 r. Strategii Rozwoju Rynku Kapitałowego może oznaczać możliwość zmiany tej praktyki w niedalekiej przyszłości;
  • listy zastawne: zgodnie z ustawą z dnia 29 sierpnia 1997 r. o listach zastawnych i bankach hipotecznych, list zastawny może nie mieć formy dokumentu (za wyjątkiem papierów tzw. wysokonominałowych), aczkolwiek zdematerializowane podlegają rejestracji w scentralizowanym systemie rejestracji organizowanym przez KDPW niespełniającym kryteriów technologii DLT;
  • kwity depozytowe: przepisy Ustawy o Obrocie definiując ten typ papierów wartościowych, nie odnoszą się do formy ani zasad emisji nie ograniczają sposobu emisji ani w szczególności nie wyłączają możliwości wykorzystania technologii DLT;
  • instrumenty rynku pieniężnego (inne niż obligacje): pojęcie to jest szerokie, ale obejmuje w szczególności (oprócz już omówionych powyżej) (i) krótkoterminowe instrumenty dłużne przedsiębiorstw, znajdujące się w sferze nieuregulowanej, a więc pozostawiającej swobodę wyboru drogi rejestracji danego instrumentu (nie wyłączając więc technologii DLT), (ii) uregulowane w ustawie bankowe papiery wartościowe (np. akcept bankierski), wobec których – w myśl przepisów ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe – rejestracja w scentralizowanym systemie jest jedynie opcją pozostawioną emitentowi, co umożliwia prowadzenie rejestru takich instrumentów – również przy zastosowaniu technologii DLT;
  • tytuły uczestnictwa funduszy typu UCITS: zgodnie z przepisami ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, uczestnikiem otwartego funduszu inwestycyjnego jest ten, kto jest wpisany do rejestru funduszu, prowadzonego przez fundusz na terytorium RP (w praktyce czynność ta zlecana jest podmiotowi trzeciemu), przepisy nie precyzują formy rejestru ani sposobu jego prowadzenia w sposób uniemożliwiający zastosowanie w tym przypadku technologii DLT – ze względu jednak na fakt, że jednostki uczestnictwa w funduszach inwestycyjnych otwartych są niezbywalne, nie jest możliwe zorganizowanie obrotu wtórnego tymi instrumentami finansowymi.

Reasumując, wydaje się, że zgodnie z obowiązującymi obecnie przepisami krajowymi, istnieje stosunkowo szeroka możliwość skorzystania przez firmy inwestycyjne z rozwiązań przewidzianych w Rozporządzeniu (abstrahując przy tym od oceny przygotowania rynku od strony infrastruktury i podaży instrumentów finansowych, czyli zainteresowania od strony emitenta). 

Jakie wymogi musi spełnić firma inwestycyjna?

Podkreślenia jednocześnie wymaga, że w każdym z przypadków, w których krajowe przepisy nie wyłączają wykorzystania technologii DLT a nawet wprost ją dopuszczają, możliwość jej wykorzystania w praktyce w dużej mierze będzie zależna od zastosowanego mechanizmu konsensusu, tj. zasad i procedur regulujących zatwierdzanie kolejnych informacji dodawanych do łańcucha danych gwarantujące efektywność systemu pomimo zastosowanej decentralizacji. Mechanizm konsensusu powinien zapewniać stabilność oraz pewność co do prawidłowości wprowadzanych informacji. Tu zgodzić się należy z często podkreślanym w literaturze poglądem, że rejestry budowane w technologii DLT na omawiane cele, ze względu na wymogi, jakim by podlegały, w praktyce nie mogłyby być w całości zdecentralizowane, co oznacza, iż musiałyby wymagać, aby uczestnicy spełniali szereg warunków dostępu określanych przez podmiot pełniący funkcję „centralnego administratora”.

Kolejną wymagającą podkreślenia kwestią jest wymóg zapewnienia przez organizatora DLT MTF rozliczania transakcji zawieranych w tym systemie. Z zastrzeżeniem prawa emitenta do wyboru izby rozliczeniowej, zgodnie z przepisami Ustawy o Obrocie, wykonywanie czynności w zakresie prowadzenia systemu rejestracji instrumentów finansowych niebędących papierami wartościowymi ani instrumentami pochodnymi, które zostały wprowadzone do obrotu na MTF jest zadaniem wyłącznie KDPW (może być ewentualnie powierzone przez KDPW spółce zależnej tego podmiotu), a w przypadku prowadzenia rejestracji również dokonywanie rozrachunku w zakresie transakcji zawieranych w ramach MTF. Powyższe oznacza, że dla efektywnego zorganizowania DLT MTF, po dniu 23 marca 2023 r., zakładając brak zmian legislacyjnych na poziomie krajowym w omawianym obszarze do tego dnia, nawet w zakresie instrumentów finansowych, które mogą być emitowane i rejestrowane w technologii DLT, może się okazać niezbędne nawiązanie współpracy z KDPW, które musiałoby zapewnić takiemu systemowi obsługę w ramach systemu rejestrującego instrumenty finansowe DLT i rozliczającego transakcje zawierane w ramach DLT MTF, zorganizowanego jako DLT Settlement System (DLT SS). Choć oczywiście ponownie wskazujemy, że sposób interpretowania krajowych przepisów po 23 marca 2023 r. będzie w przeważającej mierze zależny od podejścia organów administracji, a w tym konkretnym przypadku – od KNF, wydaje się jednak, że przepis krajowy nie powinien blokować prawa do podejmowania (za zezwoleniem KNF) działalności w zakresie organizowania DLT SS przez podmioty inne niż KDPW, o ile takie zainteresowanie na rynku by wystąpiło.

Podsumowanie

Na zakończenie, jeszcze raz wskazujemy, że Rozporządzenie kwalifikuje na potrzeby stosowania tego aktu jako instrumenty finansowe DLT jedynie te spośród instrumentów finansowych (z zastrzeżeniem wyłączeń, o których mowa powyżej), które mogą być emitowane, przenoszone i rejestrowane z wykorzystaniem technologii DLT, a więc wyłącza możliwość zakwalifikowania na potrzeby jego stosowania instrumentów finansowych wyemitowanych w sposób „tradycyjny” i jedynie przenoszonych z użyciem technologii DLT (przypadków tzw. tokenizacji wtórnej – patrz wyjaśnienia powyżej). Takie jednak instrumenty finansowe będą w dalszym ciągu mogły być przedmiotem działalności firm inwestycyjnych na zasadach ogólnych, z tym jednak, że organizacja MTF podlegać będzie obligatoryjnej regule dematerializacji na zasadach określonych w Ustawie o Obrocie (instrumenty finansowe wprowadzone do obrotu na MTF muszą być rejestrowane w systemie organizowanym przez KDPW, a więc scentralizowanym, co wyklucza skorzystanie z technologii DLT).

Przypisy:

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/858 z dnia 30 maja 2022 r. w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru, a także zmiany rozporządzeń (UE) nr 600/2014 i (UE) nr 909/2014 oraz dyrektywy 2014/65/UE.

[2] Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE.

[3] Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniającego dyrektywę (UE) 2019/1937.

[4] Akcje w prostej spółce akcyjnej, zgodnie z przepisami Ustawa z dnia 15 września 2000 r. – Kodeks spółek handlowych nie mogą być przedmiotem obrotu zorganizowanego, czyli również DLT MTF (DLT MTF jest jedynie specyficzną formą obrotu definiowanego jako MTF, a więc obrotu zorganizowanego).

 

Napisz do autorów:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Igor Sobieski SPCG

Igor Sobieski

prawnik
Junior Associate

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Czytaj: 11 min

Postępujące zmiany technologicznie dynamicznie wpływają na rozwój szeroko rozumianego sektora finansowego, w tym jego konkurencyjność czy innowacyjność. Dynamika tego rozwoju rodzi jednak całkiem nowe zagrożenia i ryzyka dla inwestorów oraz konsumentów. Problemy te zauważa m.in. Komisja Europejska, która od paru lat prowadzi intensywne prace nad przyjęciem szeregu regulacji, mających na celu z jednej strony zidentyfikowanie ryzyk związanych z upowszechnieniem nowych technologii w sektorze finansowym, a z drugiej – nieblokowanie ich rozwoju.

Warto w szczególności śledzić aktywność unijnego ustawodawcy w zakresie pakietu regulacji tzw. finansów cyfrowych (digital finance package), opublikowanego przez Komisję Europejską w dniu 24 września 2020 r., oraz rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Rozporządzenie AI”). Pakiet regulacji finansów cyfrowych obejmował projekty następujących rozporządzeń:

  • rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru („Rozporządzenie pilotażowe DLT”) [1];
  • rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”) [2];
  • rozporządzenie w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”) [3].

Do tej pory zostało przyjęte jedynie Rozporządzenie pilotażowe DLT (w dniu 30 maja 2022 r.), które – zgodnie z art. 19 ust. 1 rozporządzenia – wejdzie w życie w dniu 19 czerwca 2022 r. Jednakże podmioty finansowe oraz organy nadzoru będą miały dostatecznie dużo czasu, aby przygotować się do regulacji, ponieważ Rozporządzenie pilotażowe DLT będzie stosowane od dnia 23 marca 2023 r. O założeniach Rozporządzenia pilotażowego DLT pisaliśmy na naszym blogu.

Na nieco wcześniejszym etapie są prace nad treścią Rozporządzenia DORA. W dniu 10 maja 2022 r. prezydencja Rady UE oraz Parlament Europejski osiągnęły wstępne porozumienie dotyczące tekstu Rozporządzenia DORA. Wstępne porozumienie musi zostać zatwierdzone przez Radę Unii Europejskiej oraz Parlament Europejski, a następnie rozpocznie się formalna procedura przyjęcia projektu. Podmioty finansowe będą zobowiązane do wdrożenia przepisów Rozporządzenia DORA w terminie 12 miesięcy od dnia wejścia omawianego aktu w życie (art. 56 ust. 2 Rozporządzenia DORA).

W przypadku Rozporządzenia MiCA postęp prac legislacyjnych nie jest już tak zaawansowany – wciąż trwają negocjacje treści tego aktu pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej. Znane są już jednak jego główne założenia, o których piszemy poniżej.

Ponadto sektor finansowy jest branżą, w której sztuczna inteligencja może mieć szerokie zastosowanie, np. do oceny zdolności kredytowej potencjalnego kredytobiorcy, wykorzystania botów do obsługi klienta bankowego czy na potrzeby przygotowywania zindywidualizowanych produktów ubezpieczeniowych w oparciu o dane oraz algorytmy sztucznej inteligencji. Dlatego podmioty finansowe powinny śledzić prace nad Rozporządzeniem AI. Projekt Rozporządzenia AI został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Propozycje tekstu kompromisowego Rozporządzenia AI opublikowała – w ramach prac legislacyjnych – słoweńska (29 listopada 2021 r.) [4] oraz francuska (13 stycznia 2022 r.) [5] prezydencja Rady Unii Europejskiej.

W dalszej części tekstu przedstawiamy naszą analizę podstawowych założeń Rozporządzenia DORA, Rozporządzenia MiCA oraz Rozporządzenia AI.

Rozporządzenie DORA

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów prawnych dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku Unii Europejskiej. Dotychczas państwa członkowskie, organy unijne (np. EBA lub EIOPA) oraz krajowe (np. UKNF) podejmowały różnego rodzaju próby opracowania kompleksowych wytycznych dla zarządzania ryzykami technologii informacyjno-telekomunikacyjnych („ICT„). Jednak te próby nie doprowadziły do wypracowania w ramach UE jednolitych standardów zarządzania wspomnianymi ryzykami. Niejednolity krajobraz regulacyjny utrudnia podmiotom finansowym świadczącym usługi w więcej niż jednym państwie członkowskim zachowanie zgodności z prawem. Odpowiedzią na ten problem ma być właśnie Rozporządzenie DORA, która wprowadza jednolite wymogi w tym zakresie. Nie oznacza to jednak, że polskie podmioty finansowe czeka rewolucja w podejściu do zarządzania ryzykiem ICT. Wytyczne określone w Rozporządzeniu DORA nie będą raczej nowością dla podmiotów regulowanych, ponieważ powielają niektóre wymogi regulacyjne wynikające z wytycznych opublikowanych dotychczas przez organy krajowe (np. wytyczne UKNF dotyczące zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, „komunikat chmurowy” [6],) lub organy unijne (np. wytyczne EBA w sprawie zarządzania ryzykami teleinformatycznymi oraz bezpieczeństwa [7], wytyczne EIOPA dot. systemu zarządzania oraz dot. bezpieczeństwa i zarządzania w zakresie ICT [8]).Jednak nawet jeśli dla polskich podmiotów finansowych wymogi przewidziane w Rozporządzeniu DORA to bardziej ewolucja niż rewolucja, to konieczna jest weryfikacja i dostosowanie wewnętrznych procedur do przepisów tego rozporządzenia.

Do jakich jednak podmiotów finansowych Rozporządzenie DORA będzie miało zastosowanie?

Zakres podmiotowy określa art. 2 ust. 1 Rozporządzenia DORA i obejmuje 20 różnych typów podmiotów. Należą do nich przede wszystkim podmioty regulowane na rynku UE, w tym m.in. banki, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i reasekuracji, dostawcy usług finansowania społecznościowego, tzn. platform crowdfundingowych), a z drugiej strony do zewnętrznych dostawców ICT. Istotne jest jednak, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu. Mianowicie, zgodnie z zasadą proporcjonalności obowiązki nałożone na podmioty finansowe różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego. Przykładowo tylko podmioty finansowe niebędące mikroprzedsiębiorstwami będą obowiązane do przeprowadzenia oceny ryzyka przy każdej większej zmianie infrastruktury sieci i systemów informatycznych (art. 7 ust. 3 DORA), czy też przeprowadzenia szczegółowej oceny ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT (art. 7 ust. 5 DORA). Ponadto niektóre obowiązki będą dotyczyć jedynie wybranych podmiotów, np. takich, które uznano za istotne i dojrzałe pod względem cyfrowym, będą zobowiązane do regularnego przeprowadzania testów penetracyjnych (art. 23 ust. 1 w zw. z motywem 35 DORA).

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA opierają się na pięciu „filarach”.

  1. Zarządzanie ryzykiem związanym ICT (art. 5-14 DORA).
    Podmioty finansowe mają m.in. obowiązek utworzenia i utrzymania odpornych systemów oraz narzędzi ICT, środków ochrony i zapobiegania ryzykom, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania i planów przywrócenia gotowości do pracy.
  2. Zgłaszanie incydentów związanych z ICT (art. 15-20 DORA).
    Podmioty finansowe będą zobowiązane do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich oraz zgłaszania do odpowiednich organów nadzoru (np. w Polsce – UKNF). Co istotne w tym kontekście, Rozporządzenie DORA ujednolica procedury zgłaszania incydentów ICT do organów nadzoru. Dotychczas procedury zgłaszania incydentów ICT wynikających z różnych aktów prawnych nie były ze sobą spójne i czytelne dla podmiotów finansowych w związku z różnymi wymogami, które w tym zakresie nakłada NIS, RODO czy PSD2.
  3. Testowanie operacyjnej odporności cyfrowej (art. 21-24 DORA).
    Rozporządzenie DORA zobowiązuje podmioty finansowe m.in. do przygotowania i aktualizacji programów testowania odporności cyfrowej oraz okresowego przeprowadzania zaplanowanych w programach testów penetracyjnych. Przepisy rozporządzenia precyzują też wymogi dla testerów oraz reguły wzajemnego uznawania wyników testów penetracyjnych w przypadku podmiotów finansowych działających w kilku państwach UE.
  4. Ryzyko ze strony zewnętrznych dostawców usług ICT (art. 25-39 DORA).
    Rozporządzenie DORA wprowadza również obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT współpracujących z podmiotami finansowymi, a także ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (art. 27 DORA). Co więcej kluczowi zewnętrzni dostawcy ICT dla podmiotów finansowych zostaną objęcia nadzorem organów finansowych (zasady uznania dostawcy za „kluczowego” określa 28 DORA).
  5. Wymiana informacji (art. 40 DORA).
    Rozporządzenie DORA umożliwia podmiotom finansowym zawieranie umów współpracy dotyczącej wymiany informacji i danych związanych z cyberzagrożeniami. Jak wskazano w motywie 30 Rozporządzenia DORA, wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń oraz umożliwia podmiotom finansowym skuteczne ograniczanie skutków incydentów ICT. Wobec braku wytycznych, które adresowałyby tę kwestię na szczeblu unijnym, wymiana informacji pomiędzy instytucjami finansowymi była do tej pory ograniczona (z uwagi np. na niepewności co do zgodności z RODO, przepisami antymonopolowymi). Wobec tego art. 40 Rozporządzenia DORA ma zachęcić podmioty finansowe do regularnej wymiany wiedzy na temat zagrożeń i luk bezpieczeństwa.

Poza zasadą proporcjonalności, inną ważną zasadą Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 4 ust. 2 DORA). W motywie 36 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 4 ust. 4 projektu Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.

Główne założenia Rozporządzenia DORA, wpływ na działalność podmiotów finansowych oraz opis usług SPCG związanych z wdrożeniem nowych regulacji znajdą Państwo w krótkiej broszurce dostępnej TUTAJ.

Rozporządzenie MiCA

Celem Rozporządzenia MiCA jest stworzenie w Unii Europejskiej jednolitych ram prawnych dla obrotu tzw. „kryptoaktywami”. Kryptoaktywa nie stanowią instrumentów finansowych ani pieniądza elektronicznego i w związku z tym nie podlegają obecnie spójnym regulacjom unijnym zapewniającym przejrzystość rynku, ochronę inwestora lub konsumenta (wyjątkiem są przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Zgodnie z projektem Rozporządzenia MiCA kryptoaktywa oznaczają cyfrowe odzwierciedlenie wartości lub praw, które można przenosić oraz przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej (art. 3 ust. 1 pkt 2) Rozporządzenia MiCA). Ustawodawca unijny wyróżnia przy tym 3 kategorie kryptoaktywów: i) tokeny powiązane z aktywami (asset-referenced tokens), ii) tokeny będące e-pieniądzem (e-money tokens) oraz iii) tokeny użytkowe (utility tokens). Rozporządzenie MiCA nie będzie miało zastosowania do kryptoaktywów, które kwalifikuje się jako instrumenty finansowe w rozumieniu dyrektywy MIFID II, pieniądz elektroniczny w rozumieniu dyrektywy EMD2 (za wyjątkiem jednak tokenów będących e-pieniądzem, o których mowa w Rozporządzenia MiCA), a także depozyty, sekurytyzacje bądź i lokaty strukturyzowane (art. 2 ust. 2 Rozporządzenia MiCA).

Przepisy Rozporządzenia MiCA będą dotyczyły emitentów kryptoaktywów, a także dostawców usług z zakresu kryptoaktywów, w tym m.in. podmiotów świadczących usługę przechowywania kryptoaktywów, prowadzenia platformy obrotu kryptoaktywami, wymiany kryptoaktywów na walutę lub inne kryptoaktywa oraz subemisji kryptoaktywów. Dostawcami takich usług będą mogły być jedynie osoby prawne mające siedzibę w jednym z państw członkowskich i dysponujące zezwolenie właściwego dla siedziby danego podmiotu organu nadzoru. Takie zezwolenie będzie umożliwiało świadczenie usług z zakresu kryptoaktywów na terytorium całej Unii Europejskiej (art. 53 Rozporządzenia MiCA) [9]. Ponadto szereg przepisów projektowanego rozporządzenia nakłada na dostawców zobowiązania dotyczące uczciwego, rzetelnego, profesjonalnego i przejrzystego prowadzenia działalności z zakresu kryptoaktywów (m.in. obowiązek publikacji polityki cenowej czy informowania konsumentów o ryzykach związanych z zakupem tokenów), w tym spełnienia określonych wymogów ostrożnościowych (np. polisa ubezpieczeniowa lub gwarancja obejmującej terytorium lub posiadanie funduszy własnych w rozumieniu Rozporządzenia MiCA) oraz organizacyjnych (np. osoby należące do zarządu lub osoby posiadające ponad 20% kapitału zakładowego lub praw głosów lub które w jakikolwiek inny sposób kontrolują dostawcę powinny udowodnić, że posiadają nieposzlakowaną opinię i kompetencje, a także nie były skazane za przestępstwa związane z praniem pieniędzy).

Drugą kategorią podmiotów, na którą zgodnie z projektem Rozporządzenia MiCA zostaną nałożone szczególne obowiązku są emitenci kryptoaktywów. Te obowiązki to chociażby obowiązek publikowania przez emitentów dokumentów informacyjnych dotyczących emisji kryptoaktywów (tzw. white papers stanowiące odpowiednik prospektu emisyjnego). Informacje zawarte w white papers mają być rzetelne, sporządzone w czytelnej, zwięzłej formie i nie mogą wprowadzać w błąd. Emitenci będą zobowiązani do przedłożenia white papers i materiałów marketingowych dotyczących oferty emisji kryptoaktywów właściwemu organowi nadzoru (np. w Polsce – KNF) w terminie 20 dni przed pierwszą emisją oraz opublikowania dokumentu na stronie internetowej emitenta [10].

Prace nad projektem Rozporządzenia MiCA wciąż trwają. O przebiegu prac będziemy regularnie informować na naszym blogu SPCG.

Rozporządzenie AI

Ostatnim projektem szczególnie istotnym dla sektora finansowego jest Rozporządzenia AI. Prace nad tym aktem prawnym są najmniej zaawansowane, niemniej znacząco przyspieszyły po opublikowaniu tekstów kompromisowych przez słoweńską (29 listopada 2021 r.) [11] i francuską (13 stycznia 2022 r.) [12] prezydencję Rady Unii Europejskiej.

Podobnie jak w przypadku operacyjnej odporności cyfrowej sektora finansowego oraz rynków kryptoaktywów, obecnie w prawie unijnym brak jest jakichkolwiek regulacji określających zasady rozwoju, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji przez przedsiębiorców. Dotychczas organy Unii Europejskiej publikowały jedynie dokumenty konsultacyjne, które nie są wiążące ani dla państw, ani dla podmiotów prywatnych, np. „Białą Księgę AI” [13]. Te dokumenty sygnalizowały jednak kluczowe zagadnienia, które organy unijne uważają za warte uregulowania.

Rozporządzenie AI ma określać zasady dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji (dalej: „systemy AI”) w działalności przedsiębiorstwa (w tym w podmiotach finansowych), zakazane praktyki odnoszące się do systemów AI, wymogi dla systemów AI wysokiego ryzyka (tj. high-risk AI) i dostawców takich systemów, monitorowania działania systemów AI rynkowego i nadzoru nad rynkiem.

Katalog podmiotów objętych Rozporządzeniem AI obejmuje m.in. dostawców systemów AI prowadzących działalność na terytorium UE (niezależnie od miejsca siedziby), użytkowników systemu AI, którzy znajdują się w Unii i dostawców lub użytkowników znajdujących poza terytorium UE, jeżeli wyniki działania systemu AI są wykorzystywane w UE. Jeżeli więc podmiot finansowy wykorzystywałaby systemy AI w swojej działalności (np. dla celu badania zdolności kredytowej), powinien on stosować się do przepisów Rozporządzenia AI.

Rozporządzenie AI nakłada na ww. podmioty liczne obowiązki związane z wprowadzeniem do odbioru, oddaniem do użytku lub wykorzystaniem systemów AI. Co istotne, obowiązki te różnią się w zależności od poziomu ryzyka, które dany system AI może generować (podejście oparte na tzw. zasadzie ryzyka). W projekcie Rozporządzenia AI podkreśla się niejednokrotnie, że obciążenia regulacyjne powinno nakładać się na podmioty tylko w przypadku, gdy dany system AI może stwarzać ryzyko dla praw podstawowych lub bezpieczeństwa. W Rozporządzeniu AI dokonano więc podziału na następujące kategorie ryzyka, które mogą generować systemy AI: i) niedopuszczalne ryzyko, ii) wysokie ryzyko oraz iii) niskie lub minimalne ryzyko. Systemy AI niedopuszczalnego ryzyka uznano za sprzeczne z wartościami UE i zakazano ich stosowania (art. 5 Rozporządzenia IA) [14]. Z kolei systemy AI niskiego lub minimalnego co do zasady nie podlegają przepisom Rozporządzenia AI (z zastrzeżeniem jednak pewnych obowiązków, które nałożono na ww. podmioty, oraz które związane są z zapewnieniem przejrzystości systemów AI przeznaczonych do wchodzenia w interakcję z osobami trzecimi, tak aby osoby trzecie miały świadomość takiej interakcji).

Duża część projektu Rozporządzenia AI dotyczy zaś obowiązków nałożonych na podmioty w odniesieniu do systemów AI wysokiego ryzyka (high-risk AI). Za systemy wysokiego ryzyka (high-risk AI) uznano w szczególności te, które potencjalnie mogą mieć negatywny wpływ na bezpieczeństwo lub prawa podstawowe. Są to m.in. systemy do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną (woda, gaz, infrastruktura drogowa), dostępu do edukacji, zatrudniania (np. procesy rekrutacyjne), dostępu do świadczeń publicznych lub podstawowych usług prywatnych, egzekucji prawa, migracji oraz przekraczania granic, sprawowania wymiaru sprawiedliwości [15]. Systemy AI wysokiego ryzyka powinny być m.in. projektowane przy zachowaniu zasady przejrzystości oraz wykorzystaniu do trenowania lub testowania danych wysokiej jakości oraz pozbawionych uprzedzeń [16]. Dostawcy są również zobowiązani m.in. do sporządzenia odpowiedniej dokumentacji technicznej przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku.

Niezależnie od powyższego, podmioty korzystające z systemów AI wysokiego ryzyka powinny wdrożyć i utrzymywać – przez cały cykl życia działania takiego system – system zarządzania ryzykiem. W przypadku instytucji kredytowych ww. system zarządzania ryzykiem powinien stanowić element wewnętrznych procedur, o których mowa w art. 74 dyrektywy 2013/36/UE.

Warto podkreślić, że projekt Rozporządzenia AI przewiduje wysokie kary za niedostosowanie systemów AI do przepisów omawianego aktu. Stosowanie praktyk zakazanych zgodnie z art. 5 Rozporządzenia AI lub niezgodność systemu AI z wymogami określonymi w Rozporządzeniu AI (art. 10) może prowadzić do nałożenia przez administracyjnej kary pieniężnej w wysokości do 30.000.000,00 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nieprzestrzeganie innych wymogów dotyczących AI niż określone w art. 5 lub 10 Rozporządzenia AI ma podlegać karze w wysokości odpowiednio do 20.000.000,00 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (ponownie zastosowanie ma kara wyższa). Wreszcie, przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym [17] oraz właściwym organom krajowym [18] ma podlegać karze w wysokości do 10.000.000,00 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (podobnie jak wyżej – zastosowanie ma kwota wyższa).

Prace nad Rozporządzeniem AI wciąż jednak trwają. Kontrowersyjnym zagadnieniem jest zwłaszcza brzmienie definicji „systemu sztucznej inteligencji”, która w słoweńskiej propozycji projektu ulegała znaczącym zmianom. W pierwotnej wersji projektu pod pojęciem „systemu sztucznej inteligencji” rozumiano każde oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik lub podejść wymienionych w załączniku do projektu (m.in. machine learning i pokrewne, podejścia oparte na logice i wiedzy, podejścia statystyczne, estymacja bayesowska oraz pokrewne), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia, decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Słusznie zarzucano tej propozycji, że tak szeroka definicja AI będzie obejmować również takie oprogramowanie, które powszechnie nie jest uznawane za rozwiązanie z zakresu AI [19]. Słoweńska prezydencja Rady UE zaproponowała więc zmianę definicji w kierunku podkreślenia roli wnioskowania, w jaki sposób osiągnąć zestaw celów obranych przez człowieka poprzez uczenie się, rozumowanie lub modelowanie (symulację) – jako istoty każdego systemu AI [20]. Dlatego też warto śledzić zmiany w treści projektu, aby zawczasu przygotować dostosowanie wykorzystywanych w działalności podmiotu finansowego systemów AI do projektowanych przepisów. projektu.

Podsumowanie

Wykorzystanie nowych technologii przez instytucje finansowe to szansa na zdobycie nowych klientów, zaproponowanie nowych usług i poczynienie oszczędności dzięki automatyzacji procesów (AI). Jednakże wdrożenie nowych rozwiązań technologicznych to nie tylko wyzwanie czysto informatyczne, ale również prawne. Z jednej strony, podmiot finansowy musi zapewnić zgodność regulacyjną przy projektowaniu nowego rozwiązania, a z drugiej, zadbać o dobre umowy z dostawcami (o dobrych praktykach w umowach z dostawcami IT piszemy na naszym blogu). Dlatego też niezwykle istotna jest ścisła współpraca działu IT, biznesu i działu prawnego, który coraz częściej powinien uczestniczyć w całym procesie wdrożenia danego rozwiązania.

Przypisy:

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0088_PL.html

[2] https://data.consilium.europa.eu/doc/document/ST-11051-2020-INIT/pl/pdf

[3] https://data.consilium.europa.eu/doc/document/ST-11053-2020-INIT/pl/pdf

[4] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[5] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[6] Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

[7] Wytyczne EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT

[8] https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-gls-ict-security-and-governance-pl.pdf

[9] ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) będzie prowadziła rejestr wszystkich dostawców usług z zakresu kryptoaktywów, którzy uzyskali odpowiednie zezwolenia (art. 57 Rozporządzenia MiCA),

[10] Opisywany obowiązek dotyczy emitentów wszystkich kategorii kryptoaktywów objętych Rozporządzeniem MiCA.

[11] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[12] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[13] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[14] Są to m.in. systemu, które wykorzystują zakazane praktyki wymienione w art. 5 Rozporządzania AI. Z kolei wspominamy przepis zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystania systemów AI, które m.in. stosują techniki podprogowe, wykorzystują słabości określonej grupy osób, dokonują oceny lub kwalifikacji wiarygodności osób fizycznych na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub osobowości (scoring), systemów zdalnej identyfikacji biometrycznej „wczasie rzeczywistym” do egzekwowania prawa (poza pewnymi wyjątkami).

[15] Szerzej w załączniku nr 3 do Rozporządzenia AI.

[16] Wymogi dotyczące jakości danych określa art. 10 Rozporządzenia AI.

[17] Jednostki oceniające zgodność systemy IA, wyznaczone zgodnie z Rozporządzeniem AI lub innymi przepisami harmonizującymi UE.

[18] Krajowy organ nadzorczy, organ notyfikujący i organ nadzoru rynku.

[19] Opinia AIB Polska z dnia 11 czerwca 2021 r. do Kancelarii Prezesa Rady Ministrów, dostęp: https://www.iab.org.pl/wp-content/uploads/2021/06/IAB-Polska_uwagi-AI_11062021_final.pdf

[20] W słoweńskiej propozycji „system sztucznej inteligencji” oznacza system, który: i) otrzymuje dane wejściowe pochodzące od maszyny lub człowieka; ii) wnioskuje, jak osiągnąć dany zestaw celów zdefiniowanych przez człowieka, wykorzystując uczenie się, rozumowanie lub modelowanie realizowane za pomocą technik i podejść wymienionych w załączniku nr 1 do rozporządzenia; iii) generuje dane wyjściowe w postaci treści (generatywne systemy AI), przewidywań, zaleceń lub decyzji, które wpływają na środowiska, z którymi wchodzi w interakcje. Francuska prezydencja Rady UE nie wprowadziła dalszych zmian do definicji.

 

Napisz do autorów:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

SPCG for FinTech (cz. 6) – Tajemnica przedsiębiorstwa w projektach FinTech

SPCG for FinTech (cz. 6) – Tajemnica przedsiębiorstwa w projektach FinTech

Czytaj: 6 min

W dotychczasowych wpisach przedstawialiśmy możliwości ochrony projektów IP za pomocą różnych praw własności intelektualnej. Jednak pomimo swojej różnorodności, prawa własności intelektualnej mogą nie objąć wszystkich elementów takiego projektu FinTech, w szczególności informacji. Przykładowo, informacji technicznych niespełniających warunków do objęcia ochroną patentową, informacji na temat optymalnej konfiguracji oprogramowania służącego do świadczenia usługi finansowej bądź informacji na temat procesów biznesowych instytucji finansowej.

Pod pewnymi warunkami takie informacje mogą być natomiast traktowane jako tajemnica przedsiębiorstwa instytucji finansowej – pozyskanie, wykorzystanie bądź ujawnienie informacji będącej tajemnicą przedsiębiorstwa bez zgody instytucji finansowej stanowi czyn nieuczciwej konkurencji. Takiego czynu dopuszcza się przede wszystkim osoba, która wykorzystując bądź ujawniając informację będącą tajemnicą narusza obowiązek ustawowy bądź umowny np. zobowiązanie do zachowania tajemnicy, które przyjęła na siebie zawierając z instytucją finansową umowę o zachowaniu poufności. Sprawcą czynu nieuczciwej konkurencji może być także podmiot, który wykorzysta informację pozyskaną od takiej osoby – pod warunkiem, że widział on lub mógł wiedzieć przy zachowaniu należytej staranności, że informacja jest pozyskiwana od osoby, która je ujawnia w związku z popełnieniem czynu nieuczciwej konkurencji. Tytułem przykładu, startup technologiczny zatrudnia byłego współpracownika instytucji finansowej, który „wnosi” do współpracy z nowym zleceniodawcą nie tylko własne doświadczenie jako programista, ale również szczegółowe informacje o działaniu aplikacji mobilnej instytucji finansowej, i zostają one użyte do rozwoju konkurencyjnego rozwiązania.

Tajemnicą przedsiębiorstwa nie jest oczywiście każda informacja, jaką dysponuje instytucja finansowa. Po pierwsze, informacje takie muszą mieć wartość gospodarczą. Po drugie – jako całość lub w szczególnym zestawieniu i zbiorze ich elementów – informacje takie nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób – wartość gospodarcza przejawia się tutaj w zestawieniu informacji, które samodzielnie mogą być powszechnie znane. Na przykład, zestawienie informacji o konkretnych typach – skądinąd dostępnych „na rynku” – zabezpieczeń stosowanych przez instytucję finansową ma dla niej wartość, przejawiającą się w poziomie bezpieczeństwa. Po trzecie, instytucja finansowa przy zachowaniu należytej staranności podjęła działania w celu utrzymania takich informacji w tajemnicy. Przy założeniu spełnienia wyliczonych warunków nie ma znaczenia, jakiego aspektu projektu FinTech tajemnice przedsiębiorstwa dotyczą, przykładowo szczegółów technicznych zabezpieczeń platformy internetowej do onboardingu klientów bądź organizacji procesów biznesowych związanych z weryfikacją danych klientów, którzy zgłosili się do instytucji finansowej przez tę platformę. Należyta staranność, czy też „rozsądność” działań podejmowanych przez instytucję w celu zachowania w tajemnicy określonego typu informacji będzie zależała od takich czynników jak rodzaj tej informacji, wartość dla instytucji finansowej oraz krąg osób, które mają do niej dostęp.

Instytucja finansowa powinna więc przede wszystkim zadbać o identyfikację informacji, szczególnie takich, które nie są objęte tajemnicą bankową lub tajemnicą zawodową danej instytucji finansowej i w związku z tym mogą być ujawnione podmiotom trzecim jedynie w ściśle określonych przepisami prawa sytuacjach. Wewnętrzne procedury kwalifikowania informacji jako tajemnicy przedsiębiorstwa oraz ich obiegu powinny zostać powiązane z podejmowaniem przez instytucję finansową wspomnianych wyżej rozsądnych działań w celu utrzymania tych informacji w tajemnicy. Te działania mogą mieć zarówno charakter faktyczny (np. techniczne zabezpieczenie dostępu do nośników informacji m.in. fizycznych lub cyfrowych kopii dokumentów; przypisanie pracownikom poziomów dostępu do tych dokumentów oraz kontrola tego dostępu; przeprowadzanie szkoleń wewnętrznych), jak i prawny. Działania prawne polegają przede wszystkim na opatrywaniu dokumentów stosownymi komunikatami, stosowaniu polityki poufności oraz na zobowiązywaniu odbiorców informacji do zachowania poufności, zwłaszcza za pomocą klauzul umownych w umowach z osobami niezatrudnionymi na podstawie umowy o pracę. Charakteru danej informacji jako tajemnicy przedsiębiorstwa nie niweczy fakt, że jest ona znana szerokiemu gronu pracowników i współpracowników instytucji finansowej – przy założeniu, że osoby te będą zobowiązanie zachować ją w tajemnicy.

Z pewnością działaniem rozsądnym jest zawieranie umów o zachowaniu poufności (non-disclosure agreement – NDA). Taka umowa powinna przede wszystkim określać:

  • reguły kwalifikowania informacji udostępnianych w toku współpracy do kategorii tajemnicy przedsiębiorstwa, zwłaszcza sposób oznaczania dokumentów lub korespondencji. W tym kontekście trzeba mieć świadomość, że znaczna część informacji objętych tajemnicą nie jest ustrukturyzowana np. znajduje się w treści e-maili a nie w rekordach baz danych). Jeżeli na potrzeby współpracy planowane jest przekazanie pewnych pakietów informacji np. specyfikacja systemu informatycznego, który będzie rozwijany w ramach współpracy, to w treści umowy można wyraźnie je wskazać;
  • cel korzystania z informacji będących tajemnicą przedsiębiorstwa oraz zasady udostępniania ich współpracownikom lub podwykonawcom odbiorcy;
  • przypadki, w których ujawnienie takich informacji nie będzie stanowiło naruszenia zobowiązania do zachowania tajemnicy np. zwrócenie się z żądaniem przekazania takich informacji przez organ administracji publicznej;
  • konsekwencje naruszenia obowiązku zachowania tajemnicy, zwłaszcza kary umowne i sposób obliczania ich wysokości;
  • czynności podejmowane po zakończeniu współpracy np. zniszczenie nośników zawierających informacje poufne lub trwałe usunięcie informacji z takich nośników;
  • czas trwania zobowiązania do zachowania informacji w tajemnicy.

Osoby zatrudnione na podstawie umowy o pracę zobowiązane są do zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (tajemnica pracodawcy) oraz przestrzegać tajemnicy określonej w odrębnych przepisach (art. 100 §2 pkt 4. i 5. Kodeksu Pracy). Przyjmuje się, iż obowiązek zachowania w tajemnicy informacji stanowiących tajemnicę przedsiębiorstwa mieści się w granicach tajemnicy pracodawcy. Nie wyklucza to jednak zawarcia z pracownikiem dodatkowego porozumienia, które precyzowałoby szczegóły dostępu pracownika do tajemnic przedsiębiorstwa i korzystania z nich, a przede wszystkim czas i zasady obowiązywania tajemnicy po zakończeniu zatrudnienia.

Informacja poufna czy prawo własności intelektualnej?

Ochrona informacji poprzez traktowanie ich jako tajemnicy przedsiębiorstwa może być zarówno uzupełnieniem, jak i alternatywą dla praw własności intelektualnej. Przykładowo, utworem chronionym prawem autorskim może być kod źródłowy programu komputerowego wykonującego funkcje zaplanowane w procesie biznesowym, ale utworem nie jest wynikająca z analizy kodu programu informacja, w jaki sposób wspomniane procesy są realizowane przez program [1]. Skorzystanie z takiej informacji w celu napisania programu o innym kodzie źródłowym, ale tak samo realizującym funkcje założone w identycznym procesie biznesowym nie narusza praw autorskich. Jeżeli jednak wspomniane informacje stanowią tajemnicę przedsiębiorstwa, to skorzystanie z nich w celu napisania takiego programu będzie czynem nieuczciwej konkurencji. Przykładem mogą być też różnego rodzaju dokumenty, zarówno techniczne, jak i biznesowe. Ochrona wynikająca z prawa autorskiego, o ile założymy, że taki dokument stanowi utwór, obejmuje jedynie kopiowanie go w całości lub we fragmentach, a nie spożytkowanie informacji, które on zawiera.

Ochrona tajemnic przedsiębiorstwa jest również elastyczna, w tym znaczeniu, że w razie spełnienia przez instytucję finansową warunków opisanych wyżej, tajemnicą przedsiębiorstwa może być zarówno informacja techniczna, jak i biznesowa. Tajemnicą mogą być objęte także informacje na temat projektów FinTech, które nie zostaną ukończone, czy to ze względu na przekroczenie zakładanego budżetu, problemy techniczne czy zmianę priorytetów instytucji finansowej. Jeżeli rezygnacja z realizacji projektu wiąże się z rozwiązywaniem umów z zewnętrznymi współpracownikami, trzeba zwrócić uwagę na „losy” postanowień o zachowaniu tajemnicy.

W przeciwieństwie do praw własności intelektualnej, które zasadniczo gasną z upływem określonego w ustawie terminu, czas trwania stanu tajemnicy jest teoretycznie nieograniczony. Informacja przestanie być tajemnicą przedsiębiorstwa zasadniczo, kiedy straci wartość gospodarczą lub zostanie ujawniona do wiadomości publicznej przez osobę, która niezależnie stworzyła taką informację. Instytucja finansowa nie musi podejmować żadnych formalnych działań, aby kwalifikować daną informację jako tajemnicę przedsiębiorstwa. Możliwość opcjonalnego „sformalizowania” niektórych informacji objętych tajemnicą przedsiębiorstwa otworzy dopiero utworzenie depozytu technicznych i technologicznych tajemnic przedsiębiorstwa, o którym piszemy niżej.

Depozyt technicznych i technologicznych tajemnic przedsiębiorstwa

W 2022 roku planowane jest stworzenie zarządzanego przez Urząd Patentowy RP depozytu informacji technicznych i technologicznych stanowiących tajemnicę przedsiębiorstwa. Informacje tego typu powstają nieraz przy okazji prowadzenia prac-badawczo rozwojowych bądź bieżącej działalności instytucji finansowej, może być nią przykładowo treść dokumentacji dotyczącej poprawek do systemu informatycznego i jego optymalnej konfiguracji. Jeśli prace B+R nie zakończą się dokonaniem wynalazku, stworzeniem wzoru przemysłowego lub utworu chronionego prawem autorskim, to ochrona tajemnicy przedsiębiorstwa jest jednym narzędziem prawnym pozwalającym na jakąś formę ochrony. Z kolei w przypadku uzyskania praw własności intelektualnej, tajemnica przedsiębiorstwa może „zabezpieczać flanki” np. obejmować informacje służące do efektywnego korzystania z wynalazku chronionego patentem. Informacją techniczną ani technologiczna nie jest jednak ani lista klientów, ani organizacja procesu sprzedaży ani dane finansowe.

Data zgłoszenia depozytu będzie datą pewną, więc zgłaszający będzie mógł wykazać, że najpóźniej w dacie zgłoszenia dysponował już zdefiniowanym pakietem informacji. W praktyce zdeponowanie informacji stanowiących tajemnicę przedsiębiorstwa może być pomocne do sprecyzowania, co dokładnie jest przedmiotem umowy o korzystanie z tajemnicy przedsiębiorstwa. Poza tym, możliwość sięgnięcia do zdeponowanych w Urzędzie informacji może np. znacznie ułatwić podjęcie sądowi decyzji co do udzielenia zabezpieczenia tymczasowego.

Podjęcie decyzji o ewentualnym zgłoszeniu określonych tajemnic przedsiębiorstwa do depozytu warto poprzedzić audytem prawnym oraz audytem bezpieczeństwa. Zidentyfikowanie i uporządkowanie tajemnic przedsiębiorstwa, którymi dysponuje instytucja finansowa pozwala m.in. na jego łatwiejszą wycenę oraz ochronę – zwłaszcza w przypadku nieuprawnionego korzystania z tajemnic przedsiębiorstwa instytucji finansowej przez byłych pracowników lub podwykonawców.

Jak wspomnieliśmy w inauguracyjnym wpisie cyklu SPCG for FinTech, w projektach FinTech wyzwaniem jest nie tylko strona technologiczna przedsięwzięcia, ale również regulacyjna. Dlatego też kolejne artykuły poświęcimy właśnie zagadnieniom regulacyjnym.

Przypisy:

[1] Zakładam, że np. z uwagi na brak poziomu wynalazczego program ten nie jest chroniony jako element wynalazku.

 

Napisz do autora:

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

SPCG for FinTech (cz. 5) – Podatkowe korzyści z tworzenia własności intelektualnej

SPCG for FinTech (cz. 5) – Podatkowe korzyści z tworzenia własności intelektualnej

Czytaj: 8 min

Własność intelektualna jest często traktowana jako miernik innowacyjności, a ponieważ ustawodawcy generalnie zależy na podnoszeniu poziomu innowacyjności gospodarki, to zachęca do tworzenia określonych typów IP m.in. za pomocą preferencji podatkowych.

Przede wszystkim, instytucje finansowe tworzące „wewnętrznie” własność intelektualną mogą bez podnoszenia pensji brutto ani ponoszenia dodatkowych kosztów podnieść wysokość efektywnie uzyskiwanego przez pracowników i współpracowników wynagrodzenia poprzez:

  • wdrożenie w instytucji finansowej rozliczania kosztów uzyskiwania przychodów w wysokości 50% przychodów uzyskiwanych przez pracowników lub współpracowników z tytułu rozporządzenia prawami własności intelektualnej;
  • wsparcie współpracowników prowadzących indywidualną działalność gospodarczą we wdrożeniu stosowania ulgi IP BOX.

Ponadto, na różnych etapach cyklu życia własności intelektualnej instytucja finansowa może korzystać z ulg podatkowych:

  • ulgi B+R (badawczo-rozwojowej), kiedy prowadzone są prace mogące doprowadzić do powstania własności intelektualnej w ramach działalności badawczo-rozwojowej (ulga kosztowa);
  • ulgi IP BOX, kiedy instytucja finansowa uzyskuje dochód z korzystania z własności intelektualnej, np. ze sprzedaży produktów, które przynajmniej częściowo są chronione prawami własności intelektualnej (ulga dochodowa).

50% koszty uzyskania przychodów

Stosowanie 50% kosztów uzyskania przychodu jest możliwe m.in. dla osób uzyskujących przychody z tytułu korzystania lub rozporządzania prawami autorskimi bądź prawami własności przemysłowej (mogą to być osoby zatrudnione przez instytucję finansową na podstawie umowy o pracę lub umowy cywilnoprawnej, ale nie w ramach relacji B2B). Z tej ulgi mogą skorzystać m.in. osoby wykonujące działalność twórczą w zakresie programów komputerowych lub działalność badawczo rozwojową dotyczącą rozwiązań FinTech.

Wprowadzenie 50% KUP wymaga przede wszystkim:

  • Określenia w umowie takiego zakresu obowiązków, który będzie korespondował ze wspomnianą wyżej działalnością twórczą oraz przykładowych efektów pracy (utworów w rozumieniu prawa autorskiego), np. programista będzie tworzył programy komputerowe lub ich części.
  • Nabywania przez instytucję finansową praw autorskich do tych utworów, ewentualnie uzyskiwania licencji na korzystanie z nich.
  • Wyodrębnienia w ramach wynagrodzenia tzw. honorarium autorskiego tj. tej części wynagrodzenia, która należy się za przeniesienie praw autorskich. Honorarium autorskie musi dotyczyć nabywania praw do konkretnych utworów a nie „czasu pracy twórczej”. Innymi słowy, spółka płaci za efekt pracy twórczej a nie za poświęcanie czasu pracy na pracę twórczą. Nie stoi to jednak na przeszkodzie powiązaniu wysokości honorarium z czasem pracy poświęconym na stworzenie utworu.
  • Powyższe prowadzi nas do obowiązku prowadzenia ewidencji utworów, do których prawa nabyła instytucja finansowa. Ewidencja musi pozwalać na identyfikację konkretnych utworów a nie tylko przykładowych. Nie wystarczy więc wskazanie w ewidencji jednego modułu programu komputerowego jako „wzorcowego” dzieła, do którego prawa przeniósł na instytucję finansową programista.
  • Identyfikowanie utworów oraz samo prowadzenie ewidencji wymaga oczywiście dopasowania do charakteru pracy poszczególnych członków zespołu, np. dużo łatwiej może być zidentyfikować efekty miesięcznej pracy grafika niż programisty.
  • Choroba lub urlop pracownika nie wykluczają możliwości wypłacenia honorarium autorskiego.
  • Maksymalny limit kwoty dochodów, dla których możliwe jest odliczenie 50% kosztów ich uzyskania wynosi 120.000 zł złotych rocznie.

Korzystanie z 50% KUP w przypadku programistów wymaga ponadto całkowitej lub częściowej rezygnacji z ustawowego mechanizmu nabywania przez pracodawcę praw autorskich do programów komputerowych. Jak wspomnieliśmy w jednym z wcześniejszych artykułów [Nabywanie praw do IP tworzonego wewnętrznie dla instytucji finansowej], ów mechanizm ustawowy jest sam w sobie bardzo korzystny, mianowicie, prawa autorskie do programów komputerowych stworzonych w ramach wykonywania obowiązków ze stosunku pracy powstają na rzecz pracodawcy. Skoro prawa nie „przechodzą” z pracownika na pracodawcę (tak jest w przypadku innych utworów), tylko od razu „powstają” na rzecz pracodawcy, to ten ostatni ma pewność dysponowania pełnią praw do oprogramowania. Problem w tym, że w przekonaniu organów skarbowych, skoro prawa nie „przechodzą” z pracownika na pracodawcę, to pracownik nie otrzymuje honorarium autorskiego. Innymi słowy, czemu pracodawca miałby płacić za te prawa pracownikowi, skoro ma je niezależnie od woli pracownika. Fiskus akceptuje jednak rozwiązanie polegające na odejściu w umowie o pracę od automatycznego nabywania przez pracodawcę praw autorskich do programów komputerowych i uregulowanie przeniesienia praw autorskich w odrębnej umowie, co pozwala na zastosowanie 50% KUP.

Dobrą praktyką jest zwrócenie się o wydanie interpretacji indywidualnej przed wdrożeniem korzystania z 50% KUP w instytucję finansową lub najpóźniej przy okazji jego wdrażania. Samo wdrożenie oznacza w praktyce:

  • identyfikację stanowisk i zakresu obowiązków pozwalających na skorzystanie z 50% KUP;
  • uwzględnienie w umowach z pracownikami wymagań opisanych wyżej (w tym wyodrębnianie honorarium autorskiego, a w przypadku programistów zmiana sposobu nabycia praw autorskich);
  • przygotowanie ewidencji utworów i wdrożenie procesu jej stosowania w instytucji finansowej, np. „rozliczanie” przeniesienia praw autorskich przez każdego pracownika za każdy miesiąc.

Korzystanie z 50% KUP jest możliwe zarówno w modelu, w którym pracownik lub współpracownik przenosi na instytucję finansową prawa własności intelektualnej, jak i w modelu, w którym wymieniona osoba udziela instytucji finansowej licencji wyłącznej bądź niewyłącznej.

Ulga B+R

Prowadzenie przez instytucję finansową działalności badawczo-rozwojowej pozwala skorzystać z ulgi badawczo-rozwojowej, która polega na dodatkowym odliczeniu od podstawy opodatkowania kosztów kwalifikowanych – efektywnie takie koszty są więc odliczane dwukrotnie. Działalność badawczo-rozwojowa to działalność twórcza obejmująca badania naukowe lub prace rozwojowe, podejmowana w sposób systematyczny w celu zwiększenia zasobów wiedzy oraz wykorzystania ich do tworzenia nowych zastosowań – działalność B+R może dotyczyć zarówno wdrożenia nowej technologii na potrzeby wewnętrzne instytucji finansowej (np. nowy system przetwarzania danych klientów), jak i na potrzeby klientów (np. nowy system autoryzacji transakcji dokonywanych przez klientów).

Badania naukowe obejmują dwie kategorie prac:

  • badania podstawowe – prace empiryczne lub teoretyczne mające przede wszystkim na celu zdobywanie nowej wiedzy o podstawach zjawisk i obserwowalnych faktów bez nastawienia na bezpośrednie zastosowanie komercyjne;
  • badania aplikacyjne – prace mające na celu zdobycie nowej wiedzy oraz umiejętności, nastawione na opracowywanie nowych produktów, procesów lub usług bądź wprowadzanie do nich znaczących ulepszeń – badania tego typu mogą mieć realne przełożenie na innowacyjność instytucji finansowej.

Z kolei prace rozwojowe to działalność obejmująca nabywanie, łączenie, kształtowanie i wykorzystywanie dostępnej aktualnie wiedzy oraz umiejętności, w tym w zakresie narzędzi informatycznych lub oprogramowania do planowania produkcji oraz projektowania, a także tworzenia zmienionych, ulepszonych lub nowych produktów, procesów lub usług – z wyłączeniem działalności obejmującej rutynowe bądź okresowe zmiany wprowadzane do tych produktów, procesów lub usług [1]. Pracami badawczo-rozwojowymi będzie więc np. projektowanie, prototypowanie, pilotaż, testowanie i ulepszanie produktów, technologii bądź usług, w tym oprogramowania (np. aplikacje mobilne, platformy cyfrowe). Nie ma znaczenia, jakiego typu technologii dotyczy wdrożenie; prace B+R mogą obejmować chociażby uwierzytelnianie biometryczne, smart kontrakty, algorytmy samouczące, robo-doradztwo, narzędzia wideo weryfikacji klientów.

Do kosztów kwalifikowanych, poniesionych na prowadzenie prac badawczo-rozwojowych zalicza się między innymi następujące wydatki [2]:

  • wydatki na wynagrodzenia dla pracowników (wraz z narzutami, np. składkami ZUS) – w takiej części, w jakiej czas przeznaczony na realizację działalności badawczo-rozwojowej pozostaje w ogólnym czasie pracy pracownika w danym miesiącu;
  • poniesione w danym miesiącu należności z umowy zlecenia lub o dzieło uzyskiwane od osoby fizycznej (z wyłączeniem współpracy w modelu B2B) – w takiej części, w jakiej czas przeznaczony na wykonanie usługi w zakresie działalności badawczo-rozwojowej pozostaje w całości czasu przeznaczonego na wykonanie usługi na podstawie umowy zlecenia lub umowy o dzieło w danym miesiącu;
  • nabycie materiałów bezpośrednio związanych z prowadzoną działalnością badawczo-rozwojową;
  • koszty uzyskania i utrzymania patentu lub prawa z rejestracji wzoru przemysłowego zarówno w Polsce, jak i za granicą;
  • odpisy amortyzacyjne od określonych środków trwałych oraz wartości niematerialnych i prawnych, wykorzystywanych w działalności badawczo-rozwojowej;
  • ekspertyzy, opinie, usługi doradcze wykonane przez jednostki naukowe oraz nabycie od jednostki naukowej wyników prowadzonych przez nie badań naukowych, na potrzeby działalności badawczo-rozwojowej.

Jeśli instytucja finansowa ma wyodrębniony dział badań i rozwoju, to jest bardzo prawdopodobne, że istotna część kosztów związanych z prowadzonymi w dziale projektami będzie mogła zostać objęta wspomnianą ulgą.

Wydatki związane z działalnością badawczo-rozwojową muszą być ujęte w odrębnej ewidencji księgowej. Dodatkowo, zalecane jest dokumentowanie prowadzonych prac, m.in. ewidencji czasu pracowników oraz współpracowników zaangażowanych we wspomnianą działalność. W tym celu wskazane jest wdrożenie systemu rejestracji czasu pracy w ramach instytucji finansowej lub jego raportowania w przypadku zewnętrznych współpracowników.

Instytucja finansowa może skorzystać z ulgi B+R niezależnie od tego, czy prace badawczo-rozwojowe zakończą się sukcesem. Warunkiem skorzystania z ulgi B+R nie jest zakończenie np. badań aplikacyjnych uzyskaniem patentu na wynalazek lub prac rozwojowych opracowaniem gotowego produktu. Działania badawczo-rozwojowe powinny do tego zmierzać, ale mogą nie przynieść oczekiwanych rezultatów. Z drugiej strony, jeśli prace badawczo-rozwojowe zakończą się powodzeniem, to koszty związane z produkcją i dystrybucją nowego produktu nie będą już kosztami kwalifikowanymi, tak samo koszty wprowadzania rutynowych zmian w gotowym produkcie (np. zapewnianie dostępności i usuwanie błędów aplikacji mobilnej dla klientów). Jeśli jednak finalny produkt zawiera własność intelektualną wytworzoną w toku prac badawczo-rozwojowych, to instytucja finansowa może zacząć korzystać z ulgi IP BOX.

Ulga IP BOX

Jeśli instytucja finansowa w ramach działalności badawczo rozwojowej stworzyła własność intelektualną, a następnie udostępnia ją osobom trzecim, to warte rozważanie jest skorzystanie z ulgi IP Box. Ulga IP BOX polega na preferencyjnym opodatkowaniu (5% w podatku PIT i CIT) osiąganych w Polsce dochodów uzyskanych z kwalifikowanych praw własności intelektualnej (ulga stosowana jest po zakończeniu roku podatkowego przy składaniu zeznania podatkowego za dany rok).

  • Kwalifikowane prawa własności intelektualnej, to m.in. autorskie prawa majątkowe do programu komputerowego, patent, prawo z rejestracji wzoru przemysłowego. Przedmiot tego prawa (np. program komputerowy) musi zostać wytworzony lub przynajmniej rozwinięty bądź ulepszony w ramach działalności badawczo rozwojowej prowadzonej przez instytucja finansowa.
  • Działalność badawczo-rozwojowa to działalność twórcza obejmująca badania naukowe lub prace rozwojowe, podejmowana w sposób systematyczny w celu zwiększenia zasobów wiedzy oraz wykorzystania zasobów wiedzy do tworzenia nowych zastosowań. Jest ona rozumiana tak samo jak na potrzeby ulgi B+R.

Opodatkowane za pomocą preferencyjnej stawki mogą być przede wszystkim dochody z umów licencyjnych, sprzedaży praw własności intelektualnej, a także sprzedaży produktów lub usług, gdzie w cenie (wynagrodzeniu) uwzględniana jest cena danego prawa. Przeważnie nie będzie to więc pełen dochód osiągany ze sprzedaży produktu na rynku – im istotniejsza będą w nim kwalifikowane prawa własności intelektualnej, tym większa część dochodu ze sprzedaży danego produktu może zostać opodatkowana na preferencyjnych zasadach.

Ustalenie ostatecznej wysokości dochodu opodatkowanej preferencyjną stawką podatku wymaga jeszcze pomnożenia dochodu z kwalifikowanych praw własności intelektualnej przez tzw. współczynnik Nexus. Współczynnik Nexus może maksymalnie wynosić jeden – w takim przypadku całość dochodu z kwalifikowanych praw własności intelektualnej jest opodatkowana podatkiem w wysokości 5%. Współczynnik Nexus ustala się w oparciu o poniższy wzór.

(a + b) * 1.3
a + b + c + d

Litery A, B, C i D to koszty faktycznie poniesione przez instytucję na:

  1. prowadzoną bezpośrednio przez instytucję działalność badawczo–rozwojową związaną z danym prawem – na przykład wydatki na wynagrodzenia dla pracowników (wraz z narzutami, np. składkami ZUS), wydatki na umowy o dzieło lub zlecenie, wydatki z umów B2B, wydatki sfinansowane z dotacji, wydatki na prace związane z realizacją szerszego projektu badawczo-rozwojowego, który zakończył się wypracowaniem dochodu z kwalifikowanego IP;
  2. nabycie wyników prac badawczo-rozwojowych związanych z danym prawem od podmiotów niepowiązanych z instytucją finansową;
  3. nabycie wyników prac badawczo-rozwojowych związanych z danym prawem od pomiotów powiązanych z instytucją finansową;
  4. nabycie przez instytucję finansową kwalifikowanego prawa własności intelektualnej.

Rolą współczynnika Nexus jest „premiowanie” tych podatników, którzy prowadzą działalność badawczo-rozwojową we własnym zakresie bądź nabywają wyniki prac badawczo rozwojowych od podmiotów niepowiązanych, co może ostatecznie przekładać się na wyższą innowacyjność krajowej gospodarki.

Podobnie jak w przypadku korzystania z 50% KUP, korzystanie z ulgi IP BOX wymaga bieżącego prowadzenia ewidencji przez Spółkę. Forma ewidencji nie jest narzucona, ale musi ona obejmować m.in. przychody, koszty uzyskania przychodu dochody (straty) przypadające na każde kwalifikowane prawo własności intelektualnej. W razie tworzenia więcej niż jednej kwalifikowanej własności intelektualnej Spółka jest zobowiązana do prowadzenia osobnej ewidencji dla każdego projektu. Warto również uwzględnić w ewidencji opis projektu, czas jego trwania (od momentu rozpoczęcia do momentu jego zakończenia), wykaz wszystkich osób pracujących nad projektem wraz z wyszczególnieniem prac przez nie stworzonych; jest to istotnie nie tylko ze względów podatkowych, ale też na potrzeby dokumentowania przez Spółkę nabycia praw własności intelektualnej od pracowników i współpracowników.

Co istotne, od 1 stycznia 2022 r. IP BOX można łączyć z ulgą B+R. Rozwiązanie to wprowadzono w ramach tzw. Polskiego Ładu.

Podobnie jak w przypadku wdrożenia w instytucji finansowej korzystania z KUP 50% oraz korzystania z ulgi badawczo-rozwojowej, również w przypadku korzystania z ulgi IP BOX rekomendowane jest uzyskanie interpretacji indywidualnej.

Z ulgi IP BOX może również skorzystać osoba współpracująca z instytucją finansową w modelu B2B (np. prowadząca jednoosobową działalność gospodarczą). Dla takiego podmiotu wartością we współpracy z instytucją może być na przykład wsparcie w profesjonalnym wdrożeniu korzystania z ulgi IP BOX w działalności gospodarczej współpracownika.

Przypisy:

[1] Pracami rozwojowymi nie jest także ulepszanie produktów, procesów lub usług, jeśli jest efektem prac rutynowych.

[2] Z ulgi nie można skorzystać, jeżeli koszty kwalifikowane zostały spółce zwrócone w jakiejkolwiek formie.

 

Napisz do autorów:

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

Grzegorz Keler SPCG

dr Grzegorz Keler

adwokat
Associate

Pin It on Pinterest