Z końcem bieżącego roku zaczną być stosowane przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów (MiCA), co oznacza, że działające obecnie na rynku finansowym instytucje takie, jak:
- banki,
- instytucje płatnicze,
- domy maklerskie,
- towarzystwa funduszy inwestycyjnych posiadające zezwolenie na usługi zarządzania portfelem, doradztwa inwestycyjnego lub przyjmowania i przekazywania zleceń,
- KDPW S.A. oraz
- spółki organizujące rynek regulowany
– będą mogły poszerzyć zakres prowadzonej działalności o odpowiadające jej usługi w zakresie kryptoaktywów, przy czym MiCA wyraźnie wskazuje usługi „kryptowalutowe” odpowiadające świadczonym dotychczas na rynku kapitałowym nie pozostawiając tu miejsca na jakąkolwiek dowolność.
W celu poszerzenia działalności niezbędne będzie złożenie do organu nadzoru powiadomienia, co najmniej na 40 dni roboczych przed planowanym rozpoczęciem świadczenia przedmiotowych usług. Prawidłowo przygotowane zawiadomienie pozwoli na poszerzenie działalności bez konieczności ubiegania się o jakiekolwiek zezwolenia w tym zakresie.
Na chwilę obecną wiadomo, że powiadomienie powinno zawierać:
- program działania określający rodzaje usług w zakresie kryptoaktywów, w tym miejsce i sposób ich świadczenia;
- opis mechanizmów kontroli wewnętrznej;
- opis polityk i procedur AML/CFT;
- opis ram oceny ryzyka na potrzeby zarządzania ryzykiem AML/CFT;
- opis planu ciągłości działania;
- dokumentacja techniczna systemów ICT i rozwiązań w zakresie bezpieczeństwa oraz ich opis w języku niespecjalistycznym;
- wskazanie czy usługa w zakresie kryptoaktywów dotyczy tokenów powiązanych z aktywami, tokenów będących e-pieniądzem czy innych kryptoaktywów oraz
- opis odpowiedniej procedury lub polityki dla regulującej daną usługę/działalność podmiotu składającego zawiadomienie objętą notyfikowanym przez niego zamiarem;
- w przypadku zamiaru świadczenia usługi doradztwa lub zarządzania portfelami – dowody potwierdzające, że osoby fizyczne wykonujące w imieniu danego podmiotu doradztwo lub zarządzające portfelami w imieniu danego podmiotu posiadają wiedzę ogólną i fachową niezbędne do wywiązania się ze swoich obowiązków.
Szczegóły natomiast co do poszczególnych dokumentów/informacji wskazanych powyżej, jak też tryb składania samego powiadomienia określone natomiast mają być w aktach drugiego poziomu, czyli delegowanych. Problemem jednak są opóźnienia legislacyjne. Mianowicie, treść i forma zawiadomienia wciąż jeszcze nie zostały do końca rozstrzygnięte. W tym zakresie bowiem przesądzające znaczenie będą mieć akty prawne wydane przez Komisję Europejską (KE) na podstawie MiCA w oparciu o projekty przygotowanych przez European Securities and Markets Authority (ESMA) regulacyjne i implementacyjne standardy techniczne (RTS i ITS). Jakkolwiek właściwe projekty zostały ostatecznie przez ESMA przygotowane i jako finalny raport przekazane Komisji Europejskiej w marcu b.r. to jednak do chwili sporządzenia niniejszego materiału nie przybrały one kształtu rozporządzeń przyjętych przez KE. Co więcej, KE zwróciła się do ESMA z prośbą o dokonanie zmian w projekcie RTS uznając, że przedstawione w nim propozycje wykraczają poza zakres mandatu wynikającego z MiCA. Mianowicie, KE stwierdziła, że w zakresie dotyczącym wymogów związanych z dokumentacją techniczną systemów ICT ESMA proponując w projekcie RTS obligatoryjne załączanie do zawiadomienia wyników zewnętrznego audytu w zakresie cyberbezpieczeństwa, w istocie kreuje zupełnie nowy obowiązek, niewynikający obecnie z przepisów, w związku z czym wymóg ten powinien zostać zmodyfikowany tak, aby był opcjonalny – „if available”. ESMA odnosząc się do uwagi KE, nie przedstawiła argumentów, które wskazywałyby na niezasadność rozumowania KE, jednak podniosłość olbrzymie znaczenie kwestii cyberbezpieczeństwa na rynku kryptoaktywów i zaproponowała zmianę MiCA, aby możliwe było osiągnięcie efektu w postaci wprowadzenia przedmiotowego wymogu w stosunku do podmiotów wchodzących na rynek kryptoaktywów.
Stanowisko ESMA zostało skierowane do KE, Parlamentu Europejskiego i Rady. Parlament Europejski i Rada mogą sprzeciwić się brzmieniu RTS przyjętemu przez KE w terminie 3 miesięcy. Przypominamy przy tym, że w wersji RTS zaproponowanej przez KE wymóg dotyczący audytu w zakresie cyberbezpieczeństwa został złagodzony i zmieniony na wymóg fakultatywny („if available”).
Reasumując, prace nad brzmieniem aktów doprecyzowujących zakres zawiadomienia (RTS) i jego formę oraz procedurę składania (ITS) są wciąż w toku i jakkolwiek możliwe jest prowadzenie prac w oparciu o dostępne projekty to jednak brak jest przepisów, których pojawienie się w przestrzeni publicznej jest niezbędne dla wszczęcia formalnej procedury notyfikacyjnej.
W tym miejscu wskazujemy również na wciąż niezakończony krajowy proces legislacyjny związany z pracami nad projektem ustawy o kryptoaktywach. Dopiero krajowy akt prawny wskaże KNF jako organ właściwy w sprawach nadzoru nad rynkiem kryptowalut a więc również w sprawach przedmiotowych zawiadomień. Opóźnienia więc w pracach nad ustawą, które w chwili obecnej nie pozwalają bezpiecznie założyć, że zostanie ona uchwalona przed końcem roku, mogą stać się źródłem wielu wątpliwości prawnych rzutujących na sposób a nawet możliwość składania zawiadomień przez podmioty finansowe bezpośrednio po rozpoczęciu stosowania przepisów MiCA a więc po dniu 30 grudnia b.r.
W przypadku podmiotów finansowych zainteresowanych działalnością na rynku kryptoaktywów wybór optymalnego rozwiązania w tych trudnych warunkach prawnych, aby jak najwcześniej i jak najsprawniej wyjść do klienta z ofertą usługi, wydaje się więc kluczowy. W tym oraz w pracy nad dokumentacją niezbędną do przygotowania organizacji do rozpoczęcia do działalności na rynku kryptoaktywów SPCG z chęcią Państwa wesprze.
Napisz do autora:
Ewa Mazurkiewicz
radca prawny
Partner
