Od czerwca dwa tysiące dwudziestego trzeciego Unia Europejska pracuje nad wdrożeniem regulacji MiCA (Markets in Crypto Assets), która ma uporządkować rynek kryptowalut w całej Wspólnocie. MiCA jako regulacja bezpośrednia zaczęła obowiązywać w krajach UE, a główne przepisy dla dostawców usług i tokenów mają być stosowane od 30 grudnia 2024 roku. Firmy, które już działają, mają czas przejściowy do 1 lipca 2026 roku, by uzyskać zgodę zgodnie z nowym reżimem.

MiCA wprowadza obowiązek autoryzacji dla dostawców usług krypto (CASP), wymogi zarządzania ryzykiem, procedury AML/CFT oraz obowiązek przechowywania aktywów klientów oddzielnie od aktywów własnych. Emitenci tokenów będą musieli publikować białe księgi, a stablecoiny i tokeny powiązane z aktywami znajdą się pod ścisłym nadzorem.

Regulacja wprowadza także zasadę podróży (travel rule) dla transferów kryptowalut. Każdy dostawca usług będzie zobowiązany do przekazywania danych nadawcy i odbiorcy przy każdej transakcji, niezależnie od jej wartości. To wymaga dostosowania systemów i współpracy między platformami, aby dane były przekazywane bez opóźnień.

Kolejnym obowiązkiem, który wejdzie w życie 17 stycznia 2025 roku, jest stosowanie regulacji DORA (Digital Operational Resilience Act). Dotyczy ona bezpieczeństwa technologicznego, testowania odporności systemów, raportowania incydentów i nadzoru nad dostawcami usług zewnętrznych. Firmy będą musiały przygotować plany awaryjne, scenariusze testowe oraz zapewnić ciągłość działania systemów.

W 2026 roku zacznie obowiązywać dyrektywa DAC8 dotycząca raportowania transakcji kryptowalutowych do organów podatkowych. Państwa członkowskie mają czas na wdrożenie jej do końca 2025 roku. Raportowanie obejmie wszystkich dostawców usług krypto w UE, a także firmy spoza Unii obsługujące europejskich podatników. Raporty za rok 2026 będą składane do końca stycznia 2027, a wymiana informacji między państwami ma nastąpić do września tego samego roku.

Dostawcy spoza Unii, którzy oferują usługi mieszkańcom UE, będą zobowiązani do rejestracji w jednym z krajów członkowskich i przestrzegania wymogów DAC8, nawet jeśli nie prowadzą fizycznej działalności w Europie. To oznacza, że nadzór podatkowy obejmie globalny rynek kryptowalut.

Dla użytkowników indywidualnych oznacza to rosnące znaczenie bezpieczeństwa i prywatności w zarządzaniu środkami cyfrowymi. Coraz więcej osób poszukuje rozwiązań, które pozwalają zachować kontrolę nad swoimi aktywami bez konieczności przekazywania danych osobowych. Z tego powodu warto zwrócić uwagę na parametry, które powinien spełniać najlepszy anonimowy portfel, czyli taki, który nie wymaga rejestracji danych użytkownika, szyfruje klucze prywatne lokalnie i nie gromadzi informacji o transakcjach.

Jak przygotować firmę do nadchodzących zmian

1. Sprawdź, czy Twoja działalność wymaga licencji MiCA
   Jeśli prowadzisz giełdę, kantor, portfel powierniczy lub inny podmiot obsługujący kryptowaluty, będziesz zobowiązany do uzyskania licencji. Wniosek należy złożyć najpóźniej do 1 lipca 2026 roku. Dokumentacja powinna obejmować procedury zgodności, zarządzania ryzykiem, ochrony danych i AML.

2. Wdrożenie zasady podróży
   Każda platforma krypto musi wprowadzić rozwiązania pozwalające przekazywać dane nadawcy i odbiorcy transakcji. Wymagane jest wdrożenie systemów weryfikacji danych, filtrowania adresów o podwyższonym ryzyku oraz procedur postępowania w przypadku niezgodności.

3. Przygotowanie do raportowania DAC8
   Firmy powinny rozpocząć inwentaryzację danych klientów oraz transakcji, które będą objęte raportowaniem. Należy zbudować wewnętrzny system raportowy lub wdrożyć rozwiązania zgodne z unijnym formatem danych. Wskazane jest rozpoczęcie testów już w czwartym kwartale 2025 roku, aby uniknąć błędów przy pierwszym obowiązkowym raporcie.

4. Zwiększenie odporności operacyjnej zgodnie z DORA
   Podmioty krypto muszą wdrożyć testy bezpieczeństwa systemów, audyty cyberochrony oraz plan reagowania na incydenty. Wymagane będzie monitorowanie usług zewnętrznych, zwłaszcza chmurowych, i raportowanie zakłóceń działalności do nadzorcy.

5. Bieżące monitorowanie przepisów
   Komisja Europejska sukcesywnie publikuje akty wykonawcze do MiCA określające opłaty, kary i szczegółowe wymogi. W Polsce trwają prace nad ustawą wdrażającą MiCA i określającą krajowy nadzór nad rynkiem krypto. Firmy powinny śledzić te zmiany i aktualizować procedury na bieżąco.

Dodatkowe regulacje, o których warto wiedzieć

• Cyber Resilience Act (CRA) – unijne przepisy dotyczące bezpieczeństwa produktów cyfrowych, które wejdą w życie w grudniu 2027 roku.

• Dyrektywa NIS 2 – rozszerza obowiązki w zakresie cyberbezpieczeństwa i ochrony systemów informacyjnych, co może objąć również firmy z sektora kryptowalut.

• Przepisy krajowe – planowana polska ustawa o wdrożeniu MiCA ma określić nadzorcę rynku, zasady kar administracyjnych i szczegółowe procedury rejestracji.

Co to oznacza dla użytkowników i inwestorów

Użytkownicy kryptowalut powinni spodziewać się bardziej szczegółowej weryfikacji tożsamości na platformach, obowiązku podawania danych przy wypłatach oraz monitorowania transakcji przez instytucje finansowe. Z drugiej strony wzrosną standardy bezpieczeństwa, co ograniczy ryzyko utraty środków lub nieuczciwych działań ze strony dostawców usług.

Inwestorzy powinni wybierać platformy posiadające licencję MiCA lub działające w zgodzie z DAC8 i DORA. Firmy, które spełnią te wymogi, zyskają przewagę konkurencyjną i większe zaufanie klientów.

Rynek kryptowalut w Europie wchodzi w etap pełnej regulacji. Przez najbliższe dwa lata przedsiębiorcy i użytkownicy powinni przygotować się na raportowanie, wymogi technologiczne i zaostrzone procedury bezpieczeństwa. Odpowiednie przygotowanie już teraz pozwoli uniknąć kosztownych błędów i zapewni zgodność z przepisami od początku 2026 roku.

Artykuł sponsorowany