Do 1 lipca 2026 r. każda firma świadcząca usługi w zakresie aktywów kryptograficznych w UE musi posiadać autoryzację MiCA CASP. Bez wyjątków, bez przedłużeń. Pytanie tylko, ilu operatorom rzeczywiście się to uda.
Niewielu. Na wiosną 2026 r. około 130–140 CASP-ów otrzymało pełną autoryzację MiCA we wszystkich 27 państwach członkowskich UE. Setki firm, które działały w ramach krajowych rejestracji VASP sprzed MiCA, wciąż czekają lub w ogóle nie złożyły wniosku. Włochy miały ponad 150 rejestracji VASP sprzed MiCA; Francja miała 104. Praktycznie żadna z nich nie została zamieniona.
Problem to nie zaległości. MiCA została napisana dla regulowanych instytucji finansowych, nie dla startupów. Giełda o wartości 5 miliardów euro i 10-osobowy zespół sprzedający portfele muszą spełniać identyczne wymogi kapitałowe, ładu korporacyjnego i systemów IT. Ta symetria załamuje większość wniosków.
Trzy klasy usług, trzy progi kapitałowe#
Artykuł 67 MiCA wiąże wymogi kapitałowe z oferowanymi usługami. Istnieją trzy klasy:
Klasa 1 obejmuje usługi doradcze oraz przyjmowanie i przekazywanie zleceń. Minimalny kapitał własny: 50 000 EUR. Firmy oferujące informacje lub sygnały należą do tej kategorii.
Klasa 2 dodaje wymianę na fiat i inne aktywa kryptograficzne, wykonywanie zleceń i emisję. Próg kapitałowy: 125 000 EUR. Giełdy spot, biura OTC i agregatory są tutaj.
Klasa 3 dodaje przechowywanie i administrowanie aktywami dla klientów. Próg kapitałowy: 150 000 EUR. Każda firma posiadająca prywatne klucze klientów lub prowadząca portfele przechowawcze to klasa 3.
Te liczby wydają się małe. Ale nie są, z dwóch powodów.
Kapitał musi zostać zablokowany jako regulacyjny kapitał własny – nie może być obiegowym kapitałem ani depozytami klientów. Musi być wyodrębniony i dostępny dla nadzorcy na żądanie. Dla startupu zablokowanie 125–150 tys. EUR to poważne ograniczenie.
Artykuł 67(1)(b) dodaje kolejny warunek: kapitał własny musi być równy wyższemu z dwóch wartości – progu klasy lub jednej czwartej stałych kosztów ogólnych z poprzedniego roku. Firma z rocznym wydatkami operacyjnymi 600 tys. EUR potrzebuje 150 tys. EUR kapitału niezależnie od profilu usług. W miarę wzrostu biznesu wymogi kapitałowe rosną razem z kosztami.
Przesunięcie między klasami wymaga nowego przeglądu nadzorczego. Firma klasy 2 dodająca ochronę musi wznowić cały proces jako klasa 3. Nie można tego zrobić w trakcie istniejącej autoryzacji.
Większość firm kryptograficznych budujących pełny produkt – wymianę plus ochronę – to automatycznie klasa 3 od pierwszego dnia. Jeśli użytkownicy mogą trzymać saldo po transakcji, to już ochrona. Próg 150 000 EUR i całe wymogi klasy 3 zaczynają się natychmiast.
Ład korporacyjny to nie opcja – artykuł 68 wymaga konkretnej struktury#
Kapitał to warunek wstępny. Artykuły 68–71 decydują, czy wniosek rzeczywiście przejdzie.
Artykuł 68 wymaga, aby kierownictwo miało „wystarczającą reputację" i „odpowiednią wiedzę, umiejętności i doświadczenie" proporcjonalne do złożoności CASP. Nadzorcy chcą co najmniej jednego dyrektora mieszkającego w EEA, który rzeczywiście pracuje w UE na co dzień. Pojawianie się na posiedzeniach rad nie spełnia tego warunku w oczach Banku Litwy, AFM czy BaFin.
Europejskie standardy techniczne ESMA wymagają, aby kluczowe funkcje kontrolne miały wyznaczonych właścicieli, udokumentowane zakresy odpowiedzialności i strukturalną niezależność. Oczekiwana jest trzyliniowa obrona nadzorcza. Funkcja zgodności podlegająca COO, który kieruje przychodami, nie przejdzie testu niezależności. Kierownik Compliance musi raportować radzie, nie operacjom.
Każda osoba na kluczu przechodzi ocenę zdatności: CEO, CFO, Kierownik Compliance, MLRO. W wielu krajach również Kierownik IT i Custody. Każda osoba musi przedłożyć CV, kwalifikacje i zaświadczenie o niekaralności. Jeśli jedna osoba nie przejdzie, cały wniosek czeka do rozstrzygnięcia.
Artykuły 69–71 dodają wymogi dotyczące procedur reklamacji, komunikacji z klientami oraz polityki konfliktu interesów przeglądzanej przez radę.
MLRO musi być konkretną, dedykowaną osobą. Większość krajów UE wymaga tego — stanowiska oddzielonego od Chief Compliance Officer, z dostępem do zarządu i prawem do niezależnego raportowania podejrzanych działań. Nie możesz oddać tej roli zewnętrznemu radcy prawnemu. Musi być pracownikiem.
To nie jest skomplikowane. Ale budowanie tego zajmuje co najmniej sześć miesięcy. A regulator przychodzi sprawdzić, czy faktycznie to funkcjonuje — nie czy polisa została napisana.
W tym punkcie większość operatorów czyta o ItisPay, które robi to bez własnej licencji, i myśli: czemu mam spędzić rok na budowaniu całego zespołu compliance, jeśli nawet nie wiem, czy regulator to zaakceptuje?
ICT i DORA: technika, którą większość niedocenia#
Od 17 stycznia 2025 roku, dostawcy CASP objęci MiCA muszą też spełniać DORA — Ustawę o Odporności Operacyjnej na Zagrożenia Cyfrowe. MiCA wymaga ram bezpieczeństwa ICT. DORA mówi, co tam powinno być.
Kiedy składasz wniosek MiCA, musisz już mieć:
- Ramę zarządzania ryzykiem ICT z polityką — jak identyfikujesz zagrożenia, chronisz systemy, wykrywasz ataki, reagujesz i się odrabiasz
- Procedury raportowania incydentów. Poważne incydenty ICT trzeba zgłosić regulatorowi w określonym czasie od odkrycia
- Plan na wypadek awarii, testowany corocznie
- Rejestr ryzyka dla wszystkich kluczowych dostawców trzecich — hosting, chmura, wszystko — z dokumentem, jak się od nich odłączysz, jeśli będzie trzeba
- Symulacje ataków zgodnie z harmonogramem
Dla większych operatorów DORA wymaga testów penetracyjnych co trzy lata przeprowadzonych przez zatwierdzonych zewnętrznych specjalistów. Jedno takie zaangażowanie kosztuje typowo 30 000–80 000 EUR.
Budowanie ICT od zera trwa sześć do dwunastu miesięcy. Regulator nie chce szablonu. Chce dowodu, że to rzeczywiście działa — testy, logi, rejestry zdarzeń. Firmy, które przychodzą z dokumentami ale bez rzeczywistych procedur, dostają „nie" w pierwszym przeglądzie.
Ryzyka trzecich stron to prawdziwy ból dla firm kryptograficznych w chmurze. Każdy kluczowy dostawca — hosting, KYC, dane blockchain, storage — wymaga due diligence, prawa do auditów w umowie i planu wyjścia. Jeśli nie potrafisz pokazać, jak wychodzisz z AWS, Google Cloud czy Fireblocks, nie przejdziesz.
Kraj za krajem: Czasowe ramy się różnią#
MiCA obowiązuje w całej UE. Autoryzacja jest procesem krajowym i różnice między państwami członkowskimi są duże.
Litwa jest najszybsza. Bank Litwy kończy autoryzację CASP zwykle w sześć miesięcy, czasem szybciej przy kompletnychDokumentach. Okres przejściowy Litwy skończył się 1 stycznia 2026 roku. Firmy wciąż działające tam na zasadzie statusu przejściowego są już zagrożone. Dla wniosków złożonych do lutego 2026 roku z pełnymi dokumentami Litwa jest jedyną jurysdykcją, która teoretycznie mogłaby wydać licencję przed lipcem.
Holandia jest drugim huben. AFM wydał pierwsze licencje MiCA 30 grudnia 2024 roku i autoryzował 26 CASP do maja 2026 roku. Przetwarzanie trwa od dziewięciu do dwunastu miesięcy. Wymagania są surowe: zarejestrowana siedziba, rzeczywista lokalna kadra, faktyczna obecność operacyjna. Struktury papierowe są szybko identyfikowane.
BaFin jest najbardziej wymagający. Przetwarzanie trwa od dwunastu do dwudziestu czterech miesięcy. Kompleta dokumentacja wniosku do BaFin przekracza zwykle 200 stron. Niemcy mają 53 autoryzowanych CASP na maj 2026 roku — liczba, która odzwierciedla istniejący sektor finansowy z licencją, a nie łatwą ścieżkę dla nowych graczy. Bez rzeczywistej substancji operacyjnej w Niemczech wniosek do BaFin zajmuje wiele lat.
Francja (AMF) i Włochy (Banca d'Italia / Consob) przetwarzają wnioski przez dwanaście do osiemnastu miesięcy. Malta (MFSA) opublikowała szczegółowe wytyczne MiCA w marcu 2025 roku i pozycjonuje się jako przyjazna dla fintech, choć liczba wydanych licencji pozostaje poniżej trzech głównych rynków.
Dla zespołów, które nie złożyły wniosków, fakty są jasne: żadna jurysdykcja nie wyda autoryzacji CASP przed 1 lipca 2026 roku, chyba że wniosek jest już zaawansowany w przeglądzie NCA. Okno zamknęło się wszędzie poza marginalnie Litwą.
Polska: Brak regulacji#
Polska to wyjątek. 1 grudnia 2025 roku Prezydent Karol Nawrocki zawetował Ustawę o rynku aktywów kryptograficznych — prawo wymagane do wdrożenia krajowego procesu autoryzacji CASP zgodnie z MiCA.
Zastrzeżenia były konkretne. Biuro Prezydenta wskazało przepis pozwalający KNF blokować witryny VASP jednostronnie oraz przepis dający KNF prawo zamroźić konta aktywów kryptograficznych na 96 godzin w przypadku podejrzenia wykorzystania informacji poufnych, z możliwością przedłużenia do sześciu miesięcy bez nadzoru sądowego.
Rezultat: żadna właściwa władza w Polsce nie przyjmuje wniosków CASP. Firmy działające na podstawie rejestracji VASP w Polsce znajdują się w próżni prawnej. MiCA obowiązuje w Polsce bezpośrednio — rozporządzenie ma moc prawa we wszystkich państwach członkowskich UE. Bez wyznaczonego NCA i krajowych procedur nie ma jednak dokąd złożyć dokumentów.
Na maj 2026 roku żadna zmieniona ustawa nie przeszła. Firmy z operacjami w Polsce stają przed trudniejszym problemem niż operatorzy w reszcie UE. Dostępne opcje to oczekiwanie na nowe prawo, przeniesienie autoryzacji do innej jurysdykcji lub wyjście z rynku.
Co naprawdę blokuje wnioski#
Minimalny kapitał rzadko odmawia wniosku. Rzeczywisty problem to pięć wymogów pojawiających się jednocześnie, bez możliwości obejścia żadnego z nich.
Oficer ds. zgodności nie może być współdzielony. NCA odrzucają wnioski, gdzie funkcja zgodności łączy się z rolą generującą przychód lub jest rozproszona między podmioty. Dedykowany CCO z odpowiednimi kompetencjami i zamieszkaniem w EEA kosztuje minimum 80 000–120 000 euro rocznie. Musi to być pełnoetatowy pracownik na liście płac od dnia złożenia wniosku, nie doradca zewnętrzny.
Pakiet wniosku to nie formularz. Kompletna dokumentacja obejmuje: polityki ładu korporacyjnego i schemat organizacyjny, program AML/CFT, ramy DORA ICT, dowód kapitału i prognozy, trzyletnią strategię biznesową, CV i materiały dla każdego na kluczowej pozycji, politykę ochrony aktywów klientów, procedurę reklamacji, politykę konfliktów interesów i whitepaper zgodny z MiCA gdzie wymaga. Zazwyczaj kilkaset stron. Większość NCA żąda co najmniej jedno uzupełnienie, przesuwając przegląd o miesiące.
Kapitał pozostaje zablokowany. Wymogane fundusze własne muszą być utrzymywane przez cały okres autoryzacji. Dla startupu potrzebującego elastyczności kapitałowej, to żądanie konkuruje bezpośrednio z możliwością działania.
Terminy nie są wiążące. NCA mogą przedłużać przegląd według swojego uznania. Żadna jurysdykcja nie gwarantuje umownego czasu przetwarzania. Firma, która zaplanowała wprowadzenie produktu na trzeci kwartał 2026 roku, nie może polegać na licencji, która wciąż czeka na przegląd pierwszej rundy.
Nadzór to wydatek bieżący, nie jednorazowa opłata. Po uruchomieniu musisz liczyć na €150K–€250K rocznie na opłaty nadzorcze, testowanie ICT, audyty i zespół compliance. Pierwszoroczna wpłata to tylko początek.
Jeśli wydatek €300K–€500K w pierwszym roku jest niemożliwy lub nie masz elastycznych ram czasowych, rozważ opcję na poziomie oprogramowania.
Trzy wyjścia po 1 lipca 2026 roku#
Firmy bez autoryzacji CASP do tego terminu mają trzy możliwości.
Wyjście z UE. Przestań obsługiwać klientów w Unii dopóki nie uzyskasz autoryzacji. To jest legalne, ale boli — szczególnie jeśli masz aktywnych użytkowników lub transakcje przechodzą przez europejskie kanały bankowe.
Działalność przez autoryzowanego partnera grupy. Jeśli twoja firma macierzysta albo powiązana ma już autoryzację CASP w jednym kraju UE, może Ci udostępnić usługi poprzez paszport MiCA na całą Unię. Musisz jednak wykazać rzeczywistą substancję gospodarczą — wspólne branding lub technologia nie wystarczą. Oba organy nadzoru (país pochodzenia i przyjmujący) muszą zaakceptować zgłoszenie o pasportyzacji. Jeśli grupa jeszcze nie ma autoryzowanego podmiotu, musisz go kupić albo zbudować od zera, co oznacza powrót na koniec kolejki.
Współpraca przez autoryzowanego partnera. Możesz kierować transakcje wymianowe, transfery lub przechowywanie poprzez autoryzowanego CASP i instytucję płatniczą (PI) licencjonowaną w UE. Partner ponosi ryzyko regulacyjne. Twoja marka pozostaje na produkcie dla klienta.
Jeśli budowanie własnego stack compliance nie ma teraz sensu, podłącz się do partnera CASP + PI, który już ma licencje — właśnie do tego służy itispay.com/mica.
Ta zawartość ma charakter wyłącznie informacyjny i nie stanowi porady prawnej ani regulacyjnej. Skonsultuj się z doradcą przed podjęciem decyzji.
