ItisPay
ItisPay
BLOGMenu
BLOG|
Questões legais e de conformidade

O que uma Licença MiCA CASP Realmente Exige

O Que uma Licença MiCA CASP Realmente Exige
Até 1º de julho de 2026, toda empresa que fornece serviços de cripto-ativos na UE precisa de autorização MiCA CASP. Sem exceções, sem prorrogações. Quantos operadores realmente conseguirão passar é outra história. Não muitos, pelos dados atuais. Na primavera de 2026, cerca de 130–140 CASPs receberam autorização MiCA completa em todos os 27 estados membros. Centenas de empresas que operavam legalmente sob registros VASP nacionais antes da MiCA ainda aguardam, ou nunca pediram. A Itália tinha mais de 150 registros VASP antigos; a França tinha 104. Praticamente nenhum foi convertido. O problema não é apenas atraso. Os requisitos MiCA foram pensados para instituições financeiras reguladas, não startups de criptografia. Uma exchange de €5 bilhões e um app de carteira com 10 funcionários enfrentam as mesmas exigências de capital, governança e TI. Essa padronização é onde a maioria das candidaturas cai. ## Três Tipos de Serviços, Três Patamares de Capital O Artigo 67 da MiCA vincula capital diretamente aos serviços. Existem três tipos, e o capital mínimo de uma empresa é determinado por qualquer tipo que ela ofereça: **Tipo 1** cobre consultoria e recepção e transmissão de ordens. Capital mínimo: €50.000. Escopo restrito — sem exchange, sem custódia. Empresas de informação ou sinais se enquadram aqui. **Tipo 2** adiciona exchange contra moeda fiduciária e outros cripto-ativos, execução de ordens e colocação. Piso: €125.000. Plataformas de negociação à vista, mesas OTC e agregadores se enquadram aqui. **Tipo 3** adiciona custódia e administração de cripto-ativos para clientes. Piso: €150.000. Qualquer empresa que segure chaves privadas de clientes, administre uma carteira de custódia ou gerencie posições de clientes é Tipo 3. Os números parecem baixos. Não são, por duas razões. O capital precisa ser mantido como capital regulatório — não como caixa operacional, não como depósitos de clientes. Precisa estar segregado e disponível para a autoridade reguladora sob demanda. Para uma startup, bloquear €125K–€150K permanentemente é um problema real. O Artigo 67(1)(b) ainda exige capital igual ao maior entre o piso do tipo e um quarto da despesa geral fixa do ano anterior. Uma empresa com €600K em despesas anuais precisa de €150K independentemente dos serviços que oferece. Conforme o negócio cresce, o cálculo de despesas gerais ultrapassa o piso sem mudanças no produto. Mudar de tipo não é atualizar um formulário. Uma empresa Tipo 2 que adiciona custódia precisa de uma avaliação supervisória Tipo 3 nova do zero. Os serviços não podem ser ativados enquanto a autorização está em processo. A maioria das empresas de cripto que constrói um produto completo — exchange e custódia — é Tipo 3 desde o início, mesmo que custódia não seja a principal fonte de receita. Uma empresa que permite que usuários mantenham saldo após uma negociação está fornecendo custódia. O piso de €150.000 e todos os requisitos de governança Tipo 3 valem desde o primeiro dia. ## Governança Não é uma Caixa de Seleção — Artigo 68 Exige Estrutura Capital é o preço de entrada. Os Artigos 68 a 71 determinam se a candidatura realmente passa. O Artigo 68 exige que a gestão tenha "boa reputação" e "conhecimento, habilidades e experiência adequados" à complexidade da CASP. As autoridades reguladores querem pelo menos um executivo-chefe residente que realmente viva e trabalhe na UE. Voar para reuniões do conselho não satisfaz o teste de substância do Banco da Lituânia, AFM ou BaFin. Os RTS da ESMA sob o Artigo 68 exigem que funções centrais de controle interno tenham proprietários nomeados, escopos de responsabilidade documentados e independência estrutural comprovada. O modelo de três linhas é esperado. Uma função de conformidade que se reporta ao COO, que também gerencia receita e desenvolvimento de negócios, falha no teste de independência na maioria das autoridades. O CCO se reporta ao conselho, não às operações. Cada responsável por função chave recebe uma avaliação de adequação: CEO, CFO, Chefe de Conformidade, MLRO. Em muitas jurisdições, também Chefe de TI e Chefe de Custódia, se essas funções tocarem atividades reguladas. Cada pessoa apresenta histórico profissional, qualificações e verificação de antecedentes criminais. Se uma pessoa falhar, toda a candidatura fica bloqueada até resolver. Os Artigos 69 a 71 adicionam: um procedimento de reclamação com caminhos de escalação definidos e prazos de resposta; padrões de comunicação com clientes sobre clareza e transparência; e uma política escrita de conflitos de interesse com revisão periódica do conselho.

O MLRO tem regras próprias. A maioria dos Estados-membros da UE exige um cargo nomeado e dedicado — separado do CCO — com acesso ao conselho e autoridade documentada para apresentar Relatórios de Atividades Suspeitas de forma independente. Não é permitido delegar isso a um consultor externo. O MLRO precisa estar na folha de pagamento.

Nada disso é tecnicamente complicado. Construir do zero leva no mínimo seis meses, e a NCA verificará que funciona de verdade, não apenas que os documentos existem.

A maioria dos operadores nesta fase lê como o ItisPay resolve isso sem sua própria licença em vez de gastar 12 meses construindo uma organização de conformidade antes de saber se a NCA aprovará.

TIC e DORA: A camada técnica que a maioria dos operadores subestima#

A partir de 17 de janeiro de 2025, os CASPs regulados por MiCA também se enquadram na Lei de Resiliência Operacional Digital (DORA). MiCA exige um framework de segurança de TIC como condição de autorização. DORA especifica o que há dentro dele.

A submissão de DORA — apresentada como parte da solicitação de MiCA — deve cobrir:

  • Um framework de gerenciamento de risco de TIC com políticas escritas abrangendo identificação, proteção, detecção, resposta e recuperação
  • Procedimentos para detectar, classificar e reportar incidentes. Incidentes significativos vão para a NCA dentro de prazos definidos após detecção
  • Um plano de continuidade de negócios, testado anualmente
  • Um registro de risco de terceiros para todos os fornecedores e provedores de nuvem relevantes, com uma estratégia de saída escrita para cada um
  • Exercícios de resposta a incidentes em um ciclo definido

Para CASPs acima de certos limiares de tamanho, os Artigos 24–27 da DORA exigem Testes de Penetração Orientados por Ameaça a cada três anos, usando provedores externos aprovados. Um primeiro engajamento de TLPT — escopo, execução, reporte de remediação — custa normalmente entre €30K e €80K.

Construir um framework de TIC compatível com DORA do zero leva de seis a doze meses. O formulário de solicitação não pede um modelo de política; pede uma estrutura operacional viva e funcional. NCAs querem registros de testes e logs de incidentes. Empresas que chegam com documentação mas sem evidência operacional subjacente são rejeitadas na primeira revisão formal.

Os requisitos de risco de terceiros afetam especialmente empresas de criptografia rodando em nuvem. Toda dependência relevante — provedores de hospedagem, fornecedores de KYC, provedores de dados blockchain, fornecedores de tecnologia de custódia — precisa de devida diligência documentada, direitos de auditoria contratual e um plano de saída escrito. Uma empresa que não consegue demonstrar uma saída credível de AWS, Google Cloud ou Fireblocks não passará na verificação de risco de concentração da DORA.

O que uma Licença MiCA CASP Realmente Exige

País por País: Os Prazos Não São Iguais#

MiCA se aplica em toda a UE. A autorização ocorre em nível nacional, e as diferenças entre estados-membros são grandes.

A Lituânia é a mais rápida. O Banco da Lituânia aprova solicitações de CASP em cerca de seis meses, às vezes menos se a documentação estiver completa. O período transitório terminou em 1º de janeiro de 2026. Empresas ainda operando com status provisório lá já não têm proteção. Para pedidos apresentados até fevereiro de 2026 com documentação completa, a Lituânia é a única jurisdição que poderia potencialmente conceder uma licença antes de julho.

Os Países Baixos são o segundo centro. A AFM emitiu suas primeiras licenças MiCA em 30 de dezembro de 2024 e havia autorizado 26 CASPs no início de maio de 2026. A análise leva de nove a doze meses. Os requisitos são rigorosos: sede registrada, funcionários locais, operações reais. Estruturas fictícias são detectadas cedo.

BaFin é a mais exigente. A análise leva de doze a vinte e quatro meses. Um dossiê completo geralmente ultrapassa 200 páginas antes do primeiro feedback. A Alemanha tem 53 CASPs autorizadas em maio de 2026 — uma cifra que reflete seu setor financeiro estabelecido, não um caminho fácil para novos entrantes. Sem presença operacional na Alemanha, um pedido a BaFin é um projeto de vários anos.

França (AMF) e Itália (Banca d'Italia / Consob) levam de doze a dezoito meses. Malta (MFSA) publicou orientações detalhadas em março de 2025 e se posiciona como amiga da fintech, embora autorize menos CASPs que os três mercados maiores.

Para equipes que ainda não apresentaram pedidos, o cálculo é simples: nenhuma jurisdição concede autorização de CASP antes de 1º de julho de 2026, a menos que o processo já esteja em fase avançada de revisão. A janela se fechou em quase todas as jurisdições, exceto marginalmente na Lituânia.

Polônia: A Lacuna Regulatória Aberta#

A Polônia é diferente. Em 1º de dezembro de 2025, o Presidente Karol Nawrocki vetou a Lei sobre o Mercado de Criptoativos — a lei que a Polônia precisava para implementar o processo de autorização de CASP de MiCA localmente.

O veto teve justificativas específicas. O gabinete presidencial contestou uma disposição que permitiria ao KNF bloquear sites VASP unilateralmente, e outra que permitiria congelar contas por até 96 horas em casos de insider trading, prorrogáveis por seis meses sem supervisão judicial.

Resultado: nenhuma autoridade regulatória na Polônia atualmente aceita pedidos de CASP. Empresas operando sob o registro VASP anterior a MiCA estão em situação indefinida. MiCA tem força de lei em todos os estados-membros da UE. Sem uma autoridade designada e regras processuais nacionais, não há como apresentar um pedido.

Em maio de 2026, nenhuma lei revisada foi aprovada. Empresas com operações na Polônia enfrentam um problema mais agudo que operadores em qualquer outro lugar da UE. As opções são re-legislação, transferir a autorização para outra jurisdição, ou sair do mercado.

Os Verdadeiros Obstáculos Por Trás dos Números#

O requisito de capital mínimo raramente é o que causa rejeição. O problema real são cinco requisitos que chegam simultaneamente, e nenhum deles tem alternativa.

O oficial de conformidade não pode ser compartilhado. Autoridades rejeitam pedidos onde conformidade é combinada com outro papel ou dividida entre entidades. Um diretor de conformidade dedicado com credenciais relevantes custa no mínimo €80K–€120K por ano. Não uma consultoria. Um funcionário em tempo integral desde o dia em que o pedido é apresentado.

O pacote de candidatura é extenso. Abrange: políticas de governança, organograma, programa AML/CFT, framework DORA, comprovação de capital, projeções financeiras, plano de negócios de três anos, CVs detalhados de cada dirigente, política de salvaguarda de ativos, procedimento de reclamações, política de conflitos de interesse e whitepaper conforme exigido. Normalmente centenas de páginas. A maioria das autoridades pede informações adicionais, atrasando a revisão em meses.

O capital fica comprometido. Os fundos próprios devem ser mantidos durante toda a autorização. Para uma startup que precisa de flexibilidade financeira, esse requisito compete diretamente com o orçamento de operação.

Os prazos não são garantidos. As autoridades podem estender a revisão a seu critério. Nenhuma jurisdição oferece um prazo contratual. Uma empresa que planejou o lançamento de um produto para Q3 2026 não pode contar com uma licença que ainda está na primeira fase de análise.

Supervisão não é uma taxa única. Uma vez ativa, as taxas supervisoras anuais, testes de TIC contínuos, requisitos de auditoria e pessoal de conformidade custam €150K–€250K por ano. O primeiro ano é um depósito, não o total.

Para equipes que não conseguem investir €300K–€500K no primeiro ano ou que precisam de mais flexibilidade no cronograma, veja a alternativa de camada de software.

Três caminhos após 1º de julho de 2026#

Se sua empresa não tiver autorização CASP até essa data, existem três opções operacionais.

Parar de operar na UE. Encerrar serviços para usuários da UE até obter a autorização. É totalmente em conformidade, mas caro para qualquer empresa com usuários europeus ativos ou recebimentos via bancos europeus.

Operar sob uma entidade do grupo que já tem autorização. Uma controladora ou afiliada licenciada CASP em um estado membro pode oferecer serviços em toda a UE usando o passaporte MiCA. Isso exige reestruturação corporativa real — marca ou tecnologia compartilhada não é suficiente. A entidade licenciada precisa ter substância econômica verdadeira. As notificações de passaporte devem ser apresentadas e aceitas pelas autoridades regulatórias de origem e de destino. Se o seu grupo ainda não tem uma entidade autorizada, obter uma significa comprar ou construir do zero, o que reinicia inteiramente o processo.

Rotear através de um parceiro licenciado. Se precisa oferecer câmbio, transferência ou custódia para clientes da UE, pode fazer isso através de um CASP e uma Instituição de Pagamento licenciada que já têm as autorizações necessárias. O parceiro licenciado assume a exposição regulatória. O produto que você oferece continua sob sua marca.

Se construir sua própria estrutura de conformidade não é viável agora, conecte-se com um parceiro CASP + PI licenciado — isso é exatamente para que itispay.com/mica foi desenvolvido.

Este artigo é apenas informativo e não constitui aconselhamento legal ou regulatório. Consulte um assessor qualificado antes de tomar qualquer medida.

Clara Whitfield

Clara Whitfield

Share this article:

The newsletter for crypto entrepreneurs

Join founders and innovators exploring crypto payments. Get insights, product updates, and stories from businesses building the future of digital commerce.

Unsubscribe anytime. By entering your email, you agree to receive marketing emails from ItisPay. By proceeding, you agree to the Terms and Conditions and Privacy Policy.

Ready to launch stablecoin-first payments under your brand?

Stablecoin-first infrastructure with 1:1 EUR/USD backing. Deploy in 1 week. Built for high-volume PSPs and neobanks with zero volatility risk.

Book a DemoTry API