К 1 июля 2026 года каждая фирма, предоставляющая услуги с криптоактивами в ЕС, должна иметь авторизацию MiCA CASP. Никаких исключений, никаких продлений. Вопрос только в том, сколько операторов это действительно сделают.
По имеющимся данным, не очень много. По состоянию на весну 2026 года примерно 130–140 CASP получили полную авторизацию MiCA во всех 27 государствах-членах ЕС. Сотни фирм, которые работали по старым национальным регистрациям VASP, всё ещё собирают документы или так и не подали заявку. В Италии было более 150 регистраций VASP до MiCA; во Франции было 104. Практически ни одну не перевели.
Разрыв — не просто отставание. Требования MiCA рассчитаны на традиционные финансовые организации, а не криптостартапы. Биржа с оборотом в 5 млрд евро и небольшой кошелек на 10 человек должны соответствовать одинаковым правилам по капиталу, управлению и ИТ. Это создает непропорциональное бремя для малых проектов.
Три класса услуг, три минимума капитала#
Статья 67 MiCA привязывает требования по капиталу к типу услуг. Существует три класса с разными минимумами собственных средств:
Класс 1 — консультации, приём и передача заказов. Минимум: 50 000 евро. Без функции обмена, без хранения. Сюда входят фирмы с информационными или сигнальными услугами.
Класс 2 — обмен на фиат и другие криптоактивы, исполнение заказов, размещение. Минимум: 125 000 евро. Здесь находятся платформы спотовой торговли, OTC-столы и агрегаторы.
Класс 3 — хранение и управление криптоактивами от имени клиентов. Минимум: 150 000 евро. Любая фирма, хранящая приватные ключи, управляющая кошельками или позициями клиентов, относится к Классу 3.
Цифры выглядят скромно, но на деле это не так по двум причинам.
Капитал должен быть нормативным собственным капиталом — не рабочим капиталом, не депозитами клиентов. Он должен быть отделён и доступен для регулятора по требованию. Для стартапа постоянная блокировка 125–150 тыс. евро — это серьёзное препятствие.
Статья 67(1)(b) требует ещё и собственные средства в размере большей из двух величин: минимум класса или четверть годовых накладных расходов. Фирме с годовыми расходами 600 тыс. евро требуется 150 тыс. евро независимо от услуг. Растёт бизнес — растёт и требуемый капитал, без изменения продукта.
Переход между классами требует нового разрешения. Если Класс 2 добавляет хранилище, нужна новая проверка на соответствие Классу 3. Услуги нельзя добавлять во время текущей авторизации.
Большинство крипто-компаний с полнофункциональным продуктом — биржа плюс хранилище — автоматически относятся к Классу 3, даже если хранилище не основной источник доходов. Если пользователи могут хранить средства после торговли, это уже услуга хранения. Требуемый минимум 150 000 евро и все требования Класса 3 действуют с первого дня.
Управление — не галочка, а структура#
Капитал — это только входной билет. Статьи 68–71 определяют, будет ли заявка одобрена.
Статья 68 требует, чтобы члены совета имели «хорошую репутацию» и «надлежащие знания, навыки и опыт» под сложность CASP. Регуляторы хотят видеть как минимум одного исполнительного директора, проживающего в ЕЭЗ, который действительно живёт и работает в ЕС, а не только приносит свой голос на заседания.
Требования ESMA по статье 68 строги: ключевые функции внутреннего контроля должны иметь назначенных владельцев, документированные зоны ответственности и структурную независимость. Нужна модель трёх линий защиты. Если отдел соответствия подчиняется COO, который отвечает и за доходы, такое разделение не пройдёт проверку независимости в большинстве регуляторов. CCO должен отчитываться перед советом, а не перед операциями.
Каждый ключевой функционер проходит оценку пригодности: генеральный директор, финансовый директор, глава соответствия, MLRO. Многие юрисдикции также требуют оценку главы ИТ и главы отдела хранения, если они отвечают за регулируемую деятельность. Каждый предоставляет историю работы, квалификацию и справку об отсутствии судимости. Если хоть один не пройдёт проверку, вся заявка замораживается.
Статьи 69–71 добавляют: процедуру обработки жалоб с установленными сроками ответа; стандарты общения с клиентами по ясности и прозрачности; и письменную политику разрешения конфликтов интересов, которую совет должен периодически пересматривать.
MLRO должна быть именованной должностью с доступом в совет директоров и правом самостоятельно подавать отчеты о подозрительной деятельности. Большинство стран ЕС не признают её делегирование внешним юристам. Это требование простое, но строгое: должность должна быть в штатном расписании.
Создание такой структуры занимает минимум шесть месяцев. Регулятор проверит не только документы, но и то, действительно ли она работает.
На практике большинство компаний смотрят на то, как ItisPay решает эту задачу без собственной лицензии, вместо того чтобы потратить год на построение отдела соответствия и потом ждать одобрения.
ICT и DORA: что компании обычно недооценивают#
С 17 января 2025 года криптокомпании, попадающие под MiCA, также должны соответствовать Закону об устойчивости цифровых операций (DORA). MiCA требует базовую безопасность ICT при получении лицензии. DORA определяет, что в неё входит.
DORA-документ, который подаётся вместе с заявкой MiCA, должен описывать:
- Управление рисками ICT: письменные политики по выявлению, защите, обнаружению угроз, реагированию на инциденты и восстановлению
- Процесс классификации инцидентов и их отчётности. Серьёзные инциденты докладываются регулятору в течение установленных часов
- План непрерывности бизнеса с ежегодным тестированием
- Реестр рисков для всех ключевых поставщиков и облачных сервисов с планом выхода для каждого
- Регулярные учения по реагированию на инциденты
Для крупных компаний, превышающих установленные пороги, DORA требует тестирование на проникновение каждые три года у одобренных внешних провайдеров. Такое тестирование обычно стоит 30–80 тысяч евро.
Создание DORA-соответствующей структуры с нуля занимает 6–12 месяцев. Регулятор хочет видеть не шаблоны политик, а работающую систему: записи тестов, журналы инцидентов, актуальную документацию. Компании, которые приносят только бумаги без реальной операционной базы, отклоняются сразу.
Требования по управлению рисками третьих сторон — особенно для облачных операций — особенно жёсткие. Каждый значимый поставщик (хостинг, KYC, данные блокчейна, хранилища) требует проверки, контрактных прав на аудит и документированного плана выхода. Если компания не может показать реалистичный способ выхода из AWS, Google Cloud или Fireblocks, она не пройдёт проверку на концентрационный риск.
Страна за страной: сроки не равны#
MiCA действует по всему ЕС, но авторизация проходит на национальном уровне, и сроки между странами сильно различаются.
Литва работает быстрее всех. Банк Литвы обычно завершает авторизацию CASP за шесть месяцев, иногда быстрее, если документы безупречны. Период переходного режима закончился 1 января 2026 года. Компании, все еще работающие по старому статусу, уже рискуют. Если заявку подать до февраля 2026 года с полным пакетом документов, Литва — единственная юрисдикция, где лицензия теоретически может быть выдана до июля.
Нидерланды — второй вариант. AFM выдал первые лицензии MiCA 30 декабря 2024 года и авторизовал 26 CASP к началу мая 2026 года. Проверка занимает от девяти до двенадцати месяцев. Требования строгие: зарегистрированный офис в стране, местный персонал, реальное присутствие. Фиктивные структуры выявляют на ранних этапах.
BaFin в Германии — самый требовательный. Проверка занимает от двенадцати до двадцати четырех месяцев. Обычно заявка превышает 200 страниц еще до первого ответа от регулятора. Германия авторизовала 53 CASP по состоянию на май 2026 года — это отражает просто существующий финансовый сектор, а не легкий путь для новых игроков. Без реального офиса в Германии заявка в BaFin — это многолетний проект.
Франция (AMF) и Италия (Banca d'Italia / Consob) требуют от двенадцати до восемнадцати месяцев. Мальта (MFSA) в марте 2025 года опубликовала подробное руководство и позиционирует себя как дружественная к финтеху, но количество авторизаций меньше, чем на трех крупных рынках.
Для команд, которые еще не подали заявку, расчет простой: ни одна юрисдикция не выдаст авторизацию CASP до 1 июля 2026 года, если заявка не проходит уже глубокую проверку. Окно закрыто везде, кроме маргинальной Литвы.
Польша: открытый нормативный пробел#
Польша — другой случай. 1 декабря 2025 года президент Кароль Навроцкий заблокировал Закон о рынке криптоактивов — закон, который нужен для имплементации авторизации CASP MiCA на национальном уровне.
Возражения были конкретными. Офис президента указал на положение, позволяющее KNF блокировать веб-сайты VASP в одностороннем порядке, и другое, позволяющее замораживать счета на 96 часов при подозрении на инсайдерскую торговлю, с возможностью продления на шесть месяцев без судебного надзора.
Результат: в Польше компетентный орган не принимает заявки CASP. Компании, работающие по довещественной регистрации VASP, находятся в правовой неопределенности. MiCA действует непосредственно на всей территории ЕС и имеет силу закона. Но без назначенного NCA и национальных процедур у фирм просто нет органа, которому можно подать заявку.
По состоянию на май 2026 года исправленный закон не принят. Компании с операциями в Польше столкнулись с более сложной версией проблемы 1 июля, чем компании где-либо еще в ЕС. Варианты: добиться изменения законодательства, переавторизоваться в другой стране или уйти с рынка.
За цифрами стоят реальные препятствия#
Минимальный капитал редко убивает заявку. Реальная проблема — пять требований, которые приходят одновременно, и обойти их нельзя.
Сотрудник по соответствию должен работать полный день на одну функцию. NCA отклоняют заявки, где соответствие совмещено с доходной ролью или расчеканено между компаниями. Один выделенный CCO с нужными квалификациями и местом жительства в ЕЭЗ стоит от 80 000 до 120 000 евро в год. Это не консультант — полный штатный сотрудник с первого дня подачи заявки.
Пакет заявки — это не форма. Полный файл охватывает: политику управления и структуру, программу AML/CFT, рамку DORA ICT, доказательство капитала и прогнозы, трехлетний бизнес-план, досье пригодности для каждого руководителя, политику защиты активов клиентов, процедуру жалоб, политику конфликта интересов и технический документ по MiCA. Обычно это сотни страниц. Большинство NCA выдают хотя бы один запрос дополнительной информации, который отодвигает рассмотрение на несколько месяцев вперед.
Капитал остается заблокированным. Собственные средства должны поддерживаться на протяжении всей авторизации. Для стартапа, который нужна гибкость, требование капитала напрямую конкурирует с временем работы.
Сроки не гарантированы. NCA могут продлить рассмотрение. Ни одна юрисдикция не обещает конкретный срок. Компания, которая запланировала запуск на Q3 2026 года, не может полагаться на лицензию, если та все еще на первом раунде рассмотрения.
Надзор — это не разовый сбор. После запуска годовые надзорные сборы, постоянное тестирование ИКТ, требования аудита и персонал по соответствию обходятся в €150 000–€250 000 в год. Первый год — это депозит, а не итоговая сумма.
Если ваша команда не готова потратить €300 000–€500 000 в первый год, посмотрите альтернативу на уровне программного обеспечения.
Три варианта после 1 июля 2026 года#
Если фирма не получит авторизацию CASP к 1 июля, у неё есть три выхода.
Выйти с рынка ЕС. Полностью соответствует требованиям, но убыточно для компаний с активными пользователями в ЕС или платежами через европейские банки.
Работать под лицензией материнской компании. Если у неё или аффилированного лица уже есть авторизация CASP в одном государстве-члене ЕС, можно расширить услуги на всю ЕС через паспортизацию MiCA. Нужна реальная корпоративная реструктуризация — один брендинг или общая техническая платформа недостаточны. Лицензированное лицо должно иметь реальную экономическую деятельность. Уведомления о паспортизации должны быть поданы и приняты национальными регуляторами дома и принимающей страны. Если в группе ещё нет авторизованного лица, получение авторизации означает либо покупку, либо создание с нуля — это перезапускает всю процедуру.
Работать через лицензированного партнера. Компания может маршрутизировать операции через авторизованного CASP и лицензированное в ЕС платёжное учреждение. Партнёр несёт нормативную ответственность. Продукт остаётся под вашим брендом.
Если строить собственный стек соответствия сейчас не имеет смысла, работайте через лицензированного партнера CASP + PI — это и есть itispay.com/mica.
Эта статья только информационная, не юридический совет. Проконсультируйтесь с юристом перед принятием решений.
