ItisPay
ItisPay
BLOGMenu
BLOG|
Hukuk ve Uyumluluk

MiCA CASP Lisansının Gerçekten Neleri Gerektirdiği

MiCA CASP Lisansının Gerçekte Ne Gerektirdiği
1 Temmuz 2026 itibariyle, AB'de kripto-varlık hizmetleri sağlayan her firma bir MiCA CASP yetkilendirmesine sahip olmalıdır. İstisna yok. Kaç operatörün başarılı olacağı başka bir soru. Şu anki veriler umut verici değil. 2026 baharında yaklaşık 130–140 CASP tam MiCA yetkilendirmesini aldı. Yüzlerce firma hala MiCA öncesi ulusal VASP kayıtları altında çalışıyor veya henüz başvuruda bulunmadı. İtalya MiCA öncesinde 150'den fazla VASP kaydı tutuyordu; Fransa 104 adet. Hemen hemen hiçbiri geçiş yapmadı. Sorun sadece sayılar değil. MiCA kuralları, kripto şirketleri için değil, düzenlenmiş finansal kuruluşlar için yazılmış. 5 milyar Euro'luk bir borsa ile 10 kişilik bir cüzdan ürünü aynı sermaye, yönetişim ve ICT gereksinimlerini yerine getiriyor. Bu da birçok başvurunun başarısız olmasının nedeni. Üç Hizmet Sınıfı, Üç Sermaye Tabanı MiCA Madde 67 sermaye gereksinimlerini doğrudan sunulan hizmetlere bağlıyor. Üç sınıf var: Sınıf 1 danışmanlık ve sipariş alma/iletmeyi kapsar. Minimum öz kaynaklar: 50.000 Euro. Dar kapsam — ticaret yoksa, gözlemci işlev yoksa. Bilgi hizmetleri sunan firmalar buraya girer. Sınıf 2 fiat ve kripto arasında değişim, müşteri siparişlerinin yerine getirilmesi ve yerleştirmeyi ekler. Sermaye: 125.000 Euro. Spot ticaret platformları, OTC masaları ve toplayıcılar buraya girer. Sınıf 3 müşteriler adına kripto varlıklarının yönetilmesini ve gözlemciliğini ekler. Sermaye: 150.000 Euro. Müşteri anahtarlarını tutan, gözlemci cüzdan çalıştıran veya müşteri pozisyonlarını yöneten her firma Sınıf 3'tedir. Sayılar küçük görülüyor ama öyle değil. Bu sermaye düzenleyici öz kaynaklar olarak tutulmalı — çalışma sermayesi olarak değil. Ayrılmış olmalı ve NCA'nın talep etmesi üzerine hazır olmalı. Yeni bir operatör için 125.000–150.000 Euro'yu kalıcı olarak tutmak ciddi bir sorun. Madde 67(1)(b) ayrıca öz kaynakları sınıf minimumundan veya önceki yılın sabit giderlerinin dörtte birinden hangisi yüksekse ona eşit tutmayı gerektirir. Yıllık 600.000 Euro'luk masrafı olan bir firma, ne yaptığına bakılmaksızın 150.000 Euro'ya ihtiyaç duyar. İşletmeyi büyütün ve masraf hesaplaması, ürün değişikliği olmaksızın sınıf tabanını geçer. Sınıflar arasında hareket sadece bir form değişikliği değil. Gözlemciliği eklemeye karar veren bir Sınıf 2 firması yeni bir Sınıf 3 incelemesine tabi olur. Yeni hizmetleri yetkilendirme tamamlanana dek açamaz. Borsası ve gözlemciliği olan çoğu kripto işletmesi varsayılan olarak Sınıf 3'tedir, gözlemciliğin gerçekten para kazanıp kazanmadığına bakılmaksızın. Bir alışverişten sonra bakiye tutan bir platform gözlemciliği sağlıyor sayılıyor. 150.000 Euro tabanı ve tam Sınıf 3 yönetişim yapısı ilk günden itibaren uygulanır. Yönetişim Bir Onay Kutusu Değildir — Madde 68 Yapı Anlamına Gelir Sermaye sadece giriş ücreti. Maddeler 68–71 başvurunun gerçekten onaylanıp onaylanmayacağını belirler. Madde 68, yönetim kurulunun "yeterince iyi itibara" ve "yeterli bilgi, beceri ve deneyime" sahip olmasını gerektirir. Merkez bankalarından ve finans denetçilerinden beklenti: en az bir yöneticinin AB'de gerçekten yaşıyor ve çalışıyor olması. Toplantılara uçup gelmek kabul edilmiyor. ESMA'nın Madde 68 kuralları daha katı. İç kontrol işlevleri adlandırılmış sahiplere, belgeli sorumluluk alanlarına ve kanıtlanmış yapısal bağımsızlığa sahip olmalı. Üç hat savunması gerekli. Bir COO'nun gelir ve iş geliştirmeyi yönetirken aynı zamanda uyum işlevini denetlemesi, çoğu merkez bankasının "yeterli değil" dediği bir yapı. CCO üretime değil yönetim kuruluna rapor vermeli. Her önemli rol sahibi ayrı ayrı incelenir: CEO, CFO, Uyum Müdürü, MLRO. Bazı bölgelerde IT Müdürü ve Gözlemcilik Müdürü de. Her kişi geçmiş, eğitim ve temizlik kontrolünü sunmalı. Bir kişi başarısız olursa, tüm başvuru çözülene kadar durdurulur. Maddeler 69–71 ek olarak şunları talep eder: açık, belgeli bir şikayet prosedürü; müşteri iletişim standartları; ve yazılı bir çıkar çatışması politikası.

MLRO rolünün kendine özgü kuralları vardır. Çoğu AB üye devleti, bunu adlandırılmış, KYO'dan ayrı olarak adanmış bir pozisyon olarak gerekli kılar ve yönetim kurulu erişimi ile Şüpheli Aktivite Raporlarını bağımsız olarak dosyalama yetkisine sahip olmalıdır. Dışarıdaki bir avukata bu işi devretmek yeterli değildir. MLRO'nun yönetim kurulunda olması gerekir.

Bunlardan hiçbiri teknik olarak zor değildir. Sıfırdan inşa etmek minimum altı ay sürer ve NCA, sadece politika belgelerinin var olup olmadığını değil, aslında işlevinin olup olmadığını kontrol edecektir.

Bu aşamadaki çoğu operatör, NCA'nın onaylayıp onaylamayacağını bilmeden 12 ay boyunca bir uyum kuruluşu inşa etmek yerine, ItisPay'in bunu kendi lisansınız olmadan nasıl çözdüğünü oku.

BDT ve DORA: Çoğu Operatörün Göz Ardı Ettiği Teknik Katman#

17 Ocak 2025'ten itibaren MiCA tarafından düzenlenen CASP'ler Digital Operational Resilience Act (DORA) kapsamına girmektedir. MiCA, BDT güvenlik çerçevesini yetkilendirmenin koşulu olarak gerekli kılar. DORA, bunun nasıl yapılması gerektiğini belirtir.

MiCA başvurusunun bir parçası olarak sunulan DORA beyanı aşağıdakileri içermelidir:

  • Tanımlama, koruma, algılama, yanıt ve iyileştirme konusunda yazılı politikalara sahip bir BDT risk yönetimi çerçevesi
  • Olay algılama, sınıflandırma ve raporlama prosedürleri. Büyük BDT olayları algılandıktan sonra tanımlanmış saatler içinde NCA'ya bildirilir
  • Yıllık olarak test edilen bir iş sürekliliği planı
  • Tüm önemli satıcılar ve bulut sağlayıcıları için yazılı bir çıkış stratejisi ile üçüncü taraf BDT risk kaydı
  • Belirlenen aralıklarla olay yanıtı tatbikatları

NCA tarafından tanımlanan boyut eşiklerinin üstünde olan "önemli" CASP'ler için, DORA Maddeleri 24–27 her üç yılda bir Tehdit Tabanlı Penetrasyon Testi zorunlu kılar. İlk bir TLPT — kapsam belirleme, yürütme, iyileştirme raporlaması — 30.000 € ile 80.000 € arasında mal oluyor.

Sıfırdan DORA uyumlu bir BDT çerçevesi inşa etmek altı ile on iki ay sürer. Başvuru bir politika şablonuyla geçiştirilmez; canlı, işletimsel bir yapı ister. NCA'lar test kayıtları ve olay günlükleri istiyor. Sadece belgeler sunup gerçek operasyonel kanıt olmayan firmalar ilk resmi inceleme turunda reddedilir.

Üçüncü taraf risk gereklilikleri, bulutta çalışan kripto işletmeleri için karmaşıktır. Barındırma sağlayıcıları, KYC satıcıları, blockchain veri sağlayıcıları, koruma teknolojisi tedarikçileri gibi her önemli bağımlılığın belgeli durum tespiti, sözleşmeyle audit hakları ve yazılı çıkış planı olmalıdır. AWS, Google Cloud veya Fireblocks'tan gerçek bir çıkış gösteremeyecek bir firma DORA'nın yoğunlaştırma riski eşiğini aşamayacaktır.

MiCA CASP Lisansı Aslında Ne Gerektiriyor?

Ülke Bazında: Zaman Çizelgeleri Eşit Değildir#

MiCA AB genelinde geçerlidir, ancak yetkilendirme ulusal düzeyde gerçekleşir. Hangi ülkede başvuru yaparsanız yapın, işlem süresi çarpıcı biçimde farklılık gösterir.

Litvanya en hızlıdır. Merkez Bankası tam CASP yetkilendirmesini tipik olarak altı ayda tamamlar, temiz dosyalar için bazen daha çabuk. Geçiş dönemi 1 Ocak 2026'da sona erdi. Hala geçiş statüsünde faaliyet gösteren firmalar artık risk altında. Şubat 2026'ye kadar tam başvurup hazır olan firmalar için Litvanya, temmuz ayından önce lisans verebilecek tek yer.

Hollanda ikinci sırada. AFM ilk MiCA lisanslarını 30 Aralık 2024'te verdi ve mayıs 2026 başında 26 CASP'ı onaylamıştı. İşlem süresi dokuz ila on iki aydır. Gereksinimler katı: tescilli ofis, yerel personel, gerçek operasyonel varlık. Boş yapılar erken aşamada reddedilir.

Almanya en katı. BaFin incelemesi on iki ila yirmi dört ay sürer. Tam bir dosya tipik olarak ilk geri bildirimden önce 200 sayfayı aşar. Mayıs 2026 itibarıyla Almanya 53 yetkili CASP ile öncü konumdadır — bu sayı mevcut finansal sektörünün boyutunu yansıtır, yeni girişimlere kolay değildir. Gerçek Alman operasyonel varlığı olmadan, başvuru çok yıllı bir çabaydır.

Fransa (AMF) ve İtalya (Banca d'Italia / Consob) on iki ila on sekiz ay sürer. Malta (MFSA) Mart 2025'te MiCA rehberi yayınladı ve kendisini fintech dostu olarak konumlandırdı, ancak onay hacmi hala üç büyük pazardan geridedir.

Sonuç açık: başvuru halihazırda NCA tarafından ileri inceleme aşamasında değilse, hiçbir ülke 1 Temmuz 2026'dan önce CASP yetkilendirmesi vermez. Litvanya kısmen istisna olsa da, diğer tüm ülkelerde pencere kapanmıştır.

Polonya: Düzenleyici Boşluk#

Polonya tamamen farklı bir sorun içinde. 1 Aralık 2025'te Başkan Karol Nawrocki, Polonya'nın MiCA'nı uygulamak için ihtiyaç duyduğu Kripto Varlıkları Piyasası Yasasını veto etti.

İtirazlar spesifikti. Başkanın ofisi, KNF'ye VASP web sitelerini tek yanlı olarak engellemesine izin veren bir maddeyi ve kripto hesapları dondurma yetkisine (yargısal denetim olmaksızın altı aya kadar uzatılabilir) izin veren başka bir maddeyi işaretledi.

Sonuç: Polonya'da şu anda CASP başvurularını kabul eden bir otorite yoktur. MiCA öncesi VASP kaydı altında faaliyet gösteren firmalar hukuki belirsizlik içindedir. MiCA'nın doğrudan uygulanabilirliği sorgulanmamıştır — tüm AB üye devletleri için kanun gücüne sahiptir. Belirlenmiş bir otorite ve ulusal prosedürler olmaksızın, başvuracak yer yoktur.

Mayıs 2026 itibarıyla, hiçbir gözden geçirilmiş tasarı onaylanmamıştır. Polonya operasyonları olan firmalar, AB başka yerlerindeki operatörlerden daha ciddi bir 1 Temmuz sorunu ile karşı karşıyadır. Seçenekler sınırlıdır: yeniden mevzuatlandırma, başka bir ülkede yeniden yetkilendirme veya pazardan ayrılma.

Gerçek Engeller: Sayıların Ötesinde#

Sermaye eksikliği çoğu başvuruyu öldürmez. Asıl sorun, eşzamanlı gelen beş gereksinimdir ve hiçbiri kısayol yoktur.

Uyum görevlisi paylaşılamaz. NCA'lar, uyum işlevinin başka bir role birleştirildiği veya kuruluşlar arasında bölündüğü başvuruları reddeder. Adanmış bir uyum görevlisinin, AB kimlik bilgileri ve EEA ikamet durumu gerekli, yılda 80.000 ila 120.000 € maliyeti vardır. Bunu hukuk bürosu danışmanlığı ile değiştiremezsiniz — bordrosuna kaydedilmiş tam zamanlı bir çalışan olması gerekir.

Başvuru paketi basit bir form değildir. Tam dosya şunları içerir: yönetişim politikaları ve yapı şeması, AML/CFT programı, DORA ICT çerçevesi, sermaye kanıtı ve projeksiyonları, üç yıllık iş planı, her kilit pozisyonda olanın uygunluk kanıtı, müşteri varlığı koruma politikası, şikayet prosedürü, çıkar çatışması politikası ve varsa MiCA uyumlu teknik belge. Birkaç yüz sayfa. Çoğu NCA en az bir kez ek bilgi ister — bu da incelemeyi aylar geri alır.

Sermaye kilitlidir. Düzenleyici sermaye, yetkilendirme süresince korunmalıdır. Sermaye hareketliliği gereken bir girişim için, bu gereklilik doğrudan işletme süresini etkiler.

Zaman çizelgeleri garanti değildir. NCA'lar incelemeyi uzatabilir. Hiçbir yargı alanı sözleşmeli bir işlem süresi sunmaz. Ürün lansmanını üçüncü çeyrek 2026'ya planlayan bir firma, hala birinci tur incelemede olan bir lisans üzerine zamanlamayı yapamaz.

Denetim tek seferlik bir ücret değildir. Canlı hale geldikten sonra, yıllık denetim ücretleri, süregelen BİT testleri, denetim gereksinimleri ve uyumluluğu korumak için gerekli personel yılda €150K–€250K arasında bir maliyete neden olur. İlk yıl maliyeti bunun yanında gelir.

İlk yıl için €300K–€500K harcamaya katlanmak istemeyenler için yazılım katmanı alternatifine bakın.

1 Temmuz 2026'dan Sonra Üç Yol#

1 Temmuz 2026'ya kadar CASP yetkilendirmesine sahip olmayan firmalar üç seçeneği var.

AB işlemlerini durdur. Yetkilendirme tamamlanana kadar AB'ye yönelik hizmetlerden çekil. Yasal olarak temiz ama AB'de aktif kullanıcı tabanı veya ödeme akışları olan şirketler için finansal olarak ağır bir darbe.

Lisanslı bir grup kuruluşunun altında faaliyet göster. CASP yetkilendirmesine sahip bir ana şirketin altında çalış. MiCA'nın pasaport geçiş mekanizması sayesinde bu yetkilendirme tüm AB üye devletlerine uzanır. Ancak gerçek kurumsal yeniden yapılandırma gerekir — paylaşılan markalaştırma veya teknoloji yeterli değildir. Lisanslı kuruluşun bağımsız olarak faaliyet göstermesi lazım. Pasaport bildirimleri hem ev hem de hedef ülke (host) yetkililerine dosyalanmalı. Zaten lisanslı bir ortağınız yoksa, birini almak ya da sıfırdan kurmak demek yetkilendirme kuyruktan baştan başlamak demektir.

Lisanslı ortak aracılığıyla hizmet sunmak. AB müşterilerine borsa, transfer veya saklama hizmetleri sunması gereken firmalar bunu lisanslı bir CASP ve AB Ödeme Kuruluşu aracılığıyla yapabilir. Lisanslı ortak düzenleyici riski taşır. Müşteri tarafında ürün operatörün markası altında görünür.

Kendi uyumluluk altyapısını kurmak şu an akıllıca değilse, lisanslı bir CASP ve Ödeme Kuruluşu ortağıyla çalışmayı deneyin — itispay.com/mica tam bu amaç için vardır.

Bu makale sadece bilgi amaçlıdır. Yasal veya düzenleyici tavsiye değildir. Harekete geçmeden önce hukuk müşaviriyle konuşun.

Clara Whitfield

Clara Whitfield

Share this article:

The newsletter for crypto entrepreneurs

Join founders and innovators exploring crypto payments. Get insights, product updates, and stories from businesses building the future of digital commerce.

Unsubscribe anytime. By entering your email, you agree to receive marketing emails from ItisPay. By proceeding, you agree to the Terms and Conditions and Privacy Policy.

Ready to launch stablecoin-first payments under your brand?

Stablecoin-first infrastructure with 1:1 EUR/USD backing. Deploy in 1 week. Built for high-volume PSPs and neobanks with zero volatility risk.

Book a DemoTry API