Як створити CASP в ЄС за правилами MiCA: важливі вимоги, аналіз та практичні поради

Хто такий CASP?

CASP (Crypto-Asset Service Provider) — це компанія, яка надає послуги, пов’язані з криптоактивами (обіг, зберігання, обмін, розміщення тощо).

З 30 грудня 2024 року в ЄС діє єдиний регламент — MiCA, який встановлює чіткі правила для таких компаній.

Дорожня карта створення CASP в ЄС

1. Визначте місце запуску, тобто місце реєстрації юридичної особи, яка буде здійснювати відповідну діяльність.

   MiCA дозволяє CASP працювати по всьому ЄС, якщо вони зареєстровані в одній країні-члені.

   Порада: обирайте країну з прогресивним регулятором (Польща, Литва, Ірландія), але також враховуйте мову, податкові умови, строки розгляду, відкритість регулятора до спілкування та національне законодавство.

2. Визначте, чи підпадає ваш бізнес під регулювання MiCA

   Перевірте, чи ваша діяльність потребує CASP-ліцензії. Наприклад, під MiCA потрапляють:

   • забезпечення зберігання та управління криптоактивами від імені клієнтів;
   • робота торгового майданчика для криптоактивів;
   • обмін криптоактивів на фіат;
   • обмін криптоактивів на інші криптоактиви;
   • виконання замовлень на криптоактиви від імені клієнтів;
   • розміщення криптоактивів;
   • прийом та передача замовлень на криптоактиви від імені клієнтів;
   • надання консультацій щодо криптоактивів;
   • забезпечення керування портфелем криптоактивів;
   • надання послуг з переказу криптоактивів від імені клієнтів;

3. Підготуйте пакет документів 

   Що необхідно подати регулятору для отримання ліцензії CASP:

   • Бізнес-план (орієнтовно 3 роки)
   • Внутрішні політики (ризик-менеджмент, AML, кібербезпека)
   • Опис криптопродуктів та послуг
   • Інформацію про бенефіціарів та керівництво
   • Підтвердження капіталу 
   • Технічний опис систем безпеки

4. Перевірте, чи є у Вас достатня сума для формування статутного капіталу вашого CASP у відповідному розмірі, залежно від виду діяльності:

   Капітал

   • 50 000 євро. Поширюється на такі послуги:

     • виконання замовлень від імені клієнтів;
     • розміщення криптоактивів (ICO, IEO);
     • надання послуг з переказу криптоактивів від імені клієнтів;
     • прийом та передача замовлень на криптоактиви від імені клієнтів;
     • надання консультацій щодо криптоактивів;
     • забезпечення керування портфелем криптоактивів.

   • 125 000 євро. Стосується послуг, що включають:

     • забезпечення зберігання та управління криптоактивами від імені клієнтів;
     • обмін криптоактивів на фіат;
     • обмін криптоактивів на інші криптоактиви.
   • 150 000 євро. Робота торгового майданчика для криптоактивів.

5. Перевірте команду

   Члени керівного органу CASP-заявника та його ключові особи (за аналогією з українським законодавством) мають володіти відповідними знаннями, навичками та досвідом для управління постачальником послуг криптоактивів, а ще від цих осіб вимагається приділяти достатньо часу для виконання своїх обов’язків.

   Сам по собі регламент MiCA не містить вичерпних критеріїв достатності досвіду. Проте, якщо керуватися аналогічними вимогами до фінансових установ, то такі вимоги передбачають успішний досвід на керівних позиціях в інших фінансових установах, наявність сертифікатів про підвищення кваліфікації, наявність відповідної освіти (економічної, юридичної, технічної) та оформлення в штат на повну, 0,75 чи 0,5 штатного окладу.

   Для всіх акціонерів і членів, прямих чи опосередкованих, які мають значну участь у CASP, обов’язкова відсутність судимості або відсутність будь-яких штрафів, накладених відповідно до чинного комерційного законодавства, законодавства про неплатоспроможність та фінансового закону про послуги, закону щодо боротьби з відмиванням грошей і фінансуванням тероризму, закону про шахрайство чи професійну відповідальність.

   CASP повинні наймати персонал, який володіє знаннями, навичками та досвідом, необхідними для виконання покладених на них обов’язків, беручи до уваги масштаб, характер і діапазон наданих послуг із використанням криптовалютних активів.

6. Створіть політику конфлікту інтересів та дотримуйтесь її

   CASP повинні впроваджувати та підтримувати ефективні політики та процедури, враховуючи масштаб, характер і діапазон наданих послуг із використанням криптовалютних активів, для виявлення, запобігання, управління та розкриття конфліктів інтересів між CASP та:

   • їхніми акціонерами або учасниками;
   • будь-якою особою, яка прямо чи опосередковано пов’язана з CASP або їхніми акціонерами чи учасниками через прямий/непрямий контроль;
   • членами керівного органу;
   • власними працівниками та своїми клієнтами/або
   • двома та більше клієнтами, взаємні інтереси яких суперечать один одному.

   Постачальники послуг криптовалютних активів повинні на видному місці на своєму веб-сайті розкривати своїм клієнтам і потенційним клієнтам загальний характер і джерела конфліктів інтересів, зазначених вище, а також кроки, вжиті для їх пом’якшення.

7. Вимоги до аутсорисингу

   Оскільки країни ЄС для багатьох нові в контексті ведення бізнесу, особливо в такій складній регульованій сфері діяльності, то більшість стартапів залучає локальних консультантів на умовах аутсорсу та передає деякі функції, на кшталт бухгалтерського супроводу, розробки документів по GDPR, юридичних послуг на них тощо.

   Тому MiCA враховує реалії ринку, і для уникнення додаткових ризиків встановила наступні вимоги до CASP:

   • аутсорсинг не призводить до делегування відповідальності CASP; 
   • аутсорсинг не змінює відносин між CASP та його клієнтами, а також зобов’язань CASP перед своїми клієнтами;
   • аутсорсинг не змінює умови CASP; 
   • треті сторони, залучені до аутсорсингу, співпрацюють з компетентним органом держави-члена походження постачальників послуг криптоактивів, і аутсорсинг не перешкоджає виконанню наглядових функцій компетентних органів, включаючи доступ на місці для отримання будь-якої відповідної інформації, необхідної для виконання цих функцій; 
   • CASP зберігають досвід і ресурси, необхідні для оцінки якості наданих послуг, для ефективного нагляду за послугами, переданими на аутсорсинг, і для постійного управління ризиками, пов’язаними з аутсорсингом; 
   • CASP має прямий доступ до відповідної інформації про аутсорсингові послуги; 
   • CASP гарантує, що треті сторони, залучені до аутсорсингу, відповідають стандартам захисту даних ЄС. 

8. Розраховуйте час

   Реєстрація CASP займатиме орієнтовно від 3-х (якщо Ви VASP і вже надаєте послуги та частково почали виконувати вимоги MiCA) до 12 місяців і більше, якщо Ваш продукт буквально «from scratch».

9. Вимоги по напрямках

   • AML/CFT. Підрозділи CASP повинні сформувати та впровадити надійну політику AML/СFT, яка фокусується на виявленні, оцінці та управлінні ризиками, пов'язаними з відмиванням грошей та фінансуванням тероризму. Криптопідприємства також повинні встановити точні процедури ідентифікації клієнтів, здійснювати постійний моніторинг криптотранзакцій та повідомляти про будь-які підозрілі дії.
   • Операційні мандати. Постачальники послуг повинні ратифікувати та інтегрувати заходи щодо забезпечення безперервності бізнесу та нагляду за операційними небезпеками, вимоги до яких визначені DORA. CASP повинні розробити методології управління ІТ-загрозами, включаючи ризики, пов'язані з кібербезпекою (DORA). Строк розробки та впровадження таких заходів може складати до одного місяця (залежно від того, що вже виконано внутрішньою командою згідно з вимогами DORA), а вартість послуг технічних підрядників – орієнтовно від 6 тис. євро до 15 тис. євро.  
   • Взаємодія з клієнтами. CASP повинні інформувати клієнтів про весь спектр ризиків, пов'язаних з інвестиціями у криптоактиви. Постачальники послуг також зобов'язані підтримувати прозорість ціноутворення та розкривати всі збори та платежі. Система інформування аналогічна подібним системам у класичних фінансових установах, тобто із залученням всіх існуючих каналів комунікації та обліком всіх повідомлень клієнтам. Окремі документи, політики та тарифи повинні бути доступні широкому загалу на веб-сайті установи.
   • Вирішення конфліктів. CASP повинні мати ефективні механізми для оперативного вирішення конфліктів між клієнтами та постачальниками послуг, оминаючи необхідність втручання суду. Процес досудового врегулювання має бути зафіксований у внутрішньому документі CASP, який має містити виклад процедури розгляду скарг клієнтів, а також опис того, як будуть вирішуватись суперечки на досудовому рівні.
   • Збереження даних. CASP доручено захищати зберігання особистих даних клієнтів, і вони повинні дотримуватись усіх вимог щодо захисту даних відповідно до GDPR.
   • Безпека активів клієнта. Постачальники криптовалютних послуг повинні чітко відокремлювати кошти клієнтів від власних ресурсів компанії. Навіть більше, вони повинні вживати заходів, які забезпечують безпеку цифрових гаманців та інших інструментів зберігання цифрових активів. На мою думку, до документу варто додати аналог Облікової політики.
   • Критерії лідерства. Керівники та вищі посадові особи, інтегровані в організаційну структуру CASP, повинні мати необхідний досвід, професіоналізм і підтримувати бездоганну ділову репутацію.
   • Навчання персоналу. CASP зобов'язані забезпечувати регулярне, не менше одного разу на рік, навчання своїх співробітників з таких питань: боротьба з відмиванням грошей, заходи протидії фінансуванню тероризму, управління ризиками і передові практики кібербезпеки. Додатково має забезпечуватись окреме галузеве навчання (за необхідності). Має бути створений план навчання співробітників.
   • Окремо повинні бути створені: Правила надання послуг, Кодекс корпоративної культури, Положення про комплаєнс. Назва може варіюватись, але суть документів має бути незмінною.

Якщо Ви плануєте надавати транскордонні послуги

Постачальник послуг криптоактивів, який має намір надавати послуги криптоактивів більш ніж одній державі-члену ЄС, повинен надати таку інформацію компетентному органу держави, в якій зареєстровано CASP: 

1. перелік держав-членів, у яких постачальник послуг криптовалютних активів має намір надавати послуги; 
2. послуги, які постачальник має намір надавати на міжнародній основі; 
3. запланована дата початку надання послуг; 
4. перелік усіх інших видів діяльності, що здійснюються постачальником послуг, на які не поширюється дія MiCA. 

Після цього регулятор держави, в якій зареєстровано CASP, протягом 10 робочих днів після отримання відповідної інформації повідомляє цю інформацію єдиним контактним пунктам держав, в яких CASP має намір працювати, ESMA та EBA, та негайно інформує відповідного постачальника послуг криптоактивів про це повідомлення. 

Ви можете почати надавати послуги криптоактивів у іншій державі-члені ЄС, починаючи з дати отримання такого повідомлення від компетентного органу, або не пізніше 15-го календарного дня після подання відповідного запиту та необхідної інформації до компетентного органу у країні реєстрації CASP. 

Розробіть CRM-систему, маркетингові матеріали, комунікаційні клієнтські системи

Оскільки MiCA зобов’язує постачальників послуг криптовалютних активів надавати своїм клієнтам інформацію, яка є чесною, чіткою та не вводить в оману, а також надавати маркетингові повідомлення, що мають бути ідентифіковані як такі, то, відповідно до CASP, вони не повинні навмисно або через недбалість створювати у клієнта хибне враження щодо реальних або уявних переваг будь-яких криптоактивів. Водночас, для CRM буде корисним сегментувати всю клієнтську комунікацію та повідомлення таким чином: інформаційні повідомлення, рекламні, технічні та ін. для зручної і оперативної обробки.

Постачальники послуг із криптовалютними активами повинні попереджати клієнтів про ризики, пов’язані з транзакціями із залученням криптоактивів, наприклад, ризик незворотності транзакції, ризик високої волатильності тощо.

При здійсненні діяльності з керування торговою платформою для криптоактивів, обміну криптоактивів на кошти чи інші криптоактиви, консалтингу щодо криптоактивів або управління портфелем криптовалютних активів, постачальники послуг повинні надавати своїм клієнтам гіперпосилання на будь-які офіційні документи, які стосуються криптоактивів, щодо яких вони надають ці послуги.

Крім того, CASP повинні публікувати на своєму веб-сайті у видимому місці інформацію, пов’язану з основними несприятливими впливами на клімат та інформацію про інші несприятливі впливи, пов’язані з навколишнім середовищем, механізмом консенсусу, який використовується для випуску кожного криптовалютного активу, щодо якого вони надають послуги. Для України ці норми є новинкою, проте і в українських реаліях банки вже починають впроваджувати дзеркальні норми, далі на черзі будуть небанківські фінансові установи.

Додаткові поради

• Не ігноруйте вимоги AML/CFT;
• Не ігноруйте супутні директиви, регламенти та інші регуляторні документи, слідкуйте за оновленнями;
• Враховуйте GDPR негайно в операційних процесах;
• Розрахуйте заздалегідь, як будете виконувати пруденційні вимоги, встановлені статтею 67 MiCA;
• Організуйте внутрішній аудит перед тим, як подавати пакет документів регулятору;
• Залучайте локальних працівників і аутсорс. Синергія штатних і залучених працівників дає хороший ефект на початку; 
• Спілкуйтесь з іншими VASP. Вивчайте ринок, сторонні рішення та ”fuck-ups”, а також діліться власними спостереженнями. Вступайте в галузеві асоціації;
• Якщо щось не зрозуміло консультуйтесь з регулятором (звісно, з урахуванням належної обачності);
• Відслідковуйте повідомлення регулятора на відповідному веб-сайті.

І наостанок…

Постачальники послуг криптовалютних активів, які надавали свої послуги відповідно до чинного законодавства до 30 грудня 2024 року, можуть продовжувати це робити до 1 липня 2026 року або доки їм не буде надана авторизація чи відмовлено у ній, залежно від того, що відбудеться раніше.

Окремі держави-члени ЄС можуть на національному рівні вирішити не застосовувати перехідний режим для CASP, передбачений у першому абзаці, або скоротити його тривалість, якщо вони вважають, що їхня національна нормативна база, яка була в силі до 30 грудня 2024 року, є менш суворою, ніж MiCA.

MiCA — це новий старт на прозорих умовах. CASP-ліцензія — ваша перепустка на легальний крипторинок ЄС, але будьте готові до наполегливої праці!