Zezwolenie na świadczenie usług w zakresie kryptoaktywów
Wniosek o zezwolenie na świadczenie usług w zakresie kryptoaktywów, o którym mowa w art. 59 ust. 1 lit. a rozporządzenia 2023/1114, jest jednym z najbardziej rozbudowanych dokumentów regulacyjnych, jakie podmiot z sektora finansowego w Polsce składa w trakcie swojego życia. Zakres dokumentacji wynika z art. 62 ust. 2 rozporządzenia MiCA, doprecyzowanego przez kilkanaście standardów technicznych RTS i ITS oraz wspólne wytyczne EBA i ESMA.
Jednocześnie sankcja karna za prowadzenie działalności bez zezwolenia po 1 lipca 2026 r. wynosi 20 000 000 zł grzywny albo 8 lat pozbawienia wolności albo obie te kary łącznie (art. 121 ustawy o rynku kryptoaktywów), a obejmuje zarówno działalność prowadzoną bez zezwolenia, jak i działalność w trybie uproszczonym. Stawka jest na tyle wysoka, że metodyka przygotowania wniosku zasługuje na osobne potraktowanie. Niniejszy tekst opisuje wymagania dokumentacyjne, kapitałowe, fit and proper oraz katalog sankcji administracyjnych i karnych za naruszenia.
Kontekst strategiczny — w którym scenariuszu znaleźć się po 1 lipca 2026 r. — jest przedmiotem osobnego artykułu:
Licencja CASP w Polsce. Koniec okresu przejściowego MiCA – 1 lipca 2026 r.
Podstawa prawna zezwolenia na świadczenie usług w zakresie kryptoaktywów
Wniosek o udzielenie zezwolenia na świadczenie usług w zakresie kryptoaktywów składa się do KNF jako organu właściwego w rozumieniu art. 3 ust. 1 pkt 35 rozporządzenia MiCA. Substrat normatywny postępowania tworzą cztery warstwy:
Pierwsza warstwa to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z 31 maja 2023 r. w sprawie rynków kryptoaktywów.
Druga warstwa to standardy techniczne wykonawcze. Komisja Europejska przyjęła w 2025 r. pakiet RTS i ITS doprecyzowujących treść wniosku, formularze notyfikacyjne, wymogi w zakresie polityk konfliktu interesów, procedur AML i ICT. RTS w zakresie treści wniosku określają obowiązkową strukturę dokumentacji; ITS (Article 62(6) MiCA ITS) określają formularze.
Trzecia warstwa to wspólne wytyczne EBA i ESMA z 30 czerwca 2024 r. (EBA/GL/2024/09) w sprawie oceny odpowiedniości członków organu zarządzającego oraz akcjonariuszy znaczących CASP. Wytyczne mają charakter „comply or explain” i KNF stosuje je bezpośrednio.
Czwarta warstwa to ustawa o rynku kryptoaktywów (druk sejmowy 2363, uchwalona 15 maja 2026 r., przyjęta przez Senat bez poprawek 22 maja 2026 r.). Ustawa reguluje materię, której rozporządzenie MiCA pozostawia państwom członkowskim: opłaty, nadzór bieżący, sankcje karne, reżim przejściowy. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z wyjątkiem art. 70 (zabezpieczenie środków klientów), który wchodzi w życie po upływie 4 miesięcy od dnia ogłoszenia, co ma znaczenie operacyjne dla CASP rozpoczynających działalność tuż po wejściu ustawy.
Tryby uproszczone z art. 60 MiCA: notyfikacja zamiast pełnej autoryzacji
Bank, instytucja kredytowa, firma inwestycyjna w rozumieniu MiFID II, instytucja pieniądza elektronicznego, spółka zarządzająca UCITS oraz zarządzający alternatywnymi funduszami inwestycyjnymi mogą uzyskać status CASP w trybie notyfikacji, nie pełnej autoryzacji. Mechanizm wynika z art. 60 MiCA i jest istotnie szybszy: KNF dysponuje 40 dniami roboczymi na ocenę notyfikacji (art. 60 ust. 8 MiCA), zamiast pełnej procedury z art. 63. Zakres dokumentacji jest również węższy — aplikant nie składa pełnego pakietu z art. 62, lecz uzupełniony zestaw obejmujący w szczególności program działalności w zakresie kryptoaktywów, opis systemów ICT, procedury custody, polityki konfliktu interesów oraz dowody na to, że dotychczasowy reżim regulacyjny pokrywa wymogi MiCA w pozostałym zakresie. Dla podmiotów już regulowanych ścieżka notyfikacyjna jest zazwyczaj zarówno tańsza, jak i szybsza — pominięcie jej i podążanie ścieżką z art. 59 zdarza się w praktyce z powodu nieświadomości, nie z powodu kalkulacji.
Dokumentacja korporacyjna wniosku o zezwolenie na świadczenie usług w zakresie kryptoaktywów
Pierwsza warstwa dokumentacji obejmuje wszystko, co opisuje aplikanta jako osobę prawną i jego strukturę właścicielską. Zakres minimum:
Aktualny odpis z Krajowego Rejestru Sądowego, statut lub umowa spółki w wersji obowiązującej, schemat struktury właścicielskiej do poziomu beneficjenta rzeczywistego. KNF oczekuje dokumentacji wszystkich znaczących pakietów od progu 10 procent w górę, z udokumentowaniem źródła kapitału na poziomie każdego pakietu. W przypadku struktur z fundacjami rodzinnymi, trustami lub spółkami holdingowymi w jurysdykcjach offshore wymagana jest pełna dokumentacja łańcucha kontroli, z aktami założycielskimi i statutami podmiotów pośrednich.
Typowe pułapki w tej warstwie dokumentacji:
Niespójności między danymi w KRS a strukturą UBO ujawnianą we wniosku. Najczęściej wynikają z opóźnień w aktualizacji rejestru po cesji udziałów lub zmianie umowy spółki. KNF traktuje takie niespójności jako sygnał problemów z ładem korporacyjnym, nie jako drobne pomyłki.
Brak dokumentacji dla podmiotów pośrednich w strukturach międzynarodowych. Spółka holdingowa w Luksemburgu lub na Malcie wymaga pełnego pakietu dokumentów (aktualny odpis z rejestru, statut, ostatnie sprawozdanie finansowe, dane członków zarządu) i nie wystarczy wzmianka w schemacie.
Niezgodność między ujawnionym UBO a zgłoszeniem w Centralnym Rejestrze Beneficjentów Rzeczywistych. Przed złożeniem wniosku należy zweryfikować i, w razie potrzeby, zaktualizować CRBR. CRBR przeszedł istotne zmiany w 2024–2026 (zakres podmiotów objętych obowiązkiem, dane wymagane, sankcje za brak zgłoszenia podniesione do 1 000 000 zł), więc dokumentacja sprzed dwóch lat wymaga ponownego sprawdzenia, nie tylko mechanicznej weryfikacji „czy wpis istnieje”.
Akcjonariusze instytucjonalni (fundusze, banki, firmy inwestycyjne) wymagają osobnej dokumentacji: zezwolenia regulacyjne, ostatnie sprawozdania finansowe, oświadczenia o braku okoliczności wykluczających. Częsta pułapka: założenie, że status regulowany akcjonariusza zwalnia z obowiązku dokumentacyjnego — nie zwalnia.
Program działalności i model biznesowy
Program działalności jest najistotniejszym dokumentem narracyjnym wniosku. KNF czyta go jako pierwszy i na jego podstawie formuje wstępną hipotezę o profilu aplikanta. Dokument musi obejmować:
Wykaz usług w zakresie kryptoaktywów, które aplikant zamierza świadczyć, z mapowaniem na katalog z art. 3 ust. 1 pkt 16 MiCA. Katalog obejmuje dziewięć kategorii: przechowywanie i administrowanie kryptoaktywami na rzecz klientów, prowadzenie platformy obrotu kryptoaktywami, wymianę kryptoaktywów na środki pieniężne lub inne kryptoaktywa, wykonywanie zleceń, plasowanie, przyjmowanie i przekazywanie zleceń, doradztwo, zarządzanie portfelem, świadczenie usług transferowych. Każda usługa rodzi własne wymogi kapitałowe, organizacyjne i compliance, a wybór musi być świadomy.
Opis modelu biznesowego: źródła przychodów, struktura kosztów, projekcja finansowa na trzy lata, analiza wrażliwości. KNF ocenia, czy model jest życiowy i czy aplikant ma zasoby na utrzymanie ciągłości działania w pierwszych dwudziestu czterech miesiącach. Projekcja oparta na wzroście przychodów o 200 procent rocznie bez uzasadnienia operacyjnego jest sygnałem ostrzegawczym.
Strategia rynkowa: docelowi klienci, kanały dystrybucji, geografia działalności (jeden Member State czy paszport unijny), planowane wolumeny, polityka cenowa. Element często niedoceniany: opis konkurencji i pozycjonowania. KNF chce widzieć, że aplikant rozumie rynek, na który wchodzi.
Pułapką jest tendencja do zgłaszania we wniosku wszystkich dziewięciu usług „na zapas”, na wypadek przyszłej ekspansji. Każda dodatkowa usługa zwiększa zakres ocenianej dokumentacji, podnosi wymogi kapitałowe i wydłuża postępowanie. W praktyce strategicznie korzystniej jest zgłosić wąski profil usług na start, a po uzyskaniu zezwolenia rozszerzać go w trybie zmiany zakresu (art. 63 ust. 13 MiCA).
Wymogi kapitałowe: trzy progi załącznika IV MiCA
Załącznik IV rozporządzenia MiCA przewiduje trzy progi minimalnego kapitału, zależne od profilu świadczonych usług:
| Próg | Kwota minimalna | Profil usług (uproszczony) |
|---|---|---|
| 1 | 50 000 EUR | Doradztwo, zarządzanie portfelem, przyjmowanie i przekazywanie zleceń (bez custody), wykonywanie zleceń (bez custody), plasowanie, usługi transferowe |
| 2 | 125 000 EUR | Przechowywanie i administrowanie kryptoaktywami, wymiana kryptoaktywów na środki pieniężne lub inne kryptoaktywa, wykonywanie zleceń obejmujące custody, plasowanie bez gwarancji, przyjmowanie i przekazywanie zleceń obejmujące custody |
| 3 | 150 000 EUR | Prowadzenie platformy obrotu kryptoaktywami |
Załącznik IV MiCA przesądza, że wymóg kapitałowy stanowi „the higher of” — wyższy z progów mających zastosowanie do aplikanta. Jeśli aplikant świadczy zarówno doradztwo (Próg 1), jak i custody (Próg 2), obowiązuje próg 125 000 EUR, nie suma 175 000 EUR.
Wymóg kapitałowy może być spełniony przez (art. 67 ust. 1 MiCA): fundusze własne (kapitał Tier 1 w rozumieniu CRR), gwarancję ubezpieczeniową spełniającą wymogi art. 67 ust. 4 MiCA, gwarancję bankową analogiczną do ubezpieczeniowej, kombinację powyższych. Gwarancja ubezpieczeniowa musi obejmować odpowiedzialność cywilną zawodową na poziomie co najmniej kwoty kapitału minimalnego, z konkretnymi parametrami określonymi w MiCA i RTS.
Wymóg kapitałowy z załącznika IV jest minimum. KNF może wymagać kapitału wyższego, jeśli skala działalności, profil ryzyka lub złożoność modelu biznesowego to uzasadniają. W praktyce dla średniej giełdy kryptoaktywów o wolumenie powyżej 10 milionów EUR miesięcznie próg 150 000 EUR jest fasadą — realnie potrzebny kapitał operacyjny zaczyna się od kilku milionów.
Drugą warstwą wymogu kapitałowego jest utrzymanie kapitału w okresie działalności (art. 67 ust. 2 MiCA): kapitał własny w każdym momencie musi pokrywać minimum 25 procent stałych kosztów operacyjnych z poprzedniego roku obrachunkowego. Dla firm z wysokimi kosztami stałymi (zespół, infrastruktura ICT, licencje) ten próg bywa wyższy niż próg minimalny z załącznika IV.
Fit and proper dla zarządu i znaczących udziałowców
Ocena fit and proper jest sercem postępowania licencyjnego CASP. Zgodnie z art. 63 ust. 10 lit. a–c MiCA, KNF odmawia udzielenia zezwolenia, jeżeli istnieją obiektywne i możliwe do wykazania powody, by sądzić, że organ zarządzający stanowi zagrożenie dla skutecznego i prawidłowego zarządzania CASP, członkowie organu zarządzającego nie spełniają kryteriów good repute z art. 68 ust. 1, lub akcjonariusze znaczący nie spełniają kryteriów wiarygodności z art. 68 ust. 2.
Wspólne wytyczne EBA i ESMA EBA/GL/2024/13 określają pięć wymiarów oceny członka organu zarządzającego:
Reputation (good repute): brak skazań karnych, brak toczących się postępowań karnych lub administracyjnych dotyczących uczciwości zawodowej, brak istotnych naruszeń przepisów regulacyjnych w przeszłości. Wytyczne wprost uwzględniają „administrative or criminal proceedings, including pending proceedings” jako czynnik oceny, co ma kluczowe znaczenie dla podmiotów kontynuujących działalność po 1 lipca 2026 r.
Knowledge and experience: udokumentowane doświadczenie w sektorze finansowym, kryptoaktywów lub w funkcji zarządczej; znajomość regulacji MiCA, AML, RODO; ukończone kursy lub certyfikaty branżowe (CISI, ACAMS, ICA). Brak doświadczenia w sektorze kryptoaktywów nie dyskwalifikuje sam w sobie, jeśli istnieje doświadczenie w pokrewnym sektorze regulowanym.
Independence of mind: zdolność do niezależnego osądu, brak konfliktu interesów wynikającego z innych funkcji, niezależność od dominującego akcjonariusza w zakresie codziennych decyzji.
Sufficient time commitment: udokumentowana dyspozycyjność czasowa. Członek zarządu posiadający równolegle pięć innych mandatów w funduszach inwestycyjnych prawdopodobnie nie spełni tego wymogu w odniesieniu do CASP.
Collective suitability: organ zarządzający jako całość musi obejmować kompetencje w obszarach: regulacyjnym, finansowym, technologicznym, operacyjnym i AML. Dwóch wybitnych prawników w trzyosobowym zarządzie tworzy lukę w kompetencjach technologicznych.
Najczęstsza pułapka strukturalna, którą obserwujemy w odrzucanych wnioskach: jednoczesne pełnienie funkcji UBO, członka zarządu, MLRO i jedynego decydenta operacyjnego. Taka konstrukcja narusza independence of mind w wymiarze institutional check oraz collective suitability w wymiarze rozdzielenia kompetencji. Z perspektywy ramy trzech linii obrony (operacja, compliance/risk, audyt wewnętrzny) koncentracja funkcji w jednej osobie likwiduje drugą linię i czyni trzecią iluzoryczną. Jest również red flag w ocenie AML, ponieważ ten sam podmiot generuje transakcje, monitoruje je i raportuje o nich do GIIF. KNF w postępowaniach licencyjnych dotyczących firm inwestycyjnych i instytucji pieniądza elektronicznego konsekwentnie wymagał rozdzielenia tych funkcji i nie ma podstaw, by oczekiwać innej praktyki w odniesieniu do CASP.
Druga pułapka: nominanci. Osoby figurujące formalnie jako członkowie zarządu, ale nie podejmujące realnych decyzji, są wykrywane przez KNF w drodze wywiadów uzupełniających i powodują odmowę z naruszenia good repute aplikanta jako całości.
Dla znaczących akcjonariuszy (próg 10 procent i wyższe, zgodnie z art. 84 MiCA) ocena dotyczy reputacji finansowej, źródła kapitału, braku powiązań z grupami przestępczymi, struktury dochodów. Akcjonariusz, który nie udokumentuje źródła kapitału w sposób satysfakcjonujący KNF, blokuje wniosek całego CASP.
Dokumentacja AML, KYC i Travel Rule
Dokumentacja AML jest najobszerniejszą sekcją wniosku po programie działalności. Wymagana podstawa:
Polityka AML zgodna z dyrektywą 2015/849 i jej polskimi transpozycjami (ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu), obejmująca: ocenę ryzyka instytucjonalną i klientowską, procedury KYC i CDD (Customer Due Diligence) z trzema poziomami due diligence (simplified, standard, enhanced), procedury identyfikacji UBO klientów, monitoring transakcji i transaction screening, procedury zgłaszania SAR do GIIF, dokumentację szkoleń AML, niezależną funkcję AML i procedurę MLRO.
Procedury Travel Rule zgodne z rozporządzeniem 2023/1113 z 31 maja 2023 r. (TFR), które rozszerza wymogi informacji towarzyszących transferom środków pieniężnych na transfery kryptoaktywów. Wymóg dotyczy transferów na rzecz osób fizycznych jak również B2B, bez progu kwotowego dla transferów między CASP-ami. Dokumentacja techniczna musi opisywać sposób przekazywania danych nadawcy i odbiorcy, integrację z protokołami branżowymi (TRP, OpenVASP), procedury w przypadku transferów do unhosted wallets.
Procedury sankcyjne zgodne z rozporządzeniami UE i decyzjami CFSP, z integracją w czasie rzeczywistym list sankcyjnych (UN, EU, OFAC dla operacji obejmujących klientów amerykańskich).
Polityka tajemnicy zawodowej (art. 17 ustawy o rynku kryptoaktywów), z określeniem kategorii informacji chronionych, kręgu osób zobowiązanych, sankcji wewnętrznych.
Polityki dodatkowe: rozpatrywanie skarg klientów (art. 71 MiCA), zarządzanie konfliktem interesów (art. 72 MiCA), polityka outsourcingu (art. 73 MiCA z ograniczeniami wynikającymi ze stanowiska ESMA z 17 kwietnia 2026 r. dotyczącego custody — stanowisko ogranicza możliwość outsourcingu funkcji przechowywania kryptoaktywów do podmiotów spoza UE oraz do podmiotów bez własnego zezwolenia CASP, co bezpośrednio dotyka modeli biznesowych opartych na infrastrukturze globalnych dostawców custody), polityka komunikacji marketingowej (art. 74 MiCA).
Dokumentacja ICT i ramy DORA
Rozporządzenie DORA (UE 2022/2554) stosuje się do CASP w zakresie odporności cyfrowej. Dokumentacja ICT we wniosku obejmuje:
Opis architektury technologicznej: systemy front-office, back-office, custody, monitoring, BCP/DR. Diagram przepływów danych z oznaczeniem danych osobowych i danych klientów objętych tajemnicą zawodową.
Polityka cyberbezpieczeństwa zgodna z DORA: zarządzanie ryzykiem ICT (art. 5–15 DORA), reagowanie na incydenty i raportowanie (art. 17–23), testowanie odporności (art. 24–27), zarządzanie ryzykiem stron trzecich ICT (art. 28–44).
Procedury custody dla podmiotów świadczących przechowywanie kryptoaktywów: model custody (cold storage / hot wallet split z ratios), procedury multi-signature, ceremonia generacji kluczy, procedury disaster recovery dla kluczy prywatnych, ubezpieczenie cybernetyczne pokrywające utratę kluczy. To obszar, w którym KNF najczęściej żąda uzupełnień; dokumentacja generic, kopiowana z templates dostawców, jest sygnałem braku rzeczywistej znajomości operacji.
Plan ciągłości działania (BCP) i disaster recovery: scenariusze utraty centrum danych, ataku ransomware, utraty dostępu do kluczy prywatnych, utraty kluczowego personelu. Czas odzyskania (RTO) i punkt odzyskania (RPO) udokumentowane dla każdego scenariusza, z testami przeprowadzonymi w roku poprzedzającym wniosek.
Opłaty: za wniosek i opłaty bieżące nadzorcze
Opłaty wynikają z art. 77 i nast. ustawy o rynku kryptoaktywów. Podstawą prawną opłaty za wniosek o udzielenie zezwolenia CASP jest art. 77 ust. 1 pkt 1 lit. a ustawy, który wprost stanowi, że opłata za udzielenie zezwolenia z art. 59 ust. 1 lit. a MiCA wynosi nie więcej niż równowartość w złotych kwoty 4500 euro. Stawka maksymalna jest zatem ustalona na poziomie ustawowym; rozporządzenie wykonawcze wydane przez Prezesa Rady Ministrów na podstawie art. 81 ustawy może jedynie określić stawkę niższą lub równą, ale nie wyższą. Przeliczenie EUR na PLN następuje według średniego kursu NBP z ostatniego dnia roboczego roku poprzedzającego rok, w którym opłata stała się należna (art. 80 ust. 1 pkt 1). Delegacja do rozporządzenia (art. 81) zawiera wytyczną materialną: opłaty „nie mogą w istotny sposób wpływać na zwiększenie kosztów działalności podmiotów obowiązanych do ich uiszczania”.
Opłaty bieżące nadzorcze (art. 78 ust. 1) są pobierane rocznie od dostawców usług w zakresie kryptoaktywów jako iloczyn średniej wartości przychodów ogółem z ostatnich trzech lat obrotowych oraz stawki nieprzekraczającej 0,4 procent, jednak nie mniej niż równowartość w złotych kwoty 500 euro. Analogiczna konstrukcja dla emitentów ART/EMT wynika z art. 79. Konstrukcja jest zbliżona do opłat nadzorczych KNF od firm inwestycyjnych. Należy je uwzględnić w projekcji finansowej wniosku jako stały koszt operacyjny.
Dodatkowe koszty po stronie aplikanta: koszty prawne i doradcze (rząd setek tysięcy złotych dla typowego wniosku, więcej dla złożonych struktur międzynarodowych), koszty audytu zewnętrznego dokumentacji ICT i AML, koszty ubezpieczenia gwarancyjnego lub zawodowego, koszty tłumaczeń dla dokumentów obcojęzycznych.
Sankcje administracyjne i karne za naruszenia
Ustawa o rynku kryptoaktywów przewiduje rozbudowany katalog sankcji, z podziałem na sankcje karne (rozdział 8 ustawy) i administracyjne. Stawki są wyższe niż w wcześniejszych projektach — kwoty 5 mln zł i 5 lat, krążące w komentarzach z drugiej połowy 2025 r., dotyczyły wersji zawetowanych.
Art. 121 ust. 1 — prowadzenie działalności bez wymaganego zezwolenia: grzywna do 20 000 000 zł albo kara pozbawienia wolności do lat 8, albo obie te kary łącznie. Sankcja obejmuje zarówno działalność prowadzoną bez zezwolenia z art. 59, jak i działalność w trybie uproszczonym z art. 60 rozporządzenia 2023/1114, co oznacza, że również podmioty już regulowane, które rozpoczynają świadczenie usług w zakresie kryptoaktywów bez właściwej notyfikacji, narażają się na pełen wymiar sankcji. Ust. 2 rozszerza zakres podmiotowy na osoby fizyczne działające w imieniu lub interesie osoby prawnej — członek zarządu, prokurent, dyrektor operacyjny ponosi odpowiedzialność osobiście.
Art. 122 — naruszenie tajemnicy zawodowej (art. 17 ustawy): grzywna do 1 000 000 zł albo kara pozbawienia wolności do lat 3, albo obie te kary łącznie.
Art. 123 — bezprawne używanie określeń wskazujących na status CASP (firma, nazwa handlowa, reklama, informacja handlowa): grzywna do 3 000 000 zł albo kara pozbawienia wolności do lat 3, albo obie te kary łącznie. To sankcja, którą stosuje się do podmiotów, które po 1 lipca 2026 r. nadal używają oznaczeń sugerujących posiadanie zezwolenia, nie posiadając go w rzeczywistości.
Art. 124 — niewykonanie lub nienależyte wykonanie obowiązku udzielenia Komisji informacji i wyjaśnień (art. 38 ust. 1–3 ustawy): grzywna do 500 000 zł, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Sankcja ma na celu zabezpieczenie skuteczności nadzoru, a adresatami obowiązku są m.in. emitenci, CASP, członkowie ich organów, likwidatorzy, syndycy, biegli rewidenci.
Art. 125 — niewykonanie blokady transakcji (art. 63 ustawy w zakresie blokad): grzywna do 3 000 000 zł albo kara pozbawienia wolności do lat 3, albo obie te kary łącznie.
Art. 126 — utrudnianie lub udaremnianie kontroli: grzywna do 1 000 000 zł, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
Sankcje karne uruchamiają standardowy zestaw środków zabezpieczających postępowanie karne: zabezpieczenie majątkowe na podstawie art. 291 k.p.k., blokada rachunków bankowych, możliwy zakaz prowadzenia działalności (art. 41 k.k.), zakaz zajmowania stanowisk lub wykonywania zawodu. Dla członków zarządu osobiste konsekwencje obejmują wpis do KRK, ryzyko zakazu pełnienia funkcji w spółkach kapitałowych (art. 18 § 2 k.s.h.), utratę dobrej reputacji w późniejszych postępowaniach licencyjnych w innych jurysdykcjach UE.
Równolegle do sankcji karnych ustawa przewiduje rozbudowany katalog sankcji administracyjnych. Kluczowy dla CASP jest art. 105 ust. 1: za naruszenie przepisów art. 65–82 rozporządzenia 2023/1114 oraz wybranych innych obowiązków KNF może nałożyć na dostawcę usług w zakresie kryptoaktywów karę pieniężną do 30 000 000 zł albo równowartość 5 procent całkowitego rocznego przychodu (gdy przekracza 30 000 000 zł), a na osobę odpowiedzialną za naruszenie — karę do 5 000 000 zł. Art. 105 ust. 3 przewiduje przy tym, że jeżeli możliwe jest ustalenie kwoty korzyści osiągniętej lub straty unikniętej, kara może zostać nałożona do dwukrotności tej kwoty, co dla podmiotów o znaczącej skali bywa pułapem realnie istotniejszym niż 30 mln zł. Niezależnie od kary pieniężnej KNF może zakazać świadczenia usług (art. 105 ust. 2), nakazać zaprzestanie naruszeń (art. 105 ust. 5 pkt 1) oraz zakazać osobie odpowiedzialnej pełnienia funkcji w organach CASP przez okres od miesiąca do roku, a przy ponownym naruszeniu — od 10 do 15 lat (art. 105 ust. 5 pkt 2). Dla porównania, dla emitentów tokenów powiązanych z aktywami i tokenów będących e-pieniądzem art. 104 ust. 2 przewiduje karę do 30 000 000 zł lub równowartość 12,5 procent rocznego przychodu — pułap niemający zastosowania do CASP. Uzupełnieniem są: art. 102 (do 25 000 000 zł za uniemożliwianie kontroli), art. 103 (do 7 000 000 zł na podmiot oraz do 4 000 000 zł na osobę fizyczną odpowiedzialną za niewykonanie nakazu Komisji), cofnięcie zezwolenia (art. 64 MiCA) oraz publiczne stwierdzenie naruszenia (art. 113), które w praktyce bywa sankcją dotkliwszą niż kara pieniężna.
Kontekst strategiczny
Dla podmiotów z polskiego rejestru działalności w zakresie walut wirtualnych wniosek o zezwolenie CASP funkcjonuje w kontekście wygasającego 1 lipca 2026 r. okresu przejściowego MiCA. Procedury KNF wykraczają poza tę datę w każdym realistycznym scenariuszu, co oznacza, że samo złożenie wniosku nie eliminuje konieczności zaprojektowania protokołu wygaszania działalności w okresie między 1 lipca 2026 r. a datą decyzji KNF. Strategie wyjścia, paszport z innego państwa UE, fuzje z podmiotami licencjonowanymi oraz kontrolowane zakończenie działalności są przedmiotem osobnej analizy — odsyłamy do artykułu „Licencja CASP w Polsce: koniec okresu przejściowego MiCA i twardy deadline 1 lipca 2026 r.”.
Ważne rozróżnienie: ustawa przewiduje dwa odrębne reżimy przejściowe. Art. 161 dotyczy podmiotów świadczących usługi w zakresie kryptoaktywów, które nie były działalnością na rzecz walut wirtualnych w rozumieniu dotychczasowej ustawy (czyli usługi niewymagające wcześniej wpisu do rejestru VASP) i wykonywane były już 29 grudnia 2024 r. Te podmioty mogą działać na dotychczasowych zasadach do 1 lipca 2026 r. Art. 162 dotyczy podmiotów wpisanych do rejestru działalności w zakresie walut wirtualnych na dzień wejścia w życie ustawy. Ten sam deadline 1 lipca 2026 r. obowiązuje również tu, ale z istotnym uzupełnieniem: art. 162 ust. 2 przewiduje dodatkowe przesłanki wykreślenia z rejestru w okresie przejściowym (m.in. dwukrotne nieodpowiedzenie na żądanie kontrolne, brak aktualnego adresu w KRS, dwukrotne niedopełnienie obowiązków AML zgłoszone przez GIIF). Wykreślenie z rejestru VASP przed deadlinem unicestwia okres przejściowy — podmiot traci podstawę kontynuowania działalności na dotychczasowych zasadach z dniem wykreślenia, niezależnie od daty 1 lipca 2026 r. Dla operatorów rejestrowych założenie, że bieżąca dyscyplina operacyjna jest sprawą drugorzędną wobec przygotowania wniosku o zezwolenie, jest błędem o potencjalnie egzystencjalnych konsekwencjach.
Zezwolenie na świadczenie usług w zakresie kryptoaktywów: najczęściej zadawane pytania
Od kiedy KNF przyjmuje wnioski o zezwolenie na świadczenie usług w zakresie kryptoaktywów?
KNF stanie się organem właściwym w rozumieniu art. 3 ust. 1 pkt 35 MiCA z chwilą wejścia w życie ustawy o rynku kryptoaktywów. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia (art. 169), co przy założeniu niezwłocznego podpisu Prezydenta i publikacji w Dzienniku Ustaw lokuje wejście w życie orientacyjnie między 8 a 20 czerwca 2026 r. Wnioski można składać od pierwszego dnia obowiązywania ustawy. KNF w komunikatach z 2024 i 2025 r. zachęcał do przygotowania dokumentacji z wyprzedzeniem, aby umożliwić złożenie wniosku natychmiast po wejściu ustawy w życie.
Ile kosztuje opłata za wniosek o zezwolenie na świadczenie usług w zakresie kryptoaktywów?
Stawka maksymalna opłaty jest ustalona ustawowo w art. 77 ust. 1 pkt 1 lit. a ustawy o rynku kryptoaktywów: nie więcej niż równowartość w złotych kwoty 4500 euro. Rozporządzenie wykonawcze wydane przez Prezesa Rady Ministrów na podstawie art. 81 ustawy może określić stawkę niższą lub równą, ale nie może jej przekroczyć. Przeliczenie EUR na PLN następuje według średniego kursu NBP z ostatniego dnia roboczego roku poprzedzającego rok, w którym opłata stała się należna (art. 80 ust. 1 pkt 1). Niezależnie od stawki opłaty wnioskowej, koszty łączne przygotowania wniosku (doradztwo prawne, audyt ICT, dokumentacja AML, ubezpieczenia) wielokrotnie przekraczają samą opłatę. Odrębnym i powracającym kosztem jest opłata bieżąca nadzorcza z art. 78, sięgająca 0,4 procent średnich rocznych przychodów z trzech lat, nie mniej niż 500 EUR rocznie.
Czy firma inwestycyjna może uzyskać status CASP w trybie uproszczonym?
Tak. Art. 60 MiCA przewiduje tryb notyfikacyjny dla podmiotów już regulowanych: banków, instytucji kredytowych, firm inwestycyjnych w rozumieniu MiFID II, instytucji pieniądza elektronicznego, spółek zarządzających UCITS oraz zarządzających alternatywnymi funduszami inwestycyjnymi. KNF ma 40 dni roboczych na ocenę notyfikacji, a zakres wymaganej dokumentacji jest węższy niż przy pełnej autoryzacji z art. 59. Ścieżka notyfikacyjna obejmuje w szczególności program działalności w zakresie kryptoaktywów, opis systemów ICT i custody, polityki konfliktu interesów oraz wykazanie, że dotychczasowy reżim regulacyjny pokrywa wymogi MiCA w pozostałym zakresie. Dla podmiotów uprawnionych z art. 60 ścieżka pełnej autoryzacji jest zazwyczaj zarówno wolniejsza, jak i droższa.
Jakie dokumenty korporacyjne są wymagane do wniosku CASP?
Dokumenty korporacyjne obejmują: aktualny odpis z KRS, statut lub umowę spółki w wersji obowiązującej, schemat struktury właścicielskiej z dokumentacją wszystkich znaczących pakietów od 10 procent w górę, dokumentację beneficjentów rzeczywistych zgodną z CRBR, dla akcjonariuszy instytucjonalnych — ich dokumenty rejestrowe i sprawozdania finansowe, dla podmiotów z grupy w jurysdykcjach offshore — pełną dokumentację łańcucha kontroli. KNF wymaga, by struktura była przejrzysta i w pełni udokumentowana do poziomu osoby fizycznej.
Jakie są wymogi fit & proper dla członków zarządu CASP?
Wymogi określają art. 68 ust. 1 MiCA i wytyczne EBA/ESMA EBA/GL/2024/13. Ocena obejmuje pięć wymiarów: reputację (good repute, brak skazań i toczących się postępowań karnych dotyczących uczciwości zawodowej), wiedzę i doświadczenie w sektorze finansowym lub regulowanym, niezależność osądu, dostateczne zaangażowanie czasowe, oraz collective suitability organu zarządzającego jako całości. Wytyczne wprost uwzględniają toczące się postępowania administracyjne i karne, co ma znaczenie dla osób związanych z podmiotami kontynuującymi działalność bez zezwolenia po 1 lipca 2026 r.
Czy można złożyć wniosek o zezwolenie CASP w trybie pre-application?
MiCA nie przewiduje formalnego trybu pre-application analogicznego do procedur stosowanych przez niektóre krajowe organy nadzoru w Niemczech czy Niderlandach. KNF w komunikatach z 2025 r. wskazał, że jest otwarty na nieformalne spotkania konsultacyjne przed złożeniem wniosku, jednak nie stanowią one elementu procedury z art. 63 MiCA i nie wpływają na bieg terminów. Spotkanie konsultacyjne nie zwalnia z obowiązku złożenia kompletnego wniosku ani nie tworzy uzasadnionych oczekiwań co do treści przyszłej decyzji.
Jaki kapitał własny jest wymagany dla giełdy kryptoaktywów?
Prowadzenie platformy obrotu kryptoaktywami wymaga minimum kapitału na poziomie 150 000 EUR (Próg 3 załącznika IV MiCA). Jest to minimum nominalne. Drugim parametrem (art. 67 ust. 2 MiCA) jest wymóg utrzymywania kapitału własnego na poziomie co najmniej 25 procent stałych kosztów operacyjnych z poprzedniego roku. Dla giełdy z istotną infrastrukturą ICT, zespołem compliance i AML, ten drugi parametr zazwyczaj przewyższa próg nominalny. W praktyce dla operatora giełdy o rzeczywistej skali realny kapitał operacyjny zaczyna się od kilku milionów euro.
Jakie sankcje grożą członkom zarządu osobiście?
Art. 121 ust. 2 ustawy o rynku kryptoaktywów rozszerza sankcję karną (grzywna do 20 mln zł, kara pozbawienia wolności do lat 8, lub obie łącznie) na osoby fizyczne działające w imieniu lub interesie osoby prawnej. Obejmuje to członków zarządu, prokurentów, osoby pełniące funkcje kierownicze odpowiedzialne za obszary, w których wystąpiło naruszenie. Skazanie wiąże się z wpisem do KRK, ryzykiem zakazu pełnienia funkcji w spółkach kapitałowych (art. 18 § 2 k.s.h.) i utratą dobrej reputacji dla celów ocen fit and proper w innych postępowaniach licencyjnych. Sankcja administracyjna na osobę fizyczną odpowiedzialną za naruszenie obowiązków CASP wynosi do 5 000 000 zł (art. 105 ust. 1 pkt 2), z możliwym zakazem pełnienia funkcji w organach CASP do 15 lat przy ponownym naruszeniu (art. 105 ust. 5 pkt 2). Dodatkowo art. 103 ust. 1 pkt 2 przewiduje karę do 4 000 000 zł na osobę fizyczną odpowiedzialną za niewykonanie nakazu Komisji. Sankcja osobista jest istotnym czynnikiem decyzyjnym, którego rzadko adekwatnie uwzględniają struktury delegowania odpowiedzialności w korporacjach.
Czy można wycofać wniosek o zezwolenie CASP po jego złożeniu?
MiCA nie reguluje wprost cofnięcia wniosku przez aplikanta. Standardy postępowania administracyjnego w prawie polskim (art. 105 § 2 k.p.a.) zezwalają stronie na cofnięcie żądania w toku postępowania, co skutkuje umorzeniem postępowania. W praktyce nadzorczej cofnięcie wniosku przed jego rozpatrzeniem nie wiąże się z formalnymi konsekwencjami negatywnymi w późniejszych postępowaniach, choć każdy taki przypadek będzie znany KNF przy ponownym złożeniu wniosku. Sytuacja jest inna, gdy cofnięcie wniosku następuje po wezwaniu do uzupełnień, które ujawnia poważne braki — taki kontekst może być oceniany w kategoriach good repute.
Czy odmowa KNF blokuje ponowne złożenie wniosku?
Formalnie nie blokuje. MiCA nie przewiduje okresu karencji po odmowie udzielenia zezwolenia. W praktyce ponowne złożenie wniosku ma sens wyłącznie po usunięciu wszystkich przesłanek wcześniejszej odmowy. Odmowa z powodu fit and proper członków zarządu wymaga zmiany kompozycji organu, odmowa z powodu kapitału — dokapitalizowania, odmowa z powodu braków AML — przebudowy compliance. KNF traktuje historię odmowy jako element oceny dobrej wiary aplikanta przy ponownym złożeniu. Strategicznie znacznie efektywniej jest dopracować pierwszy wniosek do stanu zatwierdzalnego niż przyjmować strategię „złożyć szybko, poprawić później”.
Czy KNF prowadzi konsultacje przed złożeniem wniosku?
KNF w komunikatach z 2025 r. wskazał gotowość do nieformalnych spotkań konsultacyjnych dla podmiotów przygotowujących wnioski CASP. Spotkania mają charakter informacyjny, nie tworzą elementu procedury i nie wiążą KNF na etapie rozpatrywania wniosku. Praktyka analogiczna funkcjonuje w odniesieniu do firm inwestycyjnych i instytucji pieniądza elektronicznego. Spotkanie konsultacyjne jest racjonalnym narzędziem dla aplikantów z nietypowym profilem (transgraniczna struktura, kombinacja regulowanych i nieregulowanych usług, custody w nietypowym modelu), pozwala bowiem zidentyfikować obszary wymagające szczególnego doprecyzowania w dokumentacji przed formalnym złożeniem wniosku.
Robert Nogacki – radca prawny (WA-9026), założyciel Kancelarii Prawnej Skarbiec.
Są prawnicy, którzy zajmują się prawem. I są tacy, którzy zajmują się problemami, na które prawo nie ma gotowej odpowiedzi. Od ponad dwudziestu lat Kancelaria Skarbiec pracuje na przecięciu prawa podatkowego, struktur korporacyjnych i ludzkiej niechęci do oddawania państwu więcej, niż się państwu należy. Doradzamy przedsiębiorcom z kilkunastu krajów – od tych z listy Forbesa po tych, którym fiskus właśnie zajął konto i którzy nie wiedzą, co robić jutro rano.
Jeden z najczęściej cytowanych ekspertów prawa podatkowego w polskich mediach – pisze dla Rzeczpospolitej, Dziennika Gazety Prawnej i Parkietu nie dlatego, że to dobrze wygląda w CV, lecz dlatego, że pewnych rzeczy nie da się wyjaśnić w piśmie procesowym i ktoś musi je powiedzieć głośno. Autor AI Decoding Satoshi Nakamoto. Sztuczna inteligencja na tropie twórcy Bitcoina. Współautor nagrodzonej książki Bezpieczeństwo współczesnej firmy.
Kancelaria Skarbiec zajmuje czołowe pozycje w rankingach kancelarii podatkowych Dziennika Gazety Prawnej. Czterokrotny laureat Medalu Europejskiego, laureat tytułu International Tax Planning Law Firm of the Year in Poland.
Specjalizuje się w sporach z organami skarbowymi, międzynarodowym planowaniu podatkowym, regulacjach kryptoaktywów i ochronie majątku. Od 2006 roku prowadzi sprawę WGI – jedną z najdłuższych spraw karnych w historii polskiego rynku finansowego, bo są rzeczy, których nie wolno zostawić w połowie, nawet jeśli trwają dwie dekady. Wierzy, że prawo jest zbyt poważne, żeby traktować je wyłącznie poważnie – i że najlepsza porada prawna to ta, dzięki której klient nigdy nie musi stanąć przed sądem.
