Zdecentralizowane finanse DeFi: wyłączenie MiCA, test Howeya i granice regulacji
Granice decentralizacji w finansach. Rzeczywisty zakres wyłączenia DeFi spod regulacji MiCA i jego wpływ na wymogi licencyjne
Rozwój zdecentralizowanych finansów (DeFi) postawił przed europejskim prawodawcą fundamentalne pytanie o granice regulacji rynków kryptoaktywów. Rozporządzenie w sprawie rynków kryptoaktywów (MiCA), które weszło w życie w 2023 roku, explicite wyłącza z zakresu swojego stosowania usługi świadczone w sposób „w pełni zdecentralizowany” bez jakiegokolwiek pośrednika. Jednakże brak precyzyjnej definicji tego pojęcia oraz inherentna złożoność ekosystemu DeFi rodzą poważne wątpliwości co do rzeczywistego zakresu tego wyłączenia i jego praktycznych konsekwencji dla podmiotów operujących w przestrzeni kryptoaktywów.
Niniejszy artykuł analizuje problematykę granic decentralizacji w kontekście regulacyjnym, ze szczególnym uwzględnieniem zjawiska pozornej decentralizacji oraz jego wpływu na obowiązki licencyjne. Fundamentalne znaczenie ma tutaj rozróżnienie między decentralizacją techniczną a funkcjonalną, jak również identyfikacja elementów centralizacji w systemach nominalnie zdecentralizowanych.
Zobacz również naszą publikację w Parkiecie >>
Zdecentralizowane finanse czyli kod, który nie ma adresu
Jak zdecentralizowane finanse stały się ostatnią linią obrony przed prawem i dlaczego ta obrona coraz częściej ulega załamaniu?
We wrześniu 2022 roku Komisja ds. Obrotu Towarowymi Instrumentami Pochodnymi (CFTC), amerykański regulator rynku derywatów, stanęła przed problemem, którego nie znał żaden podręcznik. Postanowiła pozwać podmiot, który formalnie nie istniał. Nie miał siedziby, zarządu ani rejestru. Miał za to forum internetowe, na którym posiadacze tokenów głosowali nad tym, co robić dalej. Regulator doręczył pozew, wrzucając go w okno czatu na owym forum. Brzmi to jak żart, lecz wyrok, który zapadł, jest dziś najpoważniejszym orzeczeniem świata dotyczącym decentralized finance, w skrócie DeFi.
I jest zarazem najlepszą ilustracją tezy, którą poniżej rozwijam: że powołanie się na decentralizację bywa nie tyle opisem rzeczywistości technologicznej, ile taktyką prawną, a jako taktyka, coraz częściej zawodzi.
Aby zrozumieć, dlaczego sprawa Ooki DAO jest ważna, trzeba najpierw zrozumieć trzy rzeczy: czym właściwie jest DeFi, dlaczego klasyczne prawo, zarówno amerykański test Howeya, jak i europejskie rozporządzenie MiCA, potyka się o nie jak o próg, którego nie widać, oraz co wlewa się w powstałą w ten sposób próżnię. Dopiero wtedy widać sedno: jak biznes w istocie scentralizowany wkłada kostium decentralizacji, by uniknąć odpowiedzialności, i w którym momencie kostium zaczyna pękać w szwach.
Pożyczka bez pożyczkodawcy. Czym właściwie jest DeFi
Wyobraźmy sobie kantor, który nie ma właściciela. Nie ma kasjera, nie ma prezesa, nie ma nawet pokoju, w którym ktoś siedzi. Jest tylko automat, a w nim reguła zapisana raz na zawsze: kto włoży złotówki, dostanie euro po kursie wynikającym z tego, ile jednej i drugiej waluty leży aktualnie w automacie. Nikt tym kursem nie steruje. Wyznacza go matematyka. Automat stoi na ulicy, z której nie da się go usunąć, bo nie należy do nikogo, a klucz do niego, przynajmniej w teorii, wyrzucono.
To jest, w pewnym uproszczeniu, idea zdecentralizowanej giełdy (decentralized exchange, DEX), serca DeFi. W miejsce instytucji finansowej wchodzi program, tak zwany inteligentny kontrakt (smart contract): fragment kodu działający na łańcuchu bloków (blockchain), który wykonuje się sam, automatycznie, gdy spełnione zostaną zapisane w nim warunki. Pożyczki działają tak samo. Zamiast banku, który ocenia zdolność kredytową, jest pula środków wpłaconych przez anonimowych użytkowników; kto chce pożyczyć, zostawia zabezpieczenie w kryptowalucie, a kod wypłaca mu środki i sam pilnuje, by w razie spadku wartości zabezpieczenia odebrać je z powrotem. Pożyczka bez pożyczkodawcy. Depozyt bez depozytariusza.
Obietnica jest tu zarazem techniczna i filozoficzna. Skoro usługę świadczy kod, a nie człowiek, to nie ma kogo oszukać, nie ma kogo przekupić i, co dla naszej opowieści najważniejsze, nie ma kogo pozwać. Tradycyjne finanse opierają się na zaufaniu do pośrednika i na państwie, które tego pośrednika nadzoruje. DeFi proponuje zastąpić jedno i drugie zaufaniem do matematyki. Hasło ruchu brzmi: code is law, kod jest prawem.
Idea jest piękna. Problem w tym, że, jak zobaczymy, automat na ulicy prawie zawsze ma jednak właściciela, ten zaś prawie nigdy nie wyrzucił klucza. Zanim jednak dojdziemy do właściciela, musimy zrozumieć, dlaczego sama obietnica jego nieobecności wystarcza, by sparaliżować regulatora.
Prawo, które szuka osoby. Dlaczego regulacja potyka się o DeFi
Współczesne prawo rynku finansowego, czy to amerykańskie, czy europejskie, zbudowano wokół jednego, niewypowiedzianego wprost założenia: że gdzieś jest ktoś. Ktoś, kto emituje papier wartościowy. Ktoś, kto prowadzi giełdę. Ktoś, kto przyjmuje depozyt. Cała konstrukcja obowiązków, ujawnianie informacji, wymogi kapitałowe, ochrona konsumenta, zakłada istnienie adresata, do którego można te obowiązki skierować i od którego pokrzywdzony może żądać zaspokojenia. Prawo finansowe jest, w gruncie rzeczy, prawem o osobach, które coś robią, a nie o czynnościach, które dzieją się same.
Spójrzmy, jak to założenie ujawnia się po obu stronach Atlantyku.
Ameryka: test, który pyta o czyjś wysiłek
W Stanach Zjednoczonych o tym, czy dane aktywo jest papierem wartościowym, a więc czy podlega nadzorowi Komisji Papierów Wartościowych i Giełd (SEC), decyduje test sformułowany przez Sąd Najwyższy w 1946 roku w sprawie SEC v. W.J. Howey Co. Sprawa dotyczyła, rzecz znamienna, plantacji drzewek pomarańczowych na Florydzie, sprzedawanych inwestorom wraz z umową o ich uprawę. Sąd uznał, że mamy do czynienia z papierem wartościowym, gdy ktoś inwestuje pieniądze we wspólne przedsięwzięcie, oczekując zysku z wysiłku innych osób. I właśnie w tych ostatnich słowach tkwi cały kłopot. Test Howeya pyta o czyjś wysiłek. A jeżeli usługę świadczy rzekomo wyłącznie autonomiczny kod, to czyj to wysiłek? Twórcy, którzy dawno odeszli? Anonimowych głosujących? Maszyny?[^1]
Pokusa odpowiedzi jest oczywista: skoro nikt nie czyni już wysiłku, bo wszystko robi kod, to przesłanka Howeya upada, a wraz z nią nadzór SEC. Na tym właśnie polega pierwsza linia obrony DeFi. Co ważne, w 2018 roku wysoki urzędnik SEC, William Hinman zasugerował w przemówieniu, że dostatecznie zdecentralizowane aktywo (mówił o eterze) może przestać być papierem wartościowym. Słowa te przez lata cytowano jak wyrocznię. Tyle że, jak SEC później wprost zastrzegła, było to prywatne zapatrywanie urzędnika, a nie wiążące stanowisko Komisji. Żaden przepis prawa amerykańskiego nie zna wyłączenia z uwagi na decentralizację. Mit żył jednak własnym życiem, bo był wygodny.
Europa: definicja, która szuka przedsiębiorstwa
Europa poszła inną drogą, lecz potknęła się o ten sam próg. Rozporządzenie MiCA, kompleksowo regulujące rynek kryptoaktywów w Unii, posługuje się pojęciem dostawcy usług w zakresie kryptoaktywów (crypto-asset service provider, CASP). Definicja z art. 3 ust. 1 pkt 16 obejmuje osobę prawną lub inne przedsiębiorstwo, które świadczy usługi na zasadach profesjonalnych. Znów: musi istnieć ktoś, jakiś podmiot, choćby nieformalny.
I tu europejski ustawodawca uczynił rzecz, która jest dla naszej analizy kluczowa, a którą łatwo przeoczyć. W motywie 22 preambuły zapisał, że usługi świadczone w sposób w pełni zdecentralizowany, bez jakiegokolwiek pośrednika, nie powinny być objęte rozporządzeniem. Co więcej, ten sam zwrot przeniósł do części normatywnej, do art. 2 ust. 3. Wyłączenie stało się więc realnym przepisem, nie zaś pobożnym życzeniem z preambuły. Powstała jednak luka: rozporządzenie nigdzie nie definiuje, co znaczy w pełni zdecentralizowany. Ustawodawca wyciął w regulacji okno, lecz nie podał jego wymiarów.[^2]
I tak oba systemy, mimo całej swej odmienności, mają tę samą piętę achillesową. Amerykański test Howeya pyta, czyj jest wysiłek; europejskie MiCA pyta, kto jest przedsiębiorcą. Oba zakładają, że gdzieś jest osoba. DeFi obiecuje, że osoby nie ma.
Gdyby ta obietnica była prawdziwa, mielibyśmy do czynienia z autentyczną próżnią regulacyjną: usługą finansową, której nie da się przypisać nikomu. Pytanie, które porządkuje całą dalszą część, brzmi zatem prosto: czy ta próżnia jest realna, czy tylko deklarowana? Zanim na nie odpowiemy, przyjrzyjmy się, co do owej rzekomej próżni napływa.
Co wpływa w próżnię. Zjawiska, które szukają miejsca bez adresu
Każda przestrzeń, w której transakcja nie ma autora, a przepływ wartości nie pozostawia śladu prowadzącego do osoby, działa jak grawitacja na zjawiska, które przed światłem uciekają. Nie jest to przypadek ani złośliwość technologii. To prosta logika: skoro pośrednik finansowy jest tym, kto w klasycznym systemie ma obowiązek rozpoznać klienta (zasada know your customer) i zgłosić transakcję podejrzaną, to usunięcie pośrednika usuwa zarazem owo oko. Przyjrzyjmy się czterem kategoriom, łącząc to, co regulatorzy obserwują w skali globalnej, z przykładami, które padały już w naszych analizach.
Pranie pieniędzy i obchodzenie sankcji
Najczęstszy gość. Zdecentralizowana giełda nie pyta, skąd masz środki, bo z założenia nie ma kto pytać. Tak zwane miksery, czyli protokoły mieszające kryptowalutę wielu użytkowników, by zatrzeć powiązanie między adresem wysyłającym a odbierającym, doprowadziły tę logikę do skrajności. Gdy amerykański Departament Skarbu nałożył w 2022 roku sankcje na jeden z najgłośniejszych takich protokołów, argumentując, że posłużył on do wyprania ponad siedmiu miliardów dolarów, w tym środków skradzionych przez powiązaną z Koreą Północną grupę Lazarus, obrońcy odpowiedzieli dokładnie tak, jak każe pierwsza linia obrony DeFi: że ukarano kod, a kodu nie sposób objąć sankcjami, bo nie jest osobą. I tu, co znamienne, obrona w końcu zwyciężyła, lecz na gruncie najwęższym z możliwych. W sprawie Van Loon przeciwko Departamentowi Skarbu sąd apelacyjny piątego okręgu orzekł pod koniec 2024 roku, że rząd przekroczył swoje uprawnienia, ponieważ konkretne objęte sankcjami inteligentne kontrakty były niezmienne: niemodyfikowalne, niczyje, niepoddające się kontroli nikogo, a więc niebędące „mieniem”, które prawo sankcyjne mogłoby dosięgnąć. Wyjątek ten potwierdza regułę. Prawo nie sięgnęło dokładnie tego kodu, który naprawdę nie miał właściciela, owej rzadkiej, autentycznej postaci. Wszystko, przy czym ktoś wciąż trzyma rękę na wyłączniku, pozostaje w zasięgu.[^3] W marcu 2025 roku Departament Skarbu poszedł dalej i w ogóle wykreślił Tornado Cash z listy sankcyjnej, powołując się na zmieniające się technologię i otoczenie prawne (OFAC, marzec 2025).
Mechanizm, który sankcje ścigały, jest dziś niemal choreografią. Powiązana z Koreą Północną grupa Lazarus, ta sama, którą obwinia się o kradzież z mostu Ronin, skąd pochodziły wyprane środki, przepuściła przez protokoły DeFi od trzydziestu do czterdziestu procent z ponad dwóch miliardów dolarów skradzionej kryptowaluty, wedle szacunków czołowych firm analitycznych. Wzorzec powtarza się tak regularnie, że śledczy umieją go wyrecytować: włamać się do mostu lub na giełdę; w ciągu godzin, zanim analitycy zdążą oznaczyć adresy, zamienić łup na ether lub stabilne tokeny na giełdzie zdecentralizowanej, najczęściej najpierw na Uniswapie; przepuścić przez mikser; wypłacać transzami przez tygodnie; i wreszcie wyprowadzić na waluty fiducjarne przez scentralizowaną giełdę w jurysdykcji, gdzie kontrola tożsamości jest pobłażliwa. Każde ogniwo tego łańcucha to protokół DeFi, który z założenia nie zadaje pytań. Tempo zdradza najwięcej: po kradzieży z Ronina pierwsze wpłaty do miksera padły w ciągu godzin, bo dla piorących zegar rusza w chwili, gdy zaczynają patrzeć analitycy.[^4]
Tam, gdzie wzorzec Lazarusa to kradzież i ucieczka, użytkownicy rosyjscy od 2022 roku sięgają po pożyczki DeFi: wpłacają kupiony za ruble ether do protokołu takiego jak Aave czy Compound, pożyczają pod jego zastaw stabilne tokeny powiązane z dolarem i wypłacają je na prywatny portfel. W rezultacie powstaje wartość dolarowa, trzymana poza objętym sankcjami systemem bankowym, która ani razu nie przeszła przez kontrolę tożsamości na scentralizowanej giełdzie. Żadnej kradzieży, żadnego miksera, niczego, co uruchamia alarm; jedynie zwykła maszyneria DeFi obrócona ku obejściu finansowej blokady.[^5]
Oszustwa inwestycyjne i giełdy-widma
Druga kategoria to oszustwa. Klasyczny schemat rug pull, czyli wyciągnięcia dywanu spod nóg, polega na tym, że twórcy tworzą token, rozkręcają wokół niego entuzjazm, a gdy do puli napłyną środki inwestorów, opróżniają ją jednym ruchem i znikają. W świecie scentralizowanym musiałby istnieć podmiot, do którego dobiega prokurator. W świecie rzekomo zdecentralizowanym twórcy liczą, że schowają się za zdaniem: to nie my, to autonomiczny protokół. Federalne Biuro Śledcze i organy nadzoru wielu państw szacują straty z takich schematów w miliardach dolarów rocznie.[^6]
Na czym polega ten problem w praktyce? Mamy portfel Zondy. Jest „gorący”, a mimo to nie do zajęcia XRP, jako natywny zasób XRP Ledger, nie podlega zamrożeniu przez nikogo – ani przez Ripple, ani przez fundację XRPL Foundation, ani przez żaden organ państwowy. Mechanizm `freeze` istniejący w XRPL działa wyłącznie na issued tokens, czyli tokeny emitowane przez podmioty trzecie poprzez tzw. trust lines (np. RLUSD, stablecoiny, tokenizowane aktywa). Emitent takiego tokena może swój token zamrozić – co więcej, od niedawna dostępna jest funkcja Deep Freeze, która blokuje zarówno wysyłanie, jak i odbieranie. Ale natywne XRP – to, co siedzi na badanym portfelu – pozostaje całkowicie poza tym mechanizmem.
Hazard i obrót tym, czym handlować nie wolno
Trzecia kategoria to działalność, która w realnym świecie wymaga licencji albo jest wprost zakazana. Zdecentralizowane platformy zakładów, działające bez koncesji i bez weryfikacji wieku, są dostępne wszędzie tam, gdzie sięga internet. Wracamy tu zresztą do sprawy Ooki DAO, od której zaczęliśmy: zarzut CFTC dotyczył właśnie oferowania lewarowanych transakcji towarowych osobom detalicznym bez licencji i bez procedur know your customer. Lewar, czyli handel za pożyczone środki wielokrotnie przewyższające wkład, jest dla drobnego inwestora bronią obosieczną, którą prawo dlatego obwarowuje. Rzecz w tym, że dopuszczalny lewar na giełdach zdecentralizowanych potrafi przewyższać ten z giełd regulowanych, co odnotowywał już Bank Rozrachunków Międzynarodowych. Protokół zdejmował więc obwarowania, oferując zarazem ryzyko większe niż rynek nadzorowany, i twierdził przy tym, że jest tylko kodem.
Czwarta kategoria jest najpoważniejsza, a abstrakcje nabierają tu głowic. Łup z napadów Lazarusa nie znika w prywatnych fortunach. W ocenie Zespołu Ekspertów ONZ powołanego na podstawie rezolucji Rady Bezpieczeństwa nr 1718 oraz amerykańskiego Departamentu Skarbu środki te współfinansują północnokoreańskie programy rakietowy i nuklearny. Dlatego finansowanie proliferacji broni, podobnie jak finansowanie terroru, stoi na samym szczycie hierarchii przepływów, których śledzenia państwa domagają się najmocniej, i dlatego mikser piorący łup z napadu na most traktuje się nie jak narzędzie prywatności, lecz jak ogniwo w łańcuchu finansowania proliferacji. Kanał płatniczy bez adresata jest w tym świetle nie wygodą, lecz zagrożeniem o zupełnie innej wadze niż unikanie podatku od giełdowego zysku.[^7]
Wspólny mianownik wszystkich czterech kategorii jest jeden. Nie kuszą one decentralizacją techniczną jako taką. Kusi je nieobecność osoby, do której prowadzi ślad. DeFi sprzedaje tę nieobecność jako cnotę. Dla prokuratora jest ona kryjówką.
Kostium decentralizacji. Gdy powołanie się na DeFi staje się linią obrony
Docieramy do sedna. Jeżeli nieobecność osoby paraliżuje regulatora, to powstaje przemożna pokusa, by tę nieobecność upozorować. I tu przebiega granica, która dla prawnika jest najważniejsza: między decentralizacją prawdziwą a decentralizacją noszoną jak kostium. Bank Rozrachunków Międzynarodowych, instytucja skupiająca banki centralne świata, nazwał to zjawisko wprost iluzją decentralizacji, zwracając uwagę, że praktycznie każda platforma DeFi zachowuje jakieś centrum decyzyjne, choćby ukryte za fasadą głosowań.
Argument BIS jest subtelniejszy, niż się wydaje, i wart przytoczenia, bo trafia w samo założenie hasła code is law. Ekonomia od dawna wie, że żadnej umowy nie da się napisać tak, by przewidziała wszystkie możliwe sytuacje; tę „niezupełność kontraktu” rozwiązuje się, powołując ośrodek decyzyjny, czyli, w przedsiębiorstwie, kierownictwo. W DeFi odpowiednikiem jest niezupełność algorytmu: nie sposób z góry zakodować, co robić w każdej nieprzewidzianej okoliczności. Stąd każda platforma musi mieć jakieś centrum, które na nieprzewidziane reaguje, a posiadacze tokenów zarządczych, jak ujmuje to BIS, pełnią rolę nie tak znów odległą od akcjonariuszy spółki.[^8]
Bywa, że kostium opada przez przypadek, w świetle reflektorów. Gdy w 2021 roku aktualizacja jednego z największych protokołów pożyczkowych przez pomyłkę rozdała użytkownikom nagrody warte około dziewięćdziesięciu milionów dolarów, jego twórca napisał publicznie, że nie istnieją żadne mechanizmy administracyjne ani narzędzia społeczności, które pozwoliłyby tę dystrybucję wstrzymać. Zdanie miało dowodzić bezradności wobec autonomicznego kodu. Dowiodło czegoś przeciwnego: istnienia twórcy, który publicznie wypowiada się w imieniu protokołu, zna jego wewnętrzne uprawnienia i, co do zasady, mógłby je mieć. W tradycyjnych finansach błędny przelew zaskarża się w sądzie; tu okazało się, że jest komu zadać pytanie, dlaczego sądu nie ma.
Schemat taktyczny jest niemal zawsze ten sam. Załóżmy zespół, który tworzy protokół, prowadzi jego stronę internetową, czerpie z niego opłaty i trzyma techniczną możliwość jego wyłączenia lub zmiany. Z punktu widzenia prawa jest to po prostu przedsiębiorstwo świadczące usługę finansową. Lecz zespół ów powołuje do życia tak zwaną zdecentralizowaną organizację autonomiczną (decentralized autonomous organization, DAO), rozdaje tokeny zarządcze i odtąd na każde pytanie regulatora odpowiada formułą: decyzje podejmuje społeczność, my jesteśmy tylko jednym z głosów, usługę świadczy autonomiczny kod. Kostium założony.
Co znamienne, ten sam ruch bywa odwrotnością strategii, którą skądinąd znamy z analiz struktur kapitałowych. Tam mnożono spółki w wielu jurysdykcjach, aby rozmyć odpowiedzialność wszerz. Tu rozprasza się ją w dół i w bok, na anonimowy tłum głosujących, by w środku nie pozostał nikt, kogo dałoby się wskazać palcem. Cel jest jednak identyczny: rozdzielić tego, kto czerpie korzyść, od tego, kto ponosi odpowiedzialność. W jednym i drugim przypadku prawo musi nauczyć się patrzeć nie na formę, lecz na to, kto faktycznie pociąga za sznurki.
Gdzie kostium DeFi pęka w szwach. Cztery pytania, które zadaje regulator
Dobra wiadomość dla porządku prawnego, a zła dla noszących kostium, jest taka, że przebranie ma szwy. Regulatorzy, początkowo zaskoczeni, wypracowali metodę, która nie pyta wcale o filozofię decentralizacji ani o architekturę oprogramowania. Pyta o fakty. Najpełniej ujął to nadzór duński (Finanstilsynet), a w skali Unii wspólny raport Europejskiego Urzędu Nadzoru Bankowego i ESMA ze stycznia 2025 roku. Z tych dokumentów wyłania się lista czterech tropów, z których każdy pojedynczo wystarcza, by uznać, że za rzekomo autonomicznym kodem stoi jednak osoba.
Pierwszy trop: kto pobiera opłaty. Jeżeli z każdej transakcji kropla strumienia spływa do określonego skarbca albo do twórców, to mamy przychód, a tam, gdzie przychód, tam działalność gospodarcza i osoba, która ją prowadzi. Automat na ulicy okazuje się mieć właściciela, który co wieczór wybiera bilon.
Drugi trop: kto prowadzi stronę. Inteligentny kontrakt żyje wprawdzie na blockchainie, lecz zwykły użytkownik trafia do niego przez stronę internetową lub aplikację. Ktoś tę stronę utrzymuje, opłaca serwery, projektuje przyciski. Ten ktoś, w ocenie ESMA, świadczy usługę, choćby kontrakt pod spodem był autonomiczny. Drzwi do automatu też ktoś przecież codziennie otwiera.
Trzeci trop, najważniejszy: kto ma klucz. To jest fakt rozstrzygający. Jeżeli istnieje techniczna możliwość zatrzymania, zmiany lub aktualizacji protokołu, a możliwość tę dzierży zespół lub wąski krąg osób, choćby ukrytych pod pseudonimami i dysponujących wspólnym kluczem (tak zwany portfel wielopodpisowy), to protokół nie jest autonomiczny. Jest sterowany. Klucz administracyjny to dowód, że ktoś wciąż stoi przy maszynie z ręką na wyłączniku. Wracając do naszej metafory: ten, kto może w każdej chwili przestawić kurs w automacie albo go wyłączyć, jest jego operatorem, choćby twierdził, że klucz wyrzucił.
Czwarty trop: kto pisze przyszłość. Gdy zidentyfikowany zespół decyduje o kierunku rozwoju, wdraża kolejne wersje, audytuje kod i zarządza skarbcem, kontrolę nad protokołem można przypisać właśnie jemu. Społeczność głosuje, lecz porządek obrad układa ktoś inny.
Te cztery tropy nie są listą życzeń regulatora. Są instrukcją śledczą: gdzie szukać i co wystarczy znaleźć, aby usługa pozornie niczyja okazała się usługą świadczoną przez konkretny podmiot. Kostium decentralizacji ma cztery szwy, a wystarczy rozpruć jeden.
Jak regulatorzy rozcinają kostium. Anatomia sprawy Ooki DAO
Wróćmy więc do pozwu wrzuconego w okno czatu, bo to nie ciekawostka proceduralna, lecz najpełniejszy dotąd wykład tego, jak prawo radzi sobie z kostiumem. Warto prześledzić tę sprawę krok po kroku, ma ona bowiem strukturę niemal podręcznikową.
Geneza, czyli przebieranka na żywo. Protokół, o który poszło, nie urodził się jako twór niczyj. Stworzyła go i prowadziła zwykła spółka, bZeroX LLC, należąca do dwóch ludzi: Toma Beana i Kyle’a Kistnera. Spółka prowadziła stronę, reklamowała oprogramowanie, pozyskiwała zlecenia i, co istotne, pobierała opłaty, a nadto dzierżyła tak zwane klucze administratora, pozwalające zatrzymywać obrót, zawieszać go i zmieniać kod. Innymi słowy, była podręcznikowym pośrednikiem finansowym. W sierpniu 2021 roku założyciele przekazali kontrolę nad protokołem nowo powołanej organizacji, którą wkrótce nazwano Ooki DAO, i przenieśli na nią również owe klucze administratora.
Sąd przytoczył przy tym ustalenie najważniejsze dla naszej tezy: według zarzutów założyciele wierzyli, że przejście na model DAO odizoluje protokół od nadzoru regulacyjnego i od odpowiedzialności za zgodność z prawem amerykańskim. To jest kostium uchwycony w chwili wkładania. Nie opis technologii, lecz opis motywu. A protokół po przebierance działał dokładnie tak samo jak wcześniej: te same transakcje, te same pobierane opłaty, gromadzone teraz w centralnym skarbcu DAO.[^9]
Pierwszy zarzut obrony: to nie podmiot, to technologia. Przyjaciele sądu (organizacje broniące branży) argumentowali, że pozwanie DAO jest jak pozwanie internetu albo samej technologii. Sąd odrzucił to rozumowanie w sposób, który warto zapamiętać: skoro CFTC mógłby pozwać spółkę bZeroX za posługiwanie się kluczami do kontrolowania protokołu, to może teraz pozwać Ooki DAO za posługiwanie się tymi samymi kluczami w tym samym celu. Przeniesienie kontroli nie wymazuje kontroli; zmienia tylko nazwę tego, kto ją sprawuje. To zaś, że regulator pozywa organizację, a nie każdego z głosujących z osobna, jest dopuszczalnym wyborem strategii procesowej.
Drugi zarzut obrony: nie ma osoby, którą prawo zna. I tu sąd sięgnął po konstrukcję starą jak samo prawo cywilne, stowarzyszenie nieformalne (unincorporated association). Ustawa, na podstawie której działa CFTC, przypisuje odpowiedzialność każdej „osobie”, a osobę definiuje szeroko, obejmując nią także stowarzyszenia. Prawo stanu Kalifornia z kolei uznaje za stowarzyszenie nieformalne grupę dwóch lub więcej osób połączonych dobrowolną zgodą we wspólnym, zgodnym z prawem celu. Ooki DAO, orzekł sąd, mieści się w tej definicji: posiadacze tokenów to grupa osób, ich wspólnym celem jest zarządzanie protokołem, zwłaszcza dysponowanie środkami ze skarbca, a działają pod wspólną nazwą.
I tu pada cios w samo serce taktyki, w postaci rozumowania tyleż prostego, co nieubłaganego. Obrona przekonywała, że różni ludzie oddający różne głosy w różnym czasie nie tworzą żadnej wspólnoty woli. Sąd odpowiedział, że nawet niegłosowanie i głosowanie przeciw są dobrowolnymi wyborami służącymi wspólnemu celowi, jakim jest zarządzanie organizacją. Kto trzyma token, ten współtworzy DAO, bo sensem trzymania tokena jest możliwość głosowania. Innymi słowy: nie można jednocześnie powoływać się na to, że rządzi społeczność, i twierdzić, że społeczność to nikt. Kostium, który miał chronić, sam stał się dowodem przynależności.[^10]
Sedno orzeczenia mieści się w jednym zdaniu sądu. Skoro protokół działa wbrew prawu federalnemu, to, jak ujął to sędzia Orrick, „ktoś musi ponosić odpowiedzialność” (someone must be responsible), a sprawiedliwość nakazuje obciążyć nią podmiot, który protokołem rządzi. Decentralizacja nie tworzy strefy bezprawia, w której nie odpowiada nikt; co najwyżej zmienia nazwę odpowiedzialnego.
Reszta była konsekwencją. W czerwcu 2023 roku zapadł wyrok zaoczny: nakaz zapłaty 643 542 dolarów, dożywotni zakaz prowadzenia tego rodzaju działalności bez rejestracji oraz, co symboliczne, nakaz usunięcia z internetu stron, przez które oferowano zakazane transakcje. Sąd uznał zarazem brak procedur identyfikacji klienta wymaganych przez przepisy o przeciwdziałaniu praniu pieniędzy. Maszyna, która miała nie mieć właściciela, dostała wyrok jak każdy inny operator, a do jej wyłącznika sięgnęło państwo.[^11]
Europa dochodzi do tego samego innymi drzwiami. Skoro DAO da się zakwalifikować jako inne przedsiębiorstwo w rozumieniu MiCA, a porządki prawne kolejnych państw, od amerykańskiego stanu Wyoming (gdzie DAO rejestruje się jako spółka z ograniczoną odpowiedzialnością już od 2021 roku) po Szwajcarię, uczą się nadawać takim tworom formę prawną, to zasłona pęka także po tej stronie Atlantyku. Pełna analiza form prawnych DAO prowadzi do wniosku z gatunku tych, które brzmią paradoksalnie, a są tautologią: im bardziej organizacja chce być realnym podmiotem zdolnym do działania, tym trudniej jej zarazem twierdzić, że podmiotem nie jest.
Domknijmy obraz danymi, bo to one obnażają kostium najdobitniej. Wartość zablokowana w protokołach DeFi urosła z około 54 miliardów dolarów na początku 2024 roku do około 129 miliardów rok później i dalej, do rekordowych około 237 miliardów w trzecim kwartale 2025 roku; udział zdecentralizowanych giełd w światowym obrocie kasowym przekroczył jedną piątą, podczas gdy w 2021 roku nie sięgał dziesiątej części. W marcu 2026 roku, po wahaniach minionych lat, wartość aktywów zablokowanych w DeFi wynosiła około dziewięćdziesięciu ośmiu miliardów dolarów, wedle ustaleń Congressional Research Service. Sektor dojrzał. A jednak gdy spojrzeć na jego liderów przez cztery opisane tropy, obraz jest jednoznaczny.
| Protokół | Co znajduje regulator | Werdykt faktyczny |
|---|---|---|
| Uniswap | Stroną i interfejsem zarządza spółka Uniswap Labs; o opłatach i skarbcu decyduje głosowanie tokenem | Zdecentralizowany połowicznie. Nie spełnia wzorca pełnej decentralizacji z motywu 22. |
| PancakeSwap | Kontrakty można aktualizować; klucz w rękach wielopodpisowego portfela zespołu | Scentralizowany. Przy powiązaniu z UE w zasięgu MiCA. |
| Hyperliquid | Własny łańcuch z wąskim, początkowo zamkniętym gronem walidatorów | Istotnie scentralizowany. Z bliska przypomina zwykłą giełdę. |
| dYdX | Walidatorów wybierają posiadacze tokenów; operator działa z USA | Połowicznie scentralizowany. Ekspozycja wobec amerykańskich regulatorów. |
Dla każdego z liderów co najmniej jeden trop prowadzi do osoby. Opłata interfejsowa, możliwy do aktualizacji kontrakt, wąskie grono walidatorów albo skarbiec pod kontrolą głosowania, każdy z tych faktów osobno wystarcza, by zaprzeczyć pełnej decentralizacji. Czystych automatów bez właściciela na tej ulicy po prostu nie ma.
Co z tego wynika
Decentralizacja nie jest oszustwem. Jest realną technologią i, w swej autentycznej postaci, realną wartością. Rzecz w tym, że autentyczna postać, protokół naprawdę niczyj, naprawdę pozbawiony klucza i strumienia opłat, jest na rynku rzadkością graniczącą z osobliwością. Znacznie częściej decentralizacja bywa deklaracją, a nie stanem faktycznym, a deklaracja ta pełni funkcję prawną: ma odsunąć odpowiedzialność od tych, którzy korzyść czerpią całkiem realnie.
Wniosek dla regulatora jest taki, że nie wolno mu pytać protokołu o jego filozofię. Ma pytać o fakty: kto pobiera opłatę, kto prowadzi stronę, kto ma klucz, kto pisze przyszłość. Wniosek dla uczciwego przedsiębiorcy z branży jest subtelniejszy, lecz nie mniej ważny: pozycją najgorszą ze wszystkich jest decentralizacja połowiczna. Łączy ona koszty i ryzyka centralizacji z brakiem ochrony, jaką dawałaby decentralizacja prawdziwa. Kto zachowuje klucz, ten jest operatorem i lepiej, by przyjął tę rolę świadomie, z licencją w ręku, niż udawał automat, dopóki nie zapuka prokurator.
A jednak w Stanach Zjednoczonych to właśnie egzekwowanie ostatnio zelżało. W 2025 roku Departament Skarbu wykreślił Tornado Cash, Departament Sprawiedliwości wycofał się z tego, co sam nazwał ściganiem zamiast regulacji, SEC umorzył postępowanie wobec Uniswap, a Izba Reprezentantów przyjęła projekt ustawy o strukturze rynku (CLARITY Act, niepodjęty jeszcze przez Senat), który wyłączałby znaczną część DeFi, jej deweloperów, walidatorów, pule płynności i giełdy zdecentralizowane, wprost spod obowiązku rejestracji. Odwrót jest realny, lecz warto dostrzec, co on przyznaje: gdyby zdecentralizowany kod był naprawdę poza zasięgiem prawa, żadna ustawa nie byłaby potrzebna, by go tam umieścić. Sam wysiłek ustawowego wyłączenia jest przyznaniem, że bez niego istniejące prawo by go dosięgło. Ooki dowiodła, że narzędzia istnieją; CLARITY Act odebrałby je sądom. Kostium nie trzyma się sam, i dlatego jego nosiciele zaczęli zabiegać o ustawę, która by go podtrzymała. Europa tymczasem idzie w stronę przeciwną: MiCA i nadzorcy dociskają tam, gdzie Waszyngton odpuszcza.
A wniosek dla każdego, kto powierza takim protokołom swoje pieniądze? Ten sam, który płynie z setek spraw o wiele od krypto starszych. Tam, gdzie ktoś obiecuje zysk i zapewnia, że za wszystko odpowiada bezstronny mechanizm, a nie konkretny człowiek, prawie zawsze stoi jednak konkretny człowiek, tyle że taki, który woli pozostać poza zasięgiem wzroku. Rozpoznanie, kto trzyma klucz, jest pierwszym aktem ostrożności. Bywa też ostatnią deską ratunku, gdy automat nagle przestaje wydawać euro.
Test decentralizacji Clarity Act i MiCA. Kiedy DEX podlega regulacji
[^1]: SEC v. W.J. Howey Co., 328 U.S. 293 (1946). Czteroelementowy test: (1) wniesienie środków, (2) wspólne przedsięwzięcie, (3) oczekiwanie zysku, (4) z wysiłku osób trzecich.
[^2]: Motyw 22 oraz art. 2 ust. 3 rozporządzenia (UE) 2023/1114 (MiCA). W technice prawodawczej UE preambuła nie tworzy samodzielnych norm, lecz tu jej język powtórzono w przepisie operacyjnym, co czyni wyłączenie wiążącym, choć niedookreślonym.
[^3]: OFAC nałożył sankcje na Tornado Cash 8 sierpnia 2022 r., wskazując na wypranie ponad 7 mld USD, w tym ponad 455 mln USD skradzionych przez powiązaną z KRLD grupę Lazarus. W sprawie Van Loon v. U.S. Dep’t of the Treasury (5 Cir., 26 listopada 2024 r.) sąd uznał, że OFAC przekroczył ustawowe uprawnienia, obejmując sankcjami niezmienne (immutable) inteligentne kontrakty Tornado Cash, które nie są „mieniem” w rozumieniu ustawy sankcyjnej. Rozstrzygnięcie opiera się na niezmienności, czyli właśnie na braku podmiotu sprawującego kontrolę.
[^4]: Wolumen i wzorzec za: O. Sonmez, „DeFi Protocols as Sanctions Evasion Vectors” (SSRN, 2025), pkt 4.1, w oparciu o Chainalysis, „2024 Crypto Crime Report” oraz TRM Labs, „Illicit Crypto Ecosystem Report” (2024). Kradzież z mostu Ronin (ok. 625 mln USD, marzec 2022 r.) i z mostu Horizon (ok. 100 mln USD, czerwiec 2022 r.) to najczęściej przywoływane operacje grupy Lazarus.
[^5]: O rosyjskim odpływie kapitału przez pożyczki DeFi po 2022 r. oraz o mniejszym, dopiero rosnącym wykorzystaniu DeFi przez Iran jako uzupełnieniu scentralizowanych kanałów stablecoinowych zob. Sonmez, op. cit., pkt 4.2–4.3.
[^6]: Wzorce te są spójne z mechaniką oszustw inwestycyjnych analizowaną m.in. w sprawach reprezentacji pokrzywdzonych; różnica polega na zastąpieniu klasycznego pośrednika finansowego rzekomo autonomicznym protokołem.
[^7]: Zespół Ekspertów ONZ raportujący na podstawie rezolucji RB ONZ nr 1718 (2006), wraz z oznaczeniami amerykańskiego Departamentu Skarbu i OFAC, przypisuje wpływy grupy Lazarus z kryptowalut finansowaniu północnokoreańskich programów zbrojeniowych; samo objęcie Tornado Cash sankcjami w sierpniu 2022 r. opierało się na praniu środków z napadu na most Ronin powiązany z tą grupą.
[^8]: S. Aramonte, W. Huang, A. Schrimpf, „DeFi risks and the decentralisation illusion”, BIS Quarterly Review, grudzień 2021, s. 21 i 27 i n. Pojęcie „algorithm incompleteness” stanowi odpowiednik „niezupełności kontraktu” w teorii firmy (Coase 1937; Grossman, Hart 1986).
[^9]: CFTC v. Ooki DAO, Sąd Okręgowy dla Północnego Dystryktu Kalifornii (sędzia William H. Orrick), postanowienie z 20 grudnia 2022 r. (Dkt. 63), pkt I, na podstawie zarzutów pozwu; oraz wcześniejsza ugoda administracyjna wobec założycieli: In re bZeroX, LLC; Tom Bean; Kyle Kistner, CFTC No. 22-31 (22 września 2022 r.).
[^10]: CFTC v. Ooki DAO (Dkt. 63), pkt II; zob. 7 U.S.C. § 1a(38) (definicja „osoby” obejmuje associations) oraz Cal. Corp. Code § 18035(a) (definicja unincorporated association). Test stanowy: grupa o wspólnym celu działająca pod wspólną nazwą w okolicznościach, w których słuszność wymaga uznania jej za podmiot (Church Mut. Ins. Co. v. S.I., 72 Cal. App. 5th 1059).
[^11]: CFTC v. Ooki DAO, wyrok z 8 czerwca 2023 r. (Dkt. 77): kwota 643 542 USD, trwały zakaz oraz nakaz usunięcia stron (m.in. ooki.com); naruszenie obejmowało brak customer identification program w ramach reżimu Bank Secrecy Act (Reg. 42.2, 17 C.F.R. § 42.2).
Inne publikacje na podobne tematy
Zdecentralizowane organizacje autonomiczne DAO – globalne rozwiązania prawne
Clean Bills & Dirty Money: What the SEC’s DeFi U-Turn Means for Financial Crime
Robert Nogacki – radca prawny (WA-9026), założyciel Kancelarii Prawnej Skarbiec.
Są prawnicy, którzy zajmują się prawem. I są tacy, którzy zajmują się problemami, na które prawo nie ma gotowej odpowiedzi. Od ponad dwudziestu lat Kancelaria Skarbiec pracuje na przecięciu prawa podatkowego, struktur korporacyjnych i ludzkiej niechęci do oddawania państwu więcej, niż się państwu należy. Doradzamy przedsiębiorcom z kilkunastu krajów – od tych z listy Forbesa po tych, którym fiskus właśnie zajął konto i którzy nie wiedzą, co robić jutro rano.
Jeden z najczęściej cytowanych ekspertów prawa podatkowego w polskich mediach – pisze dla Rzeczpospolitej, Dziennika Gazety Prawnej i Parkietu nie dlatego, że to dobrze wygląda w CV, lecz dlatego, że pewnych rzeczy nie da się wyjaśnić w piśmie procesowym i ktoś musi je powiedzieć głośno. Autor AI Decoding Satoshi Nakamoto. Sztuczna inteligencja na tropie twórcy Bitcoina. Współautor nagrodzonej książki Bezpieczeństwo współczesnej firmy.
Kancelaria Skarbiec zajmuje czołowe pozycje w rankingach kancelarii podatkowych Dziennika Gazety Prawnej. Czterokrotny laureat Medalu Europejskiego, laureat tytułu International Tax Planning Law Firm of the Year in Poland.
Specjalizuje się w sporach z organami skarbowymi, międzynarodowym planowaniu podatkowym, regulacjach kryptoaktywów i ochronie majątku. Od 2006 roku prowadzi sprawę WGI – jedną z najdłuższych spraw karnych w historii polskiego rynku finansowego, bo są rzeczy, których nie wolno zostawić w połowie, nawet jeśli trwają dwie dekady. Wierzy, że prawo jest zbyt poważne, żeby traktować je wyłącznie poważnie – i że najlepsza porada prawna to ta, dzięki której klient nigdy nie musi stanąć przed sądem.
