Persyaratan Substansi MiCA: Kantor UE Sendiri Tidak Cukup bagi Perusahaan Kripto

Anda memiliki entitas. Anda memiliki alamat. Anda bahkan memiliki modal. Lalu mengapa regulator masih belum puas? Karena di bawah MiCA, substansi adalah ujian empiris untuk menentukan apakah bisnis Anda benar-benar beroperasi dari dalam UE, dan sebagian besar pelamar meremehkan apa yang sebenarnya dibutuhkan.

MiCA Decoded adalah seri mingguan 12 artikel untuk Bitcoin.com News, ditulis bersama oleh Direktur Pendiri dan Manajemen LegalBison: Aaron Glauberman, Viktor Juskin, dan Sabir Alijev. LegalBison memberikan nasihat kepada perusahaan crypto dan FinTech mengenai lisensi MiCA, aplikasi CASP dan VASP, serta struktur regulasi di seluruh Eropa dan wilayah lainnya.

Entri minggu ini ditulis oleh Krystian Lapka, Pengacara di LegalBison. Krystian berspesialisasi dalam transaksi korporat dan komersial lintas batas, serta manajemen risiko strategis di persimpangan hukum sipil dan hukum umum.

Sebagian besar pendiri yang mengajukan aplikasi CASP pertama mereka memahami, setidaknya secara abstrak, bahwa MiCA memerlukan kehadiran nyata di UE. Yang mereka remehkan adalah bagaimana regulator mendefinisikan “nyata.”

Pengaturan tahap awal yang khas tampak koheren di atas kertas: kantor terdaftar di yurisdiksi UE yang menguntungkan, seorang direktur yang disebut dalam dokumen tata kelola, sistem TIK yang di-hosting di cloud atau dikelola dari infrastruktur global grup, dan modal yang disetor berada di rekening bank yang baru dibuka.

Dari dalam, ini terasa seperti perusahaan UE. Dari perspektif Otoritas Kompeten Nasional, mungkin terlihat seperti kotak surat dengan seorang direktur yang terpasang.

Artikel ini memetakan apa sebenarnya yang dituntut oleh persyaratan substansi MiCA terkait personel, teknologi, dan ketahanan keuangan, serta menjelaskan mengapa regulator memperlakukan setiap kategori sebagai uji fungsional daripada sekadar latihan dokumentasi.

Kekhawatiran yang mendasari semuanya adalah sama: mencegah perusahaan kotak surat, entitas yang ada secara tertulis di yurisdiksi yang menguntungkan tetapi tidak memiliki aktivitas ekonomi bermakna, modal manusia, atau kapasitas operasional di dalamnya.

Logika regulasi di sini lebih tua daripada MiCA. Dalam putusan penting Cadbury Schweppes (Perkara C-196/04), Mahkamah Kehakiman Uni Eropa menetapkan bahwa kebebasan pendirian tidak dapat digunakan untuk menciptakan "pengaturan semata-mata buatan" yang tidak memiliki aktivitas ekonomi nyata. MiCA mengkodifikasikan prinsip tersebut langsung ke dalam regulasi aset kripto.

Pasal 59(2) MiCA menyatakan bahwa CASP yang berwenang harus memiliki kantor terdaftar di negara anggota tempat mereka menyelenggarakan setidaknya sebagian dari layanan aset kripto mereka, harus memiliki tempat manajemen efektif di dalam Uni, dan harus memiliki setidaknya satu direksi yang bertempat tinggal di dalam Uni. Ketentuan ini singkat. Yang berada di baliknya jauh lebih menuntut.

Sesi Pengarahan Pengawasan ESMA mengenai Otorisasi CASP, meskipun tidak mengikat, menandakan dengan jelas bagaimana NCA diharapkan menafsirkan persyaratan ini dalam praktik.

Kesenjangan antara teks hukum dan harapan pengawasan adalah tempat di mana banyak aplikasi mengalami hambatan.

Ambang batas minimum di bawah MiCA adalah satu direksi yang tinggal di UE. Panduan pengawasan menaikkan ambang tersebut.

Sesi brief ESMA memperkirakan setidaknya dua eksekutif senior secara bersama-sama mengawasi operasi harian. Alasannya sederhana: satu eksekutif menciptakan risiko konsentrasi dan menghilangkan check internal yang diperlukan oleh struktur tata kelola yang berfungsi. Dua eksekutif dengan tanggung jawab yang ditentukan dan tumpang tindih adalah baseline yang diharapkan.

Kewarganegaraan saja tidak cukup. Panduan menunjukkan bahwa jika anggota badan manajemen tidak bertempat tinggal di yurisdiksi NCA, orang tersebut harus mampu menghadiri pertemuan tatap muka atas permintaan otoritas dalam waktu dua hari kerja.

Untuk yurisdiksi di mana kedekatan fisik dengan pengawas penting secara operasional, ini merupakan kendala praktis seberapa jauh dari yurisdiksi asal seorang direktur dapat berada secara efektif.

Komitmen waktu diperlakukan dengan tingkat seriusitas yang serupa. Posisi ESMA, sebagaimana dijelaskan dalam Supervisory Briefing on Authorization of CASPs, adalah bahwa anggota dewan manajemen eksekutif umumnya harus mencurahkan 100% waktu profesional mereka untuk peran CASP. Double-hatting, di mana individu yang sama menjabat dalam kapasitas eksekutif di beberapa entitas, hanya diizinkan dalam keadaan terbatas. Seorang eksekutif yang membagi perhatiannya antara CASP dan perusahaan grup lainnya kemungkinan akan mendapat perhatian lebih selama penilaian fit-and-proper.

Garis pelaporan sama pentingnya dengan profil individu. Badan manajemen harus menunjukkan bahwa kendali strategis dan operasional berada di dalam entitas UE, bukan dengan perusahaan induk di negara ketiga yang membuat keputusan nyata dan mengeluarkan instruksi ke bawah.

Anak perusahaan UE yang eksekutifnya berfungsi sebagai agen implementasi untuk kantor pusat non-UE tidak, dalam arti pengawasan, merupakan entitas dengan manajemen UE yang sejati.

Dimensi AML memperkuat hal ini. Individu yang bertanggung jawab atas pengajuan laporan aktivitas mencurigakan (MLRO) harus hadir secara fisik, memegang otoritas nyata dalam entitas tersebut, dan mampu berinteraksi langsung dengan Unit Intelijen Keuangan lokal. Persyaratan ini mencerminkan tren global yang lebih luas: FATF dan OECD’s Crypto-Asset Reporting Framework (CARF) beroperasi dengan logika yang sama, memperluas persyaratan substansi dan transparansi di luar UE.

Persyaratan personil MiCA dan CARF bukanlah perkembangan yang terpisah; keduanya mencerminkan standar internasional yang semakin menyatu mengenai seperti apa sebuah entitas crypto yang terregulasi dari dalam.

Standar kesesuaian kolektif dari Pasal 68(1) mengharuskan badan manajemen untuk memiliki pengetahuan, keterampilan, dan pengalaman yang sesuai baik secara individu maupun secara kolektif. Seperti yang telah dibahas dalam bagian sebelumnya dari seri ini, standar tersebut mencakup regulasi pasar keuangan tradisional, infrastruktur DLT dan keamanan siber, serta tata kelola organisasi. Setiap domain tersebut perlu diwakili di ruangan tersebut.

Tim yang sepenuhnya berasal dari latar belakang kripto tanpa pengalaman dalam layanan keuangan terregulasi, atau satu dengan pengalaman TradFi yang mendalam namun tidak mampu menilai risiko on-chain, membawa kesenjangan struktural yang akan terungkap dalam proses penilaian.

DORA (Peraturan (UE) 2022/2554) berlaku langsung kepada CASP dan menetapkan kerangka untuk persyaratan ketahanan TIK. Pertanyaan yang diajukan regulator mengenai teknologi bukanlah infrastruktur apa yang digunakan perusahaan. Pertanyaannya adalah siapa yang mengendalikannya.

Infrastruktur cloud yang dihosting oleh AWS, Azure, atau penyedia serupa dapat diterima berdasarkan praktik pengawasan saat ini. Masalah muncul ketika entitas yang diotorisasi di UE tidak memiliki kendali administratif yang berarti atas sistem yang menjadi andalannya.

Jika manajemen kunci enkripsi berada di tangan tim TI global perusahaan induk, jika hak akses terhadap data klien dikelola dari luar UE, atau jika rencana pemulihan bencana bergantung pada persetujuan dari kantor pusat negara ketiga, entitas UE tidak dapat menunjukkan kemandirian operasional yang nyata.

Posisi ESMA, sebagaimana tercermin dalam bahan konsultasinya, adalah bahwa tim manajemen UE harus memegang kendali nyata atas infrastruktur TI yang relevan dengan operasi CASP. Kebijakan kelangsungan bisnis dan rencana pemulihan bencana yang diwajibkan berdasarkan Pasal 68(7) harus dimiliki dan dapat dijalankan oleh entitas UE, bukan bergantung pada fungsi global yang mungkin atau mungkin tidak merespons dalam krisis.

Uji praktisnya jelas: jika tim TI global perusahaan induk menjadi tidak tersedia semalaman, apakah entitas UE dapat terus beroperasi, mengakses dana klien, dan mengembalikan aset kepada klien? Jika jawabannya tidak, atau tidak tanpa peningkatan signifikan terhadap personel non-UE, pertanyaan substansi belum terpecahkan.

Kepatuhan GDPR dan persyaratan tata kelola data ditambahkan di atas kerangka DORA. Pengaturan pemrosesan data, hubungan pengendali-pemroses, dan pertimbangan lokasi data semuanya membentuk bagian dari arsitektur teknis yang akan diperiksa oleh regulator.

Pasal 67 menetapkan jaminan prudensial minimum. Tingkat modal didefinisikan berdasarkan kelas layanan:

Angka modal minimum adalah titik awal, bukan batas atas. Perlindungan prudensial harus sama dengan nilai yang lebih tinggi antara modal minimum permanen atau seperempat dari biaya tetap tahun sebelumnya.

Saat CASP berkembang dan biaya tetapnya meningkat, cabang kedua ini menjadi kendala utama. Ketika biaya tetap melebihi empat kali modal yang telah dibayarkan awal, perusahaan harus beralih ke kerangka berbasis biaya tetap. Titik balik ini tercapai lebih cepat dari yang diperkirakan banyak operator, dan regulator mengharapkan pemantauan proaktif bukan penyesuaian reaktif.

Titik struktural yang perlu diperhatikan: modal harus dibayarkan ke akun yang dipegang oleh lembaga kredit resmi.

Akun EMI atau penyedia layanan pembayaran tidak memenuhi persyaratan ini. Membangun hubungan perbankan sebagai bisnis crypto membutuhkan waktu dan tidak dijamin. Memulai proses ini lebih awal, sebelum aplikasi diajukan secara resmi, bukanlah opsional. Ini adalah kendala urutan yang memengaruhi seluruh timeline otorisasi.

Persyaratan bahwa laporan keuangan yang digunakan dalam perhitungan biaya tetap harus diaudit atau divalidasi secara resmi oleh otoritas regulasi nasional menambah dimensi administratif lebih lanjut. Entitas yang baru didirikan yang memproyeksikan biaya tetap dua belas bulan pertama mereka harus menyertakan proyeksi tersebut dalam aplikasi otorisasi, dengan metodologi yang didokumentasikan secara jelas.

Pasal 73 mengizinkan CASP untuk mengalihdayakan fungsi operasional kepada pihak ketiga. Batasannya adalah bahwa pengalihan tidak boleh mengosongkan entitas yang diizinkan. Tanggung jawab tetap berada pada CASP; delegasi tidak mentransfer akuntabilitas.

Sesi Pengawasan ESMA tentang Otorisasi CASP mengidentifikasi persentase total biaya yang dialokasikan untuk fungsi yang berlokasi di luar UE sebagai indikator praktis apakah outsource telah berjalan terlalu jauh. Sebuah CASP yang sebagian besar pengeluaran operasionalnya mengalir ke penyedia layanan di luar UE, bahkan yang berjalan baik dan terpercaya, mungkin menghadapi pertanyaan apakah entitas UE memiliki kapasitas internal yang cukup untuk memenuhi syarat sebagai penyedia layanan nyata, bukan sekadar saluran.

Perbedaan yang dibuat oleh regulator adalah antara CASP yang mengalihdayakan fungsi-fungsi tertentu sambil mempertahankan kendali dan CASP yang mengalihdayakan seluruh aspek substantif sambil hanya mempertahankan bentuk hukum. Yang terakhir adalah cangkang, terlepas dari bagaimana pengaturan tersebut dijelaskan dalam aplikasi.

MiCA berlaku langsung di seluruh negara anggota UE. Persyaratan substantifnya seragam. Praktik pengawasan tidak demikian.

Siprus, melalui CySEC, secara eksplisit mensyaratkan bahwa sebagian besar dewan direksi CASP harus merupakan penduduk fisik Siprus. Untuk dewan yang terdiri dari dua direktur eksekutif dan dua direktur non-eksekutif, artinya diperlukan minimal tiga direktur yang bertempat tinggal di Siprus. Ini melampaui apa yang dituntut oleh teks MiCA dan mencerminkan arahan AML nasional yang ditambahkan di atas kerangka kerja UE yang diselaraskan.

Estonia menunjukkan dinamika yang berbeda. Di bawah rezim pendaftaran VASP sebelumnya yang dikelola oleh Unit Intelijen Keuangan, Estonia menjadi salah satu yurisdiksi lisensi paling mudah di Eropa. Transisi ke MiCA mengalihkan tanggung jawab pengawasan kepada Otoritas Pengawasan dan Resolusi Keuangan Estonia, yang membawa pendekatan institusional yang berbeda dalam tinjauan dan pengawasan berkelanjutan.

Situasi legislatif Polandia, yang dibahas dalam bagian-bagian sebelumnya dari seri ini, telah menciptakan kesenjangan struktural di mana undang-undang implementasi MiCA domestik belum diberlakukan, sehingga KNF tidak memiliki penunjukan resmi sebagai otoritas yang berwenang dan pemegang VASP tidak memiliki jalur aplikasi CASP domestik yang viable.

Variasi-variasi ini bukan celah hukum atau keanehan administratif. Mereka mencerminkan kenyataan bahwa kerangka hukum yang diselaraskan masih beroperasi melalui budaya pengawasan nasional, keterbatasan staf, dan sejarah institusional. Memilih yurisdiksi untuk otorisasi CASP berarti memilih regulator, dengan semua implikasi praktis yang terkait.

Secara keseluruhan, persyaratan substansi di bawah MiCA mencerminkan filosofi pengawasan daripada daftar periksa. Regulator ingin yakin bahwa jika terjadi sesuatu yang salah, ia memiliki jalan penyelesaian yang bermakna.

Artinya kepemimpinan eksekutif dapat dijangkau secara fisik dan bertanggung jawab secara hukum di bawah hukum UE. Artinya sistem ICT yang dapat dikendalikan oleh entitas UE tanpa ketergantungan pada rantai otorisasi non-UE. Artinya modal yang benar-benar tersedia dan disesuaikan dengan risiko operasional aktual.

Dan itu berarti tata kelola di mana entitas UE membuat keputusan nyata, bukan hanya melaksanakan instruksi yang dikeluarkan dari tempat lain.

Perusahaan yang mendekati ini sebagai latihan dokumentasi cenderung menemukan prosesnya lebih sulit dari yang diharapkan. Perusahaan yang membangun intinya terlebih dahulu dan mendokumentasikan apa yang telah mereka bangun cenderung menemukannya lebih mudah. Aplikasi tersebut tidak menciptakan organisasi. Ia menggambarkan satu yang seharusnya sudah sebagian besar ada.

Sumber:

• Sesi Briefing Pengawasan ESMA tentang Otorisasi CASP
• Dokumen Konsultasi ESMA MiCA, Paket Kedua
• MFSA MiCA Rulebook

This article is based on a study conducted by LegalBison in May 2026. The content is for informational purposes only and does not constitute legal advice.