Requisitos de Substância do MiCA: Escritório na UE Sozinho Não Basta para Empresas de Criptomoedas

Você tem a entidade. Você tem o endereço. Você até tem o capital. Então, por que o regulador ainda não está satisfeito? Porque, sob o MiCA, a substância é um teste empírico para determinar se seu negócio opera genuinamente dentro da UE, e a maioria dos candidatos subestima o que isso realmente exige.

MiCA Decoded é uma série semanal de 12 artigos para Bitcoin.com News, coescrita pelos Co-Fundadores e Diretores Administrativos do LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. O LegalBison aconselha empresas de crypto e FinTech sobre licenciamento MiCA, candidaturas CASP e VASP, e estruturação regulatória na Europa e além.

A entrada desta semana foi escrita por Krystian Lapka, advogado da LegalBison. Krystian especializa-se em transações corporativas e comerciais transfronteiriças, bem como na gestão estratégica de riscos no cruzamento entre o direito civil e o common law.

A maioria dos fundadores que se aproximam de seu primeiro pedido de CASP entende, pelo menos abstratamente, que o MiCA exige uma presença real na UE. O que eles subestimam é como o regulador define “real”.

O setup típico de estágio inicial parece coerente no papel: um escritório registrado em uma jurisdição favorável da UE, um diretor nomeado nos documentos de governança, sistemas de TIC hospedados na nuvem ou gerenciados a partir da infraestrutura global do grupo, e capital integralizado em uma conta bancária recém-aberta.

Do interior, isso parece uma empresa da UE. Da perspectiva de uma autoridade nacional competente, pode parecer uma caixa postal com um diretor anexado.

Este artigo mapeia o que os requisitos de substância da MiCA realmente exigem em termos de pessoal, tecnologia e resiliência financeira, e explica por que os reguladores tratam cada categoria como um teste funcional, e não como um exercício de documentação.

A preocupação que impulsiona tudo é a mesma: evitar empresas de caixa de correio, entidades que existem apenas no papel em uma jurisdição favorável, mas que não possuem qualquer atividade econômica significativa, capital humano ou capacidade operacional dentro dela.

A lógica regulatória aqui é mais antiga que o MiCA. Na decisão marcante Cadbury Schweppes (Processo C-196/04), o Tribunal de Justiça da União Europeia estabeleceu que a liberdade de estabelecimento não pode ser usada para criar “arranjos totalmente artificiais” que careçam de atividade econômica genuína. O MiCA codifica esse princípio diretamente na regulamentação de ativos criptográficos.

Artigo 59(2) do MiCA estabelece que CASPs autorizados devem ter sua sede registrada em um Estado-Membro onde realizem pelo menos parte de seus serviços de ativos criptográficos, devem ter seu local de gestão efetiva dentro da União e devem ter pelo menos um administrador residente na União. A disposição é breve. O que está por trás dela é consideravelmente mais exigente.

O briefing de supervisão da ESMA sobre a autorização de CASPs, embora não vinculativo, sinaliza claramente como as ACN são esperadas para interpretar esses requisitos na prática.

A lacuna entre o texto legal e as expectativas de supervisão é onde muitas aplicações encontram atrito.

O limite mínimo sob o MiCA é um diretor residente na UE. As orientações de supervisão elevam esse requisito.

O briefing da ESMA prevê que pelo menos dois executivos sênior supervisionem conjuntamente as operações diárias. A justificativa é simples: um único executivo gera risco de concentração e elimina os controles internos exigidos por uma estrutura de governança funcional. Dois executivos com responsabilidades definidas e sobrepostas são a base esperada.

A residência não é suficiente por si só. O guia indica que, quando um membro do órgão de gestão não for residente na jurisdição da ANC, essa pessoa deve ser capaz de comparecer a reuniões presenciais a pedido da autoridade dentro de dois dias úteis.

Para jurisdições onde a proximidade física ao supervisor é operacionalmente relevante, esse é um limite prático sobre a distância da jurisdição de origem onde um diretor pode efetivamente estar localizado.

O compromisso de tempo é tratado com a mesma seriedade. A posição da ESMA, conforme articulada em seu Supervisory Briefing on Authorization of CASPs, é que os membros do conselho de administração executiva devem, em geral, dedicar 100% do seu tempo profissional à função de CASP. O double-hatting, em que o mesmo indivíduo exerce função executiva em múltiplas entidades, é permitido apenas em circunstâncias restritas. Um executivo que divida sua atenção entre o CASP e outra empresa do grupo provavelmente atrairá escrutínio durante a avaliação de idoneidade.

As linhas de reportagem são tão importantes quanto os perfis individuais. O órgão de gestão deve demonstrar que o controle estratégico e operacional reside na entidade da UE, e não em uma empresa-mãe em um país terceiro que toma as decisões reais e emite instruções para baixo.

Uma subsidiária da UE cujos executivos atuam como agentes de implementação para uma sede fora da UE não é, no sentido supervisório, uma entidade com gestão real da UE.

A dimensão AML reforça isso. O indivíduo responsável por apresentar relatórios de atividades suspeitas (o MLRO) deve estar fisicamente presente, possuir autoridade genuína dentro da entidade e ser capaz de interagir diretamente com a Unidade de Inteligência Financeira local. Essa exigência reflete uma tendência global mais ampla: o Crypto-Asset Reporting Framework (CARF) da FATF e da OCDE opera com a mesma lógica, estendendo os requisitos de substância e transparência além da UE.

Os requisitos de pessoal do MiCA e o CARF não são desenvolvimentos desconexos; eles refletem um padrão internacional convergente para o que uma entidade crypto regulamentada deve ser internamente.

O padrão de adequação coletiva previsto no Artigo 68(1) exige que o órgão de gestão possua conhecimento, habilidades e experiência apropriados, tanto individual quanto coletivamente. Como abordado na instalação anterior desta série, esse padrão abrange a regulamentação de mercados financeiros tradicionais, infraestrutura DLT e cibersegurança, e governança organizacional. Cada um desses domínios precisa estar representado na sala.

Uma equipe composta inteiramente por profissionais nativos da criptomoeda, sem experiência em serviços financeiros regulamentados, ou uma com profunda experiência em TradFi e sem capacidade de avaliar riscos na cadeia, apresenta lacunas estruturais que o processo de avaliação revelará.

DORA (Regulamento (UE) 2022/2554) aplica-se diretamente às CASPs e estabelece o quadro para os requisitos de resiliência TIC. A pergunta que os reguladores fazem sobre tecnologia não é qual infraestrutura uma empresa utiliza. A pergunta é quem a controla.

A infraestrutura em nuvem hospedada pela AWS, Azure ou provedores similares é aceitável conforme a prática supervisória atual. O problema surge quando a entidade autorizada na UE não possui controle administrativo significativo sobre os sistemas nos quais depende.

Se a gestão da chave de criptografia for feita pela equipe de TI global da empresa-mãe, se os direitos de acesso aos dados dos clientes forem administrados fora da UE ou se o plano de recuperação de desastres depender de aprovações da sede de um país terceiro, a entidade da UE não poderá demonstrar independência operacional genuína.

A posição da ESMA, conforme refletido em seus materiais de consulta, é que a equipe de gestão da UE deve manter controle real sobre a infraestrutura de TI e comunicações relevante para as operações da CASP. A política de continuidade de negócios e os planos de recuperação de desastres exigidos pelo Artigo 68(7) devem ser de propriedade e executáveis pela entidade da UE, não dependendo de uma função global que possa ou não responder em uma crise.

O teste prático é direto: se a equipe global de TI da empresa-mãe ficasse indisponível da noite para o dia, a entidade da UE conseguiria continuar operando, acessar os fundos dos clientes e devolver os ativos aos clientes? Se a resposta for não, ou não sem uma escalonação significativa para pessoal não-UE, a questão da substância ainda não foi resolvida.

Os requisitos de conformidade com o GDPR e governança de dados são adicionados ao framework DORA. Acordos de processamento de dados, relações entre controlador e processador e considerações sobre residência de dados fazem parte da arquitetura técnica que os reguladores examinarão.

Artigo 67 estabelece as salvaguardas prudenciais mínimas. Os níveis de capital são definidos pela classe de serviço:

O valor mínimo de capital é o ponto de partida, não o teto. As salvaguardas prudentes devem ser iguais ao maior valor entre o capital mínimo permanente ou um quarto das despesas fixas do ano anterior.

À medida que uma CASP cresce e seus custos fixos aumentam, esse segundo componente torna-se a restrição vinculativa. Quando os custos excedem quatro vezes o capital inicial pago, a empresa deve migrar para o framework baseado em custos. Esse ponto de inflexão chega mais rápido do que muitos operadores antecipam, e os reguladores esperam monitoramento proativo, e não ajustes reativos.

Um ponto estrutural digno de nota: o capital deve ser pago em uma conta mantida em uma instituição de crédito formal.

Uma conta de uma EMI ou provedora de serviços de pagamento não satisfaz este requisito. Estabelecer um relacionamento bancário como uma empresa crypto leva tempo e não é garantido. Iniciar esse processo cedo, antes do envio formal do pedido, não é opcional. É uma restrição de sequenciamento que afeta todo o cronograma de autorização.

O requisito de que as demonstrações financeiras utilizadas no cálculo dos custos fixos sejam devidamente auditadas ou validadas por autoridades regulatórias nacionais adiciona uma dimensão administrativa adicional. Entidades recém-incorporadas que projetam seus primeiros doze meses de custos fixos devem incluir essas projeções em seu pedido de autorização, com a metodologia claramente documentada.

Artigo 73 permite que as CASP terceirizem funções operacionais a terceiros. A restrição é que a terceirização não pode esvaziar a entidade autorizada. A responsabilidade permanece com a CASP; a delegação não transfere a responsabilidade.

O Relatório de Supervisão da ESMA sobre a Autorização de CASPs identifica a porcentagem dos custos totais atribuídos a funções localizadas fora da UE como um indicador prático de se a terceirização foi excessiva. Um CASP cuja maioria dos gastos operacionais seja direcionada a provedores de serviços fora da UE, mesmo que bem geridos e renomados, pode enfrentar perguntas sobre se a entidade da UE possui capacidade interna suficiente para qualificar-se como um prestador de serviços genuíno, e não apenas como um condutor.

A distinção feita pelo regulador é entre CASPs que terceirizam funções específicas mantendo o controle e CASPs que terceirizam tudo o que é substancial mantendo apenas a forma legal. O último é uma carcaça, independentemente de como o arranjo é descrito no pedido.

O MiCA é diretamente aplicável em todos os Estados-Membros da UE. Os requisitos substantivos são uniformes. A prática de supervisão não é.

Chipre, por meio da CySEC, exigiu explicitamente que a maioria dos membros do conselho de administração de uma CASP sejam residentes físicos de Chipre. Para um conselho composto por dois diretores executivos e dois não executivos, isso significa um mínimo de três diretores residentes em Chipre. Isso vai além do que exige o texto do MiCA e reflete diretrizes nacionais de AML adicionadas ao quadro harmonizado da UE.

Estonia apresenta uma dinâmica diferente. Sob o anterior regime de registro de VASP administrado pela Unidade de Inteligência Financeira, a Estônia tornou-se uma das jurisdições de licenciamento mais acessíveis da Europa. A transição para o MiCA transferiu a responsabilidade de supervisão para a Autoridade Estoniana de Supervisão e Resolução Financeira, o que traz uma abordagem institucional diferente para análise e supervisão contínua.

A situação legislativa da Polônia, abordada em capítulos anteriores desta série, gerou uma lacuna estrutural, pois a lei de implementação doméstica do MiCA ainda não foi promulgada, deixando a KNF sem designação formal como autoridade competente e os detentores de VASP sem um caminho viável de solicitação doméstica de CASP.

Essas variações não são brechas ou peculiaridades administrativas. Elas refletem a realidade de que um quadro jurídico harmonizado ainda opera por meio de culturas nacionais de supervisão, limitações de pessoal e histórias institucionais. Escolher uma jurisdição para autorização de CASP significa escolher um regulador, com todas as implicações práticas que isso envolve.

Em conjunto, os requisitos de substância sob MiCA refletem uma filosofia de supervisão, e não uma lista de verificação. O regulador deseja estar satisfeito de que, se algo der errado, tenha um recurso significativo.

Isso significa que a liderança executiva é fisicamente acessível e legalmente responsável conforme a legislação da UE. Isso significa que os sistemas de TIC são controláveis pela entidade da UE sem dependência de cadeias de autorização fora da UE. Isso significa capital que está realmente disponível e dimensionado contra o risco operacional real.

E significa governança onde a entidade da UE toma decisões reais, em vez de implementar instruções emitidas de outro lugar.

Empresas que abordam isso como um exercício de documentação tendem a achar o processo mais difícil do que o esperado. Empresas que constroem primeiro a estrutura e depois documentam o que construíram tendem a achar mais simples. A aplicação não cria a organização. Ela descreve uma que já deve existir em grande parte.

Fontes:

• Sessão Informativa de Supervisão da ESMA sobre a Autorização de CASPs
• Documento de Consulta da ESMA sobre o MiCA, Segundo Pacote
• MFSA MiCA Rulebook

Este artigo é baseado em um estudo realizado pela LegalBison em maio de 2026. O conteúdo é apenas para fins informativos e não constitui aconselhamento jurídico.