Var olan varlık, var olan adres ve var olan sermaye. Peki düzenleyici hâlâ neden memnun değil? MiCA kapsamında, varlık, işletmenizin gerçekten AB içinde çalışıp çalışmadığını deneysel olarak ölçen bir testtir ve çoğu başvurucu bunun gerçekten ne gerektirdiğini abartısız değerlendirir.
MiCA Çözümleniyor, Bitcoin.com Haberleri için LegalBison'in kurucu ortakları ve yönetici direktörleri olan Aaron Glauberman, Viktor Juskin ve Sabir Alijev tarafından yazılan haftalık 12 bölümlük bir seridir. LegalBison, Avrupa ve ötesindeki crypto ve FinTech şirketlerine MiCA lisanslama, CASP ve VASP başvuruları ile düzenleyici yapılandırma konularında danışmanlık sunar.
Bu haftanın yazısı, LegalBison'da avukat olan Krystian Lapka tarafından hazırlanmıştır. Krystian, medeni ve ortak hukuk kesişimindeki sınır ötesi kurumsal ve ticari işlemler ile stratejik risk yönetimi alanında uzmanlaşmıştır.
İlk CASP başvurularını yapmak üzere olan çoğu kurucu, MiCA'nın gerçek bir AB varlığı gerektirdiğini en azından soyut olarak anlar. Ancak düzenleyicinin “gerçek” tanımını ne kadar düşük değerlendirdiklerini göz ardı ederler.
Tipik erken aşama kurulumu, kağıt üzerinde tutarlı görünür: uygun bir AB yargı alanında kayıtlı bir ofis, yönetim belgelerinde adı geçen bir yönetici, bulut tabanlı veya grubun küresel altyapısından yönetilen ICT sistemleri ve yeni açılan bir banka hesabında yer alan ödenmiş sermaye.
İçten bakıldığında, bu bir AB şirketi gibi görünüyor. Ulusal Yetkili Otorite’nin bakış açısıyla, bir yönetime sahip bir posta kutusu gibi görünebilir.
Bu makale, MiCA'nın kişisel, teknolojik ve finansal direnç açısından aslında ne talep ettiğini haritalandırır ve düzenleyicilerin her kategoriyi bir belgeleme egzersizi olarak değil, bir işlevsel test olarak değerlendirdiğini açıklar.
Bunun arkasındaki endişe aynıdır: mechanik şirketler'i önlemek, bu şirketler sadece avantajlı bir yargı alanında kağıt üzerinde var olup, içinde anlamlı bir ekonomik faaliyet, insan sermayesi veya operasyonel kapasiteye sahip değildir.
Mit: Varlık, İçerik Demek
Buradaki düzenleyici mantık, MiCA'dan daha eski. Cadbury Schweppes kararı (Dava C-196/04) ile Avrupa Birliği Adalet Divanı, gerçek ekonomik faaliyet içermeyen tamamen yapay düzenlemeler oluşturmak için kurulma özgürlüğünün kullanılamayacağını belirledi. MiCA bu ilkeyi doğrudan kripto-varlık düzenlemesine kodladı.
MiCA’nın 59(2) maddesi, yetkilendirilmiş CASP’lerin kripto varlık hizmetlerinin en az bir kısmını gerçekleştirdikleri bir üye devlette kayıtlı merkeze sahip olmaları, etkili yönetim yerlerinin Birlik içinde bulunması ve Birlik’te ikamet eden en az bir yöneticiye sahip olmaları gerektiğini belirtmektedir. Bu hüküm kısadır. Arkasında ise çok daha fazla talep yer almaktadır.
ESMA'nın CASP'lerin yetkilendirilmesi üzerine düzenlediği denetim kısa bilgilendirmesi, bağlayıcı olmasa da, ulusal denetim kurumlarının bu gereklilikleri uygulamada nasıl yorumlaması bekleniyor olduğunu açıkça göstermektedir.
Statüsel metin ile denetim beklentisi arasındaki boşluk, birçok uygulamanın sürtünme yaşadığı yerdir.
Personel: Bu varlık aslında kim tarafından yönetiliyor
MiCA alt sınırı, bir AB sakinı yöneticiidir. Denetim rehberi bu sınırı yükseltmektedir.
ESMA'nın kısa bilgilendirmesi, günlük operasyonların en az iki üst düzey yönetici tarafından ortak olarak denetlenmesini öngörüyor. Gerekçe basittir: tek bir yönetici, odaklanma riski yaratır ve işlevsel bir yönetim yapısının gerektirdiği iç denetimleri ortadan kaldırır. Tanımlı ve örtüşen sorumluluklara sahip iki yönetici, beklenen temel standarttır.
Yerleşim durumu yalnız başına yeterli değildir. Rehberlik, yönetim organı üyesinin NCA'nın yetki alanına yerleşik olmadığı durumlarda, o kişinin yetkili kurumun talebi üzerine iki iş gününde fiziksel toplantıya katılabilecek durumda olması gerektiğini belirtmektedir.
Fiziksel yakınlık, denetleyici açısından operasyonel olarak önemli olan yargı bölgelerinde, bir yöneticiin ana yargı bölgesinden ne kadar uzakta etkili bir şekilde bulunabileceğine dair pratik bir kısıtlamadır.
Zaman taahhüdü benzer ciddiyetle ele alınır. ESMA'nın CASP'lerin Yetkilendirilmesine İlişkin Denetim Bilgilendirmesi kapsamında belirttiği pozisyona göre, yönetici yönetim kurulu üyeleri genellikle CASP rolüne tam zamanlı olarak ayrılmalıdır. Aynı bireyin birden fazla kurumda yönetici olarak görev yapması yalnızca sınırlı durumlarda izin verilir. Bir yönetici, CASP ile başka bir grup şirketi arasında zamanını bölerse, uygunluk ve güvenilirlik değerlendirmesi sırasında dikkat çekme ihtimali yüksektir.
Raporlama hatları, bireysel profiller kadar önemlidir. Yönetim organı, stratejik ve operasyonel kontrolün, gerçek kararları veren ve talimatlar veren üçüncü ülke ana şirketinde değil, AB kuruluşunda olduğunu göstermelidir.
Yöneticileri, AB dışındaki ana merkez için uygulama ajansı olarak görev yapan bir AB alt kuruluşu, denetim açısından gerçek bir AB yönetimi olan bir varlık değildir.
AML boyutu bunu güçlendirir. Şüpheli faaliyet raporlarını dosyalamaktan sorumlu birey (MLRO), fiziksel olarak mevcut olmalı, kurum içinde gerçek yetkiye sahip olmalı ve yerel Finansal İstihbarat Birimi ile doğrudan iletişim kurabilmelidir. Bu gereklilik, daha geniş bir küresel eğilimi yansıtır: FATF ve OECD’nin Kripto Varlık Raporlama Çerçevesi (CARF) aynı mantığı uygular ve madde ve şeffaflık gerekliliklerini AB’nin dışına uzatır.
MiCA’nın personel gereksinimleri ve CARF, birbirinden bağımsız gelişmeler değil; düzenlenmiş bir crypto varlığının iç yapısı hakkında ortak bir uluslararası standart yansıtıyor.
68(1) Maddesi'den kaynaklanan toplu uygunluk standartları, yönetim organının bireysel ve toplu olarak uygun bilgi, beceri ve deneyime sahip olmasını gerektirir. Bu serinin önceki bölümünde de ele alınan bu standart, geleneksel finansal piyasa düzenlemesi, DLT altyapısı ve siber güvenlik ile organizasyonel yönetimi kapsar. Bu alanların her biri odada temsil edilmelidir.
Tamamen kripto-native arka plana sahip, düzenlenmiş finansal hizmetler deneyimi olmayan bir ekip ya da derin TradFi deneyimine sahip ancak zincir üstü riski değerlendirmek için kapasitesi olmayan bir ekip, değerlendirme süreci tarafından ortaya çıkarılacak yapısal boşluklara sahiptir.
Teknoloji: Sadece Barındırma Değil, Kontrol
DORA (AB Düzenlemesi 2022/2554), CASP'lere doğrudan uygulanır ve BİT dayanıklılığı gereksinimleri için bir çerçeve oluşturur. Düzenleyicilerin teknolojiyle ilgili sorduğu soru, bir şirketin hangi altyapıyı kullandığı değil, bunu kimin kontrol ettiğiidir.
AWS, Azure veya benzer sağlayıcılar tarafından barındırılan bulut altyapısı, mevcut denetim uygulamaları altında kabul edilebilir. Sorun, AB'de yetkilendirilen varlığın, bağımlı olduğu sistemler üzerinde anlamlı bir idari kontrole sahip olmadığı durumda ortaya çıkar.
Şifreleme anahtarı yönetimi, bir ana şirketin küresel IT ekibiyle birlikteyse, müşteri verilerine erişim hakları AB dışında yönetiliyorsa ya da afet kurtarma planı, üçüncü bir ülkedeki merkezden gelen onaylara bağlıysa, AB varlığı gerçek operasyonel bağımsızlığını gösteremez.
ESMA'nın pozisyonu, danışma materyallerinde yansıtıldığı gibi, AB yönetim ekibinin CASP'nin operasyonlarına ilişkin ICT altyapısı üzerinde gerçek kontrolü olması gerektiğidir. 68. madde (7) kapsamında gereken iş sürekliliği politikası ve afet kurtarma planları, AB kurumu tarafından sahiplenilmeli ve yürütülebilir olmalı, krizde yanıt verip vermeyeceği belirsiz olan küresel bir fonksiyona bağlı olmamalıdır.
Pratik test şudur: Ana şirketin küresel IT ekibi bir gece erişilemez hale gelirse, AB birimi faaliyetlerine devam edebilir, müşteri fonlarına erişebilir ve varlıkları müşterilere geri verebilir mi? Cevap hayır ise veya AB dışı personel düzeyinde önemli bir yükseltme olmadan hayır ise, maddi sorun çözülmemiştir.
GDPR uyumluluğu ve veri yönetimi gereksinimleri, DORA çerçevesinin üzerine eklenir. Veri işleme düzenlemeleri, kontrolör-işleyici ilişkileri ve veri konumu değerlendirmeleri, düzenleyicilerin inceleyeceği teknik mimarinin bir parçasını oluşturur.
Finansal: Gerçekten Çalışan Sermaye
Madde 67 en düşük prudensiyel güvenceleri belirler. Sermaye katmanları hizmet sınıfına göre tanımlanır:
| CASP Sınıflandırması | İzin Verilen Kripto Varlık Hizmetleri | Minimum Başlangıç Sermayesi |
| Sınıf 1 | Siparişlerin alınması ve iletilmesi; Yatırım danışmanlığı; Portföy yönetimi. | 50.000 EUR |
| Sınıf 2 | Sınıf 1 hizmetleri artı: Kripto varlıkların fiat para veya diğer kripto varlıklarla takas edilmesi; Emirlerin yürütülmesi; Kripto varlıkların yerleştirilmesi. | 125.000 EUR |
| Sınıf 3 | Sınıf 1 ve 2 hizmetleri artı: Bir alım satım platformunun işletilmesi; Müşteriler adına kripto varlıkların muhafazası ve yönetimi. | 150.000 EUR |
Minimum sermaye miktarı başlangıç noktasıdır, bir tavan değildir. Dikkatli koruma önlemleri, kalıcı minimum sermaye veya önceki yılın sabit giderlerinin dörtte birinin daha yüksek olanı ile eşit olmalıdır.
CASP büyüdükçe ve sabit giderleri arttıkça, bu ikinci kısım bağlayıcı kısıt haline gelir. Giderler, ilk ödenmiş sermayenin dört katını aştığında, şirket giderlere dayalı çerçeveye geçmek zorundadır. Bu dönüm noktası, birçok operatörün tahmin ettiğinden daha hızlı gelir ve düzenleyiciler, reaktif düzeltmeler yerine proaktif izlemeyi bekler.
Dikkat edilmesi gereken bir yapısal nokta: sermaye, resmi bir kredi kurumunda tutulan bir hesaba ödenmelidir.
Bir EMI veya ödeme hizmeti sağlayıcısı hesabı bu gerekliliği karşılamaz. Bir crypto işletmesi olarak banka ilişkisi kurmak zaman alır ve garanti edilmez. Başvuru resmen sunulmadan önce bu süreci erken başlatmak isteğe bağlı değildir; tüm yetkilendirme zamanlamasını etkileyen bir sıralama kısıtlamasıdır.
Sabit giderler hesaplamasında kullanılan mali tabloların ulusal düzenleyici kurumlar tarafından denetlenmesi veya doğrulanması gerekliliği, ek bir idari boyut ekler. İlk on iki aylık giderlerini tahmin eden yeni kurulan varlıklar, bu tahminleri yetki başvurularına yöntemleri açıkça belgelenmiş şekilde dahil etmelidir.
Outsourcing ve Madde Eşiği
73. madde, CASP'lerin operasyonel fonksiyonlarını üçüncü taraflara dışa aktarmasına izin verir. Dışa aktarım, yetkili varlığı boşaltamaz. Sorumluluk CASP'de kalır; delegasyon sorumluluğu aktarmaz.
ESMA’nın CASP’lerin Yetkilendirilmesi Üzerine Denetim Bilgilendirmesi, AB dışında yer alan fonksiyonlara atfedilen toplam maliyetlerin oranını, dışa aktarımın aşırıya kaçıp kaçmadığının pratik bir göstergesi olarak belirler. Operasyonel harcamalarının büyük bir kısmı, hatta iyi yönetilen ve saygın olmasına rağmen AB dışındaki hizmet sağlayıcılara giden bir CASP, AB varlığının gerçek bir hizmet sağlayıcı olmak yerine bir kanal olup olmadığı konusunda sorularla karşılaşabilir.
Düzenleyicinin çizdiği ayrım, belirli işlevleri dışa aktarırken kontrolü koruyan CASP’ler ile tüm önemli işlevleri dışa aktararak yalnızca yasal biçimini koruyan CASP’ler arasındadır. Son durum, başvuruda bu düzenlemenin nasıl tanımlandığına bakılmaksızın bir kabuktur.
Yasal Çeşitlilik: Aynı Kanun, Farklı Uygulama
MiCA, tüm AB üye ülkelerinde doğrudan uygulanabilir. İçeriksel gereksinimler biriform. Denetim uygulaması ise değil.
Kıbrıs, CySEC aracılığıyla, bir CASP’in yönetim kurulunun çoğunluğunun Kıbrıs'ta fiziksel olarak ikamet eden bireylerden oluşmasını açıkça talep etmiştir. İki yürütücü ve iki yürütücü olmayan yönetim kurulu üyesinden oluşan bir kurul için, bu en az üç Kıbrıs'ta ikamet eden yönetim kurulu üyesi anlamına gelir. Bu, MiCA metninin gerektirdiğinden daha fazlasıdır ve harmone edilmiş AB çerçevesi üzerine yerleştirilen ulusal AML yönergelerini yansıtır.
Estonya farklı bir dinamik sunar. Önceki VASP kayıt rejimi, Finansal İstihbarat Birimi tarafından yönetilirken, Estonya Avrupa'nın en erişilebilir lisans verme yargısalardan biri haline geldi. MiCA'ya geçiş, denetim sorumluluğunu Estonya Finansal Denetim ve Çözüm Otoritesi'ne devretti ve bu da inceleme ve sürekli denetim için farklı bir kurumsal yaklaşım getirdi.
Bu serinin daha önceki bölümlerinde ele alınan Polonya'nın mevzuat durumu, yerel MiCA uygulama yasasının henüz yürürlüğe girmemiş olmasından dolayı KNF'nin yetkili otorite olarak resmi olarak atanmamış olmasını ve VASP sahiplerinin yerel bir CASP başvuru yolu bulunmamasını ortaya çıkarmıştır.
Bu farklılıklar boşluklar veya idari gariplikler değildir. Hâlâ ulusal denetim kültürleri, personel kısıtlamaları ve kurumsal tarihler aracılığıyla işlemeyi sürdüren harmonize bir yasal çerçeve gerçekliğini yansıtır. CASP yetkilendirmesi için bir yargı seçmek, bu durumun tüm pratik sonuçlarıyla birlikte bir denetleyici seçmek anlamına gelir.
Gerçek Bir Kuruluşun Gerçekten Gerektirdikleri
Toplamda, MiCA altındaki madde gereklilikleri, bir kontrol listesi değil, bir denetim felsefesini yansıtmaktadır. Düzenleyici, bir şey yanlış giderse anlamlı bir yol seçeneğine sahip olduğundan emin olmak istemektedir.
Bu, üst düzey liderliğin fiziksel olarak erişilebilir olduğunu ve AB yasaları kapsamında yasal sorumluluk taşıdığını anlamına gelir. Bu, AB kuruluşu tarafından kontrol edilebilen ve AB dışına bağlı olmayan ICT sistemleri anlamına gelir. Bu, gerçek operasyonel risklere göre gerçekten mevcut ve boyutlandırılmış sermaye anlamına gelir.
Ve bu, AB kurumu tarafından başka yerlerden verilen talimatları uygulamak yerine gerçek kararlar alınmasını anlamaktadır.
Bu süreci bir belgeleme egzersizi olarak gören firmalar, süreci beklentilerinden daha zor bulur. Önce özü oluşturup inşa ettiklerini belgeleyen firmalar ise daha basit bulur. Uygulama organizasyonu oluşturmaz; zaten büyük ölçüde var olan birini tanımlar.
Kaynaklar:
- ESMA, CASP'lerin Yetkilendirilmesi Üzerine Denetim Bilgilendirmesi
- ESMA MiCA Danışma Kağıdı, 2. Paket
- MFSA MiCA Kuralları
Bu makale, LegalBison tarafından Mayıs 2026'da yürütülen bir çalışma üzerine dayanmaktadır. İçerik yalnızca bilgilendirme amaçlıdır ve yasal öneri oluşturmaz.