Yêu cầu về chất lượng MiCA: Văn phòng tại EU không đủ cho các công ty tiền điện tử

Bạn đã có thực thể, bạn đã có địa chỉ, thậm chí bạn còn có vốn. Vậy tại sao cơ quan quản lý vẫn chưa hài lòng? Bởi vì theo MiCA, tính chất thực tế là một phép thử thực nghiệm để xác định liệu doanh nghiệp của bạn có thực sự hoạt động trong EU hay không, và hầu hết các ứng viên đều đánh giá thấp những yêu cầu thực sự mà điều đó đặt ra.

MiCA Decoded là chuỗi bài viết hàng tuần gồm 12 bài cho Bitcoin.com News, được đồng tác giả bởi các Đồng sáng lập và Giám đốc Điều hành của LegalBison: Aaron Glauberman, Viktor Juskin và Sabir Alijev. LegalBison tư vấn cho các công ty crypto và FinTech về cấp phép MiCA, ứng dụng CASP và VASP, cũng như cấu trúc tuân thủ quy định tại châu Âu và các khu vực khác.

Bài viết tuần này được viết bởi Krystian Lapka, Luật sư tại LegalBison. Krystian chuyên về các giao dịch doanh nghiệp và thương mại xuyên biên giới, cùng với quản lý rủi ro chiến lược tại giao điểm của hệ thống luật dân sự và luật common law.

Hầu hết các nhà sáng lập khi nộp đơn CASP lần đầu tiên đều hiểu, ít nhất một cách trừu tượng, rằng MiCA yêu cầu sự hiện diện thực sự tại EU. Điều mà họ đánh giá thấp là cách cơ quan quản lý định nghĩa “thực sự”.

Cấu hình giai đoạn đầu điển hình trông có vẻ hợp lý trên giấy: một văn phòng đăng ký tại một khu vực thuận lợi trong EU, một giám đốc được nêu tên trong các tài liệu quản trị, các hệ thống ICT được lưu trữ trên đám mây hoặc được quản lý từ cơ sở hạ tầng toàn cầu của nhóm, và vốn đã góp được đặt trong tài khoản ngân hàng mới mở.

Từ bên trong, điều này trông giống như một công ty EU. Từ góc nhìn của cơ quan có thẩm quyền quốc gia, nó có thể trông giống như một hộp thư với một giám đốc đính kèm.

Bài viết này phân tích những yêu cầu thực tế về nội dung của MiCA đối với nhân sự, công nghệ và khả năng chống chịu tài chính, đồng thời giải thích tại sao các nhà quản lý coi mỗi danh mục là một bài kiểm tra chức năng thay vì một thủ tục hồ sơ.

Nỗi lo thúc đẩy tất cả những điều này là giống nhau: ngăn chặn các công ty thư tín, những thực thể tồn tại trên giấy tờ tại một jurisdiction thuận lợi nhưng không có bất kỳ hoạt động kinh tế ý nghĩa, vốn con người hoặc năng lực vận hành nào trong đó.

Logic quy định ở đây có từ trước khi có MiCA. Trong phán quyết mang tính bước ngoặt Cadbury Schweppes (Vụ án C-196/04), Tòa án Công lý Liên minh Châu Âu đã xác lập rằng quyền tự do thành lập không thể được sử dụng để tạo ra những “sắp xếp hoàn toàn giả tạo” không có hoạt động kinh tế thực sự. MiCA quy định nguyên tắc này trực tiếp vào quy định về tài sản tiền mã hóa.

Điều 59(2) của MiCA quy định rằng các CASP được ủy quyền phải có trụ sở đăng ký tại một quốc gia thành viên nơi họ thực hiện ít nhất một phần dịch vụ tài sản tiền mã hóa của mình, phải có nơi quản lý hiệu quả nằm trong Liên minh, và phải có ít nhất một thành viên hội đồng quản trị cư trú trong Liên minh. Quy định này ngắn gọn. Những gì đằng sau nó lại đòi hỏi nghiêm ngặt hơn nhiều.

Bản tóm tắt giám sát của ESMA về việc cấp phép cho các CASP, dù không mang tính bắt buộc, đã cho thấy rõ cách các cơ quan giám sát quốc gia được kỳ vọng áp dụng các yêu cầu này trong thực tế.

Khoảng cách giữa văn bản pháp lý và kỳ vọng của cơ quan giám sát là nơi nhiều ứng dụng gặp phải sự ma sát.

Ngưỡng tối thiểu theo MiCA là một thành viên hội đồng quản trị cư trú tại EU. Hướng dẫn giám sát nâng cao ngưỡng này.

Bản tóm tắt của ESMA dự kiến ít nhất hai quản lý cấp cao cùng giám sát các hoạt động hàng ngày. Lý do rất đơn giản: một quản lý duy nhất tạo ra rủi ro tập trung và loại bỏ các cơ chế kiểm soát nội bộ mà một cấu trúc quản trị hoạt động đòi hỏi. Hai quản lý với trách nhiệm được xác định và chồng chéo nhau là mức cơ sở mong đợi.

Quyền cư trú không đủ về mặt riêng lẻ. Hướng dẫn chỉ ra rằng nếu thành viên cơ quan quản lý không cư trú trong phạm vi thẩm quyền của NCA, người đó phải có khả năng tham dự các cuộc họp trực tiếp theo yêu cầu của cơ quan trong vòng hai ngày làm việc.

Đối với các khu vực pháp lý nơi khoảng cách vật lý đến người giám sát có ý nghĩa về mặt vận hành, đây là một ràng buộc thực tế về khoảng cách tối đa mà một thành viên hội đồng quản trị có thể đặt trụ sở so với jurisdiction gốc.

Mức độ cam kết về thời gian cũng được xử lý một cách nghiêm túc tương tự. Vị thế của ESMA, như được nêu rõ trong Supervisory Briefing on Authorization of CASPs, là các thành viên hội đồng quản trị điều hành nên thường xuyên dành 100% thời gian chuyên môn của họ cho vai trò CASP. Việc kiêm nhiệm, khi cùng một cá nhân đảm nhiệm vai trò điều hành tại nhiều thực thể khác nhau, chỉ được phép trong những trường hợp hạn chế. Một thành viên điều hành chia sẻ sự chú ý giữa CASP và một công ty thành viên khác có khả năng sẽ thu hút sự giám sát trong quá trình đánh giá đủ tiêu chuẩn.

Các đường dây báo cáo quan trọng không kém gì các hồ sơ cá nhân. Cơ quan quản lý phải chứng minh rằng quyền kiểm soát chiến lược và vận hành nằm trong thực thể EU, chứ không nằm ở công ty mẹ tại một quốc gia thứ ba đưa ra các quyết định thực sự và ban hành chỉ thị xuống dưới.

Một công ty con của EU, mà các nhà quản lý của nó hoạt động như các đại lý thực thi cho trụ sở chính ngoài EU, không phải là một thực thể có quản lý thực sự của EU trong nghĩa giám sát.

Khía cạnh AML củng cố điều này. Cá nhân chịu trách nhiệm nộp báo cáo hoạt động khả nghi (MLRO) phải có mặt trực tiếp, nắm quyền lực thực sự trong tổ chức và có khả năng tương tác trực tiếp với Đơn vị Tình báo Tài chính địa phương. Yêu cầu này phản ánh xu hướng toàn cầu rộng hơn: Khung Báo cáo Tài sản Mã hóa (CARF) của FATF và OECD Crypto-Asset Reporting Framework (CARF) hoạt động theo cùng logic, mở rộng các yêu cầu về thực chất và minh bạch ra ngoài EU.

Yêu cầu về nhân sự của MiCA và CARF không phải là những phát triển tách biệt; chúng phản ánh một tiêu chuẩn quốc tế đang hội tụ về hình dáng bên trong của một thực thể crypto được quản lý.

Tiêu chuẩn phù hợp tập thể theo Điều 68(1) yêu cầu cơ quan quản lý phải sở hữu kiến thức, kỹ năng và kinh nghiệm phù hợp cả về cá nhân lẫn tập thể. Như đã đề cập trong phần trước của chuỗi bài này, tiêu chuẩn này bao gồm quy định thị trường tài chính truyền thống, cơ sở hạ tầng DLT và an ninh mạng, cũng như quản trị tổ chức. Mỗi lĩnh vực này đều cần được đại diện trong phòng.

Một đội ngũ được tuyển dụng hoàn toàn từ nền tảng tiền điện tử nhưng không có kinh nghiệm trong các dịch vụ tài chính được quản lý, hoặc một đội ngũ có kinh nghiệm sâu rộng trong TradFi nhưng không có khả năng đánh giá rủi ro trên chuỗi, sẽ có những lỗ hổng cấu trúc mà quy trình đánh giá sẽ làm nổi bật.

DORA (Quy định (EU) 2022/2554) áp dụng trực tiếp cho các CASP và thiết lập khung yêu cầu về độ bền vững của ICT. Câu hỏi mà các nhà quản lý đặt ra về công nghệ không phải là một doanh nghiệp sử dụng cơ sở hạ tầng gì. Câu hỏi là ai kiểm soát nó.

Cơ sở hạ tầng đám mây được lưu trữ bởi AWS, Azure hoặc các nhà cung cấp tương tự là chấp nhận được theo thực hành giám sát hiện hành. Vấn đề phát sinh khi thực thể được ủy quyền tại EU không có kiểm soát hành chính ý nghĩa đối với các hệ thống mà nó phụ thuộc.

Nếu việc quản lý khóa mã hóa nằm trong tay đội ngũ CNTT toàn cầu của công ty mẹ, nếu quyền truy cập vào dữ liệu khách hàng được quản lý từ bên ngoài EU, hoặc nếu kế hoạch phục hồi sau thảm họa phụ thuộc vào sự phê duyệt từ trụ sở chính ở quốc gia thứ ba, thì thực thể EU không thể chứng minh được tính độc lập vận hành thực sự.

Vị thế của ESMA, như được phản ánh trong các tài liệu tham vấn của nó, là đội ngũ quản lý tại EU phải thực sự kiểm soát cơ sở hạ tầng ICT liên quan đến hoạt động của CASP. Chính sách duy trì hoạt động liên tục và kế hoạch phục hồi sau thảm họa được yêu cầu theo Điều 68(7) phải do thực thể tại EU sở hữu và có thể thực thi, chứ không phụ thuộc vào chức năng toàn cầu có thể hoặc không thể phản ứng trong khủng hoảng.

Kiểm tra thực tế được đặt ra rõ ràng: nếu đội ngũ CNTT toàn cầu của công ty mẹ đột ngột không thể tiếp cận, thì thực thể tại EU có thể tiếp tục hoạt động, truy cập vào quỹ khách hàng và hoàn trả tài sản cho khách hàng không? Nếu câu trả lời là không, hoặc không thể làm được mà không cần tăng cấp đáng kể cho nhân sự ngoài EU, thì vấn đề về bản chất vẫn chưa được giải quyết.

Yêu cầu tuân thủ GDPR và quản trị dữ liệu được áp đặt lên khung DORA. Các thỏa thuận xử lý dữ liệu, mối quan hệ giữa người kiểm soát và người xử lý, cùng các xem xét về nơi lưu trữ dữ liệu đều là một phần của kiến trúc kỹ thuật mà các cơ quan quản lý sẽ kiểm tra.

Điều 67 quy định các biện pháp bảo vệ thận trọng tối thiểu. Các cấp vốn được xác định theo lớp dịch vụ:

Số vốn tối thiểu là điểm khởi đầu, không phải mức trần. Các biện pháp bảo vệ thận trọng phải bằng giá trị cao hơn giữa vốn tối thiểu vĩnh viễn hoặc một phần tư chi phí cố định của năm trước.

Khi CASP phát triển và các chi phí cố định của nó tăng lên, nhánh thứ hai này trở thành ràng buộc chính. Khi chi phí cố định vượt quá bốn lần vốn góp ban đầu, doanh nghiệp phải chuyển sang khung dựa trên chi phí cố định. Điểm uốn này đến nhanh hơn nhiều so với dự kiến của nhiều nhà vận hành, và các cơ quan quản lý kỳ vọng việc giám sát chủ động thay vì điều chỉnh phản ứng.

Một điểm cấu trúc cần lưu ý: vốn phải được chuyển vào tài khoản được giữ tại một tổ chức tín dụng chính thức.

Tài khoản của một tổ chức EMI hoặc nhà cung cấp dịch vụ thanh toán không đáp ứng yêu cầu này. Việc thiết lập mối quan hệ ngân hàng với tư cách là một doanh nghiệp crypto mất thời gian và không đảm bảo thành công. Việc bắt đầu quy trình này sớm, trước khi đơn đăng ký được nộp chính thức, là bắt buộc. Đây là một ràng buộc về thứ tự ảnh hưởng đến toàn bộ thời gian cấp phép.

Yêu cầu rằng các báo cáo tài chính được sử dụng trong tính toán chi phí cố định phải được kiểm toán hoặc xác thực bởi các cơ quan quản lý quốc gia làm tăng thêm một chiều cạnh hành chính. Các thực thể mới thành lập dự báo chi phí trong mười hai tháng đầu tiên phải bao gồm các dự báo này trong đơn xin cấp phép, kèm theo phương pháp được ghi chép rõ ràng.

Điều 73 cho phép các CASP ủy quyền các chức năng vận hành cho bên thứ ba. Ràng buộc là việc ủy quyền không được làm suy yếu thực thể được cấp phép. Trách nhiệm vẫn thuộc về CASP; việc ủy quyền không chuyển giao trách nhiệm giải trình.

Bản tóm tắt giám sát của ESMA về việc cấp phép cho các CASP xác định tỷ lệ tổng chi phí thuộc về các chức năng nằm ngoài EU như một chỉ báo thực tế để đánh giá liệu việc thuê ngoài đã vượt quá giới hạn hay chưa. Một CASP mà phần lớn chi phí hoạt động được chuyển cho các nhà cung cấp dịch vụ ngoài EU, ngay cả những nhà cung cấp được vận hành tốt và có uy tín, có thể đối mặt với những câu hỏi về việc liệu thực thể tại EU có đủ năng lực nội bộ để được coi là nhà cung cấp dịch vụ thực sự thay vì chỉ là cầu nối hay không.

Sự phân biệt mà cơ quan quản lý đưa ra là giữa các CASP chuyển giao các chức năng cụ thể nhưng vẫn giữ quyền kiểm soát và các CASP chuyển giao toàn bộ các hoạt động thiết yếu nhưng chỉ giữ lại hình thức pháp lý. Loại sau là một vỏ bọc, bất kể cách sắp xếp này được mô tả thế nào trong đơn đăng ký.

MiCA áp dụng trực tiếp tại tất cả các quốc gia thành viên EU. Các yêu cầu về nội dung là đồng nhất. Thực tiễn giám sát thì không.

Síp, thông qua CySEC, đã yêu cầu rõ ràng rằng đa số thành viên hội đồng quản trị của một CASP phải là cư dân thực tế của Síp. Đối với một hội đồng gồm hai thành viên điều hành và hai thành viên không điều hành, điều này có nghĩa là tối thiểu ba thành viên hội đồng quản trị cư trú tại Síp. Yêu cầu này vượt quá những gì văn bản MiCA quy định và phản ánh các chỉ thị chống rửa tiền quốc gia được áp đặt lên khung hài hòa của EU.

Estonia mang một động lực khác. Dưới chế độ đăng ký VASP trước đây do Đơn vị Tình báo Tài chính quản lý, Estonia trở thành một trong những jurisdiction cấp phép dễ tiếp cận nhất châu Âu. Việc chuyển đổi sang MiCA đã chuyển trách nhiệm giám sát sang Cơ quan Giám sát và Giải quyết Tài chính Estonia, mang đến một cách tiếp cận thể chế khác trong việc xem xét và giám sát liên tục.

Tình hình lập pháp của Ba Lan, được đề cập trong các phần trước của chuỗi bài này, đã tạo ra một khoảng trống về mặt cấu trúc, khi luật thực thi MiCA trong nước chưa được ban hành, khiến KNF chưa được chỉ định chính thức là cơ quan có thẩm quyền và các chủ thể VASP không có con đường ứng dụng CASP trong nước khả thi.

Những biến thể này không phải là kẽ hở hay đặc điểm hành chính. Chúng phản ánh thực tế rằng một khung pháp lý hài hòa vẫn hoạt động thông qua các văn hóa giám sát quốc gia, hạn chế về nhân sự và lịch sử thể chế. Việc lựa chọn một jurisdiction để cấp phép cho CASP có nghĩa là lựa chọn một cơ quan quản lý, cùng với tất cả các hệ quả thực tiễn đi kèm.

Nhìn chung, các yêu cầu về nội dung theo MiCA phản ánh một triết lý giám sát hơn là một danh sách kiểm tra. Cơ quan quản lý muốn đảm bảo rằng, nếu có sự cố xảy ra, họ có biện pháp khắc phục hiệu quả.

Điều đó có nghĩa là ban lãnh đạo cấp cao có thể tiếp cận trực tiếp và chịu trách nhiệm pháp lý theo luật EU. Điều đó có nghĩa là các hệ thống ICT có thể kiểm soát bởi thực thể EU mà không phụ thuộc vào chuỗi ủy quyền ngoài EU. Điều đó có nghĩa là vốn thực sự sẵn có và được điều chỉnh phù hợp với rủi ro hoạt động thực tế.

Và điều đó có nghĩa là quản trị nơi thực thể EU đưa ra các quyết định thực sự thay vì thực hiện các chỉ thị được phát ra từ nơi khác.

Các công ty tiếp cận điều này như một bài tập tài liệu thường thấy quy trình khó hơn dự kiến. Các công ty xây dựng nội dung trước và ghi lại những gì họ đã xây dựng thì thấy dễ dàng hơn. Ứng dụng không tạo ra tổ chức. Nó mô tả một tổ chức vốn đã phần lớn tồn tại.

Nguồn:

• Bản tóm tắt giám sát của ESMA về việc cấp phép cho các CASP
• Tài liệu tham vấn của ESMA về MiCA, Gói thứ hai
• Sổ tay quy định MiCA của MFSA

Bài viết này dựa trên cuộc nghiên cứu do LegalBison thực hiện vào tháng 5 năm 2026. Nội dung chỉ mang tính chất thông tin và không cấu thành lời khuyên pháp lý.