MiCA без ілюзій: як регулятор читає вашу операційну модель

У першій частині ми розібрали «вхід у MiCA»: хто вважається CASP, які послуги підпадають під режим, як працює принцип єдиного паспорта та які блоки документів формують ліцензійну заявку — від програми діяльності й корпоративного управління до Fit & Proper та пруденційних вимог.

Але авторизація — це старт, а не фінал. Після отримання статусу CASP компанія переходить у режим постійної наглядової оцінки, де ключове питання регулятора звучить так: чи здатна організація працювати як контрольований фінансовий посередник, а не як технологічний продукт із «прикрученими» політиками.

У цій частині фокус зміщується з пакета документів на операційну реальність: як побудовані контролі, чи є незалежні функції, чи відокремлені активи клієнтів, чи відтворювані рішення (audit trail), як працює AML/Travel Rule, як компанія управляє інцидентами та виконує вимоги DORA. Саме тут найчастіше виникають «сірі зони», які регулятор читає як провал корпоративного управління.

Вимоги до корпоративного управління та внутрішнього контролю CASP

CASP зобов’язані мати ефективну, прозору та документально оформлену систему управління, що забезпечує: чіткий розподіл повноважень між органами управління; незалежність контрольних функцій; належний нагляд за ризиками; відповідальність керівництва за дотримання регуляторних вимог.

Органи управління повинні колективно мати достатні знання у сферах: фінансових ринків, криптоактивів, інформаційних технологій, комплаєнсу та управління ризиками.

CASP зобов’язані створити та підтримувати такі незалежні функції:

• Функція управління ризиками

  Відповідає за: ідентифікацію операційних, правових, ринкових та ІТ-ризиків; розробку політик їхньої мінімізації; регулярну оцінку ризикового профілю.

• Функція комплаєнсу

  Забезпечує: дотримання MiCA, AML/CFT, GDPR та інших нормативів; моніторинг регуляторних змін; внутрішні перевірки та звітування правлінню.

• Внутрішній аудит

  Проводять незалежну оцінку: ефективності внутрішніх контролів; надійності ІТ-систем; дотримання процедур.

Відповідно, CASP зобов’язані мати письмові політики щодо: управління конфліктами інтересів; захисту клієнтських активів; обробки скарг; аутсорсингу; безперервності бізнесу та відновлення після інцидентів; кібербезпеки та захисту даних.

Передача критичних функцій на аутсорсинг допускається лише за умови, що: 

• не погіршується якість контролю; 
• зберігається повна відповідальність CASP; 
• регулятор має доступ до інформації та аудиту постачальника послуг.

Також CASP зобов’язані забезпечити чітке та постійне відокремлення (segregation) власних активів компанії від криптоактивів і грошових коштів клієнтів. Клієнтські активи не можуть використовуватися для власних операцій CASP, входити до ліквідаційної маси у разі банкрутства, бути предметом стягнення за зобов’язаннями CASP.

Фіатні кошти клієнтів повинні зберігатися на окремих рахунках у кредитних установах або центральних банках, бути чітко ідентифіковані як клієнтські, не змішуватися з операційними коштами CASP.

CASP, що надають послуги з кастодіального зберігання, зобов’язані: забезпечити технічний і правовий контроль над приватними ключами; застосовувати багаторівневі системи безпеки (multisig, cold storage, HSM); мати процедури відновлення доступу та аварійного реагування; вести точний облік належності активів кожному клієнту.

Додатково CASP зобов’язані інформувати клієнтів про режим зберігання активів; ризики, пов’язані з кастодіальним зберіганням; правовий статус активів у разі неплатоспроможності; наявність або відсутність схем компенсації.

Вказані вище вимоги обов’язкові до виконання та демонстрації регулятору, оскільки CASP несуть відповідальність за: втрату криптоактивів через технічні збої, кібератаки, помилки персоналу, недоліки систем внутрішнього контролю. У таких випадках компанія зобов’язана відшкодувати клієнтам завдані збитки.

Вимоги AML/KYC, транзакційний моніторинг (Travel Rules) та обов’язки фінансового моніторингу

CASP підпадають під повний режим AML/CFT відповідно до: директив ЄС з протидії відмиванню коштів (AMLD), регламенту TFR (Travel Rule), національного законодавства держав-членів та спеціальних положень MiCA.

CASP зобов’язані здійснювати ідентифікацію клієнта до початку ділових відносин; верифікацію особи на підставі надійних документів, встановлення бенефіціарних власників, визначення мети та характеру ділових відносин. При цьому повинен застосовуватися ризик-орієнтований підхід (Risk-Based Approach).

Регулятори дедалі більше оцінюють динамічне управління ризиками, а не разовий статичний онбординг. Ефективні рамкові моделі включають: диференційовану глибину онбордингу залежно від типу клієнта, періодичні тригери для перегляду та перекласифікації ризикового профілю, формалізовані критерії виходу з відносин і контрольований офбординг. Однакове ставлення до всіх клієнтів, незалежно від їх ризикового профілю, є для регулятора серйозним тривожним сигналом.

Відповідно, зрілі компанії розуміють власний ризиковий профіль ще до того, як про це запитає регулятор. Очікувані внутрішні показники: розподіл клієнтів за рівнями ризику, кількість алертів і час їхнього опрацювання, співвідношення та динаміка повідомлень про підозрілі операції (STR), частота та серйозність інцидентів. Нездатність чітко сформулювати й пояснити власні ризикові метрики свідчить про відсутність ефективного наглядового контролю.

CASP повинні також здійснювати постійний моніторинг транзакцій, виявляти підозрілі операції, аналізувати поведінкові та географічні ризики, застосовувати блокування та посилені перевірки за необхідності.

Також, враховуючи вимоги Travel Rules, для переказів криптоактивів CASP зобов’язані: збирати та передавати дані про відправника і отримувача; забезпечувати простежуваність транзакцій; взаємодіяти/обмінюватися інформацією з іншими провайдерами відповідно до стандартів FATF. З точки зору наглядової логіки регулятор очікує побачити можливості відновити та реконструювати: історію транзакцій; еволюцію ризикових оцінок; рішення щодо обробки алертів; управлінські погодження та затвердження. Якщо процес або рішення неможливо відновити постфактум, регулятор виходить з презумпції, що їх фактично не існувало.

Також регулятори дедалі частіше розглядають системи AML і контролі ринкової поведінки як взаємопов’язані, оскільки зловживання на ринку, шкода клієнтам або неякісні розкриття інформації безпосередньо впливають на ризиковий профіль з точки зору відмивання коштів і корпоративного управління. Ізольовані одна від одної комплаєнс-функції трактуються як структурно слабкі та нездатні забезпечити цілісний наглядовий контроль.

CASP зобов’язані подавати звіти про підозрілі транзакції (STR/SAR) до органів фінансової розвідки (FIU), зберігати записи щонайменше 5 років, співпрацювати з правоохоронними та наглядовими органами.

Вимоги до прозорості, розкриття інформації та захисту прав споживачів

Оскільки CASP зобов’язані діяти чесно, справедливо та професійно в найкращих інтересах своїх клієнтів, то особливу увагу регулятори звертатимуть на забезпечення повного та своєчасного розкриття інформації про наступне: умови надання послуг, комісії та інші витрати, ризики, пов’язані з криптоактивами, порядок зберігання та використання клієнтських активів, механізми врегулювання спорів. Уся інформація для клієнтів повинна бути чіткою, недвозначною, легко доступною та викладеною зрозумілою для споживача мовою.

До початку надання послуг клієнту мають бути надані: опис характеру послуги, права та обов’язки сторін, умови виконання ордерів, політика конфліктів інтересів, політика обробки скарг, умови припинення договору.

Як показує практика, публічні заяви розглядаються регулятором як наглядові докази. Регулятор оцінює узгодженість маркетингових матеріалів із фактичним обсягом дозволеної діяльності, відсутність натяків на гарантовану дохідність або захист інвестицій, коректність опису регуляторного статусу компанії. Оманливі або неточні комунікації трактуються не як помилки маркетингу, а як провали в системі корпоративного управління.

До рекламних та маркетингових матеріалів CASP встановлені жорсткі вимоги. Вони повинні бути чітко ідентифіковані як реклама, не вводити в оману потенційних споживачів, не занижувати ризики, не обіцяти гарантованого прибутку та відповідати принципу добросовісності.

Особливо варто звернути увагу на механізми розгляду скарг, оскільки CASP зобов’язані мати не тільки формалізовану процедуру приймання та розгляду скарг, в якій визначені строки відповіді та незалежний перегляд рішень, але й можливість альтернативного врегулювання спорів. Розгляд скарг клієнтів є важливим елементом наглядової оцінки та включає їх класифікацію, аналіз першопричин, своєчасність і справедливість вирішення, а також ескалацію системних проблем на рівень корпоративного управління. Повторювані скарги одного типу розглядаються регулятором як індикатор слабкості внутрішніх контролів.

Причому паспортинг у межах ЄС не скасовує необхідності враховувати локальні регуляторні ризики, зокрема юрисдикційні особливості, вимоги споживчого права та мовні аспекти комунікацій. Неконтрольоване розширення в регіони з підвищеним ризиком без належного аналізу та управління неминуче привертає посилену увагу регуляторів.

Звітність, нагляд та санкції за порушення вимог MiCA

CASP зобов’язані регулярно подавати до національного компетентного органу: фінансову звітність, звіти про власні кошти та капітал, інформацію про обсяги операцій, звіти про інциденти безпеки, дані щодо скарг клієнтів, результати внутрішнього та зовнішнього аудиту. Форма, періодичність і зміст звітності визначаються регулятором та стандартами ЄС (EBA, ESMA).

Крім того, власне казначейська діяльність розглядається регулятором як окремий вектор наглядових ризиків.

Очікування щодо управління:

• затверджені класи активів і ліміти експозиції;
• чітка сегрегація від коштів, пов’язаних із клієнтами;
• буфери ліквідності та стрес-сценарії;
• казначейська політика, затверджена радою директорів.

Спекулятивна поведінка казначейства підриває регуляторну довіру до компанії.

При цьому компетентні органи мають право проводити планові та позапланові інспекції, вимагати будь-яку документацію, отримувати доступ до ІТ-систем, опитувати керівництво та персонал, накладати коригувальні заходи, обмежувати або зупиняти діяльність установи.

За порушення MiCA можуть застосовуватися адміністративні штрафи, відкликання ліцензії CASP, заборона керівникам обіймати управлінські посади, публічне оголошення порушень, кримінальна відповідальність (за національним правом). Розмір штрафів може сягати до 5 млн євро для фізичних осіб, до 12,5% річного обороту або 15 млн євро для юридичних осіб (залежно від юрисдикції та виду порушення).

У разі діяльності в кількох державах ЄС нагляд буде здійснюватися за принципом «домашнього регулятора», тобто буде застосовуватися координація між NCA (National Competent Authority), ESMA та EBA, а для значущих токенів можливий прямий європейський нагляд.

Операційна стійкість, ІТ-вимоги та кібербезпека

CASP зобов’язані забезпечити безперервність надання послуг і стійкість своїх операційних процесів відповідно до: Регламенту DORA (Digital Operational Resilience Act), вимог MiCA щодо ІТ-інфраструктури, національних стандартів кібербезпеки. Ці вимоги включають в себе: ідентифікацію критичних функцій, аналіз операційних ризиків, впровадження планів безперервності бізнесу (BCP), планів аварійного відновлення (DRP).

Основні вимоги до ІТ-інфраструктури: надійні та масштабовані ІТ-системи; резервне копіювання даних; географічно розподілені дата-центри; контроль доступу та автентифікацію; журналювання подій і дій користувачів.

Основні вимоги до кібербезпеки: політика інформаційної безпеки, регулярні пенетрацiйнi тести, моніторинг загроз у режимі реального часу, управління вразливостями, реагування на інциденти. Кібербезпека розглядається не як технічний додаток, а як елемент системи корпоративного управління.

Також CASP зобов’язані мати процедури виявлення, класифікації та ескалації інцидентів; повідомляти регулятора про суттєві інциденти в установлені строки; інформувати клієнтів у разі впливу на їхні активи чи дані; документувати всі інциденти та заходи реагування.

Важливо проводити регулярне стрес-тестування, сценарне моделювання, перевірку планів відновлення та здійснювати аудит ІТ-контролів.

Неконтрольовані зміни в системах розцінюються як порушення принципів корпоративного управління.

MiCA вимагає, щоб CASP мали не лише формальну відповідність політикам, а й реалізовану у програмних системах функціональність, яка забезпечує дотримання регуляторних вимог, контроль ризиків, захист клієнтів, повну простежуваність операцій. ІТ-архітектура повинна підтримувати всі ключові бізнес- та комплаєнс-процеси.

Інфраструктура системи повинна забезпечувати ідентифікацію фізичних та юридичних осіб, верифікацію документів, перевірку бенефіціарних власників, скринінг за санкційними списками та PEP, присвоєння ризикового профілю, збереження доказів перевірки для регуляторного аудиту. Функціональність системи повинна включати аналіз блокчейн-транзакцій у реальному часі, виявлення підозрілих патернів, правила та сценарії AML, автоматичну ескалацію кейсів, формування звітів STR/SAR. Очікування регулятора дедалі більше орієнтовані на поведінковий та контекстний аналіз, а не на статичні порогові значення. Закриття алертів без повної трасованої історії перевірки та аргументації розцінюється регулятором як збій системи контролю.

Системи також повинні підтримувати таке: класифікацію ризиків (операційні, ІТ, фінансові, правові), контроль лімітів, stress-testing, внутрішню звітність для правління та регулятора. Мінімальні технічні вимоги: керування приватними ключами (HSM, MPC, multisig), контроль доступу, розмежування прав, журнали подій, процедури відновлення.

У випадках, коли здійснюється зберігання активів або контроль над приватними ключами, застосовується посилений нагляд. Регуляторні очікування зазвичай охоплюють: чітко визначену архітектуру кастодіального зберігання та управління ключами; сегрегацію клієнтських активів і регулярну звірку обліку; протестовані плани безперервності бізнесу та аварійного відновлення; управління аутсорсингом із правами на аудит і доступ до інформації. Технологічні ризики розглядаються як повноцінні комплаєнс-ризики.

Кастодіальні моделі з єдиною точкою відмови є структурно неприйнятними з точки зору регулятора. Тобто, якщо система зберігання криптоактивів побудована так, що існує одна критична точка, від якої залежить доступ до всіх активів (один сервер, один ключ, один адміністратор, одна компанія-провайдер, один дата-центр тощо), то з точки зору регулятора така модель вважається неприйнятною за своєю природою. В такому випадку регулятор вважає, що ризик закладений у саму конструкцію і його неможливо компенсувати політиками або інструкціями. Така модель не пройде регуляторну оцінку.

Повинна бути імплементована повна автоматизація формування звітів для NCA, EBA, ESMA, фінансової звітності, звітів щодо капіталу, звітів про інциденти, звітів за  клієнтськими скаргами.

Системи мають забезпечувати повний audit trail, неможливість несанкціонованого видалення логів, відтворення історії рішень, доказову базу для перевірок регулятора.

Додатково CASP повинні мати технічну можливість інтеграції з блокчейн-аналітичними провайдерами, KYC/AML-платформами, банками та платіжними системами, регуляторними шлюзами звітності, системами управління інцидентами.

Наглядовий акцент робиться на якості виконання, а не на кількості формальних політик. Статичні або шаблонні програми з протидії відмиванню коштів не витримують регуляторної перевірки.

Проєктування банківської та платіжної інфраструктури

Попередня реєстрація як VASP підвищує рівень довіри, але не гарантує відкриття банківського обслуговування. Стійкі та життєздатні моделі зазвичай передбачають: прозору та повністю задокументовану схему руху коштів «від початку до кінця»; чітку сегрегацію операційних, клієнтських і казначейських рахунків; використання регульованих установ електронних грошей (EMI) або платіжних провайдерів (PSP) за потреби; послідовно вибудувані та обґрунтовані пояснення щодо джерела коштів (Source of Funds) і джерела статків (Source of Wealth). Готовність до банківського обслуговування закладається в операційну модель з першого дня.

Банківське обслуговування не є зовнішнім відносно процесу ліцензування. Воно виступає стрес-тестом на регуляторну надійність і довіру. Успішні заявники зазвичай демонструють чітке розмежування потоків клієнтських, операційних і казначейських коштів, прозору логіку звірки між фіатними та криптовалютними балансами, консервативний підхід до вибору юрисдикцій та географічної експозиції, повну узгодженість інформації, що розкривається регуляторам і банкам. Непослідовні або суперечливі наративи у взаємодії з регуляторами та банківськими установами майже завжди призводять до ескалації перевірок або негативних результатів для заявника, а втрата довіри з боку регулятора матиме наслідки не лише в регуляторній площині, а й для відносин із банками та контрагентами.

Загальна архітектура

Регулятори не розглядають заявки як формальне проходження чек-листа. Наглядова логіка ґрунтується на доказах і зосереджена на тому, чи здатен заявник функціонувати як контрольований фінансовий посередник в умовах постійного регуляторного нагляду.

На практиці регулятор одночасно оцінює три ключові виміри:

• Операційну спроможність — чи може бізнес-модель працювати саме так, як вона описана в документах.
• Ефективність контролів — чи є AML-система, корпоративне управління та ІТ-контролі реально виконуваними, а не лише формально задекларованими.
• Наглядову відтворюваність (explainability) — чи можуть рішення, транзакції та виняткові випадки бути повністю відновлені та пояснені постфактум.

Заявки, які виглядають формально повними, але не мають внутрішньої узгодженості між бізнес-планом, AML-архітектурою та фактичними платіжними й транзакційними потоками, зазвичай затримуються на розгляді або піддаються суттєвим зауваженням з боку регулятора.

Ознаки структур підвищеного ризику для регулятора

• Багаторівневі або непрозорі ланцюги власності без зрозумілого операційного обґрунтування
• Широко або нечітко визначений перелік послуг («усі криптопослуги»)
• Кастодіальні функції у поєднанні зі слабким ІТ-управлінням
• Залежність від третіх осіб поза ЄС для виконання критично важливих функцій
• Агресивний онбординг роздрібних клієнтів без масштабованих систем моніторингу

Зони низької регуляторної толерантності

• Непослідовні або суперечливі пояснення щодо характеру та логіки транзакцій
• Виключно ручний моніторинг для платформ, що масштабуються
• Комплаєнс-офіцери без реальних повноважень впливу на операційну діяльність
• Відсутність наглядового контролю з боку ради директорів за рішеннями у сфері ризиків

Також регулятори дедалі більше оцінюють не лише те, хто ухвалює рішення, а й яким чином вони ухвалюються. Очікування на рівні ради директорів: формальне затвердження апетиту до ризику та переліку наданих послуг; документально зафіксоване критичне опрацювання та оскарження припущень менеджменту; нагляд за AML-метриками та звітуванням про інциденти; затвердження суттєвих моделей аутсорсингу та кастодіального зберігання. Протоколи засідань ради — це не формальність. Це наглядові докази для регулятора. Формальне «штампування» рішень без реального аналізу розглядається як неефективний контроль.

Наглядова практика показує, що AML Compliance Officer є повноцінною контрольною функцією, а не адміністративною посадою. Функція комплаєнсу, інтегрована в підрозділи продажів або операційної діяльності, є структурно невідповідною вимогам регулятора, незалежно від формальних назв посад.

З цієї ж логіки криптокомпанії, керовані засновниками, перебувають під посиленим наглядом. Типові занепокоєння регулятора — це надмірна концентрація повноважень в одних руках, конфлікти між комерційними цілями та вимогами комплаєнсу, неформальна культура ухвалення рішень. Засновники мають бути інтегровані у формальну систему корпоративного управління, а не діяти паралельно з нею.

NCA не діє ізольовано від інших наглядових органів. На практиці це означає обмін інформацією між регуляторами, координацію транскордонного нагляду та зворотний зв’язок від банківських установ, оскільки регулятори працюють з інституційною пам’яттю. Минулі слабкі місця, навіть якщо їх формально було усунуто, залишаються контекстом для майбутніх оцінок. Це набуває особливого значення в умовах синергійної форми співпраці регуляторів в межах ЄС. Практичні наслідки для заявників CASP: спрощення та «короткі шляхи» на ранньому етапі створюють довгострокові регуляторні ускладнення, усунення недоліків сприймається як обов’язок, а не як досягнення, повторювані слабкості свідчать про провали в системі корпоративного управління, нагляд має накопичувальний характер, а не разову, транзакційну логіку.

MiCA трансформує нагляд із переважно AML-орієнтованого на інституційний. Стратегічний висновок: компанії, які вже працюють як повноцінні регульовані інституції, проходять перехід безболісно, а ті, хто покладався на мінімальний формальний комплаєнс, стикаються з необхідністю глибокої структурної перебудови. Це означає, що ЄС підходить для компаній, які планують масштабування в межах ЄС, приймаючи постійний регуляторний нагляд, при цьому заздалегідь інвестують у корпоративне управління та контрольні системи. Він не підходить для компаній, що шукають швидкість замість структурованості, мінімальний рівень нагляду та регуляторну невизначеність.