Rozwój technologii blockchain wyprzedza tempo zmian regulacyjnych. Luka prawna spowodowana tempem rozwoju powoduje, że startupy z branży Web3 (np. tworzące portfele kryptowalutowe, bramki płatności, aplikacje DeFi) często nabierają przekonania, że ramy prawne „tradycyjnego” rynku ich nie dotykają. Przecież skoro nie operują na walutach fiat, to przepisy o usługach płatniczych ich nie dotyczą.
Jednak jest to przeczucie błędne. Regulacje, zwłaszcza unijne, stawiają sobie za cel nie samą technologię, lecz funkcję, jaką realizuje dane rozwiązanie. Jeśli aplikacja DeFi działa tak samo jak klasyczna instytucja płatnicza, to może być właśnie tak traktowana.
Z perspektywy regulacji usług płatniczych kluczowe jest, czy użytkownik korzystający z danego rozwiązania może przechowywać środki pieniężne (w tym pieniądz bezgotówkowy lub pieniądz elektroniczny) oraz nimi dysponować, w szczególności inicjować transfery, zlecać płatności lub dokonywać wypłat.
W takim przypadku działalność może zostać zakwalifikowana jako świadczenie usług płatniczych, co w praktyce może oznaczać konieczność spełnienia szeregu obowiązków, w tym uzyskania odpowiedniego statusu regulacyjnego, spełnienia wymogów dyrektywy Payment Services Directive 2 (PSD2) oraz, w zależności od modelu, dokonania wpisu do rejestru prowadzonego przez właściwego regulatora (w Polsce – KNF) lub uzyskania stosownego zezwolenia.
Gdzie kończy się innowacja, a zaczyna regulacja?
Dyrektywa PSD2 definiuje usługi płatnicze przez ich funkcję. Czyli nieważne, czy przelew realizuje bank, fintech czy smart kontrakt – jeśli efekt jest ten sam, obowiązki prawne mogą być podobne (adresatem obowiązków jest jednak zawsze podmiot, który usługę udostępnia i organizuje). Zgodnie z PSD2 usługami płatniczymi są m.in. usługi dotyczące rachunku płatniczego oraz realizacja transakcji płatniczych, a także usługi inicjowania płatności i dostępu do informacji o rachunku.
Dla oceny regulacyjnej może nie mieć znaczenia, że zamiast złotówek przesyłasz inne aktywa, o ile w grę wchodzą środki pieniężne w rozumieniu PSD2, w tym tokeny zakwalifikowane jako tokeny będące pieniądzem elektronicznym (electronic money token – EMT). O ile co do zasady transfery „typowych” kryptoaktywów (np. BTC, ETH, tokenów użytkowych) nie są transferem środków pieniężnych w rozumieniu PSD2, to odmiennie może być w przypadku m. in. EMT. Jeśli użytkownik przechowuje takie środki i może je przesyłać, usługa może zostać uznana za usługę płatniczą.
Kiedy portfel kryptowalutowy „przekracza linię”?
Nie każdy dostawca portfela kryptowalutowego to automatycznie instytucja płatnicza. Kluczowe znaczenie ma to, jak wygląda zarządzanie środkami i jakie środki są przechowywane.
Dostawca portfela kryptowalutowego nie będzie instytucją płatniczą, jeśli użytkownik ma pełną i wyłączną kontrolę nad swoim kluczem prywatnym, a aplikacja pełni wyłącznie funkcję interfejsu. Problem zaczyna się wtedy, gdy portfel umożliwia m.in. przechowywanie EMT lub wykonywanie przelewów pomiędzy kontami. W takich przypadkach ryzyko uznania działalności za usługę płatniczą rośnie. To samo dotyczy projektów, które realizują wypłaty środków lub oferują funkcje przypominające klasyczną bankowość elektroniczną.
Niezależnie od PSD2, przy modelu custodialnym często pojawia się równoległy reżim MiCA (np. usługa przechowywania i administrowania kryptoaktywami w imieniu klientów) oraz AML.
Przykłady sytuacji zwiększających ryzyko regulacyjne:
- operator ma dostęp do kluczy prywatnych użytkownika,
- aplikacja pozwala zlecać przelewy z jednego adresu na inny (w szczególności, jeżeli przedmiotem transferu są środki pieniężne w rozumieniu PSD2),
- użytkownik może wpłacać lub wypłacać środki w walutach fiat,
- portfel integruje się z systemami kart płatniczych,
Jak działać bezpiecznie?
Najważniejsze jest świadome projektowanie architektury. Nawet jeśli sam portfel nie umożliwia przechowywania środków, niektóre funkcje mogą zbliżać się do obszaru regulowanego.
Rozpoczynając prace nad projektem należy:
- dokładnie przeanalizować mapę funkcjonalności pod kątem PSD2,
- ustalić, kto kontroluje dostęp do środków użytkownika,
- zadbać o zgodność z MiCA i AML,
- w razie wątpliwości – skonsultować się z ekspertem ds. regulacji finansowych,
- przygotować się do ewentualnego wniosku licencyjnego lub partnerstwa.
Co warto wiedzieć o licencjach?
Na poziomie unijnym i krajowym prawo przewiduje różne reżimy licencyjne, których zastosowanie zależy od zakresu i skali prowadzonej działalności.
Mała instytucja płatnicza (MIP) stanowi uproszczoną formę regulacyjną, obciążoną jednak limitami wolumenu transakcji. W Polsce MIP jest oparty na wpisie do rejestru KNF, z ustawowymi limitami (w tym limitem średniej miesięcznej wartości transakcji).
Krajowa instytucja płatnicza (KIP) to pełna licencja PSD2, właściwa dla bardziej rozwiniętych projektów. Jest to instytucja płatnicza mogąca świadczyć usługi płatnicze w pełnym zakresie oraz wysokich wymogach ładu korporacyjnego, kapitałowych i operacyjnych.
Uzyskanie odpowiedniej licencji wiąże się z określonymi wymogami organizacyjnymi, kapitałowymi i operacyjnymi, ale jednocześnie otwiera drogę do skalowania działalności, integracji z infrastrukturą płatniczą oraz współpracy z podmiotami regulowanymi.
Podsumowanie
Granica między technologią blockchain a regulowanym rynkiem finansowym nie przebiega dziś w kodzie, lecz w funkcji, jaką dane rozwiązanie pełni wobec użytkownika. To, czy projekt korzysta ze smart kontraktów, czy z infrastruktury bankowej, ma dla regulatora drugorzędne znaczenie. Kluczowe jest to, kto kontroluje środki, kto może nimi dysponować i czy rozwiązanie w praktyce zaczyna pełnić rolę rachunku lub instrumentu płatniczego.
Dla projektów Web3 oznacza to konieczność myślenia o regulacjach już na etapie projektowania architektury. Decyzje dotyczące custody, sposobu prezentacji sald, integracji z fiat czy mechanizmów wypłat mają bezpośredni wpływ na kwalifikację prawną całego rozwiązania. W wielu przypadkach to nie intencja twórców, lecz efekt funkcjonalny przesądza o objęciu projektu reżimem PSD2 lub innymi regulacjami finansowymi. Warto też pamiętać, że otoczenie regulacyjne usług płatniczych jest dynamiczne (trwają prace nad reformą ram PSD2 na poziomie UE), co zwiększa znaczenie bieżącego monitorowania zmian.
Świadome podejście do tych kwestii nie ogranicza innowacji, lecz pozwala ją zabezpieczyć i skalować. Projekty, które rozumieją swoje ryzyka regulacyjne, zyskują przewagę – zarówno w relacjach z partnerami, jak i w kontaktach z organami nadzoru. W świecie Web3 zgodność z prawem coraz rzadziej jest dodatkiem, a coraz częściej staje się elementem strategii technologicznej.