Najčastejšie nedostatky v pripravenosti na konanie o udelení povolenia v sektore kryptoaktív

Prvý najčastejší nedostatok v pripravenosti žiadateľov sa týka identifikácie a priradenia obchodného modelu k jednotlivým službám kryptoaktív v zmysle čl. 3 ods. 1 (16) MiCA. Žiadateľ musí v žiadosti o udelenie povolenia presne špecifikovať akým spôsobom sa jednotlivé čiastkové činnosti, z ktorých sa obchodný model skladá, premietnu do služieb kryptoaktív, na ktoré sa vzťahuje žiadosť. Je nevyhnutné, aby žiadatelia podrobne analyzovali svoje služby a preukázali, že ich obchodný model plne zodpovedá definíciám v MiCA, z čoho vyplýva aj rozsah podmienok, ktorých splnenie je potrebné v žiadosti preukázať.

Nedostatok často spočíva v nesprávnej interpretácii obsahu služieb kryptoaktív, čo vedie k nesprávnemu priradeniu vlastného obchodného modelu k službám kryptoaktív. Žiadatelia niekedy nedostatočne rozlišujú medzi rôznymi službami kryptoaktív, a tak sa snažia podradiť svoj obchodný model pod služby, ktoré nie sú obsahom služby kryptoaktív, na ktorú o povolenie žiadajú, prípadne nedokážu preukázať, ako ich činnosti napĺňajú definície v zmysle čl.16 MiCA. Odstraňovanie týchto nepresností v samotnom konaní môže predĺžiť celkovú dobu konania.

Odporúčame preto podrobiť obchodný model dôkladnej analýze a presne identifikovať jednotlivé služby v zmysle ich definícií v MiCA. V niektorých prípadoch môže byť nevyhnutné obchodný model upraviť alebo doplniť tak, aby zodpovedal požiadavkám. Pri príprave žiadosti by sa malo jasne opísať, ako jednotlivé činnosti z ich obchodného modelu spadajú pod konkrétne definované služby kryptoaktív Odborné konzultácie so skúsenými poradcami môžu minimalizovať riziko nesprávnych interpretácií a zbytočných zdržaní v licenčnom konaní.

Príklad:
Obchodný model žiadateľa spočíva v tom, že po zadaní objednávky v systéme žiadateľa a vložení peňažných prostriedkov klienta na účet žiadateľa žiadateľ odošle klientove peňažné prostriedky na žiadateľov účet u iného poskytovateľa, napr. burzu, zamení klientove peňažné prostriedky za kryptoaktíva a vyberie klientove kryptoaktíva na peňaženku klienta vedenú u žiadateľa. Žiadateľ uvedený obchodný model vykladá ako službu kryptoaktív „výmena kryptoaktív za finančné prostriedky“, čo je nesprávny a nedostatočný výklad. Správny rozsah žiadaných služieb kryptoaktív by mal byť „prijímanie a postupovanie príkazov týkajúcich sa kryptoaktív v mene klienta“ a „poskytovanie úschovy a správa kryptoaktív v mene klientov“ nakoľko na nadobudnutie kryptoaktív neboli použité prostriedky žiadateľa, ale klienta a po nadobudnutí klient naďalej drží kryptoaktíva v úschove žiadateľa.

Druhým typickým a často identifikovaným nedostatkom je nevyhovujúce zloženie riadiaceho orgánu. MiCA kladie na členov riadiaceho orgánu prísne nároky v individuálnej rovine na dostatočne dobrú povesť, v individuálnej a zároveň kolektívnej rovine na primerané vedomosti, zručnosti a skúsenosti jednotlivcov a osobitne ako celku. Skúma sa tiež schopnosť venovať dostatočný časový úväzok pozícii, ktorú má zastávať. Riadiaci orgán by mal ako celok disponovať kolektívnymi skúsenosťami v oblastiach relevantných pre zamýšľané služby kryptoaktív, najmä v oblasti finančných trhov, riadenia rizík, dodržiavania regulačných požiadaviek a správy informačných technológií.

V mnohých prípadoch členovia riadiaceho orgánu zastávajú viacero úloh, čo môže viesť k nadmernej kumulácii funkcií a nedostatočnému časovému venovaniu sa riadiacim povinnostiam, čím dochádza k oslabeniu strategického vedenia firmy. Často chýbajú odborné znalosti v kľúčových oblastiach, ako je napríklad riadenie rizík likvidity a trhových rizík, AML, právne znalosti alebo technické zabezpečenie IT. Takéto medzery v odbornej kvalifikácii môžu viesť k vyhodnoteniu nedostatočnej odbornej spôsobilosti.

Na splnenie požiadaviek sa odporúča posúdiť aktuálne zloženie riadiaceho orgánu a v prípade potreby ho rozšíriť o odborníkov s potrebnými skúsenosťami. Vhodné môže byť aj školenie existujúcich členov, ktoré zvýši ich kompetencie v dotknutých oblastiach. Okrem toho je žiaduce zaviesť mechanizmy pravidelného hodnotenia riadiaceho orgánu, aby bola zabezpečená flexibilita a možnosť rýchlo reagovať na prípadné nedostatky. Na interné vyhodnotenie vhodnosti odporúčame využiť nástroj – Príloha 1 K usmerneniam o vhodnosti podľa MiCA. Týmto prístupom je možné efektívne posilniť odborné kvality riadiaceho orgánu, zlepšiť kvalitu rozhodovania pri poskytovaní služieb kryptoaktív.

Príklad:

Príkladom typického nedostatku je zverenie úloh riadiaceho orgánu jednej osobe, ktorá by v praxi mohla byť len ťažko schopná plniť požiadavky individuálnej a kolektívnej vhodnosti a dostatočného časového fondu u riadneho poskytovateľa služieb kryptoaktív, vzhľadom k požiadavkám uvedeným v Usmerneniach o hodnotení vhodnosti členov riadiaceho orgánu vydavateľov ART a poskytovateľov služieb kryptoaktív.

Tretím častým nedostatkom, ktorý sa objavuje pri posudzovaní pripravenosti žiadateľov, je nedostatočné personálne obsadenie. Počet zamestnancov by mal reflektovať požiadavky nariadenia MiCA a zodpovedať povahe, rozsahu a zložitosti jej predmetu činnosti a rozsahu vykonávaných činností a poskytovaných služieb. Žiadateľ musí zabezpečiť, aby bol tím adekvátny vzhľadom na rozsah a náročnosť poskytovaných služieb kryptoaktív, pričom každý zamestnanec by mal mať definovanú funkciu z hľadiska obsahu činnosti a reportovacej línie. V praxi to znamená nielen dostatočný počet pracovníkov, ale aj ich špecializáciu na jednotlivé aspekty regulovanej činnosti, od riadenia rizík až po zabezpečenie súladu s AML a IT bezpečnosťou.

Častým problémom je, že spoločnosti podceňujú potrebu špecializovaných funkcií a očakávajú, že niekoľko pracovníkov pokryje široké spektrum činností. Tento nedostatok môže viesť k zníženiu kvality riadenia a kontroly, keďže zamestnanci sa nedokážu naplno venovať všetkým potrebným aktivitám. Chýba tiež zabezpečenie špecifických funkcií, akými sú pozície na zabezpečenie súladu s AML zákonmi, manažment prevádzkových rizík, alebo zabezpečenie IT a kybernetickej ochrany.

Požiadavky na konkrétnu skladbu personálu implicitne vyplývajú z nariadenia MiCA a súvisiacich predpisov (zákon o AML, nariadenie DORA). Žiadateľ je povinný v žiadosti uviesť osoby zodpovedné za vnútorné funkcie: funkciu riadenia, dohľadu a vnútornej kontroly a uviesť podrobnosti o obsadení pozície zodpovednej osoby podľa zákona o AML, technického pracovníka na zabezpečenie prevádzkovej odolnosti a pracovníka zabezpečujúceho konkrétnu službu kryptoaktív. Rozdelenie pozícií musí garantovať dostatok času na efektívne plnenie úloh, pričom sa zohľadňujú ich ďalšie úväzky. Tieto kritériá zabezpečujú kompetentnosť a dôveryhodnosť vedenia CASP, čo pomáha plnenie regulačných požiadaviek a ochranu integrity sektora kryptoaktív.

Príklad:

Ako príklad nedostatočnej skladby zamestnancov uvádzame situáciu, keď pracovník poskytovateľa zabezpečujúci poskytovanie rôznych služieb pre klientov, vykonáva okrem úkonov súvisiacich s poskytnutím služby kryptoaktív (komunikácia s klientom, transfer prostriedkov a pod.) aj starostlivosti o klienta aj napr. vyhodnotenie a posudzovanie AML rizika, na čo v danom prípade nie je kvalifikovaný.

Štvrtým častým nedostatkom, s ktorým sa stretávame je ťažko preukázateľný alebo nejasný pôvod finančných prostriedkov použitých na pokrytie prudenciálnych požiadaviek. MiCA vyžaduje, aby žiadateľ vedel presne doložiť, odkiaľ pochádzajú zdroje financovania, pričom sa pôvod finančných prostriedkov preveruje až po prvotný zdroj ich nadobudnutia. Súčasťou vysvetlenia pôvodu má byť opis aktivity, ktorou boli prostriedky generované, a podloženie vysvetlenia príslušnými dokladmi ako výpis z účtu, daňové priznanie a iné. Spôsob a rozsah preukazovania vždy závisí od charakteru použitých prostriedkov. Pri kryptoaktívach sa preukazuje spôsob ich nadobudnutia a prostriedkov použitých na nadobudnutie, pri pôžičke pôvod požičaných prostriedkov a podobne.

V praxi sa však často ukazuje, že nie všetci žiadatelia majú úplnú a dôveryhodnú dokumentáciu pôvodu finančných prostriedkov. Mnohé spoločnosti čerpajú prostriedky z rôznych investícií alebo zdrojov, ktoré sa nedajú jednoducho a transparentne preukázať, alebo sa zakladajú na komplexných finančných štruktúrach, čo komplikuje proces overovania.

Na splnenie tejto požiadavky sa odporúča, aby žiadatelia od začiatku licenčného procesu zhromažďovali a predložili kompletnú dokumentáciu o každom zdroji financií až po najhlbšiu úroveň ich pôvodu. Skúmané detaily vychádzajú z článku 8 RTS o podrobnom obsahu informácií potrebných na vykonanie posúdenia navrhovaného nadobudnutia kvalifikovanej účasti u žiadateľa.

Príklad:

Príkladom preukazovania pôvodu prostriedkov na pokrytie prudenciálnych požiadaviek môže byť prípad, ak sa jedná o prostriedky z pôžičky. V takom prípade je potrebné preukázať právny titul nadobudnutia týchto prostriedkov veriteľom ako aj to, že sa jedná o prostriedky pochádzajúce z daného právneho titulu. Pôvod a legálnosť prostriedkov musia byť jasne preukázané.

Piatym častým nedostatkom žiadateľov v procese licenčného konania podľa MiCA je nedostatočné oddelenie finančných prostriedkov poskytovateľa od prostriedkov klientov. Regulácia vyžaduje oddelenie prostredníctvom osobitného bankového účtu. Tento osobitný bankový účet musí byť identifikovateľný, pričom na ňom nikdy nemôžu byť vedené peňažné prostriedky poskytovateľa. Vo vzťahu ku kryptoaktívam klientov sú poskytovatelia služieb kryptoaktív, ktorí poskytujú úschovu a správu kryptoaktív v mene klientov, povinní zabezpečiť ich jednoznačné prevádzkové oddelenie od vlastných kryptoaktív a označenie prostriedkov prístupu k nim. Kryptoaktíva klientov musia byť držané na peňaženkách, na ktorých nie sú a nikdy neboli držané vlastné kryptoaktíva poskytovateľa.

Problematickou je najmä časť oddelenia kryptoaktív, ktorá vyplýva z inherentnej podstaty spôsobu transferu kryptoaktív, pri ktorých je často nehospodárne prevádzať malé čiastky. Problém spôsobujú tiež niektoré druhy obchodných modeloch, kde pri rebalansoch na obchodných účtoch z dôvodu zabezpečenia likvidity dochádza k zmiešaniu prostriedkov.

Je potrebné nastaviť finančné toky tak, aby dôsledne oddeľovali klientske prostriedky a kryptoaktíva od poskytovateľových. To zahŕňa zriadenie osobitných bankových účtov na správu klientskych prostriedkov a implementáciu oddelených peňaženiek na kryptoaktíva klientov. Zároveň je potrebné navrhnúť procesy, ktoré umožnia dodržať požiadavky segregácie aj pri zvýšených transakčných nákladoch, prípadne upraviť existujúci obchodný model. V praxi možno riešenia nájsť u poskytovateľov enterprise peňaženiek.

Príklad:

Najčastejším príkladom nedostatočného oddelenia klientskych prostriedkov a kryptoaktív je obchodný model prevádzkujúci službu prijímanie a postupovanie príkazov týkajúcich sa kryptoaktív v mene klientov. Poskytovateľ pri ňom často drží časť svojich finančných prostriedkov na účte u iného poskytovateľa s dostatočnou likviditou na nákup kryptoaktív pre svojich klientov. V prípadoch keď tieto vlastné prostriedky nie sú dostatočné na vybavenie požiadavky využije aj časť prostriedkov klienta, ktoré zaslal na nákup kryptoaktív a tak dôjde k spojeniu klientskych prostriedkov s prostriedkami poskytovateľa na účte poskytovateľa vedenom u iného poskytovateľa.

Záujemcovia o udelenie povolenia na činnosť poskytovateľa služieb kryptoaktív upriamujú svoju pozornosť predovšetkým na požiadavky kladené nariadením MiCA. Nezanedbateľnú množinu požiadaviek vzťahujúcich sa na poskytovateľov služieb kryptoaktív však kladie aj nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 o digitálnej prevádzkovej odolnosti finančného sektora (ďalej len „nariadenie DORA“).

 Článok 68 ods. 8  nariadenia MiCA kladie poskytovateľom služieb kryptoaktív požiadavku na:

• zavedenie všetkých príslušných mechanizmov, systémov a postupov v zmysle nariadenia DORA,
• ich priebežné monitorovanie (proporcionálne ku škále, povahe a rozsahu poskytovaných služieb kryptoaktív),
• pravidelné hodnotenie ich primeranosti a účinnosti (proporcionálne ku škále, povahe a rozsahu poskytovaných služieb kryptoaktív),
• prijímanie vhodných opatrení na riešenie akýchkoľvek nedostatkov (či už potenciálnych, alebo zistených).

Nariadenie DORA stanovuje komplexnú škálu požiadaviek na príslušné mechanizmy, systémy a postupy dohliadaných subjektov finančného trhu, pričom ich uplatňovanie závisí od veľkosti subjektov (napr. mikropodniky, malé podniky, stredné podniky) a v niektorých prípadoch od konkrétnych druhov dohliadaných subjektov finančného trhu. Najužšia množina požiadaviek sa vzťahuje na tzv. mikropodniky, ktorými sú v zmysle čl. 3 bodu 60 nariadenia DORA tí poskytovatelia služieb kryptoaktív, ktorí zamestnávajú menej ako 10 osôb (t. j. maximálne 9 osôb) a ktorých ročný obrat a/alebo celková ročná súvaha nepresahuje 2 milióny EUR.

Minimálne požiadavky na poskytovateľov služieb kryptoaktív, ktorí sú mikropodnikmi, stanovuje článok 25 ods. 3 nariadenia DORA, v zmysle ktorého tieto subjekty vykonávajú najmä nasledovné testy:

• posúdenie a vyhľadávanie zraniteľnosti IKT systémov (vulnerability assessments and scans),
• analýza používaných open-source riešení (open source analyses),
• posúdenie bezpečnosti sietí (network security assessments),
• analýza zistených nedostatkov (predpoklad pre prijatie vhodných opatrení na riešenie nedostatkov podľa článku 68 ods. 8 nariadenia MiCA) (gap analyses),
• preskúmanie fyzickej bezpečnosti (pri kritických aktívach, ako sú napr. crypto ATMs) (physical security reviews),
• v náležitých prípadoch preskúmanie zdrojových kódov (source code reviews),
• testovanie založené na konkrétnych scenároch (scenario-based tests),
• testovanie výkonnosti (performance testing),
• end-to-end testovanie (end-to-end testing),
• penetračné testovanie (penetration testing).

Vyššie uvedené testy sa vykonávajú tak, že kombinujú prístup založený na riziku so strategickým plánovaním testovania IKT, pričom náležite zohľadňujú potrebu zachovať vyvážený prístup medzi rozsahom zdrojov a časom, ktorý sa má venovať testovaniu IKT stanovenému v článku 25 nariadenia DORA, na jednej strane a naliehavosťou, typom rizika, kritickosťou informačných aktív a poskytovaných služieb, ako aj akýmkoľvek iným relevantným faktorom vrátane schopnosti finančného subjektu podstupovať predvídané riziká na strane druhej. Uvedené predstavuje tzv. princíp proporcionality, ktorý je rovnako obsiahnutý aj v druhej vete článku 68 ods. 8 nariadenia MiCA.

Vykonanie uvedených testov môže byť zabezpečené interne, alebo externe, jednotlivo, alebo súhrnne. Súhrnné plnenie uvedených požiadaviek možno zabezpečiť aj obstaraním externého IKT auditu žiadateľa, spĺňajúceho uvedené požiadavky.

Nakoľko v zmysle článku 63 ods. 10 písm. d) nariadenia MiCA je NBS povinná odmietnuť udeliť povolenie na činnosť poskytovateľa služieb kryptoaktív, ak existujú objektívne a preukázateľné dôvody, že žiadajúci poskytovateľ služieb kryptoaktív nespĺňa alebo pravdepodobne nesplní všetky požiadavky hlavy V nariadenia MiCA, splnenie vyššie uvedených požiadaviek je nevyhnutné preukázať už v konaní o žiadosti o udelenie povolenia na činnosť poskytovateľa služieb kryptoaktív.