Ten artykuł rozpisuje krok po kroku, jakie dokumenty i informacje musisz złożyć do KNF, żeby uzyskać zezwolenie CASP. Bazuje na rozporządzeniach delegowanym (UE) 2025/305 i wykonawczym (UE) 2025/306 — aktach uzupełniających MiCA, które weszły do unijnego porządku prawnego w marcu 2025 r. Pełen kontekst MiCA znajdziesz w głównym przewodniku MiCA — przewodnik dla biznesu, a samo omówienie reżimu licencyjnego CASP — w Licencja CASP w KNF — kogo dotyczy, ile trwa, ile kosztuje.
Co reguluje wniosek o zezwolenie CASP?
Zawartość wniosku o zezwolenie CASP regulują trzy poziomy aktów prawa unijnego — od ramowego po szczegółowy:
- Poziom 1 (rama): art. 62 rozporządzenia 2023/1114 (MiCA) — przepis ogólny, który wymienia 19 grup informacji (lit. a-r), a w ust. 5-6 deleguje Komisji uprawnienie do uszczegółowienia ich w drodze RTS i ITS.
- Poziom 2 (RTS): rozporządzenie delegowane Komisji (UE) 2025/305 z 31 października 2024 r. (Dz.U. UE z 31 marca 2025 r., ELI: reg_del/2025/305/oj) — regulacyjne standardy techniczne określające szczegółową treść każdej grupy informacji.
- Poziom 2 (ITS): rozporządzenie wykonawcze Komisji (UE) 2025/306 z 31 października 2024 r. (Dz.U. UE z 31 marca 2025 r., ELI: reg_impl/2025/306/oj) — wykonawcze standardy techniczne ustanawiające standardowy formularz wniosku, procedurę przedłożenia, potwierdzenie odbioru, powiadamianie o zmianach.
Oba akty wchodzą w życie 20. dnia po publikacji — w praktyce obowiązują od kwietnia 2025 r., razem z głównym Tytułem V MiCA (stosowanym od 30 grudnia 2024 r.). To dziś kanon źródłowy każdego wniosku CASP w Unii Europejskiej.
Z naszego doświadczenia w postępowaniach licencyjnych przed KNF: Komisja Nadzoru Finansowego oczekuje wniosków zorganizowanych w strukturze odpowiadającej kolejnym artykułom RTS (UE) 2025/305. Wzór formularza z załącznika do ITS (UE) 2025/306 jest zaprojektowany tak, żeby ubiegający się o zezwolenie albo wpisał informacje wprost, albo odesłał do odpowiednich sekcji wniosku oznaczonych zgodnie z art. 1-17 RTS.
Skąd wynika lista wymaganych dokumentów?
Lista wymaganych informacji to bezpośredni przekład 17 artykułów merytorycznych RTS (UE) 2025/305 — od art. 1 (informacje ogólne) po art. 17 (usługi transferu). Każdy z tych artykułów odpowiada literze w art. 62 ust. 2 MiCA i precyzuje, co dokładnie należy w niej napisać.
| Art. RTS 2025/305 | Obszar | Lit. art. 62 ust. 2 MiCA |
|---|---|---|
| Art. 1 | Informacje ogólne | a)-c) |
| Art. 2 | Program działania | d) |
| Art. 3 | Wymogi ostrożnościowe | e) |
| Art. 4 | Zasady zarządzania i mechanizmy kontroli wewnętrznej, konflikt interesów | f), i) |
| Art. 5 | Plan ciągłości działania | i) |
| Art. 6 | Wykrywanie i zapobieganie praniu pieniędzy oraz finansowaniu terroryzmu | i) |
| Art. 7 | Tożsamość, dobra opinia, wiedza i doświadczenie członków organu zarządzającego | g) |
| Art. 8 | Akcjonariusze i udziałowcy posiadający znaczne pakiety akcji lub znaczne udziały | h) |
| Art. 9 | Systemy ICT i powiązane rozwiązania w zakresie bezpieczeństwa | j) |
| Art. 10 | Wyodrębnianie kryptoaktywów i środków pieniężnych klientów | k) |
| Art. 11 | Procedury rozpatrywania skarg | l) |
| Art. 12 | Polityka w zakresie przechowywania i administrowania (custody) | m) |
| Art. 13 | Zasady funkcjonowania platformy obrotu i wykrywanie nadużyć na rynku | n) |
| Art. 14 | Wymiana kryptoaktywów na środki pieniężne lub inne kryptoaktywa | o) |
| Art. 15 | Polityka wykonywania zleceń (best execution) | p) |
| Art. 16 | Doradztwo lub zarządzanie portfelami kryptoaktywów | q) |
| Art. 17 | Usługi transferu kryptoaktywów | r) |
Artykuły 12-17 RTS stosuje się tylko wtedy, gdy ubiegający się o zezwolenie zamierza świadczyć daną usługę. Art. 1-11 obowiązują wszystkich.
Informacje ogólne i dane korporacyjne (art. 1 RTS)
To formalna podstawa wniosku — dane identyfikacyjne ubiegającego się o zezwolenie i jego struktury korporacyjnej. Lista zamknięta, sformułowana w art. 1 RTS:
- nazwa prawna, numer telefonu, adres e-mail;
- wszelkie nazwy handlowe (obecne i planowane);
- identyfikator osoby prawnej (LEI);
- imię i nazwisko, stanowisko i kontakt osoby wyznaczonej do kontaktu;
- forma prawna (osoba prawna lub inne przedsiębiorstwo) + krajowy numer identyfikacyjny + dowód rejestracji w krajowym rejestrze handlowym;
- data i państwo członkowskie założenia;
- akty założycielskie, statut lub umowa spółki + regulamin;
- adres siedziby zarządu (i siedziby statutowej, jeśli różny);
- informacje o oddziałach (z LEI);
- nazwy domen wszystkich stron internetowych i konta w mediach społecznościowych;
- jeżeli ubiegający się o zezwolenie nie jest osobą prawną — dokumentacja pozwalająca ocenić, czy poziom ochrony osób trzecich jest równoważny i czy podlega równoważnemu nadzorowi ostrożnościowemu;
- jeżeli zamierza prowadzić platformę obrotu — fizyczny adres, telefon, e-mail platformy oraz nazwy handlowe.
Program działania na 3 lata (art. 2 RTS)
Najobszerniejszy operacyjnie element wniosku. Program działania to strategia + prognoza finansowa + opis kanałów dostępu klientów + outsourcing, ułożone w jeden spójny dokument na okres 3 lat od wydania zezwolenia (art. 2 ust. 1 RTS).
Co konkretnie musi być w programie działania:
- jeżeli ubiegający się o zezwolenie należy do grupy — wyjaśnienie, jak jego działalność wpisuje się w strategię grupy, opis organizacji grupy, lista podmiotów powiązanych;
- wykaz usług w zakresie kryptoaktywów, które ubiegający się o zezwolenie zamierza świadczyć, oraz rodzaje kryptoaktywów;
- inna planowana działalność (regulowana lub nieregulowana);
- informacja, czy ubiegający się o zezwolenie zamierza dokonywać oferty publicznej kryptoaktywów lub ubiegać się o dopuszczenie do obrotu;
- wykaz jurysdykcji w UE i poza UE, w których planuje świadczyć usługi, z informacjami o docelowej liczbie klientów według obszarów geograficznych;
- rodzaje potencjalnych klientów (segmentacja);
- opis środków dostępu klientów do usług — strony internetowe, aplikacje mobilne, języki, dla każdego kanału — które usługi będą dostępne i w których państwach członkowskich;
- planowane działania marketingowe i promocyjne — dla każdej usługi: środki marketingowe, kategorie docelowych klientów, rodzaje kryptoaktywów, języki;
- szczegółowy opis zasobów kadrowych, finansowych i zasobów ICT przeznaczonych na świadczenie usług, w tym lokalizacja geograficzna;
- polityka outsourcingu i opis planowanych rozwiązań outsourcingowych (też wewnątrzgrupowych) ze wskazaniem, jak ubiegający się o zezwolenie będzie przestrzegał art. 73 MiCA;
- wykaz podmiotów świadczących usługi outsourcingowe, ich lokalizacja i odnośne usługi;
- prognostyczny plan rachunkowości obejmujący scenariusze warunków skrajnych (na poziomie indywidualnym i — w stosownych przypadkach — skonsolidowanym);
- wszelkie wymiany kryptoaktywów na środki pieniężne i inna działalność w zakresie kryptoaktywów, którą ubiegający się o zezwolenie zamierza prowadzić, w tym za pośrednictwem aplikacji DeFi, z którymi planuje współpracować na własny rachunek.
Z naszego doświadczenia prognozy finansowe ze scenariuszami warunków skrajnych to obszar, w którym najczęściej trzeba angażować zewnętrznego doradcę finansowego. Same scenariusze powinny obejmować wstrząsy dotyczące wartości kryptoaktywów (zgodnie z motywem 5 RTS), nie tylko klasyczne stres-testy makroekonomiczne.
Art. 2 ust. 2 i 3 RTS dokładają wymóg specyficzny — kopię procedur identyfikowania konfliktów interesów i opisu rozwiązań zgodnych z art. 79 i 80 MiCA — dla podmiotów świadczących usługę plasowania lub przyjmowania i przekazywania zleceń.
Zabezpieczenia ostrożnościowe i fundusze własne (art. 3 RTS)
Kapitał regulacyjny CASP wynika z art. 67 MiCA i załącznika IV — szczegóły w naszym artykule Licencja CASP w KNF. Art. 3 RTS rozpisuje, jakie dokumenty potwierdzą jego utrzymanie:
- opis zabezpieczeń ostrożnościowych (kwota w momencie składania wniosku, podział na fundusze własne i polisę ubezpieczeniową);
- obliczenia prognostyczne i plany ustalania funduszy własnych — projekcja na 3 pierwsze lata obrotowe, ze scenariuszami warunków skrajnych, oczekiwaną liczbą i rodzajem klientów, wolumenem zleceń i transakcji, wolumenem przechowywanych kryptoaktywów;
- sprawozdania finansowe za ostatnie 3 lata (jeśli przedsiębiorstwo już prowadzi działalność), zatwierdzone przez biegłego rewidenta jeśli zostały zbadane;
- opis procedur planowania i monitorowania zabezpieczeń ostrożnościowych;
- dowód spełnienia wymogu kapitałowego:
- dla funduszy własnych — dokumentacja sposobu obliczenia kwoty, dla podmiotów już działających bez zbadanych sprawozdań — poświadczenie krajowego organu nadzoru, dla podmiotów w trakcie rejestracji — oświadczenie instytucji kredytowej o zdeponowaniu funduszy na rachunku;
- dla polisy ubezpieczeniowej lub gwarancji — dane przedsiębiorstwa wystawcy + kopia polisy lub umowy ubezpieczenia z elementami z art. 67 ust. 5 i 6 MiCA.
Zasady zarządzania i kontrola wewnętrzna (art. 4 RTS)
Art. 4 RTS dzieli ten obszar na dwa elementy: zasady zarządzania i kontrolę wewnętrzną (ust. 1) oraz politykę dotyczącą konfliktów interesów (ust. 2).
W zasadach zarządzania i kontroli wewnętrznej:
- szczegółowy opis struktury organizacyjnej z podziałem zadań, hierarchią służbową i schematem organizacyjnym;
- dane osobowe osób kierujących funkcjami wewnętrznymi (kierowniczymi, nadzorczymi, kontroli wewnętrznej) z życiorysami;
- polityki i procedury zapewniające przestrzeganie MiCA, opis rozwiązań szkoleniowych oraz procedury zgłaszania potencjalnych naruszeń (whistleblowing — art. 116 MiCA);
- rozwiązania dokumentowania działalności i organizacji wewnętrznej (art. 68 ust. 9 MiCA);
- mechanizm okresowych przeglądów polityk i procedur, w tym: określenie osób kontroli wewnętrznej, ich niezależność, dostęp do zasobów, możliwość bezpośredniego raportowania do organu zarządzającego, opis systemów ICT wspierających kontrolę;
- w stosownych przypadkach — rozwiązania zapobiegania nadużyciom na rynku (art. 92 MiCA);
- audytorzy zewnętrzni (jeśli wyznaczeni);
- zasady i procedury rachunkowości.
W polityce dotyczącej konfliktów interesów:
- kopia polityki dotyczącej konfliktów interesów + opis, jak zapewnia identyfikację, zapobieganie, zarządzanie i ujawnianie konfliktów (art. 72 ust. 1 i 2 MiCA), współmierność do skali działalności, brak konfliktu w polityce wynagrodzeń;
- systemy monitorowania, oceny i przeglądu skuteczności polityki + ewidencjonowanie przypadków konfliktu.
Plan ciągłości działania (art. 5 RTS)
Art. 5 RTS wymaga szczegółowego opisu planu ciągłości działania zapewniającego ciągłość i regularność świadczenia usług w zakresie kryptoaktywów. Plan musi:
- zawierać dowód odpowiedniości oraz mechanizmy okresowego testowania;
- adresować zewnętrznych dostawców krytycznych lub istotnych funkcji — co się dzieje, gdy ich jakość spada lub przestają świadczyć usługi;
- przewidywać scenariusze takie jak śmierć kluczowej osoby albo ryzyko polityczne w jurysdykcji usługodawcy.
Naszym zdaniem plan ciągłości działania w CASP w praktyce trzeba synchronizować z planem ciągłości działania wymaganym przez rozporządzenie 2022/2554 (DORA). To dwa różne reżimy, ale zachodzące na siebie — tworzenie ich osobno generuje nadmiarową dokumentację i wewnętrzne sprzeczności.
AML/CFT — procedury i ocena ryzyka (art. 6 RTS)
Art. 6 RTS to całościowa rama AML/CFT zgodna z dyrektywą (UE) 2015/849 i rozporządzeniem (UE) 2023/1113 (Travel Rule):
- ocena nieodłącznego i rezydualnego ryzyka prania pieniędzy i finansowania terroryzmu — z uwzględnieniem bazy klientów, świadczonych usług, kanałów dystrybucji, geograficznych obszarów działania;
- środki wprowadzone (lub planowane) w celu spełnienia wymogów AML/CFT — proces oceny ryzyka, procedury należytej staranności wobec klienta (CDD/EDD), wykrywanie i zgłaszanie podejrzanych transakcji;
- adekwatność i proporcjonalność mechanizmów do skali, charakteru, zakresu usług i złożoności modelu biznesowego;
- tożsamość osoby odpowiedzialnej za zgodność AML/CFT (zwykle MLRO) + dowody jej kompetencji;
- ustalenia dotyczące szkoleń personelu (z wskaźnikami rocznymi);
- kopia polityki, procedur i systemów AML/CFT;
- częstotliwość oceny adekwatności i skuteczności mechanizmów.
Reputacja i kompetencje członków organu zarządzającego (art. 7 RTS)
Najtrudniejszy operacyjnie obszar wniosku. Art. 7 RTS wymaga dla każdego członka organu zarządzającego:
| Element | Co konkretnie |
|---|---|
| Dane osobowe | Imię, nazwisko, miejsce i data urodzenia, adresy zamieszkania z ostatnich 10 lat, obywatelstwo(a), krajowy numer identyfikacyjny, kopia dokumentu tożsamości |
| Stanowisko | Wykonawcze/niewykonawcze, data objęcia, czas trwania kadencji, opis najważniejszych obowiązków |
| Życiorys | Wykształcenie, szkolenia, doświadczenie zawodowe za ostatnie 10 lat, ze szczególnym uwzględnieniem usług finansowych, kryptoaktywów, DLT, IT, cyberbezpieczeństwa |
| Reputacja | Wykaz osób referencyjnych, listy referencyjne |
| Przeszłość kryminalna | Zaświadczenie o niekaralności + informacje o toczących się postępowaniach karnych, sprawach cywilnych i administracyjnych (prawo handlowe, finansowe, AML, nadużycia, odpowiedzialność zawodowa) |
| Pozbawienie funkcji | Informacje o odmowie/wycofaniu rejestracji, zezwolenia, członkostwa, licencji + wydaleniu przez organ regulacyjny |
| Konflikty | Interesy finansowe (kryptoaktywa, akcje, pożyczki), powiązania z innymi członkami i akcjonariuszami |
| Czas pracy | Szacowany minimalny czas (rocznie/miesięcznie), wykaz pozostałych funkcji dyrektorskich, wielkość obsługiwanych przedsiębiorstw, dodatkowe obowiązki, czas i liczba posiedzeń |
Urzędowe zaświadczenia muszą być wydane w ciągu 3 miesięcy przed złożeniem wniosku (art. 7 ust. 1 lit. f akapit 2 RTS).
Dodatkowo art. 7 ust. 2 RTS wymaga przedstawienia wyników ocen odpowiedniości każdego członka organu zarządzającego oraz oceny odpowiedniości zbiorowej organu.
Z naszego doświadczenia to obszar, w którym najczęściej spotykamy się z opóźnieniami. Zaświadczenia z odpowiednich rejestrów w różnych jurysdykcjach mogą zająć kilka tygodni; jeżeli w zarządzie zasiadają cudzoziemcy z państw trzecich — zwykle dłużej. Z naszej praktyki wdrożeniowej ten element warto rozpocząć na samym początku procesu przygotowania wniosku, żeby nie blokował terminu złożenia.
Akcjonariusze ze znacznymi pakietami (art. 8 RTS)
Akcjonariuszy lub udziałowców posiadających znaczne pakiety akcji lub znaczne udziały (≥10% kapitału lub praw głosu, art. 3 ust. 1 pkt 36 MiCA) RTS traktuje równie restrykcyjnie jak członków zarządu.
Wniosek musi zawierać:
- szczegółowy schemat organizacyjny struktury udziałowej z podziałem kapitału i praw głosu;
- dla każdego akcjonariusza/udziałowca posiadającego bezpośrednio lub pośrednio znaczny pakiet — informacje i dokumenty z rozporządzenia delegowanego (UE) 2025/414 (RTS dotyczące oceny nabycia znacznych pakietów); to osobny akt prawa unijnego z 18 grudnia 2024 r. opublikowany w Dz.U. UE z 31 marca 2025 r.;
- tożsamość każdego członka organu zarządzającego, który zostanie powołany przez akcjonariusza/udziałowca lub uzyska od niego nominację;
- liczba i rodzaj subskrybowanych akcji, wartość nominalna, premie, zabezpieczenia.
Systemy ICT i bezpieczeństwo — pomost do DORA (art. 9 RTS)
Art. 9 RTS wprost odsyła do rozporządzenia 2022/2554 (DORA) — co oznacza, że dla CASP nie ma osobnych „lekkich" wymogów ICT. Wymagane elementy:
- dokumentacja techniczna systemów ICT, używanej infrastruktury DLT, rozwiązań bezpieczeństwa, zasobów ICT i kadrowych przeznaczonych na zgodność z DORA;
- opis ram zarządzania ryzykiem ICT z procedurami, politykami i systemami zapewnienia bezpieczeństwa, integralności, dostępności, autentyczności i poufności danych — zgodnie z DORA i RODO;
- wskazanie usług ICT wspierających krytyczne lub istotne funkcje (in-house i outsourcowane) wraz z umowami i opisem zgodności z art. 73 MiCA i rozdziałem V DORA;
- opis procedur i systemów bezpieczeństwa i zarządzania incydentami;
- audyt cyberbezpieczeństwa (jeśli przeprowadzony) obejmujący w idealnym przypadku: rozwiązania w zakresie cyberbezpieczeństwa, oceny podatności, przeglądy konfiguracji, testy penetracyjne w trzech wariantach (czarna skrzynka, szara skrzynka, biała skrzynka), w przypadku użycia inteligentnych umów — przegląd kodu źródłowego pod kątem cyberbezpieczeństwa;
- opis ewentualnych innych audytów ICT;
- streszczenie dokumentacji w języku niespecjalistycznym (zrozumiałym dla niesygnalistów).
Co więcej — art. 9 ust. 1 lit. a RTS wymaga, by zasoby kadrowe przeznaczone na przeciwdziałanie ryzyku w cyberprzestrzeni były wprost wymienione we wniosku. To wymóg konkretny — nie wystarczy ogólne stwierdzenie „dział IT". Trzeba opisać ile osób, na jakich stanowiskach, z jakimi kompetencjami.
Wyodrębnianie kryptoaktywów i środków klientów (art. 10 RTS)
Wymóg art. 70 MiCA — chroniący prawa własności klientów — zostaje rozpisany w art. 10 RTS. Wniosek musi zawierać szczegółowy opis procedur dotyczących:
- jak ubiegający się o zezwolenie zapewnia, że środki pieniężne i kryptoaktywa klientów nie są wykorzystywane na jego własny rachunek oraz że portfele klientów różnią się od portfeli własnych;
- system zatwierdzania kluczy kryptograficznych i sprawowania nad nimi pieczy, w tym dla portfeli wielopodpisowych;
- wyodrębnianie kryptoaktywów klientów między sobą (rachunki zbiorcze);
- procedura deponowania środków pieniężnych klientów (innych niż EMT) do końca dnia roboczego następującego po otrzymaniu w banku centralnym lub instytucji kredytowej, na rachunku wyodrębnionym;
- czynniki przy wyborze instytucji kredytowych (dywersyfikacja, częstotliwość przeglądu);
- jak klienci są informowani jasnym, zwięzłym, niespecjalistycznym językiem o systemach i procedurach (zgodnie z art. 70 ust. 1-3 MiCA).
EMI i instytucje płatnicze stosujące art. 70 ust. 5 MiCA przekazują wyłącznie informacje z ust. 1 art. 10 RTS (czyli tylko dot. kryptoaktywów, nie środków pieniężnych).
Procedury reklamacyjne (art. 11 RTS)
Procedury rozpatrywania skarg w wniosku CASP to pełen proces — od zasobów po terminy:
- zasoby kadrowe i techniczne przeznaczone na rozpatrywanie skarg;
- osoba odpowiedzialna z życiorysem i kompetencjami;
- zgodność z RTS przyjętymi na podstawie art. 71 ust. 5 MiCA;
- jak klienci są informowani o bezpłatnym trybie składania skargi, gdzie informacja jest dostępna na stronie internetowej i w aplikacjach;
- zasady prowadzenia dokumentacji skarg;
- terminy zbadania skargi, udzielenia odpowiedzi, podjęcia działań;
- jak klienci są informowani o dostępnych środkach odwoławczych;
- kluczowe kroki proceduralne podejmowania decyzji w przedmiocie skargi.
Wymogi specyficzne dla typu usługi (art. 12-17 RTS)
Art. 12-17 RTS stosuje się tylko do tych ubiegających się o zezwolenie, którzy zamierzają świadczyć daną usługę. To uzupełnienie wniosku zależne od zakresu zezwolenia, którego się żąda.
| Art. RTS | Usługa CASP | Główne wymogi dokumentacyjne |
|---|---|---|
| Art. 12 | Przechowywanie i administrowanie (custody) | Standardowa umowa o przechowywanie + podsumowanie polityki przechowywania + opis ryzyka operacyjnego i ICT, polityki dotyczące zwrotu kryptoaktywów, w przypadku outsourcingu — informacje o osobie trzeciej i jej statusie z art. 59 lub 60 MiCA |
| Art. 13 | Prowadzenie platformy obrotu | Zasady dopuszczania kryptoaktywów do obrotu, proces zatwierdzania (z CDD), wykluczenia, opłaty, zasady wykonywania zleceń, przejrzystość pre/post-trade, struktury opłat (art. 76 ust. 13 MiCA), przechowywanie arkusza zleceń, rozrachunek transakcji (czy w DLT, terminy, ostateczność), polityki wykrywania nadużyć rynkowych |
| Art. 14 | Wymiana kryptoaktywów na środki/inne kryptoaktywa | Polityka handlowa (art. 77 ust. 1 MiCA), metoda określania ceny (z uwzględnieniem wolumenu i zmienności rynku) |
| Art. 15 | Polityka wykonywania zleceń | Best execution (cena, koszty, szybkość, prawdopodobieństwo wykonania), wykaz platform obrotu, warunki egzekucji poza platformą, zgoda klienta, mechanizmy informowania, procedury wyboru systemów obrotu |
| Art. 16 | Doradztwo lub zarządzanie portfelami | Mechanizmy kontrolowania wiedzy osób doradzających i zarządzających, zasoby kadrowe i finansowe na rozwój zawodowy i szkolenia, ocena odpowiedniości (art. 81 ust. 1 MiCA) |
| Art. 17 | Usługi transferu kryptoaktywów | Rodzaje kryptoaktywów objętych transferem, rozwiązania zgodności z art. 82 MiCA, polisa ubezpieczeniowa (jeśli dostępna), informowanie klientów |
Ważne: każda dodatkowa usługa to dodatkowa paczka dokumentów. Z naszego doświadczenia w analizie modeli biznesowych — startupy crypto często chcą złożyć wniosek na wszystkie 10 usług „na zapas". Naszym zdaniem to strategia kontrproduktywna. Lepszy wniosek na wąski zakres usług, który firma faktycznie zamierza świadczyć przez najbliższe 3 lata, niż szeroki wniosek pełen luk w opisie usług, których nikt nie planuje uruchomić.
Procedura złożenia wniosku — formularz ITS 2025/306
ITS (UE) 2025/306 normuje proceduralną stronę wniosku — nie treść, lecz formę i tryb obiegu. Najważniejsze elementy:
| Element | Podstawa | Co to oznacza w praktyce |
|---|---|---|
| Punkt kontaktowy | Art. 1 ITS | KNF wyznacza dedykowany punkt kontaktowy do przyjmowania wniosków CASP i publikuje jego dane na stronie internetowej |
| Formularz | Art. 2 ust. 1 ITS + załącznik | Wniosek składa się na standardowym formularzu z załącznika do ITS (UE) 2025/306 — można w nim wpisać informacje wprost lub odesłać do odpowiednich sekcji wniosku |
| Forma składania | Art. 2 ust. 2 ITS | Sposób umożliwiający przechowywanie i odtworzenie informacji w przyszłości (typowo dokument elektroniczny) |
| Potwierdzenie odbioru | Art. 3 ITS | KNF potwierdza odbiór drogą elektroniczną, papierowo lub w obu formach — z danymi kontaktowymi działu rozpatrującego |
| Powiadomienie o zmianach | Art. 4 ust. 1 ITS | Każda zmiana informacji we wniosku — niezwłocznie, na tym samym formularzu |
| Restart terminu oceny | Art. 4 ust. 2 ITS | Jeżeli aktualizacja zostanie złożona, termin oceny z art. 63 ust. 9 MiCA biegnie na nowo od dnia jej otrzymania |
| Powiadomienie o decyzji | Art. 5 ITS | KNF powiadamia o udzieleniu lub odmowie udzielenia zezwolenia — papierowo, elektronicznie lub w obu formach |
Sam formularz w załączniku do ITS to dokument proceduralny — zawiera nadawcę i odbiorcę (z punktem kontaktowym KNF), oświadczenie o prawdziwości informacji, identyfikację osoby odpowiedzialnej, rodzaj powiadomienia (zezwolenie/zmiana) oraz pola dla każdej z 17 grup informacji z RTS.
Najczęstsze błędy w przygotowaniu wniosku CASP
Z naszego doświadczenia w postępowaniach licencyjnych — KIP, MIP, EMI, a obecnie CASP — najczęstsze błędy w pierwszych wersjach wniosków:
- Brak spójności między dokumentami. Program działania mówi co innego niż polityka outsourcingu, prognozy finansowe rozjeżdżają się ze scenariuszami testów warunków skrajnych. RTS wymaga konkretu, KNF konsekwentnie weryfikuje.
- Niedoszacowanie czasu na zaświadczenia o niekaralności i historię zawodową. Zaświadczenia z różnych jurysdykcji wymagają tygodni. Trzeba je rozpocząć wcześniej — patrz art. 7 ust. 1 lit. f akapit 2 RTS (3 miesiące od daty wydania).
- Pominięcie outsourcerów wewnątrzgrupowych. Art. 2 ust. 1 lit. k RTS wymienia także rozwiązania wewnątrzgrupowe — usługi świadczone przez spółkę-matkę albo spółkę siostrę to też outsourcing.
- Plan ciągłości działania niesynchronizowany z DORA. Plan z art. 5 RTS i polityki ciągłości z DORA muszą się zgadzać — to ten sam plan, opisany pod dwa różne reżimy.
- Brak zasobów kadrowych przy ICT i AML. Ogólnik „dział IT" lub „compliance officer" nie wystarczy — trzeba liczbowe deklaracje (etaty, pełen wymiar czasu, kompetencje konkretnych osób).
- Marketing i finfluencerzy poza programem działania. Art. 2 ust. 1 lit. i RTS wymaga listy planowanych środków marketingowych — wprost wymienia umowy z influencerami, kampanie afiliacyjne, gamifikację. Zostawienie tej sekcji pustej zwykle powoduje pierwsze pytanie KNF.
- Wykluczenia kryptoaktywów na platformie obrotu. Art. 13 ust. 1 lit. c RTS wymaga listy kategorii kryptoaktywów, których ubiegający się o zezwolenie nie dopuszcza do obrotu, z uzasadnieniem. Ten element często jest pominięty.
Jak ułożyć harmonogram przygotowania wniosku
Skompresowana mapa pracy na 9-12 miesięcy od decyzji do złożenia kompletnego wniosku:
| Tydzień | Co |
|---|---|
| 1-4 | Klasyfikacja modelu biznesowego, wybór usług CASP do wniosku, identyfikacja podstawy korzystania z trybu z art. 60 MiCA (jeśli dotyczy) |
| 5-8 | Inwentaryzacja istniejących polityk i procedur, gap analysis względem 17 obszarów RTS |
| 9-16 | Przygotowanie programu działania, prognoz finansowych ze scenariuszami warunków skrajnych |
| 9-20 | Polityki AML/CFT, KYC, konfliktu interesów, outsourcingu, reklamacyjne |
| 9-24 | Wdrożenie infrastruktury ICT i pierwsze testy odpornościowe (DORA), dokumentacja |
| 12-20 | Zbieranie zaświadczeń członków zarządu i akcjonariuszy ze znacznymi pakietami |
| 20-32 | Konsolidacja wniosku, wewnętrzne przeglądy, audyt zgodności |
| 32-40 | Złożenie + komunikacja z KNF, przygotowanie do uzupełnień |
Z naszego doświadczenia, etap konsolidacji wniosku zwykle generuje kolejne luki — i właśnie wtedy ujawniają się największe niespójności, które trzeba naprawiać przed złożeniem.
Powiązane artykuły
Powiązane: MiCA — przewodnik po rozporządzeniu 2023/1114 dla biznesu, Licencja CASP w KNF — kogo dotyczy, ile trwa, ile kosztuje, Stablecoiny pod MiCA — emisja tokenów EMT i ART, MiCA × banki, KIP, MIP, EMI — punkty styku z PSD2/PSD3.
