Na poziomie Unii Europejskiej kryptoaktywa zostały uregulowane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów oraz zmiany rozporządzeń (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektyw 2013/36/UE i (UE) 2019/1937 - The Markets in Crypto-Assets Regulation zwane w skrócie „Rozporządzenie MiCA”. Regulacja ta ma na celu ochronę konsumentów i inwestorów, zapewnienie stabilności finansowej, wspieranie integralności rynku, ustanowienie jednolitych ram prawnych w całej UE oraz wspieranie innowacji. Rozporządzenie MiCA reguluje działalność dostawców usług w zakresie kryptoaktywów (tzw. CASP’s, ang. crypto-asset service providers).

Zmiana podejścia Unii Europejskiej

Zgodnie z Rozporządzeniem MiCA kryptoaktywa jako cyfrowe aktywa finansowe dzieli się na: tokeny powiązane z aktywami (tokeny ART), tokeny będące e-pieniądzem (tokeny EMT), kryptoaktywa inne niż tokeny powiązane z aktywami lub tokeny będące e-pieniądzem. Token powiązany z aktywami (ART) pozostaje w korelacji z inną wartością lub prawem bądź ich kombinacją, w tym z co najmniej jedną walutą urzędową. Z kolei token będący e-pieniądzem (EMT) ma utrzymywać stabilną wartość za sprawą korelacji z walutą urzędową.

Rozporządzenie MiCA stanowi odzwierciedlenie zmiany podejścia w zakresie klasyfikowania części kryptoaktywów w systemie finansowym i przesunięcia ich z dotychczasowego zdecentralizowanego sektora finansów do systemu finansowego podlegającego nadzorowi instytucji państwowych. Towarzyszy temu zwiększenie harmonizacji podejścia nadzorczego w ramach Unii Europejskiej. W tym zakresie kryptoaktywa podlegające Rozporządzeniu MiCA zbliżają się do idei pieniądza fiducjarnego w tym sensie, że ich wartość może opierać się na zaufaniu inwestorów do instytucji emitującej (lub pośredniczącej) ze względu na podleganie nadzorowi wykonywanemu przez organ państwowy i regulacjom prawnym.

Kolejnym krokiem w kierunku harmonizacji oraz zwiększenia zakresu nadzoru nad częścią kryptoaktywów przez ustawodawcę unijnego jest wejście w życie w 2027 r. większości postanowień Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1624 z dnia 31 maja 2024 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zwanego dalej Rozporządzeniem AML (AMLR). Zgodnie z Rozporządzeniem AML (AMLR) wprowadza się zasady przejrzystości transakcji i ograniczenie ich anonimowości poprzez brak możliwości utrzymywania anonimowych kont lub zarządzania kryptowalutami, które oferują mechanizmy anonimizacji przez instytucje kredytowe, instytucje finansowe oraz dostawców usług z zakresu aktywów kryptograficznych.

Należy zwrócić uwagę na okoliczność, że poza zakresem przedmiotowym regulacji MiCA pozostają usługi związane z kryptoaktywami świadczonymi w sposób zdecentralizowany (DeFI), np. działalność zdecentralizowanych giełd kryptowalut, działalność związana z kryptoaktywami, które są kwalifikowane jako instrumenty finansowe na mocy innych aktów unijnych, a także kryptoaktywa, które są kwalifikowane jako instrumenty finansowe, zgodnie z dyrektywą MIFID2, czy działalność związana z kryptoaktywami, które odzwierciedlają usługi uregulowane w innych aktach prawnych. Do grupy kryptoaktywów regulowanych przez MiCA nie zalicza się też cyfrowych walut emitowanych przez banki centralne Central Bank Digital Currency (CBDC), kryptokatywów o charakterze unikalnym, kryptoaktywów typu NFT (o ile są unikalne), a także sztuki cyfrowej i przedmiotów kolekcjonerskich.

Rozporządzenie MiCA dotyczy określonych w nim klas kryptoaktywów uplasowanych w większości jako część scentralizowanych finansów (ang. centralized finance – CeFi). Ma to o tyle istotne znaczenie, że Rozporządzenia MiCA oraz polska ustawa z dnia 7 listopada 2025 r. o rynku kryptoaktywów (uchwalona przez Sejm w dniu 7 listopada 2025 r. i oczekująca aktualnie na podpis prezydenta) nie reguluje kompleksowo kwestii kryptoaktywów, w tym w szczególności w ograniczonym zakresie dotyczy zdecentralizowanego systemu finansowego (ang. decentralized finance – DeFi). Okoliczność ta powoduje, że wyzwaniem dla organów nadzorujących kryptoaktywa może być zdefiniowanie obszarów pozostających w zakresie kompetencji nadzorczych. Samo pojęcie DeFi nie jest ściśle zdefiniowane ani w rozporządzeniu MiCA ani w polskiej ustawie o kryptoaktywach, co może prowadzić do prawnej niepewności i konieczności indywidualnej analizy każdego przypadku (ad casum).

Nadzór nad kryptoaktywami

Jako jeden z nadrzędnych celów wskazanych w Rozporządzeniu MiCA wskazano zapewnienie zaufania do rynku kryptoaktywów oraz integralność rynku. W celu jego realizacji wprowadzono rozwiązania zapobiegające nadużyciom związanym z kryptoaktywami m.in. poprzez przekazanie czynności nadzorczych organom wskazanym przez państwa członkowskie. Polska ustawa o kryptoaktywach wskazuje Komisję Nadzoru Finansowego jako organ właściwy do podejmowania czynności nadzorczych w zakresie kryptoaktywów. Koncepcja ta pozostaje w spójności z istotą funkcjonowania nadzoru nad rynkiem finansowym w Polsce o charakterze zespolonym w obszarze systemu finansów scentralizowanych, który łączy elementy nadzoru ostrożnościowego (charakterystycznego dla części rynku bankowego i ubezpieczeniowego) oraz również nadzoru następczo-sankcyjnego (funkcjonującego w obszarze części rynku kapitałowego). Polska ustawa o kryptoaktywach przyznaje KNF również szereg uprawnień w postaci środków nadzorczych, możliwości nałożenia sankcji administracyjnych oraz przewiduje w określonych przypadkach odpowiedzialność karną za naruszenia. Zakres tych uprawnień nadzorczych i sankcyjnych organów państw członkowskich został pozostawiony w gestii ustawodawstw krajowych i brak polskiej ustawy w tym zakresie może pozbawić aktualnie rynek finansowy wymaganej ochrony przed nadużyciami w zakresie kryptoaktywów. Może mieć to szczególne znaczenie w kontekście bezpieczeństwa państwa i zapobiegania cyberatakom, gdyż kryptoaktywa mogą być wykorzystywane do działań destabilizujących system finansowy kraju.

Zagrożenie dla stabilności

Aktualnie na podstawie przepisów przejściowych określonych w Rozporządzeniu MiCA dostawcy usług kryptoaktywów (CASP) mogą prowadzić działalność do dnia 1 lipca 2026 r. W sytuacji braku obowiązywania w Polsce ustawy o kryptoaktywach, która stanowi uzupełnienie na poziomie krajowym w zakresie wykonawczym Rozporządzenia MiCA, po tej dacie może pojawić się zagrożenie dla stabilności i bezpieczeństwa systemu finansowego ze względu na okoliczność, że dostawcy usług kryptoaktywów (CASP) wykonujący dotychczasową działalność na podstawie wpisu do rejestru - mogą nie mieć ani krajowej, ani unijnej podstawy prawnej do świadczenia usług w zakresie kryptoaktywów w świetle Rozporządzenia MiCA w Polsce. Inwestorom pozostanie inwestowanie w kryptoaktywa poprzez podmioty, które uzyskały licencję w innych państwach członkowskich oraz dochodzenie ewentualnych roszczeń wobec tych podmiotów w przypadku nadużyć w innych niż polska jurysdykcjach.

Brak polskiej ustawy o kryptoaktywach może być również utrudnieniem dla samych podmiotów prowadzących działalność w tym zakresie poprzez brak możliwości skorzystania z procedury jednolitego paszportu europejskiego. Wynika to z faktu, że musi być wyznaczony na poziomie przepisów krajowych organ, który zajmuje się technicznie przyjęciem i rozpatrzeniem tych notyfikacji. Procedura paszportowania umożliwia podmiotom wykonywanie czynności nadzorowanych w innym niż macierzystym państwie członkowskim na podstawie licencji uzyskanej w macierzystym państwie członkowskim bez konieczności przechodzenia ponownej procedury licencjonowania i polega na formalnym notyfikowaniu licencji w państwie przyjmującym.

Uregulowanie kwestii kryptoaktywów i nadzoru nad kryptoaktywami w ustawie krajowej jest aktualnie niezbędne dla zachowania bezpieczeństwa i stabilności systemu finansowego w Polsce.