România pregătește cadrul legislativ pentru criptoactive. Ce prevede proiectul de OUG și ce înseamnă asta pentru tine.

Guvernul a pus în discuție, în primă lectură, proiectul de OUG care implementează MiCA la nivel național.

un articol de Celestino Dinca, avocat, Senior Associate la Zamfirescu Racoti Vasile & Partners

Dacă operezi un business crypto în România (sau te gândești să o faci) săptămâna aceasta a apărut ceva important pe radar. Guvernul a pus în discuție, în primă lectură, proiectul de Ordonanță de Urgență care implementează Regulamentul MiCA la nivel național.

Nu e lege adoptată încă. Trebuie să parcurgă procedura de avizare, aprobare guvernamentală și publicare în Monitorul Oficial. Dar e suficient de avansat și suficient de detaliat pentru a-ți da o imagine clară despre ce urmează.

Contextul e important. România era deja în procedură de infringement deschisă de Comisia Europeană pentru că nu implementase la timp modificările impuse de MiCA. Termenul inițial era 30 decembrie 2024. Comisia a acceptat o prelungire, dar presiunea există. De aceea se merge pe calea OUG, nu pe calea legislativă obișnuită.

Hai să vedem ce conține proiectul și, mai important, ce înseamnă asta concret.

Cine reglementează ce: ASF vs BNR

Primul lucru pe care îl stabilește proiectul e împărțirea competențelor. MiCA nu lasă statelor membre să aleagă cum vor, ci fiecare stat trebuie să desemneze autorități naționale competente și să le notifice la EBA și ESMA. România a ales o structură duală.

ASF (Autoritatea de Supraveghere Financiară) devine autoritatea competentă pentru:

• Emiterea de ART (tokenuri raportate la active) sau „stablecoins” legate de mai multe active
• Emiterea de alte criptoactive care nu sunt nici ART, nici EMT
• Furnizorii de servicii de criptoactive (CASP)

BNR (Banca Națională a României) preia competența pentru:

• Emiterea de EMT – tokenuri de monedă electronică (stablecoins legate de o singură monedă oficială, cum ar fi un euro-token)
• Instituțiile de credit și instituțiile emitente de monedă electronică autorizate de BNR care vor să emită EMT

Logica separării ar consta în faptul că EMT-urile sunt, prin natura lor, strâns legate de sistemul bancar și de plăți. E firesc ca BNR, ca autoritate prudențială a băncilor și a instituțiilor de monedă electronică, să fie responsabilă pentru supravegherea acestui segment. Restul (exchange-uri, brokeri, custodians, advisors, operatori de platforme) intră sub ASF.

Există și o situație intermediară, reglementată explicit, și anume că dacă o instituție de credit sau o instituție de plată autorizată de BNR vrea să înceapă să emită ART sau să furnizeze servicii de criptoactive, nu poate face asta unilateral. Trebuie să ceară aprobare prealabilă de la BNR pentru modificarea obiectului de activitate, iar BNR consultă ASF înainte să decidă. Cele două autorități încheie un protocol de cooperare prin care stabilesc exact cum funcționează această coordonare.

Din punct de vedere operațional, ASF e desemnată punct unic de contact pentru cooperarea cu ESMA, iar BNR e punct unic de contact pentru cooperarea cu EBA. Asta înseamnă că dacă ai o problemă transfrontalieră care implică un CASP, interlocutorul european e ESMA prin ASF. Dacă problema implică un emitent de EMT, e EBA prin BNR.

Ce trebuie să faci ca să te autorizezi ca CASP

Proiectul stabilește că, pentru activitățile de furnizare de servicii de criptoactive (ce MiCA numește servicii CASP) autorizarea de la ASF este obligatorie. Nu există scurtătură. Singura excepție sunt entitățile care pot desfășura activitatea pe baza unei simple notificări conform MiCA, dar acestea sunt cazuri specifice, nu regula generală.

Condițiile de autorizare sunt trei, și trebuie îndeplinite atât la momentul depunerii dosarului, cât și pe toată durata deținerii autorizației:

1. Fără obligații fiscale restante la ANAF. Entitatea nu trebuie să aibă datorii fiscale administrate de ANAF, potrivit Codului de procedură fiscală, și nicio altă creanță bugetară individualizată în titluri executorii existente în evidența organului fiscal central. Această condiție se verifică permanent, nu doar la momentul autorizării. ASF solicită ANAF stabilirea clasei/subclasei de risc fiscal pentru entitatea care depune dosarul, iar ANAF transmite ASF orice modificare ulterioară.

2. Fără condamnări penale definitive fără reabilitare. Entitatea nu trebuie să fi fost condamnată definitiv printr-o hotărâre judecătorească pentru care nu a intervenit reabilitarea. Practic, un cazier curat.

3. Fără informații în cazierul fiscal pentru toată structura. Asta e condiția pe care mulți o subestimează. Nu e suficient ca firma să fie curată, ci condiția se extinde la acționarii și asociații care dețin participații calificate, la administratori și la reprezentanții legali ai entității.

Pe lângă aceste trei condiții de bază, proiectul trimite la toate cerințele din MiCA: capitalul minim, cerințele organizatorice, managementul riscurilor, segregarea activelor clienților, politicile de securitate informatică etc. Autorizarea CASP nu e un formular simplu, e un dosar complet.

Regulile pentru CryptoATM-uri: mai stricte decât te aștepți

Proiectul acordă un capitol distinct operatorilor de CryptoATM-uri, și cerințele sunt mai detaliate decât ar putea părea la prima vedere.

Pentru a depune dosarul de autorizare, operatorii de CryptoATM-uri trebuie să obțină în prealabil două avize tehnice: avizul tehnic al modelului de CryptoATM emis de ICI (Institutul Național de Cercetare-Dezvoltare în Informatică București), și avizul tehnic al sistemului informatic emis de ADR (Autoritatea pentru Digitalizarea României). Fără aceste avize, nu poți depune dosarul la ASF.

Alte cerințe:

• sistemele trebuie să prevină utilizarea frauduloasă, ceea ce în practică înseamnă identificarea utilizatorilor pentru fiecare tranzacție, în conformitate cu legislația AML
• criptarea datelor, măsuri anti-fraudă, și plasare doar în locații care respectă cerințele minime din Normele metodologice de aplicare a Legii 333/2003 privind paza obiectivelor
• acces facil la informații despre comisioane, termeni și condiții, și riscurile asociate utilizării criptoactivelor

Dar elementul cu cel mai mare impact operațional este accesul autorităților. Operatorii de CryptoATM-uri sunt obligați să implementeze mijloace tehnice care să permită ASF acces neîntrerupt, securizat, de la distanță, la serverul în oglindă și la serverul de siguranță (inclusiv la baza de date de pe serverul central care conține informații despre utilizatori, tranzacții și comisioane). În timp real.

Nu e o formulare vagă. Înseamnă că infrastructura ta IT trebuie construită astfel încât ASF să poată accesa datele oricând, fără să te anunțe în prealabil.

Dacă ești în acest business sau te gândești să intri, planificarea infrastructurii IT trebuie să înceapă de la aceste cerințe, nu să le adaugi ulterior.

Regimul sancționator: amenzi mari și nu doar amenzi

MiCA obligă statele membre să instituie sancțiuni eficace, proporționale și descurajante. Proiectul de OUG implementează această cerință cu un regim sancționator pe două paliere – contravențional și penal – cu distincție clară între ce aplică ASF și ce aplică BNR.

Sancțiunile contravenționale pentru persoane juridice (aplicate de ASF) ajung la amenzi între 10.000 lei și 25.000.000 lei sau până la 3%, 5%, 12,5% sau chiar 15% din cifra de afaceri anuală, în funcție de gravitatea încălcării legii.

Cifra de afaceri relevantă e cea din activitățile reglementate desfășurate pe teritoriul României. Dacă operezi și în alte state membre, nu intră în calcul.

Pentru persoane fizice, amenzile ajung până la 3.500.000 lei.

Dar amenzile nu sunt singura armă. ASF poate aplica și sancțiuni complementare:

• Retragerea sau suspendarea autorizației CASP
• Interzicerea dreptului de a ocupa funcții de conducere pentru o perioadă cuprinsă între 1 și 5 ani
• Interdicție de cel puțin 10 ani pentru încălcări repetate ale unor articole specifice din MiCA
• Recuperarea profiturilor obținute din încălcare
• Anunțuri publice care indică identitatea persoanei și natura încălcării

Proiectul prevede și că ASF poate emite atenționări publice, poate solicita încetarea unui comportament, și poate cere blocarea site-urilor cu conținut ilegal dacă acțiunea directă nu e suficientă, cu implicarea ICI și a furnizorilor de servicii de comunicații electronice.

Pe palierul penal, proiectul califică drept infracțiuni:

• Utilizarea abuzivă a informațiilor privilegiate (insider trading pe crypto)
• Divulgarea neautorizată a informațiilor privilegiate
• Manipularea pieței
• Desfășurarea activităților supuse autorizării fără a deține autorizație

Contestarea actelor ASF și BNR

Un aspect practic pe care oricine din industrie ar trebui să îl știe este faptul că proiectul stabilește că actele administrative ale ASF pot fi contestate la Curtea de Apel București, Secția contencios administrativ și fiscal, în termen de 30 de zile de la comunicare (aici este o discuție, dar voi antama subiectul într-un articol viitor).

Până la pronunțarea unei hotărâri definitive, executarea actelor ASF nu se suspendă.

Pentru actele BNR, contestarea merge la Consiliul de administrație al BNR, în 15 zile de la comunicare, cu posibilitate de atac ulterior la Înalta Curte de Casație și Justiție.

Regimul tranzitoriu și fereastra de 30 de zile

Dacă la data intrării în vigoare a OUG furnizezi deja servicii de criptoactive în România, poți continua activitatea, dar numai dacă depui cererea de autorizare în termen de 30 de zile de la publicarea în Monitorul Oficial. Documentația necesară pentru soluționarea cererii se depune ulterior, conform normelor metodologice.

Regimul tranzitoriu expiră la 30 iunie 2026. După această dată, toți operatorii trebuie să fie autorizați sau să fi ieșit de pe piață.

Dacă nu depui cererea în termenul de 30 de zile, continuarea activității nu mai e o contravenție, ci infracțiune, pedepsită conform proiectului.

Ce nu se știe încă

Proiectul lasă o parte importantă din detalii pentru legislația secundară. ASF are la dispoziție 30 de zile de la intrarea în vigoare a OUG să emită reglementările secundare cu cerințele detaliate pentru autorizare. ICI și ADR au 45 de zile să stabilească procedurile pentru avizele tehnice ale CryptoATM-urilor și funcționarea registrului național.

Asta înseamnă că imaginea completă (exact ce documente depui, exact ce standarde tehnice trebuie să îndeplinești) va fi clară abia după publicarea normelor secundare. Dar structura de bază e suficient de clară pentru a începe pregătirile acum.

Ce faci cu informația asta

Dacă ești deja activ pe piața din România, ai două lucruri urgente de făcut.

Să verifici situația fiscală completă a entității și a structurii de ownership, și să urmărești data publicării OUG în Monitorul Oficial. De acolo curge termenul de 30 de zile.

Dacă ești în planificare, proiectul îți dă suficiente informații pentru a dimensiona corect efortul de compliance, în special în ceea ce privește cerințele IT pentru accesul autorităților și avizele tehnice obligatorii.

_______________

Articol bazat pe proiectul de Ordonanță de Urgență privind implementarea Regulamentului (UE) 2023/1114 (MiCA), aflat în procedura de aprobare la momentul publicării. Conținutul reflectă proiectul, nu legea finală adoptată.