Już od 30 grudnia 2024 r. w polskim porządku prawnym będzie stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z 31 maja 2023 r. w sprawie rynków kryptoaktywów (MiCA).

O dokumencie tym, wprowadzającym w Europie sharmonizowane ramy prawne dla wydawania i oferowania określonych kryptoaktywów (dawniej zwanych potocznie walutami wirtualnymi lub kryptowalutami) oraz świadczenia usług związanych z nimi, napisano już wiele. Podobnie jak zresztą o projekcie ustawy regulującej jego stosowanie w Polsce. W niniejszym tekście poświęcę uwagę rzadziej poruszanej kwestii ochrony środków konsumentów.

Ochrona konsumentów

MiCA (Markets in Crypto-Assets Regulation) wprowadzi do porządku prawnego nową kategorię instytucji finansowej – dostawcę usług w zakresie kryptoaktywów (CASP, Crypto-Assets Service Providers), który będzie uprawniony do świadczenia wielu usług. Będą to m.in. przechowywanie kryptoaktywów, administrowanie nimi oraz realizacja ich transferu, a więc usługi podobne do dobrze nam znanych usług przechowywania i transferu środków pieniężnych realizowanych przez banki i inne instytucje (PSP, Payment Service Providers). Czy poziom ochrony klienta (i jego środków) będzie również podobny?

Zacznijmy od podobieństw – uzyskanie licencji na prowadzenie działalności jako CASP będzie wymagać zapewnienia wielu obowiązków gwarantujących stabilność funkcjonowania instytucji oraz poszanowanie interesów klientów. Składać się na to będzie m.in. wymóg posiadania określonego kapitału, odpowiednie doświadczenie i reputacja kadry zarządzającej oraz wprowadzenie odpowiednich procedur. Ponadto projektowane przepisy zakładają stosowanie do reklamacji klientów składanych wobec CASP dobrze znanych regulacji ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej. Komisja Nadzoru Finansowego będzie zezwalać CASP na prowadzenie działalności i następnie je nadzorować, a Rzecznik Finansowy będzie właściwy do wspierania ich klientów w przypadku sporów. Instytucje te mają analogiczne kompetencje w przypadku PSP.

Najważniejsze różnice są związane z zasadami autoryzacji transferów środków i odpowiedzialności za transakcje nieautoryzowane zawartymi w ustawie o usługach płatniczych (implementującej dyrektywę PSD2, tworzącą ramy prawne dla europejskich usług płatniczych). Wymaga ona od PSP stosowania silnego, dwuskładnikowego uwierzytelnienia transakcji płatniczych (stąd obowiązek wpisywania kodów jednorazowych dla autoryzacji przelewów lub akceptowania ich z poziomu aplikacji). Choć może się to wydawać klientom uciążliwe, ograniczyło to skalę włamań na konta bankowe chronione wcześniej wyłącznie hasłem.

Co równie istotne, w przypadku stwierdzenia przez klienta, że doszło do nieautoryzowanej transakcji płatniczej prowadzącej do uszczuplenia jego środków, na PSP spoczywa obowiązek rekompensaty utraconej kwoty w terminie jednego dnia roboczego. Wyjątkiem jest sytuacja, gdy PSP ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym odpowiednie organy. W przypadku jeżeli PSP nie dokona rekompensaty i będzie ona dochodzona przez klienta (na drodze reklamacyjnej, a potem sądowej), na PSP spoczywa obowiązek udowodnienia, że transakcja została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą.

Co z kryptoaktywami?

Powyższe obowiązki nie będą dotyczyć CASP. MiCA zobowiąże je wprawdzie do posiadania polityki przechowywania kryptoaktywów minimalizującej ryzyko ich utraty lub praw z nimi związanych z powodu oszustw, zagrożeń dla cyberbezpieczeństwa lub zaniedbań i wprowadzi odpowiedzialność CASP za utratę kryptoaktywów lub środków dostępu do nich w wyniku incydentu, który można im przypisać. Kwestia autoryzacji transakcji nie została jednak uregulowana w tym akcie.

Prawny poziom ochrony kryptoaktywów przechowywanych przez CASP będzie więc znacząco niższy od ochrony środków pieniężnych (choć warto docenić część podmiotów, które samodzielnie wprowadziły już np. silne uwierzytelnienie). Cyberprzestępcy nie śpią i rachunki kryptoaktywów – do korzystania z których może Polaków zachęcić regulacja sektora w ramach MiCA – będą stanowić dla nich interesujący cel. CASP powinny więc już teraz zastanowić się, jak chronić klientów, korzystając z najlepszych praktyk znanych z sektora płatniczego.

Partner

ikona lupy />
rzecznik finansowy logo / fot. materiały prasowe