Právní rizika a compliance v blockchain technologiích:

Svět blockchainu, kryptoaktiv a decentralizovaných financí (DeFi) již není pomyslným „Divokým západem“. S příchodem komplexní evropské regulace kryptoaktiv, známé jako nařízení MiCA, a dalších nových pravidel čelí podnikatelé a firmy zásadnímu zlomu. Tento článek vám poskytne jasný návod, jak se v tomto novém regulačním prostředí zorientovat, řídit klíčová právní rizika a přeměnit compliance z břemene na strategickou výhodu. 

Autor článku: ARROWS advokátní kancelář (Mgr. Petr Hanzel, LL.M., office@arws.cz, +420 245 007 740)

Nová pravidla hry: Co nařízení MiCA znamená pro vaši firmu?

Nařízení o trzích s kryptoaktivy (Markets in Crypto-Assets Regulation, MiCA) představuje první ucelený a harmonizovaný právní rámec pro kryptoaktiva v celé Evropské unii. Jeho hlavním cílem je ukončit éru právní nejistoty, zvýšit ochranu investorů a zajistit finanční stabilitu, aniž by došlo k potlačení inovací. Dosud relativně volné prostředí tak získává pevná pravidla, podobná těm v tradičním finančním sektoru.

Tato změna není jen administrativní zátěží, je to strategický krok EU k legitimizaci krypto průmyslu. Jasná a předvídatelná pravidla mají za cíl přilákat institucionální kapitál – banky, investiční fondy a velké korporace, které dosud váhaly vstoupit na trh plný rizik a nejistoty. Firmy, které se novým pravidlům přizpůsobí včas, získají klíčovou konkurenční výhodu a stanou se preferovanými partnery pro tuto novou vlnu investorů.

Nařízení MiCA vstupuje v platnost postupně. Pravidla pro stablecoiny (tokeny vázané na aktiva a tokeny elektronických peněz) platí již od 30. června 2024. Všechna ostatní ustanovení, zejména ta, která se týkají poskytovatelů služeb, budou účinná od 30. prosince 2024. V České republice bude hlavním dohledovým orgánem Česká národní banka (ČNB).

Koho se MiCA týká?

Regulace definuje dva hlavní typy subjektů:

• Vydavatelé kryptoaktiv (Issuers): Jedná se o právnické osoby, které veřejně nabízejí jakýkoli typ kryptoaktiv nebo usilují o jejich přijetí k obchodování. MiCA rozlišuje několik kategorií tokenů, z nichž každá má specifické požadavky:

• Tokeny vázané na aktiva (ARTs): Jejich hodnota je stabilizována odkazem na koš jiných aktiv (např. více měn, komodity).
• Tokeny elektronických peněz (EMTs): Stablecoiny, jejichž hodnota je navázána na jedinou fiat měnu (např. euro nebo dolar).
• Ostatní kryptoaktiva: Zahrnují širokou škálu tokenů, včetně tzv. užitkových (utility) tokenů, které poskytují přístup ke zboží nebo službě.

• Poskytovatelé služeb souvisejících s kryptoaktivy (CASPs): Firmy, které profesionálně poskytují jednu či více z následujících služeb: provoz směnáren a obchodních platforem, úschova a správa kryptoaktiv, správa portfolia, poskytování poradenství a další.

Na co se MiCA nevztahuje?

Je důležité vědět, že MiCA nepokrývá vše. Z její působnosti jsou vyjmuty například kryptoaktiva, která jsou klasifikována jako finanční nástroje podle stávající legislativy (např. směrnice MiFID II), nebo unikátní a nezaměnitelné tokeny (NFT). Regulátoři však budou uplatňovat přístup „podstata nad formou“, což znamená, že budou posuzovat skutečnou ekonomickou funkci tokenu, nikoli jen jeho název.

Právníci ARROWS se na finanční právo a fintech specializují, a proto vám pomohou přesně určit, zda a jak se nařízení MiCA vztahuje na váš obchodní model.

Jste poskytovatel krypto služeb (CASP)? Klíčové povinnosti, které nesmíte podcenit

Pokud vaše společnost spadá do kategorie CASP nebo se chystáte vydávat tokeny, nařízení MiCA vám ukládá řadu nových povinností. Jejich nesplnění může vést k vysokým pokutám, ztrátě oprávnění k činnosti a vážnému poškození reputace.

Klíčové povinnosti pod drobnohledem:

• Licenční řízení: Všechny subjekty CASP musí získat povolení od příslušného národního orgánu (v ČR od ČNB). Žadatelem musí být právnická osoba se sídlem v EU a alespoň část jejího vedení musí efektivně působit z EU. Získání licence je podmínkou pro legální provoz a zároveň umožňuje tzv. „passporting“ – tedy poskytování služeb napříč celou EU na základě jedné licence.
• Kapitálové požadavky: Regulace stanovuje minimální kapitálové požadavky, které mají zajistit finanční stabilitu poskytovatelů. Jejich výše se liší podle typu poskytovaných služeb a druhu vydávaných tokenů. Například emitenti tokenů vázaných na aktiva (ART) musí disponovat vlastními zdroji ve výši nejméně 350 000 EUR nebo procentuálním podílem z rezervních aktiv.
• Boj proti praní špinavých peněz (AML/CFT): CASPs musí zavést a důsledně uplatňovat robustní interní postupy pro prevenci legalizace výnosů z trestné činnosti a financování terorismu. To zahrnuje důkladnou identifikaci a kontrolu klientů (KYC), monitorování transakcí a hlášení podezřelých obchodů Finančnímu analytickému úřadu (FAÚ).
• Ochrana spotřebitele a provozní pravidla: MiCA klade velký důraz na ochranu klientů. Poskytovatelé musí uchovávat klientská aktiva odděleně od svých vlastních, efektivně řídit střety zájmů, zavést transparentní postupy pro vyřizování stížností a mít připravený plán pro řádné ukončení činnosti.
• Kybernetická bezpečnost (DORA): Souběžně s MiCA musí kryptofirmy splňovat i požadavky nařízení o digitální provozní odolnosti (DORA). To vyžaduje zavedení pokročilých systémů řízení IT rizik, testování odolnosti a hlášení závažných kybernetických incidentů.
• Bílá kniha (White Paper): Pro emitenty tokenů je klíčovým dokumentem tzv. bílá kniha. Musí obsahovat detailní, srozumitelné a nezavádějící informace o projektu, emitentovi, nabízených tokenech, technologii a souvisejících rizicích. Tento dokument musí být před zveřejněním oznámen regulátorovi a emitent nese plnou odpovědnost za správnost v něm uvedených informací.

ARROWS poskytuje komplexní právní služby pro získání licence CASP, včetně přípravy veškeré dokumentace, jako jsou interní směrnice pro AML/CFT, a zastupování v licenčním řízení před ČNB. Díky deset let budované síti ARROWS International navíc zajišťujeme soulad s regulací napříč EU a řešíme mezinárodní případy na denní bázi.

Nevíte si s daným tématem rady?

Rizika pro poskytovatele krypto služeb (CASP) a emitenty tokenů

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Provozování činnosti bez licence CASP po 30. 12. 2024: Zákaz činnosti, vysoké finanční pokuty od ČNB, reputační poškození.	Zajištění licenčního řízení: Kompletní příprava a podání žádosti o licenci u ČNB, včetně zastupování v celém procesu.
Nedostatečné AML/CFT postupy: Pokuty od FAÚ, ztráta licence, trestní odpovědnost vedení.	Vyhotovení interních směrnic: Příprava robustního systému vnitřních zásad, hodnocení rizik a postupů pro identifikaci a kontrolu klienta (KYC).
Chyby nebo zavádějící informace v bílé knize (white paper): Povinnost nahradit škodu investorům, pozastavení nabídky, pokuty.	Právní revize a příprava dokumentace: Zajištění, že vaše bílá kniha a marketingové materiály splňují všechny požadavky MiCA a chrání vás před odpovědností.
Nedostatečná kybernetická bezpečnost (nesoulad s DORA): Ztráta klientských aktiv, odpovědnost za škodu, pokuty, poškození důvěry.	Právní konzultace a příprava dokumentace: Pomoc s nastavením procesů a směrnic pro soulad s nařízením DORA, včetně odborných školení pro zaměstnance.
Nesprávné nakládání s klientskými aktivy: Ztráta licence, povinnost náhrady škody, trestní stíhání.	Příprava smluv a interních procesů: Návrh a revize smluvních podmínek a interních pravidel pro bezpečnou úschovu a segregaci klientských prostředků.
Nejasně definované postupy pro řešení stížností a ukončení činnosti: Regulatorní zásah, pokuty, nespokojenost klientů.	Příprava podkladů stanovených zákonem: Vypracování efektivního systému pro vyřizování stížností a plánu pro řádné ukončení činnosti dle požadavků MiCA.
Střet zájmů mezi různými službami: Pokuty, poškození reputace, ztráta důvěry klientů.	Vyhotovení interních směrnic a právní stanoviska: Analýza obchodního modelu a vytvoření pravidel pro identifikaci, řízení a zveřejňování střetů zájmů.

Mimo dosah MiCA? Pozor na specifická česká pravidla a povolení od FAÚ

Předpokládat, že MiCA je jediná regulace, které je třeba věnovat pozornost, by byla zásadní chyba. Česká republika zavedla doplňkový, národní režim pro ty poskytovatele služeb spojených s virtuálními aktivy, kteří nespadají přímo pod MiCA. To se týká například některých provozovatelů NFT tržišť nebo služeb spojených s virtuálními aktivy, která nejsou explicitně definována v MiCA.

Tento dvoukolejný systém vytváří potenciální past pro podnikatele, kteří se domnívají, že pokud jejich činnost nepodléhá MiCA, nepodléhají regulaci žádné. Opak je pravdou. Novela českého zákona proti praní špinavých peněz (AML zákon) zavádí pro tyto subjekty povinnost získat zvláštní povolení od Finančního analytického úřadu (FAÚ).

Na koho se můžete obrátit?

Jaké jsou podmínky pro získání povolení od FAÚ?

Žádost o povolení, která bude vyžadována od 30. prosince 2024, je podmíněna splněním několika klíčových kritérií:

• Spolehlivost a bezdlužnost: Žadatel a členové jeho statutárního orgánu musí prokázat čistý trestní rejstřík v oblasti majetkové a hospodářské kriminality a bezdlužnost vůči státním institucím.
• Systém vnitřních zásad: Je nutné mít vypracovaný a funkční systém AML/CFT postupů, podobně jako u povinných osob podle MiCA.
• Složení jistoty: Žadatel je povinen složit na účet FAÚ jistotu ve výši 250 000 Kč, a to nejpozději v den podání žádosti.

Pro stávající podnikatele, kteří již poskytují tyto služby na základě živnostenského oprávnění, platí přechodné období. Žádost o povolení u FAÚ musí podat nejpozději do 31. července 2025, aby mohli ve své činnosti legálně pokračovat.

Tato národní specifika zdůrazňují, proč je nezbytné mít po boku lokálního právního partnera. Tým ARROWS má bohaté zkušenosti s jednáním s Finančním analytickým úřadem a pro klienty zajišťuje kompletní proces získání povolení, od přípravy žádosti a všech příloh až po úspěšné zakončení řízení.

Decentralizované finance (DeFi): Inovace na hraně zákona a odpovědnosti

Decentralizované finance (DeFi) představují jednu z nejvíce inovativních, ale zároveň právně nejkomplexnějších oblastí blockchainu. Jedná se o ekosystém finančních aplikací postavených na blockchainu, které fungují bez tradičních zprostředkovatelů, jako jsou banky nebo burzy. Jejich základem jsou tzv. „chytré kontrakty“ (smart contracts) – samo-vykonatelné programy, které automatizují transakce a vynucují pravidla protokolu.

Ačkoli DeFi nabízí bezprecedentní transparentnost a dostupnost, pohybuje se v právní šedé zóně. Většina DeFi protokolů totiž nespadá do přímé působnosti nařízení MiCA, které se zaměřuje na centralizované poskytovatele. To však neznamená, že jsou bez rizika.

Smart Contracts: Dvousečná zbraň

Termín „chytrý kontrakt“ může být zavádějící. Nejedná se o právní smlouvy v tradičním slova smyslu a nejsou „chytré“ ve smyslu schopnosti adaptace. Jejich klíčovou vlastností je neměnnost – jakmile je kód nasazen na blockchain, nelze ho jednoduše změnit. Pokud kód obsahuje chybu nebo bezpečnostní zranitelnost, může to vést k nenávratné ztrátě prostředků v obrovském rozsahu.

Kdo nese odpovědnost, když se něco pokazí?

To je ústřední právní otázka v DeFi. Pokud dojde k hackerskému útoku, selhání externího zdroje dat (tzv. orákula) nebo jiné chybě, kdo je odpovědný za ztráty uživatelů? V plně decentralizovaném systému zdánlivě nikdo. 

Praxe však ukazuje tzv. „iluzi decentralizace“. Mnoho DeFi projektů má ve skutečnosti centralizované body řízení – ať už jde o původní vývojáře, kteří drží administrátorské klíče, nebo o držitele tzv. governance tokenů, kteří hlasují o změnách v protokolu. Právě tyto subjekty by mohly být v budoucnu pohnány k odpovědnosti.

Mezi hlavní rizika v DeFi patří:

• Technická rizika: Chyby v kódu, útoky na orákula, hackerské útoky na protokoly, přetížení sítě.
• Právní a regulatorní nejistota: Absence jasných zákonů a hrozba budoucích regulatorních zásahů vytváří vysoce nepředvídatelné prostředí pro vývojáře i investory.

Naši právníci pomáhají klientům analyzovat právní strukturu jejich DeFi projektů, identifikovat potenciální body odpovědnosti a navrhovat modely, které minimalizují právní rizika v tomto neprobádaném teritoriu. ARROWS je partnerem, který rozumí technologii i právu a dokáže vás bezpečně provést složitostí DeFi.

Nevíte si s daným tématem rady?

Právní a provozní rizika v DeFi a u smart kontraktů

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Chyba v kódu smart kontraktu vedoucí ke ztrátě prostředků: Nenávratná ztráta klientských i vlastních aktiv, neexistence standardního mechanismu pro nápravu.	Právní stanoviska a risk assessment: Analýza struktury projektu a posouzení odpovědnosti vývojářů, auditorů kódu a řídících subjektů (DAO).
Manipulace s externími daty (útok na orákulum): Smart kontrakt provede nesprávnou operaci (např. likvidaci) na základě zmanipulovaných dat, což vede k finančním ztrátám.	Revize smluvních podmínek a právní poradenství: Pomoc s nastavením smluvních vztahů s poskytovateli oráklů a definováním mechanismů pro případ selhání dat.
Regulatorní nejistota a budoucí zásahy: Projekt může být zpětně klasifikován jako nelegální poskytování finančních služeb, což může vést k pokutám a zákazu činnosti.	Právní konzultace a monitoring legislativy: Poskytování stanovisek k možné budoucí regulaci a návrh struktur, které jsou flexibilní a odolné vůči změnám v právním prostředí.
Nejasná právní odpovědnost v decentralizované autonomní organizaci (DAO): V případě sporu není jasné, kdo je žalovanou stranou – DAO jako celek, nebo jednotliví držitelé tokenů?	Strukturování a právní poradenství: Pomoc s návrhem právní struktury pro DAO (např. založení právnické osoby, která ji zastřešuje) s cílem vyjasnit odpovědnost a právní subjektivitu.
Ztráta kontroly nad privátními klíči správců projektu: Útok na správce projektu může vést ke kompromitaci celého protokolu a krádeži všech uzamčených aktiv.	Odborná školení a příprava interních směrnic: Školení managementu a klíčových zaměstnanců v oblasti kybernetické bezpečnosti a příprava interních pravidel pro bezpečné nakládání s klíči.

Komplexní ochrana vašeho byznysu: Daně, GDPR a kyberbezpečnost

Úspěšné podnikání v oblasti blockchainu vyžaduje více než jen soulad s MiCA. Je nutné řešit i další klíčové oblasti práva, které se s touto technologií prolínají.

Zdanění kryptoaktiv

Od února 2025 vstoupila v České republice v platnost novela, která mění pravidla pro zdanění kryptoaktiv. Pro právnické osoby platí, že příjmy z prodeje či jiné realizace kryptoaktiv jsou standardní součástí jejich základu daně z příjmů. 

Zásadní novinkou, která řeší dlouholetý praktický problém, je zákonem zakotvené právo na bankovní účet pro licencované kryptoměnové firmy. Banky tak již nebudou moci odmítat poskytování služeb těmto subjektům jen z důvodu povahy jejich podnikání.

GDPR a neměnnost blockchainu

Obecné nařízení o ochraně osobních údajů (GDPR) se dostává do přímého konfliktu s jednou ze základních vlastností veřejných blockchainů – jejich neměnností. „Právo na výmaz“ podle GDPR, které umožňuje jednotlivcům žádat o smazání svých osobních údajů, je technicky neproveditelné na systému, kde jsou data zapsána navždy.

Ukládání osobních údajů přímo on-chain je proto extrémně rizikové a obecně se nedoporučuje. Existují však řešení, jako je ukládání osobních údajů mimo blockchain (off-chain) a na blockchain zapisovat pouze anonymizované otisky (hashe) těchto dat, nebo použití šifrování, kde lze zničením klíče data efektivně znepřístupnit.

Kybernetická bezpečnost

Kybernetické útoky jsou v kryptosvětě na denním pořádku. Cílem se stávají nejen DeFi protokoly, ale i centralizované burzy a peněženky uživatelů, přičemž ztráty mohou dosahovat miliard dolarů. Robustní kybernetická bezpečnost a soulad s regulacemi, jako je DORA, jsou dvě strany téže mince. Investice do zabezpečení není náklad, ale ochrana nejen klientských aktiv, ale i samotné existence a reputace vaší firmy.

ARROWS poskytuje komplexní poradenství, které přesahuje samotnou regulaci kryptoaktiv. Náš tým zahrnuje experty na daňové právo, ochranu osobních údajů (GDPR) a kybernetickou bezpečnost, kteří zajistí, že váš byznys je chráněn ze všech stran. 

Proč řešit regulaci kryptoaktiv právě s ARROWS?

Orientace v novém a komplexním světě regulace kryptoaktiv vyžaduje partnera, který má nejen teoretické znalosti, ale především praktické zkušenosti. V ARROWS se této problematice věnujeme do hloubky a na denní bázi.

• Hluboká specializace a praktické zkušenosti: Nejsme teoretici. Naši právníci denně řeší problematiku fintechu a kryptoaktiv s mezinárodním prvkem. Naše zkušenosti potvrzuje i rozsáhlé portfolio klientů – staráme se o více než 150 akciových společností, 250 společností s ručením omezeným a 51 obcí a krajů, což dokládá důvěru v kvalitu našich služeb.
• Mezinárodní dosah: Pro firmy působící na evropském trhu je klíčový náš mezinárodní přesah. Díky deset let budované síti ARROWS International jsme schopni zajistit bezproblémovou cross-border compliance a efektivně řešit právní otázky napříč jurisdikcemi.
• Komplexní a byznysově orientovaný přístup: Naším cílem není jen zajistit soulad se zákonem, ale podpořit váš byznys. Poskytujeme kompletní spektrum služeb – od získání licencí a povolení, přes přípravu smluv a interních směrnic, až po zastupování u soudů a správních orgánů, daňové poradenství a odborná školení.
• Partner pro váš růst: Chápeme, že právo a byznys jsou spojené nádoby. Proto aktivně propojujeme naše klienty, pokud vidíme zajímavé investiční nebo obchodní příležitosti. Rádi si poslechneme i váš podnikatelský nápad a pomůžeme vám ho realizovat na pevných právních základech.

Svět kryptoaktiv se mění. Buďte na tyto změny připraveni. Ať už spouštíte nový token, provozujete burzu, nebo integrujete DeFi do svého byznysu, správné právní nastavení je klíčem k vašemu úspěchu a bezpečí. Kontaktujte nás a domluvte si nezávaznou konzultaci. Tým ARROWS je připraven vám pomoci zorientovat se v nové regulaci a bezpečně vás provést touto novou érou digitálních financí.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.