Затрудненията пред CASP-овете при MiCA лиценз пред КФН

Работейки ежедневно с компании, кандидатстващи за CASP лиценз по MiCA пред КФН, виждам как отново и отново се повтарят едни и същи препъни камъни. Този текст е за тях — и е дълъг, защото проблемите не са прости.

1. „Ние не сме банка, ние сме tech компания"

Най-фундаменталното затруднение не е документално, а концептуално. На бизнесите им е трудно да схванат новото си положение: те вече не са просто технологичен стартъп. На тях вече се гледа като на финансова институция.

Това налага различен прочит на думата „риск" и различен прочит на процедурите за управление на риска.

There are no low-risk CASPs.

Така ESMA формулира очакването си в Supervisory Briefing-а от 31 януари 2025 г. Дори когато мащабът на дейността е по-малък от този на традиционните финансови институции, CASP-овете работят директно с ритейл инвеститори и имат кратка история на регулаторно съответствие. Затова надзорният подход към тях е естествено по-предпазлив.

ESMA Supervisory Briefing on Authorisation of CASPs

2. Пруденциалните изисквания не са просто „50 000 евро в банката"

Чл. 67 от MiCA предвижда капиталово изискване от 50 000 евро, 125 000 евро или 150 000 евро според вида предоставяни услуги, или една четвърт от постоянните разходи — прилага се по-високата стойност.

На практика това изискване не работи като статична бариера. Националните компетентни органи прилагат риск-базиран подход и гледат с особено внимание към фактори като размер, сложна групова структура, значителна трансгранична дейност, комбиниране на няколко крипто услуги, нов бизнес модел, мащабно аутсорсване или неблагоприятна надзорна история.

Тук много кандидати правят грешна аналогия с MiFID II. MiCA не стъпва само върху твърди формални правила. Тя изисква реално управление на риска. Следователно капиталът трябва да съответства на рисковия профил, а не само на минималната пруденциална гаранция.

Важно уточнение дойде и с ESMA Q&A 2349. При изчисляването на една четвърт от разходите се тръгва от всички разходи — фиксирани и променливи — като могат да се приспадат само изрично изброените елементи в чл. 67(3)(a)-(d) от MiCA. За разлика от IFR, разпоредбата на MiCA е изчерпателна и не оставя дискреция нито на НКО, нито на CASP-а.

ESMA Q&A 2349 — Calculation of fixed overheads

3. Историческите отчети не отразяват реалността напред

Финансовите отчети от 2023, 2024 и 2025 г. често не показват разходите, които кандидатът ще понесе в лицензионната процедура: допълнителен екип, софтуерни промени, външни консултанти, допълнителни политики и контролни функции.

Тези разходи топят резервите на компанията, а резервите играят ролята на втори слой на защита в пруденциалната рамка.

Примерът е прост: компания от двама или трима души, която до вчера е успявала да обслужва бизнеса си, изведнъж трябва да назначи 10-12 души на ключови функции, само за да покрие изискванията на лиценза. Това може да означава 4, 5 или 6 пъти по-голям фонд работни заплати на годишна база, при същата клиентска база и същата доходност.

В допълнение, лицензионното производство не е евтино от гледна точка на външни услуги и софтуерни преработки, така че платформите да са в съответствие с DORA, AML/CFT изискванията, Travel Rule и останалите правила за сигурност и проследимост.

Именно затова ESMA настоява бизнес планът да покрива прогнози за минимум три години и да включва песимистични сценарии, при които приходите падат под очакваните нива. Практическият натиск за професионална застраховка също не бива да се подценява, дори когато не е представен като отделна публична „точка" в списъка.

4. Кадровата обезпеченост е вторият голям препъни камък

В tech сектора обикновено работят разработчици. MiCA обаче изисква финансов опит, компетентност, добро име и доказуема пригодност на управленските кадри и ключовите функции.

EBA и ESMA публикуваха съвместни насоки за оценка на пригодността на членовете на управителния орган и лицата с квалифицирани участия. Тази оценка не е формалност. Тя включва преглед на опита, знанията за криптоактиви, управленската компетентност и евентуални предишни надзорни нарушения.

EBA/ESMA Joint Guidelines on Suitability Assessment

Кадрите от чужбина, което е често срещано явление, невинаги пасват лесно на българската административна реалност. Дипломите им не се признават автоматично в България, а легализацията и признаването често отнемат повече време от сроковете, които КФН дава за отстраняване на пропуски в документацията.

Позициите, които на практика трябва да бъдат покрити, включват:

Compliance Officer
AML/CFT Officer
Risk Manager
ICT Security Lead в контекста на DORA
Data Protection Officer
лица, предоставящи информация или съвети на клиенти, с доказана компетентност по чл. 81 MiCA

5. Знания и компетентност на персонала по чл. 81 MiCA

На 11 юли 2025 г. ESMA публикува финален доклад с насоки за знанията и компетентността на персонала на CASP-овете. Насоките разграничават персонал, който информира клиенти, от персонал, който предоставя съвети.

Информиращ персонал: минимум 80 часа обучение или 6 месеца опит под супервизия
Съветващ персонал: минимум 160 часа обучение или 12 месеца опит под супервизия

Управителният орган на CASP-а трябва ежегодно да оценява спазването на тези изисквания и да предприема мерки при установени пропуски. За много компании това е изцяло нов процес: няма процедури, няма вътрешна матрица за компетентност, няма бюджет.

ESMA Guidelines on Knowledge and Competence

6. DORA — цифровата оперативна устойчивост, за която никой не е бюджетирал

От 17 януари 2025 г. CASP-овете попадат под Регламент (EU) 2022/2554, познат като DORA. ESMA очаква националните компетентни органи да проверяват ИКТ системите на CASP-овете в светлината на DORA, особено когато става дума за критични функции като попечителство.

На практика за малък CASP това означава: penetration testing, incident response процедури, business continuity plan, disaster recovery plan, мониторинг на доставчици от трети страни и документирана ICT risk management рамка.

Всичко това е ново, скъпо и изисква или специализиран персонал, или аутсорсинг — който сам по себе си също е регулиран.

Regulation (EU) 2022/2554 — DORA

7. Попечителство и сегрегация на клиентски активи

За CASP-ове, които предоставят кастоди услуги, изискванията за сегрегация не са абстрактен compliance checkbox. Ако клиентски активи се държат в омнибус портфейли без надлежни записи за сегрегация, това може да създаде сериозен риск за директорите при несъстоятелност.

В лицензионния преглед надзорът очаква доказателства: архитектура на портфейлите hot/warm/cold, ежедневна реконцилиация, документирани кастоди договори и ясна отчетност. При загуба или компрометиране на клиентски активи отговорността по чл. 75 от MiCA е една от най-чувствителните точки при инспекции.

8. Аутсорсинг и забраната за letter-box субекти

Много български CASP-ове разчитат тежко на външни екипи, включително в трети страни. ESMA обаче подчертава, че основните функции не могат да бъдат аутсорсвани до степен, при която CASP-ът се превръща в letter-box entity — компания-фасада без реални оперативни способности.

Националният орган може да прецени дали аутсорсваните функции представляват значителен процент от общите разходи и дали вътрешният екип има реален контрол. CASP-ът трябва да има достатъчно локален капацитет и поне един член на изпълнителното ръководство, базиран в юрисдикцията.

9. Жалби, маркетинг и конфликти на интереси

Чл. 71 от MiCA изисква ефективни и прозрачни процедури за бързо, справедливо и последователно разглеждане на жалби от клиенти. Чл. 66 изисква комуникацията с клиенти, включително маркетинговите материали, да бъде честна, ясна и незаблуждаваща. Конфликтите на интереси, особено при CASP-ове с няколко услуги, също подлежат на засилен контрол.

Повечето кандидати нямат работеща инфраструктура за това. Тези процедури трябва да бъдат не просто написани, а внедрени и доказани като работещи.

Какво показва практиката?

Показателна е позицията на КФН при издаването на първия MiCA лиценз в България. В публичното съобщение на Комисията заместник-председателят Деница Величкова подчертава, че лицензът по MiCA „не е формалност", а доказателство за зрялост, готовност и поета отговорност.

Това не е абстракция. На фона на публично оповестени решения за непълни заявления, получаването на лиценз показва колко висок е прагът за подготовка, управленска зрялост и оперативна готовност.

КФН: първи лиценз по MiCA в България

Заключение

MiCA не е „нов регистрационен режим с по-дебела папка". Това е фундаментална промяна в начина, по който крипто бизнесите ще работят в Европа.

Компаниите, които го разберат навреме, имат шанс да преминат. Компаниите, които мислят, че могат да наваксат в последния момент преди 1 юли 2026 г., ще се сблъскат с реалност, за която не са подготвени.

Подготовката не е въпрос на документи. Тя е въпрос на мислене.

Дано това да ви е полезно.

С уважение,
Марина Мучакова

Ключови документи

Working every day with companies applying for a CASP licence under MiCA before the Bulgarian Financial Supervision Commission, I see the same stumbling blocks repeating again and again. This article is about them — and it is long because the problems are not simple.

1. "We are not a bank, we are a tech company"

The most fundamental difficulty is not documentary, but conceptual. Businesses struggle to understand their new position: they are no longer just technology startups. They are now treated as financial institutions.

This requires a different reading of the word "risk" and a different understanding of risk management procedures.

There are no low-risk CASPs.

That is how ESMA frames the expectation in its Supervisory Briefing of January 31, 2025. Even where their scale is smaller than that of traditional financial institutions, CASPs deal directly with retail investors and have a short history of regulatory compliance. That is why the supervisory approach to them is naturally more cautious.

ESMA Supervisory Briefing on Authorisation of CASPs

2. Prudential requirements are not just "EUR 50,000 in the bank"

Article 67 of MiCA provides for a capital requirement of EUR 50,000, EUR 125,000, or EUR 150,000 depending on the services provided, or one quarter of fixed overheads — the higher amount applies.

In practice, this does not work as a static threshold. National competent authorities apply a risk-based approach and pay particular attention to factors such as size, complex group structure, significant cross-border activity, a combination of several crypto-asset services, a new business model, extensive outsourcing, or an adverse supervisory history.

Many applicants make the wrong analogy with MiFID II. MiCA is not based only on rigid formal rules. It requires genuine risk management. Therefore, the capital base must match the risk profile, not merely the minimum prudential safeguard.

ESMA Q&A 2349 added an important clarification. When calculating one quarter of overhead expenses, the starting point is all expenses — fixed and variable — and only the items expressly listed in Article 67(3)(a)-(d) of MiCA may be deducted. Unlike the IFR, MiCA's provision is exhaustive and leaves no discretion to either the NCA or the CASP.

ESMA Q&A 2349 — Calculation of fixed overheads

3. Historical accounts do not reflect the forward-looking reality

Financial statements from 2023, 2024, and 2025 often do not show the costs an applicant will incur during the licensing process: additional staff, software changes, external consultants, additional policies, and control functions.

These costs reduce the company's reserves, and those reserves play the role of a second layer of protection within the prudential framework.

The example is simple: a company of two or three people that used to handle the business suddenly has to hire 10-12 people for key functions just to meet the licensing requirements. That may mean a payroll four, five, or six times larger on an annual basis, while the client base and revenue remain the same.

In addition, the licensing process is not cheap in terms of external services and software work, so that CASP platforms can comply with DORA, AML/CFT requirements, the Travel Rule, and the other rules on security and traceability.

This is precisely why ESMA expects the business plan to cover projections for at least three years and to include pessimistic scenarios in which revenue falls below expected levels. The practical pressure to obtain professional insurance should also not be underestimated, even where it is not presented as a separate public item on the checklist.

4. Staffing is the second major stumbling block

The tech sector is usually built around developers. MiCA, however, requires financial experience, competence, good repute, and provable suitability of management and key function holders.

EBA and ESMA have published joint guidelines on the suitability assessment of management body members and qualifying shareholders. This assessment is not a formality. It includes a review of experience, knowledge of crypto-assets, management competence, and any prior supervisory issues.

EBA/ESMA Joint Guidelines on Suitability Assessment

Foreign staff are common, but they do not always fit easily into the Bulgarian administrative reality. Their diplomas are not automatically recognised in Bulgaria, and legalisation or recognition may take longer than the deadlines the FSC usually gives for remedying gaps in the application documentation.

The positions that need to be covered in practice include:

Compliance Officer
AML/CFT Officer
Risk Manager
ICT Security Lead in the context of DORA
Data Protection Officer
persons providing information or advice to clients, with proven competence under Article 81 MiCA

5. Knowledge and competence requirements under Article 81 MiCA

On July 11, 2025, ESMA published a final report with guidelines on the knowledge and competence of CASP staff. The guidelines distinguish staff who provide information to clients from staff who provide advice.

Information staff: at least 80 hours of training or 6 months of experience under supervision
Advisory staff: at least 160 hours of training or 12 months of experience under supervision

The CASP's management body must annually assess compliance with these requirements and take action where gaps are identified. For many companies, this is a completely new process: no procedures, no internal competence matrix, no budget.

ESMA Guidelines on Knowledge and Competence

6. DORA — the digital operational resilience no one budgeted for

Since January 17, 2025, CASPs have fallen within Regulation (EU) 2022/2554, known as DORA. ESMA expects national competent authorities to review CASP ICT systems in light of DORA, particularly where critical functions such as custody are concerned.

In practice, for a small CASP this means penetration testing, incident response procedures, a business continuity plan, a disaster recovery plan, monitoring of third-party providers, and a documented ICT risk management framework.

All of this is new, expensive, and requires either specialist staff or outsourcing — which is itself regulated.

Regulation (EU) 2022/2554 — DORA

7. Custody and segregation of client assets

For CASPs providing custody services, segregation requirements are not an abstract compliance checkbox. If client assets are held in omnibus wallets without proper segregation records, this may create serious risk for directors in an insolvency scenario.

During the licensing review, the supervisor expects evidence: hot/warm/cold wallet architecture, daily reconciliation, documented custody agreements, and clear recordkeeping. In the event of loss or compromise of client assets, liability under Article 75 of MiCA is one of the most sensitive points in inspections.

8. Outsourcing and the prohibition on letter-box entities

Many Bulgarian CASPs rely heavily on external teams, including teams in third countries. ESMA, however, emphasises that core functions cannot be outsourced to the point where the CASP becomes a letter-box entity: a facade company without real operational capability.

The national authority may assess whether outsourced functions represent a significant percentage of total costs and whether the internal team has real control. The CASP must have sufficient local capacity and at least one executive management member based in the jurisdiction.

9. Complaints, marketing, and conflicts of interest

Article 71 of MiCA requires effective and transparent procedures for the prompt, fair, and consistent handling of client complaints. Article 66 requires all communication with clients, including marketing materials, to be fair, clear, and not misleading. Conflicts of interest, especially in CASPs offering multiple services, are also subject to enhanced scrutiny.

Most applicants do not have working infrastructure for this. These procedures must not merely be written. They must be implemented and shown to work.

What does practice show?

The FSC's position when issuing the first MiCA licence in Bulgaria is telling. In the Commission's public announcement, Deputy Chairperson Denitsa Velichkova stressed that a MiCA licence "is not a formality", but evidence of maturity, readiness, and responsibility.

This is not abstract. Against the backdrop of publicly announced decisions concerning incomplete applications, obtaining a licence shows how high the threshold is for preparation, management maturity, and operational readiness.

FSC: first MiCA licence in Bulgaria

Conclusion

MiCA is not "a new registration regime with a thicker file". It is a fundamental change in the way crypto businesses will operate in Europe.

Companies that understand this in time have a chance to pass. Companies that believe they can catch up at the last minute before July 1, 2026 will face a reality for which they are not prepared.

Preparation is not a matter of documents. It is a matter of mindset.

I hope this is useful.

Respectfully,
Marina Muchakova