Quais documentos são necessários para solicitar uma licença MiCA?

O Regulamento da UE sobre Mercados de Criptoativos (MiCA, Regulamento (UE) 2023/1114) estabeleceu requisitos uniformes para prestadores de serviços de criptoativos (CASP) em toda a União Europeia. Para obter uma licença, é necessário preparar um conjunto detalhado de documentos que permita às autoridades competentes realizar uma avaliação abrangente do requerente, sua governança corporativa, confiabilidade, conformidade com os requisitos prudenciais e capacidade de garantir a proteção do cliente e a estabilidade dos serviços prestados. Abaixo compilamos uma lista de documentos exigidos para solicitar uma licença MiCA na UE.

Documentos corporativos e informações sobre o requerente
Um passo chave é a submissão dos documentos constitutivos: estatutos, ato constitutivo, extrato do registro comercial e identificador de entidade jurídica (LEI). Se o requerente pretende operar uma plataforma de negociação, deve ser indicado o nome comercial utilizado. O pacote de documentos deve incluir informações sobre acionistas e participantes com participações qualificadas, sua reputação e origem dos fundos, bem como dados sobre membros do conselho de administração e gestores-chave confirmando suas qualificações, ausência de antecedentes criminais e conflitos de interesse.

Programa de atividades e plano de negócios
De acordo com o Artigo 62(2) do MiCA, o requerente deve fornecer um programa de operações que descreva:

• a estrutura organizacional da empresa,
• a estratégia de prestação de serviços e público-alvo,
• capacidades operacionais para os próximos três anos,
• canais de marketing (sites, aplicativos móveis, publicidade online, colaboração com influenciadores, patrocínios, eventos, cursos de formação),
• previsões financeiras e plano de utilização de capital.

O regulador também espera análises de cenários e testes de stress que simulem condições de mercado adversas, mas plausíveis, para avaliar a resiliência da empresa a choques externos.

Mecanismos de gestão e controlo interno
O requerente deve descrever o sistema de governança corporativa, distribuição de funções, mecanismos de controlo interno e processos de tomada de decisão. Isto inclui procedimentos para gestão de riscos operacionais, legais, cibernéticos e de reputação, bem como uma descrição de planos para garantir a continuidade dos negócios, minimizar o tempo de inatividade e recuperar de incidentes, incluindo ataques cibernéticos e casos de força maior.

Medidas AML/KYC e proteção do cliente
Atenção especial é dada aos mecanismos de combate à lavagem de dinheiro e financiamento do terrorismo (conforme AMLD5 e Regulamento (UE) 2023/1113). Devem ser apresentados os procedimentos internos de KYC, monitorização de transações e relatórios. Além disso, a aplicação deve incluir uma descrição das medidas para segregar os ativos dos clientes, a fim de protegê-los contra riscos de perda ou uso indevido.

Infraestrutura de TI e cibersegurança
O pacote de documentos inclui uma descrição dos sistemas de TIC, protocolos de segurança da informação, recursos humanos alocados à gestão de riscos cibernéticos, bem como planos para prevenir vazamentos de dados e proteger contra perdas financeiras.

Regras para operação de plataformas de negociação (para CASPs que gerem plataformas)
Se o requerente pretende operar uma plataforma de negociação, devem ser fornecidas as regras para admissão de criptoativos na negociação, o procedimento para verificação da conformidade com os requisitos, uma descrição dos tipos de criptoativos que não serão admitidos e os motivos dessas restrições. Além disso, devem ser divulgadas as regras para realização de negociações, execução e cancelamento de ordens, garantia de transparência e registro, bem como o procedimento de liquidação das transações, incluindo o uso de tecnologia de registro distribuído (DLT).

Dados financeiros e contabilísticos
As autoridades competentes devem verificar se há fundos próprios suficientes para garantir a conformidade com os requisitos prudenciais (Artigo 67 do MiCA). O requerente deve fornecer demonstrações financeiras (se já disponíveis), descrição das políticas contabilísticas e prova do montante de capital exigido (€50.000/€125.000/€150.000, dependendo da classe de licença).

Prova de integridade da gestão e dos acionistas
Devem ser anexadas declarações de inexistência de condenações criminais, informações sobre quaisquer investigações ou processos administrativos em curso, e informações que permitam ao regulador realizar um teste de adequação e idoneidade.

Requisitos adicionais para Classe 2 e Classe 3
Para licenças de nível superior, deve ser anexada uma descrição dos procedimentos para prevenção e divulgação de conflitos de interesse, regras de monitorização de abuso de mercado e medidas de cibersegurança reforçadas.

Informações detalhadas sobre o projeto cripto que devem ser fornecidas na aplicação da licença MiCA

Uma empresa que solicita uma licença de prestador de serviços de criptoativos (CASP) de acordo com o Artigo 62 do Regulamento (UE) 2023/1114 deve incluir o seguinte conjunto de informações e documentos na sua aplicação:

• o nome legal oficial da empresa, seu número de telefone e endereço de e-mail;
• o nome comercial ou fantasia utilizado ou que se planeja utilizar;
• identificador de entidade jurídica (LEI);
• nome completo, cargo, telefone de contato e endereço de e-mail da pessoa de contato designada responsável pela interação com o regulador;
• a forma jurídica da empresa (indicando se é uma pessoa jurídica ou outro tipo de empreendimento), número de identificação nacional e confirmação de registro no registro nacional de empresas;
• data de constituição da empresa e o Estado-Membro da UE em que está registrada;
• os documentos constitutivos e estatutos, bem como regulamentos internos (se aplicável);
• endereço da sede da empresa e endereço do escritório registrado, se diferente;
• informações sobre filiais que operarão em outros países da UE, incluindo seus identificadores de entidade jurídica (LEIs), se houver;
• nomes de domínio de todos os sites utilizados pela empresa para prestação de serviços, bem como links para as contas oficiais de redes sociais da empresa;
• se o requerente não tiver status de pessoa jurídica, documentos que confirmem:
  • um nível de proteção legal para clientes e terceiros equivalente ao fornecido às pessoas jurídicas, inclusive em casos de falência;
  • conformidade do requerente com supervisão prudencial adequada à sua forma organizacional e legal;
• se a empresa pretende operar uma plataforma de negociação de criptoativos:
  • endereço físico, número de telefone e endereço de e-mail da plataforma de negociação;
  • nome comercial sob o qual a plataforma operará.

Essas informações permitem ao regulador identificar o requerente, avaliar seu estatuto jurídico, estrutura e prontidão para prestar serviços, e verificar a conformidade com os requisitos básicos do MiCA antes de passar para a avaliação do modelo de negócio e dos processos internos.

1) Informações gerais a fornecer ao solicitar uma licença MiCA

Uma entidade jurídica que solicita autorização como prestadora de serviços de criptoativos (CASP) nos termos do Artigo 62 do Regulamento (UE) 2023/1114 deve apresentar à autoridade supervisora uma aplicação contendo um conjunto abrangente de informações e documentos de suporte necessários para consideração e tomada de decisão sobre a concessão da autorização:

• nome legal da empresa, número de telefone de contato e endereço de e-mail;
• nome comercial/fantasia usado ou planejado;
• identificador de entidade jurídica (LEI);
• nome, cargo, número de telefone e endereço de e-mail da pessoa de contato designada autorizada a interagir com o regulador;
• forma jurídica da empresa (pessoa jurídica ou outro empreendimento), número de identificação nacional e prova de registro no registro nacional de empresas;
• data de constituição e Estado-Membro da UE em que a empresa foi constituída;
• documentos constitutivos, estatutos e legislação subordinada, se aplicável;
• endereço da sede e, se diferente, o escritório registrado;
• informações sobre filiais que operarão em outras jurisdições, incluindo seus LEIs;
• nomes de domínio de todos os sites pelos quais os serviços são prestados, bem como contas oficiais da empresa em redes sociais;
• se a empresa não tiver status de pessoa jurídica, documentos confirmando:
  • nível de proteção dos direitos dos clientes e terceiros, incluindo proteção em caso de falência, comparável à proteção fornecida por uma pessoa jurídica;
  • submissão à supervisão prudencial adequada à sua forma organizacional e jurídica;
• se a empresa pretende operar uma plataforma de negociação:
  • endereço físico, número de telefone e e-mail da plataforma de negociação;
  • nome comercial sob o qual a plataforma operará.

Essas informações permitem ao regulador identificar o requerente, avaliar seu estatuto jurídico e estrutura organizacional, e verificar se possui os recursos e infraestrutura necessários para prestar serviços de forma legal.

2) Programa de atividades da empresa

Uma empresa que solicita uma licença de prestador de serviços de criptoativos (CASP) é obrigada a apresentar um programa detalhado de atividades para os três anos seguintes à obtenção da licença, que deve incluir:

• descrição do lugar do requerente no grupo de empresas (se fizer parte de um grupo) e explicação de como suas atividades correspondem à estratégia do grupo e interagem com outras empresas do grupo;
• análise do impacto das organizações afiliadas (incluindo reguladas) nos negócios do requerente;
• lista completa de serviços relacionados a criptoativos que se planeja oferecer, indicando os tipos de criptoativos a que se referem;
• descrição de outras atividades (reguladas ou não) que a empresa pretende realizar além dos serviços CASP;
• indicação se o requerente oferecerá criptoativos ao público ou buscará sua admissão à negociação, especificando os tipos de criptoativos;
• lista de jurisdições da UE e de terceiros onde os serviços serão prestados, com previsão do número de clientes por área geográfica;
• características dos tipos de clientes-alvo dos serviços (varejo, investidores profissionais, etc.);
• descrição dos canais pelos quais os clientes acessam os serviços, incluindo:
  • nomes de domínio de websites e aplicativos pelos quais os serviços são prestados, idiomas da interface, tipos de serviços e países onde estão disponíveis;
  • nomes de aplicativos móveis e web, idiomas da interface e lista de serviços disponíveis;
• plano de marketing e publicidade:
  • canais de promoção utilizados (publicidade online, redes sociais, eventos, comunicados de imprensa, etc.);
  • métodos de identificação da empresa na comunicação com clientes;
  • descrição do público-alvo e tipos de criptoativos visados pelas campanhas;
  • idiomas usados nos materiais de publicidade;
• descrição dos recursos humanos, financeiros e de TIC alocados à implementação dos serviços planejados, indicando sua localização geográfica;
• política de terceirização e descrição detalhada de contratos planejados, incluindo acordos intra-grupo, procedimento para cumprimento dos requisitos do Artigo 73 do MiCA, informações sobre prestadores de serviços, sua localização e funções terceirizadas, bem como descrição dos processos de monitoramento e avaliação dos riscos de terceirização;
• plano contábil projetado, incluindo cenários de stress que considerem empréstimos e fluxos financeiros intra-grupo;
• descrição de quaisquer transações de câmbio (fiat on-/off-ramp), incluindo interação com aplicações descentralizadas (DeFi) planejadas para uso em nome da empresa.

Adicionalmente:

• se o requerente pretende oferecer serviço de recebimento e transmissão de ordens de clientes para criptoativos, apresentar procedimentos e medidas para cumprir o Artigo 80 do MiCA;
• se o requerente pretende realizar colocação de criptoativos, fornecer procedimentos para identificar, prevenir e divulgar conflitos de interesse, bem como descrição das medidas correspondentes ao Artigo 79 do MiCA e normas técnicas adotadas de acordo com o Artigo 72(5).

Esse programa permite ao regulador avaliar a estratégia da empresa, a sustentabilidade do seu modelo de negócio, seus recursos e prontidão para cumprir os requisitos regulatórios durante todo o período de operação.

3) Requisitos prudenciais

Uma empresa que solicita uma licença CASP deve preparar e submeter ao regulador um conjunto completo de informações que confirme a conformidade com os requisitos prudenciais estabelecidos no Artigo 67 do Regulamento (UE) 2023/1114.

A aplicação deve especificar:

• Descrição das salvaguardas prudenciais:
  • montante de fundos próprios (capital) na data da aplicação e metodologia de cálculo;
  • montante de garantias prudenciais cobertas por fundos próprios (se aplicável);
  • montante de garantias cobertas por apólice de seguro ou garantia financeira comparável (se aplicável).
• Previsões e planos:
  • previsão de capital e salvaguardas prudenciais para os primeiros 3 anos de operação após obtenção da licença;
  • principais pressupostos utilizados no planejamento, incluindo cenários de stress;
  • número esperado de clientes, volume de ordens e transações, e volume de criptoativos mantidos em custódia.
• Demonstrações financeiras (se a empresa já estiver em operação):
  • demonstrações financeiras aprovadas dos últimos três anos;
  • se os relatórios não tiverem sido auditados, confirmação da autoridade supervisora nacional sobre o montante de fundos próprios.
• Planejamento de capital e procedimentos de monitoramento:
  • descrição do sistema interno de controle e monitoramento das salvaguardas prudenciais.
• Prova de conformidade com requisitos prudenciais:
  • documentos confirmando o cálculo de fundos próprios em conformidade com MiCA;
  • para empresas recém-criadas, extrato bancário confirmando a transferência do capital autorizado para a conta;
  • se uma apólice de seguro ou garantia comparável for utilizada:
    • informações sobre a seguradora (nome, data e país de registro, endereço da sede e escritório registrado, dados de contato);
    • cópia da apólice de seguro ou contrato de seguro assinado em conformidade com os Artigos 67(5) e 67(6) do MiCA.

Este conjunto de documentos confirma a estabilidade financeira da empresa, capital suficiente para cobrir riscos operacionais e de mercado, e a capacidade de proteger os clientes em caso de eventos imprevistos.

4) Mecanismos de governança, controle interno e política de conflitos de interesse

A aplicação deve descrever a estrutura organizacional, incluindo o grupo de empresas (se o requerente fizer parte de um), a distribuição de funções e poderes, linhas de autoridade e os mecanismos internos de controle existentes. É importante identificar os responsáveis pelas principais funções internas, fornecer suas biografias com descrição da formação, qualificações e experiência profissional, e confirmar que possuem o conhecimento e habilidades necessários para desempenhar suas funções.

O regulador exige a descrição das políticas e procedimentos internos que asseguram a conformidade com o MiCA, bem como os mecanismos de comunicação desses procedimentos aos funcionários. Atenção especial é dada à existência de um sistema interno de denúncias (whistleblowing) que permita aos colaboradores informar à gestão sobre não conformidades com os requisitos regulatórios. O requerente deve descrever o procedimento de manutenção de registros e armazenamento de documentação de acordo com os padrões técnicos estabelecidos pela Comissão Europeia, bem como demonstrar a existência de um sistema de monitoramento e revisão periódica da eficácia das políticas e procedimentos implementados.

O órgão de gestão da empresa deve ser capaz de receber relatórios regulares das funções de controle interno, confirmando a independência dessas funções e seu direito de reportar diretamente, inclusive quando identificados riscos significativos de não conformidade com os requisitos regulatórios. A aplicação deve descrever os sistemas de TIC, ferramentas de controle e soluções de backup que garantam a estabilidade dos processos, bem como medidas para prevenir abuso de mercado caso o requerente realize atividades sujeitas a tais riscos.

Além disso, é necessário indicar se foi nomeado um auditor externo, fornecer seus dados de contato e descrever as políticas contábeis e períodos de reporte aplicados.

O gerenciamento de conflitos de interesse é de particular importância. A aplicação deve incluir uma cópia da política relevante descrevendo como a empresa identifica, previne e divulga conflitos de interesse conforme o Artigo 72 do MiCA. O documento deve considerar a escala e a natureza das atividades do requerente e assegurar que o sistema de remuneração não crie conflitos entre os interesses da empresa e de seus clientes. O requerente também deve descrever os sistemas de controle existentes para monitorar a eficácia da política, registrar cada caso de conflito de interesse, registrar sua resolução e o fato de que a informação foi divulgada ao cliente.

Essas informações abrangentes permitem à autoridade competente verificar que o requerente estabeleceu um sistema robusto de governança corporativa, possui funções de controle interno independentes e aplica medidas eficazes para prevenir e resolver conflitos de interesse, pré-requisito para a emissão de uma licença MiCA.

5) Plano de continuidade de negócios

Este plano é parte obrigatória da aplicação e demonstra que a empresa é capaz de manter operações regulares mesmo em caso de interrupções em sistemas ou infraestrutura críticos.

A descrição deve confirmar que o plano está em conformidade com os requisitos do Regulamento (UE) 2023/1114, é atualizado regularmente e testado na prática. O documento deve detalhar as ações que a empresa tomará para manter as operações em caso de eventos imprevistos, incluindo falhas em sistemas de TI, situações de força maior ou incidentes de cibersegurança.

Se funções críticas forem terceirizadas para prestadores de serviços, o documento deve especificar como a continuidade de negócios será garantida em caso de queda significativa na qualidade de seus serviços ou término da prestação. Também é necessário descrever o plano de ação em caso de perda de um funcionário ou decisor-chave e, se necessário, avaliar os riscos políticos na jurisdição onde se localizam os principais prestadores de serviços.

A submissão de tal plano permite ao regulador verificar que a empresa está preparada para situações de crise potenciais e pode minimizar o impacto de qualquer interrupção, mantendo a confiança do cliente e a estabilidade do negócio.

6) Medidas de combate à lavagem de dinheiro e financiamento do terrorismo (AML/CFT)

Uma empresa que solicita uma licença MiCA deve confirmar que possui um sistema eficaz de AML/CFT em conformidade com a Diretiva (UE) 2015/849 e o Regulamento (UE) 2023/1113.

A aplicação deve descrever a abordagem para gerenciamento de riscos AML/CFT, começando pela identificação e avaliação. A empresa deve fornecer uma análise dos riscos inerentes e residuais associados à natureza da sua base de clientes, tipos de serviços prestados, canais de distribuição utilizados e regiões geográficas onde opera.

É importante para o regulador observar medidas específicas que a organização já implementou ou planeja implementar para prevenir riscos identificados: procedimentos de avaliação de risco, regras para condução de KYC e due diligence de clientes, procedimentos para identificação de transações suspeitas e comunicação às autoridades competentes de forma oportuna. É necessário demonstrar que políticas e procedimentos internos são proporcionais à escala do negócio, complexidade do modelo, gama de serviços prestados e nível de risco inerente.

O requerente deve designar uma pessoa responsável pelo cumprimento dos requisitos AML/CFT e confirmar suas qualificações e experiência. Devem também ser descritos os recursos humanos e financeiros alocados à implementação desses procedimentos, confirmando que os funcionários recebem treinamento regular sobre questões de combate à lavagem de dinheiro, incluindo riscos específicos associados a criptoativos.

A aplicação deve ser acompanhada de cópias de todas as políticas, procedimentos e sistemas internos de AML/CFT, bem como informações sobre a frequência de revisões de sua eficácia e funções responsáveis por conduzir tais avaliações.

Este pacote de dados demonstra ao regulador que a empresa cumpre suas obrigações de combate à lavagem de dinheiro e financiamento do terrorismo, minimiza riscos de abuso e está preparada para cumprir a legislação europeia ao prestar serviços relacionados a criptoativos.

7) Identificação, verificação de reputação e avaliação das qualificações dos membros do órgão de gestão da empresa

A empresa requerente deve fornecer informações detalhadas sobre cada membro de seu órgão de gestão, confirmando identidade, reputação comercial, qualificações e disposição para dedicar tempo suficiente às suas funções.

A aplicação deve incluir dados pessoais completos de cada membro, incluindo nome, local e data de nascimento, endereços atuais e anteriores dos últimos 10 anos, cidadania, número de identificação nacional e cópia do documento de identidade. Além disso, deve-se descrever o cargo ocupado ou planejado, indicando sua natureza (executivo ou não executivo), data de início do mandato e responsabilidades principais.

A empresa deve fornecer um currículo para cada membro do órgão de gestão, detalhando formação, treinamento profissional, experiência de trabalho nos últimos 10 anos, indicando todas as organizações, cargos, natureza das funções, bem como experiência em serviços financeiros, criptoativos, tecnologias digitais, cibersegurança e inovação. Cartas de recomendação e contatos de referências devem ser anexados, assim como documentos oficiais que confirmem reputação impecável.

Parte importante do pacote é a informação sobre ausência de antecedentes criminais, investigações criminais ou administrativas em andamento, medidas disciplinares, processos de falência, revogação ou recusa de licenças, expulsões de organizações profissionais, bem como informações sobre avaliações de reputação conduzidas por autoridades governamentais ou regulatórias.

O requerente deve divulgar quaisquer interesses financeiros ou não financeiros dos membros da gestão e familiares próximos que possam gerar conflito de interesse, incluindo participação no capital do grupo, existência de empréstimos, garantias fornecidas ou disputas legais. Caso seja identificado conflito de interesse significativo, devem ser descritas medidas para eliminá-lo ou mitigá-lo, referindo-se à política interna de conflitos de interesse.

O regulador recebe informações sobre o tempo estimado que cada membro do órgão de gestão dedicará ao trabalho da empresa: mínimo de horas por mês e por ano, lista de todos os outros cargos (executivos e não executivos) ocupados, descrição do tamanho das empresas em que trabalham, volume de ativos e número de funcionários, além de lista de responsabilidades adicionais, como participação em comitês ou presidência.

A aplicação deve ser acompanhada pelos resultados da avaliação individual da adequação de cada membro do órgão de gestão, bem como avaliação da adequação coletiva do conselho de administração, incluindo relatório ou documentos confirmando que a composição do órgão de gestão cumpre os requisitos do MiCA. Todos os documentos oficiais e certificados confirmando informações sobre reputação e ausência de impedimentos para ocupação de cargos devem ser emitidos no máximo três meses antes da submissão da aplicação.

O fornecimento de tais informações permite ao regulador verificar que a gestão da empresa possui o conhecimento, experiência e reputação necessários, sendo capaz de gerir efetivamente um prestador de serviços de criptoativos em conformidade com os requisitos do Regulamento (UE) 2023/1114.

8) Informações sobre acionistas e participantes com participações significativas

A aplicação para uma licença MiCA deve divulgar informações completas sobre acionistas ou participantes com participações significativas, permitindo ao regulador avaliar sua integridade, solidez financeira e influência na gestão do negócio.

O requerente deve apresentar um organograma detalhado de sua estrutura corporativa e de holdings, indicando a distribuição de capital e direitos de voto. O organograma deve identificar todos os acionistas e participantes com participações qualificadas e fornecer seus dados de identificação.

Para cada proprietário de participação significativa direta ou indireta, devem ser fornecidos os documentos e informações especificados nos Artigos 1 a 4 do Regulamento Delegado da Comissão (UE) 2025/414. Também é necessário indicar os membros do órgão de gestão que serão nomeados por esses acionistas ou por recomendação deles e que participarão da gestão dos negócios da empresa.

A aplicação deve especificar o número e tipo de ações subscritas por cada acionista, seu valor nominal, prêmios pagos ou a pagar, e quaisquer encargos, penhoras e outros direitos reais, indicando as partes em cujo favor estão estabelecidos.

Além disso, devem ser fornecidas as informações previstas no Artigo 6 (pontos b, d, e) e no Artigo 8 do Regulamento Delegado da Comissão (UE) 2025/414, incluindo documentos que confirmem a reputação, a origem dos fundos e a transparência financeira dos acionistas.

Este conjunto de informações permite à autoridade competente verificar que os proprietários da empresa cumprem os requisitos do MiCA, não representam riscos à gestão saudável e são capazes de apoiar a estabilidade financeira do requerente.

9) Sistemas de TIC e medidas de cibersegurança

Uma empresa que solicita uma licença MiCA deve confirmar que possui uma infraestrutura de TI confiável e um sistema de cibersegurança em conformidade com os requisitos do Regulamento (UE) 2022/2554 (DORA) e Regulamento (UE) 2016/679 (GDPR). A aplicação deve incluir documentação técnica sobre os sistemas de TIC e, se utilizados, a infraestrutura DLT, bem como uma descrição das medidas de segurança que garantam a resiliência, integridade e confidencialidade dos dados.

O regulador deve receber uma descrição da arquitetura de gestão de risco de TIC como parte do sistema geral de gestão de riscos da empresa, indicando os sistemas, protocolos e ferramentas utilizados. A aplicação deve explicar como as políticas e procedimentos da empresa garantem a proteção, disponibilidade e autenticidade dos dados, bem como a conformidade com DORA e GDPR.

Todos os serviços críticos de TIC suportados internamente, assim como os serviços prestados por fornecedores externos, devem ser listados. Devem ser fornecidas a identificação e localização dos provedores, descrição das relações de terceirização e cópias dos contratos confirmando conformidade com o Artigo 73 do MiCA e Capítulo V do DORA.

Parte importante é a descrição dos procedimentos de gestão de incidentes, medidas de cibersegurança, planos de resposta a ataques e planos de recuperação de desastres. Caso tenham sido realizadas auditorias externas ou testes de penetração, o requerente deve anexar seus resultados ou relatórios de cibersegurança. É útil para o regulador verificar se a auditoria cobriu segurança organizacional e física, ciclo de desenvolvimento de software, varredura de vulnerabilidades, avaliação de configurações de ativos críticos de TIC, e testes de caixa preta, cinza e branca para verificar diferentes níveis de acesso.

Se a empresa utiliza ou desenvolve contratos inteligentes, deve ser anexada uma visão geral do código-fonte sob a perspectiva de cibersegurança. Além disso, devem ser fornecidas informações sobre auditorias anteriores de sistemas de TIC, incluindo infraestrutura DLT e medidas de segurança implementadas.

Por fim, o requerente deve fornecer uma breve descrição de todas essas medidas em linguagem não técnica para que o regulador obtenha uma visão abrangente do sistema de cibersegurança e da confiabilidade da infraestrutura de TIC sem necessidade de analisar os documentos técnicos originais.

10) Segregação e armazenamento seguro de criptoativos e fundos de clientes

Uma empresa que pretende fornecer serviços de armazenamento de criptoativos ou fundos de clientes (exceto tokens de dinheiro eletrônico) deve submeter uma descrição detalhada de seus procedimentos para segregar e proteger os ativos dos clientes em sua aplicação para licença MiCA.

O documento deve explicar como a organização garante que os fundos e criptoativos dos clientes não sejam utilizados para interesses próprios da empresa. Deve confirmar que as carteiras onde os ativos dos clientes são armazenados são separadas das carteiras corporativas do requerente e que os fundos de cada cliente podem ser identificados, mesmo quando se utilizam contas omnibus contendo os ativos de vários clientes.

Particular atenção é dada ao sistema de gestão e proteção de chaves criptográficas, incluindo uma descrição dos procedimentos para criação e armazenamento de chaves, uso de múltiplas assinaturas e medidas para assegurar sua confidencialidade e resistência a compromissos.

O requerente deve descrever o procedimento de processamento de fundos de clientes: os fundos devem ser creditados em uma conta junto a um banco central ou instituição de crédito até o final do dia útil seguinte ao recebimento e devem ser mantidos separados dos fundos próprios da empresa. Se não houver planos de depositar fundos em um banco central, os critérios para a seleção de instituições de crédito, política de diversificação e frequência de revisão dessas decisões devem ser divulgados.

Parte importante da aplicação é a descrição de como os clientes são informados sobre os mecanismos de proteção de seus ativos, incluindo explicação dos princípios de segregação, política de armazenamento de fundos e procedimentos de segurança de forma simples e compreensível, sem termos técnicos desnecessários.

Essas informações confirmam que o requerente cumpre o Artigo 70 do MiCA, protege os direitos patrimoniais dos clientes e minimiza o risco de perdas mesmo em caso de dificuldades financeiras ou falência da empresa.

11) Procedimentos de tratamento de reclamações

A empresa deve confirmar que possui um sistema transparente e eficaz para tratamento de reclamações de clientes. A aplicação deve descrever os recursos humanos e técnicos alocados a esse processo e identificar a pessoa responsável pela gestão do mesmo. O regulador espera um resumo da formação, treinamento profissional e experiência desse colaborador, demonstrando sua capacidade para desempenhar as funções atribuídas.

O requerente deve demonstrar que seus procedimentos estão em conformidade com os padrões técnicos estabelecidos pela Comissão Europeia com base no Artigo 71(5) do MiCA e que os clientes têm a oportunidade de apresentar uma reclamação gratuitamente. É importante descrever como a organização informa os clientes sobre essa oportunidade, incluindo a disponibilização de informações no site ou outros canais digitais pelos quais os serviços são prestados.

É necessário explicar o procedimento para registro das reclamações, os prazos para análise, investigação e resposta ao cliente, bem como os mecanismos de informação sobre os recursos legais disponíveis. A aplicação deve descrever os principais passos procedimentais na análise de uma reclamação, incluindo o método e forma de comunicação da decisão ao cliente ou potencial cliente que a apresentou.

Essa descrição demonstra ao regulador que o requerente fornece proteção adequada aos direitos dos clientes, opera de forma transparente e possui mecanismos para resolução rápida de conflitos, elemento chave para a confiança em um prestador de serviços de criptoativos.

12) Política de custódia e administração

A política de custódia e administração de criptoativos é um elemento obrigatório do pacote de documentos fornecido pelo requerente nos termos do Artigo 62(2)(m) do Regulamento (UE) 2023/1114. Empresas que planejam fornecer serviços de custódia e administração de criptoativos em nome de clientes devem apresentar à autoridade supervisora uma descrição completa das soluções de custódia oferecidas aos clientes, incluindo tipos de custódia, cópia do contrato padrão de serviço e resumo da política de custódia comunicada aos clientes de acordo com os Artigos 75(1) e 75(3) do Regulamento.

O requerente deve submeter uma política interna de armazenamento e administração, que deve identificar os riscos operacionais e de TIC associados ao armazenamento e gestão de criptoativos ou meios de acesso aos mesmos. A política deve conter descrição dos procedimentos e medidas para cumprir os requisitos do Artigo 75(8) do Regulamento, descrição dos sistemas de controle interno e gestão de riscos, incluindo disposições sobre terceirização das funções de armazenamento, regras e procedimentos que assegurem o exercício dos direitos dos clientes, e procedimentos que garantam a devolução de criptoativos ou meios de acesso.

Além disso, é necessário descrever os mecanismos de identificação dos criptoativos e meios de acesso a eles, bem como medidas para minimizar o risco de perda. Nos casos em que serviços de armazenamento e administração sejam terceirizados, o requerente deve fornecer informações sobre a identidade do terceirizado, seu status de acordo com os Artigos 59 e 60 do Regulamento, descrição das funções delegadas, lista de delegados e subdelegados, bem como possíveis conflitos de interesse relacionados a essa delegação. Também é exigida a descrição do sistema de controle e monitoramento do desempenho das funções delegadas.

Essa abordagem permite ao regulador avaliar a capacidade do requerente de assegurar alto nível de proteção dos direitos e interesses dos clientes, adequada organização dos processos de armazenamento, gestão de riscos operacionais e tecnológicos e conformidade com os requisitos regulatórios europeus.

13) Regras de operação da plataforma de negociação e detecção de abuso de mercado

Os requerentes que planejam operar uma plataforma de negociação de criptoativos devem fornecer à autoridade supervisora, conforme Artigo 62(2)(n) do Regulamento (UE) 2023/1114, uma descrição completa das regras operacionais da plataforma e dos mecanismos de prevenção de abuso de mercado. Os materiais devem incluir descrição das regras para admissão de criptoativos à negociação e procedimento para sua aprovação, incluindo verificação de clientes de acordo com a Diretiva (UE) 2015/849, bem como lista de categorias de criptoativos excluídos da negociação, indicando os motivos da exclusão. Devem ser divulgadas políticas, procedimentos e taxas associadas à admissão à negociação, bem como descrição das condições de adesão, descontos e disposições relacionadas.

O requerente deve detalhar as regras de execução de ordens, procedimento para cancelamento e mecanismo para notificar participantes do mercado sobre transações canceladas. Devem ser descritos procedimentos e métodos para avaliação da adequação dos criptoativos à negociação, bem como sistemas e arranjos para garantir conformidade com o Artigo 76 do Regulamento. Os documentos devem divulgar procedimento de publicação de preços de compra e venda, dados de profundidade de mercado, bem como preços, volumes e horários de transações concluídas, garantindo transparência do processo de negociação.

Também é exigida justificativa da estrutura de taxas e confirmação de conformidade com o Artigo 76(13) do Regulamento, bem como descrição dos sistemas e procedimentos para armazenamento de dados de todas as ordens e mecanismos para fornecer à autoridade supervisora acesso ao livro de ordens e outras informações de negociação. Quanto à liquidação de transações, o requerente deve indicar se a liquidação final é realizada em um livro distribuído ou fora dele, prazo para início e conclusão da liquidação, métodos para verificação da disponibilidade de fundos e criptoativos, procedimento para confirmação dos dados da transação e momento em que a liquidação se torna definitiva.

Deve-se dar atenção especial à descrição das políticas, procedimentos e sistemas técnicos usados para detectar, prevenir e reportar abuso de mercado. Além da parte descritiva, o requerente deve fornecer à autoridade supervisora uma cópia das regras operacionais da plataforma de negociação e procedimentos internos destinados a prevenir manipulação e outras violações da integridade do mercado.

14) Troca de criptoativos por dinheiro ou outros criptoativos

Os requerentes que planejam trocar criptoativos por dinheiro ou outros criptoativos devem fornecer à autoridade supervisora, conforme Artigo 62(2)(o) do Regulamento (UE) 2023/1114, uma descrição completa da política comercial desenvolvida de acordo com o Artigo 77(1) do Regulamento. Além disso, deve ser divulgada a metodologia para determinação do preço dos criptoativos a serem trocados, explicando como o volume de mercado e a volatilidade dos ativos relevantes são considerados nos cálculos. Essa divulgação permite ao regulador avaliar a transparência da precificação, a proteção dos interesses dos clientes e a conformidade do requerente com práticas comerciais adequadas no âmbito da troca de criptoativos.

15) Política de execução

Empresas que pretendem executar ordens de criptoativos em nome de clientes devem submeter à autoridade supervisora, conforme Artigo 62(2)(p) do Regulamento (UE) 2023/1114, sua própria política de execução refletindo os princípios e procedimentos principais para organizar esse processo. A política deve conter disposições que confirmem que o cliente concordou com os termos de execução antes que a ordem seja colocada ou executada. Deve ser fornecida uma lista das plataformas de negociação de criptoativos nas quais o requerente se apoiará para execução de ordens, assim como os critérios para seleção dos locais de execução, formados de acordo com o Artigo 78(6) do Regulamento.

A documentação especifica as plataformas de negociação usadas para cada tipo de criptoativo e confirma que o requerente não possui benefício financeiro ou não financeiro ao enviar ordens para uma plataforma específica. O requerente deve descrever como preço, custos, velocidade e probabilidade de execução e liquidação, tamanho e natureza da ordem, condições de armazenamento de criptoativos e outros fatores são considerados para alcançar o melhor resultado possível para o cliente.

O procedimento para informar clientes sobre a intenção de executar suas ordens fora da plataforma de negociação e o mecanismo para obter seu consentimento prévio devem ser divulgados, explicando como o cliente é informado de que suas instruções específicas podem limitar a capacidade do requerente de alcançar o melhor resultado possível. A política de execução descreve os procedimentos para seleção de locais de negociação, estratégias de execução utilizadas, métodos para análise da qualidade da execução e mecanismos internos de controle que garantem conformidade com resultados que podem ser considerados ótimos para os clientes.

O requerente deve apresentar medidas para prevenir o uso indevido das informações de ordens de clientes por funcionários, o procedimento de divulgação de informações sobre a política de execução aos clientes e de notificação de quaisquer alterações significativas, além de descrever como a organização está preparada para confirmar a conformidade com os requisitos do Artigo 78 do Regulamento a pedido da autoridade supervisora.

16) Prestação de aconselhamento sobre criptoativos ou gestão de carteiras de criptoativos

Os requerentes que planejam fornecer aconselhamento sobre criptoativos ou gerenciar uma carteira de criptoativos devem, de acordo com o Artigo 62(2)(q) do Regulamento (UE) 2023/1114, fornecer à autoridade supervisora uma descrição detalhada das medidas adotadas para garantir a conformidade com o Artigo 81(7) do Regulamento. Os materiais apresentados devem divulgar os mecanismos para monitoramento, avaliação e manutenção eficazes do conhecimento e experiência do pessoal envolvido na prestação de aconselhamento ou gestão de carteiras, bem como medidas para assegurar que esses funcionários conheçam, compreendam e apliquem as políticas e procedimentos internos do requerente, concebidos para cumprir os requisitos do Regulamento (UE) 2023/1114 e da Diretiva (UE) 2015/849.

Além disso, o requerente deve especificar o montante de recursos humanos e financeiros planejados para alocação anual no desenvolvimento profissional e treinamento do pessoal envolvido na prestação de aconselhamento ou gestão de carteiras de criptoativos. A documentação deve descrever os mecanismos de monitoramento e avaliação da competência dos funcionários para garantir que os indivíduos que fornecem aconselhamento em nome do requerente possuam o conhecimento e as qualificações necessárias de acordo com os critérios nacionais e sejam capazes de avaliar a adequação dos clientes conforme o Artigo 81(1) do Regulamento.

Essas informações permitem ao regulador verificar que a organização possui procedimentos suficientes para manter um alto nível de profissionalismo e conformidade com os requisitos de proteção do cliente ao prestar serviços de aconselhamento e gestão de criptoativos.

17) Serviços de transferência

Os requerentes que planejam fornecer serviços de transferência de criptoativos em nome de clientes devem, de acordo com o Artigo 62(2)(r) do Regulamento (UE) 2023/1114, fornecer à autoridade supervisora informações sobre os tipos de criptoativos para os quais tais serviços serão prestados, bem como uma descrição detalhada das medidas que garantem a conformidade com o Artigo 82 do Regulamento. As informações fornecidas devem divulgar os procedimentos e recursos, tanto técnicos quanto humanos, destinados à eliminação rápida e eficaz dos riscos na execução das transferências, incluindo mecanismos para responder a possíveis falhas operacionais e ameaças cibernéticas.

Se existir uma apólice de seguro, o requerente deve descrever seu conteúdo, especificando a extensão da cobertura para danos aos criptoativos dos clientes que possam resultar de incidentes de cibersegurança. Além disso, é necessário explicar como os clientes são informados sobre as políticas internas, procedimentos e acordos aplicados na prestação de serviços de transferência de criptoativos, para garantir transparência e compreensão dos riscos por parte dos usuários.

Revisão da aplicação MiCA

A aplicação para licença nos termos do Regulamento (UE) 2023/1114 (MiCA) é um procedimento formalizado destinado a garantir padrões uniformes para empresas que prestam serviços de criptoativos na União Europeia. O Regulamento (UE) 2025/306 estabelece formulários e procedimentos uniformes para submissão de documentos, bem como procedimentos de interação entre o requerente e a autoridade competente. Após a submissão da aplicação, a autoridade competente deve confirmar seu recebimento e iniciar a verificação da completude das informações fornecidas. De acordo com o Artigo 63(2) do Regulamento MiCA, o prazo para essa verificação não pode exceder 25 dias úteis a partir da data de recebimento da aplicação e pagamento da taxa administrativa. Caso sejam encontradas deficiências ou informações obrigatórias ausentes, o regulador notificará o requerente sobre a necessidade de corrigi-las. Os dados corrigidos ou complementados devem ser enviados dentro dos prazos estabelecidos, e o período de revisão recomeçará a partir da data de recebimento.

Particular atenção é dada à língua dos documentos submetidos. De acordo com a Parte 1 do Artigo 16 do Código de Processo Civil do estado em que a aplicação é apresentada, todos os materiais devem ser redigidos na língua oficial da jurisdição relevante. Esta regra aplica-se tanto ao texto da própria aplicação quanto aos documentos anexos, incluindo programas de atividades, políticas internas, relatórios financeiros e outras informações. Assim, a submissão bem-sucedida de uma aplicação para licença MiCA requer conformidade com procedimentos formais, pagamento pontual de taxas, preparação correta dos documentos e sua conformidade com os requisitos linguísticos. Preparar uma aplicação com essas condições em mente garante um processo de interação com o regulador mais previsível e minimiza o risco de atrasos na etapa de verificação da completude das informações.