MiCA lisansına başvurmak için hangi belgeler gereklidir?

Avrupa Birliği’nde kripto varlık piyasalarına ilişkin düzenleme (MiCA, Regulation (EU) 2023/1114), tüm Avrupa Birliği genelinde kripto varlık hizmet sağlayıcıları (CASP) için standart gereklilikler belirlemiştir. Lisans almak için, yetkili otoritelerin başvuru sahibini, kurumsal yönetimini, güvenilirliğini, ihtiyati gerekliliklere uyumunu ve müşteri koruması ile sağlanan hizmetlerin istikrarını değerlendirebilmesini sağlayacak detaylı bir belge seti hazırlanmalıdır. Aşağıda, AB’de MiCA lisansı başvurusu için gereken belgelerin listesi yer almaktadır.

Kurumsal belgeler ve başvuru sahibi hakkında bilgi
Ana adımlardan biri, kurucu belgelerin sunulmasıdır: esas sözleşme, ana sözleşme, ticaret sicili özeti ve yasal varlık tanımlayıcısı (LEI). Başvuru sahibi bir ticaret platformu işletmeyi planlıyorsa kullanılacak ticari ad belirtilmelidir. Belge paketi, nitelikli pay sahipleri ve katılımcılar hakkında bilgi, itibarları ve fon kaynağı, ayrıca yönetim kurulu ve kilit yöneticilerle ilgili bilgiler (yeterlilik, sabıka kaydı yokluğu ve çıkar çatışmaları) içermelidir.

Faaliyet programı ve iş planı
MiCA Madde 62(2) uyarınca, başvuru sahibi bir faaliyet programı sunmalıdır. Programda şunlar açıklanmalıdır:

• şirketin organizasyon yapısı,
• hizmet sunum stratejisi ve hedef kitle,
• önümüzdeki üç yıl için operasyonel kapasite,
• pazarlama kanalları (web siteleri, mobil uygulamalar, çevrimiçi reklam, influencer işbirlikleri, sponsorluk, etkinlikler, eğitim kursları),
• finansal tahminler ve sermaye kullanımı planı.

Düzenleyici ayrıca, olumsuz ancak olası piyasa koşullarını simüle eden senaryo analizleri ve stres testleri beklemektedir; bunlar şirketin dış şoklara karşı dayanıklılığını değerlendirmek içindir.

Yönetim mekanizmaları ve iç kontrol
Başvuru sahibi, kurumsal yönetim sistemi, fonksiyon dağılımı, iç kontrol mekanizmaları ve karar alma süreçlerini açıklamalıdır. Bu, operasyonel, hukuki, siber ve itibar risklerinin yönetim prosedürlerini, iş sürekliliğini sağlama, duraklamaları en aza indirme ve siber saldırılar veya mücbir sebepler dahil olaylardan toparlanma planlarını içerir.

AML/KYC ve müşteri koruma önlemleri
Özellikle kara para aklama ve terör finansmanı ile mücadele mekanizmalarına dikkat edilmelidir (AMLD5 ve Regulation (EU) 2023/1113). İç KYC prosedürleri, işlem izleme ve raporlama sunulmalıdır. Ayrıca, müşteri varlıklarının kayıp veya kötüye kullanım risklerine karşı korunmasını sağlamak için ayrıştırma önlemleri açıklanmalıdır.

BT altyapısı ve siber güvenlik
Belge paketi, BT sistemleri, bilgi güvenliği protokolleri, siber risk yönetimine tahsis edilen insan kaynakları ve veri sızıntılarını önleme ile finansal kayıplara karşı koruma planlarını içermelidir.

Ticaret platformlarının işletim kuralları (platform yöneten CASP’ler için)
Başvuru sahibi bir ticaret platformu işletmeyi planlıyorsa, ticarete kabul edilecek kripto varlıkların kuralları, uyumluluk doğrulama prosedürleri, kabul edilmeyecek varlık türleri ve sınırlama gerekçeleri açıklanmalıdır. Ayrıca, emirlerin yürütülmesi ve iptali, şeffaflık ve kayıt tutma kuralları, işlemlerin düzenlenme prosedürleri (DLT kullanımı dahil) açıklanmalıdır.

Mali ve muhasebe verileri
Yetkili otoriteler, ihtiyati gerekliliklere uyumu sağlamak için yeterli öz kaynak bulunduğunu doğrulamalıdır (Madde 67 MiCA). Başvuru sahibi finansal tabloları (varsa), muhasebe politikalarının açıklamasını ve gerekli sermaye miktarının kanıtını (€50.000/€125.000/€150.000, lisans sınıfına bağlı olarak) sunmalıdır.

Yönetim ve pay sahiplerinin bütünlüğüne dair kanıt
Sabıka kaydı olmadığını beyan eden belgeler, devam eden soruşturmalar veya idari işlemler hakkında bilgiler ve düzenleyicinin uygunluk testini yapabilmesini sağlayacak bilgiler eklenmelidir.

2. ve 3. Sınıf için ek gereklilikler
Üst düzey lisanslar için, çıkar çatışmalarını önleme ve açıklama prosedürleri, piyasa suiistimalinin izlenmesi kuralları ve geliştirilmiş siber güvenlik önlemleri eklenmelidir.

MiCA lisans başvurusunda sunulması gereken kripto projesine dair detaylı bilgiler

Regulation (EU) 2023/1114 Madde 62 uyarınca bir kripto varlık hizmet sağlayıcısı (CASP) lisansı için başvuran şirket, başvurusunda aşağıdaki bilgi ve belgeleri sunmak zorundadır:

• şirketin resmi yasal adı, telefon numarası ve e-posta adresi;
• kullanılan veya kullanılacak ticari ad;
• yasal varlık tanımlayıcısı (LEI);
• düzenleyici ile iletişimden sorumlu atanan kişinin adı, pozisyonu, telefon numarası ve e-posta adresi;
• şirketin yasal statüsü (tüzel kişi veya diğer işletme), ulusal kimlik numarası ve ulusal sicile kayıt doğrulaması;
• şirketin kuruluş tarihi ve kayıtlı olduğu AB üye devleti;
• kurucu belgeler ve esas sözleşme, ayrıca varsa iç yönetmelikler;
• şirket merkezinin adresi ve farklıysa kayıtlı ofis adresi;
• diğer AB ülkelerinde faaliyet gösterecek şubeler hakkında bilgiler ve LEI numaraları;
• şirketin hizmet sağladığı tüm web sitelerinin alan adları ve resmi sosyal medya hesapları;
• eğer şirket tüzel kişi statüsüne sahip değilse:
  • müşteri ve üçüncü taraf haklarının, iflas durumunda dahil olmak üzere, tüzel kişi ile karşılaştırılabilir düzeyde korunmasını sağlayan belgeler;
  • örgütsel ve yasal yapısına uygun ihtiyati denetime tabi olduğunu gösteren belgeler;
• eğer şirket bir ticaret platformu işletmeyi planlıyorsa:
  • ticaret platformunun fiziksel adresi, telefon numarası ve e-posta adresi;
  • platformun faaliyet göstereceği ticari ad.

1) MiCA lisans başvurusu sırasında sağlanacak genel bilgiler

Madde 62 uyarınca kripto varlık hizmet sağlayıcısı (CASP) yetkilendirmesi için başvuran tüzel kişi, başvuruda değerlendirme ve yetkilendirme kararının alınabilmesi için gerekli tüm bilgi ve destekleyici belgeleri sunmalıdır:

• şirketin yasal adı, telefon numarası ve e-posta adresi;
• kullanılan veya planlanan ticari ad;
• yasal varlık tanımlayıcısı (LEI);
• düzenleyici ile iletişim kurmaya yetkili atanan kişinin adı, pozisyonu, telefon ve e-posta adresi;
• şirketin yasal formu, ulusal kimlik numarası ve sicile kayıt kanıtı;
• kuruluş tarihi ve AB üye devleti;
• kurucu belgeler, esas sözleşme ve varsa alt mevzuat;
• merkez ofis adresi ve farklıysa kayıtlı ofis;
• diğer yargı bölgelerinde faaliyet gösterecek şubeler hakkında bilgiler, LEI dahil;
• hizmet sağlanan tüm web siteleri ve sosyal medya hesapları;
• eğer tüzel kişi statüsü yoksa:
  • müşteri ve üçüncü taraf haklarının korunma düzeyi, iflasdahil;
  • örgütsel ve yasal yapısına uygun ihtiyati denetim;
• eğer ticaret platformu işletilecekse:
  • platformun fiziksel adresi, telefon ve e-posta;
  • platformun ticari adı.

2) Şirket faaliyet programı

CASP lisansı için başvuran şirket, lisans alındıktan sonraki üç yıl için ayrıntılı bir faaliyet programı sunmalıdır. Program şunları içermelidir:

• başvuru sahibinin şirketler grubundaki yeri ve faaliyetlerinin grubun stratejisi ile uyumu;
• ilişkili kuruluşların başvuru sahibinin işine etkisi analizi (düzenlenmiş olanlar dahil);
• sunulması planlanan tüm kripto varlık hizmetlerinin listesi ve ilgili varlık türleri;
• CASP hizmetlerinin dışında yapılacak diğer faaliyetlerin açıklaması (düzenlenmiş veya düzenlenmemiş);
• başvuru sahibinin halka kripto varlık sunup sunmayacağı veya ticarete kabul başvurusunda bulunup bulunmayacağı, ilgili varlık türleri ile;
• Hizmetlerin sunulacağı AB ve üçüncü ülke yargı bölgeleri ve bölgesel müşteri tahminleri;
• hedeflenen müşteri türlerinin özellikleri (perakende, profesyonel yatırımcılar vb.);
• müşterilerin hizmetlere erişim sağladığı kanallar:
  • hizmet sunulan web siteleri ve uygulamaların alan adları, arayüz dilleri, hizmet türleri ve mevcut ülkeler;
  • mobil ve web uygulamaları, arayüz dilleri ve sağlanan hizmet listesi;
• Pazarlama ve reklam planı:
  • kullanılan tanıtım kanalları (çevrimiçi reklam, sosyal ağlar, etkinlikler, basın bültenleri vb.);
  • müşterilerle iletişimde şirketin tanımlanma yöntemleri;
  • hedef kitle ve kampanyalarla hedeflenen kripto varlık türleri;
  • reklam materyallerinde kullanılan diller;
• planlanan hizmetlerin uygulanmasına tahsis edilen insan, finansal ve BT kaynaklarının açıklaması ve coğrafi konumu;
• dış kaynak kullanımı politikası, grup içi anlaşmalar dahil planlanan sözleşmelerin ayrıntılı açıklaması, Madde 73 gerekliliklerine uyum prosedürü, hizmet sağlayıcı bilgileri, konumları ve dış kaynak fonksiyonları, izleme ve risk değerlendirme süreçlerinin açıklaması;
• grup içi krediler ve finansal akışları dikkate alan projeksiyon muhasebe planı ve stres senaryoları;
• planlanan fiat on-/off-ramp işlemleri ve merkeziyetsiz uygulamalarla (DeFi) etkileşim açıklaması.

Ek olarak:

• Başvuru sahibi kripto varlıklar için müşteri emirlerini alma ve iletme hizmeti sunmayı planlıyorsa, Madde 80’e uygun prosedürler ve önlemler sunulmalıdır;
• Başvuru sahibi kripto varlıkların halka arzına girmeyi planlıyorsa, çıkar çatışmalarını tespit etme, önleme ve açıklama prosedürleri ile MiCA Madde 79 ve Madde 72(5) uyarınca kabul edilen teknik standartlara uygun önlemlerin açıklaması sağlanmalıdır.

Böyle bir program, düzenleyicinin şirketin stratejisini, iş modelinin sürdürülebilirliğini, kaynaklarını ve operasyon süresi boyunca düzenleyici gerekliliklere uyum sağlama hazırlığını değerlendirmesine imkan tanır.

3) İhtiyati gereklilikler

CASP lisansı için başvuran bir şirket, Regulation (EU) 2023/1114 Madde 67’de belirtilen ihtiyati gerekliliklere uyumu doğrulayan eksiksiz bir bilgi setini düzenleyiciye sunmalıdır.

Başvuruda şunlar belirtilmelidir:

• İhtiyati güvencelerin açıklaması:
  • Başvuru tarihindeki öz kaynak (sermaye) miktarı ve hesaplama yöntemi;
  • Öz kaynaklarla karşılanan ihtiyati teminat miktarı (varsa);
  • Sigorta poliçesi veya benzer finansal teminatla karşılanan teminat miktarı (varsa).
• Tahmini hesaplamalar ve planlar:
  • Lisans alındıktan sonraki ilk 3 yıl için sermaye ve ihtiyati teminat tahminleri;
  • Planlamada kullanılan temel varsayımlar, stres senaryoları dahil;
  • Beklenen müşteri sayısı, emir ve işlem hacmi ile saklanan kripto varlık hacmi.
• Mali tablolar (şirket zaten faaliyetteyse):
  • Son üç yıl için onaylanmış mali tablolar;
  • Raporlar denetlenmemişse, ulusal denetleyici otoriteden öz kaynak miktarına dair onay.
• Sermaye planlaması ve izleme prosedürleri:
  • İç kontrol ve ihtiyati teminat izleme sisteminin açıklaması.
• İhtiyati gerekliliklere uyum kanıtı:
  • Öz kaynak hesaplamasını doğrulayan belgeler (MiCA’ya uygun olarak);
  • Yeni kurulan şirketler için, yetkilendirilmiş sermayenin hesaba yatırıldığını gösteren banka dekontu;
  • Sigorta poliçesi veya benzer teminat kullanılıyorsa:
    • Sigorta şirketi hakkında bilgiler (adı, kayıt tarihi ve ülkesi, merkez ve kayıtlı ofis adresi, iletişim bilgileri);
    • MiCA Madde 67(5) ve 67(6) uyarınca imzalı sigorta poliçesi veya sözleşmesinin bir kopyası.

Bu belge seti, şirketin finansal istikrarını, operasyonel ve piyasa risklerini karşılayacak yeterli sermayeye sahip olduğunu ve öngörülemeyen durumlarda müşterilerini koruyabilme kapasitesini doğrular.

4) Yönetişim mekanizmaları, iç kontrol ve çıkar çatışması politikası

Başvuruda, grup şirketleri dahil (varsa) organizasyon yapısı, fonksiyon ve yetki dağılımı, yetki hattı ve mevcut iç kontrol mekanizmaları açıklanmalıdır. Anahtar iç fonksiyonların yöneticileri tanımlanmalı, biyografileri, eğitim, yeterlilik ve mesleki deneyim açıklamalarıyla birlikte sunulmalı ve görevlerini yerine getirecek bilgi ve beceriye sahip oldukları doğrulanmalıdır.

Düzenleyici, MiCA uyumunu sağlayan iç politika ve prosedürlerin açıklanmasını ve bunların çalışanlara iletilme mekanizmalarını bekler. İç ihbar sisteminin varlığına özel önem verilir; çalışanların düzenleyici gereklilik ihlallerini yönetime bildirebilmesi sağlanmalıdır. Başvuru sahibi, belgelerin kayıt altına alınması ve Avrupa Komisyonu teknik standartlarına uygun saklanma prosedürünü açıklamalı ve uygulanan politikaların etkinliğini izleme sistemini göstermelidir.

Şirket yönetim organı, önemli uyumsuzluk riskleri tespit edildiğinde dahil olmak üzere iç kontrol fonksiyonlarından düzenli rapor alabilmelidir. Başvuruda, süreçlerin istikrarını sağlayan BT sistemleri, kontrol araçları ve yedekleme çözümleri ile varsa piyasa suiistimalini önleme tedbirleri açıklanmalıdır.

Ayrıca, dış denetçi atanıp atanmadığı, iletişim bilgileri, muhasebe politikaları ve raporlama dönemleri belirtilmelidir.

Çıkar çatışması yönetimi özel önem taşır. Başvuruda, MiCA Madde 72’ye uygun olarak çıkar çatışmalarının tespit, önleme ve açıklama yöntemlerini açıklayan politika kopyası eklenmelidir. Politika, başvuru sahibinin faaliyet ölçeği ve niteliğini dikkate almalı ve ücretlendirme sistemi şirket ile müşteri çıkarları arasında çatışma yaratmamalıdır. Başvuru sahibi, politikanın etkinliğini izleyen kontrol sistemlerini, her çatışma vakasının kaydını ve çözümünü, müşteriye bildirimini açıklamalıdır.

Böyle kapsamlı bilgiler, düzenleyicinin başvuru sahibinin sağlam bir kurumsal yönetim sistemi oluşturduğunu, bağımsız iç kontrol fonksiyonlarına sahip olduğunu ve çıkar çatışmalarını önleyip çözme konusunda etkin önlemler uyguladığını doğrulamasına olanak tanır.

5) İş sürekliliği planı

Bu plan, başvurunun zorunlu bir parçasıdır ve şirketin ana sistem veya altyapı kesintilerinde dahi düzenli operasyonları sürdürebileceğini gösterir.

Açıklama, planın Regulation (EU) 2023/1114 gerekliliklerine uygun olduğunu, düzenli olarak güncellendiğini ve uygulamada test edildiğini doğrulamalıdır. Plan, beklenmeyen olaylarda (BT arızaları, mücbir sebepler, siber güvenlik olayları) operasyonların sürdürülmesine yönelik eylemleri içermelidir.

Kritik fonksiyonlar üçüncü taraf sağlayıcılara devredilmişse, hizmet kalitesindeki ani düşüş veya hizmetin sona ermesi durumunda iş sürekliliğinin nasıl sağlanacağı belirtilmelidir. Ayrıca, kilit personel veya karar vericinin kaybı durumunda eylem planı ve gerekirse hizmet sağlayıcıların bulunduğu yargı bölgelerindeki politik riskler değerlendirilmelidir.

Böyle bir plan sunmak, düzenleyicinin şirketin olası krizlere hazır olduğunu ve herhangi bir aksamanın etkisini minimize ederek müşteri güveni ve iş istikrarını koruyabileceğini doğrulamasına imkan tanır.

6) Kara para aklama ve terör finansmanına karşı önlemler (AML/CFT)

MiCA lisansı için başvuran şirket, AML/CFT sisteminin Directive (EU) 2015/849 ve Regulation (EU) 2023/1113’e uygun olduğunu doğrulamalıdır.

Başvuru, AML/CFT risklerini tanımlama ve değerlendirme süreci ile risk yönetim yaklaşımını açıklamalıdır. Şirket, müşteri tabanı, sunulan hizmet türleri, dağıtım kanalları ve faaliyet gösterilen coğrafi bölgelerle ilgili doğası gereği ve artık riskleri analiz etmelidir.

Düzenleyicinin, uygulanmış veya uygulanacak önlemleri görmesi önemlidir: risk değerlendirme prosedürleri, KYC ve müşteri inceleme kuralları, şüpheli işlemlerin tespiti ve yetkili makamlara zamanında raporlama. İç politika ve prosedürler, iş ölçeği, modelin karmaşıklığı, sunulan hizmetlerin kapsamı ve risk seviyesine uygun olmalıdır.

Başvuru sahibi, AML/CFT uyumundan sorumlu bir kişi atamalı ve niteliklerini doğrulamalıdır. İnsan ve mali kaynak tahsisi ile personelin kripto varlıklara özgü riskler dahil AML eğitimlerini aldığı da belirtilmelidir.

Başvuruya, tüm iç AML/CFT politika, prosedür ve sistemleri ile bunların etkinliğinin incelenme sıklığı ve sorumlu fonksiyonlar eklenmelidir.

Bu veri paketi, şirketin kara para aklama ve terör finansmanını önleme yükümlülüklerine uyduğunu, suiistimal risklerini minimize ettiğini ve kripto varlık hizmetleri sunarken Avrupa mevzuatına uygun hareket etmeye hazır olduğunu düzenleyiciye gösterir.

7) Şirket yönetim organı üyelerinin tanımlanması, itibar kontrolü ve yeterlilik değerlendirmesi

Başvuru sahibi, yönetim organının her üyesi için kimlik, iş itibarı, yeterlilik ve görevlerine yeterli zaman ayırma istekliliğini doğrulayan detaylı bilgi sağlamalıdır.

Başvuru, her üyenin tam kişisel bilgilerini içermelidir: ad, doğum yeri ve tarihi, son 10 yıldaki mevcut ve önceki adresler, vatandaşlık, ulusal

kimlik numarası ve kimlik belgesi kopyası. Ayrıca, yürütücü veya yürütücü olmayan pozisyon, görev süresinin başlangıç tarihi ve temel sorumluluklar belirtilmelidir.

Şirket, her yönetim organı üyesinin eğitim, mesleki eğitim, son 10 yıldaki iş deneyimi, tüm organizasyonlar ve görevleri, finansal hizmetler, kripto varlıklar, dijital teknolojiler, siber güvenlik ve inovasyon deneyimi dahil CV’sini sunmalıdır. Tavsiye mektupları ve referansların iletişim bilgileri eklenmeli, resmi belgelerle itibar doğrulanmalıdır.

Paketin önemli bir parçası, sabıka kaydı olmaması, devam eden ceza veya idari soruşturmalar, disiplin cezaları, iflas işlemleri, lisans iptalleri veya reddi, mesleki kuruluşlardan çıkarılmalar ve kamu veya düzenleyici otoriteler tarafından yapılan itibar değerlendirmeleri hakkında bilgidir.

Başvuru sahibi, yönetim organı üyelerinin ve birinci derece aile üyelerinin çıkar çatışmasına yol açabilecek tüm mali veya mali olmayan menfaatlerini açıklamak zorundadır; buna grup sermayesine katılım, mevcut krediler, verilen teminatlar veya hukuki anlaşmazlıklar dahildir. Önemli bir çıkar çatışması tespit edilirse, iç çıkar çatışması politikasına atıfta bulunarak bunun ortadan kaldırılması veya azaltılması için alınan önlemler açıklanmalıdır.

Düzenleyiciye, her yönetim organı üyesinin şirkete ayıracağı tahmini süre, aylık ve yıllık minimum saat sayısı, sahip oldukları diğer tüm pozisyonlar (yürütücü ve yürütücü olmayan) ile çalıştıkları şirketlerin büyüklüğü, varlık hacmi ve çalışan sayısı ile komite üyelikleri veya başkanlık gibi ek sorumluluklar listesi sunulmalıdır.

Başvuruya, her yönetim organı üyesinin bireysel uygunluk değerlendirmesi ve yönetim kurulunun toplu uygunluk değerlendirmesi eklenmelidir; yönetim organının MiCA gerekliliklerine uygun olduğunu doğrulayan rapor veya belgeler dahil edilmelidir. İtibar ve görevi yürütme engeli bulunmadığını doğrulayan resmi belgeler, başvuru tarihinden en fazla üç ay önce düzenlenmiş olmalıdır.

Bu bilgiler, düzenleyicinin şirket yönetiminin gerekli bilgi, deneyim ve itibara sahip olduğunu ve Regulation (EU) 2023/1114 gerekliliklerine uygun olarak bir kripto varlık hizmet sağlayıcısını etkin bir şekilde yönetebileceğini doğrulamasını sağlar.

8) Hissedarlar ve önemli pay sahipleri hakkında bilgi

MiCA lisans başvurusunda, düzenleyicinin hissedarların veya önemli pay sahiplerinin dürüstlüğünü, mali sağlamlığını ve şirket yönetimi üzerindeki etkilerini değerlendirebilmesi için tam bilgi sunulmalıdır.

Başvuru sahibi, sermaye ve oy haklarının dağılımını gösteren kurumsal ve holding yapısının detaylı bir organizasyon şemasını sunmalıdır. Şema, nitelikli paya sahip tüm hissedarları ve katılımcıları tanımlamalı ve kimlik bilgilerini içermelidir.

Doğrudan veya dolaylı olarak önemli pay sahibi olan her kişi için, Commission Delegated Regulation (EU) 2025/414 Madde 1–4’te belirtilen belgeler ve bilgiler sağlanmalıdır. Ayrıca, bu hissedarlar tarafından veya onların önerisiyle atanacak ve şirket işlerinin yönetimine katılacak yönetim organı üyeleri belirtilmelidir.

Başvuruda, her hissedar tarafından taahhüt edilen pay sayısı ve türü, nominal değeri, ödenmiş veya ödenecek primler ve kurulan rehin, ipotek ve diğer teminatlar ile bunların lehine olduğu taraflar belirtilmelidir.

Ayrıca, Commission Delegated Regulation (EU) 2025/414 Madde 6 (b, d, e) ve Madde 8’de belirtilen bilgiler ve hissedarların itibarı, fon kaynağı ve mali şeffaflığını doğrulayan belgeler sağlanmalıdır.

Bu bilgi paketi, düzenleyicinin şirket sahiplerinin MiCA gerekliliklerine uyduğunu, sağlam yönetim için risk oluşturmadığını ve başvuru sahibinin mali istikrarını destekleyebileceklerini doğrulamasına imkan tanır.

9) BİT sistemleri ve siber güvenlik önlemleri

MiCA lisansı için başvuran bir şirket, Regulation (EU) 2022/2554 (DORA) ve Regulation (EU) 2016/679 (GDPR) gerekliliklerine uygun güvenilir bir BT altyapısına ve siber güvenlik sistemine sahip olduğunu doğrulamalıdır. Başvuru, BİT sistemleri ve varsa DLT altyapısı ile veri dayanıklılığı, bütünlüğü ve gizliliğini sağlayan güvenlik önlemlerinin teknik dokümantasyonunu içermelidir.

Düzenleyiciye, şirketin genel risk yönetim sistemi kapsamında BİT risk yönetim mimarisi, kullanılan sistemler, protokoller ve araçlar hakkında bilgi verilmelidir. Başvuru, şirketin politika ve prosedürlerinin veri koruma, erişilebilirlik ve doğruluğu ile DORA ve GDPR uyumunu nasıl sağladığını açıklamalıdır.

Şirkette desteklenen tüm kritik BİT hizmetleri ve dış sağlayıcılar tarafından sunulan hizmetler listelenmelidir. Sağlayıcıların kimliği ve konumu, dış kaynak ilişkilerinin açıklaması ve MiCA Madde 73 ile DORA V. Bölümüne uyumu doğrulayan sözleşme kopyaları sağlanmalıdır.

Önemli bir bölüm, olay yönetimi prosedürleri, siber güvenlik önlemleri, saldırı müdahale planları ve felaket kurtarma planlarının açıklanmasıdır. Dış denetim veya penetrasyon testleri yapılmışsa, sonuçları veya siber güvenlik raporları eklenmelidir. Denetimin, organizasyonel ve fiziksel güvenlik, yazılım geliştirme yaşam döngüsü, zafiyet taraması, kritik BİT varlık yapılandırmalarının değerlendirilmesi ve farklı erişim seviyelerini doğrulayan siyah, gri ve beyaz kutu testlerini kapsaması önemlidir.

Şirket akıllı sözleşmeler kullanıyor veya geliştiriyorsa, siber güvenlik açısından kaynak kodlarına ilişkin bir genel bakış eklenmelidir. Ayrıca, önceki BİT sistemleri denetimleri, DLT altyapısı ve uygulanmış güvenlik önlemleri hakkında bilgi sağlanmalıdır.

Son olarak, başvuru sahibi, düzenleyicinin teknik belgeleri detaylı incelemeden siber güvenlik sistemi ve BİT altyapısının güvenilirliği hakkında genel bir fikir edinmesini sağlayacak şekilde tüm önlemleri teknik olmayan bir dille özetlemelidir.

10) Kripto varlıkların ve müşteri fonlarının ayrılması ve güvenli saklanması

Kripto varlık veya müşteri fonlarının (elektronik para tokenleri hariç) saklanması hizmeti sunmayı planlayan bir şirket, MiCA lisans başvurusunda müşteri varlıklarının ayrılması ve korunmasına ilişkin prosedürlerini detaylı olarak açıklamalıdır.

Belge, müşteri fonlarının ve kripto varlıklarının şirketin kendi çıkarları için kullanılmadığını doğrulamalıdır. Müşteri varlıklarının saklandığı cüzdanların başvuru sahibinin kurumsal cüzdanlarından ayrı olduğunu ve birden fazla müşterinin varlıklarını içeren omnibus hesap kullanılsa dahi her müşterinin fonlarının tanımlanabilir olduğunu göstermelidir.

Özellikle, kriptografik anahtar yönetim ve koruma sistemi vurgulanmalı, anahtar oluşturma ve saklama prosedürleri, çoklu imza kullanımı ve gizlilik ile güvenliği sağlama önlemleri açıklanmalıdır.

Başvuru sahibi, müşteri fonlarının işlenme prosedürünü açıklamalıdır: fonlar alındıktan sonra iş gününün sonunda merkez bankası veya kredi kurumundaki bir hesaba aktarılmalı ve şirketin kendi fonlarından ayrı tutulmalıdır. Eğer merkez bankasına fon yatırma planı yoksa, kredi kurumlarının seçimi, çeşitlendirme politikası ve kararların gözden geçirilme sıklığı açıklanmalıdır.

Başvuruda, müşterilere varlıklarının korunma mekanizmalarının nasıl bildirildiği açıklanmalı; ayrım, fon saklama politikası ve güvenlik prosedürleri basit ve anlaşılır bir dille, gereksiz teknik terimler kullanılmadan sunulmalıdır.

Bu bilgiler, başvuru sahibinin MiCA Madde 70’e uyduğunu, müşterilerin mülkiyet haklarını koruduğunu ve şirketin mali zorlukları veya iflası durumunda kayıpları en aza indirdiğini doğrular.

11) Şikayet yönetimi prosedürleri

Şirket, müşteri şikayetlerini yönetmek için şeffaf ve etkili bir sisteme sahip olduğunu doğrulamalıdır. Başvuruda, şikayetlerin yönetimi için tahsis edilen insan ve teknik kaynaklar açıklanmalı ve bu süreci yöneten kişi belirtilmelidir. Düzenleyici, bu çalışanın eğitim, mesleki eğitim ve deneyimini özetleyen bilgilerin sunulmasını ve atanmış görevleri yerine getirme kapasitesinin gösterilmesini bekler.

Başvuru sahibi, prosedürlerinin MiCA Madde 71(5) uyarınca Avrupa Komisyonu tarafından belirlenen teknik standartlara uygun olduğunu ve müşterilerin ücretsiz şikayette bulunma fırsatına sahip olduğunu göstermelidir. Şirketin bu fırsatı müşterilere nasıl bildirdiği açıklanmalıdır; web sitesi veya hizmet sunulan diğer dijital kanallardaki bilgilendirme dahil edilmelidir.

Şikayetlerin kaydedilme prosedürü, değerlendirme, araştırma ve yanıt süreleri ile müşterilere mevcut hukuki başvuru yollarının bildirilme mekanizmaları açıklanmalıdır. Başvuru, şikayetin ele alınmasındaki temel prosedürel adımları, kararın müşteriye veya potansiyel müşteriye iletilme yöntemi ve biçimi dahil olmak üzere detaylandırmalıdır.

Böyle bir açıklama, düzenleyiciye başvuru sahibinin müşteri haklarını yeterince koruduğunu, şeffaf çalıştığını ve anlaşmazlıkların hızlı çözümüne yönelik mekanizmalarının bulunduğunu gösterir; bu, bir kripto varlık hizmet sağlayıcısına duyulan güvenin temel unsurudur.

12) Saklama ve yönetim politikası

Kripto varlıkların saklanması ve yönetim politikası, başvuru sahibi tarafından Regulation (EU) 2023/1114 Madde 62(2)(m) uyarınca sunulan belge paketinin zorunlu bir unsurudur. Müşteriler adına kripto varlık saklama ve yönetim hizmetleri sunmayı planlayan şirketler, denetleyici otoriteye, müşterilere sunulan saklama çözümlerinin tam açıklamasını, saklama türlerini, standart hizmet sözleşmesinin bir kopyasını ve Madde 75(1) ve 75(3) uyarınca müşterilere iletilen saklama politikasının özetini sunmalıdır.

Başvuru sahibinin, kripto varlıkların veya bunlara erişim araçlarının saklanması ve yönetimiyle ilişkili operasyonel ve BİT risklerini belirten bir iç saklama ve yönetim politikası sunması gerekmektedir. Politika, Yönetmelik Madde 75(8) gerekliliklerine uyum için prosedür ve önlemleri, iç kontrol ve risk yönetim sistemlerinin açıklamasını, saklama fonksiyonlarının dış kaynak kullanımına ilişkin hükümleri, müşteri haklarının kullanımını güvence altına alan kurallar ve prosedürler ile kripto varlıkların veya erişim araçlarının iadesini garanti eden prosedürleri içermelidir.

Ayrıca, kripto varlıkları ve erişim araçlarını tanımlama mekanizmaları ve kayıp riskini minimize etme önlemleri açıklanmalıdır. Saklama ve yönetim hizmetleri üçüncü bir tarafa devrediliyorsa, başvuru sahibi dış kaynak sağlayıcının kimliğini, Madde 59 ve 60 uyarınca statüsünü, devredilen fonksiyonların açıklamasını, yetkilendirilenler ve alt yetkilendirilenler listesini ve böyle bir devretmeyle ortaya çıkabilecek olası çıkar çatışmalarını bildirmelidir. Ayrıca, devredilen fonksiyonların performansını kontrol ve izleme sisteminin açıklaması gereklidir.

Bu yaklaşım, düzenleyicinin başvuru sahibinin müşterilerin hak ve çıkarlarını yüksek düzeyde koruma, saklama süreçlerini düzgün organize etme, operasyonel ve teknolojik riskleri yönetme ve Avrupa düzenleyici gerekliliklerine uyum sağlama yeteneğini değerlendirmesini sağlar.

13) Ticaret platformu işletme kuralları ve piyasa suiistimali tespiti

Kripto varlıklar için ticaret platformu işletmeyi planlayan başvuru sahipleri, Regulation (EU) 2023/1114 Madde 62(2)(n) uyarınca, denetleyici otoriteye platformun işletme kuralları ve piyasa suiistimalini önleme mekanizmalarının tam açıklamasını sunmalıdır. Sunulan belgeler, kripto varlıkların ticarete kabul kuralları ve onay prosedürlerini, Müşteri Tanıma (KYC) dahil Directive (EU) 2015/849 uyumluluğunu, ticaretten muaf kripto varlık kategorilerini ve muafiyet gerekçelerini içermelidir. Ticaret kabulüne ilişkin politika, prosedür ve ücretler ile üyelik koşulları, indirimler ve ilgili hükümler açıklanmalıdır.

Başvuru sahibi, emirlerin yürütülmesi, iptali ve iptal edilen işlemlerin piyasa katılımcılarına bildirilmesi mekanizmasını açıklamalıdır. Kripto varlıkların ticarete uygunluğunu değerlendirme yöntemleri ile Madde 76’ya uyumu sağlamak için kullanılan sistemler ve düzenlemeler tanımlanmalıdır. Belgeler, teklif ve talep fiyatlarının, piyasa derinliği verilerinin ve tamamlanan işlemlerin fiyat, hacim ve zamanlarının yayımlanma prosedürünü açıklamalıdır.

Ücret yapısının gerekçesi ve Madde 76(13) uyumu ile tüm emirlerin verilerinin saklanması ve denetleyici otoriteye emir defteri ve diğer ticaret bilgilerine erişim sağlama mekanizmalarının açıklanması gereklidir. İşlemlerin uzlaştırılmasında, son uzlaşmanın dağıtılmış defterde mi yoksa dışında mı yapılacağı, başlama ve tamamlanma süresi, fon ve kripto varlıkların uygunluğu doğrulama yöntemleri ve uzlaşmanın kesinleştiği an belirtilmelidir.

Özellikle, piyasa suiistimalini tespit, önleme ve bildirmeye yönelik politika, prosedür ve teknik sistemlerin açıklanmasına dikkat edilmelidir. Açıklamanın yanı sıra, başvuru sahibi, manipülasyon ve piyasa bütünlüğü ihlallerini önlemeye yönelik ticaret platformu işletme kuralları ve iç prosedürlerinin bir kopyasını denetleyiciye sunmalıdır.

14) Kripto varlıkların nakit veya diğer kripto varlıklarla değişimi

Kripto varlıkları nakit veya diğer kripto varlıklarla değiştirmeyi planlayan başvuru sahipleri, Regulation (EU) 2023/1114 Madde 62(2)(o) uyarınca, denetleyiciye Madde 77(1) kapsamında geliştirilmiş ticari politikalarının tam açıklamasını sunmalıdır. Ayrıca, değiştirilecek kripto varlıkların fiyatını belirleme metodolojisi açıklanmalı, ilgili varlıkların piyasa hacmi ve volatilitesinin hesaplamalara nasıl dahil edildiği gösterilmelidir. Bu açıklama, düzenleyicinin fiyat şeffaflığını, müşteri çıkarlarının korunmasını ve başvuru sahibinin kripto varlık değişiminde iyi ticari uygulama gerekliliklerine uyumunu değerlendirmesini sağlar.

15) Yürütme politikası

Müşteri adına kripto varlık emirlerini yürütmeyi planlayan şirketler, Regulation (EU) 2023/1114 Madde 62(2)(p) uyarınca, denetleyiciye bu süreci düzenleyen temel prensip ve prosedürleri yansıtan yürütme politikalarını sunmalıdır. Politika, emir verilmeden veya yürütülmeden önce müşterinin yürütme koşullarına onay verdiğini doğrulayan düzenlemeleri içermelidir. Başvuru sahibi, emir yürütmede güvenilecek kripto varlık ticaret platformlarının listesini ve yürütme mekanlarının seçim kriterlerini (Madde 78(6) uyarınca) sunmalıdır.

Belgeler, her kripto varlık türü için kullanılan ticaret platformlarını ve belirli bir platforma emir göndermekten başvuru sahibinin herhangi bir mali veya mali olmayan menfaatinin olmadığını doğrulamalıdır. Başvuru sahibi, fiyat, maliyet, yürütme ve uzlaşma hızı, emir büyüklüğü ve türü, kripto varlık saklama koşulları ve diğer faktörlerin müşteri için en iyi sonucu sağlamak amacıyla nasıl dikkate alındığını açıklamalıdır.

Müşterilere, emirlerinin ticaret platformu dışında yürütülmesi niyeti ve önceden onay alma mekanizması bildirilmelidir. Politika, ticaret mekanlarının seçimi, yürütme stratejileri, yürütme kalitesi analiz yöntemleri ve müşteri için optimal kabul edilebilir sonuçları sağlamak için iç kontrol mekanizmalarını açıklamalıdır.

Başvuru sahibi, müşteri emir bilgilerinin çalışanlar tarafından kötüye kullanılmasını önleyici önlemleri, yürütme politikası hakkında müşterilerin bilgilendirilmesi prosedürlerini ve önemli değişikliklerde bilgilendirme yöntemlerini sunmalı ve denetleyici talep ettiğinde Madde 78 gerekliliklerine uyumu doğrulama hazırlığını açıklamalıdır.

16) Kripto varlıklar hakkında tavsiye veya portföy yönetimi

Kripto varlıklar hakkında tavsiye vermeyi veya portföy yönetimini planlayan başvuru sahipleri, Regulation (EU) 2023/1114 Madde 62(2)(q) uyarınca, Madde 81(7) gerekliliklerine uyumu sağlayan önlemleri detaylı açıklamalıdır. Sunulan belgeler, tavsiye veya portföy yönetiminde görevli personelin bilgi ve deneyimini izleme, değerlendirme ve sürdürme mekanizmalarını ve bu personelin iç politika ve prosedürleri anladığını ve uyguladığını göstermelidir.

Başvuru sahibi, tavsiye veya portföy yönetimi görevine ayrılacak yıllık insan ve mali kaynak miktarını belirtmelidir. Belgeler, personelin yeterliliğini izleme ve değerlendirme mekanizmalarını açıklamalı, böylece başvuru adına tavsiye veren bireylerin ulusal kriterlere göre gerekli bilgi ve yetkinliğe sahip olduğunu ve Madde 81(1) uyarınca müşterilerin uygunluğunu değerlendirebildiğini doğrulamalıdır.

Bu bilgiler, düzenleyicinin, danışmanlık hizmetleri ve kripto varlık yönetimi sırasında müşteri koruma gerekliliklerine uyumu ve yüksek profesyonellik seviyesini sürdürmek için yeterli prosedürlerin mevcut olduğunu doğrulamasını sağlar.

17) Transfer hizmetleri

Müşteri adına kripto varlık transfer hizmeti sunmayı planlayan başvuru sahipleri, Regulation (EU) 2023/1114 Madde 62(2)(r) uyarınca, denetleyiciye hizmet sağlanacak kripto varlık türleri ile Madde 82 uyumunu garanti eden önlemlerin detaylı açıklamasını sunmalıdır. Sağlanan bilgiler, transferlerin hızlı ve etkin bir şekilde gerçekleştirilmesini sağlayacak teknik ve insan kaynaklarını ve potansiyel operasyonel arızalara ve siber tehditlere karşı yanıt mekanizmalarını içermelidir.

Sigorta poliçesi mevcutsa, başvuru sahibi bunun içeriğini ve siber güvenlik olayları sonucu müşterilerin kripto varlıklarına gelebilecek zararları kapsama kapsamını açıklamalıdır. Ayrıca, kullanıcıların riskleri anlayabilmesi ve şeffaflığın sağlanması için transfer hizmeti sırasında uygulanan iç politika, prosedür ve anlaşmaların nasıl bildirildiği açıklanmalıdır.

MiCA başvuru incelemesi

Regulation (EU) 2023/1114 (MiCA) kapsamında lisans başvurusu, Avrupa Birliği’nde kripto varlık hizmeti sunacak şirketler için standartları sağlamak amacıyla formalize edilmiş bir prosedürdür. Regulation (EU) 2025/306, belgelerin sunumu ve başvuru sahibi ile yetkili otorite arasındaki etkileşim prosedürleri için standart formlar ve yöntemler belirler. Başvuru gönderildikten sonra yetkili otorite, alındığını doğrulamak ve verilen bilgilerin eksiksizliğini kontrol etmeye başlamakla yükümlüdür. MiCA Madde 63(2) uyarınca, bu doğrulamanın süresi başvurunun alınması ve idari ücretin ödenmesinden itibaren 25 iş gününü aşamaz. Eksiklikler veya zorunlu bilgiler eksikse, düzenleyici başvuru sahibine bunların giderilmesi gerektiğini bildirir. Düzeltilmiş veya eklenen veriler belirlenen süreler içinde sunulmalı ve inceleme süresi, başvurunun tekrar alınma tarihinden itibaren başlar.

Belgelerin dili özellikle önemlidir. Başvurunun yapıldığı devletin Medeni Usul Kanunu Madde 16(1) uyarınca, tüm materyaller ilgili yargı alanının resmi dilinde olmalıdır. Bu kural, başvurunun metni ve ek belgeler, faaliyet programları, iç politikalar, mali raporlar ve diğer bilgiler için geçerlidir. Bu koşullara uygun bir MiCA lisans başvurusu, düzenleyici ile etkileşimin daha öngörülebilir olmasını sağlar ve bilgi eksikliğinin doğrulanması aşamasında gecikme riskini en aza indirir.