Cyberbezpieczeństwo w świadczeniu usług związanych z kryptoaktywami

Monitor Prawa Bankowego 2024/07-08 Lipiec/Sierpień

Zmiany w sferze regulacyjnej dotyczącej rynku kryptoaktywów powodują, że tradycyjny rynek finansowy uzyska narzędzia pozwalające na powiązanie się z pewnymi rozwiązaniami opracowanymi na gruncie rozwiązań DLT. Efektem takiej możliwości jest jednak konieczność wyjścia rynku kryptoaktywów z tak zwanego shadow banking 2.0[1]. Zmiany tego typu będą powodować, że branża ta wpisze się na stałe w pewne wymagania w różnych charakterystycznych zakresach obowiązków znanych na rynku tradycyjnych finansów. Jednym z tego typu nowych obowiązków będzie przestrzeganie zasad cyberbezpieczeństwa.      

Dariusz Szostek

Rafał Prabucki

Mateusz Jakubik

Usługi związane z kryptoaktywami

Usługi świadczone w ramach rynku kryptoaktywowego w aspekcie cyberbezpieczeństwa opisywane są w dwojaki sposób. Jednym z nich jest kwestia techniczna pewnego DLT (distributed ledger technology – technologia rozproszonego rejestru). W ramach jego funkcjonowania aspekty tego typu powodują, że bezpieczeństwo transakcji wpływa i kształtuje też potrzebne do jego właściwego działania elementy. Część elementów jest natywna i wynika ze sposobu prowadzenia pewnego DLT. To społeczność albo podmiot zarządzający DLT podejmuje decyzję, aby rejestr i związane z nim funkcje poprawnie działały. Wykorzystanie mechanizmów bazujących na kodzie programistycznym, w tym kryptografii, poniekąd zastąpiło w takim układzie mechanizmy prawne (taki był cel - kryptoprawo)[2]. Jak zauważa jednak M. Haentjens i M. Lehmann, nie da się budować technicznych rozwiązań tak, aby „powstrzymały” konstrukcje i mechanizmy prawne. Jako przykład autorzy podają Sąd Rejonowy w Tokio, który podejmował decyzję w ramach swojej jurysdykcji o tym, w jaki sposób kryptoaktywa będą rozdzielone między wierzycielami. Nagła zmiana zasad w zakresie bezpieczeństwa transakcji związana jest z zastosowaniem praw własności. Jak zauważają badacze: „Własność jest terminem prawnym głęboko zakorzenionym w historii, który jest, był i będzie wykorzystywany do ochrony tych, którzy roszczą sobie prawo do aktywów”[3]. Kryptoaktywa, dopóki obracamy nimi na zasadach określonych pewnym działaniem DLT, pozwalają użytkownikowi zachować pełną kontrolę nad swoimi aktywami. Usługi w ramach takich transakcji nazywamy DeFi[4]. Istnieje jednak szereg usług, które powodują, że kontrola ta nie jest pełna, a transakcje odbywają się poza DeFi wypracowanymi w ramach pewnego DLT. Na sposób działania tych podmiotów, w tym transakcji związanych z kryptowalutami, może już mieć wpływ, i ma - prawo.

Podsumowując ten fragment autorzy przyjmują, że istnieje praktyczne rozróżnienie usług z punktu widzenia użytkownika. Usługi natywne w ramach DLT to jedna sfera bezpieczeństwa transakcji. Usługi aplikowane (dodatkowe rozwiązania świadczone dla rynku kryptoaktywów) to inna sfera usług, gdzie o bezpieczeństwie kryptoaktywów decydują rozwiązana techniczne zewnętrzne względem DLT, oferowane przez podmioty działające w sposób zbliżony do innych podmiotów na rynku tradycyjnych finansów, czyli tak zwane CeFi (rys. 1)[5]. W obu przypadkach możliwe jest zastosowanie prawa danego dla pewnej jurysdykcji, choć nie bez problemu. Jak zauważa J. Wyczik, usługi tworzone w ramach DeFi miały oferować demokratyzację rynku, bez nadzoru, ale z elastycznością, a wprowadziły zamieszanie w aspekcie korzystania z tradycyjnego prawa przez użytkowników[6]. Z kolei korzystania z podmiotów oferujących usługi aplikowane do pewnej sfery obrotu kryptoaktywów w ramach pewnego DLT, nie można łączyć z technicznymi aspektami bezpieczeństwa tegoż DLT. Dla przykładu – upadek platformy wymiany kryptoaktywów FTX nie jest konsekwencją błędnego działania DLT, którego kryptoaktywa były oferowane na tejże platformie[7].   

Rysunek. 1. Podział usług.

Źródło: Opracowanie własne.

Próby usystematyzowania rynku podejmowane są na drodze wprowadzania nowych ram przez prawodawcę. Wskazanie zakresu dla usług związanych z kryptoaktywami znajduje się w Rozporządzeniu MiCA[8]. Należy jednak podkreślić, że sam akt prawny nie jest jedyną ramą dla tego typu usług, a jedynie systematyzuje pewne aspekty, które pozwalają zastosować wobec wskazanychpodmiotów inne wymogi, jak np. te określone w DORA[9].

Świadczenie usług wedle Rozporządzenia MiCA

Zgodnie z art. 3 ust. 1 pkt 16 MiCAR, usługa w zakresie kryptoaktywów opisana jest poprzez katalog enumeratywnie wskazanych usług lub rodzajów działalności związanych z kryptoaktywami, których jest 10. Pierwszą jest zapewnianie przechowywania kryptoaktywów i administrowania nimi w imieniu klientów. Zgodnie z Rozporządzeniem MiCA jest to: „(…) sprawowanie pieczy nad kryptoaktywami lub środkami dostępu do takich kryptoaktywów, w stosownych przypadkach w postaci prywatnych kluczy kryptograficznych, lub sprawowanie nad nimi kontroli w imieniu klientów”. Drugą jest prowadzenie platformy obrotu kryptoaktywami. Jest to: „(…) zarządzanie co najmniej jednym systemem wielostronnym, który skupia interesy wielu stron trzecich związane z nabywaniem i sprzedażą kryptoaktywów lub który ułatwia skupianie takich interesów – w ramach tego systemu i zgodnie z jego zasadami – w sposób skutkujący zawarciem umowy, albo w drodze wymiany kryptoaktywów na środki pieniężne, albo w drodze wymiany kryptoaktywów na inne kryptoaktywa”. Trzecia i czwarta usługa związane są z wymianą kryptoaktywów – w jednym przypadku na środki pieniężne, a w drugim na inne kryptoaktywo. Jest to zgodnie z MiCAR: „(…) zawieranie z klientami umów nabycia lub sprzedaży kryptoaktywów w zamian za środki pieniężne albo inne kryptoaktywa”, ale „(…) z użyciem własnego kapitału”. Piąta usługa wedle Rozporządzenia MiCA to wykonywanie zleceń związanych z kryptoaktywami w imieniu klientów. Zgodnie z rozporządzeniem: „(…) oznacza zawieranie w imieniu klientów umów nabycia lub sprzedaży co najmniej jednego kryptoaktywa lub umów subskrypcji w imieniu klientów co najmniej jednego kryptoaktywa i obejmuje zawieranie umów sprzedaży kryptoaktywów w momencie ich oferty publicznej lub dopuszczenia do obrotu”. Szósta usługa to plasowanie kryptoaktywów, którą MiCAR dookreśla, jako „(…) oferowanie kryptoaktywów nabywcom w imieniu lub na rachunek oferującego bądź osoby powiązanej z oferującym”. Siódma usługa to z kolei przyjmowanie i przekazywanie zleceń związanych z kryptoaktywami w imieniu klientów. Jak każda z usług, również i tą definiuje MiCAR, jako: „(…) przyjmowanie od danej osoby zleceń kupna lub sprzed (...)