Mads Ribe: Desentralisert finans og MiCA: Software-selskaper settes under press

Dette skriver Mads Ribe i en fersk bloggpost hos kaupr.io. Ribe er advokat og assosiert partner i Ernst & Young Advokatfirma AS.

MiCA og DeFi

EU-forordningen Markets in Crypto Assets Regulation (MiCA) skal implementeres i EU/EØS i løpet av 2024, og et av de store stridstemaene er hvorvidt MiCA omfatter desentralisert finans (DeFi) eller ikke. ESMA kom nylig med noen klargjøringer, som viser at spørsmålet er komplekst. Norske DeFi-aktører, som ser på seg selv som rene software-selskaper, risikerer å måtte søke lisens som CASP («Crypto Asset Service Provider») under MiCA. 

DeFi, eller desentralisert finans, er i utgangspunktet ekskludert fra MiCA, men denne artikkelen utfordrer dette perspektivet og setter lys på hvilke konsekvenser forordningen vil kunne få for software-leverandører som leverer tjenester inn i DeFi-markedet. Regulerer MiCA i realiteten deler av DeFi-industrien på en måte som er ukjent for dagens leverandører av IT-tjenester til tradisjonell bank- og finansindustri, og i så fall, hvilke implikasjoner har det for fremtidens finanssektor?

Hva er DeFi?

DeFi er et system basert på blokkjedeteknologi som består av programvare designet for å utføre økonomiske aktiviteter mellom likeverdige parter eller systemer, som for eksempel utveksling, utlån, låneopptak, tilbud, forvaltning og tokenisering av digitale eiendeler. Disse systemene styres av forhåndsbestemte kodede regler, algoritmer eller protokoller, som eliminerer behovet for en mellommann. DeFi-systemene lagres og utføres på en blokkjede som administreres av et nettverk av uavhengige noder som bruker en konsensusprotokoll, noe som bidrar til større motstandskraft mot systemfeil. Selv om det finnes ulike grader av «desentralisert», refererer desentralisert her til DeFi-systemer som ikke eies eller kontrolleres av noen enkelt enhet eller en koordinert gruppe av individer.

Åpen og transparent tilgang

I et DeFi-system har brukerne åpen og transparent tilgang, og systemet fungerer uten å kreve sentraliserte mellomledd. Smarte kontrakter er kode som utfører handlinger uten involvering av tredjeparter, og som håndheves av konsensusregler og nettverksvalidering. Disse kontraktene kan for eksempel sikre en eiendel til en bestemt hendelse finner sted eller visse betingelser er oppfylt. Kontrollen over disse eiendelene er programmert begrenset og er underlagt logikken til DeFi-protokollens smarte kontrakt og den underliggende blokkjedens konsensusregler. Offentlig publisering på blokkjeden sikrer gyldighet og muliggjør offentlig gransking.

Hvilke tjenester omfatter DeFi?

DeFi-tjenester er en form for hybride finanstjenester, der kodere på mange måter har overtatt godt betalte rådgivere i finanshus for å lage komplekse finansielle produkter. I mange tilfeller er forholdet mellom den tradisjonelle finansreguleringen av DeFi-tjenester usikker fordi de opererer i en slags gråsone, der enkelte tjenester vil kunne passe inn i dagens regulering for finansielle produkter og tjenester, mens andre ikke gjør det og dermed forblir uregulert. DeFi omfatter bl.a.:

• Desentraliserte børser: Disse muliggjør «peer-to-peer» utveksling av kryptoaktiva ved å bruke likviditetsbassenger eller auksjonsprosesser som sikrer likviditet i markedet og styres gjennom smarte kontrakter.

• «Liquid Staking»: Brukere setter inn og låser digitale eiendeler i en smart kontrakt for å legge til rette for likviditet i et marked for bestemte kryptoaktiva. Som motytelse mottar brukerne en tokenisert versjon av de innskutte eiendelene og en belønning for varigheten av en slik låst innskudd.

• Derivater: Disse gir eksponering for syntetiske finansielle eiendeler som «futures» og «perpetuals», som i korte trekk gir mulighet til å kjøpe eller selge et kryptoaktiva i fremtiden. Dette muliggjøres gjennom kollateraliserte/pantsatte likviditetsbassenger.

• Utlånstjenester: Disse tjenestene tilbyr rentebærende lån som er tilgjengelige gjennom smarte kontrakter og muliggjort av likviditetsbassenger eller bilaterale avtaler. Lånene kan være enten sikret med digitale eiendeler eller usikrede.

• Stablecoins: Disse er digitale tokens hvis verdi er algoritmisk knyttet til en reserve av eiendeler, som kan være en fiat-valuta (f.eks. USD), en vare, eller en annen digital eiendel (f.eks. BTC).

• Eiendomsforvaltning: Disse tjenestene forvalter porteføljer av digitale eiendeler basert på ulike faktorer som risikotoleranse, investeringshorisont, og mer.

• Forsikringsbassenger: Disse innebærer å betale en liten, garantert premie i bytte mot muligheten for en stor utbetaling i tilfelle et spesielt scenario finner sted.

Fordelene med DeFi-teknologier spenner fra operasjonelle aspekter (f.eks. øyeblikkelig oppgjør) og reduserte oppgjørskostnader (uten fordyrende mellomledd), til sømløst samarbeid på tvers av flere tjenester og blokkjede-protokoller (f.eks. fra Bitcoin til Ethereum-blokkjeden). Utover disse operasjonelle effektivitetene, kan DeFi presentere regulatoriske fordeler så som økt transparens i markedet, forbedret markedseffektivitet, og styrket risikostyring (f.eks. automatisk salg kodet inn i smartkontrakten der markedsverdien kommer under et visst nivå). 

Reguleres DeFi av MiCA?

For øyeblikket faller tjenester som leveres på en fullt ut desentralisert måte uten et mellomledd utenfor omfanget av MiCA iht. MiCAs fortale/innledningen avsnitt 22. Det kan være vanskelig å avgjøre om en DeFi-tjeneste er “fullt ut desentralisert” eller ikke. Mellomledd som bruker DeFi-tjenester vil sannsynligvis kreve lisensiering som en krypto-aktiva tjenesteyter eller en CASP (Crypto Asset Service Provider) under MiCA. MiCA har en ganske bred definisjon av hva som regnes som en CASP, og hvilke typer tjenester som faller innenfor reguleringen. Dette kan skape utfordringer for DeFi-aktører, som kanskje ikke engang vet at de er CASP’er eller tilbyr krypto-aktiva tjenester i henhold til MiCA. 

For å avgjøre om en person/selskap faller innenfor MiCA, må en gjennom to trinn:

1. Oppfyller personen definisjonen av en CASP, som en krypto-aktiva tjenesteyter, i henhold til artikkel 3(1)(15) i MiCA?
2. Hvis personen oppfyller denne definisjonen, tilbyr de en eller flere av tjenestene er definert i artiklene 3(1)(16) til 3(1)(26)?

Tolking og anvendelse

EUs tilsynsmyndighet for verdipapirmarkedet – ESMA – har nylig kommet med noen klargjøringer om hvordan MiCA skal tolkes og anvendes på DeFi. I et nylig konsultasjonsdokument gir ESMA noen retningslinjer for hvordan man skal vurdere om en person utfører krypto-aktivatjenester med kontinuitet og regelmessighet, noe som er et av kriteriene for å være en CASP. ESMA gir også noen eksempler på hvordan man skal håndtere situasjoner der en person bruker eller interagerer med desentralisert teknologi («permissionless DLT»). Kjernen i et desentralisert økosystem er at ingen enkelt enhet kan utøve kontroll over systemet. 

ESMA erkjenner selv at terminologien «fullt ut desentralisert» i MiCAs fortale/innledningen 22 er noe uklar: «[…] Hvor krypto-aktiva tjenester leveres på en fullt desentralisert måte uten noen mellommann bør falle utenfor MiCAs omfang, men bemerker også at det nøyaktige omfanget av dette unntaket fortsatt er usikkert. ESMA mener at det bør gjøres en vurdering av hvert system på individuell basis med tanke på systemets egenskaper […]». 

Hvor desentralisert?

Det sentrale i denne vurderingen, som også fremhevet av ESMA, må være at desentralisering ikke er binært, men må sees i et spekter som starter fra sentralisering til økende grad av desentralisering. For å komme utenfor MiCA må det være desentralisering på flere nivåer, inkludert eksistensen av flere brukergrensesnitt / front-end-løsninger som gir brukere muligheten til å koble seg til systemet på en enkel måte. Tilgangen til de smarte kontraktene kan ikke avhenge av én enkelt front-end løsning drevet av én enhet, da front-end-løsninger er den viktigste måten å få tilgang til de underliggende smarte kontraktene som utgjør DeFi-teknologien. Dette har betydning for hvordan MiCA og andre reguleringer, så som FATFs (Financial Action Task Force) veiledere knyttet til krypto-aktiva, skal tolkes og anvendes på krypto-aktiva og DeFi-tjenester.

Spørsmålet om hvor grensen for «fullt ut desentralisert» går under MiCA er også diskutert av andre relevante organisasjoner og myndigheter i Europa. Ett av disse er The Board of the International Organization of Securities Commissions (IOSCO), som i en nylig rapport om DeFi anbefaler at myndigheter bør identifisere den "ansvarlige personen" bak DeFi-applikasjoner. IOSCO rapporten fremhever noen viktige hensyn i denne vurderinger, herunder; i) Styringsstruktur – hvordan er beslutningsmyndigheten fordelt? ii) Kontroll og eierskap – hvordan er kontroll og eierskap distribuert? iii) Nettverksdrift – hva er nivået av desentralisering i nettverkets operasjonelle infrastruktur? iv) Åpenhet og transparens – er tilgjengelig informasjon og konkurransevilkårene like for alle interessenter?

Hvilken betydning får MiCA for norske DeFi-aktører?

Et sentralt spørsmål for om en DeFi-protokoll eller -plattform faller inn under MiCA er om det eksisterer et kundeforhold mellom en tjenesteyter og en bruker. Ideelt sett bør alle elementer som kan føre til etableringen av et tjenesteyter-kunde-forhold, slik som innkreving av gebyrer (med unntak av transaksjonsgebyrer som betales til validatorer/minere), minimeres eller elimineres slik at eksistensen av et slikt forhold ikke er til stede. Dette ville tjene som et dobbelt vern for en DeFi-teknologi å falle trygt innenfor unntaket gitt under MiCA for «fullt ut desentralisert finans».

Dette betyr at selskaper som leverer brukergrensesnitt / front-end løsninger og som dermed kobler brukere til desentraliserte børser/vekslere av kryptoaktiva mot betaling, vil kunne havne i en gråsone rundt hvorvidt de skal anses å være en CASP med påvirkning på vekslingen eller om de «kun» leverer software-teknologi som gir brukeren mulighet til å bruke systemer som kan anses fullt ut desentraliserte. Uavhengig av dette vil slike selskaper måtte forholde seg til hvitvaskingsregler, med potensiell kontroll og rapportering av mistenkelige transaksjoner, terror finansiering og aktuelle kundetiltak (KYC/KYT). 

Norske selskaper som leverer slike tjenester eller på andre måter tilbyr tjenester rundt desentraliserte systemer må derfor trå forsiktig. Software-selskaper innen DeFi går en uforutsigbar tid i møte med implementering av MiCA, med mindre ESMA og/ norske myndigheter klargjør skillet før MiCA blir implementert i løpet av 2024. 

Kaupr sin bloggspalte er åpen for innlegg, analyser og debatt. Send din artikkel eller artikkelidé til morten@kaupr.io.