“O que é legal num país pode ser uma violação de licenciamento noutro – é aí que a maioria dos fundadores é apanhada.”

Viktor Juskin, cofundador da LegalBison, explica como os fundadores de criptografia devem navegar no complexo cenário regulatório de 2026, desde a conformidade com MiCA e DORA até a responsabilidade DAO e estratégias jurisdicionais em toda a UE, EUA e Emirados Árabes Unidos.

Viktor Juskin é cofundador e sócio-gerente da LegalBison, uma empresa boutique global de serviços jurídicos e empresariais e provedora de serviços corporativos licenciada, especializada em estruturação corporativa para projetos de FinTech e ativos digitais. LegalBison opera em mais de 50 jurisdições com escritórios na Polônia, Estônia, Bahrein, Costa Rica, Panamá e Malásia, atendendo clientes que vão desde as principais bolsas de criptomoedas até plataformas de pagamento apoiadas por VC.

Nesta entrevista, ele aborda as realidades operacionais do quadro regulamentar pós-transição de 2026: desde o alcance da DORA na infra-estrutura de TI e o fim da imunidade DAO, até às lacunas de interoperabilidade das regras de viagem e como os fundadores devem estruturar a sua estratégia jurisdicional em toda a UE, EUA e EAU.

O que realmente significa “administrar um negócio criptográfico global” do ponto de vista regulatório? O que mais surpreende os fundadores?

Isso significa que cada país onde você tem usuários, processa transações ou comercializa seus serviços é potencialmente uma jurisdição onde você precisa de autorização. Os fundadores pensam globalmente sobre seus produtos. O aplicativo funciona em qualquer lugar e o blockchain não se preocupa com fronteiras. Os reguladores, por outro lado, pensam localmente. Eles se preocupam em saber se os seus residentes estão sendo atendidos, se os fundos estão sendo retidos e se o marketing está sendo direcionado ao seu mercado. Uma única plataforma pode acionar obrigações em uma dúzia de jurisdições ao mesmo tempo. Cada um desses locais terá requisitos, prazos e prazos de aplicação diferentes.

Quais atividades comerciais específicas acionam mais comumente requisitos de licenciamento que os fundadores não prevêem?

Primeiro, há centralização. No caso do licenciamento MICA, significa a existência de algum prestador de serviço específico que controle direta ou indiretamente o projeto. No momento em que você detém as chaves privadas de um usuário ou mantém o controle sobre seus ativos, a maioria das jurisdições classifica você como custodiante/provedor de serviços, e isso aciona o licenciamento. Os fundadores que pensam que estão apenas construindo uma bolsa de criptomoedas geralmente estão construindo um serviço de custódia regulamentado. Em segundo lugar, atividade fiduciária de entrada e saída. A conversão entre moeda tradicional e ativos digitais aciona regulamentações de pagamento em quase todas as jurisdições. Terceiro, marketing ativo. Alguns países distinguem entre aceitar passivamente os clientes que o encontram e solicitar ativamente clientes no seu território. Caso suas atividades se enquadrem na segunda categoria, poderá ser necessário registrar-se, mesmo que sua empresa seja constituída no exterior. Em muitas jurisdições, também existem regras estritas sobre solicitação reversa. Portanto, as empresas que possuem uma licença de troca de criptografia não podem confiar apenas na “solicitação reversa global”.

Como identificar se um determinado serviço requer licenciamento em uma determinada jurisdição?

Você começa com o modelo de negócios em vez da jurisdição. Mapeie todas as atividades que sua plataforma realiza: ela é centralizada? Ele retém fundos do usuário? Ele executa negociações em nome dos usuários? Facilita as transferências entre as partes? Fornece conselhos? Cada uma dessas atividades, para citar algumas, possui uma classificação regulatória que varia de acordo com o país. Na LegalBison, normalmente realizamos esse mapeamento de atividades em relação às estruturas regulatórias de cada uma das jurisdições-alvo de nossos clientes. O resultado é uma matriz: quais atividades requerem quais autorizações, onde. Essa matriz é a base de toda a estratégia corporativa e de licenciamento e, sem ela, estamos falando francamente de muitas suposições.

A DORA é frequentemente discutida como um requisito de capital e de governação. Qual é o seu alcance real na infraestrutura de TI para empresas de criptografia?

DORA vai muito mais fundo do que o capital. O regulamento exige que as empresas mapeiem toda a sua cadeia de abastecimento de TIC, o que significa identificar todos os fornecedores de tecnologia terceiros na sua pilha e avaliar formalmente os riscos que implicam. Uma plataforma de criptografia executada na AWS com um provedor KYC terceirizado, uma solução de custódia externa e um mecanismo de negociação pronto para uso tem quatro ou cinco entidades nessa cadeia antes mesmo de você contar os subcontratados. Cada link deve ser documentado, avaliado e gerenciado sob uma estrutura formal de risco de terceiros.

Os conselhos de administração são agora pessoalmente responsáveis ​​pela gestão do risco das TIC. Uma grande falha tecnológica é uma responsabilidade do conselho de administração com potenciais consequências de aplicação por parte das Autoridades Europeias de Supervisão. As entidades licenciadas pelo CASP, por exemplo, também têm de realizar testes regulares de resiliência e comunicar incidentes significativos de TIC à sua autoridade nacional competente. A DORA estabelece um padrão de conformidade mais próximo do que os bancos mantêm do que o que a maioria dos VASPs licenciados pela UE construíram historicamente.

Muitos fundadores de DeFi assumem que operar através de contratos inteligentes e governação descentralizada significa que estão fora do alcance regulamentar tradicional. Essa suposição ainda é válida em 2026?

Em primeiro lugar, nunca foi uma suposição confiável. O caso da CFTC contra Ooki DAO apenas provou isso. A DAO foi classificada como uma associação sem personalidade jurídica e a ação de fiscalização demonstrou que os reguladores estão dispostos e são capazes de visar estruturas descentralizadas que não possuem uma entidade jurídica tradicional. A descentralização não protege você das consequências do não cumprimento.

Os reguladores estão seguindo o padrão de controle operacional. Se você implantar o protocolo, possuir chaves administrativas ou exercer poder de voto de governança que funcione como controle gerencial, você será um alvo potencial de aplicação, independentemente de como a estrutura for rotulada. Aplica-se o princípio do mesmo risco e da mesma regra: se um protocolo DeFi desempenha a função económica de um intermediário regulamentado, os reguladores tratam-no como tal. Se você deseja construir um aplicativo DeFi, você deve garantir que não haja nenhum elemento de centralização, nenhuma atividade licenciada nos mercados-alvo e que você não solicite ativamente clientes em mercados que acionem requisitos de licenciamento.

A regra de viagens do GAFI exige que os VASPs compartilhem dados do originador e do beneficiário nas transferências. Na prática, quais são as principais barreiras de compliance?

A interoperabilidade é o principal problema. A Regra de Viagem exige que os dados viajem com a transação, mas diferentes VASPs em diferentes jurisdições utilizam sistemas de conformidade que nem sempre são tecnicamente compatíveis. Quando uma transferência passa de um VASP da UE compatível usando um protocolo para uma contraparte usando um padrão diferente, a troca de dados pode falhar completamente. A adoção global permanece baixa, o que significa que a infraestrutura para realmente fazer cumprir o requisito ainda está a ser construída. Mas com o tempo, presumimos que isso acontecerá.

Nós da LegalBison vemos que o não cumprimento da Regra de Viagem se torna mais uma barreira comercial do que legal. Os VASPs compatíveis em mercados regulamentados às vezes rejeitam transferências de contrapartes não conformes, independentemente de onde o remetente esteja constituído. O efeito de rede dos participantes regulamentados reforça a regra mesmo quando a lei local não o faz.

Se o modelo de negócios de um fundador depende da emissão de stablecoins, como a matriz regulatória difere de uma exchange padrão?

A regulamentação MiCA cria duas categorias distintas. Os Tokens Referenciados a Ativos estão atrelados a uma cesta de ativos ou moedas. Os E-Money Tokens são respaldados por uma única moeda fiduciária oficial. Cada categoria acarreta diferentes requisitos de autorização, obrigações de reserva e padrões de governança. As estruturas de capital e liquidez são substancialmente mais exigentes do que as enfrentadas por um CASP padrão.

Os fundadores precisam entender em quais casos enfrentam exposição regulatória real. Se um ART ou EMT atingir um limite de volume ou importância sistémica definido pela Autoridade Bancária Europeia, o emitente passa para a supervisão direta da EBA. Isto significa reservas de capital mais elevadas, requisitos de gestão de liquidez mais rigorosos e obrigações de interoperabilidade que vão além do que o MiCA impõe ao nível de referência.

Com os EUA a mudar para um quadro mais pró-inovação e os EAU a continuarem a atrair empresas de activos digitais, como devem os fundadores abordar a decisão da UE versus EUA versus EAU em 2026?

A resposta certa depende do modelo de negócios e dos mercados-alvo. A UE é a mais exigente, mas oferece o resultado comercialmente mais valioso. Uma autorização CASP num estado membro fornece um passaporte para todos os 27 países da UE. O período de transição para os registos VASP existentes termina o mais tardar em julho de 2026, mas os Estados-Membros podem e encurtaram-no. A Lituânia eliminou totalmente o período de salvaguarda, com o seu prazo nacional a terminar em 30 de dezembro de 2024. Outros reduziram-no para 12 meses, expirando em dezembro de 2025. Para as empresas que presumiram que tinham até meados de 2026, a escolha da autoridade nacional competente depende da sua preparação para o cumprimento.

Nos EUA, a situação está a inverter-se. Spot e ETFs foram aprovados. A SEC e a CFTC têm limites mais claros sobre o que cada uma delas supervisiona. As regras do Stablecoin em nível federal estão tomando forma. Para os fundadores que buscam capital institucional, agora existe estrutura regulatória suficiente para planejar.

Os Emirados Árabes Unidos operam de forma diferente. O quadro VARA do Dubai e o regime ADGM de Abu Dhabi são rigorosos mas transparentes. O conjunto de regras da VARA é específico para cada atividade, o que facilita o escopo das obrigações de conformidade. O ambiente de imposto zero na zona franca é atraente, mas os requisitos estruturais podem ser desafiadores. A variável estratégica é onde seus clientes estão e qual sinal regulatório é importante para eles.

Viktor Juskin é cofundador da LegalBison, uma empresa boutique global de serviços jurídicos e empresariais e provedora de serviços corporativos licenciada para projetos de FinTech e ativos digitais.