Dự thảo luật tài sản mã hóa của Ba Lan được thông qua: Nâng cấp quản lý, tiêu chuẩn cấp phép tăng mạnh

Ngày 26 tháng 9 năm 2025, Hạ viện Ba Lan (Sejm) đã thông qua dự thảo “Luật Thị trường Tài sản Mã hóa” (Crypto-Assets Market Act, gọi tắt là “Luật”) với 230 phiếu thuận và 196 phiếu chống. Luật này vẫn cần được Thượng viện (Senate) xem xét, Tổng thống ký và sẽ có hiệu lực sau 14 ngày kể từ ngày công bố (ngoại trừ Điều 70: các quy định về chặn tên miền internet, đăng ký danh mục và hạn chế truy cập sẽ có hiệu lực sau 4 tháng kể từ ngày công bố luật). Tuy nhiên, cột mốc lập pháp này cũng đánh dấu hệ thống quản lý mã hóa của quốc gia này bước sang một giai đoạn mới.

Luật này không chỉ là “bộ khung quản lý mã hóa” nội địa của Ba Lan mà còn tích hợp sâu với khung pháp lý thống nhất của EU MiCA: trong quá trình lập pháp, dự thảo đã trải qua khoảng 3-4 vòng xem xét và 45 sửa đổi (bao gồm điều chỉnh ranh giới cấp phép và tiêu chuẩn phạt tiền), đảm bảo chuyển đổi suôn sẻ từ thời kỳ “đăng ký phòng chống rửa tiền” lỏng lẻo sang “quản lý toàn diện bằng giấy phép” một cách trật tự.

Đối với các tổ chức, cá nhân muốn hoạt động trong lĩnh vực Giao dịch mã hóa, phát hành token, lưu ký hoặc Thanh toán tại Ba Lan, điều này đồng nghĩa với việc ánh sáng quản lý sẽ bao phủ toàn diện — trong tương lai, mọi hoạt động đều phải có giấy phép, nếu không sẽ khó tránh khỏi bị phạt hoặc buộc Đăng xuất khỏi thị trường.

Đối tượng và phạm vi quản lý: Tất cả “người chơi mã hóa” đều nằm trong tầm ngắm

Đối tượng quản lý được xác định trong Luật hoàn toàn phù hợp với MiCA, Ba Lan không tái định nghĩa ranh giới quản lý mà đưa toàn bộ đối tượng và phạm vi hoạt động do MiCA xác lập vào luật quốc nội. Cụ thể, đối tượng quản lý bao gồm:

1. Nhà cung cấp dịch vụ tài sản mã hóa, phạm vi hoạt động bao gồm:

• Vận hành nền tảng Giao dịch tài sản mã hóa;
• Dịch vụ lưu ký ví và bảo quản Tài sản;
• Dịch vụ Thanh toán và Thanh toán liên quan;
• Các hoạt động phái sinh liên quan đến Tài sản mã hóa khác.

2. Tổ chức phát hành token: bao gồm “tổ chức phát hành token neo theo Tài sản” và “tổ chức phát hành token tiền điện tử”.

3. Nhà cung cấp dịch vụ tài sản mã hóa nước ngoài: các tổ chức từ các quốc gia thành viên EU khác có thể cung cấp dịch vụ xuyên biên giới tại Ba Lan thông qua “cơ chế hộ chiếu” theo MiCA Article63.

Tóm lại, chỉ cần bạn vận hành hoặc cung cấp bất kỳ hình thức dịch vụ Tài sản mã hóa nào tại Ba Lan, bất kể công ty bạn đăng ký ở đâu, hoặc phải có giấy phép, hoặc phải Đăng xuất.

Có giấy phép và không có giấy phép: Quản lý bước vào thời đại “có chứng chỉ mới được hoạt động”

Luật áp dụng chế độ cấp phép kinh doanh Tài sản mã hóa điển hình. Chỉ những tổ chức được Ủy quyền bởi Ủy ban Giám sát Tài chính Ba Lan (Komisja Nadzoru Finansowego, KNF) và nhận được giấy phép nhà cung cấp dịch vụ tài sản mã hóa (CASP License) mới được phép hoạt động hợp pháp.

• Chủ thể có giấy phép

Có thể hoạt động hợp pháp tại Ba Lan hoặc cung cấp dịch vụ cho người dùng Ba Lan. Sau khi có giấy phép, tổ chức phải liên tục thực hiện các nghĩa vụ Sự tuân thủ (bao gồm báo cáo Thời hạn cố định, kiểm toán nội bộ, đủ vốn, Kiểm soát rủi ro, v.v.).

• Chủ thể không có giấy phép

Nếu hoạt động dịch vụ mã hóa mà không được cấp phép sẽ đối mặt với mức phạt cao hoặc truy cứu trách nhiệm hình sự. Luật quy định rõ các hành vi vi phạm và tiêu chuẩn xử phạt (xem bên dưới).

Yêu cầu cơ bản và chi phí vận hành của chủ thể có giấy phép: Vốn, khung Sự tuân thủ và chi phí duy trì đều tăng

Đây là phần cốt lõi của toàn bộ Luật và cũng là điểm đáng chú ý nhất. Logic quản lý rất rõ ràng: muốn có giấy phép, phải có tiền, có hệ thống, có năng lực.

(1) Yêu cầu về vốn:

Luật quy định CASPs phải “có đủ nguồn vốn” (sufficient funds), không chỉ đặt ra ngưỡng tối thiểu về vốn đăng ký cho chủ thể có giấy phép mà còn bao gồm quản lý Thanh khoản, bố trí quỹ dự phòng rủi ro, bảo vệ tách biệt Tài sản khách hàng… nhằm đảm bảo vẫn duy trì Sự tuân thủ và khả năng thanh toán khi Thị trường Biến động hoặc xảy ra rủi ro.

Hiện tại, Ba Lan chưa ban hành quy định cấp dưới về vốn đăng ký tối thiểu, do đó tiêu chuẩn của MiCA vẫn là tham chiếu chính. Dưới đây là yêu cầu vốn đăng ký tối thiểu theo từng loại dịch vụ CASPs do MiCA quy định:

Ngoài vốn thực nộp, cơ quan quản lý yêu cầu CASPs duy trì “vốn liên tục đủ”, nếu do Biến động kinh doanh, thua lỗ Thị trường… dẫn đến thiếu vốn thì phải bổ sung kịp thời.

(2) Chi phí quản lý và chi phí Sự tuân thủ: Vận hành “chuẩn hóa” đồng nghĩa với đầu tư liên tục

1. Luật quy định cơ chế phân bổ chi phí quản lý Thị trường tài sản mã hóa và cấu trúc phí, giải thích cách các tổ chức phát hành token và CASPs tài trợ cho khung quản lý:

• Phí giấy phép và thẩm định: tùy loại giấy phép hoặc thẩm định, tối đa €4.500;
• Phí phê duyệt tài liệu thông tin: phê duyệt tài liệu: €3.000; sửa đổi tài liệu: €1.000;
• Phí duy trì giấy phép và phí quản lý hàng năm của CASPs: dựa trên tổng thu nhập trung bình 3 năm gần nhất, thu trong khoảng €500 - 0,4% thu nhập trung bình hàng năm;
• Phí duy trì giấy phép và phí quản lý hàng năm của tổ chức phát hành token: thu trong khoảng €500 - tích số giữa giá trị trung bình số học của Tổng Nợ phát sinh do phát hành token neo Tài sản hoặc token tiền điện tử và Lãi suất không quá 0,5%.

2. Ngoài chi phí quản lý Thị trường tài sản mã hóa, chủ thể có giấy phép còn phải chi trả các khoản sau trong quá trình vận hành:

• Chi phí kiểm toán tài chính và Sự tuân thủ Thời hạn cố định;
• Chi phí tư vấn pháp lý bên ngoài và Sự tuân thủ công nghệ;
• Chi phí xây dựng hệ thống KYC, giám sát rủi ro và nền tảng công nghệ AML.

Các điểm Sự tuân thủ và Kiểm soát rủi ro chủ thể có giấy phép cần chú ý

Trong quá trình vận hành, tổ chức có giấy phép vẫn phải đảm bảo Sự tuân thủ và Kiểm soát rủi ro, do đó Luật đưa ra nhiều yêu cầu về quản trị và Sự tuân thủ ở nhiều cấp độ.

(1) Cơ cấu quản trị và khung Sự tuân thủ: Phải “vận hành như tổ chức tài chính”

Luật yêu cầu CASPs xây dựng hệ thống quản trị và Sự tuân thủ hoàn chỉnh, bao gồm:

• Thành lập bộ phận Sự tuân thủ, Kiểm soát rủi ro và kiểm toán nội bộ độc lập;
• Ban lãnh đạo phải có trình độ chuyên môn và không có tiền án;
• Thiết lập cơ chế nhận diện rủi ro, kiểm soát nội bộ, báo cáo bất thường;
• Xây dựng quy chế bảo mật chuyên nghiệp, quy định tiêu chuẩn kỹ thuật;
• Thực hiện nghiêm ngặt các yêu cầu phòng chống rửa tiền (AML) và xác minh khách hàng (KYC).

Đặc biệt, Điều 22 nhấn mạnh: mỗi tổ chức phải xây dựng quy chế nội bộ để cụ thể hóa tiêu chuẩn kỹ thuật về “bảo mật nghề nghiệp và bảo vệ thông tin”. Các tiêu chuẩn này không chỉ áp dụng ở cấp công ty mà còn bao gồm an ninh hệ thống, truy cập dữ liệu, mã hóa thông tin, cơ chế truyền tải nội bộ…

Các chi tiết kỹ thuật này sẽ không được quy định hết trong Luật mà sẽ do KNF ban hành dần thông qua “quy định cấp dưới (secondary regulations)”. Các quy định này sẽ thống nhất về nội dung báo cáo, chi tiết vận hành, tiêu chuẩn Sự tuân thủ kỹ thuật, tiêu chuẩn an ninh mạng và giao diện quản lý… đảm bảo mọi tổ chức thực hiện nhất quán. Điều này có nghĩa là ngoài văn bản Luật, tổ chức có giấy phép còn phải Theo dõi sát các hướng dẫn, quy định chi tiết và tiêu chuẩn thực thi do KNF ban hành, nếu không có thể rơi vào tình trạng “hình thức Sự tuân thủ nhưng thực chất vi phạm”.

(2) Nghĩa vụ công bố thông tin và báo cáo quản lý

CASPs phải Thời hạn cố định công bố cho KNF các nội dung sau:

• Tình hình tài chính và cấu trúc rủi ro;
• Quỹ dự phòng, khối lượng Giao dịch, chỉ số Thanh khoản;
• Tình trạng vận hành và an ninh hệ thống;
• Kiểm soát Sự tuân thủ, thay đổi quản trị, Giao dịch lớn…

Bất kỳ sự kiện nào có thể ảnh hưởng đến Bảo mật tài sản khách hàng hoặc ổn định Thị trường đều phải báo cáo ngay và nêu biện pháp xử lý. Cơ quan quản lý cũng có thể công khai quyết định xử phạt để đảm bảo minh bạch và trách nhiệm Thị trường.

(3) Hệ thống Kiểm soát rủi ro

Chủ thể có giấy phép phải xây dựng hệ thống toàn diện bao phủ rủi ro Thị trường, rủi ro vận hành, rủi ro Thanh khoản. Yêu cầu bao gồm:

• Thường xuyên kiểm tra sức chịu đựng (stress test);
• Xây dựng hệ thống giám sát Giao dịch bất thường;
• Thực hiện phân tầng khách hàng và cơ chế nhận diện tài khoản rủi ro cao.

(4) Bảo vệ nhà đầu tư và minh bạch thông tin

Về bảo vệ nhà đầu tư và công bố thông tin, Luật đặt ra yêu cầu cao hơn cho chủ thể có giấy phép:

• Công bố đầy đủ rủi ro Tài sản mã hóa;
• Đánh giá mức độ phù hợp cho khách hàng bán lẻ;
• Xây dựng cơ chế tách biệt và bồi thường Tài sản khách hàng;
• Thiết lập kênh xử lý khiếu nại và hòa giải tranh chấp.

Cơ quan quản lý kỳ vọng thông qua xây dựng hệ thống sẽ tái tạo niềm tin nhà đầu tư và cảm giác an toàn Thị trường.

(5) Phòng chống rửa tiền và tài trợ khủng bố (AML/CFT)

Phù hợp với tiêu chuẩn EU, CASPs phải thực hiện:

• Xác minh KYC toàn quy trình;
• Giám sát và báo cáo Giao dịch đáng ngờ;
• Tăng cường kiểm tra khách hàng rủi ro cao;
• Hệ thống tự động hóa có thể truy xuất nguồn gốc.

Vi phạm không chỉ bị phạt tiền mà còn có thể bị thu hồi giấy phép.

(6) Kiểm toán Sự tuân thủ và cơ chế báo cáo

Tổ chức có giấy phép phải:

• Thường xuyên kiểm toán độc lập bên ngoài;
• Nộp báo cáo Sự tuân thủ và rủi ro hàng năm;
• Thay đổi lớn về quản trị, cổ đông, cấu trúc kinh doanh phải báo trước và được KNF phê duyệt.

Mẫu biểu và thời hạn cụ thể sẽ do KNF quy định trong các quy định cấp dưới mang tính thực thi trong tương lai.

Hành vi bị cấm và trách nhiệm hình sự

Ngoài việc quy định rõ yêu cầu Sự tuân thủ và khung quản lý, Luật tài sản mã hóa Ba Lan cũng giới hạn nghiêm ngặt ranh giới hành vi của chủ thể hoạt động, liệt kê rõ các hành vi vi phạm và không được phép trong vận hành Thị trường. Đồng thời, Luật còn thiết lập các điều khoản trách nhiệm hình sự, tạo “dây nóng” cho các hành vi vi phạm trong lĩnh vực Tài sản mã hóa, đảm bảo Thị trường minh bạch và trật tự bằng các biện pháp xử phạt nghiêm khắc.

(1) Hành vi bị cấm và xử phạt (bao gồm chủ thể không có giấy phép)

1. Chủ thể có giấy phép

2. Chủ thể không có giấy phép

(2) Trách nhiệm hình sự

Dưới đây là các tội phạm chính và hình phạt được quy định trong Luật:

Thời gian chuyển tiếp và thực thi: Doanh nghiệp hiện hữu cần “chuyển đổi” suôn sẻ

Nhằm hỗ trợ Thị trường chuyển tiếp suôn sẻ, tránh gián đoạn hoạt động, Luật quy định thời gian chuyển tiếp cho các nhà cung cấp dịch vụ tài sản mã hóa (VASPs) đã đăng ký: hiện tại các VASPs đăng ký theo quy định phòng chống rửa tiền có thể tiếp tục hoạt động Sự tuân thủ theo quy định hiện hành đến trước ngày 1/7/2026, nhưng phải từng bước nâng cấp lên tiêu chuẩn mới cho đến khi được cấp phép CASP hoặc hết hạn. Dưới đây là yêu cầu cụ thể về thời gian chuyển tiếp, ngoài ra các chủ thể Thị trường cũng cần chú ý đến hiệu lực của các quy định cấp dưới đi kèm khi Luật được triển khai.