Nikita Veremeev
06.02.2026 | 6 minutové čtení
Aktualizováno: 06.02.2026
Já řídím COREDO od roku 2016 a už od prvních let jsem viděl, jak mezinárodní podnikání ve fintechu naráží ne na „bariéry“, ale na labyrinty. Registrace společností, získávání finančních licencí, AML/sankční compliance, budování procesů v různých jurisdikcích, to není soubor nesouvislých úkolů, ale jednotná architektura řízení rizik. Tým COREDO vybudovává tuto architekturu v EU, ve Velké Británii, v Singapuru a v Dubaji a skutečně integruje právní, finanční a technologická řešení. Níže sdílím, jak dnes přistupovat k MiCA, DeFi a complianci tak, aby nebylo třeba jen „dohnat“ regulaci, ale ji předbíhat a zpeněžit předvídatelnost.
MiCA: regulace kryptoaktiv v EU
Nařízení MiCA ukončuje etapu «experimentů bez pravidel» v Evropě. Poskytovatelé služeb s kryptoaktivy (CASP) obdrželi srozumitelné licenční požadavky, režim passportingu v rámci celého EU a povinnosti týkající se zveřejňování informací, řízení rizik a provozní odolnosti. Národní regulátoři vydávají povolení, zatímco ESMA a EBA nastavují nadnárodní standardy a koordinují dohled, mimo jiné prostřednictvím technických standardů vykazování podle MiCA. V praxi to znamená jednotné přístupy ke kapitálu, interním kontrolám, outsourcingu a hlášení incidentů.
Klasifikace tokenů podle MiCA rozlišuje zejména e‑money tokens (EMT) a asset‑referenced tokens (ART), včetně significant asset‑referenced tokens (významné ART). Pro emitenty platí zvláštní prudenční požadavky, kapitálizace a rezervní fondy stablecoinů, požadavky na rezervy, řízení likvidity a povinnosti ohledně whitepaperu podle MiCA. Odpovědnost emitenta podle MiCA posiluje zodpovědnost za správnost whitepaperu, marketingových sdělení a průběžné zveřejňování rizik, což přímo ovlivňuje cenu kapitálu a podmínky kotace.
MiCA vytvořila nový standard transparentnosti: požadavky na zveřejňování a whitepaper, proof‑of‑reserves a metodiky nezávislého ověření, požadavky na passporting pro přístup na trh EU, a také dohled ESMA/EBA nad národním dohledem. Praxe COREDO potvrzuje: kvalitní včasná příprava na licencování CASP snižuje dobu uvedení na trh na polovinu díky správné struktuře skupiny, včasnému IT auditu a připravenosti na regulatorní otázky.
Kdo je odpovědný v DeFi podle MiCA?
Citlivá otázka – uplatnění MiCA na DeFi a regulace decentralizovaných financí v Evropě. Regulační orgány se dívají na faktickou kontrolu a „kontaktní body“ s uživatelem: front‑end, hosting, vyhledávací agregátory a gateway‑stránky; klíčové přispěvatele; rozhodnutí DAO ovlivňující parametry protokolu; provozovatele oraclů a spravované pokladní multisig. Pokud existuje centralizovaný poskytovatel, který provozuje rozhraní, směruje provoz, řídí upgrady nebo získává poplatky, může být kvalifikován jako CASP s licenčními požadavky.
Právní status DAO v Evropě zůstává roztříštěný, ale objevuje se předvídatelnost: právní mechanismus legal wrapper pro DAO (model nadace vs korporátní wrapper) se používá k vymezení odpovědnosti, uzavírání smluv a zavedení AML/KYC pro on‑ramp a off‑ramp. Tým COREDO realizoval struktury s nadacemi a provozovatelskými společnostmi, které rozdělují odpovědnost mezi on‑chain governance a off‑chain governance prostřednictvím srozumitelných korporátních dokumentů, politiky upgradů a delegací. To snižuje rizika spojená s front‑end liability a usnadňuje komunikaci s regulátory a burzami.
Exteritoriální uplatnění pravidel a enforcement je realitou: pokud je služba dostupná klientům EU, mohou požadovat, aby byla uvedena do souladu s požadavky MiCA a AMLD5/AMLD6. Meziregulační spolupráce (ESMA, EBA a také centrální banky) posiluje výměnu dat a praxí, a to zvyšuje sázky: je lepší předem zabudovat compliance‑by‑design, než reagovat na požadavky zvenčí.
Požadavky na emitenty stablecoinů
Stablecoiny podle MiCA se dělí na e‑money token (EMT) a asset‑referenced token (ART). Pro EMT platí pravidla podobná elektronickým penězům: požadavky na kapitál, pravidla pro emisi a odkup za nominál, segregaci prostředků a likviditu. Pro ART platí povinnosti ohledně rezerv a jejich správy, včetně vysoce kvalitních likvidních aktiv (high‑quality liquid assets), pravidelné reporty, stresové testy a pro významné ART zvýšené rezervní polštáře a dohled EBA. Zveřejňování informací prostřednictvím whitepaperu a průběžného zveřejňování podporuje důvěru investorů a partnerů.
Proof‑of‑reserves: fungující nástroj, ale ne stříbrná kulka. Potřebuje metodiky, které zahrnují nejen aktiva, ale i závazky, propojené strany, a také postup pro výjimky a hlášení incidentů. Experti COREDO zavádějí kombinované postupy: nezávislé kontroly, on‑chain důkazy, SLA se správci úschovy a auditory, a také mechanismy pozastavení operací při porušení kovenantů rezerv. Výsledek – odolnost likvidity a snížení rizikové prémie při kotaci a partnerských integracích.
Prevence praní špinavých peněz a ověřování totožnosti zákazníků v decentralizovaných financích – soulad s doporučeními FATF a nařízením MiCA
Dodržování AML požadavků a soulad s FATF a MiCA jsou základem přístupu k bankovním službám a partnerským ekosystémům. Pokyny FATF (VASP a FATF guidance pro DeFi) a evropský rámec AMLD5/AMLD6 zakotvují CDD (zákaznické Due Diligence), skutečné vlastnictví, sankční seznamy, travel rule a SAR (hlášení podezřelé aktivity). Pro DeFi týmy je klíčové oddělit on‑ramp/off‑ramp a protokolovou část a zavést risk‑based approach (RBA) pro kritické body: fiaty, token‑bridže, centralizované komponenty infrastruktury.
Shoda se sankcemi a monitorování on‑chain transakcí vyžadují integraci poskytovatelů blockchainové analytiky, scénářů hodnocení rizika protistran, sankčních seznamů a on‑chain blokování při zjištění zakázaných adres. V COREDO vytváříme playbook eskalací a SAR, automatizujeme flagy a reportování, formujeme KPI compliance, aby představenstvo vidělo dynamiku: podíl automatických rozhodnutí, čas do eskalace, počet případů s orgány činnými v trestním řízení.
Travel rule – nejen právní, ale i technický problém. Pro CASP a VASP navrhujeme směrování identifikátorů, výměnu atributů plátce/příjemce, uchovávání minimálně nezbytných údajů a odmítnutí při nepřítomnosti protistrany. V decentralizovaných aplikacích to řešíme přes on‑ramp/off‑ramp, gateway‑služby a partnerské VASP, což umožňuje zachovat permissionless‑jádro protokolu a zároveň vyhovět požadavkům.
Jak zavést KYC v DEX bez ztráty UX
Zvolit «tvrdošijné KYC pro všechny» – jednoduchá, ale nákladná cesta z hlediska odlivu likvidity. Stabilnější varianta: segmentace toků: KYC pro funkce, které aktivují právní spouštěče (např. fiat on‑ramp; zvýšené limity; profesionální účty), a risk‑scoring pro zbytek provozu. zk‑KYC a privacy‑preserving KYC založené na zero‑knowledge proofs pomáhají ověřit atributy bez odhalení osobních údajů protokolu. To umožňuje vyvážit soukromí a transparentnost (privacy vs transparency) bez kompromisu pro AML.
Integrace KYC poskytovatelů s on‑chain UX vyžaduje architekturu: kde uchovávat důkazy, jak synchronizovat statusy na front‑endu, jak zpracovávat odvolání. Řešení vyvinuté v COREDO obsahuje modulární API vrstvu, deník událostí, logiku sankčního monitoringu a mechanismy opětovné verifikace. Pro travel rule používáme protokoly výměny zpráv mezi VASP a nastavení odmítnutí na úrovni smart‑kontraktu/front‑endu při absenci atributů.
Rizika a soulad chytrých kontraktů
Audit chytrých kontraktů a požadavky na shodu nejsou formalitou. Budujeme bezpečný vývojový cyklus (secure development lifecycle) s modelováním hrozeb, statickou a dynamickou analýzou, bug‑bounty a formální verifikací smart contracts, když je to odůvodněné z hlediska rizika. Možnost upgradu chytrých kontraktů a rizika forků řešíme politikou upgradů, timelocky, on‑chain governance a auditními záznamy. Fork governance a rozdělení odpovědnosti zaznamenáváme v dokumentaci, aby se předešlo „překvapením“ při sporných upgradech a nouzových záplatách.
Orákuly jsou kritická součást. Rizika orákulů a jejich právní regulaci převádíme do praktických SLA pro orákuly: frekvence aktualizací, zdroje, postupy při selhání, limity odchylek, a také decentralizace orákulů přes několik poskytovatelů a fallback‑mechaniku. Metody snižování rizika orákulů zahrnují TWAP, křížové ověřování zdrojů, kvórumová potvrzení a mechanismus zastavení obchodování při extrémních odchylkách. To je důležitá část provozní odolnosti a požadavků na SLA, na které se ptají regulátoři.
MEV, frontrunning a regulační rizika, už nejsou výhradně technické téma. Nastavujeme monitoring MEV‑botů, implementujeme anti‑frontrunning‑mechanismy (private mempool, commit‑reveal, batchování) a zaznamenáváme politiku zveřejňování rizik pro uživatele. Pro AMM a DEX se právní požadavky liší od CEX: u centralizovaných burz je plná odpovědnost za custody a provedení, u DEX je zaměření na odpovědnost front‑endu, analytická data a body centralizované kontroly. Likviditní pooly a mechanika poolů likvidity vyžadují zveřejnění impermanent loss jako obchodního rizika a popis dopadů pro LP v whitepaperu a uživatelském rozhraní.
Útoky pomocí flash‑loanů a právní mechanismy reakce zahrnují hlášení incidentů, spolupráci s orgány činnými v trestním řízení a regulátory, zmrazení prostředků v custody‑uzlech partnerů a zdokumentovaný plán reakce (response playbook). Custody vs non‑custodial: právní důsledky se liší; pro kustodiální modely platí požadavky na úschovatele, včetně multisig peněženek (multisig), threshold signature schemes (TSS) a multi‑party computation (MPC) pro custody, kontrolované interními politikami a externími audity.
Nakonec, riziko třetích stran a riziko softwaru v dodavatelském řetězci, rizika cloud‑hostingu a závislosti na poskytovatelích vyžadují registr kritických závislostí, due diligence dodavatelů, testy odolnosti vůči selhání a smluvní SLA. Provozní odolnost je samostatný modul MiCA: plán kontinuity, stresové scénáře, záložní kanály, KPI dostupnosti a reportování o bezpečnostních incidentech a porušeních.
Důsledky MiCA pro blockchainové startupy
Naše zkušenost v COREDO ukázala: MiCA není jen „náklad na shodu“, ale také snížení kapitálových nákladů a bariér vstupu na trh. Pasportizace služeb podle MiCA (passporting) otevírá škálování v EU bez opakovaného licencování v každé zemi, pokud jsou splněny kapitálové požadavky na CASP a nastaveny politiky řízení rizik. Pro cross‑chain kompliance a mosty (bridges) je důležité řešit přeshraniční uplatňování práva a jurisdikční rizika: zaznamenat místo poskytování služby, politiky KYC/sankcí při přechodech a také mechanismy blokování.
řízení rizik kompozitnosti (composability risk) vyžaduje rejstřík závislostí: orákuly, úvěrové trhy, pojištění, mosty. TVL (total value locked) jako metrika rizika není sama o sobě cílem: důležitější je odolnost likvidity, koncentrace věřitelů a korelace s vnějšími šoky. Emisní politika a regulace tokenů musí zohledňovat právní status tokenů a tokenomiku: u governance tokenů vzniká právní odpovědnost, když držitelé nebo rada delegátů vykonávají faktickou kontrolu. Zde pomáhá rozdělení on‑chain governance vs off‑chain governance prostřednictvím korporátních dokumentů a předpisů.
Regulatorní pískoviště (sandbox) pro DeFi jsou účinným nástrojem pro testování modelů KYC, travel rule a oracle‑řešení. V projektu COREDO se startupem v EU sandbox umožnil dohodnout mechanismus zk‑KYC a vyladit automatizaci SAR před průmyslovým spuštěním. Při due diligence při spuštění DeFi projektu provádíme právní a technický audit, hodnotíme pojištění smart‑kontraktů a tržní řešení, a také plánujeme migraci protokolů pod MiCA: plán opatření, termíny, KPI a rozpočet.
Hodnocení nákladů na shodu a ROI pro DeFi projekty zahrnuje cost‑benefit analýzu zavedení AML, metriky efektivity compliance a KPI, stejně jako ocenění efektu z listingu, partnerství a přístupu k bankám. Compliance‑as‑a‑service snižuje fixní náklady díky outsourcingu reportingu, monitoringu, travel rule, sankčního screeningu a incident‑managementu. Když představenstvo vidí transparentní metriky, rozhodnutí o investicích do compliance přestává být „nutným zlem“ a stává se motorem růstu.
Plán spuštění COREDO v rámci MiCA
- Jurisdikční strategie. Stanovujeme bod vstupu do EU s ohledem na druh služeb (CASP), požadavky na kapitál a provozní základnu. Zohledňujeme dostupnost personálu, regulační praxi a lhůty autorizace u národního regulátora.
- Licencování и паспортирование. Sestavujeme licenční balík, popisujeme kontroly, plánujeme passporting na druhou vlnu zemí EU. Implementujeme technické standardy vykazování podle MiCA a postupy spolupráce s ESMA/EBA.
- AML/санкции a travel rule. Navrhujeme RBA, CDD, stanovení skutečného vlastníka, SAR a sankční procesy. Nastavujeme KYC pro on‑ramp a off‑ramp, travel rule: technická a právní realizace, zásady odmítnutí.
- Technologie a bezpečnost. SDLC, audit a formální verifikace, politika upgradů, oracle SLA, MEV‑kontroly, custody‑architektura (multisig/TSS/MPC). Nastavujeme hlášení incidentů a playbook reakce.
- Transparentnost a zveřejňování. Povinnosti whitepaperu podle MiCA, osvědčené postupy pro zveřejňování rizik (impermanent loss, oracle/MEV, likvidita), proof‑of‑reserves a omezení metodologie.
- Řízení a DAO. Právní rámec pro DAO (foundation nebo corporate), rozdělení odpovědnosti, pravidla on‑chain/off‑chain governance, odpovědnost front‑endu a smlouvy s poskytovateli.
- Provozní odolnost. SLA, plán kontinuity provozu, zálohování, rizika třetích stran a cloudová rizika, testování stresových scénářů, hlášení incidentů a spolupráce s orgány činnými v trestním řízení.
- Zápis na burzu a škálování. Příprava na listing/integrace, KPI pro compliance, passporting, meziregulatorní komunikace a plán migrace v souvislosti s aktualizacemi MiCA.
Případy: praxe se proměňuje ve standardy
První případ — DEX s asijskými kořeny, který požádal o přístup ke klientům EU. Tým COREDO realizoval hybridní model: permissionless‑jádro protokolu, KYC/AML a travel rule pro on‑ramp/off‑ramp a profesionální účty, zk‑KYC pro zachování UX a integraci s poskytovateli blockchainové analytiky. V důsledku toho projekt získal CASP‑licencování pro část služeb, whitepaper k MiCA a cestu k passportingu. Trychtýř uživatelů a TVL vzrostly díky institucionálním partnerům, pro které je předvídatelnost souladu s předpisy kritická.
Druhý případ, emitent stablecoinu typu asset‑referenced token (ART) s ambicí dosáhnout statusu significant ART. Vytvořili jsme rezervní politiku, vypracovali proof‑of‑reserves s nezávislými potvrzeními a on‑chain publikací, stejně jako stresové testy likvidity a zveřejnění rizik. Regulátor přijal whitepaper a plán kontinuity, a kustodní partneři potvrdili SLA pro rezervní aktiva. To je typický příklad, kde regulační požadavky se staly základem pro listing a integrace do platebních tras.
Třetí případ, DAO spouštějící kreditní protokol s oracle závislostmi. V COREDO jsme navrhli právní wrapper přes fond a provozní společnost s jasným rozdělením odpovědnosti, zavedli decentralizaci oracle a fallback mechanismus, politiku upgradů a timelock. Navíc jsme nastavili MEV‑monitoring a postupy SAR, zaznamenali odpovědnost front‑endu ve smlouvách s hostingem a gateway stránkami. Projekt prošel due diligence u institucí a získal pojištění smart‑kontraktů se slevou na pojistném díky vyspělému SDLC.
Kompliance: nástroje a automatizace
Automatizace kompliance a compliance‑as‑a‑service jsou dashboardy KPI, AML scénáře, kontrolní body pro travel rule a sankce, stejně jako registry závislostí pro rizika composability. Implementujeme on‑chain analýzu a blockchain‑forenziku, budujeme kanály SAR a reportování, nastavujeme metriky efektivity: podíl automaticky uzavřených alertů, průměrné TTR/TTI, přesnost flagů, konverze na listing/partnerství po zlepšení souladu. Takový přístup umožňuje porovnávat CAPEX/OPEX kompliance s tržbami a ukazateli ROI.
Pro proof‑of‑reserve používáme kombinované metodologie: kryptografické důkazy, potvrzení od kustodů, nezávislé prověrky závazků a reporty pro uživatele a regulátory. Otevřeně mluvíme o omezeních PoR a navrhujeme protiopatření: frekvence reportování, úplnost pokrytí, mechanismy «červeného tlačítka». Transparentnost: nejde o jednorázovou publikaci, ale o proces.
Časté otázky a odpovědi
- CEX vs DEX: regulační rozdíl. U centralizovaných burz je plné spektrum povinností jako u CASP, včetně úschovy. U DEX je pozornost zaměřena na rozhraní, centralizované komponenty, AML na on‑/off‑rampách a odpovědnost DAO/vývojářů při faktické kontrole.
- Kdo nese odpovědnost v permissionless protokolech? Kde existuje kontrola nebo vliv (front‑end, admin‑klíče, orákula, pokladna), regulátor identifikuje odpovědné. Právní wrapper pro DAO a rozdělení funkcí snižují rizika a zvyšují ovladatelnost.
- Jak uplatnit travel rule v decentralizovaných aplikacích? Prostřednictvím partnerských VASP pro fiat a centralizovaných mostů, výměny atributů, zamítnutí převodů při chybějících datech a logiky na front‑endu a v kontraktech.
- Proof‑of‑reserves: omezení. Bez zohlednění závazků a afiliovaných rizik PoR může být zavádějící. Je potřeba kombinovaná metodologie a pravidelné nezávislé audity.
- MEV a frontrunning: jak snížit regulační riziko? Zavést mechanismy proti frontrunningu, zveřejňovat rizika, monitorovat zneužívání, dokumentovat politiku reakce a hlášení incidentů.
Soulad jako strategie škálování
MiCA posunul laťku, ale zároveň učinil trh předvídatelným. Když má zakladatel jasnou roadmapu, licencování CASP, AML/KYC a travel rule, provozní odolnost, proof‑of‑reserves, whitepaper a passporting, rozšiřuje se přístup ke kapitálu a partnerstvím. V COREDO to není teorie: zkušenosti z projektů v EU, Spojeném království, Singapuru a Dubaji ukázaly, že zralý compliance snižuje náklady spojené s riziky a urychluje prodeje.
Jsem přesvědčen: DeFi a decentralizované protokoly porostou tam, kde je architektura právních a technologických řešení navržena předem. Tým COREDO pomáhá implementovat compliance‑by‑design do produktu: od legal wrapperu pro DAO a modelů governance až po SLA orakulů, SDLC a automatizované AML. Pokud stojíte před rozhodnutím: registrovat strukturu v EU, vstoupit pod MiCA, získávat licence na kryptoslužby a budovat AML‑kontury, neměli byste mít domněnky — jen data, metodologie a partnera, kterému můžete dlouhodobě důvěřovat. Takto stavíme projekty, které obstojí v prověření trhem i časem.