Nikita Veremeev
27.12.2025 | 6 minutové čtení
Aktualizováno: 27.12.2025
Investiční společnost skutečně může pracovat s kryptoaktivy v EU, ale dnes to už není „šedá zóna“, nýbrž přísně regulovaná činnost: MiCA, DORA, AML/CFT a DAC8 nastavují srozumitelná, avšak poměrně přísná pravidla hry pro investiční společnosti a poskytovatele kryptoslužeb (CASP).
Níže: můj praktický pohled jako zakladatele COREDO na to, jak může podnikatel, CEO nebo finanční ředitel vybudovat udržitelný, regulovaný model práce s kryptoaktivy v EU: od registrace společnosti až po licencování, AML/KYC, custody infrastrukturu a výkaznictví.
Strategie investiční společnosti s kryptoaktivy v EU
Když ke mně přicházejí klienti s otázkou: «Můžeme jako investiční společnost pracovat s krypto‑aktivy v EU?», vždy začínám třemi základními body:
- Typ činnosti
Je třeba jasně odpovědět, co přesně chcete dělat:
- spravovat investiční portfolio kryptoaktiv klientů;
- působit jako CASP (Crypto‑Asset Service Provider) – burza, makléř, kustod;
- emitovat tokeny nebo stablecoiny;
- zakládat fondy, SPV, tokenizaci aktiv;
- integrovat krypto‑platby do již existujícího podnikání.
- Cílová jurisdikce v EU
Podmínky a zátěž se výrazně liší podle zemí. V praxi COREDO nejčastěji spolupracuje s:
- Estonskem, Maltou, Kyprem – jako s více „přátelskými“ jurisdikcemi vůči digitálním aktivům;
- Německem (BaFin), někdy Francií – jako s příkladem přísnější regulace a vysokých požadavků na kapitál a řízení.
- Regulační rámec: co se na vás bude vztahovat
U většiny klientů situace vypadá takto:
- MiCA (Markets in Crypto‑Assets Regulation) – určuje, kdo je CASP, jak získat autorizaci a jak funguje passporting na území celé EU.
- AML/CFT + KYC/EDD – požadavky proti praní špinavých peněz a financování terorismu, včetně Travel Rule a on‑chain monitoringu.
- DORA (Digital Operational Resilience Act) – digitální a provozní odolnost, IT a kybernetická bezpečnost.
- DAC8: automatická výměna dat o kryptoaktivách a rozšířené vykazování kryptooperací.
- Národní zákony o cenných papírech, zdanění a trhu finančních služeb.
Moje zkušenost ukazuje: společnosti, které si na začátku upřímně odpoví na tyto tři otázky a staví model podle regulačních rámců, vstupují na trh rychleji, s nižšími náklady a bez nákladných «přepracování» později.
Kde v EU je pro investiční společnost snazší pracovat s kryptoaktivy
Často se mě ptají: «V kterých zemích EU je snazší a rychlejší získat licenci pro práci s kryptoaktivy?». Jednoznačná odpověď neexistuje, ale lze sestavit pracovní kontrolní seznam.
Srovnání oblíbených jurisdikcí
| Jurisdikce | Charakter regulace kryptoaktiv | Typické případy |
|---|---|---|
| Estonsko | Vysoké požadavky na AML, transparentní CASP‑autorizace, silný důraz na substance | Burzy, peněženkové služby, fintechové platformy |
| Malta | Jeden z prvních krypto‑hubů, rozvinutá praxe licencování, úzká spolupráce s regulátorem | Platformy s mnoha službami, tokenizace |
| Kypr | Kombinace MiCA + investičních a platebních licencí, vhodný pro skupiny se strukturami SPV | Investiční společnosti, forexoví brokeři, platební řešení |
| Německo (BaFin) | Nejpřísnější regulace, vysoký kapitálový práh a přísný dohled | Institucionální kryptofondy, regulované úschovy |
V praxi COREDO je typický scénář následující:
- investiční fond / společnost orientovaná na EU. Zvažují se Kypr, Malta, Estonsko. Kritéria: rychlost licencování CASP, požadavky na substance, daně, možný EU passporting.
- Institucionální hráč, orientovaný na „top‑úroveň“ spolehlivosti. Zde už se objevuje Německo nebo Rakousko, někdy Francie. Regulatorně složitější a dražší, ale pro část investorů je licence od BaFin nebo AMF vážným argumentem.
Vždy klientovi říkám: nevybírejte zemi „podle pověstí“. My v COREDO provádíme jurisdikční screening: daně, požadavky na kapitál, lhůty autorizace CASP, náklady podle DORA, lokální očekávání v oblasti AML, možnosti passportingu.
Po tom se stane jasné, kde jurisdikce pracuje pro váš model, a kde proti němu.
Po tom se stane jasné, kde jurisdikce pracuje pro váš model, a kde proti němu.
Registrace právnické osoby a korporátní struktura
Jakmile máte vybranou jurisdikci a typ činnosti, další krok je struktura.
Typické varianty
- Provozní společnost (CASP) v jedné z zemí EU, přes kterou probíhá veškerá kryptočinnost.
- SPV pro jednotlivé projekty tokenizace, emise stablecoinů, pilotní programy.
- Fondové struktury (investiční fondy, sub‑fondy, AIF a t. p.) – pokud je hlavní zaměření na správu portfolia kryptoaktiv.
- Dceřiné struktury v EU u skupiny sídlící například v Asii nebo na Blízkém východě, s využitím MiCA‑passportingu pro vstup na celý trh EU.
Když tým COREDO navrhuje strukturu, vždy trvám na třech věcech:
- Oddělení rizik: uchovávání aktiv, obchodování, emise tokenů, IT‑vývoj a duševní vlastnictví — pokud možno rozdělíme do různých právnických osob.
- Transparentní řízení společnosti (corporate governance) — představenstva, výbory pro řízení rizik, vnitřní kontrola, nezávislý compliance officer. To není „pro formu“, to je klíč k tomu, aby regulátor a banky důvěřovaly vaší struktuře.
- Připravenost na prověrku beneficientů a zdrojů prostředků. V EU jsou rejstříky, povinné zveřejnění UBO, KYC/EDD už dávno normou. Skryté struktury prostě nefungují.
Licencování CASP a MiCA: co to znamená v praxi
MiCA formalizovala pojem CASP (Crypto‑Asset Service Provider) a stanovila jednotná pravidla pro:
- provozovatele obchodních platforem pro kryptoaktiva;
- makléře a dealery;
- kustodní služby (custody solutions);
- poskytovatele směn crypto‑fiat a crypto‑crypto;
- poradce a správce portfolií v oblasti kryptoaktiv.
Hlavní požadavky MiCA na CASP
Z praxe COREDO bych vyzdvihl:
- Autorizace a kapitálové požadavky Regulátor se nesoustředí jen na základní kapitál, ale i na finanční odolnost: rezervování, likviditu, stresové testování. Vydavatelé stablecoinů podléhají zvláštním zvýšeným požadavkům na rezervy.
- Governance a vnitřní kontrola Je třeba prokázat fungující systém interních kontrol: řízení rizik, compliance, audit, postupy pro konflikty zájmů, ochranu klientů a jejich aktiv.
- politiky AML/CFT a KYC/EDD Pro krypto průmysl regulátoři očekávají prohloubený přístup založený na rizicích, včetně KYC/EDD pro vysoce rizikové a institucionální klienty, monitorování transakcí, sankční screening a Travel Rule.
- Výkaznictví a zveřejňování informací Pravidelné a ad‑hoc výkaznictví pro regulátora, veřejné informace pro klienty, včetně údajů o tokenech, stablecoinech, rizicích a používaných modelech.
V jednom z projektů COREDO jsme pomáhali evropské investiční společnosti transformovat se na plně regulovaného CASP s možností passportingu. Na začátku měl klient silnou IT platformu, ale chybělo formalizované řízení rizik a AML procesy. Poté, co jsme „dostavěli“ governance, vypracovali strukturu politik kompatibilní s MiCA a zavedli transaction monitoring, společnost získala autorizaci a dnes působí na celém území EU prostřednictvím mechanismu evropského pasu.
DORA: odolnost a kybernetická bezpečnost
Mnozí podceňují DORA. Pro krypto firmy a investiční společnosti pracující s digitálními aktivy to není jen „IT‑předpis“, ale prověření celé vaší infrastruktury z hlediska odolnosti.
Klíčové oblasti, které pro klienty zpracováváme:
- Hodnocení a řízení ICT rizik: od architektury systémů po závislosti na třetích stranách (včetně kustodů a poskytovatelů blockchainové infrastruktury).
- Incident response a business continuity: jasný plán akcí při průniku, úniku klíčů, selhání cloudového poskytovatele, kompromitaci hot‑wallet.
- Testování a audit bezpečnosti: pravidelné pentesty, revize kódu, audit smart kontraktů, hodnocení architektury HSM/MPC/cold storage.
- Řízení poskytovatelů: pokud používáte white‑label custody nebo externí SaaS pro compliance/analytics, regulátor očekává, že kontrolujete rizika těchto poskytovatelů.
Z mé praxe se příprava na DORA často stává hybatelem zralosti: společnost začne vnímat IT a kybernetickou bezpečnost jako klíčové obchodní riziko, nikoli jako technický detail.
DAC8: hlášení o kryptoaktivách
DAC8 zpřísňuje požadavky na daňové a regulační vykazování kryptoaktiv v EU a zavádí automatickou výměnu údajů mezi daňovými orgány.
Co to znamená pro investiční společnosti a CASP:
- musíte být připraveni shromažďovat a předávat rozšířenou sadu údajů o klientech a jejich transakcích;
- IT-systémy musí podporovat formáty kompatibilní s reportovacími schématy DAC8;
- je nutné synchronizovat KYC, AML, daňová data a požadavky GDPR, aby nevznikaly konflikty mezi povinným vykazováním a ochranou osobních údajů.
V jednom z projektů COREDO pro krypto platformu s klienty v několika zemích EU jsme budovali datovou architekturu pro DAC8: jaká data se sbírají v KYC fázi, jak jsou ukládána, jak se propojují s transakcemi a jak se agregují pro automatické vykazování. Nakonec se klient vyhnul duplikaci procesů a nákladům tím, že sloučil AML, daňové a regulační vykazování do jednoho sjednoceného modelu.
AML/KYC, soulad v blockchainu a pravidlo Travel Rule
Otázka AML/CFT v kryptoprůmyslu už dávno přesáhla rámec základního KYC.
Klíčové prvky AML pro krypto‑investiční společnost
- Risk‑based approach по стандартам FATF Hodnocení rizik podle typů klientů, jurisdikcí, druhů kryptoaktiv, zdrojů prostředků, používání anonymizérů apod.
- KYC a EDD
- Úplné KYC pro fyzické i právnické osoby.
- EDD pro vysoce rizikové klienty a instituce: rozšířený balík dokumentů, potvrzení zdroje bohatství a původu prostředků.
- On‑chain analytics a blockchain forensics Integrace s řešeními chain analytics (typicky Chainalysis, Elliptic a jejich ekvivalenty) pro:
- rizikové skórování adres a transakcí;
- sledování vazeb s darknetem, podvody, sankcionovanými peněženkami;
- vyšetřování incidentů.
- Travel Rule Výměna informací mezi poskytovateli při převodech kryptoaktiv: jméno, identifikátory plátce a příjemce, údaje o transakci. V projektech COREDO integrujeme Travel Rule prostřednictvím specializovaných bran, aby klient dodržoval požadavky bez ruční práce a rizika úniku dat.
- Transaction monitoring a AML risk scoring Systémy, které sledují a analyzují chování klientů a transakcí v režimu blízkém reálnému: limity, vzorce, anomálie, vazby na sankční seznamy.
V jednom případě COREDO pomáhalo CASP‑platformě, kde již byla základní KYC procedura, ale chybělo on‑chain monitorování. Po zavedení chain analytics, risk scoringu a scénářového monitoringu jsme klienta připravili na přísnější dohled regulátora a bankovních partnerů, což jim odblokovalo korespondenční vztahy a nové kanály pro vklady a výběry prostředků.
Infrastruktura úschovy: HSM, MPC, offline úložiště
Pro investiční společnost, která pracuje s kryptoaktivy, je jednou z klíčových otázek, jak bezpečně uchovávat aktiva klientů a svá vlastní.
Hlavní modely
- Interní úschova
- HSM, MPC, cold a hot peněženky;
- vlastní IT tým, zodpovědný za architekturu a bezpečnost;
- plná kontrola, ale také plná odpovědnost, včetně regulační odpovědnosti.
- Externí kustodián / white‑label řešení
- licencovaný kustodián, jemuž je svěřeno uchovávání aktiv a část provozního rizika;
- je důležité zkontrolovat: licence, politiku oddělení aktiv (asset segregation), dostupnost pojištění úschovy, přístup k proof‑of‑reserves.
- Hybridní model
- horké peněženky – interně, dlouhodobé uchovávání u externího kustodiána;
- rozdělení podle typu aktiv, jurisdikcí nebo klientských segmentů.
Při navrhování custody modelu v COREDO vždy klademe otázky:
- právní rozdělení odpovědnosti mezi společností a kustodiánem;
- existence smluvní základny (včetně analogií ISDA a custody dohod upravených pro digitální aktiva);
- režim oddělení aktiv (asset segregation) a zákazy rehypothekace (rehypothecation), pokud je to pro klienty důležité;
- soulad s DORA a požadavkům na provozní odolnost.
Tokenizace a stablecoiny: kvalifikace tokenů
Mnoho klientů přichází s nápady na tokenizaci aktiv nebo vydání stablecoinů. Je důležité už od začátku rozhodnout tři otázky:
- Kvalifikace tokenu
- utility token,
- security token,
- hybridní modely.
Od toho záleží, zda spadáte pod režim MiCA, do právních předpisů o cenných papírech, nebo do obou oblastí současně. V COREDO vytváříme token classification framework: analýzu funkčnosti tokenu, práv investorů, mechanismu distribuce a příslušného práva. - Whitepaper a disclosure
MiCA stanovuje konkrétní požadavky na zveřejnění ve whitepaperu: rizikové faktory, popis obchodního modelu, práva držitelů tokenu, mechanismu oběhu a vykoupení. V jednom projektu COREDO upravilo whitepaper klienta, přeměnilo marketingový dokument na právně odolný a s MiCA kompatibilní prospekt.
- Stablecoiny a požadavky na rezervy
Pro emitenty stablecoinů v EU platí zvýšené požadavky na rezervy:
- transparentní struktura rezerv;
- audit a pravidelné zprávy;
- mechanismus vykoupení (redemption) a právní režim pro držitele.
Zde je kriticky důležité správně navrhnout jak finanční, tak právní model: kde jsou uchovávány rezervy, jak jsou chráněna práva držitelů, jaká je struktura záruk.
Zdanění a mezinárodní struktura
Při práci s krypto‑investicemi nelze daňovou oblast odkládat „na později“.
Hlavní prvky, které s klienty analyzujeme:
- Daň z kapitálového výnosu z operací s krypto‑aktivy: jak se v konkrétní zemi EU posuzují zisky z obchodních a investičních operací.
- Transferové oceňování (transfer pricing): zejména pokud struktura zahrnuje několik právnických osob v různých jurisdikcích (SPV, fondy, správcovská společnost apod.).
- Dopad globálních iniciativ, jako je Pillar Two, na skupiny s mezinárodní působností.
- Daňové důsledky pro klienty‑rezidenty EU a jejich povinnosti při deklarování, s ohledem na DAC8.
V jednom projektu COREDO pro mezinárodní kryptofond jsme přestavěli řetězec tvorby hodnoty tak, aby se investiční zisky adekvátně rozdělovaly mezi jurisdikce a dokumentace k transferovému oceňování odolávala kontrolám daňových orgánů.
Odpovědnost ředitelů v korporátním řízení
Práce s kryptoaktivy zvyšuje právní a reputační rizika pro ředitele a vrcholové vedení.
S klienty vždy probíráme tato témata:
- osobní odpovědnost ředitele za dodržování licence, AML/CFT, DORA, daňových požadavků;
- role představenstva a rizikových výborů;
- nutnost dokumentovat klíčová rozhodnutí (včetně uvedení tokenů na burzu, spuštění nových produktů, změn v modelu úschovy);
- pokrytí rizik prostřednictvím D&O pojištění a správně formulovaných omezení v korporátních dokumentech.
Dobře nastavené řízení (governance) nejen snižuje rizika, ale také zvyšuje důvěru regulátorů, bank a institucionálních investorů.
Technická a právní roadmapa: kroky
Abych poskytl praktickou oporu, často vše shrnu do roadmapy, kterou používáme v projektech COREDO.
Strategie a volba modelu
- Určit typ činnosti: investment firm, CASP, emitent tokenů/stablecoinů, tokenizační platforma apod.
- Vybrat základní jurisdikci(e) v EU s ohledem na MiCA, daně, kapitálové požadavky a DORA.
- Sestavit počáteční business case a metriky ROI: výnosnost portfolia, marže ze služeb, náklady na compliance a infrastrukturu.
Korporátní struktura a zřízení právnické osoby
- Navrhnout korporátní strukturu: provozní společnost, SPV, fondové struktury.
- Zaregistrovat právnickou osobu v vybrané jurisdikci.
- Zabezpečit corporate governance: stanovy, politiky, výbory, rozdělení pravomocí.
Základy dodržování předpisů
- Vypracovat a implementovat MiCA‑compliance framework:
- politiky pro řízení rizik, řešení střetů zájmů, ochranu klientů;
- příprava balíčku dokumentů pro autorizaci CASP (pokud relevantní).
- Vytvořit AML/CFT systém: KYC/EDD, Travel Rule, on‑chain analytics, transaction monitoring, sankční screening.
- Nastavit procesy a IT mechanismy podle DORA: řízení rizik, incident response, disaster recovery, testování.
- Vypracovat model dat a reportování kompatibilní s DAC8.
Infrastruktura a provozní procesy
- Vybrat a implementovat custody řešení: in‑house (HSM, MPC, cold storage), externí custodian nebo hybrid.
- Nastavit bezpečnou IT infrastrukturu: správa klíčů, přístupů, auditování operací, kyberbezpečnost.
- Integrovat reporting‑API pro regulátory a daňové úřady.
Testování, stres‑testy a spuštění
- Provést stress‑testování portfolia krypto‑aktiv: likvidita, volatilita, scénáře „černých labutí“.
- Ověřit fungování AML modelů a transaction monitoring na reálných a simulovaných datech.
- Zhodnotit připravenost na regulátorovu kontrolu: interní „pre‑audit“ sezení.
Škálování a pasportizace
- V případě potřeby využít MiCA passporting pro vstup na jiné trhy v EU.
- Přidávat nové produkty: tokenizace, stablecoiny, derivátní nástroje na krypto‑aktiva: pouze po zhodnocení regulatorních a daňových dopadů.
- Průběžně aktualizovat politiky podle změn v MiCA, DORA, AML/CFT, DAC8 a v národních právních předpisech.
Můj osobní závěr po mnoha realizovaných projektech: investiční společnost může nejen „legálně“ pracovat s krypto‑aktivy v EU, ale vybudovat kolem nich udržitelný, regulovaný a škálovatelný byznys. Ale to vyžaduje systematický přístup: správnou jurisdikci, promyšlenou korporátní strukturu, přísný compliance a technickou infrastrukturu odpovídající MiCA, DORA, AML/CFT a DAC8.
Právě na rozhraní těchto prvků tým COREDO přináší maximální hodnotu – od strategického navrhování až po praktickou realizaci a podporu ve všech fázích růstu.
Závěr
Stručně řečeno, investiční společnost v EU může pracovat s kryptoaktivy, ale úspěch zde nezávisí na „odvahě“, nýbrž na kvalitě architektury: model činnosti → jurisdikce → Licencování → AML/KYC + on-chain → úschova → DORA/DAC8 → daňové otázky a governance. Jakmile toto složíte do jednoho systému, krypto přestává být „rizikem pro riziko“ a stává se běžným regulovaným obchodním směrem, který banky, regulátoři a institucionální hráči jsou ochotní chápat a obsluhovat.
Vyzdvihl bych tři praktické závěry, které klientům nejčastěji ušetří měsíce času a stovky tisíc eur na předělávkách:
- Nezačínejte s “kde je to levnější” – začněte s “co přesně děláme”.
CASP, správa portfolia, tokenizace, úschova, směna, poradenství – to jsou různé režimy rizika a různá očekávání regulatorů. Jasná kvalifikace činnosti na startu automaticky zjednodušuje MiCA-autorizaci, snižuje počet otázek ohledně AML a činí bankovní onboarding realistickým.
- Compliance je produkt, ne složka s politikami.
MiCA/AML/DORA/DAC8 nevyžadují „texty“, ale fungující procesy: kdo rozhoduje, jak vypadá kontrola, kde je logování, jak je nastaveno monitorování transakcí, jak se ověřuje původ prostředků, jak je implementováno Travel Rule, jak se testuje odolnost. Tam, kde je to postaveno jako systém, probíhá onboarding v bankách a u poskytovatelů infrastruktury mnohem klidněji.
- Úschova a datová architektura – hlavní „body důvěry“ trhu.
Klienti a partneři vás hodnotí podle toho, jak jsou chráněna aktiva a jak jsou spravována data: HSM/MPC/cold storage, segregace, přístupy, audit, incident response, shoda s DORA, připravenost na reporting podle DAC8. Právě tyto bloky se nejčastěji stávají tím, co odlišuje „projekt“ od „institucionálního hráče“.
Pokud se právě rozhodujete „vstoupíme do EU nebo ne“, doporučuji postupovat pragmaticky: provést regulatorní a jurisdikční screening pro váš model, následně vytvořit plán na 3 horizonty: (1) spuštění, (2) udržitelnost, (3) škálování a passporting. To dává předvídatelné termíny, rozpočet a snižuje riziko, že za 6–9 měsíců regulátor nebo banka nařídí přestavět polovinu systému.
Tým COREDO v takových projektech obvykle pomáhá projít celý cyklus: od výběru jurisdikce a struktury až po přípravu k autorizaci, nastavení AML/on-chain compliance, návrh custody-modelu, odolnosti DORA a DAC8 datových okruhů. Pokud chcete, můžete nám poslat váš cílový model (co přesně děláte, geografie klientů, přístup k úschově, očekávané obraty/typy aktiv) – a my sestavíme krátký checklist „co je povinné / co je volitelné / kde jsou nejdražší rizika“ pro váš případ.