Travel Rule wymaga od giełd i kantorów kryptowalut przekazywania danych o nadawcy i odbiorcy przy transferach kryptowalut. W Polsce obowiązują wytyczne EBA i GIIF, z okresem przejściowym dla VASPs do 31 lipca 2025 r. Polskie giełdy kryptowalut mają obowiązek potwierdzić własność adresów z portfeli niehostowanych przy transferach powyżej 1000 EUR. Regulacje MiCA dotyczące kryptowalut dodatkowo definiują ramy prawne dla operatorów platform krypto w całej Unii Europejskiej.
Co to jest Travel Rule? Wyjaśnienie dla polskich firm krypto
Travel Rule to regulacja unijna (Rozporządzenie (UE) 2023/1113), która nakłada na dostawców usług kryptowalutowych (VASPs), takich jak giełdy i kantory kryptowalut, obowiązek przekazywania szczegółowych informacji o nadawcy i odbiorcy podczas transferów kryptowalut. Celem jest zwiększenie przejrzystości i przeciwdziałanie praniu pieniędzy (AML) oraz finansowaniu terroryzmu (CFT).
W Polsce zgodność z Travel Rule nadzoruje Generalny Inspektor Informacji Finansowej (GIIF), a firmy muszą stosować się do wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA - European Banking Authority) i lokalnych przepisów. Przepisy kryptowalutowe w Polsce wymagają od operatorów platform krypto pełnej zgodności z nowymi obowiązkami compliance w branży kryptowalut. Regulacje MiCA dotyczące kryptowalut stanowią dodatkowe ramy prawne, które polskie podmioty muszą uwzględnić przy wdrażaniu Travel Rule.
Obowiązki polskich giełd i kantorów kryptowalut 2025
Zgodnie z Rozporządzeniem (UE) 2023/1113 i Wytycznymi EBA (EBA/GL/2024/11), giełdy i kantory kryptowalut muszą:
👤 Dane nadawcy i odbiorcy
- Przekazywać dane nadawcy: Imię i nazwisko (lub nazwę firmy), adres zamieszkania lub rejestracji (lub alternatywnie numer dokumentu tożsamości albo datę i miejsce urodzenia), numer identyfikacyjny konta lub portfela oraz inne informacje umożliwiające jednoznaczną identyfikację (art. 14).
- Przekazywać dane odbiorcy: Imię i nazwisko (lub nazwę firmy) oraz numer identyfikacyjny konta lub portfela (art. 14).
🔍 Weryfikacja i kontrola
- Weryfikować tożsamość nadawcy: Przed zleceniem transferu potwierdzić dokładność danych nadawcy na podstawie niezależnego źródła (zazwyczaj na etapie rejestracji klienta).
- Weryfikować informacje: Sprawdzić kompletność otrzymanych danych przy transferze i mieć procedury wykrywania brakujących informacji (art. 16).
- Obsługiwać portfele niehostowane: Zebrać dane o adresach i skutecznie potwierdzić własność przy transferach powyżej 1000 EUR.
- Stosować podejście oparte na ryzyku: Oceniać ryzyko ML/TF i dostosowywać procedury zgodnie ze wzmożonymi środkami bezpieczeństwa finansowego.
⚠️ Ważne: Travel Rule dotyczy wszystkich transferów kryptowalut między VASPs, niezależnie od wartości. Nie ma progu kwotowego zwalniającego z przekazywania danych identyfikacyjnych (wyjątek dotyczy tylko weryfikacji portfeli niehostowanych powyżej 1000 EUR).
Od 30 grudnia 2024 r. główną podstawą prawną jest Rozporządzenie (UE) 2023/1113, które ma pierwszeństwo nad przepisami krajowymi. Ponadto GIIF przypomina o konieczności spełniania standardowych obowiązków z ustawy AML - identyfikacja i weryfikacja tożsamości klientów, monitorowanie transakcji i zgłaszanie podejrzanych działań, które pozostają w mocy obok wymogów Travel Rule.
Okres przejściowy wdrożenia Travel Rule
Od 30 grudnia 2024 r. obowiązują podstawowe wymagania Travel Rule wynikające z Rozporządzenia (UE) 2023/1113. Jednak zgodnie z Wytycznymi EBA (EBA/GL/2024/11), VASPs mają czas do 31 lipca 2025 r. na pełne wdrożenie wymaganych rozwiązań technicznych. W okresie przejściowym firmy mogą stosować rozwiązania tymczasowe, takie jak ręczne przekazywanie danych przez bezpieczne API, pod warunkiem spełnienia podstawowych wymogów przekazywania informacji o transakcjach.
🚨 Ostrzeżenie: Brak systemów technicznych nie zwalnia z obowiązku przekazywania wymaganych danych przy każdym transferze kryptowalut.
MiCA - jak regulacje kryptowalut wpływają na Travel Rule w Polsce
Rozporządzenie MiCA (Markets in Crypto-Assets) stanowi kompleksowe ramy prawne dla kryptowalut w Unii Europejskiej, które bezpośrednio wpływają na wdrożenie Travel Rule w Polsce. MiCA definiuje kluczowe aspekty dla polskich platform krypto, takie jak:
Kluczowe aspekty MiCA dla polskich platform krypto
- Licencjonowanie: CASP (Crypto-Asset Service Providers) muszą uzyskać licencje do prowadzenia działalności na terenie UE.
- Obowiązki operacyjne: Zgodność z wymogami kapitałowymi, organizacyjnymi i operacyjnymi.
- Ochrona konsumentów: Standardy informowania klientów i zarządzania aktywami.
- Powiązanie z Travel Rule: MiCA w Polsce wymaga od licencjonowanych podmiotów pełnej zgodności z Travel Rule.
📅 Okres przejściowy: Podmioty działające przed wejściem MiCA w życie mogą kontynuować działalność do 31 lipca 2025 r., pod warunkiem złożenia wniosku licencyjnego. W tym czasie muszą jednak przestrzegać wymogów Travel Rule od 30 grudnia 2024 r.
Jak polskie giełdy kryptowalut wdrażają Travel Rule – praktyczny przewodnik
Wymogi techniczne dla VASP w Polsce
Aby sprostać wymaganiom wdrożenia Travel Rule, giełdy i kantory kryptowalut w Polsce powinny:
🔧 Aktualizacja systemów technologicznych
Wdrożyć rozwiązania umożliwiające przekazywanie danych, np. Travel Rule Protocol (standaryzowany format wymiany danych między VASPs) oraz zapewnić interoperacyjność z blockchainami.
📋 Procedury wewnętrzne
Dotyczące wykrywania brakujących danych i zarządzania niezgodnymi transferami oraz opracować metody weryfikacji portfeli niehostowanych. Skuteczne techniki weryfikacji mogą obejmować podpisy kryptograficzne, mikropłatności weryfikacyjne (tzw. satoshi test - praktyka branżowa) lub inne uzgodnione metody potwierdzające kontrolę nad adresem.
🎓 Szkolenia personelu
Z zakresu Travel Rule i podejścia opartego na ryzyku.
🤝 Współpraca z VASPs
Z innymi VASPami dla wymiany danych, szczególnie w transferach transgranicznych.
📊 Monitoring regulacji
Aktualizacje Wytycznych EBA i komunikaty GIIF.
Najczęstsze błędy przy wdrożeniu Travel Rule – jak ich unikać
- Interoperacyjność: Dołącz do inicjatyw branżowych, np. OpenVASP (sieć służąca interoperacyjności między dostawcami usług), aby ułatwić wymianę danych.
- Koszty: Stopniowo wdrażaj zmiany, wykorzystując okres przejściowy do 31 lipca 2025 r.
- Portfele niehostowane: Stosuj skuteczne metody weryfikacji własności adresu, wybierając odpowiednią technikę w zależności od poziomu ryzyka transakcji.
- Transfery spoza UE: Przed wysłaniem kryptoaktywów do podmiotu spoza UE oceń, czy odbiorca może przyjąć i właściwie chronić wymagane dane zgodnie z GDPR. W przypadku braku takich gwarancji zastosuj środki podwyższonej ostrożności.
- RODO: Szyfruj dane osobowe, przekazuj je bezpiecznym kanałem (np. szyfrowane API zgodne z IVMS101) i minimalizuj ich przetwarzanie zgodnie z GDPR.
Ochrona danych osobowych w Travel Rule
Travel Rule wymaga przekazywania danych osobowych, co wiąże się z obowiązkiem ich zabezpieczenia zgodnie z RODO:
- Szyfrowanie danych: Wszystkie dane osobowe muszą być przekazywane bezpiecznym, szyfrowanym kanałem.
- Minimalizacja danych: Przetwarzaj tylko niezbędne informacje wymagane przez rozporządzenie.
- Zabezpieczenie systemów: Wdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych.
- Protokoły bezpieczeństwa: Wykorzystanie standardów takich jak IVMS101 dla bezpiecznej wymiany informacji.
💡 Wskazówka: Dane nie muszą być zapisywane na blockchain - wystarczy, że towarzyszą transferowi w systemach komunikacyjnych między VASPs.
Kary za brak zgodności z Travel Rule w Polsce
Brak wdrożenia wymogów Travel Rule niesie poważne ryzyka:
- Sankcje GIIF: Kary administracyjne przewidziane w ustawie AML, włącznie z wysokimi karami pieniężnymi.
- Utrata licencji: Możliwość wykreślenia z rejestru działalności w zakresie walut wirtualnych.
- Ograniczenia operacyjne: Inne instytucje finansowe mogą odmówić współpracy z VASPs, które nie zapewniają wymaganych informacji.
- Reputacja: Utrata zaufania klientów i partnerów biznesowych.
Podsumowanie
Travel Rule to kluczowe wyzwanie dla polskich giełd i kantorów kryptowalut w 2025 roku. Dostosowanie do wymogów Rozporządzenia (UE) 2023/1113 i wytycznych EBA wymaga inwestycji w technologię, procedury i szkolenia. Okres przejściowy do 31 lipca 2025 r. daje czas na pełne wdrożenie systemów technicznych, ale już od 30 grudnia 2024 r. podstawowe obowiązki przekazywania danych są egzekwowane. Zgodność z Travel Rule nie tylko zapewni legalność, ale także wzmocni pozycję na regulowanym rynku kryptowalut oraz ochroni przed sankcjami regulacyjnymi.
Najczęściej zadawane pytania - MiCA kryptowaluty i Travel Rule
Czy regulacje MiCA zastępują Travel Rule?
Nie. MiCA i Travel Rule to uzupełniające się regulacje. MiCA definiuje ogólne ramy dla działalności CASP, podczas gdy Travel Rule określa konkretne obowiązki dotyczące przekazywania danych przy transferach.
Kiedy wchodzi w życie MiCA w Polsce?
MiCA w pełni obowiązuje od 30 grudnia 2024 r., z okresem przejściowym do 31 lipca 2025 r. dla podmiotów ubiegających się o licencje CASP.
Czy MiCA obejmuje wszystkie aktywa cyfrowe?
MiCA reguluje większość kryptoaktywów, z wyłączeniem NFT i tokenów DeFi w określonych przypadkach.
Jakie kary grożą za brak zgodności z regulacjami kryptowalut w Polsce?
GIIF może nałożyć kary do 5 mln PLN dla firm i do 1 mln PLN dla osób fizycznych za naruszenie przepisów AML, w tym Travel Rule.