EU vedtok i 2023 Markets in Crypto-assets (MiCA) som en ny felles forordning med krav til vekslings- og oppbevaringstjenester, krav til offentlige tilbud om virtuell valuta og krav til opptak til handel på handelsplattformer. Reglene skal blant annet beskytte investorene og hindre markedsmisbruk. Transfer of Funds Regulation (TFR) II er en forordning om informasjon som skal følge pengeoverføringer og overføringer av visse kryptoeiendeler for å hindre hvitvasking og terrorfinansiering. Finansdepartementet hadde våren 2024 på høring et forslag til gjennomføring av MiCA og TFR II i norsk lovgivning. Tilbydere som er registrert hos Finanstilsynet kan fortsette å tilby sine tjenester frem til søknaden er avgjort eller 30. desember 2025.

The Organization for Economic Cooperation and Development (OECD) vedtok Crypto-Asset Reporting Framework (CARF) i 2023 som en ny global standard for skatterapportering og automatisk utveksling av opplysninger om virtuell valuta mellom skattemyndigheter. CARF skal gi skattemyndighetene økt tilgang til informasjon om eierskap i virtuell valuta. Finansdepartementet og Skattedirektoratet sendte forslag til gjennomføring av CARF i norsk lovgivning på høring på slutten av 2024. Det ble samtidig varslet at reglene vil gjelde fra 1. januar 2026.

Søknad om tillatelse til Finanstilsynet etter MiCA

Ved innføring av MiCA i Norge må alle tilbyderne søke ny tillatelse (konsesjon) fra Finanstilsynet. Banker, verdipapirforetak, fondsforvaltere og enkelte andre foretak kan notifisere Finanstilsynet om de vil utvide gjeldende tillatelser til å omfatte virtuell valuta. E-pengeforetak kan tilby oppbevaring og administrasjon på vegne av kunder for e-pengetoken de utsteder. Andre foretak må søke egen tillatelse fra Finanstilsynet for å kunne fortsette eller starte med å tilby virtuell valuta. Finansdepartementet har vurdert at søknadspliken er en så vesentlig utvidelse av dagens registreringsplikt at det ikke er hensiktsmessig med en forenklet søknadsprosedyre for eksisterene tilbydere.

Søknaden må blant annet inneholde en driftsplan med hvilke former for tjenester som vil leveres og hvordan de vil markedsføres, dokumentasjon på IKT-systemene og oppfyllelse av kapitalkravene, og egnethetsskjema og politiattest fra ledelsen og eiere. Søknaden må også inneholde beskrivelser av blant annet internkontroll og risikostyring, kontinuitetsplanen, hvordan kundemidler holdes adskilt og rutinene for klagebehandling.

Foretak som ønsker å levere oppbevaringstjenester, drive en handelsplattform, veskslingstjenester, utføre handelsordre, yte rådgivnings- eller overføringstjenester, må gi ytterligere beskrivelser av disse tjenestene og hvordan de vil etterleve tilknyttede krav. 

For hver virtuell valuta må det publiseres en hvitbok (et prospekt kalt «White paper») som må inneholde detaljert informasjon om valutaen, med tekniske spesifikasjoner, formål, og hvordan den fungerer. Risikoen forbundet med valutaen må også være beskrevet.

For å sikre en god søknadsprosess er det viktig å komme tidlig i gang med en plan for søknadsarbeidet, identfisere hva søknaden skal inneholde, fordele ansvar for de ulike delene og sørge for kvalitetssikring.

Revisjonsplikt

Tilbyderne vil få revisjonsplikt når de er underlagt tilsyn av Finanstilsynet og skal påse at årsregnskapet blir revidert av ett eller flere revisjonsforetak.

Nye krav om kundetiltak og årlig rapportering til Skatteetaten etter CARF

Ved innføringen av CARF vil vekslings- og oppbevaringstjenester ha plikt til å gi opplysninger om virtuell valuta og andre finansielle forhold til Skatteetaten. Opplysningsplikten vil både omfatte banker og andre aktører innen tradisjonell finans, og de spesialiserte vekslings- og oppbevaringstjenestene. CARF er utviklet med CRS (Common Reporting Standard) som modell og bygger videre på hvitvaskingslovens krav til kundetiltak. Norske banker, verdipapirforetak, fondsforvaltere og livsforsikringsforetak har vært underlagt CRS siden 2016.

Tilbyderne skal begynne å samle inn opplysninger om kundene fra 1. januar 2026 og rapportere til Skatteetaten første gang i 2027. For å klare dette må tilbyderne gjøre nødvendige tekniske endringer i løpet av 2025, gjennomføre kundetiltak på eksisterende og nye kunder i 2026 og forberede rapporteringen til Skatteetaten i god tid. 

Kundetiltakene må fastslå hvor kundene er skattemessig bosatt, og avgjøre om foretakskunder er unntatt fra rapportering og om reelle rettighetshavere omfattes av opplysningsplikten. Erfaring fra CRS viser at mange kunder misforstår spørsmål og at det er ressursbesparende med god datahåndtering og tydelig språk. Mangelfulle kundetiltak vil kunne føre til under- og overrapportering i strid med skattereglene og General Data Protection Regulation (GDPR). Tilbyderne må etter rapporteringen sende kundene en årsoppgave med de rapporterte opplysningene. Erfaring fra CRS viser at det er viktig å planlegge rapporteringen godt i forkant for å kunne få til en god gjennomføring innenfor fristene satt av Skatteetaten.

Tilbydere er allerede underlagt hvitvaskingsloven og GDPR 

Tilbydere av vekslingstjenester og oppbevaringstjenester for virtuell valuta har vært underlagt hvitvaskingsloven og registreringsplikt hos Finanstilsynet siden 2019. Tilbydere må ved registrering legge frem dokumentasjon på typen tjeneste som tilbys, foretakets risikovurderinger og hvitvaskingsrutiner, samt utfylt egnethetsskjema og politiattest fra daglig leder, styremedlemmer, reell rettighetshavere og andre personer i den faktiske ledelsen i foretaket.

Tilbydere må gjøre risikovurderinger av sine kunder for å kartlegge hvitvaskingsrisikoen. For virtuell valuta kan det være utfordrende å kartlegge opprinnelsen til midler som stammer fra handel eller investeringer. Tilbydere må i slike tilfeller innhente tilstrekkelig informasjon til å avgjøre om kundens redegjørelser er egnet til å begrunne hvordan midlene ble ervervet. For kunder med høy risiko kan det være nødvendig med oppslag på blokkjeder eller i øvrige aktuelle kilder.

Tilbydere behandler personopplysninger om blant annet kunder, reelle rettighetshavere og kontaktpersoner ved gjennomføring av kundetiltak, levering av tjenester og markedsføring. Etter GDPR må de sørge for å dokumentere personopplysningene som behandles, behandlingsgrunnlag og formål, sørge for tilstrekkelig sikkerhet og ivareta personenes rettigheter og sine øvrige plikter.