Kryptosměnárny a jejich povinnosti pohledem roku 2026

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
19.5.2026 | ARROWS advokátní kancelář

V roce 2026 čelí poskytovatelé kryptoměnových služeb v České republice a EU bezprecedentní vlně regulačních požadavků. Nařízení MiCA, které je plně vynucováno, a direktivy DAC 8, DORA a FATF Travel Rule transformují jejich operační model. Tento článek vysvětluje, co kryptosměnárny musí dělat, jaká jsou rizika porušení a na jaké problémy narážejí čeští i zahraniční operátoři na českém trhu.

Fotografie ukazuje právníka diskutujícího o tématu regulační požadavky na kryptoslužby.

Shrnutí hlavních bodů

  • MiCA autorizace je povinná a konečný termín se blíží: Všechny kryptosměnárny a poskytovatelé kryptoměnových služeb musí mít do 1. července 2026 aktivní licenci od České národní banky. Přechodné období pro subjekty, které podaly žádost včas, končí a subjekty bez platné autorizace nesmí dále poskytovat služby.
  • AML/CFT povinnosti jsou nyní centrální: Kryptosměnárny musí zavést komplexní systémy Know your customer (KYC), monitoring transakcí, screening sankcí a hlášení podezřelých aktivit. Porušení těchto povinností vedlo v nedávné minulosti k vysokým pokutám, které se v závažných případech pohybovaly v řádech stovek milionů až miliard eur u největších globálních subjektů.
  • DAC 8 reporting začíná v roce 2026: Od 1. ledna 2026 musí kryptosměnárny hlásit detailní informace o transakcích svých klientů příslušným daňovým úřadům, což znamená zásadní změnu v transparentnosti a vytváří nové povinnosti pro jejich uživatele.
  • DORA a technická odolnost jsou neoddiskutovatelné: Regulace digitální provozní odolnosti (DORA) vyžaduje od kryptosměnáren robustní kybernetické ochrany, monitoring bezpečnostních incidentů a compliance s přísnými standardy ochrany dat, přičemž plná platnost požadavků je od 17. ledna 2025.

MiCA a její dopad na české kryptosměnárny

Nařízení MiCA (Markets in Crypto-Assets Regulation) zavádí jednotný regulační rámec pro všechny poskytovatele kryptoměnových služeb (CASP – Crypto-Asset Service Providers) v celé Evropské unii. V České republice přijala roli příslušného orgánu Česká národní banka (ČNB), která od 30. prosince 2024 začala vydávat autorizace podle harmonizovaných evropských standardů. Každá kryptosměnárna, která chce legálně poskytovat služby české nebo jakékoliv EU populaci, musí v současné době projít přísným autorizačním procesem.

Ačkoliv se to může zdát formálním požadavkem, realita je složitější. Proces autorizace je značně selektivní a vyžaduje splnění velmi přísných kritérií. S nastavením postupu a dokumentace pro autorizaci podle MiCA může pomoci i tým pro licence čnb & investice. Subjekty, které poskytovaly služby před 30. prosincem 2024 a požádaly o autorizaci do 30. prosince 2025, mohly pokračovat v činnosti v rámci přechodného období, avšak toto přechodné období končí nejpozději 1. července 2026. Po tomto datu musí mít každý poskytovatel služeb již platnou licenci.

Povinná autorizace a proces licencování

Co konkrétně regulátor posuzuje? Na prvním místě jsou řídící a kontrolní systémy – jak má společnost nastaveny procesy rozhodování, jaká je politika AML/CFT, jak řeší rizika a kdo nese odpovědnost. Na druhém místě je kapitálová vybavenost – minimální počáteční kapitál se liší podle poskytovaných služeb.

Například pro provozování obchodní platformy pro kryptoaktiva, pro výměnu kryptoaktiv za fiat měnu nebo jiná kryptoaktiva, nebo pro přijímání a předávání pokynů týkajících se kryptoaktiv je požadován počáteční kapitál ve výši 125 000 eur (článek 63 MiCA). Pro custody služby je to 150 000 eur (článek 63 MiCA).

Na třetím místě jsou bezpečnostní opatření, která podléhají nařízení DORA. Praktické dopady požadavků na IT a kyberbezpečnost včetně odpovědnosti vedení shrnuje i novinka Když firma přijde o peníze kvůli phishingu: Právní odpovědnost manažerů a vedení společnosti. Čtvrté je ověření beneficiálních vlastníků a jejich vhodnosti. Bez vyřešení všech těchto bodů ČNB autorizaci nepřidělí.

Prvních několik autorizací vydala ČNB v průběhu roku 2025 a začátkem roku 2026. To znamená, že proces je náročný a počet licencovaných operátorů je zatím nízký. Pro podnikatele to má jasný vzkaz: proces autorizace trvá měsíce, vyžaduje kvalitní právní a compliance přípravy a nemůže se provádět improvizovaně. V praxi se proto vyplatí řešit regulatorní a transakční nastavení projektu včas, typicky i v rámci specializace na kryptoměny.

Společnosti, které si to uvědomily dříve a začaly se připravovat od roku 2024, mají nyní výhodu. Ty, které váhaly, čelí reálné hrozbě nutnosti pozastavit činnost.

Obsah autorizačního spisu a praktické překážky

Jaké konkrétní dokumenty a informace musí kryptosměnárna předložit? Nařízení MiCA stanovuje dlouhý seznam. Mezi základní patří podrobný popis organizační struktury se sjednocením orgánů řízení, vysvětlením, kdo je za co odpovědný a jak je zajištěna nezávislost compliance a risk management funkcí.

Nejedná se o dokument, který pouze formálně „zaznamená" strukturu, ale o demonstraci skutečného fungování. Dalšími důležitými prvky jsou finanční modely a plán na tři roky. Daňové souvislosti plánování a budoucího reportingu (včetně dopadů DAC 8) rozebírá také článek Dodatečné daňové přiznání: Jak postupovat při zjištění chyby v účetnictví a eliminovat riziko vysokých sankcí. Kryptosměnárna musí prokázat, že má realistické příjmy, není závislá na jednom klientovi a má prostředky na splnění regulačních povinností.

Právníci advokátní kanceláře ARROWS vidí často situace, kdy malé subjekty podceňují, jaké náklady compliance útvary, audit nebo technická infrastruktura skutečně vyžadují. Nutná je také AML/CFT politika se „risk-based" přístupem, což znamená jiné úrovně ověřování pro klienty z rizikových zemí, jiné pro běžné lokální klienty.

Nemůže to být stejné pro všechny. Nezbytný je IT bezpečnostní audit od třetího subjektu, který musí zahrnout penetrační testy, testy zranitelností a compliance s DORA.

Vlastnické a spoluoprávněné poměry s informacemi o všech osobách s vlivem na rozhodování jsou též podstatné. Pokud jsou za společností cizinci, musí se jejich pozadí prověřit. Řada podnikatelů věří, že připravit takový spis jde rychle.

V praxi to trvá 6–12 měsíců, pokud je společnost už částečně připravena. Pokud teprve začíná, lze počítat s ještě delšími lhůtami. Právníci z ARROWS advokátní kanceláře pomáhají klientům strukturovat spis tak, aby splňoval očekávání ČNB a aby byl v souladu s ostatními právními povinnostmi (např. daňovými, corporate governance apod.).

Pasportování a provoz v ostatních zemích EU

Jednou z velkých výhod MiCA je takzvané pasportování. Pokud kryptosměnárna získá autorizaci v České republice (nebo jakékoliv jiné EU zemi), může následně poskytovat své služby v celé Unii bez nutnosti získávat licence v každé zemi zvlášť.

Stačí oznámit záměr poskytovat služby ČNB a tím jej notifikovat v ESMA registru. To zní jako velká výhoda pro rozšíření, a v mnohém to i je. Avšak v praxi existují omezení.

Kryptosměnárna může pasportovat jen ty služby, na které má v domácí zemi autorizaci – nesmí rozšiřovat nabídku služeb v zahraničí bez schválení domácího regulátora. Dále, pokud má v dané hostitelské zemi více než 15 milionů ročně aktivních uživatelů, podléhá přímému dohledu Evropského orgánu pro cenné papíry a trhy (ESMA), což znamená zvýšenou regulační pozornost.

Některé státy si navíc mohou ponechat dodatečné požadavky na informace a sbírání dat. Pro české subjekty to znamená realistický plán: nejdřív si obstarat českou autorizaci, pak postupně a pečlivě rozšiřovat do jiných zemí.

Právníci z ARROWS advokátní kanceláře řeší právě tyto přeshraniční aspekty a znají specifika jednotlivých zemí. Máme na to partnery v síti ARROWS International, což se hodí při řešení složitějších struktur s prvkem zahraničí.

Nejčastější otázky k autorizačnímu procesu MiCA

1. Kolik času trvá získat MiCA autorizaci v České republice?

Dle zkušeností právníků z ARROWS a samotné ČNB trvá proces typicky 6–12 měsíců od podání kompletní žádosti. Pokud je spis neúplný nebo má chyby, regulátor jej vrátí k doplnění a proces se prodlužuje. V některých případech si ČNB vyžádá dodatečné vysvětlení či audit. Nejkritičtější je příprava, která by měla trvat minimálně 3–6 měsíců. Proto se doporučuje začít co nejdříve – každý měsíc prodlení znamená riziko, že se subjekt po 1. červenci 2026 ocitne mimo legální trh.

2. Je možné pokračovat v činnosti bez autorizace do 1. července 2026?

Nikoliv. Přechodné období končí 1. července 2026. Subjekty, které poskytovaly služby před 30. prosincem 2024 a podaly žádost o autorizaci do 30. prosince 2025, mohly pokračovat v činnosti do 1. července 2026, pokud jim nebyla autorizace dříve udělena nebo zamítnuta. Avšak po 1. červenci 2026 bez autorizace není legální poskytovat služby. Raději se spojte s ARROWS advokátní kanceláří (office@arws.cz) a ověřte si svou pozici.

3. Jaké jsou hlavní důvody, proč ČNB odmítá autorizaci?

Nejčastěji jde o: (a) nedostatečné AML/CFT politiky, které nejsou realistické pro daný typ podnikání, (b) slabé řízení rizik – není jasné, kdo za co nese odpovědnost, (c) bezpečnostní audit odhalí kritické chyby v IT infrastruktuře, (d) vlastníci či manažeři nesplňují test vhodnosti (fit-and-proper test), (e) nedostatečný kapitál nebo podcenění provozních nákladů. Právníci z ARROWS pomohou eliminovat tato rizika již při přípravě.

Nařízení DORA a digitální bezpečnost

Přestože DORA (Digital Operational Resilience Act) není přímo regulace krypto, ale obecná regulace finančního sektoru, vztahuje se i na kryptosměnárny. Vstoupila v platnost 16. ledna 2023, ale její požadavky se uplatňují a jsou plně vynucovatelné od 17. ledna 2025 (článek 64 DORA).

Co DORA konkrétně žádá? Především tři pilíře: (1) ICT risk management – proces, kterým se kryptosměnárna zabývá kybernetickými riziky, kdo je za to odpovědný a jak jsou rizika řešena.

(2) Third-party risk management – pokud kryptosměnárna používá třetí strany (velké cloudové platformy, platební brány apod.), musí vědět, jaká rizika tím převzala. (3) Incident reporting – v případě závažného kybernetického incidentu musí kryptosměnárna bez zbytečného zpoždění hlásit ČNB a zajistit minimalizaci škody.

Z hlediska kryptosměnáren je zvláště složité kritérium "critical third-party providers" (CTPPs). Pokud kryptosměnárna spoléhá na velkou cloudovou platformu nebo platební bránu a ta selže, snaží se regulátoři zabránit tomu, aby se systémové riziko rozšířilo.

Znamená to, že každá takto kritická třetí strana musí být vyhodnocena, smluvně zajištěna (s právy pro audit a vstup), a pokud je to možné, měly by existovat záložní řešení. V praxi to znamená: kryptosměnárny, které běží „na levném hostingu" a mají jednoduchou IT infrastrukturu bez redundancí, nemohou být v DORA souladu. Musí investovat do 24/7 monitoringu bezpečnostních hrozeb a incidentů.

Nezbytné jsou penetrační testy minimálně jednou ročně a dokumentace IT rizik s maticí hrozeb a zmírňujících opatření. Dále je klíčový incident management, který definuje, co se stane, když dojde k ransomware útoku nebo úniku dat.

Nutná jsou redundantní opatření, která zajistí funkčnost systému, pokud jedna komponenta selže. Důležité je i školení zaměstnanců v oblasti bezpečnosti.

Česká národní banka vydává a bude vydávat detailní doporučení a požadavky pro dohled nad digitální bezpečností. Nestačí „na papíře" mít bezpečnostní politiku – musí být skutečně implementována.

DAC 8 a povinnosti hlášení daňových transakcí

Direktivou DAC 8 (Directive on Administrative Cooperation – osmá změna) se otevírá nová kapitola transparentnosti a sledovatelnosti kryptoměnových transakcí. Tato direktiva, kterou EU přijala v rámci boje proti daňovým únikům a praní peněz, rozšiřuje povinnosti hlášení na kryptosměnárny a jejich klienty.

Co konkrétně DAC 8 požaduje?

Od 1. ledna 2026 musí kryptosměnárny se sídlem v České republice sbírat a hlásit příslušnému ministerstvu financí relevantní informace o všech transakcích s kryptoaktivy, které podléhají hlášení. Týká se to daňové rezidence – v jaké zemi má klient daňové povinnosti.

Důležité jsou transakční údaje – kdo poslal, komu, v jaké výši, v jaké kryptoměně a kdy. Dále se reportuje typ transakce – směna krypta za fiat, krypta za krypta, nákup zboží/služby, staking, lending apod.

Klíčové jsou kurzy a CZK ekvivalent – jaký byl v den transakce kurz a kolik to v českých korunách činilo. Povinnost hlášení se týká všech relevantních transakcí s kryptoaktivy, které splňují definici v DAC 8.

Kryptosměnárny si musí uchovávat záznamy o všech transakcích pro případ pozdější inspekce, ať už podléhají centrálnímu hlášení nebo ne.

Kdy a komu se hlášení podává?

Hlášení se provádí kryptosměnárnami jednou ročně do 30. června za předchozí kalendářní rok. Subjekt, kterému se hlášení podává, je příslušný finanční úřad, který je součástí Finanční správy ČR.

Informace se poté automaticky sdílí mezi daňovými autoritami jednotlivých EU zemí a dalších zemí, které se připojily k iniciativě OECD (standard CRS). To znamená, že pokud má český subjekt část peněz nakoupených v ČR a část na burze například v Singapuru nebo ve Spojeném království (pokud jsou tyto země součástí automatické výměny informací dle standardu CRS nebo jiných dohod), daňové úřady těchto zemí dostanou o tomto klientovi informace.

Dopad na klienty

Pro klienty kryptosměnáren to znamená zcela nový režim transparentnosti. Nemůžou už „anonymně" nakupovat krypta a doufat, že o tom nikdo nebude vědět.

Pokud totiž konkrétní klient kryptosměnárně neposkytne potřebné údaje (třeba daňovou rezidenci), je kryptosměnárna povinná mu služby pozastavit. To také vytváří novou situaci pro podnikatele či investory, kteří si dříve mysleli, že mají „aspoň krypta pro sebe, bez reportingu".

Od roku 2026 to platit přestalo. Odpovídá to globálnímu trendu. FATF a EU se rozhodly, že „krypto není navěky mimo dosah zákona", a postupně jej začleňují do standardního finančního dohledu.

Nejčastější otázky k DAC 8 hlášení a daňovým povinnostem

1. Jak musí kryptosměnárna hlásit data dle DAC 8?

Hlášení se provádí jednou ročně do 30. června za předchozí rok. Kryptosměnárna předá příslušnému ministerstvu financí (příslušnému finančnímu úřadu) seznam všech relevantních transakcí s údaji o daňové rezidenci klienta, typu transakce a kurzu. Data se poté automaticky sdílí mezi EU a dalšími úmluvními státy. Nejedná se tedy o papírové hlášení, ale o strukturovaný datový soubor, obvykle v XML formátu.

2. Co se stane, pokud kryptosměnárna ignoruje DAC 8 a nehlásí?

Podle českých a evropských předpisů hrozí kryptosměnárně významné pokuty v řádech milionů korun, zakázání činnosti na území ČR, a kryptosměnárna může být zařazena na seznam nespolupracujících subjektů. Navíc to vytváří právní riziko pro samotné klienty – pokud kryptosměnárna nehlásí, daňové úřady se mohou rozhodnout, že vztah klienta s burzou vůbec nebyl "legální" a podléhá dodatečnému prošetření a dořešení.

3. Má na daňové hlášení kryptosměnárny vliv jednotlivý investor/trader?

Ano. Investor musí poskytnout kryptosměnárně svou daňovou rezidenci. Pokud to neprovede, je kryptosměnárna povinná mu služby pozastavit. Pokud investor poskytne nepravdivé údaje (např. řekne, že je rezidentem zahraničí, když je českým rezidentem), hrozí mu daňové postihy a potenciálně trestní odpovědnost za podvod. Prakticky to znamená, že anonymní obchodování s kryptem je minulostí.

AML/CFT povinnosti a compliance

Boj proti praní peněz (AML – Anti-Money Laundering) a financování terorismu (CFT – Counter-Terrorist Financing) se v kryptosměnárnách stává jednou z nejcitlivějších oblastí regulace. V posledních letech byly některé největší burzy světa pokutovány za selhání AML/CFT systémů.

Například jedna z největších burz světa zaplatila vysoké pokuty v řádu miliard dolarů a další subjekty byly penalizovány v milionech eur. To signalizuje, jak vážně regulátoři přistupují k vymáhání těchto povinností.

Know your customer (KYC) – základní kámen

KYC je základní prvek compliance. Kryptosměnárna musí před tím, než klientovi otevře účet, zjistit jeho identitu, ověřit ji proti dokladu, a zjistit i jeho zdrojů peněz (Source of Funds). V minimálním rozsahu se jedná o jméno – musí to být skutečné jméno.

Dále je třeba datum narození – pro ověření věku a v některých zemích také pro registraci v centrálních databázích. Nezbytná je adresa – trvalý pobyt nebo služební adresa.

Důležitý je i typ účtu – fyzická osoba, právnická osoba, či něco jiného. A nakonec účel použití – kvůli čemu si účet zakládá (trading, dlouhodobé investování, nákupy zboží apod.).

V praxi to znamená, že každý klient musí projít ověřením, které v online režimu často zahrnuje liveness test (selfie s dokladem), testem OCR (optické čtení dokladu) a ověřením proti seznamům PEP (Politically Exposed Persons) a sankcí.

Transakční monitoring a pravidlo cestování

Jakmile je klient KYC ověřen, musí kryptosměnárna neustále monitorovat jeho transakce. Pravidlo cestování (Travel Rule), stanovené FATF a nyní implementované MiCA, vyžaduje, aby při každém transferu nad 1 000 EUR (nebo ekvivalentní částku v USD) mezi kryptosměnárnami či do nehosted wallet byla zachycena a ověřena identita jak odesílatele, tak příjemce.

Prakticky to funguje tak, že když klient pošle krypta z jedné burzy na druhou, burza odesílající musí s transakcí poslat informaci „příjemcem je osoba XYZ, číslo pasu ABC, bydliště DEF". Burza příjemce si tuto informaci ověří a archivuje. Pokud by příjemcem byla osoba na seznamu sankcí, burza by transakci měla zastavit.

To zní jednoduše, ale v praxi to znamená, že každá burza musí mít etablované kanály komunikace s dalšími burzami, digitální infrastrukturou pro výměnu informací a personál, který to řídí. Mnohé menší burzy, které tyto systémy nemají včas implementované, čelí obtížím s prosazováním podmínek.

Hlášení podezřelých aktivit (SAR/STR)

Pokud kryptosměnárna detekuje transakci, která vypadá podezřele – například náhlý příliv peněz od osoby bez zdůvodnění, transakce s osobou na seznamu sankcí, či strukturované malé transakce, které dohromady vytvářejí sumu určenou k obcházení limitů, musí toto nahlásit.

Hlášení (Suspicious Activity Report – SAR, nebo v EU Suspicious Transaction Report – STR) se odesílá Finančnímu analytickému úřadu (FAÚ) v České republice, nebo příslušné Financial Intelligence Unit (FIU) v jiných zemích EU. Pokud burza zjistí, že přijala transakci od někoho, kdo je již na seznamu sankcí, má povinnost tuto transakci zablokovat, aktiva zmrazit a informovat ČNB a FAÚ.

Realita je taková, že regulátoři se v minulosti zaměřili na případy, kdy burzy měly obrovské množství nezpracovaných či nedostatečně analyzovaných podezřelých transakcí, které nebyly včas nahlášeny. ČNB během inspekce sleduje právě tento bod: jak dlouho trvá zanalyzovat transakci, jak se dokumentuje rozhodovací proces a zda se SAR/STR odesílají bez zbytečného odkladu.

Sankční screening a specifické hrozby v roce 2026

V roce 2025 došlo k zásadnímu nárůstu sankcí a jejich aplikace na kryptosektoru. Podle dostupných zpráv a analýz došlo k výraznému nárůstu hodnoty transakcí sankcionovaných entit. Rusko, Írán a KLDR aktivně používají kryptosměnárny k obcházení sankcí, a regulátoři to bedlivě sledují a reagují.

OFAC (Office of Foreign Assets Control) sankcionoval v minulosti řadu kryptosměnáren, které usnadňovaly transakce se subjekty z Ruska, Íránu a KLDR. Evropská unie přijala balíčky sankcí speciálně proti kryptoměnovým službám.Úřad pro finanční sankce ve Spojeném království (OFSI) postupuje podobně.

Co to znamená pro českou kryptosměnárnu? Znamená to, že nemůže akceptovat klienty z určitých zemí, nemůže posílat nebo přijímat transakce z/do určitých zemí a nemůže dělat obchody s určitými osobami, které jsou zapsány na seznamu sankcí.

Správa sankcí vyžaduje nejméně jeden screening před onboardingem – ověřit, že klient není na seznamu OFAC, EU, UK či jiných relevantních institucí. Dále je nutný průběžný screening – sledovat, zda v průběhu vztahu s klientem nedojde k jeho zapsání na seznam.

Klíčové je vedení záznamů – archivovat, kdy se screening prováděl, jaký byl výsledek, kdo ho provedl. A v neposlední řadě blokování transakcí – pokud je detekován podezřelý transfer, musí se zastavit.

To všechno vyžaduje moderní compliance software a procesy. Kryptosměnárna, která se snaží všechno dělat ručně nebo má zastaralé systémy, se velmi brzy ocitne v riziku pokuty a reputačních škod.

Praktické problémy, které kryptosměnárny řeší v roce 2026

Až do 1. července 2026 mohly kryptosměnárny, které poskytovaly služby před 30. prosincem 2024 a podaly žádost o autorizaci do 30. prosince 2025, pokračovat v činnosti pod takzvaným přechodným režimem, i když neměly ještě finální autorizaci. Po tomto datu to skončí úplně – bez autorizace, bez podnikání.

ESMA jasně vyslovila, že jakýkoliv subjekt poskytující služby bez licence bude od 1. července 2026 porušitelem EU práva a bude podléhat vymáhání. To vytváří velmi stresující situaci.

Společnosti, které podle mínění právníků zaslouží autorizaci, ale ČNB s jejichž spisy ještě není hotova, budou se muset buď aktivně vypořádat s klienty a zamezovat jejich příchodu, nebo riskovat právní postihy.

Krypto podnikatelé se potýkají s nedostatkem bankovního přístupu

Jedním z velkých problémů kryptosměnáren v ČR je, že tradiční banky (např. s vazbou na starší kanadské či skandinávské skupiny) si nechtějí dělat práci s kryptem. Běžně odmítají otevřít kryptosměnárnám běžné bankovní účty, nebo si účty uzavřou, i když jsou v souladu s regulacemi.

To je paradoxní, neboť MiCA právě kryptosměnárnám dává licenci, aby mohly působit – ale bez bankovního účtu si licenci nemohou naplno užít. Řada českých kryptosměnáren proto hledá bankovní partnery v zahraničí – v Litvě, Estonsku, na Maltě, nebo ve Spojených státech (pokud mají EU subentity).

Avšak to obvykle znamená další compliance, další AML povinnosti a vyšší náklady.

Problém s tokenizací a klasifikací aktiv

MiCA striktně rozlišuje mezi různými typy kryptoaktiv: běžné kryptoměny (např. Bitcoin, Ethereum), tokeny vázané na aktiva (ARTs), elektronické peněžní tokeny (EMTs) a ostatní kryptoaktiva. Každá kategorie má jiné požadavky.

Problém je v tom, že řada projektů (např. wrappované tokeny, různé DeFi protokoly) spadá do šedé zóny. Je to cenný papír, komodita, či něco zcela jiného?

EU se pokouší toto objasnit, ale pro českou kryptosměnárnu to znamená, že si musí poradit sama s klasifikací a s ní spojenými regulačními povinnostmi. Právníci z ARROWS advokátní kanceláře se zabývají právě těmito klasifikačními otázkami a mohou klientům pomoci strukturovat nabídku tak, aby byla v souladu s regulacemi jednotlivých zemí.

Možné problémy

Jak pomáhá ARROWS (office@arws.cz)

Chybějící nebo neúplná autorizace po 1. červenci 2026 – Subjekt bez aktivní MiCA licence musí veškeré činnosti pozastavit; hrozí sankce až 10 % ročních příjmů (obratu) (článek 111 MiCA), odebrání licence a potenciálně i trestní odpovědnost.

Právníci z ARROWS advokátní kanceláře připraví komplexní autorizační spis, zajistí všechny potřebné dokumenty, finanční modely, AML politiky a bezpečnostní audity vyžadované ČNB. Reprezentujeme klienta při jednáních s regulátorem.

Nekomplianci s AML/CFT systémy – Slabé KYC procedury, neadekvátní SAR/STR hlášení a transakční monitoring vedou k pokutám, které mohou dosáhnout desítek až stovek milionů korun, a k zásahům regulátora.

ARROWS pomohou designovat a implementovat risk-based KYC procesy, nastavit transakční monitoring, školit compliance tým a pohlídat, aby hlášení probíhala včas a správně.

DAC 8 reporting a daňová hlediska – Od roku 2026 musí kryptosměnárny hlásit transakce daňovým úřadům. Nesprávné hlášení či chybná data vedou k významným pokutám, které mohou dosáhnout řádově milionů korun, a daňovým doměřením klientům.

ARROWS advokátní kancelář zajistí právní strukturu hlášení, daňově optimální nastavení a komunikaci s příslušným ministerstvem financí. Také poradíme klientům v jejich daňových povinnostech.

DORA incidenty a kybernetické riziko – Pokud se stane bezpečnostní incident (hack, ransomware), nejedná se jen o ztrátu dat, ale o povinnost hlásit ČNB bez zbytečného zpoždění; nepředvídaná reakce na krizi vede k pokutám a ztrátě důvěry.

Pomůžeme strukturovat incident management plán, nastavit monitoring a komunikaci s regulátorem. Zastupujeme klienta při incidentu a komunikujeme s ČNB. Máme zkušenosti s krizovým řízením v podobných situacích.

Sankční screening a Travel Rule compliance – Pokud kryptosměnárna neblokuje transakce sankcionovaných osob nebo neimplementuje Travel Rule, hrozí vysoké pokuty a reputační útok.

ARROWS pomůžeme klientům vybrat správný compliance software, nastavit screening procesy a zajistit dokumentaci. Také zastupujeme klienta, pokud dojde k inspekci nebo enforcement akci.

Závěrečné shrnutí

Rok 2026 představuje moment transformace pro všechny, kdo v České republice podnikají s kryptoměnami. Nařízení MiCA s konečným termínem 1. července 2026 pro ukončení přechodného období, povinnosti DAC 8 od 1. ledna 2026, compliance požadavky dle FATF Travel Rule a nařízení DORA o digitální bezpečnosti – to vše znamená, že provoz kryptosměnárny není už záležitostí několika počítačů a pár lidí.

Jedná se o komplexní operaci vyžadující právní infrastrukturu, compliance systémy, IT bezpečnost, audit a trvalý monitoring. Pro kryptosměnárny to znamená reálné dopady: bez autorizace po 1. červenci 2026 nemohou být na trhu, bez správného AML/CFT riskují vysoké pokuty (v řádech desítek až stovek milionů korun za závažná porušení), a bez DORA compliance riskují havárii systému a sankce.

Aktuálně je k dispozici již jen velmi omezený čas na to, aby zbývající subjekty, které dosud nemají autorizaci, měly šanci ji získat. Ostatní se reálně ocitnou mimo legální trh. Není to pesimismus, ale realita regulačního vývoje.

V tom dobrém smyslu to znamená, že kryptosektor se postupně "normalizuje" a přestává být šedou zónou. Klienti mají více ochrany, burzy jsou pod dohledem a systém jako celek je bezpečnější. V tom špatném smyslu to znamená vyšší náklady, složitější operace a striktní compliance.

Pokud jste v pozici kryptosměnárny nebo poskytovatele kryptoměnových služeb a nevíte, jak na to, neváhejte se obrátit na právníky z ARROWS advokátní kanceláře (office@arws.cz). Nabízíme komplexní právní poradenství v oblasti regulace kryptoaktiv, přípravu autorizačních spisů pro ČNB, nastavení AML/CFT systémů, implementaci DORA a pomoc s DAC 8 hlášením.

Pokud máte mezinárodní prvek – např. máte klienty v jiných zemích EU nebo plánujete rozšíření – máme partnerskou síť ARROWS International, která řeší tyto přeshraniční otázky.

Nejčastější otázky k kryptosměnárnám a jejich povinnostem v roce 2026

1. Co přesně je kryptosměnárna podle MiCA a kdy se na povinnosti MiCA vztahují?

Kryptosměnárna je v terminologii MiCA „Crypto-Asset Service Provider" (CASP), který poskytuje služby jako nákup a prodej kryptoměn za fiat měnu, převody mezi různými kryptoměnami, custody (úschova), nebo poradenství. MiCA se vztahuje na jakoukoli entitu, která tyto činnosti provádí a má klienty v EU. Pokud tedy český subjekt operuje burzu a má české nebo jakékoliv EU klienty, musí splňovat MiCA povinnosti. Bez autorizace od ČNB to není možné. Právníci z ARROWS pomohou určit přesně, které vaše činnosti spadají pod MiCA scope a které povinnosti vás tedy zasahují.

2. Máme menší burzu – platí nám MiCA, i když máme jen pár desítek klientů?

Ano, absolutně. MiCA se vztahuje na všechny CASPs, bez ohledu na jejich velikost. Jediná výjimka jsou zcela decentralizované platformy bez identifikovaného operátora, ale ty jsou velmi vzácné. Pokud jste identifikovaný subjekt a provádíte činnosti spadající pod MiCA, musíte splňovat požadavky. Ani malá burza si nesmí myslet, že je "moc malá" na regulaci. Právníci z ARROWS pracují s klienty všech velikostí a umí proporcionalizovat požadavky na velikost operace, ale nelze se od nich úplně odklonit.

3. Nebylo by možné "emigrovat" zahraniční a tak se vyhnout regulaci?

To je otázka, kterou si klade řada subjektů. Avšak odpověď je ne. Pokud má vaše burza i jednoho českého nebo EU klienta, podléháte MiCA, i když je vaše právnická osoba zaregistrovaná mimo EU. ESMA a ČNB to sledují a vymáhají. Pokud se pokusíte o obcházení regulace (např. zatajením právního místa), hrozí vám vysoké pokuty a potenciálně i trestní odpovědnost. Mnohem lepší je být proaktivní, získat autorizaci a mít "pas" do celé EU. Právníci z ARROWS pomohou strukturovat to bezpečně a v souladu s právem.

4. Kolik asi bude stát compliance tým, IT bezpečnost a autorizační řízení?

To je obtížné zobecňovat, ale řádově: příprava autorizačního spisu (právní, audit, bezpečnost) typicky stojí statisíce korun (300 000 – 800 000 CZK) a vyžaduje investici do kvalifikovaných poradců. Roční compliance operace (KYC, monitoring, SAR/STR, hlášení) stojí stovky tisíc až miliony korun (500 000 – 2 miliony CZK) ročně, v závislosti na počtu klientů a složitosti. IT infrastruktura s bezpečností a DORA compliance může vyžadovat investice v řádu jednotek milionů korun ročně. Tyto náklady jsou reálné a musí se s nimi počítat v byznys modelech. Subjekty, které si to neuvědomily, brzy zjistí, že krypto byznys není tak levný, jak se zdá. Právníci z ARROWS pomohou s projekcemi a budou hlídat, aby se vás náklady "neutrhly" zbytečnými chybami.

5. Jaké jsou hlavní kontrolní body, které ČNB kontroluje při inspekci?

ČNB se zaměřuje především na: (a) AML/CFT politika a její praktická implementace – nejde jen o dokument, ale o skutečné procesy, (b) KYC procedury – vybírá si klienty náhodně a ověřuje, zda byl KYC proveden správně, (c) transakční monitoring – zda jsou detekované podezřelé transakce správně zpracovány a nahlášeny, (d) SAR/STR hlášení – zda byla učiněna bez zbytečného zpoždění, (e) IT bezpečnost a incident management – zda je řešen podle DORA, (f) vlastnické poměry a vedení – jsou vedoucí vhodní (fit-and-proper test). V každé kategorii si ČNB vezme vzorek a detailně to prošetří. Pokud najde podstatné nedostatky, následují varování a pokuta.

6. Co se stane, pokud ztratím klienty nebo peníze kvůli hacku – odpovídám já?

Podle MiCA a DORA odpovídáte vy. Kryptosměnárna musí udržovat klientská kryptoaktiva oddělená (segregace aktiv), nesmí je používat na vlastní účty a musí je chránit před kybernetickými útoky. Pokud dojde k hacku a klienti přijdou o peníze, odpovídáte vy. To se týká i třetích stran – pokud si najmete hostitele na cloud a ten selže v bezpečnosti, odpovídáte stále vy. Proto DORA vyžaduje, aby každá CASP měla pojištění (nebo odpovídající finanční garance). Právníci z ARROWS pomohou strukturovat pojistné krytí a rizika správně.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také