ESMA (European Securities and Markets Authority) bekritiseert de Maltese cryptolicenties onder MiCA.

Wat is er gebeurd?

In april 2025 besloot de raad van toezicht van ESMA om een ad hoc Peer Review Committee (PRC) De aanleiding was dat Malta als een van de eerste EU-landen MiCA-licenties uitgaf – aanzienlijk eerder dan andere lidstaten. Het vermoeden bestond dat snelheid ten koste was gegaan van een grondige screening.

Het resultaat werd op 10 juli 2025 gepubliceerd als een samenvatting (ESMA42-2004696504-8164). De PRC bestond uit vertegenwoordigers van ESMA, de Europese Bankautoriteit (EBA) en verschillende nationale computercentra (NCA's). De beoordeling richtte zich op één enkele, niet nader genoemde aanbieder van cryptodiensten (CASP) met een vergunning van de MFSA in de eerste maanden van 2025.

MiCA-frames in het kort

De Markets in Crypto Assets Regulation (MiCA) werd ingevoerd op 29 juni 2024 De wet is op 30 december 2024 in werking getreden en volledig van toepassing. Sinds januari 2025 zijn aanbieders van cryptodiensten in de EU verplicht een CASP-licentie aan te vragen bij hun nationale toezichthoudende autoriteit. Bestaande aanbieders met een nationale licentie die vóór de inwerkingtreding is afgegeven, zijn van deze verplichting vrijgesteld. Overgangsregeling tot 30 juni 2026 — zij mogen hun diensten gedurende deze periode onder de oude regelingen blijven verlenen, maar moeten de MiCA-licentie tijdig indienen.

De verordening heeft drie hoofddoelen: uniforme beleggersbescherming in de EU, marktintegriteit (handel met voorkennis, marktmanipulatie) en de bestrijding van witwassen en terrorismefinanciering.

Wat ESMA specifiek bekritiseert

In het specifieke geval dat onderzocht wordt, concludeert de Volksrepubliek China dat de MFSA tijdens de autorisatieprocedure onrechtmatig heeft gehandeld. „De verwachtingen gedeeltelijk voldaan“ – dus gedeeltelijke naleving, geen volledige naleving. De belangrijkste punten:

• Materiële kwesties zijn nog niet opgelost. Op het moment dat de vergunning werd verleend, waren belangrijke kwesties – zoals het bedrijfsmodel, de IT-architectuur en de naleving van regelgeving – nog niet opgelost of werden ze slechts in herstelplannen behandeld.
• Tijdstip van autorisatie. De MFSA verleende de licentie eerder dan andere nationale bevoegde autoriteiten, zonder het autorisatieproces zelf te gebruiken als middel om deze problemen vooraf aan te pakken.
• Benadering. De MFSA beschouwt openstaande kwesties als een taak voor voortdurend toezicht; ESMA daarentegen stelt dat de vergunning pas verleend mag worden na opheldering.

Belangrijk voor de context: ESMA noemt de CASP niet bij naam. Speculaties op de markt suggereren dat het OKX zou kunnen zijn (dat in Malta actief is als Okcoin Europe) — de Maltese Financial Intelligence Analysis Unit legde Okcoin Europe in april 2025 een boete van € 1,2 miljoen op voor AML-overtredingen uit 2023, kort nadat het bedrijf in januari 2025 zijn MiCA-licentie had ontvangen. Er is geen officiële bevestiging.

Wat ESMA positief beoordeelt

De evaluatie is geen algehele veroordeling. Integendeel: de MFSA wordt op verschillende punten expliciet geprezen.

• Bronnen en instellingen: „"Voldoet volledig aan de verwachtingen." De personeelsbezetting, expertise en institutionele structuur van de MFSA voldoen aan de verwachtingen.
• Doorlopend toezicht: „"Voldoet grotendeels aan de verwachtingen." Het toezicht na de vergunningverlening wordt over het algemeen naar behoren uitgevoerd.
• Vroege voorbereiding: Malta introduceerde in 2018 een nationaal cryptoregime met de Virtual Financial Assets Act. De MFSA heeft geïnvesteerd in personeel, samenwerking met universiteiten en contacten met de sector.

Aanbevelingen voor alle nationale controlecentra – niet alleen voor Malta

Het centrale punt, dat in veel krantenkoppen over het hoofd werd gezien: de collegiale toetsing is formeel gericht op Malta, dat De aanbevelingen zijn echter gericht aan alle nationale bevoegde autoriteiten in de EU/EER.. ESMA wijst op vijf punten die nader onderzocht moeten worden in de vergunningsprocedures:

• Bedrijfsmodellen en daadwerkelijke activiteiten (niet alleen de juridische structuur)
• IT-architectuur en naleving van de DORA-regelgeving (Digital Operational Resilience Act)
• Groeiplannen en de dekking van de benodigde middelen
• Belangenconflicten bij CASP's met meerdere diensten (spot, derivaten, custody en DeFi parallel).
• Blootstelling aan DeFi en ongereguleerde Web3-diensten
• AML/CFT-risico's en -controles

MFSA-reacties

De Maltese toezichthoudende autoriteit heeft de bevindingen publiekelijk aanvaard. MFSA-directeur Kenneth Farrugia verklaarde dat het agentschap de aanbevelingen verwelkomt en deze in zijn eigen werkwijze zal opnemen. Een woordvoerder verduidelijkte verder: „"Geen enkele MiCA-licentie in Malta loopt het risico te worden ingetrokken of opnieuw te worden beoordeeld als gevolg van de uitkomsten van de collegiale toetsing."“ De MFSA heeft zich ertoe verbonden de implementatie van de aanbevelingen uiterlijk in september 2025 af te ronden.

Momenteel zijn er vier MiCA CASPs genoteerd in Malta: Bitpanda (BP23), Crypto.com (Foris Dax), OKX (Okcoin Europe) en ZBX (Zillion Bits).

Context: Forumshopping en het debat over de juiste schaal

De collegiale toetsing raakt een fundamentele vraag aan die sinds de inwerkingtreding van MiCA een prangende kwestie is in de EU-regelgeving voor cryptovaluta: hoe snel kan – en hoe snel moet – een vergunning worden verleend? Malta betoogt dat dit noodzakelijk is om innovatie te bevorderen en een vroege marktordening te creëren. Andere toezichthoudende instanties, zoals de Franse AMF of de Duitse BaFin, worden als aanzienlijk strenger beschouwd; BaFin geeft bijvoorbeeld expliciet aan dat zij alleen "direct ingaande, formele vergunningen" verleent, en geen "voorlopige principegoedkeuringen".

Achter dit debat schuilt de beschuldiging van overregulering. ForumwinkelenBedrijven kiezen de lidstaat met de snelste of minst restrictieve procedure, verkrijgen daar de vergunning en gebruiken deze vervolgens. EU-paspoort, om actief te worden in de hele EU. Hieraan nauw verwant is de tweede grote beursbeweging van 2025: OKX ontving in januari de eerste volledige MiCA-licentie van Malta., parallel, Bybit, HTX en andere wereldwijde platforms voor het verkrijgen van vergunningen in diverse EU-landen.

Betekenis voor investeerders in Duitsland

Concreet verandert het peer review-proces weinig voor particuliere investeerders:

• Het EU-paspoort blijft van kracht. Een MiCA-licentie uit Malta wordt in Duitsland erkend. Platforms zoals OKX, Crypto.com en Bitpanda mogen via paspoortregelingen de Duitse markt blijven bedienen.
• De bevoegdheden van BaFin blijven ongewijzigd. De Duitse wet op het toezicht op cryptomarkten (KMAG) verleent de Duitse toezichthoudende autoriteit aanvullende nationale interventierechten, zoals openbare waarschuwingen en de mogelijkheid om individuele crypto-aanbiedingen in Duitsland te verbieden.
• Consumentenbescherming onder MiCA is daadwerkelijk aanwezig. De scheiding van cliënt- en eigen vermogen, de kapitaalvereisten, de regels inzake marktmisbruik en de AML/KYC-verplichtingen blijven ongewijzigd. Wat MiCA niet biedt, is depositobescherming op bankniveau. Voor grotere tegoeden blijft zelfbeheer in een hardware wallet de veiligste optie.

Opmerking over forensische praktijk

Vanuit het perspectief van cryptoforensisch onderzoek is de convergentie van regelgeving onder MiCA een positieve ontwikkeling. KYC-gegevens, klachtenprocedures en regelgevingsonderzoeken functioneren aanzienlijk beter bij gelicentieerde EU CASP's dan bij ongereguleerde offshoreplatforms. Iedereen die vermoedt dat cryptomunten afkomstig van een frauduleuze zaak op een door de EU gereguleerde beurs terecht zijn gekomen, dient onmiddellijk een eerste forensische beoordeling te laten uitvoeren door een [relevante forensische expert/instelling]. Portemonneecontrole om te proosten.

FAQ – Veelgestelde vragen over de ESMA-peerreview