9 Minuty
EU DAC8 brings self-custody withdrawals into tax reporting
Od 1 stycznia 2026 r. ramy DAC8 Unii Europejskiej nakładają na dostawców usług związanych z aktywami kryptograficznymi obowiązek gromadzenia rozszerzonych danych KYC i historii transakcji dotyczących rezydentów podatkowych UE. Zmiany — wdrożone w ramach Dyrektywy (UE) 2023/2226 — rozszerzają obowiązki raportowe tak, aby obejmowały nie tylko transakcje crypto-to-fiat i crypto-to-crypto, ale także wypłaty na adresy zewnętrzne, w tym portfele self-custody oraz inne niehostowane cele. Celem dyrektywy jest zwiększenie przejrzystości podatkowej w skali transgranicznej, przy jednoczesnym zachowaniu możliwości przechowywania aktywów poza giełdami i usługami depozytowymi.
W praktyce oznacza to, że platformy kryptowalutowe, giełdy, dostawcy portfeli i inne firmy świadczące usługi związane z cyfrowymi aktywami muszą przygotować się na znacznie szerszy zakres gromadzonych informacji. To obejmuje zarówno dane identyfikacyjne użytkowników, jak i szczegółowe zapisy ruchu środków. Dla użytkowników self-custody zmiana ta oznacza, że wypłaty z usług regulowanych będą rejestrowane i dopasowywane do danych podatkowych, co może ograniczyć dotychczasowy poziom anonimowości przy operacjach z poziomu scentralizowanych dostawców.
What the DAC8 rules demand from exchanges and providers
Data collection and reporting scope
Zgodnie z DAC8 dostawcy usług dotyczących aktywów cyfrowych muszą zbierać informacje identyfikacyjne, takie jak imię i nazwisko oraz numery identyfikacji podatkowej (Tax Identification Number, TIN), a także prowadzić szczegółowe rejestry transakcji dotyczących rezydentów UE. Zakres raportowania obejmuje szeroką gamę działań: wejścia i wyjścia fiat (fiat on-ramps i off-ramps), wymiany crypto-to-crypto oraz transfery skutkujące opuszczeniem środków spod opieki danego dostawcy. Ponieważ w zakres wchodzą wypłaty na adresy niezarządzane przez tego samego dostawcę, transfery do portfeli self-custody i innych niehostowanych adresów również podlegają raportowaniu.
W praktycznym ujęciu wymagane pola danych mogą obejmować: pełne dane identyfikacyjne użytkownika, TIN, datę rejestracji, status rezydencji podatkowej, daty i kwoty transakcji, adresy portfeli źródłowych i docelowych, identyfikatory transakcji (txid), waluty oraz informacje o konwersjach między kryptowalutami a walutami fiat. Raportowanie będzie musiało uwzględniać zarówno aktywności detaliczne, jak i transakcje instytucjonalne, a także transfery wewnętrzne, jeśli skutkują realnym przepływem wartości poza custodią dostawcy.
W miarę wdrożenia systemów technicznych istotne będzie zdefiniowanie precyzyjnych reguł dotyczących identyfikacji „niehostowanych” adresów oraz przypadków, gdy adres docelowy należy do innego zarejestrowanego dostawcy — to zróżnicowanie wpływa na sposób raportowania i potencjalne mechanizmy dopasowywania danych między jurysdykcjami.
Timing and phased implementation
Dyrektywa kładzie nacisk na rok budowania bazy danych w 2026 r.: dostawcy muszą przez cały rok gromadzić wymagane dane klientów i zapisy transakcji. Pierwsze pełne roczne raporty — odzwierciedlające aktywności zebrane w 2026 r. — mają zostać złożone w 2027 r., po czym raportowanie będzie odbywać się corocznie. Taki etapowy harmonogram daje regulatorom i organom podatkowym czas na zintegrowanie danych i przygotowanie procedur porównawczych oraz analitycznych.
Analitycy przewidują, że prawdziwy efekt egzekucji i dopasowywania transgranicznego pojawi się dopiero, gdy dane z różnych państw członkowskich zostaną znormalizowane i skonsolidowane. W praktyce wymaga to wspólnych formatów raportowania, standardów technicznych oraz rozwiązań do wymiany danych między administracjami podatkowymi. Ponadto wdrożenie systemów IT i procesów wewnętrznych po stronie dostawców może przebiegać etapami, obejmując początkowo zbieranie podstawowych danych, a następnie rozbudowę mechanizmów przekazywania i walidacji informacji.
Kluczowe terminy obejmują: rozpoczęcie obowiązku gromadzenia danych od 1 stycznia 2026 r., obowiązek raportowania za rok 2026 do złożenia w 2027 r., oraz obowiązek utrzymania rocznego cyklu raportowania i dopasowywania danych w kolejnych latach. Dla wielu firm oznacza to konieczność przyspieszonego planowania projektów zgodności (compliance) i inwestycji w IT jeszcze przed rokiem 2026.
Enforcement, user notices and account restrictions
Reminders, grace periods and account freezes
DAC8 pozwala dostawcom zawiesić lub zamrozić konta, jeśli użytkownicy odmawiają podania numeru identyfikacji podatkowej (TIN), ale blokada nie jest natychmiastowa. Dyrektywa nakłada obowiązek wysłania dwóch przypomnień oraz udzielenia 60-dniowego okresu karencji przed zastosowaniem środków ograniczających. Takie stopniowanie działań ma na celu wyważenie wymogów zgodności z prawami użytkowników i realiami operacyjnymi giełd, platform depozytowych oraz dostawców usług portfeli.
W praktyce firmy będą musiały zdefiniować procedury kontaktu z klientem, logikę eskalacji i automatyzację przypomnień. Działania te będą musiały być zgodne z lokalnymi przepisami ochrony danych osobowych (np. RODO) i regułami komunikacji z klientami. Od strony technicznej konieczne jest utrzymanie ścieżki audytowej pokazującej, kiedy i w jaki sposób przeprowadzono powiadomienia oraz jakie odpowiedzi udzielił klient.
W przypadkach gdy użytkownik ignoruje wezwania lub odmawia współpracy, dostawcy będą mogli ograniczyć funkcjonalności konta — na przykład zablokować wypłaty, ograniczyć możliwość dokonywania nowych transakcji lub ograniczyć dostęp do niektórych usług. Jasne komunikowanie konsekwencji braku współpracy oraz przygotowanie procesów obsługi sporów i weryfikacji to elementy konieczne, aby minimalizować ryzyko nadużyć i jednocześnie zachować zgodność z DAC8.
Organy nadzorcze mogą również oczekiwać raportowania przypadków odmowy współpracy lub systematycznych braków w danych, co dodatkowo zwiększa wagę solidnych procedur KYC i komunikacji z klientami.
Costs, revenue estimates and regulatory intent
Economic impact on industry and public finances
Ocena skutków Komisji Europejskiej szacuje, że DAC8 może wygenerować około 1,7 miliarda euro dodatkowych rocznych wpływów podatkowych z transakcji kryptowalutowych, podczas gdy Parlament Europejski przedstawia zakres od 1 mld do 2,4 mld euro. Dostawcy mogą napotkać jednorazowe koszty wdrożenia wynoszące około 259 mln euro oraz koszty operacyjne rzędu 22,6–24 mln euro rocznie związane z utrzymaniem systemów raportowania i pól tożsamości niezbędnych do dopasowywania transgranicznego.
Te liczby pokazują zarówno potencjalny zysk dla finansów publicznych, jak i znaczący koszt dla sektora prywatnego. Dla mniejszych podmiotów koszty wdrożenia mogą stanowić istotne obciążenie, co może prowadzić do konsolidacji rynku lub migracji części usług poza UE. Z drugiej strony większe podmioty z rozbudowanymi działami compliance i infrastrukturą IT będą miały przewagę w szybszym dostosowaniu się do nowych wymogów.
W związku z tym regulatorzy i decydenci mogą rozważać wsparcie techniczne, okresy przejściowe lub uproszczone mechanizmy raportowania dla mniejszych dostawców, aby zminimalizować ryzyko destabilizacji rynku i utrzymania konkurencyjności europejskiej branży technologii finansowych (fintech, crypto-exchanges).
Transparency, not a ban on self-custody
Regulatorzy podkreślają, że przepisy mają na celu zwiększenie widoczności podatkowej, a nie zakazanie self-custody. Część raportów może być składana w formie zanonimizowanej lub zagregowanej tam, gdzie jest to właściwe, zaś ustandaryzowane pola tożsamości i kont pozwalają organom na dopasowanie zapisów między jurysdykcjami. Dzięki temu ramy mają na celu poprawę zgodności podatkowej w sektorze kryptowalut, nie eliminując prawa do posiadania prywatnych portfeli.
W praktyce oznacza to, że osoby fizyczne mogą nadal trzymać środki w portfelach self-custody, ale przenoszenie środków z regulowanych usług na takie adresy będzie generować informacje dostępne dla organów podatkowych. Raportowanie zagregowane ma równoważyć konieczność kontroli podatkowej z ochroną prywatności użytkowników, ale wymaga przy tym solidnych zabezpieczeń technicznych i prawnych dotyczących przechowywania i przetwarzania danych.
Dostawcy powinni też zdefiniować polityki dotyczące przypadków, gdy adres docelowy wydaje się być powiązany z działalnością przestępczą — w takim kontekście mogą obowiązywać dodatkowe procedury AML (anti-money laundering) i współpraca z organami ścigania.
What this means for crypto users and service providers
Platformy kryptowalutowe obsługujące użytkowników z UE muszą zaktualizować procesy KYC, rejestrowanie transakcji i procedury AML, aby uchwycić rozszerzony zestaw danych wymaganych przez DAC8. Obejmuje to integrację nowych pól danych w onboarding, systemy monitoringu transakcji oraz rozwiązania do generowania i przesyłania raportów do administracji podatkowych.
Dla użytkowników, zwłaszcza korzystających z portfeli self-custody, regulacja zmniejsza poziom anonimowości przy inicjowaniu transferów z usług regulowanych; wypłaty na adresy niehostowane będą widoczne dla organów podatkowych jako część raportów agregowanych. To może wpłynąć na zachowania użytkowników: część zdecyduje się na przeniesienie aktywów poza usługi regulowane, inni zaś przyjmą bardziej formalne podejście do deklaracji podatkowych.
Ruchy w kierunku zwiększonej przejrzystości generują też dyskusję o ochronie danych: aktywne środowisko prawnicze i branżowe będzie analizować, jak minimalizować zbierane dane do niezbędnego minimum, stosować pseudonimizację, szyfrowanie i ograniczony dostęp w celu ochrony prywatności. Jednocześnie organy podatkowe argumentują, że kompleksowe raportowanie jest niezbędne do wypełnienia luki podatkowej i wykrywania nadużyć finansowych.
Usługi będą także musiały przygotować komunikaty dla użytkowników wyjaśniające nowe wymagania, procedury dostarczania TIN oraz konsekwencje braku współpracy — jasna i przejrzysta komunikacja jest kluczowa, aby ograniczyć liczbę kont zamrożonych ze względu na braki w dokumentacji.
Looking ahead
DAC8 stanowi istotny etap w globalnej regulacji podatkowej rynku kryptowalut. W miarę jak dostawcy wdrażają systemy w 2026 r., a pierwsze raporty pojawią się w 2027 r., uczestnicy rynku powinni spodziewać się dalszych wytycznych, koordynacji transgranicznej i stopniowego nasilania egzekucji. To także moment, by przedsiębiorstwa kryptowalutowe oraz użytkownicy priorytetyzowali solidne procedury KYC, jasną komunikację o obowiązkach podatkowych oraz dokładne zarządzanie zapisami transferów do portfeli self-custody.
Praktyczne rekomendacje dla firm obejmują: przeprowadzenie audytu danych i systemów, opracowanie planu wdrożenia zgodnego z DAC8, inwestycje w bezpieczne przechowywanie i transmisję danych, szkolenia personelu ds. zgodności oraz konsultacje z doradcami podatkowymi i prawnymi. Dla użytkowników natomiast kluczowe jest dokumentowanie transakcji, przechowywanie dowodów pochodzenia środków i przygotowanie się do ewentualnych zapytań ze strony organów podatkowych.
Ostatecznie DAC8 ma potencjał podnieść standardy przejrzystości i zgodności w europejskim ekosystemie kryptowalut, ale równocześnie stawia pytania o efektywność technicznych rozwiązań, ochronę prywatności i ekonomiczne skutki dla sektora. Utrzymanie równowagi między tymi celami będzie kluczowe dla stabilnego i zrównoważonego rozwoju rynku cyfrowych aktywów w UE.
Źródło: crypto
Zostaw komentarz