L’entrata in applicazione del Regolamento (UE) 2023/1114 sui mercati delle cripto-attività (“MiCAR”) ha rappresentato una svolta nella disciplina di settore, delineando un quadro armonizzato di autorizzazione, vigilanza e tutela degli investitori.
I primi mesi, tuttavia, hanno fatto emergere criticità: l’implementazione non uniforme tra gli Stati membri, i costi di coordinamento per le autorità nazionali e alcune lacune nella fase autorizzatoria e di supervisione rischiano di compromettere la coerenza del mercato unico e la competitività degli operatori europei rispetto a player globali.
Per queste ragioni, la Commissione nazionale per le società e la borsa (“Consob”), l’Autorité des marchés financiers (“AMF”) e la Finanzmarktaufsicht (“FMA”) (congiuntamente di seguito, le “Autorita“) hanno elaborato quattro proposte di intervento di revisione mirate a rafforzare l’efficacia applicativa di MiCAR.
Queste proposte mirano a ridurre i rischi di arbitraggio normativo e rafforzare la protezione degli investitori.
1. La vigilanza diretta di ESMA sui CASP significativi
Oggi MiCAR affida la supervisione dei CASP alle autorità nazionali, lasciando ad ESMA un ruolo informativo ex post.
Le Autorità propongono di trasferire ad ESMA poteri di autorizzazione e vigilanza diretta sui CASP di rilevanza significativa (ovvero quelli che hanno in media più di 15 milioni di clienti attivi su base annua), per prevenire scelte “opportunistiche” per l’ottenimento delle licenze in giurisdizioni meno “severe” e assicurare applicazione uniforme delle regole. Il modello ricalca l’impianto già previsto per gli emittenti significativi di token di moneta elettronica, vigilati dall’Autorità bancaria europea (“EBA”), e si ispira al Meccanismo di Vigilanza Unico bancario.
L’accentramento ridurrebbe costi di supervisione, migliorerebbe la capacità di presidiare gruppi transfrontalieri.
2. Instradamento degli ordini e piattaforme di Paesi terzi: l’equivalenza come condizione
Un secondo profilo riguarda l’instradamento degli ordini verso piattaforme situate al di fuori dell’UE. L’attuale disciplina di MiCAR non vieta espressamente che un CASP trasmetta ordini a una sede di negoziazione in Paese terzo, purché siano rispettati i principi di trasparenza e di corretta esecuzione.
Questa possibilità consente però a grandi operatori globali di servire la clientela europea tramite registri ordini collocati al di fuori dell’Unione, con conseguenti difficoltà di tracciabilità delle operazioni e rischi di elusione delle tutele previste da MiCAR, in particolare i presidi contro gli abusi di mercato o gli obblighi di resilienza informatica.
Per superare tali criticità, le Autorità propongono di subordinare l’instradamento degli ordini alla presenza di un regime normativo dichiarato “equivalente” dalla Commissione europea, con il supporto tecnico di ESMA.
La proposta si inserisce nel solco già tracciato da ESMA, che nella propria Opinione del 31 Luglio 2024 in cui erano stati introdotti dei precisi limiti al routing sistematico di ordini verso piattaforme extra-UE, aveva sottolineato la necessità di un intervento regolatorio più stringente.
In mancanza di tale equivalenza, l’esecuzione dovrebbe avvenire esclusivamente su piattaforme pienamente conformi a MiCAR.
3. Audit di cybersicurezza preventivo e periodico
Il terzo profilo di intervento riguarda la sicurezza cibernetica dei CASP. La versione finale di MiCAR non ha accolto l’ipotesi, inizialmente discussa, di subordinare l’autorizzazione a una verifica specifica in tal senso. Nell’Opinione ESMA dell’11 Ottobre 2024, si raccomandava che gli operatori fornissero i risultati di un audit di cybersicurezza quale parte della domanda di autorizzazione, proposta poi in gran parte neutralizzata dalla Commissione nel testo finale degli RTS.
Le tre autorità propongono pertanto di introdurre un audit indipendente di cybersicurezza, da svolgersi prima del rilascio dell’autorizzazione e da rinnovarsi con cadenza periodica. Tale audit dovrebbe accertare la capacità dei CASP di proteggere i portafogli digitali, garantire la resilienza a violazioni e attacchi informatici e reagire efficacemente in caso di incidenti.
Per garantire uniformità, i soggetti incaricati dovrebbero essere accreditati secondo uno schema europeo di certificazione, in coordinamento con il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale (“DORA”).
4. Offerte di token e lo “sportello unico europeo”
Il quarto intervento proposto riguarda la disciplina delle offerte al pubblico di crypto-attività, ad eccezione dei token di moneta elettronica. Attualmente, MiCAR prevede che i white paper siano notificati all’autorità nazionale competente, la quale li trasmette poi a ESMA entro termini stringenti per la pubblicazione su un registro unico.
Le Autorità suggeriscono di superare tale frammentazione istituendo presso ESMA un punto unico di riferimento per il deposito e la gestione dei flussi informativi. L’accentramento permetterebbe di ridurre le asimmetrie tra Stati membri e semplificare l’attività degli emittenti che intendono operare in più giurisdizioni attraverso il passaporto europeo.
