Gli obblighi dei fornitori di servizi in cripto-attività ai sensi del Regolamento MiCA

È ormai in fase avanzata l'iter di approvazione del Regolamento UE relativo ai mercati delle cripto-attività (c.d. MiCA – markets in crypto-assets); si tratta di una iniziativa rivolta, con alcune eccezioni, ai soggetti coinvolti nell'emissione di cripto-attività o che forniscono servizi a queste connessi, all'interno dell'Unione.
In primo luogo, è utile precisare che con cripto-attività il Regolamento si riferisce a una rappresentazione digitale di valore o di diritti che possono essere trasferiti e memorizzati elettronicamente, utilizzando la tecnologia di registro distribuito (distributed ledger technology – DLT) o una tecnologia analoga.

Quali sono i servizi per le cripto-attività

Con "servizio per le cripto-attività" si intende, invece, tutta una serie di servizi aventi ad oggetto cripto-attività, quali la custodia e l'amministrazione di cripto-attività per conto di terzi la gestione di una piattaforma di negoziazione di cripto-attività, lo scambio di cripto-attività con una moneta avente corso legale, lo scambio di cripto-attività con altre cripto-attività, l'esecuzione di ordini di cripto-attività per conto di terzi, il collocamento di cripto-attività, la ricezione e trasmissione di ordini di cripto-attività per conto di terzi, la prestazione di consulenza sulle cripto-attività.

La portata del Regolamento, tuttavia, è soggetta a limiti e non si applicherà alle cripto-attività che rientrano nella definizione di:
(a) strumenti finanziari ai sensi della MiFID II (direttiva 2014/65/UE) [1]
(b) moneta elettronica, tranne quando rientranti nella definizione di "token di moneta elettronica" (come i c.d. stablecoins), ai sensi del Regolamento MiCA [2]
(c) depositi intesi quale saldo creditore, risultante da fondi depositati in un conto o da situazioni transitorie derivanti da operazioni bancarie normali, che l'ente creditizio deve restituire secondo le condizioni legali e contrattuali applicabili, compresi un deposito a termine fisso e un deposito di risparmio, ma con alcune esclusioni indicate nella direttiva 2014/49/UE;
(d) depositi strutturati ai sensi della MiFID (depositi di cui alla lettera precedente, pienamente rimborsabili alla scadenza in base a termini secondo i quali qualsiasi interesse o premio sarà rimborsato (o è a rischio) secondo una formula comprendente determinati fattori);
(e) cartolarizzazione ossia l'operazione o lo schema in cui il rischio di credito è associato ad un'esposizione o a un portafoglio di esposizioni avente determinate caratteristiche di cui al regolamento (UE) 2017/2402

Per quanto riguarda le cripto-attività disciplinate dal Regolamento MiCA, quest'ultimo stabilisce una serie di specifiche previsioni in tema di obblighi comportamentali, oltre a specifici requisiti prudenziali per i fornitori di servizi in cripto-attività.

Gli obblighi di comportamento

In primo luogo, anche al fine di tutelare gli investitori, i fornitori di servizi saranno inseriti in un registro appositamente istituito dall'ESMA, che, tra le altre cose, contiene l'elenco dei servizi per le cripto-attività per i quali il fornitore di servizi è autorizzato e l'elenco degli Stati membri in cui lo stesso ha notificato l'intenzione di prestare servizi.

Gli obblighi di comportamento imposti ai fornitori di servizi per le cripto-attività dal Regolamento non differiscono di molto da quelli imposti nello svolgimento di servizi di investimento ai sensi della MIFID II e quindi del testo unico della finanza (d.lgs. 58/1998 – "TUF"). I fornitori di servizi, quindi, devono agire in modo onesto, corretto e professionale secondo il migliore interesse dei loro clienti effettivi e potenziali, ai quali forniscono informazioni corrette, chiare e non fuorvianti, in particolare nelle comunicazioni di marketing, che devono essere identificate come tali.

Inoltre – e questa disciplina è innovativa rispetto a quella prevista dalla MIFID II e dal TUF – i fornitori dei servizi devono anche rendere pubbliche le loro politiche tariffarie in un punto ben visibile del loro sito web, non devono indurre i clienti in errore, deliberatamente o per negligenza, in relazione ai vantaggi reali o percepiti di qualsiasi cripto-attività e devono avvertirli dei rischi associati all'acquisto delle cripto-attività.

Anche in tema di conflitto di interessi, le norme previste dal MiCA sono piuttosto simili a quelle del TUF, e per i fornitori di servizi per cripto-attività viene previsto l'obbligo di valutare e riesaminare almeno una volta all'anno la propria politica in materia di conflitti di interesse, adottando tutte le misure appropriate per rimediare a eventuali carenze.

Il Regolamento prevede anche una serie di misure per il caso dei fornitori di servizi che si affidano a terzi per lo svolgimento di funzioni operative (c.d. esternalizzazione): essi, infatti, mantengono accesso diretto alle informazioni pertinenti dei servizi esternalizzati, vigilano sui servizi offerti e adottano tutte le misure ragionevoli per evitare rischi operativi aggiuntivi, restando pienamente responsabili verso i propri clienti dell'adempimento di tutti gli obblighi previsti dal Regolamento.

I requisiti organizzativi

Il Regolamento MiCA introduce anche una serie di requisiti organizzativi per i fornitori di servizi per le cripto-attività al fine di garantire che i servizi siano condotti da soggetti di adeguata capacità professionale e integrità morale: i membri dell'organo di amministrazione (e le persone fisiche che detengono, anche indirettamente, più del 20% del capitale sociale o dei diritti di voto del fornitore di servizi o che esercitano, con qualsiasi altro mezzo, un potere di controllo sul medesimo) devono possedere requisiti di onorabilità e le competenze necessari in termini di qualifiche, esperienza e capacità per svolgere le loro funzioni e devono anche dimostrare di essere in grado di dedicare tempo sufficiente per compiere efficacemente tali attività.

Sono richieste particolari competenze, conoscenze ed esperienza per l'assolvimento delle responsabilità ad esso assegnate anche al personale impiegato dai fornitori di servizi.

Dal punto di vista strettamente tecnico, vengono altresì previsti dal Regolamento alcuni obblighi strettamente legati alla peculiarità dei servizi per le cripto-attività, in ossequio alle previsioni della normativa sulla "resilienza operativa digitale" [3]

Essi, infatti, devono adottare tutte le misure ragionevoli per garantire la continuità e la regolarità della prestazione dei loro servizi per le cripto-attività, utilizzando a tal fine risorse e procedure adeguate e proporzionate, compresi sistemi TIC (tecnologie dell'informazione e delle comunicazioni) resilienti e sicuri.

Devono inoltre stabilire una politica di continuità operativa in caso di disastro volta a garantire, in caso di interruzione dei sistemi e delle procedure TIC, la conservazione dei dati e delle funzioni essenziali e il mantenimento dei servizi per le cripto-attività o, qualora ciò non sia possibile, il tempestivo recupero di tali dati e funzioni e la rapida ripresa dei servizi. Anche per tale finalità, i fornitori di servizi dovranno disporre di meccanismi di controllo interno e di procedure efficaci per la valutazione del rischio, e dovranno controllare e valutare periodicamente l'adeguatezza e l'efficacia dei meccanismi di controllo interno e delle relative procedure.

I fornitori di servizi per le cripto-attività dovranno quindi dotarsi di sistemi e procedure per salvaguardare la sicurezza, l'integrità e la riservatezza delle informazioni, e dovranno far sì che siano tenute registrazioni di tutti i servizi per le cripto-attività, gli ordini e le operazioni da essi effettuati, in modo da consentire alle autorità competenti di espletare le loro funzioni di vigilanza e di realizzare le misure di attuazione e, in particolare, di accertare se il fornitore di servizi per le cripto-attività abbia rispettato tutti i propri obblighi, compresi quelli relativi ai clienti effettivi o potenziali e all'integrità del mercato.

I fornitori di servizi per le cripto-attività devono altresì disporre di sistemi, procedure e dispositivi per monitorare e individuare gli specifici abusi di mercato e devono segnalare immediatamente alla loro autorità competente (in Italia, la Consob) ogni sospetto di presunte circostanze indice di un eventuale abuso di mercato, effettivo o potenziale.

Il Regolamento MiCA, infine, stabilisce requisiti prudenziali minimi per i fornitori di servizi per le cripto-attività, quali la costituzione di fondi propri [4] o di una polizza assicurativa che copra i territori dell'Unione in cui sono attivamente forniti servizi per le cripto-attività, o di una garanzia analoga e che abbia copertura contro il rischio, tra le altre cose, di:
(a) perdita di documenti;
(b) rilascio di dichiarazioni false o fuorvianti;
(c) atti, errori od omissioni che determinano la violazione di obblighi legali, regolamentari, comportamentali e di riservatezza.

È quindi inevitabile che, a fonte di maggiori certezze circa le modalità operative di svolgimento della propria attività anche su base transfrontaliera all'interno dell'Unione, ai prestatori di servizi in cripto-attività sarà richiesto un notevole sforzo organizzativo ed economico per rispettare tutte le neo introdotte prescrizioni normative e ciò a tutela del corretto funzionamento del mercato e – soprattutto- degli utenti di tali servizi, caratterizzati spesso da elevata rischiosità.

Obblighi relativi allo svolgimento dei singoli servizi per le cripto-attività

Oltre alle suddette previsioni di carattere generale, il Regolamento prevede obblighi specifici per la prestazione dei singoli servizi per le cripto-attività. Tra questi, la custodia e amministrazione di cripto-attività per conto di terzi, assimilabile, mutatis mutandis, alla custodia e amministrazione di strumenti finanziari per conto dei clienti contemplata dal TUF quale servizio accessorio.

Anche in questo caso vengono tutelati i clienti, prevedendosi che i fornitori di servizi devono detenere un registro dei movimenti e stabilire una politica di custodia, assicurando inoltre, che nella DLT utilizzata per i servizi, vi sia separazione tra le proprie partecipazioni e quelle detenute per conto dei loro clienti (che saranno quindi detenute su indirizzi separati).

Viene inoltre prevista una piena responsabilità dei fornitori di servizi nei confronti dei loro clienti nel caso di perdita di cripto-attività a seguito di un malfunzionamento o di attacchi informatici, fino a un massimo del valore di mercato delle cripto-attività perse.

Anche nello svolgimento del servizio di gestione di una piattaforma di negoziazione di cripto-attività, i fornitori di servizi devono stabilire norme operative minime per la piattaforma, che devono almeno individuare i requisiti e i processi di approvazione applicati prima di ammettere le cripto-attività alla negoziazione, nonché definire le eventuali categorie di esclusione, indicando chiaramente che una cripto-attività non è ammessa alla negoziazione sulla piattaforma qualora non sia stato pubblicato un White Paper (a meno che tale cripto-attività non benefici dell'esenzione di cui all'articolo 4 paragrafo 2 del Regolamento [5]) o quando abbia una funzione di anonimizzazione integrata, salvo che i possessori delle cripto-attività e la cronologia delle loro operazioni non possano essere identificati dai fornitori di servizi.

Per quanto riguarda il servizio di scambio di cripto-attività con moneta fiduciaria o scambio di cripto-attività con altre cripto-attività, i fornitori di servizi devono stabilire una politica commerciale non discriminatoria che indichi, in particolare, il tipo di clienti con cui accettano di effettuare operazioni e le condizioni che i clienti devono soddisfare.

Nell'ambito del collocamento di cripto-attività, il Regolamento stabilisce una norma ad hoc sul conflitto di interessi, prevedendo procedure specifiche e adeguate a prevenire, monitorare, gestire ed eventualmente comunicare qualsiasi conflitto di interesse che possa derivare da situazioni in cui i fornitori di servizi per le cripto-attività collochino le cripto-attività presso i propri clienti e il prezzo proposto per il collocamento delle cripto-attività sia stato sovrastimato o sottostimato.

Nel caso della ricezione e trasmissione di ordini per conto terzi, i fornitori di tale servizio (che non possono abusare delle informazioni relative agli ordini dei clienti, adottando tutte le misure ragionevoli per impedire l'uso improprio di tali informazioni da parte dei propri dipendenti) non possono ricevere alcuna remunerazione né alcuno sconto o beneficio non monetario per la canalizzazione degli ordini ricevuti dai clienti verso una specifica piattaforma di negoziazione di cripto-attività, o verso un altro fornitore di servizi per le cripto-attività.

In tema di consulenza sulle cripto-attività, i fornitori di tale servizio devono valutare (sia inizialmente, sia ogni due anni) la compatibilità delle cripto-attività con le esigenze dei clienti, e possono raccomandarle solo quando ciò sia effettivamente nell'interesse dei medesimi.

Una volta effettuata la valutazione, i fornitori del servizio consegnano ai clienti su un supporto durevole una relazione che sintetizza la consulenza prestata agli stessi, e specifica le richieste e le esigenze dei clienti.

A differenza di quanto previsto dalle norme di comportamento dettate dal TUF per la consulenza in materia di investimenti, il Regolamento stabilisce, in particolare, che i fornitori di servizi avvertano i clienti che, a causa della loro negoziabilità (ossia della loro facilità di scambio), il valore delle cripto-attività può essere soggetto a fluttuazioni.

Qualora i clienti non forniscano le informazioni richieste o qualora i fornitori di servizi ritengano, sulla base delle informazioni ricevute, che i clienti effettivi o potenziali non dispongano di conoscenze sufficienti, i fornitori di servizi li informano che le cripto-attività o i servizi per le cripto-attività possono non essere adatti a loro e trasmettono loro un'avvertenza sui rischi associati alle cripto-attività, che indica chiaramente il rischio di perdere la totalità del denaro investito o convertito in cripto-attività.

_____

*A cura degli Avv.ti
Paolo Bonolis, Partner CMS
Gianfabio Florio, Senior Associate CMS

[1] 1) Valori mobiliari. 2) Strumenti del mercato monetario. 3) Quote di un organismo di investimento collettivo. 4) Contratti di opzione, contratti finanziari a termine standardizzati («future»), «swap», accordi per scambi futuri di tassi di interesse e altri contratti su strumenti derivati connessi a valori mobiliari, valute, tassi di interesse o rendimenti, quote di emissioni o altri strumenti finanziari derivati, indici finanziari o misure finanziarie che possono essere regolati con consegna fisica del sottostante o attraverso il pagamento di differenziali in contanti. 5) Contratti di opzione, contratti finanziari a termine standardizzati («future»), «swap», contratti a termine («forward») ed altri contratti su strumenti derivati connessi a merci quando l'esecuzione deve avvenire attraverso il pagamento di differenziali in contanti oppure possa avvenire in contanti a discrezione di una delle parti (per motivi diversi dall'inadempimento o da un altro evento che determini la risoluzione). 6) Contratti di opzione, contratti finanziari a termine standardizzati («future»), «swap ed altri contratti su strumenti derivati connessi a merci che possono essere regolati con consegna fisica purché negoziati su un mercato regolamentato, un sistema multilaterale di negoziazione o un sistema organizzato di negoziazione, eccettuati i prodotti energetici all'ingrosso negoziati in un sistema organizzato di negoziazione che devono essere regolati con consegna fisica. 7) Contratti di opzione, contratti finanziari a termine standardizzati («future»), «swap», contratti a termine («forward») ed altri contratti su strumenti derivati connessi a merci che non possano essere eseguiti in modi diversi da quelli citati al punto 6 della presente sezione e non abbiano scopi commerciali, aventi le caratteristiche di altri strumenti finanziari derivati. 8) Strumenti finanziari derivati per il trasferimento del rischio di credito. 9) Contratti finanziari differenziali. 10) Contratti di opzione, contratti finanziari a termine standardizzati («future»), «swap», contratti a termine sui tassi d'interesse e altri contratti su strumenti derivati connessi a variabili climatiche, tariffe di trasporto, tassi di inflazione o altre statistiche economiche ufficiali, quando l'esecuzione debba avvenire attraverso il pagamento di differenziali in contanti o possa avvenire in tal modo a discrezione di una delle parti (invece che in caso di inadempimento o di altro evento che determini la risoluzione del contratto), nonché altri contratti su strumenti derivati connessi a beni, diritti, obblighi, indici e misure, non altrimenti citati nella presente sezione, aventi le caratteristiche di altri strumenti finanziari derivati, considerando, tra l'altro, se sono negoziati su un mercato regolamentato, un sistema organizzato di negoziazione o un sistema multilaterale di negoziazione; 11) Quote di emissioni che consistono di qualsiasi unità riconosciuta conforme ai requisiti della direttiva 2003/87/CE (sistema per lo scambio di emissioni)
[2] Definita all'articolo 2, punto 2, della direttiva 2009/110/CE quale valore monetario memorizzato elettronicamente, ivi inclusa la memorizzazione magnetica, rappresentato da un credito nei confronti dell'emittente che sia emesso dietro ricevimento di fondi per effettuare operazioni di pagamento ai sensi dell'articolo 4, punto 5), della direttiva 2007/64/CE e che sia accettato da persone fisiche o giuridiche diverse dall'emittente di moneta elettronica
[3] Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i Regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014 [COM(2020) 595]
[4] Costituiti da elementi del capitale primario di classe 1 di cui agli articoli da 26 a 30 del regolamento (UE) n. 575/2013 dopo la piena deduzione, a norma dell'articolo 36 di tale regolamento, senza l'applicazione di soglie per l'esenzione a norma degli articoli 46 e 48 di tale regolamento.
[5] Il White Paper non è richiesto nel caso in cui: (a) le cripto-attività sono offerte gratuitamente; (b) le cripto-attività sono create automaticamente tramite mining a titolo di ricompensa per il mantenimento della DLT per la convalida delle operazioni; (c) le cripto-attività sono uniche e non fungibili con altre cripto-attività; (d) le cripto-attività sono offerte a meno di 150 persone fisiche o giuridiche per ogni Stato membro in cui tali persone agiscono per proprio conto; (e) nell'arco di un periodo di 12 mesi, il corrispettivo totale di un'offerta al pubblico di cripto-attività nell'Unione non supera 1 000 000 EUR o l'importo equivalente in un'altra valuta o in cripto-attività; (f) l'offerta al pubblico delle cripto-attività è rivolta esclusivamente agli investitori qualificati e le cripto-attività possono essere detenute solo da tali investitori qualificati.