FAQ - Prestatori di servizi per le cripto-attività (CASP)

Con le FAQ, la Banca d'Italia vuole favorire la trasparenza con riguardo ai procedimenti in fase di accesso al mercato bancario e finanziario italiano. In questa sezione si trovano le FAQ relative alle istanze per i fornitori di servizi per le cripto-attività.

È previsto un regime transitorio per gli operatori in valuta virtuale (cd. VASP) iscritti nella sezione speciale del registro OAM?

Sì, il d.lgs. n. 129/2024 prevede che i virtual asset service providers (c.d. VASP) iscritti nella sezione speciale del Registro dei Cambiavalute tenuto dall'OAM - se regolarmente iscritti alla data del 27 dicembre 2024 - potranno continuare a operare fino al 30 giugno 2025 ovvero - se entro tale data presentano istanza di autorizzazione come CASP in Italia o in un altro Stato membro - fino al 30 dicembre 2025 (o al rilascio o rifiuto della medesima).

Torna in alto ^

Un prestatore di servizi per le cripto-attività può operare anche in altri Stati membri ossia su base transfrontaliera?

Sì, il fornitore di servizi per le cripto-attività può prestare i servizi in uno Stato membro diverso da quello in cui è stata concessa l'autorizzazione.

A tal fine, contestualmente o successivamente alla richiesta di autorizzazione, il richiedente dovrà fornire alla Banca d'Italia o alla Consob le informazioni di cui all'articolo 65(1) del Regolamento MiCA ossia:

• un elenco degli Stati membri in cui intende prestare servizi per le cripto-attività;
• i servizi per le cripto-attività che intende prestare su base transfrontaliera;
• la data di inizio della prevista prestazione dei servizi per le cripto-attività;
• un elenco di ogni altra attività esercitata dal fornitore di servizi per le cripto-attività che non rientra nell'ambito di applicazione del Regolamento MiCA.

La Consob, quale Autorità designata come punto unico di contatto verso l'ESMA, provvede a dare informativa all'ESMA.

Torna in alto ^

Esiste un form per la presentazione dell'istanza?

Sì, ai fini della predisposizione e presentazione della domanda di autorizzazione la società deve utilizzare il template "Modulo di istanza" (cfr. sezione Materiali) definito sulla base del formulario allegato al Regolamento di esecuzione (UE) 2025/306.

Torna in alto ^

Quali sono i documenti da allegare all'istanza?

Le informazioni e i documenti da trasmettere con l'istanza di autorizzazione sono indicati nella normativa comunitaria (Regolamento MiCA, Regolamento delegato (UE) 2025/305 e Regolamento di esecuzione (UE) 2025/306) e nel template "Modulo di istanza" da utilizzare per la presentazione dell'istanza (cfr. sezione Materiali).

Torna in alto ^

Quali requisiti prudenziali sono applicabili ai fornitori di servizi per le cripto-attività?

I prestatori di servizi per le cripto-attività dispongono in ogni momento di tutele prudenziali pari almeno al più elevato tra l'importo dei requisiti patrimoniali minimi permanenti determinati in funzione del tipo dei servizi per le cripto-attività prestati in base all'allegato IV al Regolamento MiCA e un quarto delle spese fisse generali dell'anno precedente, soggette a revisione annuale. Come previsto dall'articolo 67 del Regolamento MiCA, tali presidi possono assumere una delle seguenti forme:

1. fondi propri, calcolati ai sensi del Regolamento (UE) 575/2013 ("CRR");
2. una polizza assicurativa che copra i territori dell'Unione in cui sono prestati servizi per le cripto-attività o una garanzia comparabile;
3. una combinazione dei punti a) e b). In tal caso occorre verificare che la somma tra il valore coperto dalla polizza (massimale per singolo sinistro) e l'ammontare dei fondi propri disponibili sia almeno pari all'importo minimo richiesto.

Il fornitore deve produrre:

• per i fondi propri: a) la documentazione che dimostri in che modo il richiedente ha calcolato l'importo in conformità dell'articolo 67 del Regolamento MiCA; b) se si tratta di una impresa già esistente, un estratto della contabilità sottoposto a revisione o un registro pubblico che certifichi l'importo dei fondi propri; c) se si tratta di una impresa di nuova costituzione, un estratto conto bancario emesso da un istituto di credito che attesti che i fondi sono depositati sul conto del richiedente;

• per la polizza: copia del contratto - anche preliminare - contenente tutti gli elementi necessari per ottemperare all'articolo 67, paragrafi 5 e 6, del Regolamento MiCA, sottoscritto da un'impresa autorizzata a fornire assicurazioni in conformità del diritto dell'Unione o nazionale. La polizza deve essere sottoscritta entro la conclusione del procedimento autorizzativo, eventualmente con clausola sospensiva dell'efficacia sino al rilascio del provvedimento autorizzativo.

Torna in alto ^

Sono previste misure in materia di tutela dei fondi dei clienti e segregazione?

Sì, i prestatori di servizi per le cripto-attività che detengono cripto-attività appartenenti a clienti o i mezzi di accesso a tali cripto-attività adottano disposizioni adeguate per tutelare i diritti di titolarità dei clienti.

Entro la fine del giorno lavorativo successivo al giorno in cui sono stati ricevuti i fondi dei clienti diversi dai token di moneta elettronica, i prestatori di servizi per le cripto-attività depositano tali fondi presso un ente creditizio o una banca centrale.

I prestatori di servizi per le cripto-attività adottano tutte le misure necessarie per garantire che i fondi dei clienti diversi dai token di moneta elettronica detenuti presso un ente creditizio o una banca centrale siano detenuti in un conto distinto da quelli utilizzati per detenere fondi appartenenti ai prestatori di servizi per le cripto-attività.

Torna in alto ^

I fornitori di servizi per le cripto-attività sono soggetti a obblighi antiriciclaggio?

Sì. Il decreto legislativo 21 novembre 2007, n. 231 (decreto antiriciclaggio) è stato modificato dal decreto legislativo 27 dicembre 2024, n. 204, per recepire le modifiche apportate dal nuovo Regolamento (UE) 2023/1113 sui trasferimenti di fondi alla Direttiva (UE) 2015/849 (cd. quarta direttiva antiriciclaggio).

Per effetto di queste modifiche, i prestatori di servizi per le cripto-attività sono stati inclusi tra gli intermediari finanziari soggetti agli obblighi antiriciclaggio e sono stati attribuiti alla Banca d'Italia i compiti di vigilanza in materia antiriciclaggio su questa nuova categoria di intermediari.

Il nuovo Regolamento UE sui trasferimenti di fondi ha inoltre esteso ai trasferimenti in cripto-attività l'obbligo (già in vigore per quelli in valuta legale) di corredare i messaggi di pagamento con i dati relativi all'ordinante e al beneficiario, al fine di garantire la loro tracciabilità e l'individuazione di eventuali transazioni sospette.

La Banca d'Italia estenderà ai prestatori di servizi per le cripto-attività, diversi dagli intermediari bancari e finanziari già vigilati per finalità antiriciclaggio e di contrasto al finanziamento del terrorismo:

• le "Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo", del 30 luglio 2019;
• le "Disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo" del 26 marzo 2019.

La consultazione pubblica in merito alla scelta di estendere le predette Disposizioni ai prestatori di servizi per le cripto-attività si è chiusa il 14 marzo 2025. Sono attualmente in corso i lavori per l'esame dei contributi e la pubblicazione dei testi finali delle Disposizioni.

Torna in alto ^

Sono previsti requisiti specifici in merito alla presenza fisica del personale del CASP in Italia?

Il Regolamento MiCA (considerando (74) e articolo 59, paragrafo 2) richiede che la sede di direzione effettiva del CASP (intesa come il luogo in cui sono prese le principali decisioni gestionali e commerciali necessarie per lo svolgimento dell'attività) sia nell'Unione Europea e che almeno uno degli amministratori sia residente nell'Unione Europea.

A livello europeo l'ESMA, al fine di garantire una sufficiente "local substance" del CASP nello Stato Membro d'origine, ha precisato - tra l'altro - che:

• occorre che ci sia sufficiente personale nello Stato Membro d'origine e, in particolare, che vi risieda almeno un amministratore esecutivo;

• il CASP sia in grado di dimostrare che il potere decisorio rimanga nello Stato Membro d'origine; in particolare, i membri del consiglio di amministrazione con incarichi esecutivi e gli alti dirigenti chiave dovrebbero essere impiegati e presenti nello Stato membro di stabilimento in misura proporzionale al loro ruolo, garantendo che possano effettivamente adempiere alle loro responsabilità;

• l'impiego di personale al di fuori del Paese di autorizzazione non debba impedire l'esercizio delle funzioni di vigilanza o il rapido accesso alle informazioni pertinenti da parte delle autorità nazionali né impedire alla direzione del CASP di esercitare un controllo efficace sul personale o compromettere la capacità del CASP di garantire la continuità nella prestazione dei propri servizi per le cripto-attività (cfr. ESMA Supervisory Briefing).

In ogni caso, l'assetto complessivo del CASP dovrà essere valutato nella sua interezza, anche tenuto conto delle dimensioni e della complessità operativa dell'operatore, al fine di evitare che, facendo un ampio ricorso all'esternalizzazione di servizi e risorse, si configuri come una cd. "empty shell".

Torna in alto ^

A quali condizioni si verifica la revoca dell'autorizzazione di un prestatore di servizi per le cripto-attività?

Ai sensi del regolamento MiCA, la revoca dell'autorizzazione da parte delle autorità competenti avviene, anche per singoli servizi, se il prestatore di servizi per le cripto-attività:

• non si è avvalso dell'autorizzazione entro 12 mesi dalla data della stessa;
• ha espressamente rinunciato alla sua autorizzazione;
• non ha prestato servizi per le cripto-attività per 9 mesi consecutivi;
• ha ottenuto l'autorizzazione in modo irregolare, ad esempio presentando dichiarazioni false nella domanda di autorizzazione;
• non soddisfa più le condizioni di concessione dell'autorizzazione e non ha adottato le azioni correttive richieste dall'autorità competente entro il termine fissato;
• non dispone di sistemi, procedure e dispositivi efficaci per individuare e prevenire il riciclaggio di denaro e il finanziamento del terrorismo a norma della direttiva (UE) 2015/849;
• ha violato gravemente il presente regolamento, incluse le disposizioni relative alla tutela dei possessori di cripto-attività o dei clienti di prestatori di servizi per le cripto-attività, o dell'integrità del mercato.
• ha violato le disposizioni di diritto nazionale che recepiscono la direttiva (UE) 2015/849;
• ha perso l'autorizzazione come istituto di pagamento o l'autorizzazione come istituto di moneta elettronica e lo stesso prestatore di servizi per le cripto-attività non ha posto rimedio alla situazione entro 40 giorni di calendario.

Torna in alto ^