Con le FAQ, la Banca d'Italia vuole favorire la trasparenza con riguardo ai procedimenti in fase di accesso al mercato bancario e finanziario italiano. In questa sezione si trovano le FAQ relative alle istanze per i fornitori di servizi per le cripto-attività.
È previsto un regime transitorio per gli operatori in valuta virtuale (cd. VASP) iscritti nella sezione speciale del registro OAM?
Sì, il d.lgs. n. 129/2024 prevede che i virtual asset service providers (c.d. VASP) iscritti nella sezione speciale del Registro dei Cambiavalute tenuto dall'OAM - se regolarmente iscritti alla data del 27 dicembre 2024 - potranno continuare a operare fino al 30 giugno 2025 ovvero - se entro tale data presentano istanza di autorizzazione come CASP in Italia o in un altro Stato membro - fino al 30 dicembre 2025 (o al rilascio o rifiuto della medesima).
Un prestatore di servizi per le cripto-attività può operare anche in altri Stati membri ossia su base transfrontaliera?
Sì, il fornitore di servizi per le cripto-attività può prestare i servizi in uno Stato membro diverso da quello in cui è stata concessa l'autorizzazione.
A tal fine, contestualmente o successivamente alla richiesta di autorizzazione, il richiedente dovrà fornire alla Banca d'Italia o alla Consob le informazioni di cui all'articolo 65(1) del Regolamento MiCA ossia:
- un elenco degli Stati membri in cui intende prestare servizi per le cripto-attività;
- i servizi per le cripto-attività che intende prestare su base transfrontaliera;
- la data di inizio della prevista prestazione dei servizi per le cripto-attività;
- un elenco di ogni altra attività esercitata dal fornitore di servizi per le cripto-attività che non rientra nell'ambito di applicazione del Regolamento MiCA.
La Consob, quale Autorità designata come punto unico di contatto verso l'ESMA, provvede a dare informativa all'ESMA.
Esiste un form per la presentazione dell'istanza?
Sì, ai fini della predisposizione e presentazione della domanda di autorizzazione la società deve utilizzare il template "Modulo di istanza" (cfr. sezione Materiali) definito sulla base del formulario allegato al Regolamento di esecuzione (UE) 2025/306.
Quali sono i documenti da allegare all'istanza?
Le informazioni e i documenti da trasmettere con l'istanza di autorizzazione sono indicati nella normativa comunitaria (Regolamento MiCA, Regolamento delegato (UE) 2025/305 e Regolamento di esecuzione (UE) 2025/306) e nel template "Modulo di istanza" da utilizzare per la presentazione dell'istanza (cfr. sezione Materiali).
Quali requisiti prudenziali sono applicabili ai fornitori di servizi per le cripto-attività?
I prestatori di servizi per le cripto-attività dispongono in ogni momento di tutele prudenziali pari almeno al più elevato tra l'importo dei requisiti patrimoniali minimi permanenti determinati in funzione del tipo dei servizi per le cripto-attività prestati in base all'allegato IV al Regolamento MiCA e un quarto delle spese fisse generali dell'anno precedente, soggette a revisione annuale. Come previsto dall'articolo 67 del Regolamento MiCA, tali presidi possono assumere una delle seguenti forme:
- fondi propri, calcolati ai sensi del Regolamento (UE) 575/2013 ("CRR");
- una polizza assicurativa che copra i territori dell'Unione in cui sono prestati servizi per le cripto-attività o una garanzia comparabile;
- una combinazione dei punti a) e b). In tal caso occorre verificare che la somma tra il valore coperto dalla polizza (massimale per singolo sinistro) e l'ammontare dei fondi propri disponibili sia almeno pari all'importo minimo richiesto.
Il fornitore deve produrre:
- per i fondi propri: a) la documentazione che dimostri in che modo il richiedente ha calcolato l'importo in conformità dell'articolo 67 del Regolamento MiCA; b) se si tratta di una impresa già esistente, un estratto della contabilità sottoposto a revisione o un registro pubblico che certifichi l'importo dei fondi propri; c) se si tratta di una impresa di nuova costituzione, un estratto conto bancario emesso da un istituto di credito che attesti che i fondi sono depositati sul conto del richiedente;
- per la polizza: copia del contratto - anche preliminare - contenente tutti gli elementi necessari per ottemperare all'articolo 67, paragrafi 5 e 6, del Regolamento MiCA, sottoscritto da un'impresa autorizzata a fornire assicurazioni in conformità del diritto dell'Unione o nazionale. La polizza deve essere sottoscritta entro la conclusione del procedimento autorizzativo, eventualmente con clausola sospensiva dell'efficacia sino al rilascio del provvedimento autorizzativo.
Sono previste misure in materia di tutela dei fondi dei clienti e segregazione?
Sì, i prestatori di servizi per le cripto-attività che detengono cripto-attività appartenenti a clienti o i mezzi di accesso a tali cripto-attività adottano disposizioni adeguate per tutelare i diritti di titolarità dei clienti.
Entro la fine del giorno lavorativo successivo al giorno in cui sono stati ricevuti i fondi dei clienti diversi dai token di moneta elettronica, i prestatori di servizi per le cripto-attività depositano tali fondi presso un ente creditizio o una banca centrale.
I prestatori di servizi per le cripto-attività adottano tutte le misure necessarie per garantire che i fondi dei clienti diversi dai token di moneta elettronica detenuti presso un ente creditizio o una banca centrale siano detenuti in un conto distinto da quelli utilizzati per detenere fondi appartenenti ai prestatori di servizi per le cripto-attività.
I fornitori di servizi per le cripto-attività sono soggetti a obblighi antiriciclaggio?
Sì. Il decreto legislativo 21 novembre 2007, n. 231 (decreto antiriciclaggio) è stato modificato dal decreto legislativo 27 dicembre 2024, n. 204, per recepire le modifiche apportate dal nuovo Regolamento (UE) 2023/1113 sui trasferimenti di fondi alla Direttiva (UE) 2015/849 (cd. quarta direttiva antiriciclaggio).
Per effetto di queste modifiche, i prestatori di servizi per le cripto-attività sono stati inclusi tra gli intermediari finanziari soggetti agli obblighi antiriciclaggio e sono stati attribuiti alla Banca d'Italia i compiti di vigilanza in materia antiriciclaggio su questa nuova categoria di intermediari.
Il nuovo Regolamento UE sui trasferimenti di fondi ha inoltre esteso ai trasferimenti in cripto-attività l'obbligo (già in vigore per quelli in valuta legale) di corredare i messaggi di pagamento con i dati relativi all'ordinante e al beneficiario, al fine di garantire la loro tracciabilità e l'individuazione di eventuali transazioni sospette.
La Banca d'Italia estenderà ai prestatori di servizi per le cripto-attività, diversi dagli intermediari bancari e finanziari già vigilati per finalità antiriciclaggio e di contrasto al finanziamento del terrorismo:
- le "Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo", del 30 luglio 2019;
- le "Disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo" del 26 marzo 2019.
La consultazione pubblica in merito alla scelta di estendere le predette Disposizioni ai prestatori di servizi per le cripto-attività si è chiusa il 14 marzo 2025. Sono attualmente in corso i lavori per l'esame dei contributi e la pubblicazione dei testi finali delle Disposizioni.
Sono previsti requisiti specifici in merito alla presenza fisica del personale del CASP in Italia?
Il Regolamento MiCA (considerando (74) e articolo 59, paragrafo 2) richiede che la sede di direzione effettiva del CASP (intesa come il luogo in cui sono prese le principali decisioni gestionali e commerciali necessarie per lo svolgimento dell'attività) sia nell'Unione Europea e che almeno uno degli amministratori sia residente nell'Unione Europea.
A livello europeo l'ESMA, al fine di garantire una sufficiente "local substance" del CASP nello Stato Membro d'origine, ha precisato - tra l'altro - che:
- occorre che ci sia sufficiente personale nello Stato Membro d'origine e, in particolare, che vi risieda almeno un amministratore esecutivo;
- il CASP sia in grado di dimostrare che il potere decisorio rimanga nello Stato Membro d'origine; in particolare, i membri del consiglio di amministrazione con incarichi esecutivi e gli alti dirigenti chiave dovrebbero essere impiegati e presenti nello Stato membro di stabilimento in misura proporzionale al loro ruolo, garantendo che possano effettivamente adempiere alle loro responsabilità;
- l'impiego di personale al di fuori del Paese di autorizzazione non debba impedire l'esercizio delle funzioni di vigilanza o il rapido accesso alle informazioni pertinenti da parte delle autorità nazionali né impedire alla direzione del CASP di esercitare un controllo efficace sul personale o compromettere la capacità del CASP di garantire la continuità nella prestazione dei propri servizi per le cripto-attività (cfr. ESMA Supervisory Briefing).
In ogni caso, l'assetto complessivo del CASP dovrà essere valutato nella sua interezza, anche tenuto conto delle dimensioni e della complessità operativa dell'operatore, al fine di evitare che, facendo un ampio ricorso all'esternalizzazione di servizi e risorse, si configuri come una cd. "empty shell".
A quali condizioni si verifica la revoca dell'autorizzazione di un prestatore di servizi per le cripto-attività?
Ai sensi del regolamento MiCA, la revoca dell'autorizzazione da parte delle autorità competenti avviene, anche per singoli servizi, se il prestatore di servizi per le cripto-attività:
- non si è avvalso dell'autorizzazione entro 12 mesi dalla data della stessa;
- ha espressamente rinunciato alla sua autorizzazione;
- non ha prestato servizi per le cripto-attività per 9 mesi consecutivi;
- ha ottenuto l'autorizzazione in modo irregolare, ad esempio presentando dichiarazioni false nella domanda di autorizzazione;
- non soddisfa più le condizioni di concessione dell'autorizzazione e non ha adottato le azioni correttive richieste dall'autorità competente entro il termine fissato;
- non dispone di sistemi, procedure e dispositivi efficaci per individuare e prevenire il riciclaggio di denaro e il finanziamento del terrorismo a norma della direttiva (UE) 2015/849;
- ha violato gravemente il presente regolamento, incluse le disposizioni relative alla tutela dei possessori di cripto-attività o dei clienti di prestatori di servizi per le cripto-attività, o dell'integrità del mercato.
- ha violato le disposizioni di diritto nazionale che recepiscono la direttiva (UE) 2015/849;
- ha perso l'autorizzazione come istituto di pagamento o l'autorizzazione come istituto di moneta elettronica e lo stesso prestatore di servizi per le cripto-attività non ha posto rimedio alla situazione entro 40 giorni di calendario.
