Il presente contributo fornisce una prima disamina del decreto legislativo n. 129 del 5 settembre 2024 di attuazione del Regolamento (UE) 2023/1114 sui mercati delle cripto-attività (c.d. Regolamento MiCA).
[*] 1.Premessa: Normativa sulle Cripto-Attività
Il Decreto Legislativo n. 129 del 5 settembre 2024, pubblicato nella Gazzetta Ufficiale, serie Generale n. 215 del 13 settembre 2024, stabilisce le norme necessarie per l’adeguamento della normativa nazionale al Regolamento (UE) 2023/1114, comunemente noto come MiCA (Markets in Crypto-Assets Regulation), che disciplina i mercati delle cripto-attività. Questo regolamento, che apporta modifiche significative ai Regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010, oltre alle Direttive 2013/36/UE e (UE) 2019/1937, è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il 9 giugno 2023.
Il Regolamento MiCA introduce un sistema di vigilanza multilivello che integra il controllo diretto delle autorità nazionali con la supervisione e il coordinamento a livello europeo da parte dell’Autorità Bancaria Europea (ABE) e dell’Autorità Europea degli Strumenti Finanziari e dei Mercati (ESMA). In base agli articoli 93-138 di MiCA, le autorità di vigilanza finanziaria degli Stati membri sono investite del potere di monitorare l’emissione, l’offerta pubblica e l’ammissione alla negoziazione di cripto-attività, inclusi i token collegati ad attività (asset-linked tokens) e i token di moneta elettronica (e-money tokens)[1].
Le autorità di vigilanza hanno il dovere di esercitare i loro poteri di controllo al fine di garantire la protezione degli investitori e il corretto funzionamento dei mercati. In tal senso, possono sospendere o vietare l’offerta pubblica o l’ammissione alla negoziazione di cripto-attività, oltre a bloccare la prestazione di servizi relativi a tali attività. Inoltre, sono tenute a indagare su possibili violazioni delle normative in materia di abusi di mercato, quali insider trading e manipolazione del mercato, conformemente all’articolo 86 di MiCA e alle disposizioni del Regolamento sugli Abusi di Mercato (MAR).
Le autorità competenti hanno anche la facoltà di adottare misure restrittive nei confronti dei fornitori di servizi di cripto-attività, come indicato nell’articolo 90 di MiCA, per garantire il rispetto delle regole di trasparenza e correttezza del mercato. Questi poteri includono la possibilità di sospendere la prestazione di servizi quando vi siano rischi per l’integrità del mercato o per la protezione degli investitori.
Il Decreto Legislativo n. 129 del 5 settembre 2024 stabilisce che le autorità competenti per l’applicazione del regolamento siano la Consob e la Banca d’Italia, che svolgeranno ruoli complementari in base alle rispettive competenze. In particolare, la Consob assumerà la responsabilità principale per l’attuazione delle norme contenute nel Titolo II del Regolamento (UE) 2023/1114, che riguardano la regolamentazione degli operatori nei mercati delle cripto-attività, ponendo particolare attenzione alla protezione degli investitori e alla trasparenza del mercato. Per quanto concerne il Titolo III, relativo alle piattaforme di negoziazione e ai fornitori di servizi di cripto-attività, la Consob e la Banca d’Italia opereranno congiuntamente, collaborando per garantire un controllo efficace e coordinato. La Banca d’Italia avrà, invece, un ruolo esclusivo nell’applicazione del Titolo IV, che si concentra sulla stabilità del sistema finanziario e sulla gestione dei rischi associati alle cripto-attività.
Piu dettagliatamente, alla Banca d’Italia sono attribuite competenze di vigilanza prudenziale e gestione delle crisi, con riferimento agli emittenti di asset-referenced token (ART), di e-money token (EMT) e ai prestatori di servizi per le cripto-attività (CASP). Inoltre, competenze di vigilanza in materia di trasparenza, correttezza dei comportamenti e tutela dei possessori di EMT con riferimento agli emittenti di tali cripto-attività. Ancora alla Banca d’Italia compete la vigilanza per il contrasto del riciclaggio e del finanziamento del terrorismo (AML/CFT), con riferimento ai prestatori di servizi (CASP) e agli intermediari bancari e finanziari che agiscano come emittenti di ART e EMT. Infine, sono ancora di Banca d’Italia le competenze di product intervention sugli EMT nonché quando necessario per assicurare la stabilità dell’insieme o di una parte del sistema finanziario e sugli ART e sulle cripto-attività diverse dagli EMT e dagli ART (cd. crypto other-than). Restano ferme, peraltro, le competenze esclusive della Banca d’Italia relative alla funzione di sorveglianza sul sistema dei pagamenti, che l’Istituto esercita sia come componente dell’Eurosistema sia a livello nazionale ai sensi dell’art. 146 del TUB[2].
Sono, invece, attribuite alla Consob le competenze di vigilanza in materia di trasparenza, correttezza dei comportamenti, ordinato svolgimento delle negoziazioni e tutela dei possessori di cripto-attività/clienti, con riferimento agli emittenti di ART e ai CASP e le competenze di vigilanza in materia di offerta al pubblico e ammissione alle negoziazioni di c.d. crypto other-than, e le competenze di product intervention sugli ART e sulle cd. crypto other-than, quando necessario per assicurare la tutela degli investitori, l’ordinato funzionamento e l’integrità dei mercati delle cripto-attività. Inoltre, alla Consob spettano le competenze in tema di prevenzione e divieto degli abusi di mercato relativi alle cripto-attività.
Questa chiara suddivisione delle competenze mira a garantire una vigilanza bilanciata e integrata, promuovendo al contempo la sicurezza e lo sviluppo del mercato in sinergia con le autorità europee.
2. Vigilanza sulle Cripto-Attività
La Banca d’Italia e la Consob sono investite, in base alle loro rispettive competenze, dei poteri di vigilanza e indagine sanciti dall’articolo 94, paragrafo 1, del Regolamento (UE) 2023/1114. Di conseguenza, queste autorità hanno la facoltà di convocare persone con informazioni utili, come previsto dall’articolo 94, paragrafo 1, lettera a), del Regolamento sopra citato, e di imporre di fornire informazioni e documenti che possano risultare rilevanti per l’esercizio delle loro funzioni. Inoltre, possono esercitare i poteri previsti dalla lettera w) dello stesso articolo, consentendo loro di effettuare ispezioni o indagini in loco presso luoghi diversi dalle abitazioni private, al fine di accedere a documenti e altre informazioni in qualunque forma, nei confronti di soggetti coinvolti nella gestione, nell’investimento e nella custodia delle riserve di attività o nella distribuzione al pubblico dei token collegati ad attività. Sul punto, è importante notare che, per le ispezioni riguardanti soggetti non inclusi, è necessaria l’autorizzazione del procuratore della Repubblica. Durante le audizioni, deve essere redatto un verbale contenente i dati e le dichiarazioni raccolte, che devono essere firmati dall’interessato, il quale ha il diritto di richiederne una copia. Si applicano, in questo contesto, le disposizioni compatibili del codice di procedura penale.
La Consob e la Banca d’Italia, inoltre, possono richiedere la pubblicazione di informazioni o richiedere la comunicazione pubblica, come stabilito dall’articolo 94, paragrafo 1, lettera s) del Regolamento (UE) 2023/1114. Al riguardo, se l’offerente o l’emittente ritiene che tale comunicazione possa arrecare danno, ha la facoltà di richiederne la sospensione, che sarà accolta se non vengono forniti chiarimenti sui fatti essenziali entro sette giorni.
Inoltre, Consob e Banca d’Italia possono incaricare revisori o esperti di svolgere verifiche a spese del soggetto sottoposto a verifica, tenendo conto della professionalità e indipendenza dei revisori stessi. In caso di violazioni normative e in assenza di mezzi efficaci per interrompere tali violazioni e per evitare danni gravi agli interessi dei clienti o possessori di cripto-attività, le autorità possono adottare tutte le misure necessarie. Queste possono includere il coinvolgimento di terzi o di altre autorità pubbliche per rimuovere contenuti, limitare l’accesso a un’interfaccia online o visualizzare chiaramente un’avvertenza ai clienti e ai possessori di cripto-attività quando accedono a tale interfaccia, ovvero, richiedere ai fornitori di servizi di hosting di eliminare, disabilitare o limitare l’accesso a un’interfaccia online e, infine, chiedere ai registri o alle autorità di registrazione di cancellare un nome di dominio, consentendo all’autorità competente di registrarlo[3]. La Consob può collaborare con altre amministrazioni pubbliche e accedere a banche dati nazionali, come l’Anagrafe tributaria o la Centrale dei rischi della Banca d’Italia, nel rispetto delle normative sulla protezione dei dati.
La Consob rappresenta il punto di contatto per la cooperazione transfrontaliera con l’AESFEM e le autorità degli altri Stati membri, coinvolgendo la Banca d’Italia per gli aspetti di sua competenza.
D’altro canto, la Banca d’Italia funge da punto di contatto per la cooperazione con l’ABE e le autorità degli altri Stati membri, coinvolgendo la Consob per le questioni di sua competenza. La Banca d’Italia è anche responsabile della trasmissione delle informazioni richieste dal Regolamento (UE) 2023/1114 alla Banca Centrale Europea (BCE) e alle banche centrali dei Paesi membri che non adottano l’euro.
Ai fini della cooperazione con gli Stati membri dell’UE, l’AESFEM e l’ABE, secondo quanto previsto dagli articoli 95 e 115 del Regolamento (UE) 2023/1114, la Consob e la Banca d’Italia, in collaborazione con il Ministero della Giustizia, stabiliranno modalità per acquisire dati anonimi sulle indagini penali relative alle violazioni dell’articolo 111 c.p., così come informazioni sulle sanzioni penali imposte e sugli eventuali ricorsi. Infine, la Consob e la Banca d’Italia possono richiedere informazioni all’autorità giudiziaria riguardo le indagini e i procedimenti penali per le violazioni menzionate, garantendo così un approccio integrato e coordinato nella vigilanza e nella protezione degli investitori nel settore delle cripto-attività.
La Banca d’Italia, in collaborazione con la Consob, autorizza l’emissione, l’offerta al pubblico e la richiesta di ammissione alla negoziazione di token collegati ad attività, in base all’articolo 21 del regolamento (UE) 2023/1114[4]. Tale autorizzazione può essere revocata secondo le condizioni stabilite dall’articolo 24 dello stesso regolamento[5]. Essa, inoltre, è l’autorità competente per ricevere le informazioni previste dall’articolo 24, paragrafo 4. In particolare, le autorità competenti devono informare senza indugi l’autorità competente dell’emittente di un token collegato ad attività nei casi in cui un soggetto terzo non abbia più l’autorizzazione come ente creditizio, prestatore di servizi per cripto-attività, istituto di pagamento o di moneta elettronica. Inoltre, se i membri dell’organo di amministrazione o gli azionisti con partecipazioni qualificate nell’emittente violano le norme della direttiva (UE) 2015/849, la Banca d’Italia richiede il parere della Consob, che include un parere giuridico secondo l’articolo 18, paragrafo 2, lettera e), punto i) del regolamento MiCA. Come noto, ai sensi dell’articolo 17 di MiCA, le banche e le società di intermediazione mobiliare (SIM) di classe 1[6] devono notificare alla Banca d’Italia, almeno 90 giorni lavorativi prima dell’emissione iniziale del token collegato ad attività, un programma operativo con il modello di business, insieme a una serie di documenti (parere giuridico sulla tipologia del token, descrizione dei dispositivi di governance, politiche e piani di continuità, accordi contrattuali con terzi, politiche di continuità operativa, controllo interno e gestione del rischio, oltre ai sistemi di protezione dei dati). Su tali documenti, la Banca d’Italia ha poteri di richiesta di integrazione e chiarimenti e, alla ricezione di detta documentazione, trasmette tempestivamente copia della notifica alla Consob.
La Banca d’Italia, sempre con il parere della Consob, approva i white paper per i token collegati ad attività emessi dalle banche e dalle SIM di classe 1, come previsto dall’articolo 17 (ex paragrafo 1, lettera a), e le eventuali modifiche ai sensi dell’articolo 25, paragrafi 2, 3 e 4, del regolamento (UE) 2023/1114. Inoltre, la Banca d’Italia autorizza anche l’emissione, l’offerta al pubblico e la richiesta di ammissione alla negoziazione di token collegati ad attività da parte delle SIM non di classe 1, secondo l’articolo 21 del regolamento, revocando l’autorizzazione se si verificano le condizioni previste dall’articolo 24.
La Banca d’Italia, in collaborazione con la Consob, autorizza anche gli istituti di moneta elettronica all’emissione, all’offerta al pubblico e alla richiesta di ammissione alla negoziazione di token collegati ad attività, sempre in conformità con l’articolo 21 del regolamento. Ciò avviene a condizione che, per tali attività, così come per la prestazione di servizi di pagamento e per l’emissione di token di moneta elettronica, sia stato costituito un patrimonio destinato ai sensi dell’articolo 114-quinquies, comma 4, del Testo Unico Bancario (TUB), secondo le modalità previste dagli articoli 114-quinquies.1, comma 5, e 114-terdecies dello stesso TUB. La revoca dell’autorizzazione si applica se si verificano le condizioni dell’articolo 24 del regolamento (UE) 2023/1114, senza pregiudicare quanto stabilito dall’articolo 114-quinquies, comma 5, del TUB[7].
Analogamente, la Banca d’Italia, in accordo con la Consob, autorizza gli istituti di pagamento all’emissione, all’offerta al pubblico e alla richiesta di ammissione alla negoziazione di token collegati ad attività, a condizione che sia stato costituito un patrimonio destinato, in conformità con l’articolo 114-novies, comma 4, del TUB, e con gli effetti stabiliti dall’articolo 114-terdecies dello stesso testo. Anche in questo caso, l’autorizzazione può essere revocata in presenza delle condizioni previste dall’articolo 24 del regolamento, senza pregiudicare quanto stabilito dall’articolo 114-novies, comma 5, del TUB.
Gli emittenti di cui all’articolo 16, paragrafo 1, lettera a), del regolamento (UE) 2023/1114[8], che non siano istituti di moneta elettronica, istituti di pagamento o SIM non di classe 1, devono costituirsi come società per azioni, società in accomandita per azioni, società a responsabilità limitata o società cooperativa. Possono, oltre all’emissione, all’offerta al pubblico e alla richiesta di ammissione alla negoziazione di token collegati ad attività, offrire servizi relativi alle cripto-attività se autorizzati ai sensi dell’articolo 63 del regolamento (UE) 2023/1114, e svolgere attività connesse e strumentali[9].
La vigilanza sugli emittenti di token collegati ad attività e sui token significativi è esercitata dalla Banca d’Italia, che si occupa della gestione prudente, della stabilità patrimoniale e del contenimento del rischio, mentre la Consob garantisce trasparenza, correttezza, tutela degli investitori e buon andamento delle negoziazioni. La Banca d’Italia è, inoltre, l’autorità competente per vigilare sull’osservanza delle disposizioni relative alla vigilanza informativa sui token collegati ad attività, alla governance, ai controlli interni, alla riserva di attività e ad altri requisiti patrimoniali, fatte salve le competenze specifiche della Consob, che si occupa di comunicazioni di marketing, informazione continua, trattamento dei reclami e gestione dei conflitti di interesse.
La Banca d’Italia approva il piano di cui all’articolo 23 e può autorizzare nuovamente l’emissione di token nelle circostanze previste[10]; può inoltre limitare l’importo di token emessi o stabilire un importo minimo nominale come previsto dal regolamento. In caso di sospetto di violazioni, la Banca d’Italia o la Consob possono riferire i fatti al pubblico ministero o richiedere l’intervento del tribunale. I requisiti per i dirigenti e i partecipanti al capitale degli emittenti sono regolati dalle normative vigenti, e la Banca d’Italia può sospendere i diritti di voto o altri diritti connessi a partecipazioni qualificate in caso di mancata notifica o se vengono meno i requisiti necessari per l’acquisizione. Infine, la Banca d’Italia si occupa della classificazione dei token significativi e trasmette le informazioni rilevanti all’Autorità Bancaria Europea (ABE), alla Banca Centrale Europea (BCE) e alla banca centrale dello Stato membro interessato. Gli emittenti di token collegati ad attività devono notificare il white paper sulle cripto-attività alla Banca d’Italia e alla Consob.
L’articolo 14 del decreto in esame riguarda i token di moneta elettronica e i loro emittenti; quando si fa riferimento alla direttiva 2009/110/CE menzionata nel titolo IV del regolamento (UE) 2023/1114, si intende fare riferimento alle disposizioni nazionali che la attuano. I token di moneta elettronica devono rispettare le norme previste dagli articoli 114-bis, commi 1 e 3, e 114-bis.1, comma 1, del Testo Unico Bancario (TUB), salvo diverse indicazioni nel titolo IV del regolamento (UE) 2023/1114. Gli istituti di moneta elettronica che emettono questi token devono seguire le regole degli articoli 114-quater, 114-quinquies e seguenti del TUB, oltre alle norme attuative, a meno che il regolamento (UE) 2023/1114 disponga diversamente. Gli emittenti di token di moneta elettronica devono rispettare l’articolo 20 di questo decreto, se applicabile. Se si sospetta che un soggetto diverso da una banca o un istituto di moneta elettronica stia emettendo un token o violi l’articolo 48 del regolamento (UE) 2023/1114, offrendo al pubblico o chiedendo la negoziazione di un token di moneta elettronica, si applica l’articolo 132-bis del TUB.
L’articolo 15 riguarda, invece, i poteri della Consob in relazione alle cripto-attività diverse dai token collegati ad attività o dai token di moneta elettronica. La Consob, in qualità di autorità competente secondo il regolamento (UE) 2023/1114, oltre a esercitare i poteri generali di vigilanza e di indagine, già previsti dall’articolo 4 di questo decreto (e da noi già discussi), può intervenire nei confronti degli offerenti e di chi richiede l’ammissione alla negoziazione di queste cripto-attività.
Peraltro, con l’autorizzazione del procuratore della Repubblica, la Consob può procedere a perquisizioni secondo quanto previsto dalle norme fiscali italiane e può sequestrare i profitti derivanti da illeciti, anche in modo equivalente. In questo contesto si applicano alcune disposizioni del Testo Unico della Finanza (TUF). In caso di perquisizioni o sequestri, viene redatto un verbale che riporta i dati, le informazioni raccolte, i fatti accertati, i sequestri eseguiti e le dichiarazioni delle persone coinvolte, che sono invitate a firmare il documento e possono ottenerne una copia. Se non si riesce a identificare la persona competente per l’attività, si procede con le modalità previste dalla legge.
2.1 Focus: le disposizioni di garanzia patrimoniale.
Il decreto, inoltre, si concentra sulle norme di garanzia patrimoniale per gli emittenti, offerenti e richiedenti l’ammissione alla negoziazione di token, delineando le modalità di protezione e gestione delle riserve di attività destinate a garantire il valore di questi token.
Nel testo normativo, come vedremo, vengono declinate puntualmente le disposizioni in materia di separazione, le procedure per il rimborso e la liquidazione e le circostanze e i poteri della Banca d’Italia nel gestire eventuali crisi degli emittenti, inclusa la possibilità di rimuovere gli organi di controllo e avviare procedure di amministrazione straordinaria o liquidazione coatta.
Ciò premesso, l’articolo 19 riguarda la separazione patrimoniale della riserva di attività[11] associata ai token collegati ad attività. Questo significa che le risorse che garantiscono il valore dei token, sono da considerarsi un patrimonio completamente separato da quello dell’emittente e dalle riserve di altri token. In altre parole, le attività in cui è investita la riserva non possono essere mescolate con il patrimonio dell’emittente o di altre riserve, garantendo così una protezione per i possessori dei token. L’emittente non può utilizzare queste risorse per i propri interessi o per quelli di terzi, salvo eccezioni specifiche previste dal regolamento. Inoltre, i creditori dell’emittente o del depositario (ovvero del soggetto che custodisce le attività della riserva) non possono rivalersi su queste risorse, che rimangono intoccabili, tranne nel caso in cui si tratti dei creditori dei possessori di token[12].
Non è possibile compensare crediti tra il depositario e l’emittente, né attraverso accordi tra le parti né per legge. Le risorse della riserva sono destinate a garantire il rimborso dei possessori di token. Se, per qualche motivo, come la liquidazione dell’emittente o l’attivazione di un piano di rimborso, si deve procedere al rimborso dei token, le attività della riserva verranno liquidate per rimborsare i possessori.
Se la riserva non è sufficiente a coprire tutti i rimborsi, l’emittente dovrà utilizzare il proprio patrimonio per coprire la differenza. In caso di liquidazione forzata dell’emittente, i possessori di token avranno lo stesso trattamento degli altri creditori ordinari per quanto riguarda la parte ancora dovuta. Infine, queste regole si applicano anche alle riserve di attività dei token di moneta elettronica, che seguono una disciplina simile.
L’articolo 20 tratta del piano di rimborso per i token collegati ad attività[13]. Se viene avviato un piano di rimborso, come previsto dall’articolo 47 del regolamento (UE) 2023/1114, e non ci sono procedure straordinarie come amministrazione straordinaria, liquidazione o risoluzione in corso, l’emittente deve nominare uno o più liquidatori.
Questi liquidatori hanno il compito di gestire il piano e di liquidare le riserve di attività. La nomina dei liquidatori e qualsiasi cambiamento devono essere registrati presso il registro delle imprese. I liquidatori devono essere persone con buona reputazione, esperienza e competenze adeguate. Sono tenuti a svolgere i loro compiti con professionalità e attenzione, e se non lo fanno, rispondono dei danni secondo le stesse regole applicate agli amministratori di società.
I liquidatori possono prendere tutte le decisioni necessarie per portare a termine il piano di rimborso e devono inviare aggiornamenti regolari all’autorità competente sull’andamento del piano. Se il piano di rimborso non viene attuato in modo tempestivo e regolare, oppure se i liquidatori non rispettano i requisiti, la Banca d’Italia può sostituirli e stabilire il loro compenso, che sarà a carico della società. La decisione di sostituire i liquidatori sarà resa pubblica secondo le modalità previste dalla legge. Se durante il piano di rimborso si avvia una procedura straordinaria (come amministrazione straordinaria o liquidazione), i liquidatori nominati cessano la loro attività e trasferiscono tutte le informazioni utili ai nuovi commissari o liquidatori che gestiranno il rimborso o la liquidazione. Se invece il piano di rimborso viene attuato nell’ambito di una procedura straordinaria, saranno i commissari o i liquidatori di quella procedura a occuparsi del piano, purché ciò sia compatibile con le regole della procedura stessa. L’articolo 21 specifica che la sospensione temporanea dei rimborsi, come previsto dall’articolo 46 del regolamento, non implica che l’emittente sia in stato di insolvenza. Questo significa che, se i rimborsi vengono bloccati temporaneamente, ciò non implica automaticamente che l’emittente non possa pagare i suoi debiti o sia fallito.
La Sezione III si occupa della gestione della liquidazione volontaria e della crisi degli emittenti specializzati di token associati ad attività. L’articolo 22 stabilisce che, in caso di liquidazione volontaria di tali emittenti, le regole applicabili siano le stesse previste per le banche, in particolare gli articoli 96-quinquies e 97 del Testo Unico Bancario (TUB), con l’eccezione, naturalmente, che queste devono essere compatibili con il contesto specifico degli emittenti di token. In altre parole, quando un emittente decide di liquidarsi volontariamente, è tenuto a seguire le procedure normalmente in vigore per le banche. In aggiunta, le autorità competenti, come la Banca d’Italia, mantengono i loro poteri di vigilanza e di intervento, per garantire che il processo di liquidazione avvenga in modo corretto, trasparente e conforme alle normative.
L’articolo 23 consente alla Banca d’Italia, sentita la Consob e, se necessario, l’Autorità Bancaria Europea (ABE), di disporre la rimozione di tutti i membri degli organi di amministrazione e controllo di un emittente di token collegati ad attività, qualora si verifichino determinate condizioni. Queste condizioni, descritte più nel dettaglio nell’articolo 24, comprendono gravi irregolarità nella gestione, violazioni delle normative vigenti o rischi di perdite patrimoniali significative[14]. Nel caso in cui la Banca d’Italia decida di procedere con la rimozione, questa decisione viene pubblicata sulla Gazzetta Ufficiale e la Banca fissa una data a partire dalla quale la rimozione diventa effettiva, convocando un’assemblea dell’emittente per eleggere nuovi membri degli organi amministrativi e di controllo. Se necessario, la Banca può anche avviare una procedura di amministrazione straordinaria, come stabilito nell’articolo 24, per affrontare in modo più incisivo la crisi dell’emittente.
L’articolo 24 delinea le circostanze in cui la Banca d’Italia può sciogliere gli organi di amministrazione e controllo di un emittente e avviare una procedura di amministrazione straordinaria. Tali circostanze possono includere la scoperta di gravi irregolarità nella gestione, violazioni delle normative che regolano l’attività dell’emittente, la previsione di gravi perdite patrimoniali, oppure una richiesta formulata dagli organi amministrativi o da un’assemblea straordinaria dell’emittente stesso.
Una volta attivata la procedura di amministrazione straordinaria, la Banca d’Italia assume la direzione di tutte le operazioni necessarie per il risanamento della situazione. Le norme specifiche del TUB che disciplinano le crisi bancarie si applicano, con le necessarie modifiche, anche agli emittenti di token associati ad attività. In particolare, i possessori di cripto-attività sono trattati come se fossero depositanti bancari, il che conferisce loro diritti specifici in caso di crisi. In alcune circostanze, la Banca d’Italia può nominare commissari straordinari, selezionati tra i propri funzionari, qualora lo consideri opportuno per gestire la crisi in modo efficace e tempestivo.
L’articolo 25 si occupa della liquidazione coatta amministrativa degli emittenti specializzati di token collegati ad attività[15]. Questa procedura può essere avviata dal Ministero dell’Economia e delle Finanze su proposta della Banca d’Italia o della Consob, a seconda delle rispettive competenze. Prima di procedere con questa decisione, potrebbe essere necessaria la consultazione con l’Autorità Bancaria Europea (ABE).
È importante sottolineare che la liquidazione coatta può essere attivata anche se l’emittente è già sotto amministrazione straordinaria o è in fase di liquidazione. Questa misura può essere adottata in quattro situazioni principali: in presenza di irregolarità amministrative molto gravi, violazioni serie delle normative vigenti, previsioni di perdite patrimoniali che compromettano la stabilità dell’emittente, o nel caso venga accertato uno stato di insolvenza, secondo quanto definito nell’articolo 82 del TUB. Infine, la liquidazione può essere richiesta dagli organi amministrativi dell’emittente o dai commissari straordinari. È essenziale notare che la liquidazione coatta amministrativa è una misura estrema, applicabile solo in situazioni particolarmente critiche, mirata a proteggere gli investitori e a garantire la stabilità del mercato.
3. I prestatori di servizio
Il Capo II delle disposizioni speciali si concentra sui prestatori di servizi per le cripto-attività, con la Sezione I che si applica a tutti i prestatori. Il capitolo in esame, infatti, riguarda le normative relative ai prestatori di servizi per le cripto-attività, delineando disposizioni cruciali per la protezione dei beni dei clienti e le responsabilità legali dei prestatori. In particolare, il testo stabilisce che le cripto-attività e i fondi dei clienti devono essere gestiti come un patrimonio separato, tutelando così gli interessi dei clienti in caso di difficoltà finanziarie del prestatore. Inoltre, vengono specificate le procedure di liquidazione coatta amministrativa e le regole in caso di crisi finanziaria, nonché le sanzioni penali e amministrative per le violazioni delle normative. L’obiettivo principale è garantire un quadro normativo chiaro e rigido, promuovendo la sicurezza e la fiducia nel settore delle cripto-attività.
Ciò premesso, nel dettaglio, l’articolo 26 del decreto in esame stabilisce che le cripto-attività e i fondi dei clienti, quando detenuti dai prestatori di servizi per le cripto-attività, devono essere considerati come un patrimonio separato. Questo implica che tali beni non possono essere mescolati con il patrimonio del prestatore e non possono essere soggetti alle azioni dei creditori del prestatore stesso[16]. In pratica, ciò significa che se il prestatore incontra difficoltà finanziarie, i creditori non possono rivalersi sulle cripto-attività o sui fondi dei clienti. I diritti dei clienti sono limitati esclusivamente ai propri beni specifici. Inoltre, non è possibile effettuare compensazioni legali o convenzionali sui fondi depositati presso terzi, e i prestatori non possono utilizzare le cripto-attività o i fondi dei clienti per scopi personali.
L’articolo 27 si concentra. Invece, sulla restituzione delle cripto-attività durante la liquidazione coatta amministrativa. I clienti, infatti, che hanno diritto a questa restituzione vengono trattati alla stregua di coloro che hanno diritto a ricevere strumenti finanziari, il che include anche l’accesso alle cripto-attività e alle chiavi crittografiche private.
La disciplina relativa alla liquidazione volontaria e alla crisi dei prestatori specializzati di servizi per le cripto-attività è regolata, in dettaglio, dall’articolo 28, il quale stabilisce che, salvo quanto specificato dall’articolo 74 del regolamento (UE) 2023/1114, gli articoli 96-quinquies e 97 del TUB si applicano ai prestatori di servizi per le cripto-attività, sempre che siano compatibili. Anche in caso di liquidazione, i poteri delle autorità competenti rimangono in vigore come previsto dal decreto.
L’articolo 29 del decreto tratta la disciplina della crisi per questi prestatori, specificando che si applica la normativa della parte II, titolo IV, capo II del TUF, riguardante le SIM non di classe 1, con le dovute modifiche. In questo contesto, le disposizioni del TUB richiamate devono essere considerate applicabili ai prestatori di servizi per le cripto-attività piuttosto che alle banche, e il termine “strumenti finanziari” comprende cripto-attività, strumenti finanziari e denaro, in conformità con quanto stabilito nel comma 3 e nell’articolo 27 del decreto. Inoltre, nel caso in cui a un prestatore di servizi per le cripto-attività autorizzato in un altro Stato membro dell’Unione Europea venga revocata l’autorizzazione, le sue succursali italiane possono essere soggette a liquidazione coatta amministrativa.
Infine, i soggetti che svolgono esclusivamente le attività autorizzate in base agli articoli 16, paragrafo 1, lettera a), e 59, paragrafo 1, lettera a), del regolamento (UE) 2023/1114, insieme alle attività connesse, rientrano nella disciplina delle crisi stabilita nel capo I, sezione III.
4. Le sanzioni
Il Titolo IV del regolamento (UE) 2023/1114, dedicato alle sanzioni, si suddivide in due capi principali: il Capo I, che riguarda le sanzioni penali, e il Capo II, che concerne le sanzioni amministrative. Tale struttura riflette l’intenzione di disciplinare in modo rigoroso e articolato le violazioni legate alla gestione e negoziazione delle cripto-attività, un settore in rapida evoluzione che ha sollevato questioni di sicurezza, trasparenza e regolamentazione. Le sanzioni penali sono previste per violazioni particolarmente gravi, che comportano rischi significativi per la stabilità del sistema finanziario e per la protezione degli investitori, mentre le sanzioni amministrative mirano a garantire l’osservanza delle norme, applicando misure correttive e deterrenti più flessibili, ma comunque severe[17].
Nel contesto delle sanzioni penali, l’articolo 30 stabilisce una serie di misure punitive per chi infrange le disposizioni relative all’emissione e alla negoziazione di token di moneta elettronica. Chiunque offra al pubblico token associati a determinati servizi, attività o operazioni, o chieda l’ammissione alla negoziazione in violazione dell’articolo 16 del regolamento, nonché chi fornisca servizi relativi a cripto-attività in contrasto con le prescrizioni dell’articolo 59, è soggetto a pene severe. Tra le sanzioni previste, si segnala una pena detentiva che può variare da sei mesi a quattro anni e una multa compresa tra 2.066 e 10.329 euro. Una violazione particolarmente grave è quella relativa all’emissione di token di moneta elettronica senza rispettare le disposizioni stabilite dall’articolo 48, o all’offerta di tali token senza il consenso scritto dell’emittente. In tal caso, le pene possono comprendere una condanna detentiva e multe significative per dissuadere da pratiche illecite e tutelare l’integrità del mercato delle cripto-attività.
Il Capo II, dedicato alle sanzioni amministrative, riguarda principalmente le infrazioni che non costituiscono reato, ma che violano le disposizioni del regolamento (UE) 2023/1114. L’articolo 31 stabilisce che, a meno che il comportamento illecito non costituisca reato, la violazione delle disposizioni richiamate dall’articolo 111 del regolamento comporta sanzioni pecuniarie. Le sanzioni amministrative sono differenziate tra persone giuridiche (aziende e altre entità) e persone fisiche (individui, inclusi gli esponenti aziendali). Le persone giuridiche possono essere multate da 30.000 euro a 5 milioni di euro, con possibilità di aumentare la sanzione fino al 3% del fatturato annuo in caso di violazioni particolarmente gravi. Per le persone fisiche, comprese le figure aziendali con responsabilità in materia di gestione delle cripto-attività, le sanzioni variano tra 5.000 euro e 700.000 euro. Se il vantaggio derivante dalla violazione supera tali limiti, la sanzione può arrivare fino al doppio dell’importo. Le autorità competenti, come la Banca d’Italia e la Consob, sono incaricate dell’applicazione delle sanzioni amministrative in base alle loro rispettive competenze. In particolare, la Banca d’Italia ha il compito di applicare sanzioni per le violazioni relative all’emissione, all’offerta al pubblico e alla richiesta di ammissione alla negoziazione di token di moneta elettronica, attraverso una procedura dedicata[18].
4.1 Sanzioni Specifiche per Violazioni Gravi (Articoli 32 e 33)
In relazione a violazioni specifiche del regolamento, l’articolo 32 prevede sanzioni particolarmente severe per chi infrange gli articoli 88 e 92 del regolamento (UE) 2023/1114. Le persone giuridiche possono essere multate fino a 2,5 milioni di euro o fino al 2% del fatturato totale annuo in caso di violazioni dell’articolo 88, e fino a 15 milioni di euro o il 15% del fatturato annuo in caso di violazioni dell’articolo 92. Le persone fisiche possono essere sanzionate con multe che variano da 5.000 euro a 1 milione di euro, con la possibilità di aumentare la sanzione fino a triplicare l’importo qualora il vantaggio economico ottenuto dalla violazione superi i limiti previsti.
L’articolo 33 si concentra sulle violazioni relative all’abuso di informazioni privilegiate e alla manipolazione del mercato, stabilendo che chiunque compia tali illeciti è soggetto a una sanzione amministrativa pecuniaria che può variare da 5.000 euro a 5 milioni di euro. Tuttavia, non si applicherà la sanzione a chi dimostri di aver agito per motivi legittimi, ad esempio per ragioni di interesse pubblico o per adempiere a obblighi di legge. L’ente è soggetto ex art. 34 a una sanzione amministrativa pecuniaria che va da un minimo di 30.000 euro a un massimo di 15 milioni di euro, oppure, se maggiore, fino al 15% del fatturato annuo complessivo, nel caso in cui venga commessa una violazione dei divieti stabiliti dagli articoli 89, 90 e 91 del Regolamento (UE) 2023/1114, a suo favore o nel suo interesse. Questo vale nel caso in cui la violazione sia commessa da persone che ricoprono funzioni di rappresentanza, amministrazione o direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria o funzionale, nonché da chi esercita, anche di fatto, la gestione o il controllo dell’ente, ovvero, da persone che sono sottoposte alla direzione o vigilanza di uno dei soggetti sopra indicati. L’ente non è responsabile se prova che le persone di cui al comma 1 hanno agito esclusivamente nell’interesse personale o di terzi. Per gli illeciti previsti al comma 1 dell’art. 34, si applicano, nei limiti in cui siano compatibili con la normativa in materia, gli articoli 6, 7, 8 e 12 del Decreto Legislativo 8 giugno 2001, n. 231, che disciplina la responsabilità amministrativa degli enti. In particolare, l’articolo 6 del suddetto decreto prevede la possibilità per il Ministero della Giustizia di esprimere osservazioni in merito alla responsabilità dell’ente per gli illeciti descritti nel presente titolo. A tal fine, il Ministero della Giustizia dovrà sentire la Consob (Commissione Nazionale per le Società e la Borsa), che fornirà un parere in relazione agli illeciti previsti dal Regolamento (UE) 2023/1114.
L’articolo 36 affronta la responsabilità degli esponenti aziendali e del personale in caso di violazioni delle disposizioni del regolamento (UE) 2023/1114. Si stabilisce che anche le persone fisiche che ricoprono ruoli di amministrazione, direzione o controllo in una società o ente, nonché il personale dipendente, possono essere soggette a sanzioni in caso di violazioni. Se la violazione è causata dal mancato adempimento dei doveri professionali, con un impatto significativo sull’organizzazione o sugli utenti delle cripto-attività, le autorità competenti possono applicare sanzioni aggiuntive. In casi estremi, è prevista l’interdizione dall’esercizio di funzioni di gestione per un periodo che può variare da sei mesi a tre anni.
In caso di omessa collaborazione o mancato seguito in relazione a un’indagine, un’ispezione o una richiesta, comprese quelle previste dall’articolo 94, paragrafo 3, del regolamento (UE) 2023/1114, ai sensi dell’art. 35, si applicano le seguenti sanzioni: a) per le persone giuridiche, una sanzione amministrativa pecuniaria che va da un minimo di 30.000 euro a un massimo di 5 milioni di euro, oppure, se maggiore, fino al 10% del fatturato totale annuo; b) per le persone fisiche, inclusi gli esponenti aziendali e il personale di cui all’articolo 36 del presente decreto, nel caso in cui si verifichino le condizioni stabilite da quest’ultimo, una sanzione amministrativa pecuniaria che va da 5.000 euro a 5 milioni di euro.
Le sanzioni previste dal regolamento vanno, comunque, applicate con l’intento di garantire la conformità alle normative europee e il rispetto delle disposizioni del Testo Unico della Finanza (TUF). La Banca d’Italia e la Consob sono gli enti preposti all’applicazione delle sanzioni amministrative, ciascuna nell’ambito delle proprie competenze, al fine di promuovere una maggiore trasparenza, integrità e fiducia nel mercato delle cripto-attività.
[*] L’articolo riporta opinioni personali dell’Autore e non impegna la Commissione per cui il dirigente lavora.
[1] Un “token” è un’unità digitale che rappresenta un asset, diritto o utilità su una rete blockchain
[2] In questo quadro, assume particolare importanza anche il PISA Framework dell’Eurosistema (Payments, Infrastructure and Services Framework), che estende l’ambito di vigilanza includendo, oltre ai tradizionali schemi di pagamento, anche le soluzioni basate sui “token digitali di pagamento”, tra cui le stablecoin.
[3] Questi poteri, come peraltro previsto dall’articolo 94, paragrafo 1, lettera aa) del Regolamento (UE) 2023/1114, si estendono anche a terzi, quali gestori di domini, fornitori di connettività Internet, motori di ricerca, social network e piattaforme di distribuzione di applicazioni.
[4] La sospensione dei rimborsi può avvenire in situazioni di crisi temporanea, senza indicare insolvenza.
[5] In buona sostanza, le autorità competenti possono revocare l’autorizzazione di un emittente di token collegato ad attività nei seguenti casi: L’emittente non ha operato per oltre sei mesi o non ha utilizzato l’autorizzazione per 12 mesi. L’autorizzazione è stata ottenuta con mezzi irregolari, come false dichiarazioni. L’emittente non rispetta più le condizioni dell’autorizzazione. Ha violato gravemente le leggi. È soggetto a un piano di risanamento o ha deciso di smettere di operare. Costituisce una minaccia per il mercato, la stabilità finanziaria o i sistemi di pagamento, o presenta rischi di riciclaggio e finanziamento del terrorismo. Se la BCE o una banca centrale ritiene che il token minacci i sistemi di pagamento o la politica monetaria, l’autorizzazione può essere revocata o limitata. Le autorità devono comunicare senza ritardi all’ESMA o alle altre autorità eventuali informazioni rilevanti sulla revoca o sulle violazioni. L’ESMA aggiorna il registro pubblico.
[6] Le SIM classe 1 svolgono attività di negoziazione per conto proprio, o sottoscrizione e/o collocamento con assunzione a fermo, ovvero con assunzione di garanzia ed hanno un attivo di bilancio è pari o superiore a Euro 30 miliardi.
[7] Le autorità competenti possono revocare l’autorizzazione di un emittente di token in diverse situazioni: a) se l’emittente non svolge attività da oltre sei mesi o non usa l’autorizzazione per 12 mesi; b) se ha ottenuto l’autorizzazione in modo irregolare, presentando dichiarazioni false; c) se non rispetta più le condizioni dell’autorizzazione; d) se viola gravemente le normative; e) se è soggetto a un piano di risanamento; f) se rinuncia all’autorizzazione o decide di cessare l’attività; g) se le sue attività minacciano gravemente l’integrità del mercato o la stabilità finanziaria, o se espone a rischi di riciclaggio di denaro e finanziamento del terrorismo. L’emittente deve notificare le situazioni e) e f) all’autorità competente. Inoltre, le autorità revocano l’autorizzazione se la BCE o la banca centrale competente segnala che il token rappresenta una grave minaccia per i sistemi di pagamento o la politica monetaria. Infine, le autorità possono limitare l’importo dei token da emettere o imporre un importo nominale minimo se la BCE o la banca centrale competente considera il token una minaccia per il funzionamento dei sistemi di pagamento.
[8] Ovvero, una persona giuridica o un’impresa stabilita nell’Unione, che ha ricevuto l’apposita autorizzazione dall’autorità competente del suo Stato membro d’origine conformemente all’articolo 21.
[9] Le autorità competenti devono informare il prestatore di servizi per le cripto-attività entro cinque giorni lavorativi dal ricevimento della domanda di autorizzazione. Hanno 25 giorni lavorativi per valutare la completezza della domanda e, se mancano informazioni, stabiliscono un termine per la loro integrazione. Se la domanda rimane incompleta, le autorità possono rifiutarsi di riesaminarla. Quando la domanda è completa, informano rapidamente il richiedente. Prima di concedere o rifiutare l’autorizzazione, consultano le autorità competenti di altri Stati membri se il richiedente ha legami con enti regolati. Possono anche consultare le autorità antiriciclaggio e verificare la conformità alle normative sui paesi a rischio. Se ci sono legami stretti con altre entità, l’autorizzazione è concessa solo se non ostacolano la vigilanza. L’autorizzazione può essere rifiutata se ci sono motivi oggettivi di preoccupazione sulla gestione, sui membri dell’organo di amministrazione o sulla onorabilità degli azionisti. Entro 40 giorni lavorativi dalla ricezione di una domanda completa, le autorità devono prendere una decisione motivata, notificandola entro cinque giorni. Durante il periodo di valutazione, possono richiedere ulteriori informazioni, sospendendo il termine fino a 20 giorni lavorativi. Infine, devono comunicare all’ESMA l’autorizzazione concessa o il rifiuto entro due giorni lavorativi.
[10] Il piano evidenzia il numero medio trimestrale e il valore aggregato medio stimati delle operazioni giornaliere siano mantenuti al di sotto rispettivamente di un milione di operazioni e di 200 000 000 EUR.
[11] La riserva di attività è un insieme di beni destinati a garantire il valore dei token, separati dai beni dell’emittente.
[12] In questo caso, i creditori possono agire solo per la parte che spetta ai possessori, come indicato nell’articolo 39 del regolamento.
[13] I liquidatori sono professionisti nominati per gestire il processo di rimborso e liquidazione.
[14] Per inciso, le gravi irregolarità possono includere frodi, malversazioni o violazioni di leggi finanziarie.
[15] La liquidazione coatta amministrativa è una misura che comporta la chiusura forzata dell’emittente. Peraltro, l’amministrazione straordinaria è temporanea, mentre la liquidazione coatta è definitiva.
[16] In altre parole, il “patrimonio separato” si riferisce a una distinzione legale tra i beni di un prestatore di servizi e quelli dei suoi clienti che garantisce che i fondi dei clienti non possano essere utilizzati per coprire le obbligazioni del prestatore in caso di difficoltà finanziarie. Se il prestatore fallisce, i creditori non possono accedere ai fondi dei clienti, proteggendo così gli investitori e assicurando la sicurezza delle loro cripto-attività. Questo meccanismo di protezione aumenta, naturalmente, la fiducia dei clienti nei servizi finanziari offerti e favorisce la stabilità del mercato.
[17] Più in dettaglio, le sanzioni penali previste nel Capo I riguardano reati gravi che compromettono la sicurezza del sistema finanziario e la protezione degli utenti, come nel caso dell’emissione fraudolenta di token di moneta elettronica. Al contrario, le sanzioni amministrative (Capo II) si applicano a violazioni meno gravi, ma comunque significative, che non raggiungono la soglia del reato, ma che potrebbero influire sulla corretta gestione del mercato delle cripto-attività. Le sanzioni amministrative sono principalmente di natura pecuniaria ma, come vedremo, possono includere altre misure come l’interdizione da funzioni aziendali.
[18] In caso di violazioni relative a token di moneta elettronica, la Banca d’Italia segue una procedura dedicata, distinta da altre forme di violazioni del regolamento. Questo è dovuto alla natura specifica dei token digitali, che richiedono un approccio normativo specializzato per garantire che le emissioni e le transazioni siano conformi alle norme sulla protezione degli investitori e sulla prevenzione di frodi e manipolazioni di mercato.
