MiCA spiegata: «Abbiamo una sede nell'UE» non basta: ecco cosa vogliono vedere realmente le autorità di regolamentazione

MiCA Decoded è una serie settimanale di 12 articoli per Bitcoin.com News, scritta a quattro mani dai cofondatori e amministratori delegati di LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. LegalBison offre consulenza alle aziende del settore crypto e FinTech in materia di licenze MiCA, richieste CASP e VASP e strutturazione normativa in Europa e oltre.

L'articolo di questa settimana è stato scritto da Krystian Lapka, avvocato presso LegalBison. Krystian è specializzato in transazioni societarie e commerciali transfrontaliere, oltre che nella gestione strategica del rischio all'intersezione tra diritto civile e common law.

---

La maggior parte dei fondatori che si appresta a presentare la propria prima domanda CASP comprende, almeno a livello astratto, che il MiCA richiede una presenza reale nell'UE. Ciò che sottovalutano è come l'autorità di regolamentazione definisca il termine "reale".

La tipica configurazione iniziale sembra coerente sulla carta: una sede legale in una giurisdizione UE favorevole, un amministratore nominato nei documenti di governance, sistemi ICT ospitati su cloud o gestiti dall'infrastruttura globale del gruppo e capitale versato depositato su un conto bancario appena aperto. Da dentro, sembra un'azienda UE. Dal punto di vista di un'Autorità Competente Nazionale, potrebbe sembrare una casella postale con un amministratore annesso.

Questo articolo illustra ciò che i requisiti di sostanza del MiCA richiedono effettivamente in termini di personale, tecnologia e resilienza finanziaria, e spiega perché le autorità di regolamentazione trattano ciascuna categoria come un test funzionale piuttosto che come un esercizio di documentazione. La preoccupazione alla base di tutto ciò è la stessa: prevenire le società "casella postale", entità che esistono sulla carta in una giurisdizione favorevole ma prive di qualsiasi attività economica significativa, capitale umano o capacità operativa al loro interno.

Il mito: presenza uguale sostanza

La logica normativa in questo caso è più antica del MiCA. Nella storica sentenza Cadbury Schweppes (Causa C-196/04), la Corte di giustizia dell'Unione europea ha stabilito che la libertà di stabilimento non può essere utilizzata per creare "accordi del tutto artificiali" privi di un'autentica attività economica. Il MiCA codifica tale principio direttamente nella regolamentazione delle cripto-attività.

L'articolo 59, paragrafo 2, del MiCA stabilisce che i CASP autorizzati devono avere la sede legale in uno Stato membro in cui svolgono almeno una parte dei loro servizi relativi alle cripto-attività, devono avere la sede di gestione effettiva all'interno dell'Unione e devono avere almeno un amministratore residente nell'Unione. La disposizione è breve. Ciò che si cela dietro di essa è notevolmente più impegnativo.

Il documento informativo dell'ESMA sull'autorizzazione dei CASP, sebbene non vincolante, indica chiaramente come le autorità nazionali competenti (NCA) dovrebbero interpretare questi requisiti nella pratica. Il divario tra il testo normativo e le aspettative delle autorità di vigilanza è il punto in cui molte domande incontrano difficoltà.

Personale: chi gestisce effettivamente questa entità

La soglia minima prevista dal MiCA è di un amministratore residente nell'UE. Le linee guida di vigilanza innalzano tale soglia. Il briefing dell'ESMA prevede che almeno due dirigenti senior supervisionino congiuntamente le operazioni quotidiane. La logica è semplice: un unico dirigente crea un rischio di concentrazione ed elimina i controlli interni richiesti da una struttura di governance funzionante. Due dirigenti con responsabilità definite e sovrapposte rappresentano la base di riferimento prevista.

La residenza non è di per sé sufficiente. Le linee guida indicano che, qualora un membro dell'organo di gestione non sia residente nella giurisdizione dell'NCA, tale persona dovrebbe essere in grado di partecipare alle riunioni di persona su richiesta dell'autorità entro due giorni lavorativi. Per le giurisdizioni in cui la vicinanza fisica all'autorità di vigilanza è importante dal punto di vista operativo, questo rappresenta un vincolo pratico sulla distanza massima dalla giurisdizione di origine a cui un amministratore può effettivamente trovarsi. L'impegno in termini di tempo è trattato con analoga serietà. La posizione dell'ESMA, come articolata nel suo Supervisory Briefing on Authorization of CASPs, è che i membri del consiglio di amministrazione esecutivo dovrebbero generalmente dedicare il 100% del loro tempo professionale al ruolo di CASP. Il doppio incarico, in cui la stessa persona ricopre funzioni esecutive in più entità, è consentito solo in circostanze limitate. Un dirigente che divide la propria attenzione tra il CASP e un'altra società del gruppo rischia di essere oggetto di scrutinio durante la valutazione di idoneità.

Le linee gerarchiche sono importanti tanto quanto i profili individuali. L’organo di gestione deve dimostrare che il controllo strategico e operativo risiede all’interno dell’entità UE, non presso una società madre in un paese terzo che prende le decisioni effettive e impartisce istruzioni verso il basso. Una controllata UE i cui dirigenti fungono funzionalmente da agenti di attuazione per una sede centrale non UE non è, in senso vigilanzistico, un’entità con una gestione UE effettiva.

La dimensione AML rafforza questo concetto. La persona responsabile della segnalazione di attività sospette (il MLRO) deve essere fisicamente presente, detenere un'autentica autorità all'interno dell'entità ed essere in grado di interagire direttamente con l'Unità di Informazione Finanziaria locale. Questo requisito riflette una tendenza globale più ampia: il Crypto-Asset Reporting Framework (CARF) del FATF e dell'OCSE opera secondo la stessa logica, estendendo i requisiti di sostanza e trasparenza oltre i confini dell'UE.

I requisiti di personale del MiCA e il CARF non sono sviluppi scollegati; riflettono uno standard internazionale convergente su come deve essere strutturato internamente un soggetto regolamentato nel settore delle criptovalute. Lo standard di idoneità collettiva di cui all’articolo 68, paragrafo 1, richiede che l’organo di gestione possieda conoscenze, competenze ed esperienza adeguate sia a livello individuale che collettivo. Come illustrato nella puntata precedente di questa serie, tale standard abbraccia la regolamentazione dei mercati finanziari tradizionali, l’infrastruttura DLT e la sicurezza informatica, nonché la governance organizzativa. Ciascuno di questi ambiti deve essere rappresentato all’interno dell’organico. Un team composto interamente da figure provenienti dal mondo delle criptovalute senza alcuna esperienza nei servizi finanziari regolamentati, o uno con una profonda esperienza nella finanza tradizionale ma privo della capacità di valutare il rischio on-chain, presenta lacune strutturali che il processo di valutazione non mancherà di far emergere.

Tecnologia: controllo, non solo hosting

Il regolamento DORA (Regolamento (UE) 2022/2554) si applica direttamente ai CASP e definisce il quadro dei requisiti di resilienza delle TIC. La domanda che le autorità di regolamentazione pongono in merito alla tecnologia non è quale infrastruttura utilizzi un'impresa. La domanda è chi la controlla.

L'infrastruttura cloud ospitata da AWS, Azure o fornitori simili è accettabile secondo l'attuale prassi di vigilanza. Il problema sorge quando l'entità autorizzata nell'UE non dispone di un controllo amministrativo significativo sui sistemi da cui dipende. Se la gestione delle chiavi di crittografia spetta al team IT globale della società madre, se i diritti di accesso ai dati dei clienti sono amministrati dall'esterno dell'UE o se il piano di ripristino di emergenza dipende dalle approvazioni di una sede centrale in un paese terzo, l'entità dell'UE non può dimostrare una reale indipendenza operativa.

La posizione dell'ESMA, come riflessa nei suoi materiali di consultazione, è che il team di gestione dell'UE deve detenere il controllo effettivo sull'infrastruttura ICT rilevante per le operazioni del CASP. La politica di continuità operativa e i piani di disaster recovery richiesti ai sensi dell'articolo 68, paragrafo 7, devono essere di proprietà dell'entità dell'UE ed essere da essa eseguibili, senza dipendere da una funzione globale che potrebbe o meno rispondere in caso di crisi.

Il test pratico è chiaro: se il team IT globale della società madre diventasse indisponibile da un giorno all'altro, l'entità UE potrebbe continuare a operare, accedere ai fondi dei clienti e restituire le attività ai clienti? Se la risposta è no, o non senza un significativo ricorso al personale extra-UE, la questione di fondo non è stata risolta.

I requisiti di conformità al GDPR e di governance dei dati si aggiungono al quadro DORA. Gli accordi sul trattamento dei dati, i rapporti tra titolare e responsabile del trattamento e le considerazioni sulla residenza dei dati fanno tutti parte dell'architettura tecnica che le autorità di regolamentazione esamineranno.

Finanziario: capitale che funziona davvero

L'articolo 67 stabilisce le garanzie prudenziali minime. I livelli di capitale sono definiti per classe di servizio:

L'importo minimo di capitale è il punto di partenza, non il limite massimo. Le misure di salvaguardia prudenziali devono essere pari al maggiore tra il capitale minimo permanente e un quarto delle spese generali fisse dell'anno precedente. Man mano che un CASP cresce e le sue spese generali fisse aumentano, questo secondo requisito diventa il vincolo vincolante. Quando le spese generali superano quattro volte il capitale versato iniziale, l'impresa deve passare al quadro basato sulle spese generali. Quel punto di svolta arriva più rapidamente di quanto molti operatori prevedano, e le autorità di regolamentazione si aspettano un monitoraggio proattivo piuttosto che un adeguamento reattivo. Un aspetto strutturale degno di nota: il capitale deve essere versato su un conto presso un istituto di credito formale. Un conto presso un IMI o un fornitore di servizi di pagamento non soddisfa questo requisito. Stabilire un rapporto bancario come impresa nel settore delle criptovalute richiede tempo e non è garantito. Avviare tale processo in anticipo, prima della presentazione formale della domanda, non è facoltativo. Si tratta di un vincolo di sequenza che influisce sull'intero calendario di autorizzazione. Il requisito che i bilanci utilizzati nel calcolo delle spese generali fisse siano debitamente sottoposti a revisione contabile o convalidati dalle autorità di regolamentazione nazionali aggiunge un'ulteriore dimensione amministrativa. Le entità di nuova costituzione che prevedono le proprie spese generali per i primi dodici mesi devono includere tali proiezioni nella domanda di autorizzazione, con la metodologia chiaramente documentata.

Esternalizzazione e soglia di sostanza

L'articolo 73 consente ai CASP di esternalizzare funzioni operative a terzi. Il vincolo è che l'esternalizzazione non può svuotare di contenuto l'entità autorizzata. La responsabilità rimane del CASP; la delega non trasferisce la responsabilità.

Il documento informativo di vigilanza dell'ESMA sull'autorizzazione dei CASP identifica la percentuale dei costi totali attribuibili a funzioni situate al di fuori dell'UE come un indicatore pratico per stabilire se l'esternalizzazione sia andata troppo oltre. Un CASP la cui maggioranza delle spese operative è destinata a fornitori di servizi extra-UE, anche se ben gestiti e affidabili, potrebbe trovarsi a dover rispondere alla domanda se l'entità UE abbia una capacità interna sufficiente per qualificarsi come un vero e proprio fornitore di servizi piuttosto che come un semplice canale.

La distinzione operata dall'autorità di regolamentazione è tra CASP che esternalizzano funzioni specifiche mantenendo il controllo e CASP che esternalizzano tutto ciò che è sostanziale mantenendo solo la forma giuridica. Quest'ultimo è un'entità fittizia, indipendentemente da come l'accordo sia descritto nella domanda.

Variazioni giurisdizionali: stessa legge, prassi diverse

Il MiCA è direttamente applicabile in tutti gli Stati membri dell'UE. I requisiti sostanziali sono uniformi. La prassi di vigilanza non lo è. Cipro, attraverso la CySEC, ha esplicitamente richiesto che la maggioranza del consiglio di amministrazione di un CASP sia composta da residenti fisici a Cipro. Per un consiglio composto da due amministratori esecutivi e due non esecutivi, ciò significa un minimo di tre amministratori residenti a Cipro. Ciò va oltre quanto richiesto dal testo del MiCA e riflette le direttive nazionali in materia di antiriciclaggio che si sovrappongono al quadro armonizzato dell'UE. L'Estonia presenta una dinamica diversa. Sotto il precedente regime di registrazione dei VASP gestito dall'Unità di Informazione Finanziaria, l'Estonia è diventata una delle giurisdizioni europee più accessibili per l'ottenimento delle licenze. Il passaggio al MiCA ha trasferito la responsabilità di vigilanza all'Autorità estone di vigilanza e risoluzione finanziaria, il che comporta un approccio istituzionale diverso alla revisione e alla vigilanza continua.

La situazione legislativa della Polonia, trattata nelle puntate precedenti di questa serie, ha prodotto un vuoto strutturale in cui la legge di attuazione nazionale del MiCA non è ancora stata promulgata, lasciando la KNF senza una designazione formale come autorità competente e i titolari di VASP senza un percorso applicativo CASP nazionale praticabile.

Queste variazioni non sono scappatoie o stranezze amministrative. Riflettono la realtà che un quadro giuridico armonizzato opera ancora attraverso culture di vigilanza nazionali, vincoli di personale e storie istituzionali. Scegliere una giurisdizione per l'autorizzazione CASP significa scegliere un regolatore, con tutte le implicazioni pratiche che ciò comporta.

Cosa richiede effettivamente il "vero e proprio stabilimento"

Nel loro insieme, i requisiti sostanziali previsti dal MiCA riflettono una filosofia di vigilanza piuttosto che una lista di controllo. L'autorità di regolamentazione vuole avere la certezza che, se qualcosa va storto, disponga di un ricorso significativo. Ciò significa che la leadership esecutiva sia fisicamente raggiungibile e legalmente responsabile ai sensi del diritto dell'UE. Significa che i sistemi ICT siano controllabili dall'entità UE senza dipendere da catene di autorizzazione extra-UE. Significa che il capitale sia realmente disponibile e dimensionato in base al rischio operativo effettivo.

E significa una governance in cui l'entità UE prende decisioni reali piuttosto che attuare istruzioni emanate da altrove. Le aziende che affrontano questo aspetto come un semplice esercizio di documentazione tendono a trovare il processo più difficile del previsto. Le aziende che costruiscono prima la sostanza e poi documentano ciò che hanno costruito tendono a trovarlo più semplice. La domanda non crea l'organizzazione. Descrive un'organizzazione che dovrebbe già esistere in gran parte.

Fonti:

• Briefing di vigilanza dell'ESMA sull'autorizzazione dei CASP
• Documento di consultazione dell'ESMA sul MiCA, 2° pacchetto
• Regolamento MiCA della MFSA

Questo articolo si basa su uno studio condotto da LegalBison nel maggio 2026. Il contenuto è solo a scopo informativo e non costituisce una consulenza legale.