Un organigramma con le giuste denominazioni di ruolo non basta per ottenere la licenza. Ciò che l’autorità di regolamentazione richiede è un’architettura di conformità: indipendenza documentata, competenze collettive in tre distinti ambiti di conoscenza e una reale sostanza istituzionale. Ecco come funziona questo standard nella pratica.
MiCA spiegata: perché l'autorità di regolamentazione considera il vostro team di conformità come un unico cervello
SCRITTO DA
CONDIVIDI
MiCA Decoded è una serie settimanale di 12 articoli per Bitcoin.com News, scritta a quattro mani dai cofondatori e amministratori delegati di LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. LegalBison fornisce consulenza alle aziende del settore delle criptovalute e del FinTech in materia di licenze MiCA, richieste CASP e VASP e strutturazione normativa in Europa e oltre.
Il mito: è sufficiente esternalizzare la figura del responsabile della conformità
Quando i fondatori iniziano a pianificare l'autorizzazione come fornitori di servizi di cripto-asset (CASP), la conversazione arriva quasi sempre allo stesso punto: "Allora, dobbiamo assumere un responsabile della conformità?" A volte la domanda è seguita da un'altra: "E un responsabile della segnalazione di riciclaggio di denaro (MLRO)? Tutto qui?"
La risposta a entrambe è sì. Ma considerare queste due nomine come il traguardo finale è l'errore di interpretazione più comune e grave di ciò che il MiCA richiede effettivamente a una funzione di conformità. Le autorità di regolamentazione non stanno verificando se l'organigramma abbia i titoli di lavoro corretti. Stanno valutando se l'organo di gestione, nel suo insieme, disponga dell'architettura di conoscenze, dell'indipendenza strutturale e della profondità operativa documentata necessarie per gestire un istituto finanziario regolamentato. Una licenza MiCA non viene rilasciata a una persona. Viene rilasciata a un organismo. Questa distinzione è alla base del motivo per cui così tante domande in fase iniziale si arenano o richiedono una significativa rielaborazione prima che un'Autorità Nazionale Competente (NCA) conceda l'autorizzazione.
Cosa significa effettivamente "collettivamente" nel regolamento
L'articolo 68, paragrafo 1, del MiCA è preciso su questo punto. I membri dell'organo di gestione devono possedere le conoscenze, le competenze e l'esperienza appropriate "sia individualmente che collettivamente". Quella singola parola, "collettivamente", svolge un ruolo normativo significativo.
Le linee guida congiunte dell’EBA e dell’ESMA sull’idoneità dei membri dell’organo di gestione e degli azionisti per le entità soggette al MiCA rendono espliciti i meccanismi di tale standard elencando le aree specifiche di esperienza professionale che l’organo di gestione deve possedere. Eira Järvi, avvocato senior presso LegalBison, ha sintetizzato i requisiti specifici nella tabella sottostante.
| Categoria di requisito | Descrizione dettagliata |
| Regolamentazione dei mercati finanziari | Comprensione degli strumenti finanziari e degli strumenti finanziari DLT, compresi i requisiti normativi previsti dalla SIBA e da altre leggi applicabili |
| Conformità AML/CTF | Conoscenza dei requisiti AML/CTF, comprese le strategie di identificazione, valutazione e mitigazione dei rischi |
| Attività virtuali | Conoscenza dei tipi di VA, inclusi i token referenziati ad asset e i token di moneta elettronica, nonché dei rischi associati a ciascuno di essi |
| Protezione dei dati | Comprensione degli obblighi in materia di protezione dei dati rilevanti per le operazioni della Società |
| Gestione del rischio | Comprensione dei principi e delle procedure di gestione del rischio, inclusi i rischi di mercato, di credito e di liquidità |
| Governance e controlli interni | Capacità di valutare l'efficacia degli accordi di governance, dei meccanismi di supervisione e dei controlli interni |
| Resilienza operativa digitale | Familiarità con i requisiti relativi alla resilienza operativa |
| Conoscenze strategiche e manageriali | Esperienza nella pianificazione strategica, nello sviluppo aziendale e nell'attuazione degli obiettivi aziendali |
| Gestione dei fornitori esterni | Comprensione degli accordi di outsourcing, della gestione dei fornitori terzi e dei relativi requisiti normativi |
| Comunicazione e supervisione | Capacità di presentare opinioni, discutere strategie e, ove opportuno, contestare le decisioni del management per garantire un'efficace supervisione |
| Contabilità e revisione | Capacità di interpretare le informazioni finanziarie, identificare le questioni chiave e comprendere i principi contabili e di revisione pertinenti |
| Conoscenze giuridiche e normative | Familiarità con i requisiti legali applicabili ai VASP, compresa l’emissione e la gestione dei VA |
Analizzando le linee guida dell'ESMA, risulta chiaro che il profilo complessivo dell'organo di gestione deve coprire in modo dimostrabile tre ambiti di conoscenza fondamentali, che includono tutti quelli descritti da Eira:
- Mercati finanziari tradizionali: quadri normativi, obblighi di tutela degli investitori, regole di condotta di mercato e standard operativi applicabili ai fornitori di servizi finanziari autorizzati.
- Infrastruttura della tecnologia di registro digitale (DLT) e sicurezza informatica: architettura blockchain, rischio a livello di protocollo, esposizione agli smart contract, modellizzazione delle minacce alla sicurezza informatica e le specifiche vulnerabilità operative derivanti dalla fornitura di servizi on-chain.
- Strategia aziendale e governance organizzativa: progettazione della gestione del rischio, architettura dei controlli interni, politica di governance e capacità di valutare e riesaminare periodicamente l’efficacia della conformità dell’impresa.
L'autorità di regolamentazione non si aspetta che una sola persona possieda competenze in tutti e tre i settori. L'aspettativa, formalizzata dal requisito dell'ESMA che le società presentino una valutazione della loro "idoneità collettiva", è che il team, nel suo insieme, copra tutti questi ambiti senza lacune significative.
Un organo di gestione composto interamente da figure provenienti dal settore finanziario tradizionale, senza nessuno in grado di valutare il rischio dell'infrastruttura DLT, è strutturalmente incompleto prima ancora che la domanda venga presentata. Lo stesso vale al contrario: un team di esperti di criptovalute con competenze tecniche approfondite, ma senza nessuno che comprenda il funzionamento dei mercati finanziari regolamentati, sarà sottoposto allo stesso scrutinio.
Il problema dell'impegno in termini di tempo di cui nessuno parla
C'è un secondo aspetto dello standard di idoneità collettiva che coglie di sorpresa i richiedenti. Le persone giuste devono esistere nella pratica, non solo sulla carta. Ogni membro dell'organo di gestione deve documentare, per iscritto, il proprio impegno minimo in termini di tempo nei confronti dell'impresa: in particolare, una stima del tempo dedicato al ruolo (con indicazioni sia annuali che mensili), insieme a una dichiarazione formale di tutte le altre cariche di amministratore esecutivo e non esecutivo attualmente ricoperte.
La bozza degli standard tecnici di regolamentazione dell'ESMA in materia di autorizzazione (tratta dal primo pacchetto di consultazione) è esplicita su questo punto. La valutazione verte sul fatto che ogni persona sia funzionalmente presente, non solo nominalmente elencata. Un amministratore non esecutivo con altri quattro incarichi in consigli di amministrazione e un rapporto di consulenza in materia di conformità con altre due società sarà sottoposto a un esame diretto. L'Autorità nazionale competente (NCA) deve accertarsi che l'organo di gestione sia effettivamente in grado di svolgere i propri compiti, non solo che i nomi giusti compaiano nella domanda.
Ciò è particolarmente importante per le società di criptovalute in fase iniziale che coinvolgono figure esperte in materia di conformità a tempo parziale o in qualità di consulenti per rafforzare una domanda di autorizzazione. L'autorità di regolamentazione verificherà esattamente quante ore al mese quella persona dedica all'attività e confronterà tale cifra con l'ambito del ruolo e i servizi che la società intende fornire. Una discrepanza tra responsabilità e impegno in termini di tempo è un campanello d'allarme, non una formalità.
Le funzioni di controllo interno: la struttura prima dei titoli
Comprendere l'idoneità collettiva a livello di organo di gestione è solo una parte del quadro. L'articolo 68, paragrafo 4, del MiCA richiede ai CASP di adottare politiche e procedure "sufficientemente efficaci per garantire la conformità". L'articolo 68, paragrafo 5, richiede personale con conoscenze adeguate a ogni livello dell'azienda. L'articolo 68, paragrafo 6, richiede all'organo di gestione di riesaminare periodicamente l'efficacia di tali disposizioni e di affrontare eventuali carenze riscontrate.
Il progetto di RTS dell'ESMA va oltre. Esso richiede alle imprese di identificare specifiche funzioni di controllo interno e di documentare, per ciascuna di esse:
- La linea gerarchica che porta direttamente all'organo di gestione.
- In che modo la funzione opera in modo indipendente dall'area aziendale che supervisiona.
- In che modo la funzione può accedere all'organo di gestione su base programmata e in caso di emergenza (ad hoc) quando viene rilevato un rischio di conformità significativo.
Le tre aree funzionali che costituiscono il nucleo di questo quadro di controllo interno sono:
- La funzione di conformità (obblighi normativi, politiche di condotta, procedure interne).
- La funzione di valutazione del rischio (identificazione del rischio, metodologia di valutazione, protocolli di escalation).
- La funzione di revisione interna (verifica indipendente dell'efficacia, valutazione periodica).
Nota: anche la funzione AML/CFT e la funzione di continuità operativa sono pilastri obbligatori della domanda di autorizzazione, ma l’ESMA le considera requisiti organizzativi distinti rispetto a questo quadro di controllo interno centrale. Il MiCA non assegna sempre queste precise etichette nel testo di Livello 1. Le RTS dell’ESMA chiariscono che queste aree centrali di controllo interno devono avere responsabili designati, ambiti di responsabilità documentati e indipendenza strutturale verificata.
È proprio su quest'ultimo punto che molte domande rivelano una lacuna strutturale. Una funzione di compliance che riferisce al Chief Operating Officer, il quale gestisce anche i ricavi e lo sviluppo del business, non è indipendente in senso normativo. Anche una funzione di rischio integrata all'interno del trading desk, che riferisce verso l'alto attraverso la stessa catena gerarchica del desk che dovrebbe monitorare, non soddisfa lo standard.
L'autorità di regolamentazione richiederà l'organigramma. Chiederà quindi a chi fa riferimento in pratica il responsabile della conformità, quali sono le altre responsabilità di tale persona e quali diritti di escalation detiene quando viene identificato un grave rischio di conformità. Costruire una domanda di licenza CASP attorno a una struttura di indipendenza reale richiede che l'architettura sia progettata prima della stesura della domanda, non adattata a posteriori.
Sede fisica: il problema dei direttori nominati
La domanda di autorizzazione deve documentare un luogo fisico di gestione effettiva all'interno dell'UE. Ciò significa l'indirizzo della sede centrale, le sedi delle filiali, se del caso, e l'effettiva area geografica in cui l'impresa prende le decisioni.
- Almeno un amministratore che eserciti un'autorità effettiva deve essere residente all'interno dell'Unione ed essere raggiungibile dall'Autorità nazionale competente dello Stato membro di origine.
- Un indirizzo registrato in una giurisdizione dell'UE supportato da un accordo di amministratore prestanome non soddisfa questo standard.
- Il requisito di sostanza implica che il peso decisionale umano debba effettivamente risiedere all'interno dell'Unione.
Le NCA valutano questo aspetto attraverso i campi relativi alla sede presenti nella domanda RTS e attraverso le informazioni relative all'impegno in termini di tempo di ciascun membro dell'organo di gestione.
Un amministratore fisicamente presente nell'UE per due settimane a trimestre non si qualifica come amministratore residente in alcun senso normativo significativo. Questo è un punto particolarmente importante per le imprese che operano da sedi centrali globali al di fuori dell'UE e che stanno lavorando per ottenere una licenza per le criptovalute in Europa. L'entità con sede nell'UE deve funzionare come una vera e propria unità decisionale, non come una facciata amministrativa per una struttura di gruppo che opera altrove.
La continuità operativa spetta al team di conformità
La continuità operativa è ampiamente considerata una responsabilità dell'IT. Ai sensi del MiCA e del Digital Operational Resilience Act (DORA), tale impostazione è errata per qualsiasi CASP autorizzato.
La politica di continuità operativa deve essere di proprietà, approvata e gestita dall'organo di gestione. Il DORA (Regolamento UE 2022/2554) disciplina gli elementi specifici delle tecnologie dell'informazione e della comunicazione, e i CASP rientrano nell'ambito di applicazione del DORA in quanto entità finanziarie. I due quadri normativi operano simultaneamente e la funzione di conformità deve essere in grado di gestirli entrambi contemporaneamente.
Il secondo documento di consultazione MiCA dell'ESMA ha introdotto un obbligo specifico per le imprese che operano su tecnologie di registro distribuito senza autorizzazione (blockchain pubbliche come Ethereum): una comunicazione proattiva e strutturata con i clienti durante qualsiasi interruzione del servizio a livello di DLT.
L'impresa deve aggiornare i clienti sull'eventuale esposizione al rischio dei loro fondi e fornire un quadro chiaro di come viene gestita la ripresa del servizio. L'impresa rimane pienamente responsabile per eventuali perdite derivanti dai propri contratti intelligenti, indipendentemente dal fatto che la blockchain sottostante sia senza autorizzazione.
Non si tratta di una normale politica in caso di interruzione dei servizi IT. Assumersi questo obbligo in modo significativo richiede che l'organo di gestione comprenda il rischio dell'infrastruttura DLT a un livello che va ben oltre la conoscenza tecnica generale. Il team di conformità che è in grado di descrivere il rischio blockchain solo in termini generali non sarà in grado di redigere, revisionare o mantenere una politica di continuità operativa che soddisfi il controllo normativo.
Gli standard dei dati come capacità di conformità
Le responsabilità della funzione di conformità si estendono all'architettura dei dati. I CASP che gestiscono piattaforme di trading devono utilizzare lo standard Digital Token Identifier (DTI) per tutta la tenuta dei registri e la rendicontazione alle autorità nazionali competenti (NCA). Il DTI identifica in modo univoco ogni cripto-asset e lo collega alla specifica DLT su cui è emesso, negoziato o regolato. Ciò consente alle autorità di regolamentazione di svolgere una vigilanza transfrontaliera con dati coerenti e comparabili.
Gli standard di messaggistica ISO 20022 regolano il formato dei dati transazionali inviati alle autorità. I dati sulla trasparenza pre- e post-negoziazione devono essere divulgati attraverso canali pubblici non discriminatori e leggibili da macchina per prevenire gli abusi di mercato. Ciascuno di questi requisiti ha una dimensione tecnica che il team di conformità deve gestire direttamente, senza delegarla ciecamente all'IT.
Un'impresa che considera la tenuta dei registri come un'attività generica di amministrazione del sistema, senza una supervisione della conformità agli standard specifici sui dati richiesti dall'RTS, dovrà affrontare problemi di vigilanza dopo l'autorizzazione. Gli standard esistono proprio per consentire alle autorità nazionali competenti (NCA) di confrontare i registri di centinaia di CASP in un'unica analisi. Un'impresa che non è in grado di produrre dati nel formato richiesto è un'impresa che non può dimostrare la propria conformità continua.
Questo è il significato pratico dello standard del "cervello unico". Il team di conformità integra la consapevolezza normativa, la struttura di governance, la conoscenza operativa della DLT e l'alfabetizzazione tecnica dei dati in un'unica capacità operativa. Nessuno di questi elementi può essere esternalizzato interamente a un'altra funzione.
Costruire il team prima di costruire la domanda
La domanda di autorizzazione per una licenza CASP MiCA documenta un'istituzione già esistente. Questo è il modello mentale che distingue le aziende che procedono in modo efficiente attraverso il processo da quelle che si arenano. Le aziende che perseguono la licenza per gli exchange di criptovalute, l'autorizzazione alla custodia di asset digitali o qualsiasi altra licenza CASP in Europa devono considerare l'architettura del team come il primo risultato da raggiungere, non come qualcosa che si concretizza mentre la domanda viene redatta.
La funzione di conformità deve essere strutturalmente indipendente prima che venga redatto il primo documento. La copertura delle conoscenze collettive dell'organo di gestione deve essere valutata e le eventuali lacune devono essere colmate prima che inizi la revisione da parte dell'Autorità Nazionale Competente (NCA). Le dichiarazioni relative all'impegno in termini di tempo devono essere realistiche prima di essere presentate.
La stessa logica si applica a livello globale. Le aziende che richiedono una licenza VASP in giurisdizioni al di fuori dell'UE si trovano sempre più spesso di fronte a standard paralleli: le autorità di regolamentazione in Medio Oriente, Asia-Pacifico e nelle Americhe stanno convergendo su requisiti simili, che privilegiano la sostanza rispetto alla forma, per la progettazione della funzione di conformità. Lo standard UE, che è attualmente il più dettagliato e tecnicamente specifico in vigore, è un utile punto di riferimento per qualsiasi team che miri a ottenere lo status di soggetto regolamentato in qualsiasi giurisdizione importante.
'Noi siamo DeFi, quindi il MiCA non si applica a noi.' Mi dispiace, ma l'EBA e l'ESMA la pensano diversamente
MiCA mette in discussione le affermazioni sulla decentralizzazione della DeFi, mentre le autorità di regolamentazione valutano le norme in materia di controllo, governance e conformità. read more.
Leggi ora
'Noi siamo DeFi, quindi il MiCA non si applica a noi.' Mi dispiace, ma l'EBA e l'ESMA la pensano diversamente
MiCA mette in discussione le affermazioni sulla decentralizzazione della DeFi, mentre le autorità di regolamentazione valutano le norme in materia di controllo, governance e conformità. read more.
Leggi ora'Noi siamo DeFi, quindi il MiCA non si applica a noi.' Mi dispiace, ma l'EBA e l'ESMA la pensano diversamente
Leggi oraMiCA mette in discussione le affermazioni sulla decentralizzazione della DeFi, mentre le autorità di regolamentazione valutano le norme in materia di controllo, governance e conformità. read more.
Punto chiave Il mito: la nomina di un responsabile della conformità e di un MLRO soddisfa gli obblighi di conformità del MiCA. La realtà: il MiCA richiede un organismo di conformità funzionante, non un elenco di titoli di lavoro.
Tre elementi determinano se un organo di gestione soddisfa lo standard: Copertura collettiva delle competenze. Il team, considerato come un'unità, deve coprire le competenze tradizionali dei mercati finanziari, la padronanza della DLT e della sicurezza informatica e la capacità di governance organizzativa. Le lacune in uno qualsiasi di questi ambiti costituiscono carenze strutturali, non preferenze di profilo.
Indipendenza strutturale documentata. Le funzioni fondamentali di controllo interno (conformità, valutazione dei rischi e audit interno) devono avere un responsabile designato, una linea di riporto diretta all’organo di gestione e un’indipendenza verificata dall’area di business che supervisionano. (Nota: AML/CFT e continuità operativa sono ugualmente obbligatori, ma trattati come pilastri organizzativi distinti). Un organigramma che fa passare la conformità attraverso una funzione generatrice di ricavi non supererà l’esame delle autorità nazionali di vigilanza.
Sostanza istituzionale reale. L'impegno in termini di tempo deve essere autentico e documentato. La presenza fisica nell'UE deve riflettere l'effettivo peso decisionale, non un semplice indirizzo di registrazione. La politica di continuità operativa deve essere di competenza dell'organo di gestione. La rendicontazione dei dati deve soddisfare gli standard DTI e ISO 20022 sin dal primo giorno. La domanda di licenza CASP è il risultato. L'architettura di conformità è la base. Costruite prima le fondamenta.
Questo articolo si basa su uno studio condotto da LegalBison nell'aprile 2026. Il contenuto è solo a scopo informativo e non costituisce una consulenza legale.
