MiCA spiegata: un confronto tra MiCA (UE), VARA (Dubai) e MAS (Singapore)

MiCA Decoded è una serie settimanale di 12 articoli per Bitcoin.com News, scritta a quattro mani dai cofondatori e amministratori delegati di LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. LegalBison fornisce consulenza alle aziende del settore delle criptovalute e del FinTech in materia di licenze MiCA, richieste CASP e VASP e strutturazione normativa in Europa e oltre.

Il mito: tutti i principali quadri normativi sulle criptovalute stanno convergendo verso lo stesso modello

Quando i fondatori confrontano le giurisdizioni, la conversazione di solito prende una delle due direzioni. O trattano i regimi normativi come sostanzialmente equivalenti, che differiscono solo per costi e tempistiche, oppure li trattano come del tutto incomparabili, ciascuno così unico che il confronto è privo di significato. Nessuna delle due posizioni è accurata.

Il regolamento sui mercati delle cripto-attività (MiCA), il quadro normativo della Virtual Assets Regulatory Authority (VARA) di Dubai e il regime di licenze di Singapore ai sensi del Financial Services and Markets Act 2022 (FSM Act) e del Payment Services Act 2019 (PS Act) presentano somiglianze a prima vista. Tutti e tre richiedono una licenza. Tutti e tre impongono valutazioni di idoneità, requisiti patrimoniali e controlli antiriciclaggio. Tutti e tre sostengono di bilanciare l'innovazione con la protezione dei consumatori.

Ma al di là delle somiglianze, ogni regime riflette una specifica filosofia normativa, una teoria specifica su chi si assume il rischio delle criptovalute e perché, e una risposta specifica alla domanda su cosa sia effettivamente un'impresa di criptovalute autorizzata. Queste differenze non sono dettagli procedurali. Esse determinano se un modello di business specifico sia autorizzabile, quanta sostanza un'entità debba possedere e a cosa si impegna un fondatore quando presenta domanda.

Cosa dice effettivamente il regolamento: ambito di applicazione e servizi

I tre regimi partono da definizioni diverse di attività regolamentata, e tali scelte definitorie comportano conseguenze significative. Il MiCA definisce dieci categorie di servizi relativi alle cripto-attività, che vanno dalla custodia e dalla gestione di piattaforme di trading alla gestione di portafogli e alla consulenza in materia di investimenti in cripto-attività. Il quadro normativo crea un'unica autorizzazione, la licenza di fornitore di servizi relativi alle cripto-attività (CASP), che copre qualsiasi sottoinsieme di quei dieci servizi che il richiedente intenda fornire. L'ambito di applicazione è a livello UE, il che significa che un'unica licenza CASP è valida in tutti i 27 Stati membri dell'UE e nei 3 paesi del SEE (Norvegia, Islanda, Liechtenstein) senza necessità di presentare domande secondarie in ciascuno di essi. VARA organizza l'attività regolamentata in categorie distinte, tra cui servizi di broker-dealer, servizi di custodia, servizi di scambio, servizi di prestito e di assunzione di prestiti e servizi di consulenza, tra gli altri. Ogni categoria ha i propri requisiti normativi e la propria soglia di capitale versato. Un'impresa titolare di una licenza VARA per i servizi di scambio ha obblighi continuativi diversi rispetto a una licenziata solo per i servizi di consulenza. Singapore opera in due quadri normativi a seconda della natura dell'attività. Gli exchange di criptovalute e i fornitori di servizi di custodia che trattano token di pagamento digitali operano ai sensi del PS Act come Major Payment Institutions (MPI). Le società che forniscono servizi di token digitali al di fuori di Singapore, che rientra nell'ambito di applicazione definito dal FSM Act, sono regolamentate come fornitori di servizi di token digitali (DTSP) ai sensi della Parte 9 del FSM Act. Il FSM Act copre dieci tipi distinti di servizi all'interno del suo Primo Allegato, tra cui la negoziazione di token digitali, la facilitazione dello scambio di token digitali e la salvaguardia dei token digitali con il controllo sulle attività dei clienti.

La conseguenza pratica di questi diversi approcci di definizione dell'ambito di applicazione diventa evidente quando un fondatore cerca di mappare il proprio modello di business sull'architettura normativa. Ciò è particolarmente impegnativo per le piattaforme "border-case" come i mercati predittivi, che si collocano all'intersezione tra Web3 e gioco d'azzardo speculativo, dove i fondatori devono valutare attentamente se necessitano di un'autorizzazione crypto o di una licenza autonoma per il gioco d'azzardo. Come abbiamo visto in un precedente articolo, un protocollo DeFi potrebbe benissimo essere vietato ai sensi del MiCA. Ai sensi del VARA, lo stesso protocollo deve valutare se un'entità identificabile eserciti il controllo sulla piattaforma, cosa che il VARA valuta utilizzando un approccio basato sulla sostanza piuttosto che sulla forma. Nel quadro normativo di Singapore, il FSM Act si concentra sulla fornitura di servizi da parte di entità collegate a Singapore, il che significa che gli operatori di protocolli offshore strutturati al di fuori di Singapore potrebbero non rientrare affatto nel perimetro di licenza, ma solo se evitano realmente i punti di nesso prescritti.

Perché esiste la confusione: passaporto, portata geografica e intento normativo

La differenza strutturale più significativa tra i tre quadri normativi è il passaporto. Il MiCA lo prevede. Il VARA e Singapore no. Un CASP autorizzato in Estonia può notificare l'autorità competente dello Stato membro di origine e iniziare a offrire servizi ai clienti in tutta l'UE e il SEE senza ulteriori licenze. L'autorizzazione viaggia con l'entità. Questo passaporto europeo è un importante catalizzatore per modelli Web3 complessi come i giochi online che utilizzano cripto-asset, i quali spesso cercano di integrare la loro architettura crypto con, ad esempio, una licenza per il gioco d'azzardo online in Estonia. Per un'azienda che si rivolge a clienti al dettaglio dell'UE in più paesi, questa non è una semplice comodità, ma è l'argomento commerciale centrale a favore dell'autorizzazione MiCA. Un'unica infrastruttura di conformità serve 450 milioni di potenziali clienti.

La licenza VARA è specifica per Dubai. Regola l'attività relativa alle risorse virtuali condotta nell'Emirato di Dubai o rivolta a esso, come stabilito dalla Legge n. 4 del 2022 di Dubai. Un exchange con licenza VARA che serve clienti in tutto il CCG o a livello internazionale lo fa sulla base dei quadri normativi di altre giurisdizioni, oppure sulla base del fatto che non attiva requisiti di licenza locali in quei mercati. La licenza VARA di per sé non fornisce alcun meccanismo di passaporto transfrontaliero.

La licenza DTSP prevista dalla legge FSM di Singapore si applica alle entità che operano da Singapore o sono costituite a Singapore ma forniscono servizi di token digitali al di fuori di Singapore. Questo è l’ambito di applicazione previsto. Singapore non pretende di regolamentare l’attività offshore di imprese straniere a livello di consumatori al dettaglio attraverso la legge FSM, sebbene la MAS imponga restrizioni su ciò che i DTSP autorizzati e non autorizzati possono fare in relazione ai residenti di Singapore.

Queste differenze riflettono teorie normative realmente diverse. Il modello di passaporto del MiCA riflette la logica del mercato unico dell'UE, in cui la frammentazione dell'accesso ai servizi finanziari è considerata un fallimento normativo. L'ambito specifico di Dubai del VARA riflette una strategia di costruzione della giurisdizione, in cui l'obiettivo è rendere Dubai un hub, non regolamentare l'attività globale nel settore delle criptovalute. Il quadro normativo del FSM Act di Singapore riflette un approccio di gestione del rischio reputazionale, in cui la MAS ha chiarito che le licenze vengono concesse in circostanze estremamente limitate e che il regime è progettato per attrarre operatori di alta qualità piuttosto che favorire un ampio ingresso nel mercato.

Requisiti patrimoniali: tre risposte diverse alla stessa domanda

Tutti e tre i regimi impongono requisiti patrimoniali. Le cifre e la logica alla base non sono le stesse. Ai sensi del MiCA, il capitale minimo per un CASP varia da 50.000 EUR (Classe 1) a 125.000 EUR (Classe 2) fino a 150.000 EUR (Classe 3). Il regime MiCA applica anche un requisito di spese generali fisse continuative, il che significa che un'impresa deve detenere l'importo maggiore tra il minimo fisso e un quarto delle proprie spese generali fisse dell'anno precedente. Un CASP con 10 milioni di euro di spese operative annuali deve far fronte a un capitale minimo effettivo di 2,5 milioni di euro, indipendentemente dalla classe di servizio applicabile.

La VARA applica un modello di capitale versato specifico per attività e con minimi assoluti più elevati. I servizi di consulenza richiedono 100.000 AED. I fornitori di servizi di custodia richiedono un capitale di base pari al maggiore tra 600.000 AED e il 25% delle spese generali fisse annuali. Per i servizi di broker-dealer, il requisito patrimoniale dipende dagli accordi di custodia: chi utilizza un depositario autorizzato dalla VARA deve disporre del maggiore tra 400.000 AED e il 15% delle spese generali fisse annuali, mentre chi non utilizza un depositario autorizzato dalla VARA deve disporre del maggiore tra 600.000 AED e il 25% delle spese generali fisse annuali.

Analogamente, il requisito patrimoniale per i servizi di borsa, la categoria a più alta intensità di capitale, è pari al maggiore tra 800.000 AED e il 15% delle spese generali fisse annuali se il VASP utilizza un depositario autorizzato dalla VARA, e al maggiore tra 1.500.000 AED e il 25% delle spese generali fisse annuali in tutti gli altri casi.La VARA impone inoltre un requisito separato di attività liquide nette, che richiede ai VASP di detenere attività liquide correnti in modo tale che il loro surplus rispetto alle passività correnti sia pari ad almeno 1,2 volte le loro spese operative mensili, riconciliate quotidianamente e comunicate alla VARA mensilmente con aggregazione trimestrale. La VARA richiede inoltre un'assicurazione di responsabilità civile professionale, un'assicurazione per amministratori e dirigenti e un'assicurazione contro i reati commerciali per le attività conservate in hot wallet.

Il quadro DTSP della legge FSM di Singapore fissa un capitale minimo di 250.000 SGD, applicabile in modo uniforme a società, partnership e imprese individuali, con l'aspettativa espressa nelle linee guida della MAS che la riserva di capitale dovrebbe realisticamente coprire da sei a dodici mesi di spese operative. La MAS ha chiarito che i DTSP non sono soggetti alla stessa regolamentazione prudenziale degli istituti di raccolta e non dispongono di reti di sicurezza come l'assicurazione sui depositi. Il limite minimo di 250.000 SGD è una soglia di ingresso nel mercato, non una riserva prudenziale calibrata sul rischio nel senso del MiCA o del VARA. La differenza pratica non sta solo nei numeri. I requisiti del VARA in materia di attività liquide nette e di assicurazione creano un obbligo di solidità finanziaria a più livelli che il MiCA e la legge FSM affrontano in modo diverso o meno prescrittivo. Un'impresa che calcola la propria esposizione di conformità al VARA deve esaminare contemporaneamente il capitale versato, le attività liquide nette e l'adeguatezza assicurativa, e riconciliare tutti e tre questi elementi a frequenze specifiche, con il VARA come beneficiario designato del conto fiduciario di capitale o della fideiussione.

Filosofia di tutela dei consumatori: informativa sui rischi, adeguatezza e limiti di accesso

Per quanto riguarda la tutela dei consumatori, MiCA, VARA e Singapore hanno intuizioni diverse su ciò che le autorità di regolamentazione dovrebbero effettivamente impedire. MiCA tratta i fornitori di servizi di cripto-asset come operatori di servizi finanziari soggetti a obblighi di condotta, valutazioni di adeguatezza per la gestione del portafoglio e la consulenza, requisiti di best execution e obblighi di informativa continua. Per i detentori al dettaglio, la normativa richiede un'informativa significativa sui rischi nei white paper e nelle comunicazioni di marketing, ma i meccanismi specifici per la protezione dei detentori dipendono dal tipo di token. Per i detentori al dettaglio che acquistano cripto-asset diversi dai token riferiti ad attività (ART) e dai token di moneta elettronica (EMT) direttamente da un offerente, il MiCA impone un diritto di recesso di 14 giorni. Tuttavia, tale diritto di recesso non si applica agli ART e agli EMT; i detentori di questi token sono invece protetti da un diritto di rimborso permanente in qualsiasi momento nei confronti dell'emittente.

Ma il MiCA non limita l'accesso al trading di criptovalute da parte dei partecipanti al dettaglio. Esso presuppone che la partecipazione informata al dettaglio sia legittima e struttura le proprie regole di condotta di conseguenza. Il regolamento di condotta di mercato della VARA richiede accordi con i clienti, la gestione dei reclami e la classificazione degli investitori. La VARA classifica gli investitori in tre categorie: investitori al dettaglio, investitori qualificati e investitori istituzionali, con parametri di servizio che variano a seconda della classificazione. Le norme di marketing emanate dalla VARA nel 2024 sono tra le più dettagliate in qualsiasi giurisdizione sulle criptovalute, fornendo indicazioni specifiche e casi di studio illustrativi su ciò che costituisce marketing vietato, compreso un trattamento approfondito dei post sui social media, degli accordi con gli influencer e dei contenuti educativi che potrebbero sconfinare nella promozione.

L'approccio di Singapore è il più restrittivo dei tre nei confronti della partecipazione al dettaglio. La MAS ha costantemente messo in guardia il pubblico dalla speculazione sulle criptovalute dal 2017 e ha limitato la pubblicità dei servizi DPT negli spazi pubblici. Il documento di consultazione del 2022 sulle misure proposte per i servizi di token di pagamento digitale ha introdotto le proposte iniziali che richiedono ai DPTSP di valutare le conoscenze dei clienti al dettaglio prima di fornire qualsiasi servizio DPT, applicare restrizioni di accesso ai consumatori ed evitare di offrire incentivi per il trading al dettaglio.

La posizione dichiarata della MAS è che la regolamentazione non può e non deve dare ai clienti al dettaglio l'impressione che le piattaforme autorizzate siano luoghi di investimento sicuri. Le linee guida per la concessione delle licenze DTSP descrivono l'ammissione come un evento che si verifica in circostanze estremamente limitate, rafforzando l'idea che il quadro normativo di Singapore non sia progettato per un ampio accesso al mercato al dettaglio da parte dei fornitori autorizzati.

Sostanza operativa: come si presenta la realtà all'interno del regime

L'onere di conformità in corso in tutti e tre i regimi è sostanziale. Ma la natura di tale onere differisce. Il MiCA impone requisiti di governance, obblighi di continuità operativa in linea con il Digital Operational Resilience Act (DORA), quadri AML/CTF allineati alle direttive UE, rendicontazione continua e una valutazione obbligatoria di idoneità per il management e gli azionisti qualificati. Il regime richiede una sede di gestione effettiva nell'UE e almeno un amministratore residente nell'UE. L'autorizzazione è specifica per il servizio, il che significa che ogni licenza CASP specifica quale delle dieci categorie di servizi il titolare è autorizzato a fornire.

La VARA opera attraverso un sistema di regolamenti in cui diversi regolamenti si applicano contemporaneamente a tutti i VASP: il Regolamento aziendale, il Regolamento sulla conformità e la gestione dei rischi, il Regolamento sulla tecnologia e l'informazione e il Regolamento sulla condotta di mercato, oltre al regolamento specifico per ciascuna attività VA autorizzata. Il Regolamento sulla tecnologia e l'informazione richiede un Responsabile della sicurezza informatica, una politica di sicurezza informatica presentata alla VARA e un quadro di governance tecnologica e di valutazione dei rischi che copra cinque categorie di rischio definite. La VARA richiede una persona giuridica a Dubai, una chiara catena di proprietà con titolari effettivi identificabili e l'approvazione scritta per qualsiasi modifica sostanziale alla struttura societaria. Il quadro normativo della legge FSM di Singapore richiede una sede operativa permanente o una sede legale a Singapore con un rappresentante presente almeno dieci giorni al mese per un minimo di otto ore al giorno. Le linee guida per la concessione delle licenze DTSP richiedono un test di penetrazione dei servizi proposti prima della concessione della licenza, una valutazione da parte di un revisore esterno indipendente sulla tecnologia e la sicurezza informatica come condizione per l'approvazione di massima, e accordi di conformità proporzionati alle dimensioni e alla natura dell'attività. La MAS conduce colloqui con il personale dirigenziale chiave come parte standard della revisione, e ai consulenti e ai legali esterni è espressamente vietato partecipare a tali colloqui.

Ciascuno di questi requisiti sostanziali ha un significato per un'azienda che non ha mai operato in quel contesto normativo prima d'ora. Il requisito della VARA che il capitale versato sia garantito, sia esso detenuto in un conto fiduciario presso una banca degli Emirati Arabi Uniti che nomini la VARA come beneficiaria, sia garantito tramite una fideiussione da parte di una società di fideiussione autorizzata degli Emirati Arabi Uniti, è una dipendenza strutturale che deve essere stabilita prima dell'autorizzazione. Il requisito del colloquio previsto da Singapore implica che l'amministratore delegato e il responsabile della conformità debbano essere in grado di illustrare il modello di business, i controlli sui rischi e l'approccio alla conformità senza il supporto di consulenti. Non si tratta di ostacoli astratti, ma di condizioni operative.

Cosa abbiamo decifrato: implicazioni strategiche giurisdizionali

I tre quadri normativi non sono in concorrenza tra loro in senso stretto. Un'azienda che deve scegliere tra loro di solito sta decidendo quale mercato intende effettivamente servire e quale tipo di rapporto normativo è disposta a mantenere.

• Il MiCA è l'unico dei tre che fornisce accesso diretto a un mercato al dettaglio unificato su scala continentale attraverso un'unica autorizzazione. Per qualsiasi fornitore di servizi di cripto-asset la cui attività principale coinvolga clienti al dettaglio dell'UE, il MiCA non è facoltativo, ma è il quadro normativo che determina se tale attività possa operare legalmente nell'UE. Il periodo di transizione termina il 1° luglio 2026.
• La VARA è una licenza specifica per Dubai che serve le aziende la cui strategia commerciale è ancorata ai mercati degli Emirati Arabi Uniti e della regione MENA, o il cui marchio beneficia di una presenza autorizzata con sede a Dubai. I requisiti patrimoniali sono più elevati rispetto al MiCA in termini assoluti, le normative di marketing sono tra le più dettagliate a livello globale e l'architettura di conformità multi-book è sostanziale. Una licenza VARA non è valida in altre giurisdizioni, ma per le aziende che puntano alla regione del Golfo o che cercano di gestire una borsa valori conforme a Dubai in particolare, non c'è un'alternativa equivalente.
• La licenza DTSP di Singapore è la più restrittiva delle tre da ottenere ed è esplicitamente progettata per una ristretta categoria di richiedenti: aziende collegate a Singapore ma che conducono servizi di token digitali al di fuori di Singapore, e che possono dimostrare di essere già regolamentate secondo standard internazionali altrove, che il loro modello di business ha senso dal punto di vista economico e che la MAS non ha preoccupazioni riguardo alla loro struttura. Ottenere questa licenza non è un percorso semplice per entrare nel mercato. È più simile a un'approvazione normativa, disponibile per un numero ristretto di operatori che soddisfano una soglia elevata.

I regimi non sono funzionalmente intercambiabili, e non sono stati progettati per esserlo. Un'azienda che presenta domanda per tutti e tre contemporaneamente perché desidera una copertura globale sta assumendo tre impegni diversi nei confronti di tre autorità di regolamentazione diverse, ciascuna con una propria visione di come dovrebbe essere un'azienda di criptovalute autorizzata. Per ottenere il giusto coordinamento è necessario più di un processo di richiesta parallelo. È necessario comprendere cosa ogni autorità di regolamentazione stia effettivamente cercando di realizzare e se l'azienda possa impegnarsi in modo credibile in tal senso.

Questo articolo si basa su uno studio condotto da LegalBison nel maggio 2026. Il contenuto è solo a scopo informativo e non costituisce una consulenza legale.