Pensate che i progetti DeFi siano esenti dalla normativa europea? Ripensateci. Le autorità di regolamentazione vanno oltre l’architettura tecnica per valutare chi detiene effettivamente il controllo operativo. Scoprite perché l’esenzione per i progetti “completamente decentralizzati” è estremamente limitata e come questo criterio della “sostanza rispetto alla forma” determini i vostri obblighi ai sensi del MiCA.
'Noi siamo DeFi, quindi il MiCA non si applica a noi.' Mi dispiace, ma l'EBA e l'ESMA la pensano diversamente
SCRITTO DA
CONDIVIDI
MiCA Decoded è una serie settimanale di 12 articoli per Bitcoin.com News, scritta a quattro mani dai cofondatori e amministratori delegati di LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. LegalBison fornisce consulenza alle aziende del settore delle criptovalute e del FinTech in materia di licenze MiCA, richieste CASP e VASP e strutturazione normativa in Europa e oltre.
L'articolo di questa settimana è stato scritto da Eira Järvi, avvocato senior presso LegalBison, responsabile della ricerca normativa globale e dell'implementazione delle licenze CASP e di altre licenze complesse. Eira implementa attivamente la ricerca globale nei prodotti attivi rivolti ai clienti.
La DeFi in ascesa
La finanza decentralizzata è in ascesa negli ultimi anni. Il settore delle criptovalute sta assistendo alla nascita di nuovi progetti DeFi quasi quotidianamente. Nuove reti blockchain, protocolli e applicazioni decentralizzate (dApp) costituiscono un punto di riferimento per le discussioni degli appassionati di DeFi e per le newsletter. Esse ruotano attorno ai temi dell’efficienza, della trasparenza, della componibilità, della privacy e dell’accessibilità della DeFi. Con l'entrata in vigore del MiCAR (Regolamento sui mercati delle cripto-attività), molti team di sviluppo DeFi stanno ora valutando di espandere i propri progetti nei mercati dell'UE. Tuttavia, in questo contesto, un argomento rimane più cruciale di tutti gli altri. In che modo il team garantisce che il progetto che sta realizzando sia conforme alla legge?
Per la maggior parte delle startup DeFi, la risposta può sembrare semplice: il MiCAR prevede un'esenzione per i progetti "completamente decentralizzati" su cui molte startup fanno affidamento con sicurezza per giustificare la loro fiducia nel lancio dei propri progetti nell'UE senza cercare alcuna consulenza legale, per non parlare della conformità al MiCAR. Questo articolo cerca di sfatare la credenza popolare secondo cui, se un progetto è sufficientemente decentralizzato, il MiCAR non è motivo di preoccupazione per il team. Mi dispiace, ma le linee guida normative sfatano questo mito!
Il mito: il MiCA non riguarda la DeFi e i fornitori di servizi non custodiali
L'articolo 3(1), punto 1 del MiCAR definisce la tecnologia di registro distribuito ("DLT") come "una tecnologia che consente il funzionamento e l'uso di registri distribuiti", mentre il punto 2 definisce "registro distribuito" come "un archivio di informazioni che conserva le registrazioni delle transazioni e che è condiviso e sincronizzato tra un insieme di nodi della rete DLT utilizzando un meccanismo di consenso".
Il considerando 22 del MiCAR fornisce le indicazioni più importanti sul rapporto tra la DeFi e il regolamento. Esso afferma che il MiCAR è concepito per comprendere i servizi e le attività svolti, forniti o controllati, direttamente o indirettamente, da persone fisiche o giuridiche e da determinate imprese che prestano servizi relativi alle cripto-attività, anche nei casi in cui sia coinvolta la decentralizzazione.
Tuttavia, il considerando contiene la seguente formulazione cruciale: “Laddove i servizi relativi alle cripto-attività siano forniti in modo pienamente decentralizzato senza alcun intermediario, essi non dovrebbero rientrare nell’ambito di applicazione del presente regolamento.” L’importanza di questa disposizione risiede in due frasi chiave: “pienamente decentralizzato” e “senza alcun intermediario.” Il testo del regolamento stesso non definisce “pienamente decentralizzato” in nessuna parte delle sue disposizioni operative. L’unica fonte di questo termine si trova nel considerando 22, che fa parte del preambolo piuttosto che delle disposizioni formali giuridicamente vincolanti. Il considerando 83 prevede inoltre che «i fornitori di hardware o software di portafogli non custoditi non dovrebbero rientrare nell’ambito di applicazione del presente regolamento», senza definire esplicitamente in che misura la fornitura di hardware o software costituisca un servizio completamente decentralizzato escluso dal MiCAR.
Il considerando 109 riconosce queste difficoltà interpretative e affida l'elaborazione di progetti di standard tecnici di regolamentazione e di attuazione all'Autorità bancaria europea («EBA») e all'Autorità europea degli strumenti finanziari e dei mercati («ESMA»).
Nel determinare se i servizi rientrino nell’ambito di applicazione del MiCAR, dal considerando 22 e dalle successive linee guida normative si possono ricavare due condizioni:
- In primo luogo, nessuna singola entità può esercitare il controllo sui parametri del protocollo, sui meccanismi di governance o sull'infrastruttura tecnologica di base su cui opera il servizio di cripto-asset.
- In secondo luogo, gli utenti devono accedere a quella che costituisce una “risorsa di interesse comune” piuttosto che acquistare servizi da un fornitore designato con cui esiste un rapporto contrattuale di fornitura di servizi.
Queste condizioni sono fondamentali per valutare se un progetto DeFi rientri o meno nell’ambito di applicazione del MiCAR.
La trappola di sopravvalutare lo stato di decentralizzazione
In un mondo caratterizzato da tecnologie in rapida evoluzione, instabilità geopolitica e sistemi finanziari frammentati che dipendono da processi manuali e intermediari, la DeFi rappresenta una soluzione trasparente e senza confini che cambia radicalmente il modo in cui le transazioni vengono avviate, elaborate ed eseguite. Invece dei modelli tradizionali del sistema finanziario, in cui le transazioni devono prima passare attraverso una serie di intermediari e backend istituzionali prima di essere eseguite e regolate, nella DeFi gli utenti effettuano transazioni interagendo direttamente con la rete blockchain sottostante attraverso protocolli e interfacce decentralizzati, eliminando così la necessità di intermediari e infrastrutture di sistema complesse.
Nel mondo del diritto on-chain, la linea di demarcazione tra la piena decentralizzazione e la sua assenza è più sottile di quanto possa sembrare. Prima di poter iniziare qualsiasi lavoro, un avvocato che collabora con un progetto Web3 decentralizzato dovrà innanzitutto capire se il progetto possa essere considerato decentralizzato, analizzando e valutando i livelli del progetto, il loro stato di decentralizzazione, nonché i piani del team in materia di proprietà e governance.
In questa fase iniziale della strategia legale, ci sono molti elementi tecnici e architettonici che devono essere valutati da un avvocato per giungere a un accordo definitivo sullo stato di decentralizzazione del progetto. Mentre il team può essere convinto che il proprio progetto sia completamente decentralizzato, con tutti i suoi elementi, come la DLT, il protocollo e la dApp, in realtà la valutazione iniziale potrebbe rivelare il contrario.
Per raggiungere uno stato di vera e completa decentralizzazione, tutti gli elementi del progetto devono soddisfare i criteri di piena autonomia e assenza di influenze interne o esterne in tutto l'ecosistema del progetto e nei suoi numerosi elementi, inclusi, ma non limitati a, governance, proprietà, interfacce, ecc., cosa che, a un esame più attento, pochissimi progetti riescono a realizzare. Questo concetto può essere illustrato al meglio da un evento recente nel mondo DeFi. Il 21 aprile 2026, il Consiglio di Sicurezza di Arbitrum ha congelato oltre 30 ETH (circa 71 milioni di dollari) associati all'exploit di Kelp DAO. Un organo di governo composto da 12 membri è stato in grado di reagire alla compromissione trasferendo i fondi in un portafoglio intermedio, che può essere sbloccato solo tramite un voto di governance, rendendo di fatto i fondi bloccati nel portafoglio.
Questo esempio evidenzia l'esistenza di un controllo operativo discrezionale: anche se Arbitrum è, per definizione, una rete di livello 2 senza autorizzazione e apparentemente completamente decentralizzata, l'esercizio del controllo sulle risorse degli utenti è proprio ciò che non supererebbe il test di piena decentralizzazione del MiCAR. In questo caso, la sostanza prevale sulla forma e determina l'ambito di applicazione della normativa, indipendentemente dall'assenza di autorizzazione del registro sottostante.
Pertanto, una semplice affermazione secondo cui un progetto DeFi è completamente decentralizzato non è sufficiente per escludere l'obbligo di conformarsi al MiCAR e ottenere la necessaria autorizzazione come CASP. Gli avvocati valuteranno principalmente l'architettura tecnica del progetto, la logica di proprietà e le regole di governance, il che significa che invochano la valutazione della sostanza rispetto alla forma piuttosto che la semantica. Gli organismi di regolamentazione europei, come l'Autorità bancaria europea (EBA) e l'Autorità europea degli strumenti finanziari e dei mercati (ESMA), sostengono pienamente questo approccio.
Il punto di vista dell'ESMA e dell'EBA sulla DeFi
La prospettiva dell’ESMA sulla finanza decentralizzata si è evoluta in modo sostanziale attraverso molteplici pacchetti di consultazione e, soprattutto, attraverso la Relazione congiunta con l’EBA sui recenti sviluppi nelle cripto-attività pubblicata il 13 gennaio 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), redatta ai sensi dell’articolo 142 del MiCAR.
Il ragionamento dell’ESMA sullo spettro della decentralizzazione è fondamentale per questa valutazione. Nel suo secondo pacchetto di consultazioni sugli standard tecnici di regolamentazione e di attuazione, l’ESMA ha proposto una definizione di “tecnologia di registro distribuito senza autorizzazione” come “una tecnologia che consente il funzionamento e l’uso di registri distribuiti in cui nessun soggetto controlla il registro distribuito o il suo utilizzo né fornisce servizi fondamentali per l’uso di tale registro distribuito, e i nodi della rete DLT possono essere configurati da qualsiasi persona che soddisfi i requisiti tecnici e i protocolli”.
Questa definizione attinge dal documento consultivo del Consiglio per la stabilità finanziaria, che distingue tra DLT senza autorizzazione (completamente decentralizzata), DLT autorizzata che consente un certo grado di centralizzazione e piattaforme centralizzate. L’ESMA riconosce che “l’esatta portata di questa esenzione rimane incerta” e ritiene che la valutazione di ciascun sistema debba essere effettuata caso per caso, tenendo conto delle caratteristiche del sistema.
L’ESMA riconosce che la decentralizzazione non è un concetto binario, ma esiste su uno spettro che va dalla centralizzazione a vari gradi di decentralizzazione: «Con i DEX, la blockchain prende il posto dell’intermediario. I DEX utilizzano codice autonomo (spesso denominato smart contract) per eseguire operazioni direttamente sul livello di regolamento della blockchain (con diversi gradi di decentralizzazione)».
Il rapporto congiunto del gennaio 2025 fornisce dati empirici a sostegno del quadro analitico. La DeFi rappresenta circa il quattro per cento della capitalizzazione di mercato globale delle cripto-attività, con tassi di penetrazione leggermente più elevati osservati tra gli utenti con sede nell’UE. La relazione conferma che pochissimi sistemi DeFi raggiungono una decentralizzazione veramente completa nel modo contemplato dal considerando 22. La relazione rileva che anche i protocolli apparentemente decentralizzati presentano tipicamente entità identificabili che esercitano vari gradi di controllo sulla governance, sugli aggiornamenti del protocollo, sull’implementazione degli smart contract e sulle strutture tariffarie.
Per quanto riguarda i fornitori di hardware e software di servizi ausiliari ai CASP, la posizione che emerge dalle linee guida dell’ESMA è che le entità che si limitano a creare e vendere strumenti di sviluppo software, applicazioni o piattaforme per la fornitura o il trading di cripto-asset non sono automaticamente classificate come CASP se le loro attività si limitano alla creazione e alla vendita di detti servizi.
Tuttavia, le entità che supervisionano la creazione e lo sviluppo di software o piattaforme per la fornitura di servizi relativi alle cripto-attività possono essere considerate CASP se mantengono il controllo o un'influenza sufficiente sulle cripto-attività, sul software, sul protocollo, sulla piattaforma o sui rapporti commerciali con gli utenti. Il criterio determinante è quindi quello del controllo e dell'influenza piuttosto che del mero coinvolgimento tecnologico.
Il ruolo dei rapporti contrattuali nella definizione della piena decentralizzazione è ulteriormente sottolineato dall’analisi dell’ESMA dell’articolo 73 del MiCAR, che riguarda l’esternalizzazione di servizi o attività a terzi. L’ESMA conclude che non esiste una base giuridica per classificare le DLT senza autorizzazione utilizzate dai CASP come fornitori terzi, poiché non è richiesto alcun rapporto contrattuale formale per interagire con le blockchain senza autorizzazione. Ciò porta alla conclusione significativa che le DLT senza autorizzazione possono essere considerate una forma di risorsa di “bene comune”, mentre le DLT autorizzate gestite da imprese commerciali comportano tipicamente accordi contrattuali formali e costituiscono quindi un rapporto di “fornitore terzo”. Questa distinzione è la spina dorsale dell’ulteriore valutazione contenuta nel presente memorandum.
Il Rapporto congiunto affronta inoltre i rischi di ML/TF e le considerazioni relative alle TIC applicabili ai sistemi decentralizzati. L'assenza di controlli tradizionali AML/CFT nei sistemi puramente decentralizzati presenta significative preoccupazioni normative, poiché le procedure di know-your-customer e il monitoraggio delle transazioni sono tipicamente assenti o incompleti. Il Rapporto rileva che i rischi ICT sono tra le principali preoccupazioni, con la maggior parte delle perdite finanziarie legate alla DeFi attribuibili a vulnerabilità degli smart contract, manipolazione degli oracoli e attacchi di front-running, compreso lo sfruttamento del valore massimo estraibile (“MEV”). Questi fattori di rischio, pur non essendo determinanti per la classificazione normativa, informano l’approccio di vigilanza nei confronti delle entità che operano in vari punti dello spettro della decentralizzazione.
Quadro di riferimento del GAFI e rapporti contrattuali
Le linee guida del FATF sui VASP e sulla DeFi forniscono un quadro analitico di base che è stato adottato e ulteriormente sviluppato dall'ESMA. Secondo le Linee guida aggiornate del FATF per un approccio basato sul rischio alle attività virtuali e ai fornitori di servizi di attività virtuali (ottobre 2021), una persona che crea o vende un'applicazione software o una piattaforma di attività virtuali potrebbe non costituire un fornitore di servizi di attività virtuali quando si dedica esclusivamente alla creazione o alla vendita dell'applicazione o della piattaforma, con l'enfasi sulla parola esclusivamente.
Nei casi in cui i creatori, i proprietari, gli operatori o altri individui sembrano mantenere il controllo o esercitare un'influenza sufficiente sugli accordi DeFi, anche se tali accordi appaiono decentralizzati, essi possono rientrare nella definizione di VASP del FATF se forniscono o facilitano attivamente servizi VASP. Il controllo o l’influenza significativa possono manifestarsi attraverso il controllo sulle risorse o su aspetti del protocollo del servizio, e attraverso un rapporto commerciale continuativo tra l’operatore e gli utenti, anche se tale controllo è esercitato tramite uno smart contract o, in alcuni casi, tramite protocolli di voto. Il ragionamento del FATF pone le basi per la valutazione della decentralizzazione ai sensi del MiCAR stabilendo due principi fondamentali:
- In primo luogo, i proprietari e gli operatori e il loro grado di controllo sulla DeFi possono spesso essere identificati in base al loro rapporto con le attività svolte piuttosto che in base alle etichette applicate all'accordo.
- In secondo luogo, la centralizzazione parziale non può essere automaticamente esclusa anche se nel servizio sono coinvolte parti diverse dal principale fornitore di servizi o se parti del processo sono automatizzate tramite contratti intelligenti.
Il ruolo dei rapporti contrattuali nella valutazione della decentralizzazione merita particolare attenzione. L’articolo 73 del MiCAR, che riguarda l’esternalizzazione di servizi o attività a terzi per lo svolgimento di funzioni operative, disciplina il modo in cui i CASP devono affrontare i rischi associati ai fornitori terzi.
Tuttavia, come riconosce il secondo documento di consultazione dell’ESMA, non esiste una base giuridica per classificare le DLT senza autorizzazione utilizzate dai CASP come fornitori terzi, poiché non è richiesto alcun rapporto contrattuale formale, come un accordo sul livello di servizio, per interagire con le blockchain senza autorizzazione. L’ESMA conclude che le DLT senza autorizzazione possono essere considerate una forma di risorsa di “bene comune”, mentre le DLT autorizzate gestite da imprese commerciali comportano tipicamente contratti disponibili per prodotti blockchain white-label, costituendo così un rapporto con un fornitore terzo.
Questa conclusione ha profonde implicazioni per la valutazione normativa delle piattaforme costruite su infrastrutture senza autorizzazione. Se una piattaforma implementa contratti intelligenti su una blockchain senza autorizzazione come Ethereum, l’uso di tale infrastruttura blockchain non stabilisce, di per sé, un rapporto di fornitore di servizi di terze parti.
Tuttavia, se l’operatore della piattaforma mantiene il controllo sugli smart contract, può aggiornarne o modificarne le funzionalità, controlla l’accesso all’interfaccia front-end o detiene chiavi amministrative in grado di mettere in pausa, congelare o modificare il protocollo, questi elementi centralizzati fanno rientrare l’operatore nell’ambito di applicazione del MiCAR, indipendentemente dalla natura senza autorizzazione del registro sottostante.
Il test è quindi funzionale piuttosto che tecnologico: si chiede quale controllo l'operatore eserciti effettivamente, non su quale tecnologia sia basato il sistema.
Punti chiave:
Tenendo conto dell'analisi che precede, e in particolare del ragionamento dell'ESMA esposto nei documenti di consultazione e nella Relazione congiunta del gennaio 2025, riteniamo che le seguenti proposizioni siano valide ai fini della presente valutazione.
- In primo luogo, fintantoché nessun individuo o entità controlli un protocollo o una piattaforma DeFi e il suo utilizzo, e nessun individuo svolga un ruolo fondamentale e indispensabile nel suo funzionamento senza il quale la tecnologia non possa essere utilizzata, il protocollo o la piattaforma DeFi può essere considerato esente dall’ambito di applicazione del MiCAR in virtù del fatto di essere “completamente decentralizzato” ai sensi del considerando 22.
- In secondo luogo, il semplice sviluppo di software o strumenti ausiliari per i CASP non è considerato un servizio di cripto-asset a meno che non siano inclusi nell’ambito delle attività svolte dallo sviluppatore ulteriori aspetti regolamentati dal MiCAR, quali l’influenza sull’offerta, la vendita, il trasferimento, la custodia o la negoziazione di cripto-asset.
Tuttavia, l'applicazione pratica di questi principi a qualsiasi progetto DeFi richiede un attento esame delle effettive caratteristiche di governance e operative del suo ecosistema. Nel caso in cui l'architettura di un progetto indichi un controllo centralizzato sull'emissione di token, sui parametri del protocollo o sulla governance dell'ecosistema, è improbabile che soddisfi l'esenzione di "piena decentralizzazione" del considerando 22, e i servizi forniti in relazione a tale progetto devono essere valutati ai sensi delle disposizioni del MiCAR.
Cosa abbiamo decodificato
L'esenzione "pienamente decentralizzata" è eccezionalmente ristretta: il considerando 22 del MiCA afferma che i servizi forniti in modo "pienamente decentralizzato senza alcun intermediario" non rientrano nell'ambito di applicazione del regolamento, ma il raggiungimento di questo vero stato di piena decentralizzazione è incredibilmente raro. Se una singola entità esercita il controllo sulla governance, sui parametri del protocollo o sull'infrastruttura di base, l'esenzione non si applica.
La sostanza prevale sulla forma e determina la conformità: le autorità di regolamentazione guardano oltre le affermazioni di marketing e la semantica tecnica per valutare l'effettivo controllo operativo. Il test normativo è funzionale, non tecnologico: se un operatore detiene chiavi amministrative, controlla l'interfaccia front-end o ha la capacità di aggiornare o sospendere gli smart contract, rientra nell'ambito di applicazione del MiCA.
La decentralizzazione esiste su uno spettro: l'ESMA non considera la decentralizzazione come un concetto binario. Anche se un progetto si basa fortemente su codice autonomo e smart contract, la presenza di entità identificabili che esercitano vari gradi di controllo sulle strutture tariffarie, sugli aggiornamenti del protocollo o sulla governance innescherà un esame da parte delle autorità di regolamentazione.
Le blockchain senza autorizzazione sono “beni comuni”: affidarsi a una blockchain pubblica e senza autorizzazione non costituisce un rapporto formale di esternalizzazione a terzi ai sensi dell’articolo 73 del MiCA, poiché l’ESMA le classifica come risorse di “bene comune”. Tuttavia, l’implementazione di smart contract su un’infrastruttura di bene comune non esenta l’operatore della piattaforma dal MiCA se questi mantiene il controllo funzionale su tali contratti.
Gli sviluppatori di software non sono automaticamente CASP: la semplice creazione e vendita di software o hardware non custodial non classifica automaticamente un'entità come Crypto-Asset Service Provider (CASP). Tuttavia, se gli sviluppatori o gli operatori mantengono un'influenza sufficiente sulle cripto-attività, sulla piattaforma o sui rapporti commerciali in corso con gli utenti, superano la soglia normativa e saranno regolamentati come CASP.
Questo articolo si basa su uno studio condotto da LegalBison nell'aprile 2026. Il contenuto è solo a scopo informativo e non costituisce una consulenza legale.
