← Torna a Cripto-attività — MiCA (Regolamento UE 2023/1114)
Ultimo aggiornamento: 9 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Gli emittenti di ART devono dotarsi di una struttura organizzativa solida, con linee di responsabilità chiare, sistemi di gestione del rischio e meccanismi di controllo interno efficaci.
  • I membri dell'organo di amministrazione devono possedere onorabilità, competenze adeguate e disponibilità di tempo; sono espressamente esclusi soggetti condannati per riciclaggio o finanziamento del terrorismo.
  • Anche gli azionisti con partecipazioni qualificate devono soddisfare requisiti di onorabilità analoghi.
  • L'emittente deve adottare politiche specifiche per almeno undici aree operative, tra cui riserva di attività, custodia, meccanismi di emissione/rimborso, gestione della liquidità e trattamento dei reclami.
  • Sono previsti obblighi di continuità operativa, sicurezza TIC (coordinamento con il Regolamento DORA 2022/2554) e protezione dei dati (GDPR 2016/679), oltre ad audit indipendenti periodici.
  • L'ABE ha emanato orientamenti (entro il 30 giugno 2024) per specificare il contenuto minimo dei dispositivi di governance, con particolare riguardo agli strumenti di monitoraggio dei rischi, ai piani di continuità e agli audit.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 34 Reg. (UE) 2023/1114 — Dispositivi di governance

Regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio del 31 maggio 2023 relativo ai mercati delle cripto-attività (Markets in Crypto-Assets, MiCA)

1. Gli emittenti di token collegati ad attività si dotano di solidi dispositivi di governance, ivi compresa una chiara struttura organizzativa con linee di responsabilità ben definite, trasparenti e coerenti, procedure efficaci per l’individuazione, la gestione, il monitoraggio e la segnalazione dei rischi ai quali sono o potrebbero essere esposti e adeguati meccanismi di controllo interno, tra cui valide procedure amministrative e contabili.

2. I membri dell’organo di amministrazione degli emittenti di token collegati ad attività soddisfano i requisiti di sufficiente onorabilità e possiedono le conoscenze, le capacità e l’esperienza adeguate, individualmente e collettivamente, per svolgere le loro funzioni. In particolare, essi non sono stati condannati per reati connessi al riciclaggio di denaro o al finanziamento del terrorismo o per altri reati che possano incidere sulla loro onorabilità. Essi dimostrano inoltre di essere in grado di dedicare tempo sufficiente per svolgere efficacemente le loro funzioni.

3. L’organo di amministrazione degli emittenti di token collegati ad attività valuta o riesamina periodicamente l’efficacia delle politiche e delle procedure messe in atto per conformarsi ai capi 2, 3, 5 e 6 del presente titolo e adotta misure appropriate per rimediare a eventuali carenze a tale riguardo.

4. Gli azionisti o i soci, siano essi diretti o indiretti, che detengono partecipazioni qualificate negli emittenti di token collegati ad attività soddisfano i requisiti di sufficiente onorabilità e, in particolare, non sono state condannate per reati connessi al riciclaggio di denaro o al finanziamento del terrorismo o per altri reati che possano incidere sulla loro onorabilità.

5. Gli emittenti di token collegati ad attività adottano politiche e procedure sufficientemente efficaci per assicurare il rispetto del presente regolamento. Gli emittenti di token collegati ad attività stabiliscono, mantengono e attuano, in particolare, politiche e procedure riguardanti:

a) la riserva di attività di cui all’articolo 36;

b) la custodia delle attività di riserva, compresa la separazione delle attività, secondo quanto specificato all’articolo 37;

c) il riconoscimento di diritti ai possessori di token collegati ad attività, secondo quanto specificato all’articolo 39;

d) il meccanismo attraverso il quale vengono emessi e rimborsati i token collegati ad attività;

e) i protocolli per la convalida delle operazioni in token collegati ad attività;

f) il funzionamento della tecnologia a registro distribuito proprietaria degli emittenti, qualora i token collegati ad attività siano emessi, trasferiti e memorizzati usando tale tecnologia a registro distribuito o tecnologie analoghe gestite dagli emittenti o da un terzo che agisce per loro conto;

g) i meccanismi per garantire la liquidità dei token collegati ad attività, comprese la politica e le procedure di gestione della liquidità per gli emittenti di token collegati ad attività significativi di cui all’articolo 45;

h) gli accordi con soggetti terzi per la gestione della riserva di attività e per l’investimento delle attività di riserva, la custodia delle attività di riserva e, se del caso, la distribuzione al pubblico dei token collegati ad attività;

i) il consenso scritto degli emittenti di token collegati ad attività dato ad altre persone che potrebbero offrire o chiedere l’ammissione alla negoziazione dei token collegati ad attività;

j) il trattamento dei reclami, secondo quanto specificato all’articolo 31;

k) i conflitti di interesse, secondo quanto specificato all’articolo 32.

Qualora gli emittenti di token collegati ad attività concludano gli accordi di cui al primo comma, lettera h), tali accordi sono stabiliti in un contratto con i soggetti terzi. Tali accordi contrattuali stabiliscono i ruoli, le responsabilità, i diritti e gli obblighi sia degli emittenti di token collegati ad attività che dei soggetti terzi. Qualsiasi accordo contrattuale con implicazioni intergiurisdizionali fornisce una scelta chiara in merito al diritto applicabile.

6. A meno che non abbiano avviato un piano di rimborso di cui all’articolo 47, gli emittenti di token collegati ad attività impiegano sistemi, risorse e procedure adeguati e proporzionati per garantire la continuità e la regolarità dei loro servizi e delle loro attività. A tal fine, gli emittenti di token collegati ad attività mantengono tutti i loro sistemi e protocolli di accesso di sicurezza in conformità delle norme dell’Unione appropriate.

7. Se l’emittente di un token collegato ad attività decide di interrompere la prestazione dei suoi servizi e attività, anche con l’interruzione dell’emissione di tale token collegato ad attività, esso presenta un piano all’autorità competente per l’approvazione di tale interruzione.

8. Gli emittenti di token collegati ad attività individuano le fonti di rischio operativo e riducono al minimo tali rischi attraverso lo sviluppo di sistemi, controlli e procedure adeguati.

9. Gli emittenti di token collegati ad attività stabiliscono una politica e piani di continuità operativa per assicurare, in caso di interruzione dei loro sistemi e delle loro procedure TIC, la conservazione dei dati e delle funzioni essenziali e il mantenimento delle loro attività o, qualora ciò non sia possibile, il tempestivo recupero di tali dati e funzioni e la rapida ripresa delle loro attività.

10. Gli emittenti di token collegati ad attività dispongono di meccanismi di controllo interno e di procedure efficaci per la gestione del rischio, compresi dispositivi di controllo e salvaguardia efficaci per la gestione dei sistemi TIC in conformità del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio ( 37 ) . Le procedure prevedono una valutazione globale del ricorso a soggetti terzi di cui al paragrafo 5, primo comma, lettera h), del presente articolo. Gli emittenti di token collegati ad attività monitorano e valutano periodicamente l’adeguatezza e l’efficacia dei meccanismi di controllo interno e delle procedure per la valutazione del rischio e adottano misure adeguate per rimediare a eventuali carenze a tale riguardo.

11. Gli emittenti di token collegati ad attività dispongono di sistemi e procedure adatti per salvaguardare la disponibilità, autenticità, integrità e riservatezza dei dati, come previsto dal regolamento (UE) 2022/2554 e in conformità del regolamento (UE) 2016/679. Tali sistemi registrano e salvaguardano i dati e le informazioni pertinenti raccolti e prodotti nel corso delle attività degli emittenti.

12. Gli emittenti di token collegati ad attività garantiscono di essere regolarmente sottoposti a audit da parte di revisori indipendenti. I risultati di tali audit sono comunicati all’organo di amministrazione dell’emittente interessato e messi a disposizione dell’autorità competente.

13. Entro il 30 giugno 2024 l’ABE, in stretta cooperazione con l’ESMA e la BCE, emana orientamenti conformemente all’articolo 16 del regolamento (UE) n. 1093/2010 per specificare il contenuto minimo dei dispositivi di governance riguardanti:

a) gli strumenti di monitoraggio dei rischi di cui al paragrafo 8;

b) il piano di continuità operativa di cui al paragrafo 9;

c) il meccanismo di controllo interno di cui al paragrafo 10;

d) gli audit di cui al paragrafo 12, compresa la documentazione minima da utilizzare nell’audit.

Nell’emanazione degli orientamenti di cui al primo comma, l’ABE tiene conto delle disposizioni sui requisiti in materia di governance contenute in altri atti legislativi dell’Unione concernenti i servizi finanziari, compresa la direttiva 2014/65/UE.

Stesso numero, altri codici

In sintesi

  • Gli emittenti di ART devono dotarsi di una struttura organizzativa solida, con linee di responsabilità chiare, sistemi di gestione del rischio e meccanismi di controllo interno efficaci.
  • I membri dell'organo di amministrazione devono possedere onorabilità, competenze adeguate e disponibilità di tempo; sono espressamente esclusi soggetti condannati per riciclaggio o finanziamento del terrorismo.
  • Anche gli azionisti con partecipazioni qualificate devono soddisfare requisiti di onorabilità analoghi.
  • L'emittente deve adottare politiche specifiche per almeno undici aree operative, tra cui riserva di attività, custodia, meccanismi di emissione/rimborso, gestione della liquidità e trattamento dei reclami.
  • Sono previsti obblighi di continuità operativa, sicurezza TIC (coordinamento con il Regolamento DORA 2022/2554) e protezione dei dati (GDPR 2016/679), oltre ad audit indipendenti periodici.
  • L'ABE ha emanato orientamenti (entro il 30 giugno 2024) per specificare il contenuto minimo dei dispositivi di governance, con particolare riguardo agli strumenti di monitoraggio dei rischi, ai piani di continuità e agli audit.
La governance degli emittenti di ART come pilastro del Titolo III MiCA

L'articolo 34 del Regolamento (UE) 2023/1114 (MiCA) costituisce la norma cardine sulla governance degli emittenti di token collegati ad attività (ART). Si inserisce nel Titolo III, dedicato ai token il cui valore è stabilizzato mediante un paniere di attività di riserva (valute ufficiali, materie prime, altre cripto-attività o una combinazione di esse). La logica sottostante è che l'ART, proprio perché aspira a svolgere una funzione quasi-monetaria o di riserva di valore, richiede standard organizzativi elevati, analoghi a quelli del settore bancario e dei gestori di fondi. Il MiCA ha consapevolmente mutuato dal diritto finanziario tradizionale (MiFID II, CRD, UCITS) i principi di governance «sostanziale», adattandoli all'ecosistema distribuito delle cripto-attività.

Le disposizioni dell'art. 34 si applicano a partire dal 30 giugno 2024, data di applicazione del Titolo III MiCA (art. 149, par. 3). Gli emittenti già operativi alla data di entrata in vigore hanno beneficiato di un periodo transitorio regolato dall'art. 143.

La struttura organizzativa: chiarezza, proporzionalità, coerenza

Il paragrafo 1 richiede che l'emittente di ART si doti di «solidi dispositivi di governance», articolati in tre componenti: (i) una struttura organizzativa chiara con linee di responsabilità ben definite e coerenti; (ii) procedure efficaci per la gestione del rischio (identificazione, gestione, monitoraggio, segnalazione); (iii) meccanismi di controllo interno, incluse valide procedure amministrative e contabili. Il termine «solidi» non è decorativo: rimanda a un principio di adeguatezza sostanziale che deve essere dimostrata all'autorità competente in sede di autorizzazione (art. 21) e monitorata nel continuo. Un organigramma cartaceo privo di effettiva attuazione non soddisfa il requisito.

Il principio di proporzionalità è implicito nel testo: la struttura deve essere «adeguata» alla complessità e alla dimensione dell'emittente. Un emittente di ART significativo (art. 43) sarà soggetto a standard di fatto più elevati rispetto a un emittente di minori dimensioni, anche in assenza di una distinzione esplicita nel testo del paragrafo 1.

I requisiti soggettivi per amministratori e azionisti qualificati

I paragrafi 2 e 4 introducono requisiti di fit and proper — onorabilità e idoneità professionale — che si applicano rispettivamente ai membri dell'organo di amministrazione e agli azionisti (o soci) con partecipazioni qualificate. Per gli amministratori, il requisito è duplice: (a) onorabilità (nessuna condanna per riciclaggio, finanziamento del terrorismo o reati che possano incidere sulla reputazione); (b) idoneità professionale collettiva e individuale, con obbligo di disponibilità di tempo sufficiente. L'idoneità va valutata tanto singolarmente quanto collettivamente: il Consiglio di amministrazione deve coprire, nel suo insieme, le competenze in materia di gestione del rischio, tecnologia DLT, diritto finanziario e finanza. Per gli azionisti qualificati (par. 4) il requisito è limitato all'onorabilità.

L'autorità competente verifica questi requisiti in sede di domanda di autorizzazione e può revocarla o imporre misure correttive qualora i requisiti vengano meno nel tempo. Il coordinamento con il regolamento (UE) 2019/2033 e con la CRD V è rilevante per gli emittenti che siano anche enti creditizi.

L'elenco delle politiche obbligatorie (par. 5)

Il paragrafo 5 elenca undici aree per le quali l'emittente di ART deve dotarsi di politiche e procedure «sufficientemente efficaci». Si tratta di un elenco non tassativo («in particolare»), ma le undici aree indicate costituiscono un nucleo irrinunciabile: riserva di attività (art. 36), custodia e separazione delle attività di riserva (art. 37), diritti dei possessori (art. 39), meccanismo di emissione e rimborso, protocolli di convalida delle operazioni, funzionamento della DLT eventualmente gestita dall'emittente, gestione della liquidità (inclusa la politica specifica per gli emittenti significativi ex art. 45), accordi con soggetti terzi, consenso scritto per offerte al pubblico da parte di terzi, trattamento dei reclami (art. 31) e conflitti di interesse (art. 32).

Per gli accordi con soggetti terzi (lettera h), il paragrafo 5, secondo comma, impone che essi siano formalizzati in contratti scritti che definiscano chiaramente ruoli, responsabilità, diritti e obblighi di entrambe le parti. Se l'accordo ha rilevanza intergiurisdizionale, deve indicare esplicitamente il diritto applicabile: una previsione particolarmente importante nell'ecosistema cripto, dove i prestatori di servizi di custodia, i market maker e gli operatori di nodi sono spesso dislocati in giurisdizioni diverse.

Continuità operativa, sicurezza TIC e protezione dei dati

I paragrafi 6-11 trattano tre aree trasversali strettamente correlate. Il paragrafo 6 impone sistemi, risorse e procedure adeguati per la continuità e la regolarità dei servizi; il paragrafo 7 prevede che l'interruzione dell'emissione del token debba essere previamente autorizzata dall'autorità competente attraverso un piano formale. Il paragrafo 8 richiede l'identificazione e la minimizzazione delle fonti di rischio operativo; il paragrafo 9 impone piani di continuità operativa documentati, che assicurino la conservazione dei dati e delle funzioni essenziali anche in caso di guasto dei sistemi TIC.

I paragrafi 10 e 11 coordinano l'art. 34 con il Regolamento DORA (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario, che si applica direttamente agli emittenti di ART significativi. Il par. 10 richiede meccanismi di controllo interno per la gestione del rischio TIC conformi al DORA, con una valutazione globale del ricorso a fornitori terzi di servizi ICT. Il par. 11 impone sistemi per la salvaguardia di disponibilità, autenticità, integrità e riservatezza dei dati, nel rispetto del GDPR (UE) 2016/679: il trattamento dei dati personali degli utenti nel processo di emissione, verifica e rimborso dei token deve essere conforme ai principi del GDPR, inclusa la base giuridica per il trattamento.

L'obbligo di audit indipendenti e gli orientamenti ABE

Il paragrafo 12 introduce un obbligo di audit indipendente periodico: i risultati devono essere comunicati all'organo di amministrazione e messi a disposizione dell'autorità competente. L'indipendenza del revisore è un requisito sostanziale: non può essere una funzione interna all'emittente, né una società appartenente al medesimo gruppo senza adeguate salvaguardie. L'audit deve coprire almeno le aree indicate nel paragrafo 13 (strumenti di monitoraggio rischio, piani di continuità, controllo interno, documentazione).

Il paragrafo 13 ha delegato all'ABE, in cooperazione con ESMA e BCE, il compito di emanare orientamenti entro il 30 giugno 2024 per specificare il contenuto minimo dei dispositivi di governance. L'ABE ha pubblicato tali orientamenti (EBA/GL/2024/…), che costituiscono un riferimento vincolante nella prassi di vigilanza, pur avendo natura non formalmente cogente.

Implicazioni pratiche per l'emittente di ART

Un'impresa che intende emettere un ART deve affrontare la governance come un progetto organizzativo strutturato, non come un adempimento documentale. In sede di autorizzazione (art. 21), l'autorità competente verificherà non solo l'esistenza formale delle politiche richieste, ma la loro concreta attuabilità. Sul piano operativo, l'emittente dovrà: predisporre un manuale di governance che copra tutte le undici aree del par. 5; identificare per iscritto i responsabili di ciascuna funzione di controllo; selezionare il revisore indipendente e definire il perimetro dell'audit; concludere contratti scritti con i soggetti terzi (custodi della riserva, market maker, gestori di nodi DLT) con scelta di legge applicabile esplicita; mappare i trattamenti di dati personali connessi all'emissione e al rimborso dei token e predisporre le relative basi giuridiche GDPR.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica gratuita su 100 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.