← Torna a Cripto-attività — MiCA (Regolamento UE 2023/1114)
Ultimo aggiornamento: 24 Aprile 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Il CASP che presta custodia e amministrazione di cripto-attività per conto di clienti deve concludere un accordo scritto con ciascun cliente che descriva il servizio, la politica di custodia, i sistemi di sicurezza, le commissioni e il diritto applicabile.
  • Le cripto-attività dei clienti devono essere segregate patrimonialmente dal patrimonio del CASP: registrate in modo distinto nel registro distribuito, giuridicamente e operativamente separate, non aggredibili dai creditori del CASP.
  • Il CASP tiene un registro delle posizioni per ciascun cliente, aggiornato tempestivamente; fornisce un rendiconto di posizione almeno ogni tre mesi e su richiesta del cliente.
  • Il CASP è responsabile nei confronti del cliente per la perdita di cripto-attività o mezzi di accesso attribuibile a un incidente proprio; la responsabilità è limitata al valore di mercato al momento della perdita; l'esimente riguarda eventi esterni inevitabili.
  • Il ricorso a sub-custodi è consentito solo se anch'essi sono CASP autorizzati ai sensi dell'articolo 59; il cliente deve essere informato.
  • Il CASP deve facilitare l'esercizio dei diritti connessi alle cripto-attività (es. fork, staking reward) e registrare immediatamente eventuali modifiche ai diritti del cliente.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 75 Reg. (UE) 2023/1114 — Prestazione di custodia e amministrazione di cripto-attività per conto di clienti

Regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio del 31 maggio 2023 relativo ai mercati delle cripto-attività (Markets in Crypto-Assets, MiCA)

1. I prestatori di servizi per le cripto-attività che prestano custodia e amministrazione di cripto-attività per conto di clienti concludono un accordo con i loro clienti per specificare i loro compiti e le loro responsabilità. Tale accordo comprende almeno gli elementi seguenti:

a) l’identità delle parti dell’accordo;

b) la natura del servizio per le cripto-attività prestato e una descrizione di tale servizio;

c) la politica di custodia;

d) i mezzi di comunicazione tra il prestatore di servizi per le cripto-attività e il cliente, compreso il sistema di autenticazione del cliente;

e) una descrizione dei sistemi di sicurezza utilizzati dal prestatore di servizi per le cripto-attività;

f) le commissioni, i costi e gli oneri applicati dal prestatore di servizi per le cripto-attività;

g) il diritto applicabile.

2. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti tengono un registro delle posizioni, aperte a nome di ciascun cliente, corrispondenti ai diritti di ciascun cliente sulle cripto-attività. Ove opportuno, i prestatori di servizi per le cripto-attività inseriscono quanto prima in tale registro qualsiasi movimento effettuato seguendo le istruzioni dei loro clienti. In tali casi, le loro procedure interne garantiscono che qualsiasi movimento che incida sulla registrazione delle cripto-attività sia corroborato da un’operazione regolarmente registrata nel registro delle posizioni del cliente.

3. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti stabiliscono una politica di custodia con norme e procedure interne per garantire la custodia o il controllo di tali cripto-attività o dei mezzi di accesso alle cripto-attività. La politica di custodia di cui al primo comma minimizza il rischio di perdita delle cripto-attività dei clienti, dei diritti connessi a tali cripto-attività o dei mezzi di accesso alle cripto-attività a causa di frodi, minacce informatiche o negligenza. Una sintesi della politica di custodia è messa a disposizione dei clienti, su loro richiesta, in formato elettronico.

4. Se del caso, i prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione delle cripto-attività per conto di clienti facilitano l’esercizio dei diritti connessi alle cripto-attività. Qualsiasi evento suscettibile di creare o modificare i diritti del cliente è registrato immediatamente nel registro delle posizioni del cliente. In caso di modifiche alla tecnologia a registro distribuito sottostante o di qualsiasi altro evento che possa creare o modificare i diritti del cliente, il cliente ha diritto a qualsiasi cripto-attività o a qualsiasi diritto recentemente creato sulla base e nella misura delle posizioni del cliente al verificarsi di tale modifica o evento, salvo diversa disposizione esplicita di un valido accordo concluso prima di tale modifica o evento con il prestatore di servizi per le cripto-attività che presta servizi di custodia e amministrazione delle cripto-attività per conto di clienti a norma del paragrafo 1.

5. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti forniscono ai loro clienti, almeno una volta ogni tre mesi e su richiesta del cliente interessato, un rendiconto di posizione delle cripto-attività registrate a nome di tali clienti. Tale rendiconto di posizione è redatto in formato elettronico. Il rendiconto di posizione indica le cripto-attività interessate, il loro saldo, il loro valore e il trasferimento delle cripto-attività effettuato nel periodo in questione. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti forniscono quanto prima ai loro clienti qualsiasi informazione sulle operazioni relative alle cripto-attività che richiedono una risposta da parte di tali clienti.

6. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti garantiscono che siano messe in atto le procedure necessarie affinché le cripto-attività detenute per conto dei loro clienti, o i mezzi di accesso, siano restituiti quanto prima a tali clienti.

7. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti separano le partecipazioni di cripto-attività detenute per conto dei loro clienti dalle proprie partecipazioni e garantiscono che i mezzi di accesso alle cripto-attività dei loro clienti siano chiaramente identificati come tali. Essi assicurano che, nel registro distribuito, le cripto-attività dei loro clienti siano detenute in modo distinto rispetto alle proprie cripto-attività. Le cripto-attività detenute in custodia sono giuridicamente separate dal patrimonio del prestatore di servizi per le cripto-attività, nell’interesse dei clienti del prestatore di servizi per le cripto-attività conformemente al diritto applicabile, in modo che i creditori del prestatore di servizi per le cripto-attività non abbiano diritto di rivalsa sulle cripto-attività detenute in custodia dal prestatore di servizi per le cripto-attività, in particolare in caso di insolvenza. Il prestatore di servizi per le cripto-attività garantisce che le cripto-attività detenute in custodia siano operativamente separate dal patrimonio del prestatore di servizi per le cripto-attività.

8. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti sono responsabili nei confronti dei loro clienti della perdita di cripto-attività o dei mezzi di accesso alle cripto-attività a seguito di un incidente loro attribuibile. La responsabilità del prestatore di servizi per le cripto-attività è limitata al valore di mercato della cripto-attività persa al momento della sua perdita. Gli incidenti non attribuibili al prestatore di servizi per le cripto-attività includono gli eventi rispetto ai quali il prestatore di servizi per le cripto-attività fornisce prova che sono avvenuti indipendentemente dalla prestazione del servizio in questione o indipendentemente dalle operazioni del prestatore di servizi per le cripto-attività, come un problema inerente al funzionamento del registro distribuito, che sfugge al controllo del prestatore di servizi per le cripto-attività.

9. Qualora i prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti ricorrano ad altri prestatori di servizi per le cripto-attività che prestano tali servizi, essi si avvalgono solo di prestatori di servizi per le cripto-attività autorizzati a norma dell’articolo 59. I prestatori di servizi per le cripto-attività che prestano servizi di custodia e amministrazione di cripto-attività per conto di clienti informano i loro clienti qualora ricorrano ad altri prestatori di servizi per le cripto-attività che prestano tali servizi.

Stesso numero, altri codici

Commento

Il servizio di custodia CASP: natura e importanza strategica

La custodia e amministrazione di cripto-attività per conto di clienti è uno dei servizi per le cripto-attività (CASP service) disciplinati dal Titolo V MiCA. Si tratta del servizio che nella pratica di mercato corrisponde a quello offerto dai cosiddetti «exchange» o «wallet provider» custodiali: il cliente affida le proprie chiavi crittografiche — e quindi il controllo sulle proprie cripto-attività — a un soggetto professionale che le detiene per suo conto. In termini di rischio, la custodia centralizzata è stata storicamente il punto più vulnerabile dell'ecosistema cripto: numerosi exchange sono stati oggetto di hack o sono falliti con la perdita totale dei fondi dei clienti (casi emblematici: Mt. Gox, FTX). L'articolo 75 MiCA costruisce attorno a questo servizio un sistema di protezione mutuato dalla disciplina MiFID II sulla custodia di strumenti finanziari, adattato alle specificità della tecnologia a registro distribuito.

L'accordo di custodia: contenuto minimo

Il paragrafo 1 richiede che il CASP concluda con ogni cliente un accordo scritto prima di iniziare a prestare il servizio. Il contenuto minimo comprende: (a) identità delle parti; (b) natura e descrizione del servizio; (c) politica di custodia; (d) mezzi di comunicazione e sistema di autenticazione; (e) sistemi di sicurezza; (f) commissioni, costi e oneri; (g) diritto applicabile. La previsione di un accordo bilaterale è fondamentale per definire chiaramente le responsabilità: in assenza di accordo scritto, in caso di controversia risulta difficile stabilire se la perdita di cripto-attività rientri o meno nella responsabilità del CASP. Il riferimento al sistema di autenticazione (lettera d) è di rilievo pratico: soluzioni come la doppia autenticazione a due fattori (2FA) o i token hardware devono essere descritte nell'accordo, in modo che il cliente comprenda le misure di sicurezza adottate.

Il registro delle posizioni: affidabilità e aggiornamento tempestivo

Il paragrafo 2 impone la tenuta di un registro delle posizioni, aperto a nome di ciascun cliente, che riflette i suoi diritti sulle cripto-attività. Ogni movimento disposto dal cliente deve essere registrato quanto prima, e le procedure interne devono assicurare che qualsiasi operazione che incide sulla registrazione sia corroborata da una transazione regolarmente registrata nel registro del cliente. Questo requisito di tracciabilità opera su due livelli: sul registro interno del CASP (sistema informatico dell'exchange) e sul registro distribuito (blockchain). La sincronizzazione tra i due livelli è critica: il saldo interno del cliente deve riflettere accuratamente le posizioni on-chain. Un disallineamento tra registro interno e blockchain può configurare una violazione dell'articolo 75 e potenzialmente segnalare una situazione di insolvenza occulta.

Segregazione patrimoniale: il principio cardine

Il paragrafo 7 costituisce il cuore protettivo dell'articolo: il CASP deve separare le cripto-attività dei clienti dalle proprie, garantire che i mezzi di accesso (chiavi crittografiche) siano chiaramente identificati come proprietà dei clienti, e assicurare che le cripto-attività dei clienti siano detenute in modo distinto rispetto alle proprie nel registro distribuito. Fondamentale è la segregazione giuridica: le cripto-attività in custodia sono giuridicamente separate dal patrimonio del CASP nell'interesse dei clienti, con la conseguenza che i creditori del CASP non possono aggredirle, nemmeno in caso di insolvenza. Questa disposizione risponde direttamente alle devastanti perdite subite dai clienti di exchange falliti (paradigmatico il caso FTX, in cui le cripto-attività dei clienti erano state mescolate con quelle proprietarie e utilizzate come collaterale). La segregazione deve essere anche operativa: non è sufficiente una separazione contabile nominale se operativamente le chiavi sono gestite in modo promiscuo.

La politica di custodia e la minimizzazione del rischio

Il paragrafo 3 impone l'adozione di una politica di custodia con norme e procedure interne che minimizzino il rischio di perdita per frodi, minacce informatiche o negligenza. La politica deve coprire sia la custodia diretta (hot wallet, cold wallet, hardware security module) sia il controllo delle cripto-attività. Una sintesi della politica deve essere messa a disposizione dei clienti su richiesta in formato elettronico. In pratica, i CASP più strutturati mantengono la grande maggioranza delle cripto-attività dei clienti in cold storage (portafogli offline non connessi a internet) e tengono in hot wallet solo la liquidità necessaria per soddisfare richieste di prelievo ordinarie: questo approccio «deep cold storage» è lo standard di mercato e riflette i requisiti di minimizzazione del rischio dell'articolo 75.

Diritti connessi alle cripto-attività: fork, staking, airdrop

Il paragrafo 4 affronta un tema di rilievo pratico: quando la tecnologia a registro distribuito sottostante subisce una modifica (hard fork, soft fork) o si verifica un evento che crea o modifica i diritti del cliente, quest'ultimo ha diritto a qualsiasi cripto-attività o diritto «recentemente creato» sulla base e nella misura delle sue posizioni al momento dell'evento. In altre parole, se una blockchain si biforca generando una nuova cripto-attività, i clienti che detenevano posizioni in custodia al momento del fork hanno diritto a ricevere i nuovi token nell'equivalente proporzione. Il CASP può derogare a questo principio solo attraverso un accordo esplicito concluso prima dell'evento. Questa norma impone ai CASP di dotarsi di procedure tecniche e legali per la gestione degli eventi on-chain: dal crediting delle reward di staking ai protocolli per i token derivanti da fork controversi.

Rendiconto periodico e trasparenza informativa

Il paragrafo 5 stabilisce un obbligo di rendiconto di posizione con periodicità minima trimestrale e su richiesta del cliente: il rendiconto deve indicare le cripto-attività detenute, il saldo, il valore e i movimenti nel periodo. Deve essere fornito in formato elettronico. Il CASP è altresì tenuto a informare il cliente tempestivamente di qualsiasi evento che richieda una sua risposta (es. una hard fork che imponga una scelta tra catene, una governance proposal on-chain, una modifica dei termini del protocollo). La periodicità trimestrale si allinea agli standard MiFID II per i rendiconti di custodia di strumenti finanziari.

Responsabilità per perdita e sub-custodia

Il paragrafo 8 regola la responsabilità del CASP per la perdita di cripto-attività o mezzi di accesso imputabile a un incidente proprio. La misura del danno risarcibile è il valore di mercato al momento della perdita — non il valore futuro o il massimo storico. L'unica esimente è la prova che l'evento è avvenuto indipendentemente dalla prestazione del servizio o dalle operazioni del CASP (es. un bug del protocollo blockchain al di fuori del controllo del custode). Il paragrafo 9 consente il ricorso a sub-custodi (altri CASP che prestano custodia), ma solo se autorizzati ai sensi dell'articolo 59 MiCA; i clienti devono essere informati di tale ricorso. Questa catena di sub-custodia richiede che la responsabilità resti in capo al CASP principale verso il cliente: non è consentito trasferire contrattualmente la responsabilità al sub-custode scaricandola sul cliente.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Le cripto-attività depositate su un exchange autorizzato MiCA sono protette in caso di fallimento del CASP?

Sì, in linea di principio: il paragrafo 7 impone la segregazione giuridica delle cripto-attività dei clienti dal patrimonio del CASP. Ciò significa che, in caso di insolvenza del custode, i creditori di quest'ultimo non possono rivalersi sulle cripto-attività custodite per conto dei clienti. I clienti hanno diritto alla restituzione dei propri asset, in via prioritaria rispetto ai creditori del CASP.

Con quale frequenza un CASP deve fornire il rendiconto di posizione?

Almeno ogni tre mesi e, in ogni caso, su richiesta del cliente. Il rendiconto deve essere in formato elettronico e indicare le cripto-attività detenute, il saldo, il valore e i movimenti del periodo.

Cosa deve contenere la politica di custodia di un CASP?

Norme e procedure interne per garantire la custodia o il controllo delle cripto-attività o dei mezzi di accesso, con l'obiettivo di minimizzare il rischio di perdita per frodi, minacce informatiche o negligenza. Una sintesi deve essere resa disponibile ai clienti su richiesta in formato elettronico.

Un CASP può utilizzare le cripto-attività dei clienti per investimenti o prestiti?

No: la segregazione patrimoniale imposta dall'articolo 75 implica che le cripto-attività dei clienti non possano essere utilizzate dal CASP per proprie operazioni. L'utilizzo delle cripto-attività custodite per conto terzi (rehypothecation) non è consentito in assenza di uno specifico consenso informato del cliente e di un quadro normativo dedicato, che MiCA non prevede per la custodia ordinaria.

Il CASP che presta custodia può delegare il servizio a un terzo?

Sì, ma solo a un altro CASP autorizzato ai sensi dell'articolo 59 MiCA. Il ricorso a sub-custodi non autorizzati è vietato. Inoltre, il cliente deve essere informato del ricorso al sub-custode. Il CASP principale rimane responsabile verso il cliente per l'operato del sub-custode.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.