- L'ABE può divulgare a terzi le informazioni ricevute dalle autorità di vigilanza di paesi terzi solo con il consenso esplicito dell'autorità che le ha trasmesse, e solo per le finalità per cui tale consenso è stato espresso.
- Due deroghe automatiche al requisito del consenso: le altre autorità di vigilanza UE che necessitino le informazioni per i propri compiti istituzionali, e gli organi giurisdizionali che le richiedano per indagini o procedimenti penali.
- La norma è presidio di riservatezza nelle relazioni di cooperazione internazionale tra autorità di supervisione sui mercati delle cripto-attività, coordinata con le analoghe disposizioni dei Titoli VII e VIII MiCA sulla cooperazione europea.
- L'articolo si inserisce nel quadro più ampio del Titolo VIII MiCA sulla cooperazione internazionale e fa parte del regime applicabile dal 30 dicembre 2024.
Testo dell'articoloVigente
Art. 127 Reg. (UE) 2023/1114 — Divulgazione di informazioni provenienti da paesi terzi
Regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio del 31 maggio 2023 relativo ai mercati delle cripto-attività (Markets in Crypto-Assets, MiCA)
1. L’ABE può divulgare informazioni ricevute dalle autorità di vigilanza di paesi terzi soltanto se l’ABE o l’autorità competente che ha fornito le informazioni all’ABE ha ottenuto il consenso esplicito dell’autorità di vigilanza del paese terzo che le ha trasmesse e, se del caso, divulga tali informazioni esclusivamente per le finalità per le quali tale autorità di vigilanza ha espresso il suo consenso o qualora la divulgazione sia necessaria in relazione ad azioni giudiziarie.
2. Il requisito del consenso esplicito di cui al paragrafo 1 non si applica alle altre autorità di vigilanza dell’Unione qualora le informazioni da esse richieste siano necessarie per lo svolgimento dei loro compiti né si applica agli organi giurisdizionali qualora le informazioni da essi richieste siano necessarie ai fini di indagini o procedimenti relativi a violazioni soggette a sanzioni penali.
Stesso numero, altri codici
- Art. 127 Cod. Amb. — fanghi derivanti dal trattamento delle acque reflue
- Art. 127 D.Lgs. 209/2005 — Certificato di assicurazione e contrassegno
- Art. 127 D.Lgs. 42/2004 — Consultabilità degli archivi privati
- Art. 127 Codice Civile: Intrasmissibilità dell'azione
- Articolo 127 Codice della Crisi d'Impresa e dell’Insolvenza
- Art. 127 Cod.Cons.: Responsabilità secondo altre disposizioni di
Commento
Il contesto: cooperazione internazionale nella vigilanza sui mercati cripto
L'articolo 127 del Regolamento MiCA disciplina le condizioni alle quali l'Autorità Bancaria Europea (ABE) può divulgare a soggetti terzi le informazioni ricevute nell'ambito della cooperazione con le autorità di vigilanza di paesi terzi — vale a dire Stati al di fuori dell'Unione europea. La disposizione si inserisce nel Titolo VIII del MiCA, dedicato alla cooperazione internazionale, e riflette una tensione fondamentale nella regolamentazione dei mercati finanziari globali: la necessità di condividere informazioni tra supervisori di giurisdizioni diverse per assicurare vigilanza effettiva su soggetti e mercati transfrontalieri, controbilanciata dall'esigenza di proteggere la riservatezza delle informazioni sensibili ricevute da autorità estere.
Il mercato delle cripto-attività è strutturalmente globale: emittenti di ART e CASP operano spesso da giurisdizioni extra-UE (Isole Cayman, Singapore, Svizzera, UAE) o hanno infrastrutture tecniche distribuite in più continenti. Le autorità di supervisione di questi paesi terzi — che possono avere accordi di cooperazione bilaterale o multilaterale con l'ABE — trasmettono all'ABE informazioni riservate sulla situazione patrimoniale, operativa e legale degli operatori vigilati. L'articolo 127 stabilisce le regole del gioco per il successivo utilizzo di queste informazioni.
La regola generale: consenso esplicito dell'autorità trasmittente
Il paragrafo 1 pone come regola generale il consenso esplicito: l'ABE può divulgare le informazioni ricevute da un'autorità di un paese terzo solo se tale autorità ha espressamente acconsentito alla divulgazione. Non è sufficiente un consenso tacito o presunto dalla natura delle informazioni; deve essere un atto di volontà positivo dell'autorità estera.
Il consenso delimita anche lo scopo della divulgazione: l'ABE può divulgare le informazioni solo per le «finalità per le quali tale autorità ha espresso il suo consenso». Se l'autorità di un paese terzo ha acconsentito alla trasmissione di dati finanziari di un CASP all'ABE per finalità di vigilanza prudenziale, l'ABE non può utilizzare quelle stesse informazioni per finalità diverse (es. statistiche di mercato, report pubblici) senza un ulteriore consenso specifico.
La norma aggiunge un'alternativa al consenso: la divulgazione è ammessa anche «qualora la divulgazione sia necessaria in relazione ad azioni giudiziarie». Questa seconda ipotesi opera come una valvola di sicurezza per i procedimenti penali o amministrativi sanzionatori in corso presso autorità UE, ma è formulata in modo restrittivo: deve trattarsi di un'effettiva «necessità» connessa ad azioni giudiziarie già avviate, non di una mera utilità ipotetica.
Le deroghe al consenso: autorità di vigilanza UE e organi giurisdizionali
Il paragrafo 2 prevede due deroghe al requisito del consenso esplicito:
Prima deroga — altre autorità di vigilanza UE: il consenso dell'autorità estera non è richiesto quando le informazioni siano richieste da altre autorità di vigilanza dell'Unione «necessarie per lo svolgimento dei loro compiti». Questa deroga si giustifica con la logica del mercato unico europeo: le autorità di vigilanza nazionali degli Stati membri, l'ABE stessa in qualità di autorità di supervisione diretta sugli EMT significativi, l'ESMA, e potenzialmente la BCE operano all'interno di un sistema integrato di vigilanza in cui la condivisione delle informazioni è funzionale al corretto funzionamento del meccanismo di supervisione. La condizione è che la richiesta sia «necessaria» — non semplicemente utile o pertinente — per l'esercizio dei compiti istituzionali dell'autorità richiedente.
Seconda deroga — organi giurisdizionali: il consenso non è richiesto quando le informazioni siano richieste da «organi giurisdizionali» nell'ambito di «indagini o procedimenti relativi a violazioni soggette a sanzioni penali». Questa deroga riflette il principio, universalmente accolto, che l'interesse alla repressione dei reati prevale sugli obblighi di riservatezza internazionali nelle relazioni tra autorità. La condizione è che si tratti di indagini o procedimenti effettivi, non di richieste esplorative, e che riguardino violazioni sanzionabili penalmente (insider trading cripto, manipolazione di mercato, riciclaggio attraverso CASP).
Il ruolo sistematico dell'articolo 127 nella cooperazione internazionale MiCA
L'articolo 127 va letto in coordinamento con le disposizioni sulla cooperazione internazionale dell'ABE previste nel quadro del regolamento che istituisce l'ABE (Reg. UE 1093/2010) e con i meccanismi di cooperazione del Titolo VII MiCA (cooperazione tra autorità UE). Gli accordi di cooperazione che l'ABE può concludere con autorità di paesi terzi ai sensi dell'articolo 126 MiCA devono prevedere clausole esplicite sulle condizioni di divulgazione delle informazioni ricevute, coerentemente con il regime dell'articolo 127.
Dal punto di vista degli operatori vigilati — emittenti di ART, EMT e CASP — l'articolo 127 ha rilievo pratico quando un operatore è sottoposto a vigilanza sia nell'UE che in un paese terzo: le informazioni trasmesse dall'autorità del paese terzo all'ABE godono di un regime di protezione rafforzata, e l'operatore può fare affidamento sul fatto che tali informazioni non saranno liberamente circolate senza il consenso dell'autorità di origine. Questo incentiva le autorità di paesi terzi a cooperare con l'ABE, sapendo che le informazioni sensibili saranno trattate con riservatezza.
Coordinamento con il GDPR e la protezione dei dati personali
Quando le informazioni ricevute da paesi terzi contengono dati personali (dati identificativi di persone fisiche coinvolte nella vigilanza, quali amministratori o azionisti di CASP), la loro divulgazione deve rispettare non solo l'articolo 127 MiCA ma anche il Regolamento (UE) 2016/679 (GDPR). In particolare, il trasferimento di dati personali da un paese terzo verso l'UE (operato dall'autorità estera che trasmette i dati all'ABE) deve basarsi su un meccanismo legale valido ai sensi del Capo V GDPR. Le regole sull'ulteriore circolazione di quei dati nell'UE (da ABE ad altre autorità o organi giurisdizionali) sono soggette al GDPR oltre che all'articolo 127 MiCA: la base giuridica della divulgazione deve essere identificabile sia nel MiCA che nel GDPR.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
L'articolo 127 si applica solo all'ABE o anche all'ESMA e alle autorità nazionali?
Il testo dell'articolo 127 si riferisce specificamente all'ABE, che è l'autorità di supervisione diretta degli EMT significativi e degli ART significativi ai sensi del MiCA. L'ESMA e le autorità nazionali competenti sono soggetti a disposizioni analoghe nel rispettivo ambito di competenza, sia ai sensi delle norme istitutive delle autorità europee di supervisione (ESMA: Reg. 1095/2010; ABE: Reg. 1093/2010) sia delle disposizioni specifiche del Titolo VII-VIII MiCA. Il principio di riservatezza delle informazioni da paesi terzi è trasversale all'intero sistema di vigilanza.
Un operatore vigilato in un paese terzo può opporsi alla condivisione delle sue informazioni con l'ABE?
Il regime dell'articolo 127 riguarda la condivisione tra l'autorità del paese terzo e l'ABE, e tra l'ABE e altre autorità/organi. L'operatore vigilato non è parte di questo rapporto e non ha un diritto di veto sulla trasmissione. Tuttavia, se le informazioni contengono dati personali, l'operatore potrebbe invocare i diritti GDPR (es. diritto di accesso, di rettifica) nei confronti dell'ABE o dell'autorità che detiene i dati, nei limiti delle eccezioni previste dal GDPR per finalità di supervisione finanziaria.
Cosa succede se l'autorità di un paese terzo trasmette informazioni senza porre condizioni sulla divulgazione?
In mancanza di condizioni espresse, l'ABE applica la regola generale del paragrafo 1: può divulgare le informazioni solo con il consenso esplicito dell'autorità estera. L'assenza di condizioni espresse non equivale a un consenso implicito illimitato. In pratica, gli accordi di cooperazione che l'ABE stipula con autorità di paesi terzi ai sensi dell'articolo 126 MiCA dovrebbero prevedere clausole standard sulla divulgazione, evitando ambiguità interpretative caso per caso.
La deroga per le autorità di vigilanza UE include anche la BCE?
Potenzialmente sì, nella misura in cui la BCE agisce in qualità di supervisore bancario nell'ambito del Meccanismo di Vigilanza Unico (MVU) e le informazioni siano necessarie per lo svolgimento dei suoi compiti di vigilanza sugli enti creditizi che emettono EMT o ART. La qualificazione della BCE come 'altra autorità di vigilanza dell'Unione' ai sensi del paragrafo 2 dipende dalla natura del compito per cui le informazioni sono richieste: compiti di politica monetaria probabilmente non rientrerebbero, compiti di vigilanza prudenziale sì.
L'articolo 127 MiCA è coordinato con le disposizioni AML sulla condivisione di informazioni?
Sì, ma i due regimi sono distinti. La condivisione di informazioni nell'ambito della vigilanza antiriciclaggio (AML) è disciplinata principalmente dalla normativa AML/CFT europea (Direttiva 2015/849 e successive modifiche, e il nuovo Regolamento AMLA), che prevede proprie regole sulla cooperazione tra Financial Intelligence Units (FIU) e autorità di vigilanza AML nazionali. L'articolo 127 MiCA opera nel perimetro della vigilanza sui mercati delle cripto-attività, ma le due discipline si sovrappongono quando un CASP è coinvolto sia in violazioni MiCA che in condotte rilevanti per l'AML.
Vedi anche