Art. 73 Reg. (UE) 2023/1114 — Esternalizzazione

La norma nel contesto del Titolo V: governance operativa dei CASP

L'art. 73 del Regolamento MiCA disciplina l'esternalizzazione dei servizi e delle funzioni operative dei prestatori di servizi per le cripto-attività (CASP). La norma si inserisce nel Titolo V del regolamento, che fissa i requisiti organizzativi, di condotta e prudenziali applicabili a tutti i CASP autorizzati. L'esternalizzazione è un fenomeno strutturale nel settore dei servizi finanziari e cripto: pressoché ogni exchange o custodian affida a terzi componenti tecnologiche rilevanti (cloud computing, security operations, KYC/AML, gestione dei wallet, interfacce di trading). MiCA non vieta questa pratica, ma la sottopone a un regime di controllo che ne preserva la supervisabilità e ne circoscrive i rischi operativi.

Il modello adottato è coerente con gli approcci già presenti in DORA (Regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario) e nelle linee guida EBA sull'esternalizzazione per gli enti creditizi e gli istituti di pagamento. Si tratta quindi di un regime armonizzato con il framework più generale del diritto finanziario europeo, adattato alle specificità dei CASP.

Il principio di non-delegabilità della responsabilità

Il paragrafo 1 enuncia il principio fondamentale: il CASP che esternalizza funzioni operative adotta tutte le misure ragionevoli per evitare rischi operativi aggiuntivi e resta pienamente responsabile del rispetto di tutti gli obblighi del Titolo V. La lettera a) specifica che l'esternalizzazione «non comporta la delega delle responsabilità»: il fornitore terzo non diventa co-titolare degli obblighi regolamentari, che rimangono integralmente in capo al CASP. Questa norma è fondamentale perché impedisce che l'esternalizzazione sia utilizzata come scudo per sottrarsi alle conseguenze di malfunzionamenti o violazioni imputabili al fornitore.

In concreto, se un fornitore di servizi KYC esternalizzato commette errori sistematici nelle verifiche di adeguata verifica della clientela (AML), il CASP non può invocare la responsabilità contrattuale del fornitore per esonerarsi dalle sanzioni dell'autorità competente. Il CASP deve avere presidiato sufficientemente il fornitore e deve rispondere di eventuali carenze nel controllo. La responsabilità del fornitore potrà poi essere azionata in via contrattuale, ma ciò non scalfisce la responsabilità regolamentare del CASP.

La protezione del rapporto con i clienti

La lettera b) tutela i clienti del CASP: l'esternalizzazione non può alterare il rapporto tra il CASP e i propri clienti né gli obblighi del CASP nei confronti di questi. Dal punto di vista pratico, ciò significa che il cliente che subisce un danno a causa di un malfunzionamento del fornitore esternalizzato conserva pienamente i propri diritti nei confronti del CASP, come se la funzione fosse svolta direttamente. Il cliente non è tenuto a rapportarsi con il fornitore terzo né a subire limitazioni nella tutela dei propri diritti derivanti dalla catena di fornitura interna del CASP.

Il requisito di supervisabilità da parte delle autorità

La lettera d) è di particolare rilevanza per le autorità di vigilanza: i terzi coinvolti nell'esternalizzazione devono cooperare con l'autorità competente dello Stato membro d'origine del CASP, e l'esternalizzazione non può impedire l'esercizio delle funzioni di vigilanza, incluso l'accesso in loco per acquisire informazioni pertinenti. Questo requisito è cruciale per le esternalizzazioni verso fornitori extra-UE: un CASP europeo che affidi funzioni rilevanti a un provider cloud o a un custodian con sede fuori dall'Unione deve garantire contrattualmente che il fornitore si sottoponga alle ispezioni dell'autorità UE competente. La pratica di inserire clausole di accesso e audit nei contratti di fornitura è quindi non solo opportuna ma obbligatoria ai sensi di MiCA.

Il mantenimento delle competenze interne

La lettera e) richiede che il CASP mantenga le competenze e le risorse interne necessarie per: valutare la qualità dei servizi esternalizzati; vigilare efficacemente sugli stessi; gestire i rischi associati in modo continuativo. Questo requisito punta a impedire la cosiddetta «dipendenza da fornitore» (vendor lock-in) estrema, in cui il CASP diventa così dipendente dal terzo da non essere più in grado di supervisionarlo criticamente o di sostituirlo in tempi ragionevoli. In pratica, il CASP deve disporre di personale con competenze specifiche nel dominio esternalizzato: un CASP che affida la custody dei wallet a un fornitore esterno deve avere internamente le competenze per verificare l'adeguatezza dei sistemi di sicurezza del fornitore, non affidarsi ciecamente ai report di quest'ultimo.

La politica di esternalizzazione, i piani di emergenza e le strategie di uscita

Il paragrafo 2 impone al CASP di dotarsi di una politica di esternalizzazione formale e scritta, che deve includere piani di emergenza (business continuity plans) in caso di interruzione del servizio del fornitore e strategie di uscita (exit strategies) per gestire la transizione verso un fornitore alternativo o il rientro della funzione in-house. La politica deve essere calibrata sulla portata, la natura e la gamma dei servizi per le cripto-attività prestati: per un CASP che offre solo custodia, la politica si concentrerà sui fornitori di sicurezza e wallet management; per un exchange che offre servizi multipli, la politica avrà una portata molto più ampia. Le strategie di uscita devono essere realisticamente attuabili: non è sufficiente prevedere l'uscita «in linea teorica» se i tempi di migrazione sono incompatibili con la continuità operativa.

L'accordo scritto e il diritto di recesso

Il paragrafo 3 richiede la formalizzazione dell'esternalizzazione in un accordo scritto che definisca diritti e obblighi di entrambe le parti. L'accordo deve attribuire al CASP il diritto di porre termine al rapporto: clausole contrattuali che rendano impossibile o eccessivamente onerosa la risoluzione del contratto sarebbero incompatibili con l'art. 73. Questo requisito interagisce con le strategie di uscita: il CASP non può pianificare realisticamente un'uscita se il contratto non gli attribuisce il diritto di recesso. L'accordo deve inoltre riflettere i requisiti di accesso e audit previsti dalla lettera d), prevedendo diritti di ispezione in favore dell'autorità competente del CASP.

Protezione dei dati personali

La lettera g) e il relativo capoverso del paragrafo 1 impongono che i terzi rispettino le norme UE sulla protezione dei dati personali, con il CASP responsabile di inserire questa previsione negli accordi scritti. Il riferimento implicito è al GDPR (Regolamento (UE) 2016/679): in molti casi il fornitore esternalizzato agirà come «responsabile del trattamento» ai sensi del GDPR, e l'accordo scritto ex art. 73 dovrà fungere anche da accordo di responsabile del trattamento ex art. 28 GDPR. La cumulazione dei requisiti MiCA e GDPR nell'unico accordo contrattuale è la prassi raccomandata per garantire la coerenza dei flussi documentali.