3 min
I testi attuativi contengono regole pratiche che integrano i due testi, che mirano a disciplinare i criptoasset e a garantire la sicurezza digitale relativa alle attività finanziarie
Un altro passo avanti nella costruzione del quadro normativo sulla finanza digitale e la cybersecurity, con l’adozione da parte della Commissione europea di cinque atti delegati sull’Atto sulla resilienza operativa digitale (Dora) e quattro atti delegati sul Regolamento sui mercati di criptoasset (Mica). Gli atti delegati sono i primi di una serie di documenti normativi che completeranno la disciplina sulle questioni di cybersecurity relative al settore finanziario e ai criptoasset.
Il Mica – o Markets in Crypto-Assets Regulation – è il regolamento che istituisce norme di mercato coerenti per i cryptoasset in tutta l’Ue, al fine di coprire asset che finora sono sfuggiri alla regolamentazione dei servizi finanziari, tutelare gli investitori, aumentare la trasparenza e determinare un quadro di vigilanza. Le nuove norme riguardano gli emittenti di utility token, token collegati ad attività e cosiddetti “stablecoin”. Si applicano anche ai fornitori di servizi come ad esempio le piattaforme di trading e i portafogli in cui sono detenute le criptoattività.
“L’attuazione del Mica è pronta a portare significativi cambiamenti per le entità che forniscono servizi in criptoattività”, ha spiegato in un recente intervento Verena Ross, presidente dell’Esma (la “Consob” europea). “Tutto parte dall’obbligo di stabilire una presenza fisica e ottenere una licenza nell’Ue prima di poter iniziare a offrire servizi ai cittadini dell’area. Per ottenere un’autorizzazione, questi fornitori di servizi di criptoattività dovranno dimostrare un elevato livello di resilienza operativa, adottare robusti standard di governance e processi consolidati per combattere gli abusi di mercato”, ha aggiunto Ross.
Questi operatori saranno soggetti ai requisiti di base del Mica, ma per alcune società che forniscono specifici servizi ci saranno anche delle regole aggiuntive da seguire: per esempio, le piattaforme di trading per criptoattività saranno soggette a requisiti di disclosure e conservazione dei dati. “Ciò significa che, in ultima analisi, possiamo supervisionare ciò che sta accadendo in quei mercati”, ha commentato Ross.
Anche se c’è ancora molta strada da fare prima che il Mica entri completamente in vigore, nel 2025, gli atti delegati sono un primo passo per la costruzione di un sistema di regole sui criptoasset che siano efficaci e permettano di tutelare gli investitori e preservare la stabilità finanziaria. Tra gli atti delegati appena adottati, il primo specifica le norme procedurali per l’esercizio del potere di enforcement dell’Eba nei confronti degli emittenti di token relativi ad asset significativi e di token di moneta elettronica significativi; il secondo specifica i requisiti per definire come significativi tali token; il terzo specifica le regole sulle commissioni applicate dall’Eba agli emittenti già citati; l’ultimo specifica i criteri e i fattori di cui l’Esma, l’Eba e le altre autorità dovranno tenere conto in relazione ai loro poteri di intervento.
Il Digital Operational Resilience Act, o Dora, è un regolamento che stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle società e delle organizzazioni che operano nel settore finanziario, ma anche delle terze parti critiche che forniscono loro servizi relativi alle tecnologie dell’informazione e della comunicazione, come per esempio le piattaforme cloud o di servizi di analisi dei dati.
Anche il Dora, formalmente in vigore da gennario 2023, diventerà pienamente operativo nel 2025. La Commissione ha adottato due nuovi atti delegati a fine febbraio, uno relativo alla determinazione delle fee per le terze parti critiche da corrispondere per la vigilanza e la seconda sulle regole per definire come critiche queste terze parti che forniscono servizi digitali.
Il 13 marzo sono stati inoltre adottati altri tre atti delegati: uno sugli standard tecnici che specificano i criteri di classificazione degli incidenti legati ai servizi It e alle minacce digitali, che fissano soglie di materialità e specificano i dettagli dei report sugli incidenti rilevanti; il secondo sugli standard tecnici regolatori che specificano il contenuto delle policy contrattuali nel caso di servizi It che supportano funzioni critiche o importanti fornite da terze parti; il terzo contiene gli standard tecnici che specificano gli strumenti di risk management per i rischi It, oltre a metodi, processi, policy e il framework semplificato sul risk management digitale.
Gli atti delegati ora dovranno essere esaminati dal Consiglio dell’Unione europea e dal Parlamento europeo, che hanno un periodo di tre mesi per sollevare obiezioni, prolungabile di altri tre mesi. Gli atti verranno applicati una volta scaduto il termine, nel caso in cui non siano state sollevate obiezioni.
Vuoi ricevere ogni mattina le notizie di FocusRisparmio? Iscriviti alla newsletter
Registrati sul sito, entra nell’area riservata e richiedila selezionando la voce “Voglio ricevere la newsletter” nella sezione “I MIEI SERVIZI”.