Una delle sfide attuali più importanti per il legislatore Europeo consiste nel delineare un quadro giuridico in grado di disciplinare efficacemente l’attività di circolazione e scambio delle valute virtuali.
Il quadro normativo dell’Unione Europea in materia di servizi finanziari, difatti, non era stato concepito prendendo in considerazione lo sviluppo della Distributed ledger technology (“DLT”), delle valute virtuali e delle attività ad esse correlate e presenta ancora oggi molte lacune e problemi interpretativi. Per tale ragione, una delle priorità della Commissione Europea consiste nello sviluppo di un quadro normativo che possa disciplinare tali cripto-attività e che garantisca trasparenza e tutela per il consumatore.
Il pacchetto sulla finanza digitale
Il pacchetto sulla finanza digitale adottato dalla Commissione europea si basa sulla nuova “strategia finanziaria digitale dell'UE”, volta a garantire che l'Unione Europea sviluppi un approccio che promuova lo sviluppo tecnologico, la stabilità finanziaria ed un livello adeguato di protezione dei consumatori. Oltre alla proposta di Regolamento MiCA (tema già trattato in un precedente articolo consultabile qui), il Pacchetto comprende due ulteriori e fondamentali regolamenti:
- un Regolamento sulla “resilienza operativa digitale per il settore finanziario” (Digital Operational Resilience Act) (il “Regolamento DORA” o “DORA”), che coinvolgerà non soltanto i fornitori di servizi per le cripto-attività;
- un Regolamento relativo ad un regime pilota per le infrastrutture di mercato basate sulla tecnologia DLT (il “Regolamento DLT” o “Regime Pilota DLT”);
In tal modo, il Pacchetto sta colmando una grande lacuna nella legislazione dell’UE e si inserisce in un quadro più ampio in materia di cripto-attività e DLT, essendo accompagnata da proposte atte ad assicurare che le normative già esistenti non ostacolino la diffusione delle nuove tecnologie e, al tempo stesso, a garantire che tali nuove tecnologie rientrino nell'ambito di applicazione della regolamentazione finanziaria ed in materia di gestione dei rischi delle imprese attive nel settore delle cripto-attività nell'UE.
I recenti sviluppi del quadro normativo in questione interesseranno la maggior parte dei players e delle imprese operanti nel settore digitale-finanziario e correlato alle cripto-attività, nonché nel settore dei fornitori di infrastrutture di mercato. Tali imprese dovranno dunque farsi trovare pronte nel momento in cui i regolamenti che costituiscono il Pacchetto in esame diverranno di volta in volta efficaci e pienamente vincolanti.
Il Regolamento DLT: cos’è e quando si applica
Il Regolamento DLT (Reg. 2022/858) è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea il 2 giugno 2022 e troverà applicazione a partire dal 23 marzo 2023.
Il Regime Pilota DLT risulta di fondamentale importanza in quanto è finalizzato a disciplinare le nuove infrastrutture di mercato che operano attraverso l’utilizzo della tecnologia DLT per la negoziazione riguardante cripto-asset qualificabili come “strumenti finanziari” (ai sensi della Direttiva UE 2014/65, conosciuta come Direttiva “MiFID II”).
In base a quanto affermato dalla Commissione, il Regolamento DLT mira a testare lo sviluppo delle infrastrutture europee per la negoziazione, la compensazione e il regolamento di strumenti finanziari basati sulla DLT, nonché alla creazione di un sistema regolamentare atto a garantire dei requisiti uniformi di gestione delle infrastrutture di mercato DLT in tutto il territorio dell’UE.
In particolare, oltre definire l’infrastruttura di mercato DLT, il regolamento in esame stabilisce dei requisiti specifici per i gestori delle infrastrutture per quanto concerne, inter alia:
- la concessione e la revoca di tali autorizzazioni specifiche;
- la concessione, la modifica e la revoca delle esenzioni;
- la gestione e la vigilanza di tali infrastrutture di mercato DLT;
- la collaborazione tra i gestori delle infrastrutture di mercato DLT, le autorità competenti e l'European Securities and Markets Authority (“ESMA”).
I gestori delle infrastrutture di mercato DLT dovranno inoltre elaborare un piano aziendale dettagliato che descriva come intendono svolgere le correlate attività, compresa una descrizione degli aspetti tecnici e dell'uso della DLT.
Il Regime Pilota DLT prevede anche l’obbligo di disporre di adeguate garanzie in relazione all’utilizzo della tecnologia DLT per assicurare un elevato grado di tutela degli investitori.
Il Regolamento DORA: i soggetti destinatari e gli obiettivi perseguiti
Uno degli obiettivi principali del DORA consiste, invece, nel tentativo di armonizzare le norme sulla gestione del rischio ICT per le entità finanziarie dell’UE. Per tale ragione, la portata del DORA è molto ampia e coinvolgerà quasi tutti gli attori del settore finanziario, comprendendo i cosiddetti enti finanziari tradizionali quali banche, enti creditizi, , imprese di investimento e compagnie assicurative, ma anche i nuovi players del mercato finanziario quali istituti di moneta elettronica, fornitori di servizi per le cripto-attività, emittenti di cripto-attività e fornitori di servizi di crowdfunding e di servizi ICT.
Il DORA, in estrema sintesi, definisce dei requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle imprese e delle organizzazioni che operano nel settore finanziario nonché delle terze parti critiche che forniscono servizi relativi alle tecnologie dell’informazione e della comunicazione (“TIC”), come piattaforme cloud o servizi di analisi dei dati.
Il Regolamento è caratterizzato dall’introduzione di obblighi uniformi concernenti, inter alia,:
- la governance e organizzazione interna;
- la gestione dei rischi relativi alle TIC;
- la gestione degli incidenti e reporting;
- la pianificazione di test di resilienza digitale;
- il monitoraggio rischi derivanti da fornitori terzi di servizi.
In tal modo, i soggetti destinatari saranno tenuti a garantire un elevato livello di “resilienza operativa digitale” nonché un elevato grado di sicurezza dei sistemi TIC che sostengono i processi commerciali degli attori finanziari.
Il Regolamento DORA è entrato in vigore il 17 gennaio 2023 e diventerà dunque efficace e vincolante a decorrere dal 17 gennaio 2025.
Avv. Gianmarco Rizzo