MiCA Decoded è una serie settimanale di 12 articoli per Bitcoin.com News, scritta a quattro mani dai cofondatori e amministratori delegati di LegalBison: Aaron Glauberman, Viktor Juskin e Sabir Alijev. LegalBison offre consulenza alle aziende del settore crypto e FinTech in materia di licenze MiCA, richieste CASP e VASP e strutturazione normativa in Europa e oltre.
L’articolo di questa settimana è stato scritto da Krystian Lapka, avvocato presso LegalBison. Krystian è specializzato in transazioni societarie e commerciali transfrontaliere, oltre che nella gestione strategica del rischio all’intersezione tra diritto civile e common law.
La maggior parte dei fondatori che si appresta a presentare la propria prima domanda CASP comprende, almeno a livello astratto, che il MiCA richiede una presenza reale nell’UE. Ciò che sottovalutano è come l’autorità di regolamentazione definisca il termine “reale”.
La tipica configurazione iniziale sembra coerente sulla carta: una sede legale in una giurisdizione UE favorevole, un amministratore nominato nei documenti di governance, sistemi ICT ospitati su cloud o gestiti dall’infrastruttura globale del gruppo e capitale versato depositato su un conto bancario appena aperto. Da dentro, sembra un’azienda UE. Dal punto di vista di un’Autorità Competente Nazionale, potrebbe sembrare una casella postale con un amministratore annesso.
Questo articolo illustra ciò che i requisiti di sostanza del MiCA richiedono effettivamente in termini di personale, tecnologia e resilienza finanziaria, e spiega perché le autorità di regolamentazione trattano ciascuna categoria come un test funzionale piuttosto che come un esercizio di documentazione. La preoccupazione alla base di tutto ciò è la stessa: prevenire le società “casella postale”, entità che esistono sulla carta in una giurisdizione favorevole ma prive di qualsiasi attività economica significativa, capitale umano o capacità operativa al loro interno.
Il mito: presenza uguale sostanza
La logica normativa in questo caso è più antica del MiCA. Nella storica sentenza Cadbury Schweppes (Causa C-196/04), la Corte di giustizia dell’Unione europea ha stabilito che la libertà di stabilimento non può essere utilizzata per creare “accordi del tutto artificiali” privi di un’autentica attività economica. Il MiCA codifica tale principio direttamente nella regolamentazione delle cripto-attività.
L’articolo 59, paragrafo 2, del MiCA stabilisce che i CASP autorizzati devono avere la sede legale in uno Stato membro in cui svolgono almeno una parte dei loro servizi relativi alle cripto-attività, devono avere la sede di gestione effettiva all’interno dell’Unione e devono avere almeno un amministratore residente nell’Unione. La disposizione è breve. Ciò che si cela dietro di essa è notevolmente più impegnativo.
Il documento informativo dell’ESMA sull’autorizzazione dei CASP, sebbene non vincolante, indica chiaramente come le autorità nazionali competenti (NCA) dovrebbero interpretare questi requisiti nella pratica. Il divario tra il testo normativo e le aspettative delle autorità di vigilanza è il punto in cui molte domande incontrano difficoltà.
Personale: chi gestisce effettivamente questa entità
La soglia minima prevista dal MiCA è di un amministratore residente nell’UE. Le linee guida di vigilanza innalzano tale soglia. Il briefing dell’ESMA prevede che almeno due dirigenti senior supervisionino congiuntamente le operazioni quotidiane. La logica è semplice: un unico dirigente crea un rischio di concentrazione ed elimina i controlli interni richiesti da una struttura di governance funzionante. Due dirigenti con responsabilità definite e sovrapposte rappresentano la base di riferimento prevista.
La residenza non è di per sé sufficiente. Le linee guida indicano che, qualora un membro dell’organo di gestione non sia residente nella giurisdizione dell’NCA, tale persona dovrebbe essere in grado di partecipare alle riunioni di persona su richiesta dell’autorità entro due giorni lavorativi. Per le giurisdizioni in cui la vicinanza fisica all’autorità di vigilanza è importante dal punto di vista operativo, questo rappresenta un vincolo pratico sulla distanza massima dalla giurisdizione di origine a cui un amministratore può effettivamente trovarsi. L’impegno in termini di tempo è trattato con analoga serietà. La posizione dell’ESMA, come articolata nel suo Supervisory Briefing on Authorization of CASPs, è che i membri del consiglio di amministrazione esecutivo dovrebbero generalmente dedicare il 100% del loro tempo professionale al ruolo di CASP. Il doppio incarico, in cui la stessa persona ricopre funzioni esecutive in più entità, è consentito solo in circostanze limitate. Un dirigente che divide la propria attenzione tra il CASP e un’altra società del gruppo rischia di essere oggetto di scrutinio durante la valutazione di idoneità.
Le linee gerarchiche sono importanti tanto quanto i profili individuali. L’organo di gestione deve dimostrare che il controllo strategico e operativo risiede all’interno dell’entità UE, non presso una società madre in un paese terzo che prende le decisioni effettive e impartisce istruzioni verso il basso. Una controllata UE i cui dirigenti fungono funzionalmente da agenti di attuazione per una sede centrale non UE non è, in senso vigilanzistico, un’entità con una gestione UE effettiva.
La dimensione AML rafforza questo concetto. La persona responsabile della segnalazione di attività sospette (il MLRO) deve essere fisicamente presente, detenere un’autentica autorità all’interno dell’entità ed essere in grado di interagire direttamente con l’Unità di Informazione Finanziaria locale. Questo requisito riflette una tendenza globale più ampia: il Crypto-Asset Reporting Framework (CARF) del FATF e dell’OCSE opera secondo la stessa logica, estendendo i requisiti di sostanza e trasparenza oltre i confini dell’UE.
I requisiti di personale del MiCA e il CARF non sono sviluppi scollegati; riflettono uno standard internazionale convergente su come deve essere strutturato internamente un soggetto regolamentato nel settore delle criptovalute. Lo standard di idoneità collettiva di cui all’articolo 68, paragrafo 1, richiede che l’organo di gestione possieda conoscenze, competenze ed esperienza adeguate sia a livello individuale che collettivo. Come illustrato nella puntata precedente di questa serie, tale standard abbraccia la regolamentazione dei mercati finanziari tradizionali, l’infrastruttura DLT e la sicurezza informatica, nonché la governance organizzativa. Ciascuno di questi ambiti deve essere rappresentato all’interno dell’organico. Un team composto interamente da figure provenienti dal mondo delle criptovalute senza alcuna esperienza nei servizi finanziari regolamentati, o uno con una profonda esperienza nella finanza tradizionale ma privo della capacità di valutare il rischio on-chain, presenta lacune strutturali che il processo di valutazione non mancherà di far emergere.
Tecnologia: controllo, non solo hosting
Il regolamento DORA (Regolamento (UE) 2022/2554) si applica direttamente ai CASP e definisce il quadro dei requisiti di resilienza delle TIC. La domanda che le autorità di regolamentazione pongono in merito alla tecnologia non è quale infrastruttura utilizzi un’impresa. La domanda è chi la controlla.
L’infrastruttura cloud ospitata da AWS, Azure o fornitori simili è accettabile secondo…
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Alan Inman
Source link
