Licenza MiCA a Malta

Al fine di garantire un regime di vigilanza e segnalazione uniforme e armonizzato, l’MFSA ha inoltre approvato materiale di supporto, tra cui moduli di segnalazione regolamentare per i CASP e linee guida tecniche per agevolare l’attuazione pratica dei nuovi obblighi di segnalazione. Questi materiali sono il risultato di un processo di consultazione avviato dall’MFSA nel gennaio 2025 e costituiscono parte integrante del supporto metodologico per l’attuazione del MiCA nelle giurisdizioni maltesi. Inoltre, la Malta Financial Services Authority ha apportato modifiche mirate alla Sezione 3 del Regolamento sugli Istituti Finanziari (FIR/03) che disciplina le persone giuridiche che emettono token monetari elettronici (EMT). La sezione modificata stabilisce un elenco di regolamenti, disposizioni statutarie, standard tecnici e documenti guida obbligatori per gli emittenti interessati al fine di garantire che le loro attività siano armonizzate con il quadro normativo generale stabilito nel Regolamento MiCA. Costituisce inoltre un ponte tra la regolamentazione degli istituti di pagamento e il nuovo regime paneuropeo sulle criptovalute, volto ad armonizzare gli approcci ed eliminare la frammentazione nella vigilanza.

Nell’ambito delle modifiche approvate, è stato rivisto il regime di notifica per l’outsourcing e la protezione del patrimonio dei clienti. È obbligatorio presentare tutta la documentazione relativa a tali transazioni esclusivamente tramite il portale elettronico LH. Inoltre, per tutte le modifiche agli accordi di outsourcing o ai protocolli di gestione del patrimonio dei clienti, è stato stabilito un preavviso minimo di almeno 60 giorni di calendario prima della data di entrata in vigore prevista della modifica. Tali misure mirano ad aumentare la prevedibilità, la trasparenza e la gestibilità complessiva dei rischi operativi associati alle attività degli emittenti di EMT. Le suddette disposizioni normative sono entrate in vigore dalla data di pubblicazione ufficiale e sono direttamente applicabili. Sono considerate una conseguenza diretta degli obblighi della Repubblica di Malta di attuare il diritto dell’Unione Europea o un chiarimento di norme preesistenti vincolanti per i soggetti autorizzati che svolgono attività regolamentate. L’MFSA sottolinea che tutte le informazioni normative pertinenti, comprese le successive modifiche e integrazioni, sono disponibili per le parti interessate sul sito web ufficiale dell’autorità di regolamentazione. Le domande relative all’applicazione e all’interpretazione del Regolamento MiCA devono essere indirizzate all’unità specializzata FinTech Policy dell’MFSA attraverso i canali di comunicazione stabiliti. Queste azioni dimostrano la posizione sistematica e coerente dell’autorità di regolamentazione maltese verso l’attuazione di una politica giuridica paneuropea sulla finanza digitale, nonché il suo impegno a garantire un regime normativo prevedibile e sostenibile per tutti coloro che svolgono attività professionali con criptovalute a Malta, in conformità con i requisiti del Regolamento MiCA.

Regolamentazione dei mercati delle criptovalute a Malta

A partire dal 2025, il Regolamento (UE) 2023/1114 sui mercati delle criptovalute (MiCA) è entrato nella fase di attuazione diretta, segnando l’inizio di una nuova fase nella regolamentazione giuridica delle criptovalute all’interno dell’Unione Europea. Il MiCA costituisce un regime normativo completo che copre tutti gli aspetti chiave della criptoeconomia, comprese le norme per l’emissione, l’offerta pubblica e l’ammissione di token sulle piattaforme di trading, nonché il rilascio di licenze e la supervisione dei fornitori di servizi di criptovalute (CASP). Particolare attenzione è rivolta ai token garantiti da attività (ART) e ai token di moneta elettronica (EMT), per i quali sono previste categorie distinte di requisiti. Il regolamento riguarda tipologie di criptovalute che in precedenza erano escluse dall’attuale legislazione UE sui servizi finanziari. L’obiettivo principale del nuovo regolamento è trovare un equilibrio tra il sostegno all’innovazione tecnologica e la garanzia della stabilità finanziaria, della prevedibilità giuridica e dell’integrità del mercato. Particolare enfasi è posta sulla tutela dei consumatori, che si riflette nelle disposizioni che stabiliscono l’obbligo dei fornitori di servizi di agire in buona fede, in modo equo e nel migliore interesse dei clienti, assicurandosi che siano informati sulla natura e sui rischi delle transazioni in criptovalute. L’informativa deve essere completa, accurata e favorire un processo decisionale consapevole. Prima dell’attuazione del MiCA, la Repubblica di Malta disponeva di una propria architettura normativa unica per gli asset digitali. Nel 2018 è stato promulgato il Virtual Financial Assets Act (VFA, Capitolo 590 delle Leggi di Malta), che ha segnato il primo tentativo dell’UE di creare una regolamentazione specializzata per gli asset digitali. La legge ha introdotto un sistema di licenze a quattro categorie per i fornitori di servizi di criptovalute (VFASP) e ha inoltre previsto la supervisione da parte della MFSA, l’autorità competente per la regolamentazione finanziaria.

Tuttavia, con l’introduzione del MiCA, il quadro giuridico nazionale ha subito una trasformazione. Il nuovo regolamento è integrato nell’ordinamento giuridico maltese come atto UE direttamente applicabile, che richiede l’armonizzazione del precedente regime VFA con le disposizioni del MiCA. Questa trasformazione mira ad allineare tutti i meccanismi esistenti agli standard paneuropei e ad eliminare le sovrapposizioni tra fonti nazionali e sovranazionali di regolamentazione del mercato delle criptovalute. Al fine di garantire la piena conformità al Regolamento MiCA, la Repubblica di Malta ha modificato la Legge sui Beni Finanziari Virtuali (VFA) attraverso l’emanazione della Legge n. XIV del 2024 e ha inoltre emanato una nuova Legge sui Mercati delle Criptovalute. Inoltre, la Malta Financial Services Authority (MFSA) ha pubblicato un documento normativo specializzato, il MiCA Rulebook, volto a fornire guida e supporto agli operatori del mercato delle criptovalute, esistenti e potenziali, che operano a Malta nell’ambito della nuova architettura giuridica paneuropea. Per le società già registrate come fornitori di servizi ai sensi del regime VFA, è previsto un meccanismo di transizione semplificato ai requisiti MiCA. Questo meccanismo consente un completamento agevole e rapido del processo di adattamento, mantenendo al contempo la legalità dell’attività durante il periodo di transizione. Il MiCA stabilisce un sistema di classificazione unico per le criptovalute soggette a regolamentazione, inclusi gli asset reference token (ART), i token di moneta elettronica (EMT) e tutte le altre criptovalute che non rientrano in queste categorie. Queste ultime includono, tra gli altri, gli utility token e le criptovalute come Bitcoin. Ai sensi del MiCA, le criptovalute sono definite come espressioni digitali di valore o diritti, progettate per essere negoziate e archiviate utilizzando la tecnologia di contabilità distribuita e in grado di fornire rendimenti di mercato o di investimento ai loro detentori, inclusi gli utenti al dettaglio.

Tra le principali modifiche introdotte nell’ordinamento giuridico maltese in relazione all’attuazione del MiCA, particolare attenzione è stata rivolta alla semplificazione della procedura di richiesta di autorizzazione. Le modifiche alla legge VFA, entrate in vigore a seguito dell’adozione del MiCA, hanno eliminato l’obbligo di nominare un agente VFA. D’ora in poi, chiunque intenda registrare una documentazione tecnica (white paper) o presentare domanda per fornire servizi regolamentati nell’ambito del regime VFA avrà il diritto di inviare i documenti direttamente alla MFSA senza la necessità di un agente autorizzato. Il MiCA introduce inoltre requisiti di contenuto più rigorosi per la documentazione tecnica presentata dagli emittenti di criptovalute. I white paper devono contenere informazioni dettagliate sull’emittente, sulla natura del token, sui termini dell’offerta e sui rischi di investimento e operativi. Il contenuto del white paper varia a seconda della categoria di asset (ART, EMT o utility token) ed è soggetto ad approvazione normativa. L’ottenimento di una licenza ai sensi del MiCA conferisce al richiedente i cosiddetti “diritti di passaporto”, consentendogli di fornire servizi autorizzati relativi alle criptovalute in tutta l’Unione Europea senza la necessità di ottenere ulteriori autorizzazioni in altri Stati membri. Questa disposizione rappresenta un incentivo significativo per la scelta di Malta come giurisdizione per il rilascio delle licenze. Oltre ai requisiti tecnici e strutturali, il MiCA contiene disposizioni relative alla correttezza del marketing, alla tutela dei consumatori e alla conformità alle norme antiriciclaggio. Tutto il materiale di marketing, inclusi i messaggi pubblicitari e le descrizioni dei servizi, deve essere obiettivo, veritiero e non fuorviante. Tali materiali sono soggetti all’obbligo di comunicazione all’MFSA e di pubblicazione in una forma accessibile ai clienti. Le aziende sono tenute a conformarsi ai requisiti AML/CFT in conformità con i regolamenti UE e le linee guida emanate dall’Unità di Informazione Finanziaria Maltese (FIAU).

Il nuovo quadro giuridico fornisce quindi un regime normativo istituzionalmente stabile e integrato per le criptovalute, semplificando al contempo i processi di transizione per gli operatori esistenti e migliorando la trasparenza e la protezione degli utenti finali nel mercato maltese delle criptovalute.

Requisiti del mercato delle criptovalute a Malta

Al fine di conformarsi al nuovo regime normativo stabilito dal Regolamento MiCA, le organizzazioni che operano ai sensi della legislazione maltese sulle attività finanziarie virtuali (VFA), nonché le società che intendono entrare nel mercato maltese, sono tenute ad adottare misure di adeguamento normativo interno e ad allineare le proprie attività ai requisiti della normativa europea. Inizialmente, dovrebbe essere effettuata una valutazione legale e di conformità dell’impatto del MiCA sulla struttura e sulla natura dei servizi forniti. Nell’ambito di tale valutazione, si raccomanda di classificare i token emessi o i servizi offerti in base alla tassonomia MiCA delle criptovalute, inclusi i token di riferimento degli asset (ART), i token di moneta elettronica (EMT) e altre criptovalute che non rientrano in queste categorie. Sulla base della classificazione effettuata, è necessario determinare se le attività di un’entità rientrano nella licenza di Crypto Asset Service Provider (CASP) e se è richiesta un’autorizzazione appropriata. Per le società che operano già nell’ambito del regime VFA, sono in vigore disposizioni transitorie per consentire un’integrazione graduale nel nuovo sistema normativo. Al fine di garantire una transizione efficace, è consigliabile contattare la Malta Financial Services Authority (MFSA) per ottenere chiarimenti sulle tempistiche e sui requisiti previsti per il periodo di transizione. È inoltre necessario condurre un audit interno della struttura aziendale, rivedere le condizioni di licenza e adattare la normativa interna per tenere conto dei requisiti MiCA e CASP.

Le entità che intendono avviare attività nel settore delle criptovalute a Malta in conformità con il MiCA devono richiedere una licenza all’MFSA. La domanda deve essere corredata da una documentazione completa, che includa un piano aziendale, una descrizione della struttura di gestione, della gestione del rischio, della sicurezza delle informazioni e delle politiche di protezione dei dati dei clienti. Inoltre, il richiedente è tenuto a confermare l’esistenza di un sistema interno antiriciclaggio (AML), il rispetto degli standard prudenziali e l’adempimento degli obblighi relativi alla tutela dei clienti. Pertanto, la transizione al regime MiCA richiede a tutti i partecipanti al mercato maltese delle criptovalute di adottare un approccio proattivo all’adeguamento normativo e alla tempestiva trasformazione giuridica dei propri processi aziendali, in linea con la nuova architettura giuridica paneuropea. Nel contesto dell’attuazione attiva delle disposizioni del Regolamento MiCA, è di particolare importanza aggiornare la documentazione normativa interna delle organizzazioni che operano nel mercato delle criptovalute. Data la crescente attenzione dell’autorità di regolamentazione maltese alla conformità, si consiglia alle aziende di rivedere e modernizzare le proprie politiche di conformità, sviluppare procedure di monitoraggio interno, implementare meccanismi di gestione del rischio e garantire una formazione sistematica del personale sul quadro normativo MiCA. Tali misure dovrebbero mirare a rendere le organizzazioni più resilienti al controllo normativo e ad attenuare i rischi legali e operativi.

Un elemento importante della conformità al MiCA è garantire la piena tutela dei diritti dei consumatori. A tale proposito, le aziende dovrebbero condurre una revisione completa dei loro termini di servizio, delle comunicazioni di marketing e dei contratti con gli utenti per garantirne la trasparenza, l’equità e l’accuratezza. Le informazioni divulgate dovrebbero essere presentate in modo comprensibile e consentire ai consumatori di prendere decisioni informate quando interagiscono con criptovalute e servizi correlati. Il MiCA offre anche significative opportunità strategiche per la crescita e l’espansione aziendale. Grazie a un quadro giuridico uniforme, le aziende registrate a Malta possono accedere alla fornitura di servizi transfrontalieri attraverso un meccanismo di passaporto. Ciò offre alle organizzazioni l’opportunità di implementare modelli di business scalabili e rafforzare la propria presenza nel mercato dell’Unione Europea senza la necessità di ottenere licenze separate in ciascuna giurisdizione. Il Regolamento MiCA rappresenta un’importante pietra miliare nello sviluppo di uno spazio finanziario digitale unico nell’UE, promuovendo la certezza del diritto, la standardizzazione degli approcci e l’armonizzazione dei requisiti per tutti i partecipanti al criptoecosistema. Malta, uno dei primi paesi a istituire un’infrastruttura di regolamentazione nazionale per le criptovalute, integra perfettamente il suo sistema nel contesto giuridico paneuropeo. Ciò consente agli attuali operatori del mercato maltese di beneficiare di un regime transitorio e ai nuovi operatori di accedere a un’infrastruttura normativa matura e alle competenze dell’autorità di vigilanza locale. La conformità al MiCA va oltre il semplice adempimento formale dei requisiti normativi. Getta le basi per operazioni sostenibili e legittime nel mercato transfrontaliero delle criptovalute, creando fiducia con autorità di regolamentazione, investitori e clienti e creando un ambiente favorevole per lo sviluppo aziendale a lungo termine in un contesto di stabilità giuridica e coerenza operativa.

Regolamento UE MiCA sui criptoasset

Il Regolamento dell’Unione Europea 2023/1114 sui mercati delle criptovalute (MiCA) stabilisce un regime giuridico armonizzato a livello UE che disciplina l’emissione, l’offerta e la gestione delle criptovalute, nonché le attività dei relativi fornitori di servizi. L’obiettivo principale di questo regolamento è garantire la certezza del diritto, tutelare gli interessi degli investitori e rafforzare la resilienza del sistema finanziario in un ambiente digitalizzato. Dal 30 dicembre 2024, il MiCA sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea, inclusa la Repubblica di Malta, dove il regolamento è stato pienamente integrato nell’ordinamento giuridico nazionale. Il MiCA si applica a tutti gli emittenti di criptovalute e ai fornitori di servizi relativi alle criptovalute (CASP), indipendentemente dal loro paese di costituzione, a condizione che tali attività siano incentrate su residenti nell’Unione Europea. Il regolamento riguarda le persone giuridiche che offrono cripto-attività al pubblico o ne richiedono l’ammissione alle piattaforme di trading, nonché quelle che forniscono servizi di custodia, scambio, esecuzione degli ordini dei clienti, gestione dei sistemi di trading, trasferimento di attività, consulenza sugli investimenti e gestione di portafogli basati su cripto-attività. Gli emittenti di token collegati ad asset (ART) e token di moneta elettronica (EMT) sono soggetti a una regolamentazione separata, con requisiti prudenziali e operativi aggiuntivi. Tuttavia, le valute digitali delle banche centrali (CBDC), la maggior parte dei token non fungibili (NFT), le cripto-attività qualificabili come strumenti finanziari ai sensi della Direttiva MiFID IIe le applicazioni decentralizzate (DeFi), a condizione che non vi siano intermediari identificabili a livello centrale, sono escluse dall’ambito di applicazione del MiCA. Tuttavia, non è esclusa la possibilità di una futura regolamentazione di queste forme di attività digitale a livello UE.

Le violazioni del MiCA comporteranno sanzioni amministrative da parte delle autorità di vigilanza. Tra le possibili misure rientrano la sospensione o la revoca della licenza, multe fino a 15 milioni di euro o fino al 15% del fatturato globale annuo della persona giuridica inadempiente. In alcuni casi, la divulgazione pubblica della violazione è consentita al fine di tutelare gli interessi dei consumatori e degli operatori di mercato. Gli emittenti di criptovalute e i fornitori di servizi CASP sono tenuti a sottoporsi a una procedura di pre-autorizzazione presso l’autorità competente dello Stato membro dell’UE interessato. Il pacchetto di autorizzazione include una descrizione della struttura organizzativa, del sistema di controllo interno e di gestione del rischio, la conferma di risorse finanziarie sufficienti e informazioni sulla conformità ai requisiti AML/CFT. Gli emittenti, a loro volta, sono tenuti a predisporre una documentazione tecnica (white paper), che illustri gli obiettivi dell’emissione di criptovalute, una descrizione del loro modello di circolazione, i principi operativi e le misure per la tutela dei detentori, nonché i rischi di investimento e operativi. A seconda della categoria di criptovalute, tale documento è soggetto ad approvazione normativa preventiva o viene inviato come notifica ufficiale.

Il Regolamento MiCA crea quindi un contesto normativo dettagliato e vincolante volto a rafforzare la trasparenza e la fiducia nel mercato europeo delle criptovalute, nonché a eliminare la frammentazione degli approcci nazionali precedentemente applicati nelle singole giurisdizioni. Per gli emittenti di stablecoin, in particolare asset reference token (ART) e token di moneta elettronica (EMT), il Regolamento MiCA prevede obblighi normativi rafforzati. Questi emittenti sono tenuti a mantenere riserve integralmente garantite, a garantire ai detentori di token un diritto incondizionato al rimborso in contanti e a comunicare informazioni sulla composizione delle riserve, sulla loro liquidità, sui rischi di concentrazione e sulle relative modalità di gestione. Inoltre, vi è l’obbligo di informativa periodica e di revisione contabile indipendente dei bilanci e degli accordi di garanzia. Lo scopo di tali obblighi è ridurre al minimo i rischi sistemici associati al possibile ritiro simultaneo di token dal mercato, garantire il diritto dei detentori alla protezione in caso di comunicazione incompleta o distorta delle informazioni e mantenere la trasparenza e la sostenibilità delle transazioni con asset digitali garantiti. Gli emittenti ART ed EMT sono soggetti a supervisione continua da parte di un’autorità di regolamentazione competente e sono tenuti a rispettare gli standard prudenziali, operativi e di rendicontazione previsti dal MiCA e dalle relative leggi dell’Unione Europea. Nel contesto maltese, l’integrazione giuridica del MiCA è stata realizzata attraverso l’emanazione del Markets in Crypto-Assets Act e della legislazione secondaria, incluso il MiCA Fees Regulations. Allo stesso tempo, sono state apportate modifiche alle disposizioni precedentemente in vigore del Virtual Financial Assets Regulations, prevedendo la cessazione delle norme non più pertinenti a causa dell’attuazione del nuovo quadro giuridico paneuropeo. Le funzioni di vigilanza e di rilascio delle licenze ai sensi del MiCA a Malta sono affidate alla Malta Financial Services Authority (MFSA). – che agisce in qualità di autorità competente ai sensi delle disposizioni del Regolamento.

Malta, una delle prime giurisdizioni dell’UE a introdurre una legislazione specializzata in materia di criptovalute nel 2018, offre ai richiedenti un contesto giuridico stabile con un elevato livello di trasparenza normativa. I vantaggi della giurisdizione includono un processo di licenza prevedibile e strutturato, un ecosistema blockchain ben sviluppato, la possibilità di utilizzare il meccanismo di passaporto per fornire servizi in tutta l’Unione Europea una volta ottenuta l’autorizzazione a Malta, nonché una posizione geografica favorevole, un regime fiscale favorevole e una rete di trattati contro le doppie imposizioni con oltre 70 paesi. L’ottenimento di una licenza ai sensi del MiCA richiede la presentazione di un pacchetto completo di documenti, tra cui un solido piano aziendale, una descrizione della struttura proprietaria, degli accordi di governance aziendale, della strategia IT e dei piani di sicurezza delle informazioni, delle procedure interne antiriciclaggio e di tutela dei consumatori. Nella fase di valutazione, l’autorità di regolamentazione analizza non solo l’idoneità giuridica e organizzativa del richiedente, ma anche la sua capacità di operare in modo sostenibile a lungo termine, la stabilità finanziaria, la trasparenza dei processi e un’adeguata gestione del rischio. Vengono inoltre esaminati il sistema di controllo interno, il rispetto degli obblighi di informativa e la verifica tecnica della documentazione, inclusi i white paper. Data la complessità della procedura di autorizzazione e la necessità di conformarsi a un’ampia gamma di requisiti normativi, tra cui le disposizioni MiCA e gli atti paralleli dell’UE (in particolare DORA, AML e GDPR), si consiglia ai richiedenti di avvalersi di consulenti legali e normativi qualificati con esperienza nella gestione delle relazioni con l’MFSA e una conoscenza specialistica del diritto finanziario e delle criptovalute europeo.

Regolamentazione MiCA a Malta

Nel marzo 2025, la Malta Financial Services Authority (MFSA) ha approvato e implementato un quadro normativo denominato MiCA Rulebook, un documento normativo completo che disciplina gli emittenti di criptovalute e i relativi fornitori di servizi nella Repubblica di Malta. Tale atto è stato emanato ai sensi dell’articolo 38 del Cryptoasset Markets Act 2024 (Cap. 647 delle Leggi di Malta) e attua le disposizioni del Regolamento sui Mercati delle Criptovalute (UE) 2023/1114 (MiCA). Il Rulebook mira a stabilire procedure di licenza uniformi e prevedibili, a mantenere la certezza del diritto e a formalizzare i requisiti per le persone che operano come CASP ed emittenti di asset reference token (ART). Il documento è strutturato in quattro aree principali: principi normativi generali, procedure di licenza, requisiti di conformità continua e standard normativi specializzati applicabili agli emittenti CASP e ART. Per quanto riguarda le licenze, vengono stabilite procedure di richiesta chiare sia per i fornitori di servizi di criptovalute che per gli emittenti di stablecoin legate agli asset. Il Regolamento contiene inoltre disposizioni relative agli obblighi di notifica del whitepaper, che devono rispettare i requisiti di trasparenza, affidabilità e divulgazione esaustiva delle informazioni relative all’asset digitale. Il Regolamento presta particolare attenzione alla corretta classificazione delle criptovalute in base alla loro natura giuridica, come determinato attraverso test e metodologie raccomandati dall’Autorità europea degli strumenti finanziari e dei mercati (ESMA), nonché dalle linee guida congiunte elaborate dalle autorità di vigilanza europee (ESA). Ciò garantisce un’interpretazione uniforme e riduce al minimo i rischi di incertezza normativa.

Nell’ambito della procedura di autorizzazione, viene effettuata una due diligence sui soggetti soggetti a pre-approvazione da parte dell’MFSA. Tale verifica riguarda i membri del consiglio di amministrazione, i soggetti che detengono interessi qualificati, il personale dirigente con responsabilità strategiche e i responsabili della conformità, tra cui l’MLRO (responsabile AML/CFT) e il Compliance Officer. Questi soggetti sono soggetti a criteri di professionalità e onorabilità e indipendenza dal management esecutivo. Quest’ultimo non deve essere coinvolto in attività operative e deve garantire il continuo rispetto dei requisiti di legge. Inoltre, i richiedenti sono tenuti a dimostrare di disporre di livelli sufficienti di capitale regolamentare, in conformità all’articolo 67 del MiCA per i CASP e all’articolo 35 del MiCA per gli emittenti ART. Anche i sistemi di governance interna, i controlli del rischio, la governance aziendale e le procedure di controllo interno che garantiscono la capacità del richiedente di operare in conformità agli standard normativi e di tutelare i diritti dei clienti sono soggetti a revisione e valutazione. La procedura per ottenere una licenza ai sensi del MiCA a Malta si compone di tre fasi: approvazione di principio, soddisfacimento delle condizioni pre-licenza e autorizzazione finale a svolgere attività regolamentate. La fase di pre-autorizzazione include la presentazione di documenti costitutivi aggiornati, conferme finanziarie, certificati di nomina dei dirigenti chiave, accordi di esternalizzazione e altri documenti richiesti dall’MFSA. Dopo il rilascio dell’autorizzazione definitiva, l’autorità di regolamentazione ha il diritto di imporre ulteriori condizioni da soddisfare già nel corso delle attività operative, tra cui l’obbligo di presentare piani di uscita, ristrutturazione, audit interno e altri obblighi volti a garantire la sostenibilità e l’affidabilità dell’entità autorizzata.

È stata istituita una regolamentazione separata per quanto riguarda la notifica della documentazione tecnica (whitepaper) che accompagna l’emissione di criptovalute. Ai sensi del MiCA, tali documenti devono essere presentati all’autorità di vigilanza esclusivamente tramite notifica, senza una procedura di pre-approvazione. Il Regolamento MiCA differenzia la procedura di notifica a seconda della categoria di criptovalute (ART, EMT, utility token) e definisce i requisiti per la struttura e il contenuto del whitepaper, inclusa la divulgazione di informazioni su sostenibilità, rischi climatici, funzionalità dei token, diritti dei titolari e modello operativo. Se vengono apportate modifiche a un whitepaper già presentato, il richiedente è tenuto a notificare nuovamente l’MFSA, specificando le modifiche apportate e giustificandone l’impatto sui diritti dei consumatori e sulla stabilità del progetto. Il quadro normativo prevede anche una procedura per la rinuncia volontaria di una licenza. Un’entità che intenda cessare le attività regolamentate deve darne comunicazione all’MFSA, fornire il verbale della delibera societaria, confermare la completa cessazione delle attività, adempiere a tutti gli obblighi nei confronti dei clienti, non avviare procedimenti legali o amministrativi e rimuovere qualsiasi riferimento alla licenza nei materiali pubblici e di marketing. In caso di liquidazione della società, la documentazione giustificativa deve essere presentata in conformità con il diritto societario della Repubblica di Malta. Per quanto riguarda l’adempimento degli obblighi correnti del CASP, il Regolamento MiCA fa riferimento a un’ampia gamma di standard tecnici sovranazionali che coprono aree chiave di attività. Questi includono la divulgazione dell’impatto climatico degli algoritmi di consenso, la sostenibilità dell’infrastruttura IT e dei processi aziendali, la tenuta dei registri e la contabilità, la gestione dei reclami dei consumatori, la gestione dei conflitti di interesse, la trasparenza delle piattaforme di trading e gli standard per i servizi di consulenza e di pagamento.

La fornitura transfrontaliera di servizi è ulteriormente regolamentata: le aziende sono tenute a notificare preventivamente all’MFSA se intendono espandere la propria portata geografica, nonché in caso di incidenti informatici, reclami dei clienti, modifiche strutturali o legali che incidono sui diritti di partecipanti, titolari o clienti. Tali disposizioni mirano a garantire il funzionamento stabile dei CASP in un contesto transfrontaliero, la tempestiva comunicazione delle informazioni all’autorità di regolamentazione e la tutela dei diritti dei consumatori in tutta l’UE. Particolare attenzione è rivolta alla governance interna e ai controlli organizzativi nell’ambito dei requisiti normativi stabiliti nel Regolamento MiCA. I fornitori di servizi di criptovalute (CASP) sono tenuti a mantenere un sistema di doppio controllo, una presenza fisica e un centro operativo a Malta, risorse umane sufficienti e commisurate al volume e alla complessità dei servizi forniti e una struttura di governance aziendale conforme ai criteri normativi stabiliti. La struttura aziendale richiede una funzione di audit interno indipendente, una funzione di gestione del rischio e procedure di monitoraggio della conformità. Gli organi di governance devono approvare politiche strategiche e operative che coprano le principali aree aziendali, tra cui la politica retributiva, la gestione del rischio informatico, il meccanismo di rilevamento delle violazioni, il sistema di controllo interno e la prevenzione e gestione dei conflitti di interesse. I requisiti di governance aziendale si applicano sia ai membri del consiglio di amministrazione che ai dirigenti senior, con particolare attenzione a garantire l’indipendenza, la separazione dei compiti, la formalizzazione delle procedure di rendicontazione e un adeguato controllo sull’attuazione delle decisioni aziendali. Il MiCA Rulebook sviluppato dalla Malta Financial Services Authority non è quindi solo uno strumento di attuazione delle disposizioni del Regolamento (UE) 2023/1114, ma anche una piattaforma normativa avanzata volta a garantire un elevato grado di trasparenza, certezza del diritto e conformità alla sostenibilità nell’ecosistema delle criptovalute. Questo documento sancisce uno standard approccio integrato alla regolamentazione dei CASP e degli emittenti di token, garantendo prevedibilità e uniformità delle pratiche normative a livello nazionale.

Nell’aprile 2025, l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) ha pubblicato i risultati di una revisione paritaria condotta sulle attività dell’MFSA relative all’autorizzazione dei CASP nell’ambito dell’attuazione del MiCA. La revisione faceva parte di un meccanismo di vigilanza paneuropeo e mirava a valutare la coerenza e l’efficacia delle procedure di autorizzazione applicate negli Stati membri. Secondo il rapporto pubblicato dall’ESMA, l’MFSA dispone delle risorse umane, istituzionali e organizzative necessarie per svolgere le sue funzioni nell’ambito della vigilanza e della regolamentazione dei CASP. Tuttavia, nell’ambito di uno studio di caso relativo all’autorizzazione di un fornitore di servizi (il cui nome non è stato divulgato), l’ESMA ha individuato alcune carenze in termini di conformità alle procedure formali. Di conseguenza, l’autorità di regolamentazione maltese è stata qualificata come “parzialmente conforme” agli standard e alle aspettative stabiliti a livello sovranazionale. Questa valutazione sottolinea la necessità di continuare a rafforzare le pratiche di regolamentazione e ad armonizzare gli approcci tra i quadri normativi nazionali ed europei.

Il Comitato di Revisione Pari dell’ESMA, il PRC, ha raccomandato all’autorità di regolamentazione maltese di adottare misure correttive in relazione alle questioni irrisolte esistenti al momento del rilascio dell’autorizzazione. In particolare, è stata posta l’enfasi sulla necessità di rivedere gli approcci alla valutazione pre-domanda, tra cui la completezza dell’analisi del modello di business, l’adeguatezza del sistema di controllo interno, la maturità della funzione di conformità e l’adeguatezza delle misure per prevenire i rischi di riciclaggio di denaro e finanziamento del terrorismo. La relazione dell’ESMA sottolinea che il suo contenuto non è rivolto esclusivamente contro l’MFSA, ma funge da modello per lo sviluppo di prassi di vigilanza convergenti da parte di tutte le autorità nazionali competenti (ANC) degli Stati membri dell’UE. Considerata la novità del MiCA e l’intrinseco elevato livello di rischio nel settore delle criptovalute, tra cui la natura transfrontaliera delle transazioni, la complessità dell’architettura tecnica e le caratteristiche specifiche dei modelli tokenizzati, l’Architettura di Vigilanza Europea insiste su un’applicazione rigorosa e uniforme delle procedure di autorizzazione. Secondo il database MFSA, l’organismo ha finora rilasciato licenze a quattro fornitori di CASP ai sensi del MiCA, tra cui entità riconosciute a livello internazionale come Bitpanda (BP23), Crypto.com (Foris Dax), OKX (Okcoin Europe) e ZBX (Zillion Bits). Ciononostante, la situazione di OKX è stata oggetto di particolare attenzione dopo che la Malta Financial Intelligence Unit (FIAU) ha inflitto alla società una multa di 1,2 milioni di dollari nell’aprile 2025 per violazioni risalenti al 2023, ben prima che le fosse concessa una licenza ai sensi del MiCA. Questo caso evidenzia la necessità di un’adeguata valutazione retrospettiva della conformità dei richiedenti prima dell’autorizzazione.

La comunità del settore ha espresso riserve sulla reazione al rapporto dell’ESMA. I rappresentanti dei consulenti legali e regolamentari internazionali non prevedono la revoca delle licenze precedentemente rilasciate, osservando che il rapporto evidenzia piuttosto la necessità di una valutazione ex ante più rigorosa dei richiedenti piuttosto che l’esistenza di violazioni giuridicamente fatali. Si sottolinea inoltre che l’ESMA, in quanto organismo sovranazionale, non ha il potere di revocare le licenze rilasciate a livello di regolamentazione nazionale. Dal punto di vista giuridico, la situazione sottolinea l’importanza della corretta attuazione dei principi sanciti dagli articoli 60-64 del MiCA in merito alle procedure di autorizzazione e dagli articoli 82-87 in merito alla vigilanza sul CASP. L’MFSA, a sua volta, è tenuta, nell’esercizio dei suoi poteri, a conformarsi sia al MiCA sia alle aspettative di vigilanza degli organismi europei, tra cui ESMA ed EBA, il che assume particolare rilevanza nel contesto del coordinamento attivo della vigilanza nell’ambito del Meccanismo di vigilanza unico per le attività digitali. Il rapporto pubblicato registra quindi i primi passi verso lo sviluppo della giurisprudenza sull’applicazione del MiCA nell’UE e sottolinea la necessità di un approccio coordinato e rigorosamente giuridicamente valido alla valutazione dei richiedenti e al monitoraggio delle loro attività post-licenza. L’autorità di regolamentazione maltese dovrà tenere conto delle osservazioni formulate per rafforzare la solidità istituzionale del suo processo di vigilanza e riaffermare la propria reputazione di una delle principali giurisdizioni in materia di criptovalute nell’Unione Europea.

L’ESMA rafforza la supervisione sull’attuazione del MiCA

Nel luglio 2025, l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) ha pubblicato due documenti fondamentali volti a garantire l’attuazione efficace e coordinata del Regolamento (UE) 2023/1114 sui mercati delle criptovalute (MiCA) a livello dell’Unione europea. Un documento fornisce linee guida per la valutazione delle conoscenze e delle competenze del personale dei fornitori di servizi per criptovalute (CASP), mentre l’altro presenta l’esito di un’approfondita revisione paritaria del processo di autorizzazione dei CASP da parte della Malta Financial Services Authority (MFSA). Entrambi i documenti illustrano l’impegno dell’ESMA non solo nell’armonizzazione degli standard di vigilanza, ma anche nella vigilanza proattiva che elimini un approccio formale all’autorizzazione. Pubblicate l’11 luglio 2025, le Linee guida dell’ESMA definiscono gli standard minimi di conoscenza e competenza per il personale CASP coinvolto nella fornitura di informazioni o servizi di consulenza in relazione alle criptovalute. Le linee guida si basano sull’articolo 81(7) del MiCA e sono soggette alla prassi regolamentare delle autorità nazionali competenti (ANC) dell’UE. Stabilisce una differenziazione dei requisiti su due livelli: per il personale che fornisce solo informazioni e per il personale che fornisce consulenza. Il livello di formazione previsto per i consulenti è significativamente più elevato, includendo requisiti di istruzione, esperienza, sviluppo professionale continuo e comprensione dei rischi specifici del mercato delle criptovalute. L’ESMA sottolinea che i consulenti dovrebbero avere una conoscenza approfondita della tecnologia dei registri distribuiti, della volatilità delle criptovalute, delle caratteristiche dei modelli di valutazione e delle differenze tra i regimi MiCA e MiFID II. Sono stabiliti requisiti di formazione obbligatori (tra 80 e 160 ore), requisiti di esperienza (tra 6 mesi e 2 anni a seconda del profilo) e la valutazione annuale obbligatoria delle competenze interne. L’ESMA ha deliberatamente rinunciato alla certificazione esterna obbligatoria, citandone la limitata applicabilità, ma ha incoraggiato il ricorso a fornitori di CPD (sviluppo professionale continuo) accreditati. In p Il 10 luglio 2025, l’ESMA ha pubblicato un parere del Comitato di Revisione Pari (PRC) sulla qualità dell’attuazione delle procedure di licenza CASP da parte della Malta Financial Services Authority. La valutazione è stata motivata da un aumento delle domande di licenza e ha segnalato potenziali scostamenti dalle pratiche di vigilanza uniformi richieste dal MiCA. Il PRC ha espresso preoccupazione per il rilascio di una licenza CASP, per la quale sussistevano questioni in sospeso relative all’infrastruttura IT, all’archiviazione dei dati e delle chiavi, ai meccanismi KYC/AML, alla valutazione del modello di business e alla gestione dei conflitti di interesse.

I risultati dell’ESMA evidenziano un’analisi insufficiente, un uso limitato dei poteri di vigilanza nella fase di pre-autorizzazione e la tempestività di alcune azioni di vigilanza. L’autorità di regolamentazione ha dichiarato esplicitamente che l’MFSA avrebbe dovuto applicare un’autorizzazione di licenza più rigorosa, anziché affidarsi al monitoraggio ex post dopo l’autorizzazione. Così facendo, l’ESMA ha sottolineato che il problema non è solo giurisdizionale, ma anche sistemico: riguarda tutte le ANC soggette all’obbligo di attuare correttamente il MiCA. Il rapporto presenta raccomandazioni per tutte le autorità di vigilanza europee, tra cui la necessità di rivedere gli approcci alla valutazione dei piani aziendali dei richiedenti, un’attenzione particolare all’architettura IT (in linea con il DORA), l’analisi delle interfacce di interazione con i clienti e l’identificazione dei rischi associati ai servizi non regolamentati e ai protocolli DeFi. L’ESMA raccomanda inoltre un coinvolgimento attivo attraverso il Comitato permanente per la finanza digitale (DFSC) per armonizzare le pratiche e rafforzare la condivisione delle informazioni. In risposta al rapporto, l’MFSA si è dichiarata pronta a tenere conto delle raccomandazioni, sottolineando il suo impegno per la trasparenza e la sua posizione di leadership nella regolamentazione delle criptovalute nell’UE. Allo stesso tempo, l’autorità di regolamentazione maltese ha espresso l’intenzione di continuare a collaborare con l’ESMA e le altre autorità di vigilanza per raggiungere gli obiettivi di convergenza normativa. Le pubblicazioni dell’ESMA di luglio 2025 confermano che l’applicazione uniforme del MiCA richiede non solo la conformità legislativa, ma anche la maturità delle prassi istituzionali. I nuovi standard per la competenza del personale CASP e la supervisione critica delle licenze nelle singole giurisdizioni alzano il livello della regolamentazione del mercato delle criptovalute nell’UE, rafforzando la tutela degli investitori e la sostenibilità a lungo termine del sistema finanziario.

Implementazione del MiCA a Malta

Dall’entrata in vigore del Regolamento (UE) 2023/1114 sui mercati delle criptovalute (MiCA), la Repubblica di Malta si è posizionata come giurisdizione leader nel processo di rilascio delle licenze per i fornitori di servizi correlati alle criptovalute (CASP). Tuttavia, nonostante il rapido adattamento del quadro normativo e la rapida concessione delle licenze ai principali operatori di criptovalute, l’approccio dell’autorità di regolamentazione maltese, la Malta Financial Services Authority (MFSA), ha sollevato preoccupazioni da parte delle autorità di vigilanza europee e degli operatori di mercato in merito al rigore e alla solidità delle procedure di autorizzazione. Le critiche si concentrano sulla rapidità del processo di autorizzazione, in particolare in relazione ad alcuni CASP che hanno ottenuto lo status di pre-autorizzazione nel giro di pochi giorni. Ad esempio, la piattaforma di criptovalute OKX ha ricevuto la pre-autorizzazione il 23 gennaio 2025 e la licenza definitiva il 27 gennaio, appena quattro giorni dopo. In particolare, poco prima, la società aveva pagato 500 milioni di dollari al Dipartimento di Giustizia degli Stati Uniti nell’ambito di un accordo per violazioni relative ad attività di servizi crittografici non registrati. Inoltre, nell’aprile 2025, la MFSA ha multato OKX di 1,2 milioni di dollari per non aver rispettato le leggi nazionali antiriciclaggio. Questa rapidità nel rilascio delle licenze ha portato diverse autorità di regolamentazione europee a mettere in discussione la completezza della due diligence e la conformità delle procedure ai principi di integrità e affidabilità professionale sanciti dagli articoli 60-64 del MiCA. In particolare, sono state sollevate preoccupazioni circa la misura in cui la MFSA valuta in dettaglio l’infrastruttura IT dei richiedenti, i modelli di archiviazione degli asset digitali, i meccanismi di gestione del rischio, le misure di conformità AML/CFT e le politiche per l’identificazione e la gestione dei conflitti di interesse.

Fondamentale per la prassi accelerata di Malta è il quadro normativo sui Virtual Financial Assets (VFA), introdotto nel 2018, che consente ai titolari di licenza VFA esistenti di qualificarsi per una transizione semplificata al regime MiCA. Secondo la posizione dell’MFSA, il possesso di una licenza VFA valida fino al 30 dicembre 2024 dà diritto a una procedura di richiesta accelerata e allo status di pre-autorizzazione. Questo modello ha suscitato critiche da parte di altre Autorità Nazionali Competenti (ANC), in quanto implica uno standard di revisione diverso rispetto alle giurisdizioni che non disponevano di una regolamentazione locale del mercato delle criptovalute prima del MiCA. Diversi rappresentanti del settore e autorità di regolamentazione europee hanno sollevato preoccupazioni sulla sostenibilità di tale modello. L’AMF ha chiesto un maggiore coordinamento con l’ESMA e una condivisione più trasparente delle informazioni sulle pratiche di licenza CASP in tutta l’UE, sottolineando la necessità di ridurre al minimo l’arbitraggio normativo. L’effettiva differenza nella velocità e nella profondità del rilascio delle licenze tra Francia, Germania, Paesi Bassi e Malta è stata evidenziata anche nei commenti analitici di diversi operatori del diritto. In particolare, è stato osservato che alcuni paesi, tra cui Malta e Cipro, hanno concesso lo status di pre-autorizzazione prima dell’approvazione definitiva di tutti gli standard tecnici di regolamentazione, mentre la Francia ha seguito procedure più rigorose basate sui controlli di conformità PACTE ed ESMA. Nonostante le critiche, l’MFSA insiste su un approccio proporzionato alla valutazione dei richiedenti, basato sul principio di una regolamentazione basata sul rischio. In una dichiarazione pubblicata, l’autorità di regolamentazione sottolinea che l’autorizzazione viene concessa solo dopo un controllo completo di tutte le informazioni presentate e che le decisioni adottate raggiungono un equilibrio tra efficienza procedurale e profondità dell’analisi. Tuttavia, gli osservatori sottolineano che non vi è alcuna divulgazione pubblica dei criteri in base ai quali viene presa la decisione di concedere lo status di pre-autorizzazione, il che riduce la trasparenza della pratica. Diverse dichiarazioni di criptovalute Le aziende confermano la scelta di Malta come giurisdizione con un contesto legale accessibile e articolato. Ad esempio, Crypto.com, che vanta una storia di licenze internazionali, inclusi casi di sanzioni per aver operato senza licenza (in particolare una multa di 2,85 milioni di euro da parte della Banca Centrale Olandese), ha ricevuto l’approvazione anche a Malta per l’inizio del 2025. L’azienda sottolinea che la sua presenza sull’isola è a lungo termine e che la licenza maltese fa parte del suo posizionamento strategico.

Questa situazione solleva una questione più ampia per le istituzioni europee: quanto può funzionare efficacemente il sistema regolamentare paneuropeo se gli approcci all’attuazione di MiCA negli Stati membri sono così divergenti. I precedenti dei “passaporti d’oro” e del programma di residenza permanente, giudicati contrari al diritto dell’Unione dalla Corte di Giustizia dell’UE, minano la fiducia in un modello regolamentare basato sul riconoscimento reciproco tra Stati. Nel contesto dell’arbitraggio di vigilanza osservato e dei diversi gradi di maturità dei meccanismi di supervisione nell’UE, raggiungere una reale convergenza e trasparenza, soprattutto nel processo di licenza per i CASP, diventa una sfida cruciale. La Commissione Europea, ESMA e EBA devono sviluppare un quadro sostenibile di monitoraggio, comparabilità e valutazione reciproca in grado di ridurre al minimo i rischi che le criptovalute “ricadano” nelle giurisdizioni meno esigenti. In caso contrario, l’affidabilità e il valore percepito della licenza MiCA potrebbero essere messi in discussione non solo all’interno dell’UE, ma anche al di fuori.