Quali documenti sono necessari per richiedere una licenza MiCA?

Il Regolamento UE sui Mercati dei Crypto-Asset (MiCA, Regolamento (UE) 2023/1114) ha stabilito requisiti uniformi per i fornitori di servizi di crypto-asset (CASP) in tutta l’Unione Europea. Per ottenere una licenza, è necessario preparare un set dettagliato di documenti che permetta alle autorità competenti di condurre una valutazione completa del richiedente, della sua governance aziendale, affidabilità, conformità ai requisiti prudenziali e capacità di garantire la protezione dei clienti e la stabilità dei servizi forniti. Di seguito è stata compilata una lista dei documenti richiesti per richiedere una licenza MiCA nell’UE.

Documenti societari e informazioni sul richiedente
Un passaggio chiave è la presentazione dei documenti costitutivi: statuto, atto costitutivo, estratto dal registro delle imprese e identificatore dell’entità giuridica (LEI). Se il richiedente intende gestire una piattaforma di trading, deve essere indicato il nome commerciale utilizzato. Il pacchetto di documenti deve includere informazioni sugli azionisti e partecipanti con partecipazioni qualificate, la loro reputazione e l’origine dei fondi, nonché dati sui membri del consiglio di amministrazione e sui dirigenti chiave che confermino le loro qualifiche, assenza di precedenti penali e conflitti di interesse.

Programma di attività e business plan
In conformità con l’Articolo 62(2) di MiCA, il richiedente deve fornire un programma operativo che descriva:

• la struttura organizzativa della società,
• la strategia di erogazione dei servizi e il pubblico target,
• le capacità operative per i prossimi tre anni,
• canali di marketing (siti web, applicazioni mobili, pubblicità online, collaborazione con influencer, sponsorizzazioni, eventi, corsi di formazione),
• previsioni finanziarie e piano di utilizzo del capitale.

Il regolatore si aspetta inoltre un’analisi degli scenari e stress test che simulino condizioni di mercato avverse ma plausibili per valutare la resilienza dell’azienda agli shock esterni.

Meccanismi di gestione e controllo interno
Il richiedente deve descrivere il sistema di governance aziendale, la distribuzione delle funzioni, i meccanismi di controllo interno e i processi decisionali. Ciò include le procedure per gestire rischi operativi, legali, informatici e reputazionali, nonché la descrizione dei piani per garantire la continuità aziendale, minimizzare i tempi di inattività e recuperare dagli incidenti, inclusi attacchi informatici e forza maggiore.

Misure AML/KYC e protezione del cliente
Particolare attenzione è rivolta ai meccanismi di contrasto al riciclaggio di denaro e al finanziamento del terrorismo (conformemente a AMLD5 e Regolamento (UE) 2023/1113). Devono essere presentate le procedure interne KYC, il monitoraggio delle transazioni e la segnalazione. Inoltre, la domanda deve includere una descrizione delle misure per segregare gli asset dei clienti per proteggerli dai rischi di perdita o uso improprio.

Infrastruttura IT e cybersecurity
Il pacchetto documentale include una descrizione dei sistemi ICT, dei protocolli di sicurezza informatica, delle risorse umane assegnate alla gestione del rischio informatico, nonché dei piani per prevenire fughe di dati e proteggere da perdite finanziarie.

Regole di funzionamento delle piattaforme di trading (per CASP che gestiscono piattaforme)
Se il richiedente intende gestire una piattaforma di trading, devono essere fornite le regole per l’ammissione dei crypto-asset al trading, la procedura di verifica della conformità ai requisiti, una descrizione dei tipi di crypto-asset non ammessi e le motivazioni di tali restrizioni. Inoltre, devono essere divulgate le regole per eseguire operazioni, eseguire e annullare ordini, garantire trasparenza e registrazione, nonché la procedura di regolamento delle transazioni, incluso l’uso della tecnologia del registro distribuito (DLT).

Dati finanziari e contabili
Le autorità competenti devono verificare che siano disponibili fondi propri sufficienti a garantire la conformità ai requisiti prudenziali (Articolo 67 MiCA). Il richiedente deve fornire bilanci (se già disponibili), una descrizione delle politiche contabili e prove dell’importo di capitale richiesto (€50.000/€125.000/€150.000 a seconda della classe di licenza).

Prova dell’integrità della gestione e degli azionisti
Devono essere allegati dichiarazioni di assenza di condanne penali, informazioni su eventuali indagini in corso o procedimenti amministrativi, e informazioni che consentano al regolatore di effettuare un test di idoneità e correttezza.

Requisiti aggiuntivi per Classe 2 e Classe 3
Per licenze di livello superiore, devono essere allegate descrizioni delle procedure per prevenire e divulgare conflitti di interesse, regole per monitorare abusi di mercato e misure di cybersecurity avanzate.

Informazioni dettagliate sul progetto crypto da fornire nella domanda di licenza MiCA

Un’azienda che richiede una licenza CASP ai sensi dell’Articolo 62 del Regolamento (UE) 2023/1114 deve includere nella domanda il seguente insieme di informazioni e documenti:

• denominazione legale ufficiale della società, numero di telefono e indirizzo email;
• nome commerciale o di marca utilizzato o previsto;
• identificatore dell’entità giuridica (LEI);
• nome completo, posizione, numero di telefono e indirizzo email della persona di contatto designata responsabile dell’interazione con il regolatore;
• forma giuridica della società (specificando se è un’entità legale o altro tipo di impresa), numero di identificazione nazionale e conferma di registrazione nel registro nazionale delle imprese;
• data di costituzione della società e Stato Membro UE in cui è registrata;
• documenti costitutivi e statuto, nonché regolamenti interni (se applicabili);
• indirizzo della sede principale e indirizzo della sede legale, se diverso;
• informazioni sulle filiali che opereranno in altri paesi UE, inclusi i loro LEI, se presenti;
• nomi a dominio di tutti i siti web utilizzati per fornire servizi, nonché link agli account ufficiali dei social media della società;
• se il richiedente non ha lo status di entità legale, documenti che confermano:
  • un livello di protezione legale per clienti e terzi equivalente a quello fornito alle entità legali, incluso in caso di fallimento;
  • conformità alla vigilanza prudenziale appropriata alla sua forma organizzativa e giuridica;
• se la società intende gestire una piattaforma di trading per crypto-asset:
  • indirizzo fisico, numero di telefono e indirizzo email della piattaforma;
  • nome commerciale sotto il quale la piattaforma opererà.

Queste informazioni permettono al regolatore di identificare il richiedente, valutare il suo status legale, la struttura e la prontezza a fornire servizi, e verificare la conformità ai requisiti base di MiCA prima di passare alla valutazione del modello di business e dei processi interni.

Questo insieme di documenti conferma la stabilità finanziaria dell’azienda, la disponibilità di capitale sufficiente a coprire i rischi operativi e di mercato e la capacità di proteggere i clienti in caso di eventi imprevisti.

4) Meccanismi di governance, controllo interno e politica sui conflitti di interesse

La domanda deve descrivere la struttura organizzativa, incluso il gruppo di imprese (se il richiedente ne fa parte), la distribuzione di funzioni e poteri, le linee di autorità e i meccanismi di controllo interno esistenti. È importante identificare i responsabili delle principali funzioni interne, fornire le loro biografie con descrizione dell’istruzione, qualifiche ed esperienza professionale, e confermare che possiedono le conoscenze e competenze necessarie per svolgere i loro compiti.

Il regolatore richiede una descrizione delle politiche e procedure interne che garantiscono la conformità a MiCA, nonché dei meccanismi per comunicare tali procedure ai dipendenti. Particolare attenzione è rivolta all’esistenza di un sistema interno di whistleblowing che consenta ai dipendenti di informare la direzione in caso di non conformità ai requisiti normativi. Il richiedente deve descrivere la procedura per la conservazione dei registri e dei documenti secondo gli standard tecnici stabiliti dalla Commissione Europea e dimostrare l’esistenza di un sistema per monitorare e riesaminare regolarmente l’efficacia delle politiche e procedure implementate.

Il management aziendale deve poter ricevere report regolari dalle funzioni di controllo interno, confermando l’indipendenza di tali funzioni e il loro diritto a riferire direttamente, anche quando vengono identificati rischi significativi di non conformità ai requisiti normativi. La domanda deve descrivere i sistemi ICT, gli strumenti di controllo e le soluzioni di backup che garantiscono la stabilità dei processi, nonché le misure per prevenire abusi di mercato se il richiedente svolge attività soggette a tali rischi.

È inoltre necessario indicare se è stato nominato un revisore esterno, fornire i suoi dati di contatto e descrivere le politiche contabili e i periodi di rendicontazione applicati.

La gestione dei conflitti di interesse è di particolare importanza. La domanda deve includere una copia della politica pertinente che descriva come l’azienda identifica, previene e divulga i conflitti di interesse secondo l’Articolo 72 di MiCA. Il documento deve tenere conto della scala e della natura delle attività del richiedente e garantire che il sistema retributivo non generi conflitti tra gli interessi della società e quelli dei clienti. Il richiedente deve inoltre descrivere i sistemi di controllo in atto per monitorare l’efficacia della politica, registrare ogni caso di conflitto di interesse, documentarne la risoluzione e confermare che le informazioni siano state comunicate al cliente.

Queste informazioni dettagliate permettono all’autorità competente di verificare che il richiedente abbia stabilito un solido sistema di governance aziendale, funzioni di controllo interno indipendenti e misure efficaci per prevenire e risolvere i conflitti di interesse, prerequisito per il rilascio di una licenza MiCA.

5) Piano di continuità operativa

Questo piano è parte obbligatoria della domanda e dimostra che l’azienda è in grado di mantenere operazioni regolari anche in caso di interruzioni dei sistemi o infrastrutture chiave.

La descrizione deve confermare che il piano è conforme ai requisiti del Regolamento (UE) 2023/1114, è regolarmente aggiornato e testato nella pratica. Il documento deve delineare le azioni che l’azienda adotterà per mantenere le operazioni in caso di eventi imprevisti, inclusi guasti dei sistemi IT, circostanze di forza maggiore o incidenti di cybersecurity.

Se funzioni critiche sono esternalizzate a fornitori terzi, il documento deve specificare come sarà garantita la continuità operativa in caso di calo improvviso della qualità dei servizi o cessazione della loro fornitura. È inoltre necessario descrivere il piano d’azione in caso di perdita di un dipendente chiave o decisore e, se necessario, valutare i rischi politici nella giurisdizione in cui si trovano i principali fornitori di servizi.

La presentazione di un simile piano consente al regolatore di verificare che l’azienda sia preparata a possibili situazioni di crisi e possa minimizzare l’impatto di eventuali interruzioni, mantenendo la fiducia dei clienti e la stabilità aziendale.

6) Misure anti-riciclaggio e contrasto al finanziamento del terrorismo (AML/CFT)

Un’azienda che richiede una licenza MiCA deve confermare di avere un sistema efficace di anti-riciclaggio e contrasto al finanziamento del terrorismo (AML/CFT) conforme alla Direttiva (UE) 2015/849 e al Regolamento (UE) 2023/1113.

La domanda deve descrivere l’approccio alla gestione dei rischi AML/CFT, a partire dalla loro identificazione e valutazione. L’azienda deve fornire un’analisi dei rischi intrinseci e residui associati alla natura della propria clientela, ai tipi di servizi forniti, ai canali di distribuzione utilizzati e alle aree geografiche di operatività.

È importante che il regolatore possa vedere le misure specifiche già implementate o pianificate per prevenire i rischi individuati: procedure di valutazione del rischio, regole per KYC e due diligence dei clienti, procedure per identificare transazioni sospette e segnalarle tempestivamente alle autorità competenti. Devono essere dimostrate politiche e procedure interne proporzionate alla scala dell’attività, alla complessità del modello, all’ampiezza dei servizi offerti e al livello di rischio intrinseco.

Il richiedente deve designare una persona responsabile della conformità ai requisiti AML/CFT e confermare le sue qualifiche ed esperienza. Devono inoltre essere descritti le risorse umane e finanziarie allocate all’attuazione di tali procedure, confermando che il personale riceve formazione regolare in materia di anti-riciclaggio, inclusa la formazione sui rischi specifici legati ai crypto-asset.

La domanda deve essere corredata da copie di tutte le politiche, procedure e sistemi AML/CFT interni, nonché informazioni sulla frequenza delle verifiche della loro efficacia e sulle funzioni responsabili della conduzione di tali valutazioni.

Questo pacchetto di dati dimostra al regolatore che l’azienda rispetta gli obblighi di contrasto al riciclaggio e al finanziamento del terrorismo, minimizza i rischi di abuso ed è pronta a conformarsi alla normativa europea nella fornitura di servizi relativi ai crypto-asset.

7) Identificazione, verifica della reputazione e valutazione delle qualifiche dei membri dell’organo di gestione

Il richiedente deve fornire informazioni dettagliate su ciascun membro dell’organo di gestione, confermando identità, reputazione professionale, qualifiche e disponibilità a dedicare tempo sufficiente ai propri compiti.

La domanda deve includere i dati personali completi di ciascun membro, inclusi nome, luogo e data di nascita, indirizzi attuali e precedenti degli ultimi 10 anni, cittadinanza, numero di identificazione nazionale e copia del documento di identità. Inoltre, deve essere descritta la posizione ricoperta o da ricoprire, indicando la natura (esecutiva o non esecutiva), la data di inizio del mandato e le principali responsabilità.

L’azienda deve fornire un CV per ciascun membro dell’organo di gestione, dettagliando istruzione, formazione professionale, esperienza lavorativa degli ultimi 10 anni, indicando tutte le organizzazioni, posizioni, natura dei compiti, nonché esperienza nei settori dei servizi finanziari, crypto-asset, tecnologie digitali, cybersecurity e innovazione. Devono essere allegati lettere di referenze e recapiti dei referenti, nonché documenti ufficiali che confermino una reputazione impeccabile.

Parte importante del pacchetto è l’informazione sull’assenza di precedenti penali, eventuali indagini penali o amministrative in corso, provvedimenti disciplinari, procedure fallimentari, revoca o rifiuto di licenze, espulsioni da organismi professionali, nonché informazioni sulle valutazioni della reputazione condotte da autorità governative o regolatorie.

Il richiedente deve divulgare eventuali interessi finanziari o non finanziari dei membri della direzione e dei familiari stretti che potrebbero generare conflitti di interesse, inclusa la partecipazione nel capitale del gruppo, l’esistenza di prestiti, garanzie fornite o controversie legali. Se viene identificato un conflitto di interesse significativo, devono essere descritte le misure adottate per eliminarlo o mitigarne gli effetti, facendo riferimento alla politica interna sui conflitti di interesse.

Il regolatore deve ricevere informazioni sul tempo stimato che ciascun membro dell’organo di gestione dedicherà al lavoro aziendale: numero minimo di ore al mese e all’anno, elenco di tutte le altre posizioni (esecutive e non esecutive) ricoperte, con descrizione della dimensione delle aziende in cui operano, volume degli asset e numero di dipendenti, nonché elenco di responsabilità aggiuntive, come partecipazione a comitati o presidenze.

La domanda deve essere corredata dai risultati della valutazione individuale di idoneità di ciascun membro dell’organo di gestione, nonché della valutazione colle

ttiva del consiglio di amministrazione, inclusi rapporti o documenti che confermino la conformità della composizione dell’organo di gestione ai requisiti MiCA. Tutti i documenti ufficiali e certificati che confermano informazioni sulla reputazione e l’assenza di impedimenti a ricoprire incarichi devono essere rilasciati non più di tre mesi prima della presentazione della domanda.

La fornitura di tali informazioni permette al regolatore di verificare che il management dell’azienda possieda conoscenze, esperienza e reputazione necessarie e sia in grado di gestire efficacemente un fornitore di servizi di crypto-asset secondo i requisiti del Regolamento (UE) 2023/1114.

8) Informazioni su azionisti e partecipanti con partecipazioni significative

La domanda di licenza MiCA deve divulgare informazioni complete sugli azionisti o partecipanti con partecipazioni significative, affinché il regolatore possa valutarne integrità, solidità finanziaria e influenza sulla gestione dell’attività.

Il richiedente deve presentare un organigramma dettagliato della struttura societaria e del gruppo, indicando la distribuzione del capitale e dei diritti di voto. L’organigramma deve identificare tutti gli azionisti e partecipanti con partecipazioni qualificate e fornire i loro dati identificativi.

Per ciascun titolare di partecipazioni dirette o indirette significative, devono essere forniti i documenti e le informazioni previsti dagli Articoli 1–4 del Regolamento Delegato (UE) 2025/414. È inoltre necessario indicare i membri dell’organo di gestione che saranno nominati da tali azionisti o su loro raccomandazione e che parteciperanno alla gestione dell’attività aziendale.

La domanda deve specificare il numero e il tipo di azioni sottoscritte da ciascun azionista, il loro valore nominale, i premi versati o da versare e eventuali vincoli, pegni e altri diritti reali, indicando le parti a favore delle quali sono costituiti.

Inoltre, devono essere fornite le informazioni previste dall’Articolo 6 (punti b, d, e) e dall’Articolo 8 del Regolamento Delegato (UE) 2025/414, inclusi documenti che confermino reputazione, origine dei fondi e trasparenza finanziaria degli azionisti.

Questo pacchetto di informazioni permette all’autorità competente di verificare che i proprietari dell’azienda rispettino i requisiti MiCA, non rappresentino rischi per una gestione sana e siano in grado di supportare la stabilità finanziaria del richiedente.

9) Sistemi ICT e misure di cybersecurity

Un’azienda che richiede una licenza MiCA deve confermare di possedere un’infrastruttura IT affidabile e un sistema di cybersecurity conforme ai requisiti del Regolamento (UE) 2022/2554 (DORA) e del Regolamento (UE) 2016/679 (GDPR). La domanda deve includere documentazione tecnica sui sistemi ICT e, se utilizzata, sull’infrastruttura DLT, nonché una descrizione delle misure di sicurezza che garantiscono resilienza, integrità e riservatezza dei dati.

Al regolatore deve essere fornita una descrizione dell’architettura di gestione del rischio ICT come parte del sistema complessivo di gestione del rischio dell’azienda, indicando sistemi, protocolli e strumenti utilizzati. La domanda deve spiegare come le politiche e procedure aziendali garantiscono protezione dei dati, disponibilità e autenticità, nonché conformità a DORA e GDPR.

Tutti i servizi ICT critici supportati internamente dall’azienda, così come quelli forniti da fornitori esterni, devono essere elencati. Devono essere fornite l’identificazione e la localizzazione dei fornitori, una descrizione delle relazioni di outsourcing e copie dei contratti che confermino la conformità all’Articolo 73 di MiCA e al Capitolo V di DORA.

Parte importante è la descrizione delle procedure di gestione degli incidenti, misure di cybersecurity, piani di risposta ad attacchi e piani di disaster recovery. Se sono stati condotti audit esterni o penetration test, il richiedente deve allegarne i risultati o i report di cybersecurity. È utile al regolatore vedere che l’audit ha coperto sicurezza organizzativa e fisica, ciclo di vita dello sviluppo software, scansione delle vulnerabilità, valutazione delle configurazioni degli asset ICT critici e test black, grey e white box per verificare diversi livelli di accesso.

Se l’azienda utilizza o sviluppa smart contract, deve essere allegata una panoramica del loro codice sorgente dal punto di vista della sicurezza informatica. Inoltre, devono essere fornite informazioni su eventuali audit precedenti dei sistemi ICT, inclusa l’infrastruttura DLT e le misure di sicurezza implementate.

Infine, il richiedente deve fornire una breve descrizione di tutte queste misure in linguaggio non tecnico, in modo che il regolatore possa ottenere una visione completa del sistema di cybersecurity e dell’affidabilità dell’infrastruttura ICT senza dover analizzare i documenti tecnici originali.

10) Separazione e conservazione sicura dei crypto-asset e dei fondi dei clienti

Un’azienda che intende fornire servizi di custodia di crypto-asset o fondi dei clienti (esclusi i token di moneta elettronica) deve presentare una descrizione dettagliata delle procedure di segregazione e protezione degli asset dei clienti nella domanda di licenza MiCA.

Il documento deve spiegare come l’organizzazione garantisce che i fondi e i crypto-asset dei clienti non vengano utilizzati per interessi aziendali. Deve confermare che i wallet in cui sono conservati gli asset dei clienti sono separati dai wallet aziendali e che i fondi di ciascun cliente possano essere identificati anche utilizzando conti omnibus contenenti gli asset di più clienti.

Particolare attenzione è rivolta al sistema di gestione e protezione delle chiavi crittografiche, inclusa la descrizione delle procedure di creazione e conservazione delle chiavi, l’uso di firme multiple e le misure per garantirne la riservatezza e la resistenza a compromissioni.

Il richiedente deve descrivere la procedura di gestione dei fondi dei clienti: i fondi devono essere accreditati su un conto presso una banca centrale o un istituto di credito entro la fine della giornata lavorativa successiva al loro ricevimento e devono essere separati dai fondi aziendali. In assenza di piani per depositare fondi presso una banca centrale, devono essere indicati i criteri di selezione degli istituti di credito, la politica di diversificazione e la frequenza di revisione di tali decisioni.

Un elemento importante della domanda è la descrizione di come i clienti vengano informati sui meccanismi di protezione dei loro asset, includendo una spiegazione dei principi di segregazione, della politica di custodia dei fondi e delle procedure di sicurezza in forma semplice e comprensibile, escludendo termini tecnici non necessari.

Tali informazioni confermano che il richiedente rispetta l’Articolo 70 di MiCA, protegge i diritti di proprietà dei clienti e minimizza il rischio di perdite anche in caso di difficoltà finanziarie o fallimento dell’azienda.

11) Procedure di gestione dei reclami

L’azienda deve confermare di avere un sistema trasparente ed efficace per la gestione dei reclami dei clienti. La domanda deve descrivere le risorse, umane e tecniche, dedicate alla gestione dei reclami e identificare il responsabile di questo processo. Il regolatore si aspetta un riepilogo dell’istruzione, formazione professionale ed esperienza di questo dipendente per dimostrare la sua capacità di svolgere le funzioni assegnate.

Il richiedente deve dimostrare che le procedure rispettano gli standard tecnici stabiliti dalla Commissione Europea ai sensi dell’Articolo 71(5) di MiCA e che i clienti hanno la possibilità di presentare reclami gratuitamente. È importante descrivere come l’organizzazione informa i clienti di questa opportunità, inclusa la pubblicazione delle informazioni sul sito web o altri canali digitali utilizzati per la fornitura dei servizi.

Devono essere spiegate le procedure per la registrazione dei reclami, i termini per la loro valutazione, indagine e risposta al cliente, nonché i meccanismi per informare i clienti sui rimedi legali disponibili. La domanda descrive i principali passaggi procedurali nella gestione di un reclamo, inclusi metodo e forma di comunicazione della decisione al cliente o potenziale cliente che ha presentato il reclamo.

Questa descrizione dimostra al regolatore che il richiedente garantisce adeguata protezione dei diritti dei clienti, opera in trasparenza e dispone di meccanismi per la risoluzione rapida dei conflitti, elemento chiave di fiducia in un fornitore di servizi di crypto-asset.

12) Politica di custodia e amministrazione

La politica di custodia e amministrazione dei crypto-asset è un elemento obbligatorio del pacchetto di documenti forniti dal richiedente ai sensi dell’Articolo 62(2)(m) del Regolamento (UE) 2023/1114. Le aziende che intendono fornire servizi di custodia e amministrazione di crypto-asset per conto dei clienti devono presentare all’autorità di vigilanza una descrizione completa delle soluzioni di custodia offerte ai clienti, inclusi i tipi di custodia, copia del contratto standard di servizio e sintesi della politica di custodia comunicata ai clienti in conformità agli Articoli 75(1) e 75(3) del Regolamento.

Il richiedente deve presentare una politica interna di conservazione e amministrazione, che identifichi i rischi operativi e ICT associati alla custodia e gestione dei crypto-asset o dei mezzi di accesso agli stessi. La politica deve contenere la descrizione delle procedure e misure per rispettare i requisiti dell’Articolo 75(8) del Regolamento, dei sistemi di controllo interno e gestione del rischio, incluse disposizioni sull’outsourcing delle funzioni di custodia, regole e procedure per garantire l’esercizio dei diritti dei clienti e procedure per il ritorno dei crypto-asset o dei mezzi di accesso.

Inoltre, è necessario descrivere i meccanismi per identificare crypto-asset e mezzi di accesso e le misure per minimizzare il rischio di perdita. In caso di servizi di custodia e amministrazione esternalizzati a terzi, il richiedente deve fornire informazioni sull’identità dell’outsourcer, sul suo status ai sensi degli Articoli 59 e 60 del Regolamento, descrivere le funzioni delegate, l’elenco dei delegati e sub-delegati, nonché eventuali conflitti di interesse derivanti da tale delega. È richiesta anche una descrizione del sistema di controllo e monitoraggio delle funzioni delegate.

Questo approccio consente al regolatore di valutare la capacità del richiedente di garantire un alto livello di protezione dei diritti e interessi dei clienti, una corretta organizzazione dei processi di custodia, la gestione dei rischi operativi e tecnologici e la conformità ai requisiti normativi europei.