REGOLAMENTO DELEGATO (UE) 2025/305 DELLA COMMISSIONE

del 31 ottobre 2024

che integra il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano le informazioni da includere in una domanda di autorizzazione come prestatore di servizi per le cripto-attività

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937 (1), in particolare l’articolo 62, paragrafo 5, terzo comma,

considerando quanto segue:

(1)

Per consentire alle autorità competenti di valutare se le persone giuridiche o altre imprese che chiedono l’autorizzazione come prestatore di servizi per le cripto-attività conformemente all’articolo 62 del regolamento (UE) 2023/1114 («richiedenti») soddisfino i requisiti applicabili di cui al titolo V e, se del caso, al titolo VI di tale regolamento, le informazioni da fornire nella domanda di autorizzazione come prestatore di servizi per le cripto-attività presentata conformemente all’articolo 62, paragrafo 1, del medesimo regolamento («domanda di autorizzazione») dovrebbero essere sufficientemente dettagliate e complete, senza comportare oneri indebiti.

(2)

La domanda di autorizzazione dovrebbe contenere dati sull’identità del richiedente, sui dispositivi di governance e sui meccanismi di controllo interno, sull’idoneità dei membri dell’organo di amministrazione e sui sufficienti requisiti di onorabilità degli azionisti o dei soci con partecipazioni qualificate. Conformemente al principio della minimizzazione dei dati di cui all’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2), tali informazioni dovrebbero essere sufficienti per consentire alle autorità competenti di effettuare una valutazione globale dei richiedenti e della loro capacità di rispettare le prescrizioni pertinenti del regolamento (UE) 2023/1114. Inoltre tali informazioni dovrebbero essere sufficienti per consentire alle autorità competenti di verificare che non sussistano i motivi oggettivi e dimostrabili per rifiutare l’autorizzazione di cui all’articolo 63, paragrafo 10, lettere da a) a d), del medesimo regolamento.

(3)

Per garantire che la valutazione delle autorità competenti si basi su informazioni accurate, i richiedenti dovrebbero fornire copie dei loro documenti societari, compresi l’identificativo della persona giuridica, lo statuto, una copia della loro iscrizione al registro nazionale delle imprese e, qualora intendano gestire una piattaforma di negoziazione, la denominazione commerciale utilizzata.

(4)

Conformemente all’articolo 62, paragrafo 2, lettera d), del regolamento (UE) 2023/1114, la domanda di autorizzazione deve contenere un programma operativo. Tale programma dovrebbe specificare la struttura organizzativa del richiedente, la strategia per la prestazione di servizi per le cripto-attività ai clienti destinatari e la capacità operativa per i tre anni successivi all’autorizzazione. Nello specificare la strategia utilizzata per rivolgersi ai clienti, per motivi di trasparenza i richiedenti dovrebbero descrivere i mezzi di marketing che intendono utilizzare, compresi siti web, applicazioni di telefonia mobile, riunioni in presenza, comunicati stampa o qualsiasi forma di mezzo fisico o elettronico, tra cui strumenti per campagne sui social media, annunci pubblicitari o banner su Internet, reindirizzamento della pubblicità, accordi con influencer, accordi di sponsorizzazione, chiamate, webinar, inviti a eventi, campagne di affiliazione, tecniche di ludicizzazione, inviti a compilare un modulo di risposta o a seguire un corso di formazione, account dimostrativi o materiale didattico.

(5)

Per consentire alle autorità competenti di valutare la resilienza dei richiedenti in termini di resistenza agli shock finanziari esterni, compresi quelli riguardanti il valore delle cripto-attività, i richiedenti dovrebbero includere nella domanda di autorizzazione scenari di stress che simulino eventi gravi ma plausibili nei loro calcoli previsionali e piani per la determinazione dei fondi propri.

(6)

I clienti sono esposti a potenziali rischi connessi ai prestatori di servizi per le cripto-attività. Per consentire alle autorità competenti di valutare se i richiedenti soddisfano i requisiti prudenziali di cui all’articolo 67 del regolamento (UE) 2023/1114 per la protezione dei clienti da tali rischi, la domanda di autorizzazione dovrebbe contenere informazioni che specifichino le tutele prudenziali del richiedente.

(7)

Per garantire che i prestatori di servizi per le cripto-attività rispettino i loro obblighi di cui al regolamento (UE) 2023/1114, i richiedenti dovrebbero dimostrare di disporre di dispositivi di governance e meccanismi di controllo interno adeguati e solidi, compresi dispositivi e meccanismi essenziali per la gestione sana e prudente dei prestatori di servizi per le cripto-attività.

(8)

Nel sistema dei servizi finanziari il tempo è essenziale. Per evitare interruzioni che potrebbero avere gravi conseguenze sul piano finanziario, regolamentare e reputazionale per i prestatori di servizi per le cripto-attività e più in generale per i mercati delle cripto-attività, è fondamentale mantenere le attività o almeno le funzioni essenziali dei prestatori di servizi per le cripto-attività e ridurre al minimo i tempi di inattività dovuti a perturbazioni impreviste, compresi gli attacchi informatici e le calamità naturali. Una domanda di autorizzazione dovrebbe pertanto contenere informazioni dettagliate sui dispositivi del richiedente per garantire la continuità e la regolarità della prestazione di servizi per le cripto-attività, compresa una descrizione dettagliata dei rischi e dei piani di continuità operativa.

(9)

Sono necessari meccanismi, sistemi e procedure efficaci conformi alla direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (3) e al regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio (4) per garantire che i richiedenti affrontino adeguatamente i rischi e le pratiche di riciclaggio di denaro e finanziamento del terrorismo nella prestazione di servizi per le cripto-attività. Pertanto i richiedenti dovrebbero fornire nella domanda di autorizzazione informazioni dettagliate sui meccanismi, i sistemi e le procedure messi in atto per prevenire i rischi associati alle loro attività commerciali in relazione, tra l’altro, alla lotta al riciclaggio di denaro e al finanziamento del terrorismo.

(10)

Conformemente all’articolo 62, paragrafo 2, lettera g), del regolamento (UE) 2023/1114, la domanda di autorizzazione deve contenere la prova che i membri dell’organo di amministrazione possiedono sufficienti requisiti di onorabilità e le conoscenze, le competenze e l’esperienza adeguate per amministrare il prestatore di servizi per le cripto-attività. In particolare, i richiedenti dovrebbero fornire alle autorità competenti tutte le informazioni su precedenti condanne penali e informazioni su indagini penali, cause civili e amministrative in corso, sanzioni, azioni di contrasto delle violazioni e altri procedimenti giurisdizionali che interessano i membri dell’organo di amministrazione relativi al diritto commerciale, al diritto fallimentare, alla lotta al riciclaggio di denaro e al finanziamento del terrorismo, alla frode e alla responsabilità professionale. Per fornire alle autorità competenti informazioni adeguate sull’onorabilità dei membri dell’organo di amministrazione, i richiedenti dovrebbero fornire le informazioni per i casi che riguardano direttamente il membro o un’organizzazione in cui il membro ha ricoperto una posizione di membro dell’organo di amministrazione, azionista o socio con partecipazioni qualificate oppure di titolare di una funzione chiave. Per garantire che le autorità competenti ricevano informazioni sufficienti sul rifiuto o sulla revoca, tra l’altro, di registrazioni, autorizzazioni o adesioni relative alla prestazione di servizi per le cripto-attività da parte dei richiedenti, questi ultimi dovrebbero fornire tali informazioni per qualsiasi membro dell’organo di amministrazione. Inoltre i richiedenti dovrebbero fornire, per ciascun membro dell’organo di amministrazione, informazioni pertinenti per consentire alle autorità competenti di valutarne le conoscenze professionali, le competenze e l’esperienza nell’ambito della posizione richiesta, nonché una descrizione di tutti gli interessi finanziari e non finanziari dei membri dell’organo di amministrazione che potrebbero creare potenziali conflitti di interesse rilevanti con un’incidenza significativa sull’affidabilità dei membri nell’esercizio del loro mandato.

(11)

Per quanto riguarda il requisito dell’onorabilità degli azionisti e dei soci che detengono direttamente o indirettamente partecipazioni qualificate in un richiedente, la domanda di autorizzazione dovrebbe contenere tutte le informazioni relative alle loro precedenti condanne e alle indagini penali, alle cause civili e amministrative e ad altri procedimenti giurisdizionali in corso, nonché informazioni pertinenti relative alla certezza e all’origine legittima dei fondi utilizzati per istituire i richiedenti e finanziare la loro attività, in modo da consentire la valutazione di qualsiasi tentativo o sospetto di riciclaggio di denaro o di finanziamento del terrorismo.

(12)

Data la natura decentrata e digitale delle cripto-attività, i rischi di cibersicurezza per i prestatori di servizi per le cripto-attività sono significativi e assumono molteplici forme. Per garantire che i richiedenti siano in grado di prevenire violazioni dei dati e perdite finanziarie che possono essere causate da attacchi informatici, le informazioni sui sistemi TIC impiegati dai richiedenti e sui relativi dispositivi di sicurezza di cui all’articolo 62, paragrafo 2, lettera j), del regolamento (UE) 2023/1114 dovrebbero includere le risorse umane destinate ad affrontare i rischi di cibersicurezza.

(13)

La separazione delle cripto-attività e dei fondi dei clienti protegge questi ultimi dalle perdite del prestatore di servizi per le cripto-attività e dall’uso improprio delle loro cripto-attività e dei loro fondi. L’articolo 70 del regolamento (UE) 2023/1114 impone pertanto ai prestatori di servizi per le cripto-attività di adottare disposizioni adeguate per tutelare i diritti di titolarità dei clienti. Tale obbligo si applica anche ai prestatori di servizi per le cripto-attività che non prestano servizi di custodia e amministrazione. È dunque importante che la domanda di autorizzazione includa informazioni sulla separazione delle cripto-attività dei clienti.

(14)

Per consentire alle autorità competenti di valutare l’adeguatezza delle norme operative dei richiedenti per le piattaforme di negoziazione di cripto-attività, i richiedenti dovrebbero specificare determinati elementi nella descrizione di tali norme. In particolare i richiedenti dovrebbero approfondire gli aspetti delle norme operative che riguardano l’ammissione alla negoziazione, la negoziazione e il regolamento delle cripto-attività. Per quanto riguarda l’ammissione alla negoziazione di cripto-attività, i richiedenti dovrebbero fornire informazioni dettagliate sulle norme che disciplinano l’ammissione delle cripto-attività alla negoziazione, sul modo in cui le cripto-attività ammesse rispettano le norme dei richiedenti, sui tipi di cripto-attività che i richiedenti non ammetteranno alla loro piattaforma di negoziazione e sui motivi di tali esclusioni, nonché sulle commissioni per l’ammissione alla negoziazione. Per quanto riguarda la negoziazione di cripto-attività, i richiedenti dovrebbero specificare gli elementi delle norme operative che disciplinano l’esecuzione e la cancellazione degli ordini, la negoziazione ordinata, la trasparenza e la tenuta delle registrazioni. Infine i richiedenti dovrebbero includere nella descrizione delle norme operative gli elementi che disciplinano il regolamento delle operazioni in cripto-attività concluse sulla piattaforma di negoziazione, indicando se il regolamento è avviato nella tecnologia a registro distribuito (DLT), i tempi di avvio dell’esecuzione, la definizione del momento in cui il regolamento è definitivo, tutte le verifiche necessarie per garantire l’efficace regolamento dell’operazione e qualsiasi misura volta a limitare i mancati regolamenti.

(15)	Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che l’Autorità europea degli strumenti finanziari e dei mercati ha presentato alla Commissione ed elaborato in stretta cooperazione con l’Autorità bancaria europea.

(16)

L’Autorità europea degli strumenti finanziari e dei mercati ha condotto consultazioni pubbliche sui progetti di norme tecniche di regolamentazione su cui è basato il presente regolamento, ha analizzato i potenziali costi e benefici collegati e ha chiesto la consulenza del gruppo delle parti interessate nel settore degli strumenti finanziari e dei mercati istituito dall’articolo 37 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (5).

(17)	Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (6), il Garante europeo della protezione dei dati è stato consultato e ha formulato osservazioni formali il 21 giugno 2024,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Informazioni di carattere generale

Le persone giuridiche o altre imprese che chiedono l’autorizzazione come prestatore di servizi per le cripto-attività conformemente all’articolo 62 del regolamento (UE) 2023/1114 («richiedenti») includono nella domanda di autorizzazione tutte le informazioni seguenti:

a)	la denominazione legale, il numero di telefono e l’indirizzo di posta elettronica del richiedente;

b)	qualsiasi denominazione commerciale utilizzata o che sarà utilizzata dal richiedente;

c)	l’identificativo della persona giuridica (LEI) del richiedente;

d)	il nome completo, la funzione, l’indirizzo di posta elettronica e il numero di telefono del punto di contatto designato o della persona di contatto designata;

la forma giuridica del richiedente di cui all’articolo 62, paragrafo 2, lettera b), del regolamento (UE) 2023/1114, comprese le informazioni che indicano se il richiedente è una persona giuridica o un’altra impresa e, se disponibili, il numero di identificazione nazionale del richiedente e la prova della sua iscrizione al registro nazionale delle imprese;

f)	la data e lo Stato membro di costituzione o fondazione del richiedente;

g)	se del caso, gli atti costitutivi, lo statuto di cui all’articolo 62, paragrafo 2, lettera c), del regolamento (UE) 2023/1114 e i regolamenti interni;

h)	l’indirizzo della sede centrale e, se differente, della sede legale del richiedente;

i)	le informazioni sul luogo in cui opereranno le eventuali succursali e il loro identificativo della persona giuridica (LEI), se disponibile;

j)	il nome di dominio di ciascun sito web gestito dal richiedente e gli account di social media di tale richiedente;

se il richiedente non è una persona giuridica, la documentazione per valutare se:

i)	il livello di protezione degli interessi dei terzi e dei diritti dei possessori di cripto-attività, anche in caso di insolvenza, è equivalente alla protezione offerta dalle persone giuridiche;

ii)	il richiedente è soggetto a una vigilanza prudenziale equivalente adeguata alla sua forma giuridica;

se il richiedente intende gestire una piattaforma di negoziazione di cripto-attività:

i)	l’indirizzo fisico, il numero di telefono e l’indirizzo di posta elettronica della piattaforma di negoziazione di cripto-attività;

ii)	qualsiasi denominazione commerciale della piattaforma di negoziazione di cripto-attività.

Articolo 2

Programma operativo

1. Ai fini dell’articolo 62, paragrafo 2, lettera d), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente il programma operativo per i tre anni successivi all’autorizzazione, comprese tutte le informazioni seguenti:

se il richiedente appartiene a un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE del Parlamento europeo e del Consiglio (7), una spiegazione del modo in cui le attività del richiedente si inseriscono nella strategia del gruppo e interagiscono con le attività degli altri soggetti di tale gruppo, compresa una panoramica dell’organizzazione e della struttura attuali e previste di tale gruppo;

b)	una spiegazione del modo in cui si prevede che le attività dei soggetti affiliati al richiedente, anche nel caso in cui vi siano soggetti regolamentati all’interno del gruppo, incideranno sulle attività del richiedente;

c)	un elenco dei servizi per le cripto-attività che il richiedente intende prestare e i tipi di cripto-attività cui i servizi per le cripto-attività si riferiscono;

d)	altre attività pianificate, regolamentate conformemente al diritto dell’Unione o nazionale o non regolamentate, compresi i servizi diversi dai servizi per le cripto-attività, che il richiedente intende prestare;

e)	se il richiedente intende offrire cripto-attività al pubblico o chiede l’ammissione alla negoziazione di cripto-attività e, in tal caso, quale tipo di cripto-attività;

f)	un elenco delle giurisdizioni, sia nell’Unione che nei paesi terzi, in cui il richiedente prevede di prestare servizi per le cripto-attività, comprese informazioni sul numero previsto di clienti per area geografica;

g)	i tipi di potenziali clienti cui si rivolgono i servizi per le cripto-attività del richiedente;

una descrizione dei mezzi di accesso dei clienti ai servizi per le cripto-attività del richiedente, compresi tutti gli elementi seguenti:

i nomi di dominio per ciascun sito web o altra applicazione basata sulle TIC attraverso i quali il richiedente presterà i servizi per le cripto-attività e le informazioni sulle lingue in cui il sito web o altra applicazione basata sulle TIC saranno disponibili, i tipi di servizi per le cripto-attività cui si potrà accedere tramite tale sito web o altra applicazione basata sulle TIC e, se del caso, da quali Stati membri il sito web o altra applicazione basata sulle TIC saranno accessibili;

ii)	il nome di qualsiasi applicazione basata sulle TIC a disposizione dei clienti per accedere ai servizi per le cripto-attività, le lingue in cui tale applicazione basata sulle TIC è disponibile e i servizi per le cripto-attività cui è possibile accedere attraverso tale applicazione basata sulle TIC;

le attività e le modalità promozionali e di marketing previste per i servizi per le cripto-attività, tra cui:

i)	tutti i mezzi di marketing da utilizzare per ciascuno dei servizi;

ii)	i mezzi di identificazione previsti del richiedente;

iii)	informazioni sulla categoria pertinente di clienti destinatari;

iv)	i tipi di cripto-attività;

v)	le lingue che saranno utilizzate per le attività promozionali e di marketing;

j)	una descrizione dettagliata delle risorse umane, finanziarie e TIC assegnate ai servizi per le cripto-attività previsti e la loro ubicazione geografica;

k)	la politica di esternalizzazione del richiedente e una descrizione dettagliata degli accordi di esternalizzazione previsti del richiedente, compresi gli accordi infragruppo, e il modo in cui il richiedente si conformerà all’articolo 73 del regolamento (UE) 2023/1114;

l)	l’elenco dei soggetti che presteranno i servizi esternalizzati, la loro ubicazione geografica e i servizi esternalizzati pertinenti;

m)	un piano contabile previsionale comprendente scenari di stress a livello individuale e, se del caso, consolidato di gruppo e subconsolidato conformemente alla direttiva 2013/34/UE;

n)	qualsiasi scambio di cripto-attività con fondi e altre cripto-attività che il richiedente intende effettuare, anche attraverso eventuali applicazioni di finanza decentrata con le quali il richiedente intende interagire per proprio conto.

Ai fini della lettera b), la spiegazione comprende un elenco dei soggetti affiliati al richiedente e informazioni su di essi, anche nel caso in cui vi siano soggetti regolamentati, i servizi prestati da tali soggetti, compresi i servizi regolamentati, le attività e i tipi di clienti, e i nomi di dominio di ciascun sito web gestito da tali soggetti.

Ai fini della lettera k), il richiedente include informazioni sulle funzioni o sulla persona responsabile dell’esternalizzazione, sulle risorse umane e TIC destinate al controllo delle funzioni, dei servizi o delle attività esternalizzati dei relativi accordi nonché sulla valutazione del rischio connesso all’esternalizzazione.

Ai fini della lettera m), le previsioni finanziarie tengono conto di eventuali prestiti infragruppo che il richiedente ha concesso o concederà o che ad esso sono stati o saranno concessi.

2. I richiedenti, qualora intendano prestare il servizio di ricezione e trasmissione di ordini di cripto-attività per conto di clienti, forniscono alle autorità competenti una copia delle procedure e una descrizione dei dispositivi che garantiscono la conformità all’articolo 80 del regolamento (UE) 2023/1114.

3. I richiedenti, qualora intendano prestare il servizio di collocamento di cripto-attività, forniscono alle autorità competenti una copia delle procedure per individuare, prevenire, gestire e segnalare i conflitti di interesse e una descrizione dei dispositivi attuati per conformarsi all’articolo 79 del regolamento (UE) 2023/1114 e al regolamento delegato della Commissione che stabilisce norme tecniche adottate a norma dell’articolo 72, paragrafo 5, del regolamento (UE) 2023/1114.

Articolo 3

Requisiti prudenziali

Ai fini dell’articolo 62, paragrafo 2, lettera e), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente tutte le informazioni seguenti:

una descrizione delle tutele prudenziali del richiedente di cui all’articolo 67 del regolamento (UE) 2023/1114, comprendente:

i)	l’importo delle tutele prudenziali al momento della domanda di autorizzazione e la descrizione delle ipotesi utilizzate per il calcolo di tale importo;

ii)	l’importo delle tutele prudenziali coperte da fondi propri di cui all’articolo 67, paragrafo 4, lettera a), del regolamento (UE) 2023/1114, se del caso;

iii)	l’importo delle tutele prudenziali del richiedente coperte da una polizza assicurativa di cui all’articolo 67, paragrafo 4, lettera b), del regolamento (UE) 2023/1114, se del caso;

i calcoli previsionali e i piani per la determinazione dei fondi propri, tra cui:

i)	il calcolo previsionale delle tutele prudenziali del richiedente per i primi tre esercizi successivi all’autorizzazione;

ii)	ipotesi di pianificazione comprendenti scenari di stress per la previsione di cui al punto i) e spiegazioni delle cifre;

iii)	una previsione del numero e tipo di clienti, del volume degli ordini e delle operazioni e del volume delle cripto-attività in custodia;

c)	per le imprese o altre persone giuridiche che sono già in attività, se disponibili, i bilanci degli ultimi tre anni approvati, se sottoposti a revisione, da un revisore esterno;

d)	una descrizione delle procedure di pianificazione e monitoraggio delle tutele prudenziali del richiedente conformemente all’articolo 67, paragrafo 1, del regolamento (UE) 2023/1114;

la prova del fatto che il richiedente soddisfa le tutele prudenziali di cui all’articolo 67 del regolamento (UE) 2023/1114, tra cui:

in relazione ai fondi propri di cui all’articolo 67, paragrafo 4, lettera a), del regolamento (UE) 2023/1114:

(1)	la documentazione che specifica in che modo il richiedente ha calcolato l’importo delle tutele prudenziali conformemente all’articolo 67 del regolamento (UE) 2023/1114;

(2)	per le imprese o altre persone giuridiche che sono già in attività e i cui bilanci non sono sottoposti a revisione, una certificazione da parte dell’autorità nazionale di vigilanza dell’importo dei fondi propri del richiedente;

(3)	per le imprese che sono in fase di costituzione, la dichiarazione di un ente creditizio che attesti che i fondi sono depositati sul conto del richiedente;

ii)

in relazione alla polizza assicurativa o garanzia analoga di cui all’articolo 67, paragrafo 4, lettera b), del regolamento (UE) 2023/1114:

(1)	la denominazione legale, la data e lo Stato membro di costituzione o fondazione, l’indirizzo della sede centrale e, se differente, della sede legale e i recapiti dell’impresa autorizzata a fornire la polizza assicurativa o una garanzia analoga;

(2)

una copia di uno dei documenti seguenti:

—	la polizza assicurativa stipulata, contenente tutti gli elementi necessari per ottemperare all’articolo 67, paragrafi 5 e 6, del regolamento (UE) 2023/1114, ove disponibile;

—	il contratto assicurativo, contenente tutti gli elementi necessari per ottemperare all’articolo 67, paragrafi 5 e 6, del regolamento (UE) 2023/1114, sottoscritto da un’impresa autorizzata a fornire un’assicurazione in conformità del diritto dell’Unione o nazionale.

Articolo 4

Informazioni sui dispositivi di governance e meccanismi di controllo interno e sui conflitti di interesse

1. Ai fini dell’articolo 62, paragrafo 2, lettere f) e i), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente le informazioni seguenti sui loro dispositivi di governance e meccanismi di controllo interno:

a)	una descrizione dettagliata della struttura organizzativa del richiedente, se del caso comprensiva del gruppo, compresa l’indicazione della ripartizione dei compiti e dei poteri, delle pertinenti linee di segnalazione e dei dispositivi di controllo interno attuati, unitamente a un organigramma;

i dati personali dei responsabili delle funzioni interne (funzioni di gestione, di vigilanza e di controllo interno), compresi la loro sede e un curriculum vitae che indichi l’istruzione, la formazione professionale e l’esperienza professionale pertinenti e una descrizione delle conoscenze, delle competenze e dell’esperienza necessarie per l’adempimento delle responsabilità attribuite ai responsabili delle funzioni interne;

le politiche e procedure sufficientemente efficaci per assicurare il rispetto del regolamento (UE) 2023/1114 a norma dell’articolo 68, paragrafo 4, di tale regolamento e una descrizione dettagliata delle disposizioni atte a garantire che il personale interessato sia a conoscenza delle procedure da seguire per il corretto adempimento delle proprie responsabilità, compresa una descrizione dettagliata delle procedure che consentono al personale del richiedente di segnalare violazioni potenziali o effettive del regolamento (UE) 2023/1114 conformemente all’articolo 116 di tale regolamento;

una descrizione dettagliata delle modalità di tenuta delle registrazioni dell’attività e dell’organizzazione interna del richiedente conformemente all’articolo 68, paragrafo 9, del regolamento (UE) 2023/1114, comprese le modalità di tenuta delle registrazioni del richiedente a norma del regolamento delegato della Commissione che stabilisce norme tecniche adottate a norma dell’articolo 68, paragrafo 10, lettera b), del regolamento (UE) 2023/1114;

le disposizioni che consentono all’organo di amministrazione di valutare e riesaminare periodicamente l’efficacia delle politiche e delle procedure messe in atto per conformarsi al titolo V, capi 2 e 3, del regolamento (UE) 2023/1114 a norma dell’articolo 68, paragrafo 6, di tale regolamento, compresi tutti gli elementi seguenti:

i)	l’individuazione delle funzioni di controllo interno incaricate di monitorare tali politiche e procedure, nonché l’ambito delle loro responsabilità e le loro linee di segnalazione all’organo di amministrazione del richiedente;

ii)	l’indicazione della periodicità delle segnalazioni delle funzioni di controllo interno all’organo di amministrazione del richiedente in merito all’efficacia di tali politiche e procedure;

iii)

una spiegazione che specifichi:

1)	il modo in cui il richiedente garantisce che le funzioni di controllo interno operino in modo indipendente e separato dalle funzioni da esse controllate;

2)	se le funzioni di controllo interno hanno accesso alle risorse e alle informazioni necessarie;

se tali funzioni di controllo interno possono riferire direttamente all’organo di amministrazione del richiedente almeno una volta all’anno e su base ad hoc, anche qualora rilevino un rischio significativo di mancato rispetto da parte del richiedente degli obblighi che gli incombono a norma del regolamento (UE) 2023/1114;

iv)

una descrizione dei sistemi TIC, delle tutele e dei controlli messi in atto per monitorare le attività del richiedente e per conformarsi al titolo V, capi 2 e 3, del regolamento (UE) 2023/1114, compresi i sistemi di back-up, nonché i sistemi TIC e i controlli dei rischi, se non previsti a norma dell’articolo 9 del presente regolamento;

f)	se del caso, una descrizione delle modalità messe in atto per prevenire e individuare gli abusi di mercato conformemente all’articolo 92 del regolamento (UE) 2023/1114;

g)	se il richiedente ha nominato o intende nominare revisori esterni e, in tal caso, il loro nome e i loro recapiti, se disponibili;

h)	le politiche e procedure contabili in base alle quali il richiedente registrerà e comunicherà le proprie informazioni finanziarie, comprese le date di inizio e di fine dell’esercizio contabile applicato.

2. A norma dell’articolo 72 del regolamento (UE) 2023/1114, per individuare, prevenire, gestire e comunicare i conflitti di interesse, i richiedenti forniscono all’autorità competente tutte le informazioni seguenti sulla gestione dei conflitti di interesse:

una copia della politica del richiedente in materia di conflitti di interessi, unitamente a una descrizione del modo in cui tale politica:

i)	garantisce che il richiedente individui, prevenga e gestisca i conflitti di interesse conformemente all’articolo 72, paragrafo 1, del regolamento (UE) 2023/1114 e comunichi i conflitti di interesse conformemente all’articolo 72, paragrafo 2, di tale regolamento;

ii)	è commisurata alla portata, alla natura e alla gamma dei servizi per le cripto-attività che il richiedente intende prestare e delle altre attività del gruppo a cui il richiedente appartiene;

iii)	garantisce che le politiche, le procedure e le disposizioni in materia di remunerazione non creino conflitti di interesse;

in che modo la politica del richiedente in materia di conflitti di interesse garantisce la conformità con il regolamento delegato della Commissione che stabilisce norme tecniche adottate a norma dell’articolo 72, paragrafo 5, del regolamento (UE) 2023/1114, comprese le informazioni sui sistemi e sulle modalità messi in atto dal richiedente per:

i)	monitorare, valutare, riesaminare l’efficacia della sua politica in materia di conflitti di interesse e porre rimedio a eventuali carenze;

ii)	registrare i casi di conflitti di interesse, compresi la relativa identificazione e valutazione, i rimedi adottati e se il caso è stato comunicato al cliente.

Articolo 5

Piano di continuità operativa

1. Ai fini dell’articolo 62, paragrafo 2, lettera i), del regolamento (UE) 2023/1114, i richiedenti presentano all’autorità competente una descrizione dettagliata del piano di continuità operativa, comprese le misure da adottare per garantire la continuità e la regolarità della prestazione dei servizi per le cripto-attività del richiedente.

2. La descrizione di cui al paragrafo 1 include gli elementi seguenti:

a)	informazioni dettagliate che dimostrino che il piano di continuità operativa è adeguato e che sono state adottate disposizioni per mantenere e testare periodicamente tale piano;

b)	per quanto riguarda le funzioni essenziali o importanti supportate da prestatori di servizi terzi, informazioni sul modo in cui è garantita la continuità operativa nel caso in cui la qualità della prestazione di tali funzioni peggiori a un livello inaccettabile o venga meno;

c)	informazioni sul modo in cui è garantita la continuità operativa in caso di decesso di una persona chiave e, se del caso, sui rischi politici nella giurisdizione del prestatore di servizi.

Articolo 6

Individuazione e prevenzione del riciclaggio di denaro e del finanziamento del terrorismo

Ai fini dell’articolo 62, paragrafo 2, lettera i), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente informazioni sui loro meccanismi di controllo interno, politiche e procedure volti a conformarsi alle disposizioni della legislazione nazionale di recepimento della direttiva (UE) 2015/849 e sul quadro di valutazione del rischio per la gestione dei rischi connessi al riciclaggio di denaro e al finanziamento del terrorismo, compresi tutti gli elementi seguenti:

la valutazione, da parte del richiedente, dei rischi intrinseci e residui di riciclaggio di denaro e finanziamento del terrorismo associati alla sua attività, compresi i rischi relativi a quanto segue:

i)	la clientela del richiedente;

ii)	i servizi forniti,

iii)	i canali di distribuzione utilizzati;

iv)	le aree geografiche di attività;

le misure che il richiedente ha adottato o adotterà per prevenire i rischi individuati e rispettare gli obblighi applicabili in materia di lotta al riciclaggio e al finanziamento del terrorismo, compresi il processo di valutazione del rischio del richiedente, le politiche e procedure per conformarsi agli obblighi di adeguata verifica della clientela e le politiche e procedure per individuare e segnalare operazioni o attività sospette;

informazioni dettagliate sulla misura in cui tali meccanismi di controllo interno, politiche e procedure sono adeguati e proporzionati alla portata, alla natura e al rischio intrinseco di riciclaggio di denaro e finanziamento del terrorismo, alla gamma di servizi per le cripto-attività prestati e alla complessità del modello aziendale e sul modo in cui tali meccanismi, politiche e procedure garantiscono la conformità alla direttiva (UE) 2015/849 e al regolamento (UE) 2023/1113;

d)	l’identità della persona incaricata di garantire il rispetto degli obblighi in materia di lotta al riciclaggio e al finanziamento del terrorismo e la prova delle sue conoscenze, competenze ed esperienza;

e)	le disposizioni e le risorse umane e finanziarie che garantiscono che il personale del richiedente sia adeguatamente formato in materia di lotta al riciclaggio e al finanziamento del terrorismo (indicazioni annuali) e su specifici rischi connessi alle cripto-attività;

f)	una copia delle politiche, delle procedure e dei sistemi del richiedente per la lotta al riciclaggio e al finanziamento del terrorismo;

g)	la frequenza della valutazione dell’adeguatezza e dell’efficacia di tali meccanismi di controllo interno, politiche e procedure e la persona o la funzione responsabile di tale valutazione.

Articolo 7

Identità dei membri dell’organo di amministrazione e prova dell’onorabilità, delle conoscenze, delle competenze, dell’esperienza e dell’impegno di tempo sufficiente da parte di tali membri

1. Ai fini dell’articolo 62, paragrafo 2, lettera g), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente tutte le informazioni seguenti per ciascun membro dell’organo di amministrazione:

a)	il nome e cognome e, se diverso, il cognome di nascita;

b)	il luogo e la data di nascita, l’indirizzo e i recapiti del luogo di residenza attuale e di qualsiasi altro luogo di residenza negli ultimi dieci anni, la cittadinanza o le cittadinanze, il numero di identificazione nazionale e la copia di un documento d’identità ufficiale o equivalente;

informazioni dettagliate sulla posizione ricoperta o che sarà ricoperta dal membro dell’organo di amministrazione, tra cui se si tratta di una posizione con o senza incarichi esecutivi, la data di inizio o la data di inizio prevista e, se del caso, la durata del mandato, nonché una descrizione dei compiti e delle responsabilità principali del membro;

un curriculum vitae che indichi l’istruzione, la formazione professionale e l’esperienza professionale pertinenti con il nome e la natura di tutte le organizzazioni per le quali il membro ha lavorato e la natura e la durata delle funzioni svolte per le posizioni ricoperte nei dieci anni precedenti, evidenziando in particolare le attività che rientrano nell’ambito della posizione richiesta, compresa l’esperienza professionale relativa ai servizi finanziari, alle cripto-attività o ad altre attività digitali, alla DLT, alle tecnologie dell’informazione, alla cibersicurezza o all’innovazione digitale;

e)	la documentazione relativa alla reputazione e all’esperienza del membro, in particolare l’elenco delle referenze con i recapiti e le lettere di raccomandazione;

i precedenti del membro, in particolare tutti gli elementi seguenti:

i)	assenza di precedenti penali;

ii)

informazioni su procedimenti o indagini penali in corso o sanzioni penali (riguardanti il diritto commerciale, il diritto in materia di servizi finanziari, il riciclaggio di denaro e il finanziamento del terrorismo, la frode o la responsabilità professionale), informazioni su procedimenti esecutivi o sanzioni, informazioni sulle pertinenti cause civili e amministrative e azioni disciplinari, compresa l’interdizione dalla carica di amministratore di una società, su procedure fallimentari, di insolvenza e procedure analoghe;

iii)

informazioni su qualsiasi rifiuto, ritiro, revoca o cessazione della registrazione, autorizzazione, adesione o licenza per l’esercizio di un’attività commerciale, imprenditoriale o professionale, o su qualsiasi espulsione da un organismo di regolamentazione o di governo, ovvero da un ordine o associazione professionale;

iv)	informazioni sulla rimozione da una posizione di fiducia, da un rapporto fiduciario o da una situazione di fiducia analoga o da un rapporto analogo;

v)	informazioni che indichino se un’autorità ha valutato la reputazione della persona, compresa l’identità di tale autorità, la data della valutazione e le informazioni sull’esito di tale valutazione;

una descrizione degli interessi o dei rapporti finanziari e non finanziari del membro e dei suoi stretti familiari con altri membri dell’organo di amministrazione e con i titolari di funzioni chiave nello stesso ente, nell’impresa madre, nelle filiazioni e negli azionisti, che potrebbero creare potenziali conflitti di interesse;

h)	qualora sia individuato un conflitto di interesse rilevante, una dichiarazione sul modo in cui tale conflitto sarà attenuato o risolto, compreso un riferimento alla descrizione sintetica della politica in materia di conflitti di interesse;

informazioni sul tempo che sarà dedicato allo svolgimento delle funzioni del membro in seno al richiedente, compresi tutti gli elementi seguenti:

i)	il tempo minimo stimato, per anno e per mese, che il membro dedicherà allo svolgimento delle proprie funzioni in seno al richiedente;

ii)	un elenco degli altri incarichi di amministratore esecutivo e non esecutivo che il membro detiene, con riferimento ad attività commerciali e non commerciali o istituiti al solo scopo di gestire gli interessi economici del membro in questione;

iii)

informazioni sulle dimensioni e sulla complessità delle società o organizzazioni in cui sono detenuti gli incarichi di amministratore di cui al punto ii), compresi le attività totali, sulla base degli ultimi conti annuali disponibili, indipendentemente dal fatto che la società sia quotata o meno, e il numero di dipendenti di tali società o organizzazioni;

iv)	un elenco di eventuali responsabilità aggiuntive connesse agli incarichi di amministratore di cui al punto ii), compresa la presidenza di un comitato;

v)	il tempo stimato, espresso in giorni per anno, dedicato a ciascuno degli altri incarichi di amministratore di cui al punto ii) e il numero di riunioni per anno dedicate a ciascun mandato.

Ai fini della lettera d), il richiedente include informazioni dettagliate su tutti i poteri delegati e i poteri decisionali interni detenuti e sui settori operativi controllati.

Ai fini della lettera f), punti i) e ii), i richiedenti forniscono le informazioni mediante un certificato ufficiale, se disponibile nello Stato membro o nel paese terzo interessato, o mediante un altro documento equivalente, qualora tale certificato non esista. Le registrazioni, i certificati e i documenti ufficiali devono essere stati rilasciati nei tre mesi precedenti la presentazione della domanda di autorizzazione. Per quanto riguarda le indagini in corso, le informazioni possono essere fornite tramite autocertificazione.

Ai fini della lettera f), punto iv), il richiedente non è tenuto a presentare le informazioni sulla valutazione precedente se l’autorità competente dispone già di tali informazioni.

Ai fini della lettera g), la descrizione comprende eventuali interessi finanziari, compresi cripto-attività, altre attività digitali, prestiti, partecipazioni azionarie, garanzie o diritti di garanzia, siano essi concessi o ricevuti, rapporti commerciali, procedimenti giudiziari e se negli ultimi due anni la persona è stata una persona politicamente esposta quale definita all’articolo 3, punto 9), della direttiva (UE) 2015/849.

2. Il richiedente che chiede l’autorizzazione come prestatore di servizi per le cripto-attività conformemente all’articolo 62 del regolamento (UE) 2023/1114 fornisce all’autorità competente i risultati di qualsiasi valutazione dell’idoneità di ciascun membro dell’organo di amministrazione effettuata dal richiedente e i risultati della valutazione dell’idoneità collettiva dell’organo di amministrazione, compresi la relazione sulla valutazione di idoneità o i documenti sull’esito della valutazione di idoneità.

Articolo 8

Informazioni relative agli azionisti o ai soci con partecipazione qualificata

Ai fini dell’articolo 62, paragrafo 2, lettera h), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente tutte le informazioni seguenti:

a)	un organigramma dettagliato della struttura delle partecipazioni del richiedente, compresi la ripartizione del suo capitale e dei suoi diritti di voto e i nomi degli azionisti o dei soci con partecipazioni qualificate;

b)	per ciascun azionista o socio che detiene una partecipazione qualificata diretta o indiretta nel richiedente, le informazioni e i documenti di cui agli articoli da 1 a 4 del regolamento delegato (UE) della Commissione 2025/414 (8), a seconda dei casi;

c)	l’identità di ciascun membro dell’organo di amministrazione che dirigerà l’attività del richiedente e sarà designato da tale azionista o socio con partecipazioni qualificate o a seguito di una nomina da parte di quest’ultimo;

per ciascun azionista o socio che detiene una partecipazione qualificata diretta o indiretta nel richiedente, informazioni sul numero e sul tipo di azioni o altre partecipazioni sottoscritte, sul loro valore nominale, su eventuali premi pagati o da pagare, su eventuali diritti di garanzia o gravami, compresa l’identità delle parti garantite;

e)	le informazioni di cui all’articolo 6, lettere b), d) ed e), e all’articolo 8 del regolamento delegato (UE) della Commissione 2025/414.

Articolo 9

Sistemi TIC e relativi dispositivi di sicurezza

Ai fini dell’articolo 62, paragrafo 2, lettera j), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente le informazioni seguenti:

la documentazione tecnica dei sistemi TIC, dell’infrastruttura DLT utilizzata, se del caso, e dei dispositivi di sicurezza, compresa una descrizione dei dispositivi e delle risorse umane e TIC impiegate, elaborata per conformarsi al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (9), come segue:

una descrizione del modo in cui il richiedente garantisce un quadro solido, completo e ben documentato per la gestione dei rischi relativi alle TIC nell’ambito del suo sistema generale di gestione del rischio, compresa una descrizione dettagliata dei sistemi, dei protocolli e degli strumenti TIC e del modo in cui le procedure, le politiche e i sistemi del richiedente volti a tutelare la sicurezza, l’integrità, la disponibilità, l’autenticità e la riservatezza dei dati si conformano ai regolamenti (UE) 2022/2554 e (UE) 2016/679;

ii)

l’identificazione dei servizi TIC a supporto di funzioni essenziali o importanti, sviluppati o mantenuti dal richiedente, e dei servizi TIC a supporto di funzioni essenziali o importanti prestati da prestatori di servizi terzi, una descrizione di tali accordi contrattuali (identità e ubicazione geografica dei prestatori, descrizione delle attività esternalizzate o dei servizi TIC con le loro caratteristiche principali, copia degli accordi contrattuali) e del modo in cui tali accordi sono conformi all’articolo 73 del regolamento (UE) 2023/1114 e al capo V del regolamento (UE) 2022/2554;

iii)	una descrizione delle procedure, delle politiche, dei dispositivi e dei sistemi del richiedente per la gestione della sicurezza e degli incidenti;

se disponibile, una descrizione di un audit sulla cibersicurezza condotto da un revisore della cibersicurezza terzo con sufficiente esperienza conformemente al regolamento delegato della Commissione che stabilisce norme tecniche adottate a norma dell’articolo 26, paragrafo 11, quarto comma, del regolamento (UE) 2022/2554, che comprenda idealmente gli audit o i test seguenti:

i)	dispositivi lungo tutto il ciclo di vita relativi alla cibersicurezza organizzativa, alla sicurezza fisica e allo sviluppo sicuro del software;

ii)	valutazioni e scansioni delle vulnerabilità e valutazioni della sicurezza della rete;

iii)	revisioni della configurazione delle risorse TIC a supporto di funzioni essenziali e importanti quali definite all’articolo 3, punto 22), del regolamento (UE) 2022/2554;

iv)

test di penetrazione sulle risorse TIC a supporto di funzioni essenziali e importanti quali definiti all’articolo 3, punto 17), del regolamento (UE) 2022/2554, conformemente a tutti i metodi di prova di audit elencati di seguito:

(1)

scatola nera: il revisore non dispone di altre informazioni oltre agli indirizzi IP e agli URL associati al bersaglio sottoposto ad audit. Questa fase è generalmente preceduta dalla scoperta di informazioni e dall’identificazione del bersaglio mediante l’interrogazione dei servizi del sistema dei nomi di dominio (DNS), la scansione delle porte aperte, la scoperta della presenza di apparecchiature di filtraggio ecc.;

(2)	scatola grigia: i revisori dispongono delle conoscenze di un utente standard del sistema informatico (autenticazione legittima, postazione di lavoro «standard» ecc.). Gli identificatori possono appartenere a profili utente diversi per testare livelli di privilegio diversi;

(3)	scatola bianca: i revisori dispongono di quante più informazioni tecniche possibile (architettura, codice sorgente, contatti telefonici, identificatori ecc.) prima di avviare l’analisi, nonché dell’accesso ai contatti tecnici relativi al bersaglio;

v)	se il richiedente utilizza e/o sviluppa contratti intelligenti, un riesame dei relativi codici sorgente per la cibersicurezza;

c)	una descrizione degli audit effettuati sui sistemi TIC, se del caso, compresi l’infrastruttura DLT e i dispositivi di sicurezza utilizzati;

d)	una descrizione delle informazioni pertinenti di cui alle lettere a) e b) in linguaggio non tecnico.

Articolo 10

Separazione e custodia delle cripto-attività e dei fondi dei clienti

1. Ai fini dell’articolo 62, paragrafo 2, lettera k), del regolamento (UE) 2023/1114, i richiedenti che intendono detenere cripto-attività appartenenti a clienti o i mezzi di accesso a tali cripto-attività ovvero fondi dei clienti diversi dai token di moneta elettronica forniscono all’autorità competente una descrizione dettagliata delle proprie procedure per la separazione delle cripto-attività e dei fondi dei clienti, compresi tutti gli elementi seguenti:

in che modo il richiedente garantisce che:

i)	i fondi dei clienti non siano utilizzati per conto proprio;

ii)	le cripto-attività appartenenti ai clienti non siano utilizzate per conto proprio;

iii)	i portafogli che detengono cripto-attività dei clienti siano diversi dai portafogli propri del richiedente;

b)	una descrizione dettagliata del sistema di approvazione delle chiavi crittografiche e della custodia delle chiavi crittografiche, compresi i portafogli a firma multipla;

c)	il modo in cui il richiedente separa le cripto-attività dei clienti, anche dalle cripto-attività di altri clienti, laddove i portafogli contengano cripto-attività di più di un cliente (conti omnibus);

una descrizione della procedura atta a garantire che i fondi dei clienti diversi dai token di moneta elettronica siano depositati presso una banca centrale o un ente creditizio entro la fine del giorno lavorativo successivo al giorno in cui tali fondi sono stati ricevuti e siano detenuti in un conto distinto da quelli utilizzati per detenere fondi appartenenti al richiedente;

qualora non intenda depositare fondi presso la banca centrale pertinente, quali fattori il richiedente prende in considerazione per selezionare gli enti creditizi presso i quali depositare i fondi dei clienti, comprese la politica di diversificazione del richiedente, se disponibile, e la frequenza di riesame della selezione degli enti creditizi presso i quali depositare i fondi dei clienti;

f)	in che modo il richiedente garantisce che i clienti siano informati in un linguaggio chiaro, conciso e non tecnico in merito agli aspetti fondamentali dei sistemi, delle politiche e delle procedure del richiedente per conformarsi all’articolo 70, paragrafi 1, 2 e 3, del regolamento (UE) 2023/1114.

2. Conformemente all’articolo 70, paragrafo 5, del regolamento (UE) 2023/1114, i prestatori di servizi per le cripto-attività che sono istituti di moneta elettronica o istituti di pagamento forniscono solo le informazioni di cui al paragrafo 1 del presente articolo in relazione alla separazione delle cripto-attività dei clienti.

Articolo 11

Procedure di trattamento dei reclami

Ai fini dell’articolo 62, paragrafo 2, lettera l), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente una descrizione dettagliata delle loro procedure di trattamento dei reclami, compresi tutti gli elementi seguenti:

a)	informazioni sulle risorse umane e tecniche assegnate al trattamento dei reclami;

informazioni sulla persona responsabile delle risorse destinate alla gestione dei reclami, unitamente a un curriculum vitae che indichi l’istruzione, la formazione professionale e l’esperienza professionale pertinenti che giustificano le conoscenze, le competenze e l’esperienza ai fini dell’adempimento delle responsabilità attribuite a tale persona;

c)	in che modo il richiedente garantisce la conformità al regolamento delegato della Commissione che stabilisce norme tecniche adottate a norma dell’articolo 71, paragrafo 5, del regolamento (UE) 2023/1114;

in che modo il richiedente informerà i clienti o potenziali clienti della possibilità di presentare un reclamo a titolo gratuito, la collocazione di tali informazioni sul sito web del richiedente o su qualsiasi altro dispositivo digitale pertinente che possa essere utilizzato dai clienti per accedere ai servizi per le cripto-attività e al contenuto delle informazioni fornite;

e)	le modalità di tenuta delle registrazioni del richiedente in relazione ai reclami;

f)	la tempistica prevista nelle procedure di trattamento dei reclami del richiedente per indagare, rispondere e, se del caso, adottare misure in risposta ai reclami ricevuti;

g)	in che modo il richiedente informerà i clienti o potenziali clienti dei mezzi di ricorso disponibili;

h)	le fasi procedurali fondamentali del richiedente nel decidere in merito a un reclamo e le modalità con cui il richiedente comunicherà tale decisione al cliente o potenziale cliente che ha presentato il reclamo.

Articolo 12

Politica di custodia e amministrazione

Ai fini dell’articolo 62, paragrafo 2, lettera m), del regolamento (UE) 2023/1114, i richiedenti che intendono prestare servizi di custodia e amministrazione di cripto-attività per conto di clienti forniscono all’autorità competente tutte le informazioni seguenti:

una descrizione degli accordi legati al tipo di custodia offerto ai clienti, una copia dell’accordo standard del richiedente per la custodia e l’amministrazione di cripto-attività per conto dei clienti a norma dell’articolo 75, paragrafo 1, del regolamento (UE) 2023/1114 e una copia della sintesi della politica di custodia messa a disposizione dei clienti conformemente all’articolo 75, paragrafo 3, del regolamento (UE) 2023/1114;

la politica di custodia e amministrazione del richiedente, compresa una descrizione delle fonti individuate di rischi operativi e relativi alle TIC per la custodia e il controllo delle cripto-attività o dei mezzi di accesso alle cripto-attività dei clienti, unitamente a una descrizione di quanto segue:

i)	le politiche e procedure e una descrizione delle disposizioni per conformarsi all’articolo 75, paragrafo 8, del regolamento (UE) 2023/1114;

ii)	le politiche e procedure e una descrizione dei sistemi e dei controlli per la gestione dei rischi operativi e relativi alle TIC, anche nel caso in cui la custodia e l’amministrazione di cripto-attività per conto dei clienti siano esternalizzate a terzi;

iii)	le politiche e procedure relative ai sistemi che garantiscono l’esercizio dei diritti connessi alle cripto-attività da parte dei clienti, e una descrizione di tali sistemi;

iv)	le procedure e una descrizione dei sistemi che garantiscono la restituzione ai clienti delle cripto-attività o dei mezzi di accesso;

c)	informazioni sulle modalità di identificazione delle cripto-attività e dei mezzi di accesso alle cripto-attività dei clienti;

d)	informazioni sui dispositivi per ridurre al minimo il rischio di perdita di cripto-attività o di mezzi di accesso alle cripto-attività;

se il prestatore di servizi per le cripto-attività ha delegato a terzi la prestazione di servizi di custodia e amministrazione di cripto-attività per conto di clienti:

i)	informazioni sull’identità dei terzi che prestano il servizio di custodia e amministrazione di cripto-attività e sul loro status conformemente all’articolo 59 o all’articolo 60 del regolamento (UE) 2023/1114;

ii)

una descrizione di eventuali funzioni relative alla custodia e all’amministrazione delle cripto-attività delegate dal prestatore di servizi per le cripto-attività, l’elenco degli eventuali delegati e sottodelegati, a seconda dei casi, e gli eventuali conflitti di interesse che potrebbero derivare da tale delega;

iii)	una descrizione del modo in cui il richiedente intende vigilare sulle deleghe o sottodeleghe.

Articolo 13

Norme operative della piattaforma di negoziazione e individuazione degli abusi di mercato

1. Ai fini dell’articolo 62, paragrafo 2, lettera n), del regolamento (UE) 2023/1114, i richiedenti che intendono gestire una piattaforma di negoziazione di cripto-attività forniscono all’autorità competente tutte le informazioni seguenti:

a)	le regole relative all’ammissione delle cripto-attività alla negoziazione;

b)	la procedura di approvazione per l’ammissione delle cripto-attività alla negoziazione, compresa l’adeguata verifica della clientela effettuata conformemente alla direttiva (UE) 2015/849;

c)	l’elenco delle categorie di cripto-attività che non saranno ammesse alla negoziazione e i motivi di tale esclusione;

d)	le politiche, le procedure e le commissioni per l’ammissione alla negoziazione, unitamente a una descrizione, se del caso, dell’adesione, degli sconti e delle relative condizioni;

e)	le norme che disciplinano l’esecuzione degli ordini, comprese eventuali procedure di cancellazione degli ordini eseguiti e per la comunicazione di tali informazioni ai partecipanti al mercato;

f)	le politiche, le procedure e i metodi messi in atto per valutare l’adeguatezza delle cripto-attività conformemente all’articolo 76, paragrafo 2, del regolamento (UE) 2023/1114;

g)	i sistemi, le procedure e i dispositivi attuati per conformarsi all’articolo 76, paragrafo 7, del regolamento (UE) 2023/1114;

le modalità con cui rendere pubblici tutti i prezzi di domanda e offerta, lo spessore degli interessi di negoziazione ai prezzi pubblicizzati per le cripto-attività attraverso le loro piattaforme di negoziazione e il prezzo, il volume e l’ora delle operazioni eseguite in relazione alle cripto-attività negoziate sulle loro piattaforme di negoziazione, conformemente all’articolo 76, paragrafi 9 e 10, del regolamento (UE) 2023/1114;

i)	le strutture tariffarie e una giustificazione del modo in cui tali strutture sono conformi all’articolo 76, paragrafo 13, del regolamento (UE) 2023/1114;

j)	i sistemi, le procedure e i dispositivi attuati per tenere a disposizione dell’autorità competente i dati relativi a tutti gli ordini o il meccanismo per garantire che l’autorità competente abbia accesso al book di negoziazione e a qualsiasi altro sistema di negoziazione;

per quanto riguarda il regolamento delle operazioni:

i)	se il regolamento definitivo delle operazioni è avviato nel registro distribuito o al di fuori di esso;

ii)	l’intervallo di tempo durante il quale è avviato il regolamento definitivo delle operazioni in cripto-attività;

iii)	il modo per verificare la disponibilità di fondi e cripto-attività;

iv)	il modo per confermare i dettagli pertinenti delle operazioni;

v)	le misure previste per limitare i mancati regolamenti;

vi)	il momento in cui il regolamento è definitivo e il momento di avvio del regolamento definitivo dopo l’esecuzione dell’operazione;

l)	le politiche, le procedure e i sistemi messi in atto per individuare e prevenire gli abusi di mercato, comprese le informazioni sulle comunicazioni all’autorità competente di eventuali casi di abuso di mercato.

2. I richiedenti che intendono gestire una piattaforma di negoziazione di cripto-attività forniscono all’autorità competente una copia delle norme operative della piattaforma di negoziazione ed eventuali procedure e sistemi per individuare e prevenire gli abusi di mercato.

Articolo 14

Scambio di cripto-attività con fondi o scambio di cripto-attività con altre cripto-attività

Ai fini dell’articolo 62, paragrafo 2, lettera o), del regolamento (UE) 2023/1114, i richiedenti che intendono scambiare cripto-attività con fondi o altre cripto-attività forniscono all’autorità competente tutte le informazioni seguenti:

a)	una descrizione della politica commerciale stabilita conformemente all’articolo 77, paragrafo 1, del regolamento (UE) 2023/1114;

una descrizione del metodo per determinare il prezzo delle cripto-attività che il richiedente propone di scambiare con fondi o altre cripto-attività conformemente all’articolo 77, paragrafo 2, del regolamento (UE) 2023/1114, compreso il modo in cui il volume e la volatilità di mercato delle cripto-attività incidono sul meccanismo di determinazione del prezzo.

Articolo 15

Politica di esecuzione

Ai fini dell’articolo 62, paragrafo 2, lettera p), del regolamento (UE) 2023/1114, i richiedenti che intendono eseguire ordini di cripto-attività per conto di clienti forniscono all’autorità competente la loro politica di esecuzione, comprese tutte le informazioni seguenti:

a)	i dispositivi che garantiscono che il cliente abbia dato il proprio consenso alla politica di esecuzione prima dell’esecuzione dell’ordine;

b)	un elenco delle piattaforme di negoziazione di cripto-attività che il richiedente utilizzerà per l’esecuzione degli ordini e i criteri per la valutazione delle sedi di esecuzione incluse nella politica di esecuzione conformemente all’articolo 78, paragrafo 6, del regolamento (UE) 2023/1114;

quali piattaforme di negoziazione il richiedente intende utilizzare per ciascun tipo di cripto-attività e la conferma che il richiedente non riceverà alcuna forma di remunerazione, sconto o beneficio non monetario per il fatto di canalizzare gli ordini ricevuti verso una particolare piattaforma di negoziazione di cripto-attività;

il modo in cui l’esecuzione tiene conto del prezzo, dei costi, della velocità, della probabilità di esecuzione e regolamento, delle dimensioni, della natura, delle condizioni di custodia delle cripto-attività o di qualsiasi altro fattore pertinente considerato parte di tutte le misure necessarie per ottenere il miglior risultato possibile per il cliente;

e)	se del caso, le modalità per informare i clienti che il richiedente eseguirà ordini al di fuori di una piattaforma di negoziazione e il modo in cui il richiedente otterrà il consenso esplicito preventivo dei suoi clienti prima di eseguire tali ordini;

il modo in cui il cliente è avvertito che eventuali istruzioni specifiche di un cliente possono impedire al richiedente di adottare le misure necessarie, in linea con le modalità stabilite e attuate da quest’ultimo nella sua politica di esecuzione, per ottenere il miglior risultato possibile per l’esecuzione di tali ordini in relazione agli elementi contemplati da tali istruzioni;

g)	il processo di selezione delle sedi di negoziazione, le strategie di esecuzione impiegate, le modalità adottate per analizzare la qualità dell’esecuzione ottenuta e il modo in cui il richiedente monitora e verifica che siano stati ottenuti i migliori risultati possibili per i clienti;

h)	i dispositivi volti a prevenire l’uso improprio di qualsiasi informazione relativa agli ordini dei clienti da parte dei dipendenti del richiedente;

i)	i dispositivi e le procedure relativi alle modalità con cui il richiedente comunicherà ai clienti informazioni sulla sua strategia di esecuzione degli ordini e notificherà loro eventuali modifiche sostanziali di tale strategia;

j)	le modalità per dimostrare all’autorità competente, su richiesta di quest’ultima, la conformità all’articolo 78 del regolamento (UE) 2023/1114.

Articolo 16

Prestazione di consulenza sulle cripto-attività o di servizi di gestione del portafoglio di cripto-attività

Ai fini dell’articolo 62, paragrafo 2, lettera q), del regolamento (UE) 2023/1114, i richiedenti che intendono prestare consulenza sulle cripto-attività o servizi di gestione del portafoglio di cripto-attività forniscono all’autorità competente tutte le informazioni seguenti:

una descrizione dettagliata delle modalità messe in atto dal richiedente per conformarsi all’articolo 81, paragrafo 7, del regolamento (UE) 2023/1114, compreso quanto segue:

i)	i meccanismi per controllare, valutare e mantenere efficacemente le conoscenze e le competenze delle persone fisiche che prestano consulenza sulle cripto-attività o gestiscono portafogli di cripto-attività;

ii)

le disposizioni volte a garantire che le persone fisiche coinvolte nella prestazione di consulenza o nella gestione del portafoglio conoscano, comprendano e applichino le politiche e procedure interne del richiedente stabilite per conformarsi al regolamento (UE) 2023/1114, in particolare all’articolo 81, paragrafo 1, di tale regolamento, e alla direttiva (UE) 2015/849;

iii)	l’entità delle risorse umane e finanziarie che il richiedente intende destinare annualmente allo sviluppo professionale e alla formazione del personale che presta consulenza sulle cripto-attività o gestisce il portafoglio di cripto-attività;

i meccanismi per controllare, valutare e mantenere efficacemente le conoscenze e le competenze delle persone fisiche che prestano consulenza per conto del richiedente, necessarie, secondo i criteri di tale valutazione utilizzati nella legislazione nazionale, per effettuare la valutazione dell’adeguatezza di cui all’articolo 81, paragrafo 1, del regolamento (UE) 2023/1114.

Articolo 17

Servizi di trasferimento

Ai fini dell’articolo 62, paragrafo 2, lettera r), del regolamento (UE) 2023/1114, i richiedenti che intendono prestare servizi di trasferimento di cripto-attività per conto di clienti forniscono all’autorità competente tutte le informazioni seguenti:

a)	informazioni dettagliate sui tipi di cripto-attività per i quali il richiedente intende prestare servizi di trasferimento;

una descrizione dettagliata delle modalità messe in atto dal richiedente per conformarsi all’articolo 82 del regolamento (UE) 2023/1114, comprese informazioni dettagliate sui dispositivi del richiedente e sulle risorse umane e TIC impiegate per affrontare i rischi in modo tempestivo, efficiente e completo durante la prestazione di servizi di trasferimento di cripto-attività per conto di clienti, tenendo conto delle potenziali carenze operative e dei rischi di cibersicurezza;

c)	se disponibile, una descrizione della polizza assicurativa del richiedente, compresa la copertura assicurativa del pregiudizio alle cripto-attività del cliente che può derivare dai rischi di cibersicurezza;

d)	disposizioni volte a garantire che i clienti siano adeguatamente informati in merito alle politiche, procedure e modalità di cui alla lettera b).

Articolo 18

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 31 ottobre 2024

Per la Commissione

La presidente

Ursula VON DER LEYEN

(1) GU L 150 del 9.6.2023, pag. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(4) Regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023, riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività e che modifica la direttiva (UE) 2015/849 (GU L 150 del 9.6.2023, pag. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(5) Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, pag. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39, ELI:http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Direttiva 2013/34/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativa ai bilanci d’esercizio, ai bilanci consolidati e alle relative relazioni di talune tipologie di imprese, recante modifica della direttiva 2006/43/CE del Parlamento europeo e del Consiglio e abrogazione delle direttive 78/660/CEE e 83/349/CEE del Consiglio (GU L 182 del 29.6.2013, pag. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(8) Regolamento delegato (UE) 2025/414 della Commissione, del 18 dicembre 2024, che integra il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano il contenuto dettagliato delle informazioni necessarie per effettuare la valutazione di un progetto di acquisizione di una partecipazione qualificata in un prestatore di servizi per le cripto-attività (GU L, 2025/414, 31.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/414/oj).

(9) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).