This document is an excerpt from the EUR-Lex website
Document 32025R1143
Commission Delegated Regulation (EU) 2025/1143 of 12 June 2025 supplementing Regulation (EU) No 600/2014 of the European Parliament and of the Council with regard to regulatory technical standards on the authorisation and organisational requirements for approved publication arrangements and approved reporting mechanisms, and on the authorisation requirements for consolidated tape providers, and repealing Commission Delegated Regulation (EU) 2017/571
Regolamento delegato (UE) 2025/1143 della Commissione, del 12 giugno 2025, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione relative all’autorizzazione e ai requisiti organizzativi per dispositivi di pubblicazione autorizzati e meccanismi di segnalazione autorizzati e ai requisiti per l’autorizzazione di fornitori di un sistema consolidato di pubblicazione, e che abroga il regolamento delegato (UE) 2017/571 della Commissione
Regolamento delegato (UE) 2025/1143 della Commissione, del 12 giugno 2025, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione relative all’autorizzazione e ai requisiti organizzativi per dispositivi di pubblicazione autorizzati e meccanismi di segnalazione autorizzati e ai requisiti per l’autorizzazione di fornitori di un sistema consolidato di pubblicazione, e che abroga il regolamento delegato (UE) 2017/571 della Commissione
C/2025/3100
GU L, 2025/1143, , ELI: http://data.europa.eu/eli/reg_del/2025/1143/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Gazzetta ufficiale |
IT Serie L |
|
2025/1143 |
3.11.2025 |
REGOLAMENTO DELEGATO (UE) 2025/1143 DELLA COMMISSIONE
del 12 giugno 2025
che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione relative all’autorizzazione e ai requisiti organizzativi per dispositivi di pubblicazione autorizzati e meccanismi di segnalazione autorizzati e ai requisiti per l’autorizzazione di fornitori di un sistema consolidato di pubblicazione, e che abroga il regolamento delegato (UE) 2017/571 della Commissione
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (1), in particolare l’articolo 27 quinquies, paragrafo 4, secondo comma, l’articolo 27 quinquies ter, paragrafo 7, terzo comma, l’articolo 27 octies, paragrafo 6, secondo comma, l’articolo 27 octies, paragrafo 8, secondo comma, e l’articolo 27 decies, paragrafo 5, secondo comma,
considerando quanto segue:
|
(1) |
L’articolo 2, paragrafo 1, punto 36 bis, del regolamento (UE) n. 600/2014 definisce i fornitori di servizi di comunicazione dati come dispositivi di pubblicazione autorizzati (APA), meccanismi di segnalazione autorizzati (ARM) e fornitori di un sistema consolidato di pubblicazione (CTP). Sebbene tali tipi di soggetti siano impegnati in attività diverse di comunicazione dati, il regolamento (UE) n. 600/2014 e il regolamento delegato (UE) 2017/571 (2) prevedevano una procedura di autorizzazione analoga. Il regolamento (UE) 2024/791 del Parlamento europeo e del Consiglio (3) ha modificato il regolamento (UE) n. 600/2014 per introdurre una distinzione tra la procedura di autorizzazione per gli APA e gli ARM, da un lato, e la procedura di autorizzazione per i CTP, dall’altro. Ha inoltre modificato i requisiti organizzativi per i CTP. Inoltre, a partire dal 2025, i DRSP sono tenuti a conformarsi al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (4). Per tenere conto di tali modifiche, il regolamento delegato (UE) 2017/571 dovrebbe essere abrogato e sostituito da un nuovo regolamento. |
|
(2) |
Per consentire all’Autorità europea degli strumenti finanziari e dei mercati (ESMA) o, se del caso, all’autorità nazionale competente di valutare se l’APA o l’ARM disponga di risorse umane sufficienti ed eserciti una sorveglianza adeguata sull’attività svolta, la struttura organizzativa di cui all’articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014 dovrebbe individuare chi è responsabile delle diverse attività di tale APA o ARM. Per individuare i settori che possono incidere sull’indipendenza dell’APA o dell’ARM e dare origine a un conflitto di interessi, la struttura organizzativa dovrebbe non solo coprire l’ambito di applicazione dei servizi di comunicazione dati prestati dall’APA o dall’ARM, ma anche qualsiasi altro servizio fornito dall’APA o dall’ARM. Per consentire alle autorità competenti di valutare se le politiche, le procedure e la struttura di governo societario garantiscano l’indipendenza dell’APA o dell’ARM e impediscano l’insorgere di conflitti di interesse, il richiedente un’autorizzazione come APA o ARM dovrebbe anche fornire informazioni sulla composizione, sul funzionamento e sull’indipendenza dei suoi organi direttivi. |
|
(3) |
Possono sorgere conflitti di interesse tra APA o ARM, da un lato, e clienti che utilizzano i loro servizi per adempiere ai loro obblighi normativi e altri soggetti che acquistano dati da APA o ARM, dall’altro. In particolare, possono sorgere conflitti di interesse quando l’APA o l’ARM svolge altre attività, anche in qualità di gestore del mercato, impresa di investimento o repertorio di dati sulle negoziazioni. Un conflitto di interesse che non viene affrontato potrebbe incentivare gli APA o gli ARM a ritardare la pubblicazione o la presentazione dei dati o a negoziare sulla base delle informazioni riservate ricevute. Gli APA e gli ARM dovrebbero pertanto adottare e mantenere disposizioni amministrative efficaci per individuare, prevenire e gestire i conflitti di interesse esistenti e potenziali, anche compilando un inventario dei conflitti di interesse e attuando politiche e procedure appropriate per gestirli e, se necessario, separando aree di attività e membri del personale così da limitare il flusso di informazioni sensibili tra i diversi settori di attività. |
|
(4) |
Al fine di garantire che tutti i membri dell’organo di gestione di un APA o di un ARM soddisfino i requisiti di onorabilità, possiedano sufficienti conoscenze, competenze ed esperienze e dedichino tempo sufficiente ai fini dello svolgimento delle loro funzioni, come richiesto dall’articolo 27 septies del regolamento (UE) n. 600/2014, gli APA e gli ARM dovrebbero essere in grado di dimostrare di essersi dotati di una solida procedura di nomina e di valutazione delle prestazioni dei membri dell’organo di gestione e di aver predisposto chiare linee gerarchiche e chiare disposizioni in materia di informazione regolare all’organo di gestione. |
|
(5) |
Il quadro di controllo interno degli APA e degli ARM è una parte essenziale della loro struttura organizzativa di cui all’articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014. Per consentire all’ESMA o, se del caso, all’autorità nazionale competente di valutare se gli APA e gli ARM abbiano messo in atto tutte le misure necessarie per adempiere ai loro obblighi al momento del rilascio dell’autorizzazione iniziale, gli APA e gli ARM richiedenti dovrebbero trasmettere alla rispettiva autorità competente informazioni sul quadro di controllo interno, comprese informazioni riguardanti le loro funzioni di controllo interno, conformità, gestione del rischio e audit interno. |
|
(6) |
Gli APA e gli ARM rientrano nell’ambito di applicazione del regolamento (UE) 2022/2554 e sono pertanto soggetti alle prescrizioni in materia di resilienza operativa digitale ivi incluse. L’APA o l’ARM richiedente dovrebbe pertanto dimostrare all’ESMA o, se del caso, all’autorità nazionale competente il rispetto di tutti gli obblighi applicabili ai sensi di tale regolamento. L’APA o l’ARM richiedente dovrebbe dimostrare il rispetto, in particolare, degli obblighi in materia di tecnologie dell’informazione e della comunicazione (TIC), gestione dei rischi, gestione dei rischi informatici derivanti da terzi, continuità operativa e dispositivi di back-up, prove e capacità, sicurezza e segnalazione degli incidenti. |
|
(7) |
Gli APA o gli ARM dovrebbero controllare che i dati che pubblicano o trasmettono siano corretti e completi. Dovrebbero inoltre assicurarsi di disporre di meccanismi per individuare gli errori od omissioni attribuibili al cliente o ad essi stessi. Nel caso degli ARM può trattarsi di riconciliazioni tra una popolazione campione di dati trasmessi all’ARM da un’impresa di investimento, o generati dall’ARM per conto dell’impresa di investimento, e i corrispondenti dati forniti dall’autorità competente. La frequenza e la portata delle riconciliazioni dovrebbero essere proporzionate al volume dei dati trattati dall’ARM e alla misura in cui questo genera segnalazioni delle operazioni a partire dai dati dei clienti o trasmette segnalazioni delle operazioni compilate dai clienti. Per assicurare segnalazioni tempestive prive di errori o omissioni, gli ARM dovrebbero monitorare costantemente le prestazioni dei loro sistemi. |
|
(8) |
Un ARM che sia all’origine di un errore o omissione dovrebbe correggere prontamente tale errore o omissione. Tale ARM dovrebbe inoltre informare l’ESMA o, se del caso, l’autorità nazionale competente e qualsiasi autorità competente cui trasmette segnalazioni di tale errore o omissione e della relativa correzione. Per consentire al cliente di allineare la propria documentazione interna alle informazioni che l’ARM ha trasmesso per suo conto all’autorità competente, un ARM dovrebbe notificare i dettagli dell’errore o dell’omissione anche ai clienti, fornendo loro un rendiconto aggiornato delle operazioni. |
|
(9) |
Gli APA dovrebbero essere in grado di cancellare e modificare le informazioni ricevute da un’impresa di investimento che trasmette la segnalazione dell’operazione qualora tale impresa di investimento si trovi in difficoltà tecniche e non possa cancellare o modificare le informazioni stesse. Tuttavia, poiché gli APA non possono essere certi che un errore o un’omissione percepiti siano reali, non essendo parti dell’operazione eseguita, gli APA non dovrebbero essere responsabili della correzione delle informazioni contenute nelle segnalazioni pubblicate qualora l’errore o l’omissione sia imputabile all’impresa di investimento che presenta la segnalazione dell’operazione. |
|
(10) |
Ai fini di una comunicazione affidabile tra l’APA e le imprese di investimento che presentano le segnalazioni delle operazioni, in particolare per quanto riguarda l’annullamento e la modifica di specifiche operazioni, l’APA dovrebbe inserire nel messaggio di conferma inviato all’impresa di investimento segnalante il codice identificativo che ha assegnato all’operazione al momento della pubblicazione dell’informazione. |
|
(11) |
Per rispettare l’obbligo di segnalazione imposto loro dal regolamento (UE) n. 600/2014, gli ARM dovrebbero assicurare il flusso regolare delle informazioni verso le autorità competenti e da queste proveniente. Gli ARM dovrebbero pertanto essere in grado di dimostrare di poter rispettare le specifiche tecniche stabilite dalla loro autorità competente per quanto riguarda l’interfaccia tra di loro e l’autorità competente. |
|
(12) |
Affinché le informazioni possano essere diffuse efficacemente e i partecipanti al mercato possano accedervi agevolmente e usarle, gli APA dovrebbero pubblicarle in linguaggio macchina attraverso canali solidi che consentano l’accesso automatico a tali informazioni. I siti web non sempre offrono un’architettura sufficientemente solida e scalabile e non sempre consentono un agevole accesso automatico ai dati. Questi vincoli tecnologici potranno però essere superati in futuro. Pertanto, piuttosto che imporre una particolare tecnologia, è opportuno stabilire i criteri che la tecnologia scelta deve soddisfare. |
|
(13) |
Per consentire all’ESMA di valutare se il richiedente un’autorizzazione come CTP abbia messo in atto, al momento della domanda, tutte le misure necessarie per soddisfare i criteri di cui all’articolo 27 quinquies bis, paragrafo 2, del regolamento (UE) n. 600/2014, tale richiedente dovrebbe, nella domanda di autorizzazione, fornire un programma di attività, un organigramma e un prospetto dell’assetto proprietario. Per consentire all’ESMA di valutare se il richiedente un’autorizzazione come CTP disponga di risorse umane sufficienti ed eserciti una sorveglianza adeguata sull’attività svolta, l’organigramma dovrebbe individuare chi è responsabile delle diverse attività. Inoltre, per consentire all’ESMA di individuare i settori che possono incidere sull’indipendenza di un CTP e dare origine a un conflitto di interesse, l’organigramma dovrebbe coprire non solo l’ambito di applicazione del servizio relativo al sistema consolidato di pubblicazione, ma anche qualsiasi altro servizio che il CTP richiedente intende fornire. Infine, per consentire all’ESMA di valutare se le politiche, le procedure e la struttura di governo societario garantiscano l’indipendenza del CTP e impediscano l’insorgere di conflitti di interesse, il richiedente un’autorizzazione come CTP dovrebbe anche fornire informazioni sulla composizione, sul funzionamento e sull’indipendenza dei suoi organi direttivi e sul suo quadro di controllo interno. |
|
(14) |
Al fine di garantire che tutti i membri dell’organo di gestione di un CTP siano persone che soddisfano i requisiti di onorabilità e possiedono sufficienti conoscenze, competenze ed esperienze, il richiedente l’autorizzazione come CTP dovrebbe essere in grado di dimostrare di essersi dotato di una solida procedura di nomina e di valutazione delle prestazioni dei membri dell’organo di gestione e di aver predisposto chiare linee gerarchiche e chiare disposizioni in materia di informazione regolare all’organo di gestione. |
|
(15) |
Possono insorgere conflitti di interesse tra il CTP, da un lato, e i contributori di dati o gli utenti dei dati, dall’altro. In particolare, possono sorgere conflitti di interesse quando il CTP svolge altre attività, anche in qualità di gestore del mercato, impresa di investimento o repertorio di dati sulle negoziazioni. Nell’ambito del governo societario, il richiedente un’autorizzazione come CTP dovrebbe dimostrare all’ESMA di aver istituito quadri adeguati per individuare, prevenire e gestire i conflitti di interesse esistenti e potenziali, anche compilando un inventario dei conflitti di interesse e attuando politiche e procedure appropriate per gestirli e, se necessario, separando aree di attività e membri del personale così da limitare il flusso di informazioni sensibili tra i diversi settori di attività del CTP. |
|
(16) |
L’esternalizzazione delle attività, in particolare delle funzioni essenziali e importanti, può costituire una modifica rilevante delle condizioni cui è subordinata l’autorizzazione del CTP. Per assicurare che l’esternalizzazione delle attività non comprometta la sua capacità di adempiere gli obblighi di cui al regolamento n. 600/2014 né faccia sorgere conflitti di interesse, il CTP dovrebbe poter dimostrare di esercitare su dette attività una sorveglianza e un controllo adeguati. |
|
(17) |
I CTP rientrano nell’ambito di applicazione del regolamento (UE) 2022/2554 e sono pertanto soggetti alle prescrizioni in materia di resilienza operativa digitale stabilite in tale regolamento. Nella domanda di autorizzazione, i richiedenti l’autorizzazione come CTP dovrebbero pertanto fornire garanzie della loro conformità ai requisiti applicabili stabiliti in tale regolamento. |
|
(18) |
Il richiedente l’autorizzazione come CTP dovrebbe dimostrare che i suoi sistemi sono in grado di integrare i dati provenienti dalle sedi di negoziazione e dagli APA e di consolidare e pubblicare tali informazioni senza interruzioni. Dovrebbe inoltre dare prova della sua capacità di consolidare e pubblicare dati in linea con i requisiti stabiliti nel regolamento delegato (UE) 2025/1155 della Commissione (5) |
|
(19) |
Per dimostrare il livello ragionevole delle commissioni che intende addebitare ai suoi clienti, il richiedente l’autorizzazione come CTP dovrebbe comunicare all’ESMA la sua politica in materia di dati di mercato, compresa una spiegazione dettagliata dei modelli di licenze e del tariffario delle commissioni previste a norma dell’articolo 17 del regolamento delegato (UE) 2025/1156 della Commissione (6). Il richiedente un’autorizzazione come CTP per le obbligazioni dovrebbe comunicare eventuali meccanismi per la ridistribuzione dei ricavi ai contributori di dati di cui all’articolo 27 nonies, paragrafo 5, del regolamento (UE) n. 600/2014. |
|
(20) |
Per consentire all’ESMA di comprendere il consumo di energia generato dalle attività connesse alla raccolta, al trattamento e alla conservazione dei dati, il richiedente un’autorizzazione come CTP dovrebbe fornire il rapporto previsto di efficacia dell’uso dell’energia (PUE) quale definito dalle norme internazionali. |
|
(21) |
Per consentire all’ESMA di determinare se le loro risorse combinate sono essenziali per il funzionamento del sistema consolidato di pubblicazione, i richiedenti congiunti di cui all’articolo 27 quinquies bis, paragrafo 2, lettera n), del regolamento (UE) n. 600/2014 dovrebbero dimostrare la necessità in termini di capacità tecnica e logistica per ciascun richiedente di gestire congiuntamente il sistema consolidato di pubblicazione. |
|
(22) |
Le informazioni trasmesse alle autorità competenti dovrebbero includere informazioni sull’identità dei membri dell’organo di gestione di un DRSP e sulla loro idoneità. Tali informazioni comprendono dati personali. Conformemente al principio della minimizzazione dei dati sancito dall’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (7), dovrebbero essere richiesti solo i dati personali necessari per consentire all’autorità competente di valutare la capacità dei membri dell’organo di gestione di un DRSP di rispettare le prescrizioni di cui al regolamento (UE) n. 600/2014. Il trattamento di dati personali ai fini del presente regolamento dovrebbe essere effettuato conformemente al diritto dell’Unione in materia di protezione dei dati personali. A tale riguardo, qualsiasi trattamento di dati personali da parte delle autorità nazionali competenti in applicazione del presente regolamento dovrebbe essere effettuato in conformità del regolamento (UE) 2016/679 e delle prescrizioni nazionali in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali. Qualsiasi trattamento di dati personali da parte dell’ESMA in applicazione del presente regolamento dovrebbe essere effettuato in conformità del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (8). Per consentire alle autorità competenti di effettuare la valutazione ai fini dell’autorizzazione iniziale e della vigilanza continua, assicurando nel contempo garanzie adeguate, i dati personali relativi all’onorabilità di un membro dell’organo di gestione dovrebbero essere conservati dai DRSP e dalle autorità competenti per non più di cinque anni dopo che tale membro ha cessato di svolgere le sue funzioni. |
|
(23) |
Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che l’ESMA ha presentato alla Commissione. |
|
(24) |
L’ESMA ha condotto consultazioni pubbliche aperte sul progetto di norme tecniche di regolamentazione sul quale è basato il presente regolamento, ha analizzato i potenziali costi e benefici collegati e ha chiesto il parere del gruppo delle parti interessate nel settore degli strumenti finanziari e dei mercati istituito dall’articolo 37 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (9), |
|
(25) |
Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato osservazioni formali il 17 marzo 2025, |
|
(26) |
Le norme tecniche di regolamentazione da adottare sulla base dei poteri di cui all’articolo 27 quinquies, paragrafo 4, all’articolo 27 quinquies ter, paragrafo 7, all’articolo 27 octies, paragrafi 6 e 8, e all’articolo 27 decies, paragrafo 5, del regolamento (UE) n. 600/2014 dovrebbero essere raggruppate in un unico regolamento delegato della Commissione al fine di garantire che tutte le disposizioni che specificano le condizioni di autorizzazione per i DRSP siano consolidate in un unico regolamento, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
CAPO I
REQUISITI PER L’AUTORIZZAZIONE E REQUISITI ORGANIZZATIVI PER APA E ARM
SEZIONE I
Requisiti per l’autorizzazione di APA e ARM
(Articolo 27 quinquies, paragrafo 1, e articolo 27 septies, paragrafo 2, del regolamento (UE) n. 600/2014)
Articolo 1
Informazioni alle autorità competenti
(Articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 trasmette all’ESMA o, se del caso, all’autorità nazionale competente le informazioni previste agli articoli da 2 a 7 e le informazioni su tutti i requisiti organizzativi previste alla sezione II del presente capo.
2. L’APA o l’ARM informa immediatamente l’ESMA o, se del caso, l’autorità nazionale competente di qualsiasi modifica rilevante delle informazioni fornite al momento dell’autorizzazione o successivamente.
Articolo 2
Informazioni sull’organizzazione
(Articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Il programma di attività di cui all’articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014 comprende quanto segue:
|
a) |
informazioni sulla struttura organizzativa del richiedente, compresi l’organigramma e la specificazione delle risorse umane, tecniche e giuridiche assegnate alle diverse attività svolte; |
|
b) |
informazioni sulle politiche e procedure di separazione operativa per garantire la separazione tra l’APA o l’ARM e qualsiasi altra attività svolta dal richiedente; |
|
c) |
informazioni sulle politiche e le procedure in materia di conformità del richiedente un’autorizzazione a gestire un APA o un ARM, tra cui:
|
|
d) |
un elenco di tutte le funzioni esternalizzate e delle risorse assegnate al controllo delle funzioni esternalizzate. |
2. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 che offre servizi diversi dai servizi di comunicazione dati descrive tali servizi nell’organigramma di cui al paragrafo 1, lettera a).
Articolo 3
Informazioni sulla proprietà
(Articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 include nella domanda:
|
a) |
l’elenco contenente i nomi delle persone fisiche e giuridiche che, direttamente o indirettamente, detengono il 10 % o più del capitale o dei diritti di voto del richiedente o che grazie alla partecipazione detenuta possono esercitare un’influenza significativa sul richiedente; |
|
b) |
l’elenco di tutte le imprese in cui le persone fisiche e giuridiche di cui alla lettera a) detengono il 10 % o più del capitale o dei diritti di voto o sulle quali tali persone fisiche e giuridiche esercitano un’influenza significativa; |
|
c) |
un prospetto indicante i legami proprietari tra l’impresa madre, le imprese figlie e ogni altro soggetto collegato o succursale. |
2. Le imprese indicate nel prospetto di cui al paragrafo 1, lettera c), sono identificate con la denominazione completa, lo status giuridico e l’indirizzo della sede legale.
Articolo 4
Informazioni sul governo societario
(Articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 include nella domanda informazioni sulle politiche e procedure interne di governo societario che presiedono al suo organo di gestione, all’alta dirigenza e, se costituiti, ai comitati.
2. Le informazioni di cui al paragrafo 1 riportano:
|
a) |
la descrizione delle procedure di selezione, nomina, valutazione delle prestazioni e destituzione dell’alta dirigenza e dei membri dell’organo di gestione; |
|
b) |
la descrizione delle linee gerarchiche e la frequenza con cui si rende conto all’alta dirigenza e all’organo di gestione; |
|
c) |
la descrizione delle politiche e delle procedure in materia di accesso ai documenti da parte dei membri dell’organo di gestione. |
Articolo 5
Informazioni sui membri dell’organo di gestione
(Articolo 27 septies, paragrafo 2, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 include nella domanda, per ciascun membro dell’organo di gestione, le informazioni seguenti:
|
a) |
nome, data e luogo di nascita, numero di identificazione personale nazionale o codice equivalente, indirizzo e estremi di contatto; |
|
b) |
funzione che è o sarà ricoperta da tale membro; |
|
c) |
curriculum vitae comprovante il possesso di esperienza e conoscenze sufficienti ad assolvere adeguatamente i compiti previsti; |
|
d) |
prova dell’assenza di precedenti penali per riciclaggio di denaro, finanziamento del terrorismo, prestazione di servizi finanziari o di gestione di dati, frode o appropriazione indebita, in particolare accludendo l’estratto del casellario giudiziale o, se questo non è disponibile nello Stato membro interessato, un’autocertificazione del possesso dei requisiti di onorabilità corredata di una dichiarazione che autorizza l’ESMA o, se del caso, l’autorità nazionale competente a chiedere informazioni per verificare se la persona abbia subito condanne penali per reati connessi a riciclaggio di denaro, finanziamento del terrorismo, prestazione di servizi finanziari o di gestione di dati ovvero per frode o appropriazione indebita; |
|
e) |
autocertificazione del possesso dei requisiti di onorabilità corredata di una dichiarazione che autorizza l’ESMA o, se del caso, l’autorità nazionale competente a verificare se la persona:
|
|
f) |
tempo minimo che la persona è tenuta a dedicare all’esercizio delle sue funzioni presso l’APA o l’ARM; |
|
g) |
dichiarazione dei potenziali conflitti di interesse che esistono o possono sorgere nell’esercizio delle funzioni e indicazione del modo in cui sono gestiti. |
2. Le informazioni di cui al paragrafo 1 sono incluse anche nelle notifiche di cui all’articolo 27 septies, paragrafo 2, del regolamento (UE) n. 600/2014 per quanto riguarda gli APA e gli ARM. L’APA o l’ARM notifica all’ESMA o, se del caso, all’autorità nazionale competente, in formato elettronico, tutte le modifiche concernenti i membri dell’organo di gestione prima della loro decorrenza.
Qualora, per motivi giustificati, non sia possibile effettuare tale notifica prima che la modifica entri in vigore, la notifica è presentata entro 10 giorni lavorativi dalla data in cui ha luogo la modifica.
3. L’APA o l’ARM registra le informazioni di cui al paragrafo 1 su un supporto che ne consenta la conservazione, garantendone l’accessibilità per consultazioni future, e ne permetta la riproduzione inalterata. L’APA o l’ARM tiene aggiornate tali informazioni.
4. L’APA o l’ARM conserva le informazioni di cui al paragrafo 1, lettere d) ed e), per un periodo non superiore a cinque anni dalla cessazione delle funzioni del membro interessato.
5. Se la prova di cui al paragrafo 1, lettera d), contiene informazioni su condanne penali diverse da quelle elencate in tale disposizione, l’APA o l’ARM garantisce che solo le persone responsabili della valutazione dell’idoneità dei membri dell’organo di gestione abbiano accesso alle predette informazioni. Tali informazioni sono conservate separatamente dalle altre informazioni riguardanti un membro dell’organo di gestione. L’accesso alle predette informazioni è registrato. Tali informazioni non sono conservate se riguardano potenziali membri dell’organo di gestione che non sono stati nominati.
6. L’ESMA o, se del caso, l’autorità nazionale competente conserva le informazioni di cui al paragrafo 1, lettere d) ed e), per un periodo non superiore a cinque anni dalla cessazione delle funzioni del membro interessato.
Articolo 6
Informazioni sui controlli interni
(Articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 include nella domanda informazioni dettagliate sul suo quadro di controllo interno. Queste includono informazioni riguardanti le funzioni di controllo interno, conformità, gestione del rischio e audit interno.
2. Le informazioni dettagliate di cui al paragrafo 1 comprendono:
|
a) |
una descrizione sintetica dell’organizzazione delle funzioni di controllo interno, gestione del rischio, conformità e audit interno del richiedente, anche nel caso in cui il richiedente si avvalga di funzioni esternalizzate; |
|
b) |
una valutazione dei principali rischi che possono sorgere nel funzionamento dell’APA o dell’ARM; |
|
c) |
le politiche di controllo interno del richiedente e le procedure per garantirne un’attuazione coerente ed efficace; |
|
d) |
le politiche, le procedure e i manuali per la sorveglianza e la valutazione dell’adeguatezza e dell’efficacia dei sistemi del richiedente; |
|
e) |
le politiche, le procedure e i manuali per il controllo e la protezione dei sistemi di trattamento delle informazioni del richiedente; |
|
f) |
l’identità degli organismi interni incaricati di valutare le risultanze dell’esecuzione del controllo interno e di decidere in merito al seguito da darvi. |
3. Per quanto riguarda la funzione di audit interno del richiedente, le informazioni dettagliate di cui al paragrafo 1 comprendono quanto segue:
|
a) |
informazioni sul rispetto, da parte del richiedente, delle norme professionali nazionali o internazionali; |
|
b) |
eventuali carte, metodologie e procedure della funzione di audit interno; |
|
c) |
la spiegazione della modalità di elaborazione e applicazione della metodologia di audit interno, se del caso, tenuto conto della natura delle attività del richiedente, della loro complessità e dei relativi rischi; |
|
d) |
se esiste un comitato di audit interno:
|
Articolo 7
Informazioni sulla resilienza operativa digitale
(Articolo 27 quinquies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un APA o un ARM a norma dell’articolo 27 quinquies del regolamento (UE) n. 600/2014 include nella sua domanda la prova della conformità ai requisiti in materia di organizzazione della gestione dei rischi informatici e relative capacità, strategia e test di resilienza operativa, gestione degli incidenti e monitoraggio dei rischi informatici derivanti da terzi a norma del regolamento (UE) 2022/2554.
2. Le informazioni di cui al paragrafo 1 comprendono documenti riguardanti le disposizioni del richiedente, a norma del regolamento (UE) 2022/2554, in materia di:
|
a) |
gestione dei rischi informatici; |
|
b) |
gestione degli incidenti connessi alle TIC; |
|
c) |
test di resilienza operativa digitale; |
|
d) |
monitoraggio dei rischi informatici derivanti da terzi. |
3. Le informazioni di cui al paragrafo 1 tengono conto delle dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e delle operazioni del richiedente.
SEZIONE II
Requisiti organizzativi per APA e ARM
(Articolo 27 octies, paragrafi 1, 3 e 5, articolo 27 decies, paragrafi 2 e 4, del regolamento (UE) n. 600/2014)
Articolo 8
Conflitti di interesse
(Articolo 27 octies, paragrafo 3, e articolo 27 decies, paragrafo 2, del regolamento (UE) n. 600/2014)
1. L’APA o l’ARM adotta e mantiene disposizioni amministrative efficaci al fine di evitare conflitti di interesse con i clienti che si avvalgono dei suoi servizi per rispettare gli obblighi di legge e altri soggetti che acquistano dati dall’APA o dall’ARM. Dette disposizioni includono politiche e procedure per individuare, gestire e dichiarare i conflitti di interesse esistenti e potenziali e prevedono:
|
a) |
un inventario dei conflitti di interesse esistenti e potenziali che ne contiene la descrizione, l’individuazione, la prevenzione, la gestione e la dichiarazione; |
|
b) |
la separazione delle funzioni e delle aree di attività all’interno dell’APA o dell’ARM, tra cui:
|
|
c) |
la descrizione della politica tariffaria per determinare le commissioni addebitate dall’APA o dall’ARM e dalle imprese con cui questo ha stretti legami; |
|
d) |
la descrizione della politica retributiva per i membri dell’organo di gestione e l’alta dirigenza; |
|
e) |
le regole sull’accettazione di denaro, regalie o favori da parte del personale dell’APA o dell’ARM e del relativo organo di gestione. |
2. L’inventario dei conflitti di interesse previsto al paragrafo 1, lettera a), elenca i conflitti di interesse derivanti da situazioni in cui l’APA o l’ARM:
|
a) |
può realizzare un guadagno finanziario o evitare una perdita finanziaria a danno di un cliente; |
|
b) |
può avere nel risultato del servizio prestato a un cliente un interesse distinto da quello del cliente; |
|
c) |
può avere un incentivo a privilegiare i propri interessi, o gli interessi di un altro cliente o gruppo di clienti, rispetto a quelli del cliente cui presta il servizio; |
|
d) |
riceve o può ricevere da un soggetto diverso dal cliente, in relazione al servizio fornito a un cliente, un incentivo sotto forma di denaro, di beni o di servizi diverso dalle commissioni o provvigioni addebitate per il servizio. |
Articolo 9
Requisiti organizzativi per l’esternalizzazione
(Articolo 27 octies, paragrafo 3, e articolo 27 decies, paragrafo 2, del regolamento (UE) n. 600/2014)
1. L’APA o l’ARM che dispone che terzi prestatori di servizi, comprese le imprese con cui ha stretti legami, eseguano attività per suo conto, si accerta che il terzo prestatore di servizi possieda la competenza e la capacità per eseguire tali attività in maniera affidabile e professionale.
L’APA o l’ARM indica le attività destinate all’esternalizzazione, specificando l’entità delle risorse umane e tecniche necessarie per eseguire ciascuna di esse.
2. L’APA o l’ARM che esternalizza attività provvede a che l’esternalizzazione non limiti la sua capacità o il suo potere di esercitare le funzioni dell’alta dirigenza o dell’organo di gestione.
3. L’APA o l’ARM resta responsabile delle attività esternalizzate e adotta i provvedimenti organizzativi necessari per:
|
a) |
valutare se il terzo prestatore di servizi esegua le attività esternalizzate in maniera efficace e in conformità con i requisiti normativi e regolamentari applicabili e provveda a colmare adeguatamente le carenze riscontrate; |
|
b) |
individuare i rischi che si pongono in relazione alle attività esternalizzate e effettuare un adeguato controllo periodico; |
|
c) |
sottoporre le attività esternalizzate a procedure adeguate di controllo, anche in termini di effettiva vigilanza sulle attività e sui rischi associati all’interno dell’APA o dell’ARM; |
|
d) |
assicurare un’adeguata continuità operativa delle attività esternalizzate. |
Ai fini della lettera d), l’APA o l’ARM è informato delle disposizioni in materia di continuità operativa predisposte dal terzo prestatore di servizi, ne valuta la qualità e, se necessario, ne richiede miglioramenti.
4. L’APA o l’ARM si assicura che il terzo prestatore di servizi cooperi con l’ESMA o, se del caso, con l’autorità nazionale competente in relazione alle attività esternalizzate.
5. Qualora esternalizzi una funzione essenziale o importante, l’APA o l’ARM comunica all’ESMA o, se del caso, all’autorità nazionale competente:
|
a) |
l’identità del terzo prestatore di servizi; |
|
b) |
i provvedimenti organizzativi adottati in materia di esternalizzazione e i rischi che questa comporta secondo quanto indicato al paragrafo 3; |
|
c) |
le relazioni interne o esterne sulle attività esternalizzate. |
Articolo 10
Gestione delle informazioni incomplete o potenzialmente errate da parte degli APA
(Articolo 27 octies, paragrafo 5, del regolamento (UE) n. 600/2014)
1. Gli APA predispongono e mantengono disposizioni adeguate che permettono loro di pubblicare correttamente, senza introdurvi errori o omettere informazioni, le segnalazioni delle operazioni ricevute dalle imprese di investimento e provvedono a correggere le informazioni nel caso in cui vi abbiano introdotto loro stessi errori o omissioni.
2. Gli APA monitorano costantemente e in tempo reale le prestazioni dei loro sistemi informatici per accertare che la pubblicazione delle segnalazioni delle operazioni ricevute sia andata a buon fine.
3. Gli APA effettuano periodicamente una riconciliazione tra le segnalazioni delle operazioni ricevute e quelle pubblicate per verificare se le informazioni sono state pubblicate correttamente.
4. L’APA conferma all’impresa di investimento segnalante di aver ricevuto la segnalazione dell’operazione, indicando il codice identificativo che ha assegnato all’operazione. L’APA cita il codice identificativo dell’operazione in ogni successiva comunicazione con l’impresa segnalante relativa ad una specifica segnalazione di un’operazione.
5. L’APA predispone e mantiene dispositivi adeguati per individuare all’arrivo le segnalazioni delle operazioni incomplete o contenenti informazioni probabilmente errate. Detti dispositivi comportano allarmi automatici su prezzo e volume, tenuto conto di quanto segue:
|
a) |
settore e segmento in cui è negoziato lo strumento finanziario; |
|
b) |
livelli di liquidità, compresi i livelli storici di negoziazione; |
|
c) |
parametri di riferimento adeguati su prezzo e volume; |
|
d) |
se necessario, altri parametri consoni alle caratteristiche dello strumento finanziario. |
6. Se la segnalazione dell’operazione ricevuta risulta incompleta o contiene informazioni probabilmente errate, l’APA non la pubblica e avvisa immediatamente l’impresa d’investimento che l’ha trasmessa.
7. In situazioni eccezionali gli APA cancellano o modificano informazioni contenute nelle segnalazioni delle operazioni, su richiesta del soggetto che le ha fornite, laddove motivi tecnici impediscano a tale soggetto di cancellarle o modificarle direttamente.
8. Gli APA rendono pubbliche le politiche non discrezionali applicate alla cancellazione e alla modifica delle informazioni contenute nelle segnalazioni delle operazioni, indicando le sanzioni in cui l’impresa di investimento che ha trasmesso la segnalazione può incorrere qualora le informazioni incomplete o errate abbiano determinato la cancellazione o la modifica della segnalazione.
Articolo 11
Gestione delle informazioni incomplete o potenzialmente errate da parte degli ARM
(Articolo 27 decies, paragrafo 4, del regolamento (UE) n. 600/2014)
1. L’ARM predispone e mantiene dispositivi adeguati per individuare le segnalazioni delle operazioni incomplete o contenenti errori evidenti attribuibili al cliente. L’ARM convalida le segnalazioni delle operazioni a fronte dei requisiti stabiliti dall’articolo 26 del regolamento (UE) n. 600/2014 per il campo, il formato e il contenuto dei campi, conformemente all’allegato I, tabella 1, del regolamento delegato (UE) 2017/590 della Commissione (10).
2. L’ARM predispone e mantiene dispositivi adeguati per individuare le segnalazioni delle operazioni che contengono errori o omissioni da esso stesso causati e per correggerli, anche mediante cancellazione o modifica. L’ARM esegue la convalida per il campo, il formato e il contenuto dei campi conformemente all’allegato I, tabella 2, del regolamento delegato (UE) 2017/590.
3. L’ARM monitora costantemente e in tempo reale le prestazioni dei propri sistemi per accertare che le segnalazioni delle operazioni ricevute siano trasmesse correttamente all’autorità competente conformemente all’articolo 26 del regolamento (UE) n. 600/2014.
4. Su richiesta dell’ESMA o, se del caso, dell’autorità nazionale competente o dell’autorità competente cui trasmette le segnalazioni delle operazioni, l’ARM effettua periodicamente una riconciliazione tra le informazioni ricevute dal cliente o generate per conto del cliente a fini di segnalazione delle operazioni e i campioni di dati forniti dall’autorità competente.
5. Se non sono finalizzate a correggere errori o omissioni attribuibili all’ARM, le correzioni, comprese la cancellazione o modifica delle segnalazioni delle operazioni, sono possibili soltanto su richiesta del cliente e per una segnalazione alla volta. Se cancella o modifica la segnalazione di un’operazione su richiesta del cliente, l’ARM gli trasmette la risultante segnalazione aggiornata.
6. Se prima di trasmettere la segnalazione dell’operazione riscontra un errore o un’omissione attribuibile al cliente, l’ARM non trasmette la segnalazione e notifica immediatamente all’impresa di investimento i particolari dell’errore o dell’omissione in modo da consentire al cliente di presentare informazioni corrette.
7. Laddove riscontri di aver introdotto un errore o omissione nella segnalazione, l’ARM ne presenta immediatamente una versione corretta e completa.
8. L’ARM notifica immediatamente al cliente i particolari dell’errore o dell’omissione e gli trasmette la segnalazione dell’operazione aggiornata. L’ARM notifica immediatamente l’errore o l’omissione anche all’ESMA o, se del caso, all’autorità nazionale competente e all’autorità competente cui ha trasmesso la segnalazione dell’operazione.
9. L’obbligo di correggere o cancellare le segnalazioni delle operazioni errate ovvero di segnalare le operazioni omesse non si applica agli errori o omissioni compiuti oltre cinque anni prima della data in cui l’ARM ne è venuto a conoscenza.
Articolo 12
Connettività degli ARM
(Articolo 27 decies, paragrafo 4, del regolamento (UE) n. 600/2014)
1. L’ARM predispone le politiche, i dispositivi e le capacità tecniche necessari per conformarsi alle specifiche tecniche relative alla presentazione delle segnalazioni delle operazioni prescritte dall’ESMA o, se del caso, dall’autorità nazionale competente e dalle altre autorità competenti cui trasmette le segnalazioni delle operazioni.
2. L’ARM predispone le politiche, i dispositivi e le capacità tecniche adeguati per poter ricevere dai clienti le segnalazioni delle operazioni e ritrasmettere loro le informazioni. L’ARM fornisce al cliente copia delle segnalazioni delle operazioni che ha presentato per suo conto all’autorità competente.
Articolo 13
Requisiti di leggibilità meccanica per gli APA
(Articolo 27 octies, paragrafo 1, del regolamento (UE) n. 600/2014)
1. Gli APA pubblicano le informazioni a norma dell’articolo 27 octies, paragrafo 1, del regolamento (UE) n. 600/2014 in linguaggio macchina.
2. Sono considerate pubblicate in linguaggio macchina soltanto le informazioni che soddisfano tutte le condizioni seguenti:
|
a) |
sono in un formato di file strutturato in modo tale da consentire alle applicazioni software di individuare, riconoscere ed estrarre facilmente dati specifici; |
|
b) |
sono conservate in un’architettura informatica che consente l’accesso automatico; |
|
c) |
sono gestite da un sistema sufficientemente solido da assicurare la continuità e la regolarità dei servizi prestati e tale da permettere una velocità di accesso adeguata; |
|
d) |
sono accessibili, leggibili, utilizzabili e copiabili da un software informatico disponibile pubblicamente e gratuitamente. |
Ai fini del primo comma, lettera a), il formato del file è determinato da standard aperti, gratuiti e non proprietari. Tale formato indica il tipo di file o messaggi, le regole che li identificano e il nome e tipo di dati dei campi previsti.
3. Gli APA:
|
a) |
mettono a disposizione del pubblico istruzioni sul modo e il luogo in cui è possibile accedere agevolmente ai dati e usarli, indicando anche il formato del file; |
|
b) |
rendono note le modifiche delle istruzioni di cui alla lettera a) almeno tre mesi prima della loro entrata in vigore, salvo in caso di necessità urgente e debitamente motivata di una loro entrata in vigore in tempi più rapidi; |
|
c) |
inseriscono nella pagina iniziale del proprio sito web un collegamento ipertestuale alle istruzioni di cui alla lettera a). |
Articolo 14
Informazioni sulle operazioni che l’APA è tenuto a pubblicare
(Articolo 27 octies, paragrafo 2, del regolamento (UE) n. 600/2014)
L’APA pubblica:
|
a) |
per le operazioni eseguite su azioni, certificati di deposito, fondi indicizzati quotati (ETF), certificati e altri strumenti finanziari analoghi, le informazioni specificate nell’allegato I, tabella 3, del regolamento delegato (UE) 2017/587 della Commissione (11), utilizzando i contrassegni appropriati elencati nell’allegato I, tabella 4, del regolamento delegato (UE) 2017/587; |
|
b) |
per le operazioni eseguite su obbligazioni, strumenti finanziari strutturati, quote di emissione e strumenti derivati, le informazioni specificate nell’allegato II, tabella 2, del regolamento delegato (UE) 2017/583 della Commissione (12), utilizzando i contrassegni appropriati elencati nell’allegato II, tabella 3, del regolamento delegato (UE) 2017/583. |
CAPO II
REQUISITI PER L’AUTORIZZAZIONE DI CTP
Articolo 15
Informazioni all’ESMA
(Articolo 27 quinquies ter, paragrafo 1, e articolo 27 septies, paragrafo 2, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 trasmette all’ESMA le informazioni di cui agli articoli da 16 a 29.
2. Il CTP informa immediatamente l’ESMA di qualsiasi modifica rilevante delle informazioni fornite al momento dell’autorizzazione o successivamente.
Articolo 16
Informazioni sulla proprietà
(Articolo 27 quinquies bis, paragrafo 2, lettera d), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda:
|
a) |
l’elenco contenente i nomi delle persone fisiche e giuridiche che, direttamente o indirettamente, detengono il 10 % o più del capitale o dei diritti di voto del richiedente o che grazie alla partecipazione detenuta possono esercitare un’influenza significativa sul richiedente; |
|
b) |
l’elenco di tutte le imprese in cui le persone fisiche e giuridiche di cui alla lettera a) detengono il 10 % o più del capitale o dei diritti di voto o sulle quali tali persone fisiche e giuridiche esercitano un’influenza significativa; |
|
c) |
un prospetto indicante i legami proprietari tra l’impresa madre, le imprese figlie e ogni altro soggetto collegato o succursale. |
2. Le imprese indicate nel prospetto di cui al paragrafo 1, lettera c), sono identificate con la denominazione completa, lo status giuridico e l’indirizzo della sede legale.
Articolo 17
Informazioni sull’organizzazione
(Articolo 27 quinquies bis, paragrafo 2, lettera d), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda le seguenti informazioni sull’organizzazione:
|
a) |
informazioni sulla struttura organizzativa del richiedente, compresi l’organigramma e la specificazione delle risorse umane, tecniche e giuridiche assegnate alle diverse attività svolte; |
|
b) |
informazioni sulle politiche e procedure di separazione operativa per garantire la separazione tra il CTP e qualsiasi altra attività svolta dal richiedente; |
|
c) |
informazioni sulle politiche e procedure in materia di conformità attuate dal CTP, tra cui:
|
|
d) |
un elenco di tutte le funzioni esternalizzate e delle risorse assegnate al controllo delle funzioni esternalizzate. |
2. Il CTP che offre servizi diversi dai servizi di comunicazione dati descrive tali servizi nell’organigramma di cui al paragrafo 1, lettera a).
Articolo 18
Informazioni sul governo societario
(Articolo 27 quinquies bis, paragrafo 2, lettera d), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda informazioni sulle politiche e procedure interne di governo societario che presiedono al suo organo di gestione, all’alta dirigenza e, se costituiti, ai comitati.
2. Le informazioni di cui al paragrafo 1 riportano:
|
a) |
la descrizione delle procedure di selezione, nomina, valutazione delle prestazioni e destituzione dell’alta dirigenza e dei membri dell’organo di gestione; |
|
b) |
la descrizione delle linee gerarchiche e la frequenza con cui si rende conto all’alta dirigenza e all’organo di gestione; |
|
c) |
la descrizione delle politiche e delle procedure in materia di accesso ai documenti da parte dei membri dell’organo di gestione. |
Articolo 19
Informazioni sui membri dell’organo di gestione
(Articolo 27 quinquies bis, paragrafo 2, lettera d), e articolo 27 septies, paragrafo 2, del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda, per ciascun membro dell’organo di gestione, le informazioni seguenti:
|
a) |
nome, data e luogo di nascita, numero di identificazione personale nazionale o codice equivalente, indirizzo e estremi di contatto; |
|
b) |
funzione che è o sarà ricoperta da tale membro; |
|
c) |
curriculum vitae comprovante il possesso di esperienza e conoscenze sufficienti ad assolvere adeguatamente i compiti previsti; |
|
d) |
prova dell’assenza di precedenti penali per riciclaggio di denaro, finanziamento del terrorismo, prestazione di servizi finanziari o di gestione di dati, frode o appropriazione indebita, in particolare accludendo l’estratto del casellario giudiziale o, se questo non è disponibile nello Stato membro interessato, un’autocertificazione del possesso dei requisiti di onorabilità corredata di una dichiarazione che autorizza l’ESMA a chiedere informazioni per verificare se la persona abbia subito condanne penali per reati connessi a riciclaggio di denaro, finanziamento del terrorismo, prestazione di servizi finanziari o di gestione di dati ovvero per frode o appropriazione indebita; |
|
e) |
autocertificazione del possesso dei requisiti di onorabilità corredata di una dichiarazione che autorizza l’ESMA a chiedere informazioni per verificare se la persona:
|
|
f) |
tempo minimo che la persona è tenuta a dedicare all’esercizio delle sue funzioni presso il CTP; |
|
g) |
dichiarazione dei potenziali conflitti di interesse che esistono o possono sorgere nell’esercizio delle funzioni e indicazione del modo in cui sono gestiti. |
2. Le informazioni di cui al paragrafo 1 sono incluse anche nelle notifiche di cui all’articolo 27 septies, paragrafo 2, del regolamento (UE) n. 600/2014 per quanto riguarda i CTP. Il CTP notifica all’ESMA, in formato elettronico, tutte le modifiche concernenti i membri dell’organo di gestione prima della loro decorrenza.
Qualora, per motivi giustificati, non sia possibile effettuare tale notifica prima che la modifica entri in vigore, la notifica è presentata entro 10 giorni lavorativi dalla data in cui ha luogo la modifica.
3. Il CTP registra le informazioni di cui al paragrafo 1 su un supporto che ne consenta la conservazione, garantendone l’accessibilità per consultazioni future, e ne permetta la riproduzione inalterata. Il CTP tiene aggiornate tali informazioni.
4. Il CTP conserva le informazioni di cui al paragrafo 1, lettere d) ed e), per un periodo non superiore a cinque anni dalla cessazione delle funzioni del membro interessato.
5. Se la prova di cui al paragrafo 1, lettera d), contiene informazioni su condanne penali diverse da quelle elencate in tale disposizione, il CTP garantisce che solo le persone responsabili della valutazione dell’idoneità dei membri dell’organo di gestione abbiano accesso alle predette informazioni. Tali informazioni sono conservate separatamente dalle altre informazioni riguardanti un membro dell’organo di gestione. L’accesso alle predette informazioni è registrato. Tali informazioni non sono conservate se riguardano potenziali membri dell’organo di gestione che non sono stati nominati.
6. L’ESMA conserva le informazioni di cui al paragrafo 1, lettere d) ed e), per un periodo non superiore a cinque anni dalla cessazione delle funzioni del membro interessato dell’organo di gestione.
Articolo 20
Informazioni sui controlli interni
(Articolo 27 quinquies bis, paragrafo 2, lettera d), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda informazioni dettagliate sul suo quadro di controllo interno. Queste includono informazioni riguardanti le funzioni di controllo interno, conformità, gestione del rischio e audit interno.
2. Le informazioni dettagliate di cui al paragrafo 1 comprendono:
|
a) |
una descrizione sintetica dell’organizzazione delle funzioni di controllo interno, gestione del rischio, conformità e audit interno del richiedente, anche nel caso in cui il richiedente si avvalga di funzioni esternalizzate; |
|
b) |
una valutazione dei principali rischi che possono sorgere nel funzionamento del sistema consolidato di pubblicazione; |
|
c) |
le politiche di controllo interno del richiedente e le procedure per garantirne un’attuazione coerente ed efficace; |
|
d) |
le politiche, le procedure e i manuali per la sorveglianza e la valutazione dell’adeguatezza e dell’efficacia dei sistemi del richiedente; |
|
e) |
le politiche, le procedure e i manuali per il controllo e la protezione dei sistemi di trattamento delle informazioni del richiedente; |
|
f) |
l’identità degli organismi interni incaricati di valutare le risultanze dell’esecuzione del controllo interno e di decidere in merito al seguito da darvi. |
3. Per quanto riguarda la funzione di audit interno del richiedente, le informazioni dettagliate di cui al paragrafo 1 comprendono quanto segue:
|
a) |
informazioni sul rispetto, da parte del richiedente, delle norme professionali nazionali o internazionali; |
|
b) |
eventuali carte, metodologie e procedure della funzione di audit interno; |
|
c) |
la spiegazione della modalità di elaborazione e applicazione della metodologia di audit interno, se del caso, tenuto conto della natura delle attività del richiedente, della loro complessità e dei relativi rischi; |
|
d) |
se esiste un comitato di audit interno:
|
Articolo 21
Informazioni sui conflitti di interesse
(Articolo 27 quinquies bis, paragrafo 2, lettera d), del regolamento (UE) n. 600/2014)
Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda informazioni relative alle disposizioni amministrative intese a prevenire i conflitti di interesse. Dette disposizioni includono politiche e procedure per individuare, gestire e dichiarare i conflitti di interesse esistenti e potenziali e prevedono:
|
a) |
un inventario dei conflitti di interesse esistenti e potenziali che ne contiene la descrizione, l’individuazione, la prevenzione, la gestione e la dichiarazione; |
|
b) |
la separazione delle funzioni e delle aree di attività presso il CTP, tra cui:
|
|
c) |
la descrizione della politica retributiva per i membri dell’organo di gestione e l’alta dirigenza; |
|
d) |
le regole sull’accettazione di denaro, regalie o favori da parte del personale del CTP e del relativo organo di gestione. |
Articolo 22
Informazioni sull’operatività
(Articolo 27 quinquies bis, paragrafo 2, lettere g) e i), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda le informazioni seguenti:
|
a) |
la spesa totale in conto capitale prevista per lo sviluppo del sistema consolidato di pubblicazione; |
|
b) |
i costi di gestione previsti del sistema consolidato di pubblicazione; |
|
c) |
la descrizione delle attività liquide nette finanziate dal capitale proprio per la copertura di potenziali perdite economiche di natura generale al fine di continuare a fornire servizi tenendo conto delle informazioni di cui alle lettere a) e b). |
2. Il richiedente un’autorizzazione a gestire il sistema consolidato di pubblicazione per le obbligazioni fornisce anche capitolati d’oneri, statuti, contratti o altra documentazione per dimostrare l’esistenza di meccanismi per la ridistribuzione dei ricavi conformemente all’articolo 27 nonies, paragrafo 5, del regolamento (UE) n. 600/2014.
Articolo 23
Informazioni sull’esternalizzazione
(Articolo 27 quinquies bis, paragrafo 2, lettere a) e l), del regolamento (UE) n. 600/2014)
1. Se dispone che terzi prestatori di servizi, comprese le imprese con cui ha stretti legami, eseguano attività per suo conto, il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione include nella domanda la conferma che il terzo prestatore di servizi possiede la competenza e la capacità per eseguire le attività in maniera affidabile e professionale.
2. Il richiedente indica le attività destinate all’esternalizzazione specificando l’entità delle risorse umane e tecniche necessarie per eseguirle.
3. Il richiedente che esternalizza attività fornisce la prova che l’esternalizzazione non limita la sua capacità o il suo potere di esercitare le funzioni dell’alta dirigenza o dell’organo di gestione.
4. Il richiedente fornisce la prova del fatto che esso resta responsabile delle attività esternalizzate e adotta i provvedimenti organizzativi necessari per:
|
a) |
valutare se il terzo prestatore di servizi esegua le attività esternalizzate in maniera efficace e in conformità con i requisiti normativi e regolamentari applicabili e provveda a colmare adeguatamente le carenze riscontrate; |
|
b) |
individuare i rischi che si pongono in relazione alle attività esternalizzate e effettuare un adeguato controllo periodico; |
|
c) |
sottoporre le attività esternalizzate a procedure adeguate di controllo, anche in termini di effettiva vigilanza sulle attività e sui rischi associati all’interno del CTP; |
|
d) |
assicurare un’adeguata continuità operativa delle attività esternalizzate. |
Ai fini della lettera d), il richiedente è informato delle disposizioni in materia di continuità operativa predisposte dal terzo prestatore di servizi, ne valuta la qualità e, se necessario, ne richiede miglioramenti.
5. Qualora esternalizzi funzioni essenziali o importanti, il richiedente comunica all’ESMA:
|
a) |
l’identità del terzo prestatore di servizi; |
|
b) |
i provvedimenti organizzativi e le politiche adottati in materia di esternalizzazione e i rischi che questa comporta secondo quanto indicato al paragrafo 4; |
|
c) |
le relazioni interne o esterne sulle attività esternalizzate. |
Articolo 24
Informazioni sulle commissioni per i dati di mercato e sui modelli di licenze
(Articolo 27 quinquies bis, paragrafo 2, lettera h), del regolamento (UE) n. 600/2014)
Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 fornisce all’ESMA le informazioni di cui all’articolo 17 del regolamento delegato (UE) 2025/1156.
Articolo 25
Informazioni sulla resilienza operativa digitale
(Articolo 27 quinquies bis, paragrafo 2, lettere a), b) e l), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 include nella domanda prove della conformità ai requisiti in materia di organizzazione della gestione dei rischi informatici e relative capacità, strategia e test di resilienza operativa, gestione degli incidenti e monitoraggio dei rischi informatici derivanti da terzi a norma del regolamento (UE) 2022/2554.
2. Le informazioni di cui al paragrafo 1 comprendono documenti riguardanti le disposizioni del richiedente, a norma del regolamento (UE) 2022/2554, in materia di:
|
a) |
gestione dei rischi informatici; |
|
b) |
gestione degli incidenti connessi alle TIC; |
|
c) |
test di resilienza operativa digitale; |
|
d) |
monitoraggio dei rischi informatici derivanti da terzi. |
3. Le informazioni di cui al paragrafo 1 tengono conto delle dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e delle operazioni del richiedente.
Articolo 26
Informazioni sull’efficienza energetica
(Articolo 27 quinquies bis, paragrafo 2, lettera m), del regolamento (UE) n. 600/2014)
1. Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 fornisce nella domanda informazioni sul rapporto previsto di efficacia dell’uso dell’energia quale definito dalla norma ISO/IEC 30134-2:2016 (13) e sulle migliori pratiche di cui alla versione più recente del codice di condotta europeo per l’efficienza energetica nei centri dati.
2. Ai fini del rapporto previsto di efficacia dell’uso dell’energia di cui al paragrafo 1, il richiedente prende in considerazione le attività di cui ai punti 8.1 degli allegati I e II del regolamento delegato (UE) 2021/2139 della Commissione (14).
Articolo 27
Informazioni sulle misure per la tenuta delle registrazioni
(Articolo 27 quinquies bis, paragrafo 2, lettera k), del regolamento (UE) n. 600/2014)
Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 fornisce all’ESMA informazioni sulle misure adottate per garantire che:
|
a) |
ciascuna fase fondamentale dell’attività del CTP possa essere ricostituita; |
|
b) |
il contenuto originario di una registrazione relativa alla sua attività a norma dell’articolo 27 nonies bis, paragrafo 3, del regolamento (UE) n. 600/2014 prima di correzioni o altre modifiche possa essere registrato, rintracciato e recuperato; |
|
c) |
siano state adottate misure per prevenire un’alterazione non autorizzata di tali dati; |
|
d) |
i dati registrati siano protetti e riservati; |
|
e) |
nel sistema di conservazione dei dati sia integrato un meccanismo per l’identificazione e la correzione degli errori; |
|
f) |
in caso di disfunzione del sistema, i dati siano recuperati tempestivamente. |
Articolo 28
Informazioni sui requisiti organizzativi
(Articolo 27 quinquies bis, paragrafo 2, lettera b), del regolamento (UE) n. 600/2014)
Il richiedente l’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 fornisce all’ESMA le informazioni sulle disposizioni adottate per garantire il rispetto dei requisiti organizzativi di cui all’articolo 27 nonies del regolamento (UE) n. 600/2014.
Articolo 29
Informazioni sulla ricezione, sul consolidamento e sulla diffusione dei dati e sulla loro qualità
(Articolo 27 quinquies bis, paragrafo 2, lettere c), e), f) e j), del regolamento (UE) n. 600/2014)
Il richiedente un’autorizzazione a gestire un sistema consolidato di pubblicazione a norma dell’articolo 27 quinquies ter del regolamento (UE) n. 600/2014 fornisce all’ESMA informazioni concernenti:
|
a) |
i protocolli di trasmissione di cui all’articolo 22 bis del regolamento (UE) n. 600/2014 in linea con i requisiti stabiliti all’articolo 2 del regolamento delegato (UE) 2025/1155; |
|
b) |
le caratteristiche tecniche dei sistemi adottati per garantire che la velocità di diffusione dei dati di mercato fondamentali e dei dati richiesti dalla regolamentazione corrisponda alle informazioni sulla base delle quali il richiedente è stato selezionato; |
|
c) |
i metodi adottati per garantire la qualità dei dati in linea con i requisiti stabiliti all’articolo 10 del regolamento delegato (UE) 2025/1155 della Commissione; |
|
d) |
la documentazione attestante che le tecnologie moderne di interfaccia adottate per la diffusione dei dati di mercato e per la connettività sono conformi ai requisiti minimi stabiliti all’articolo 9 del regolamento delegato (UE) 2025/1155della Commissione; |
Articolo 30
Informazioni fornite da richiedenti congiunti
(Articolo 27 quinquies bis, paragrafo 2, lettera n), del regolamento (UE) n. 600/2014)
Oltre alle prescrizioni di cui all’articolo 15, i richiedenti un’autorizzazione a gestire un sistema consolidato di pubblicazione congiunti includono nella domanda informazioni sulla necessità, in termini di capacità tecnica e logistica, per ciascun richiedente di gestire congiuntamente il sistema consolidato di pubblicazione.
CAPO III
DISPOSIZIONI FINALI
Articolo 31
Abrogazione
Il regolamento delegato (UE) 2017/571 della Commissione è abrogato.
I riferimenti al regolamento abrogato si intendono fatti al presente regolamento.
Articolo 32
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 12 giugno 2025
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 173 del 12.6.2014, pag. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj.
(2) Regolamento delegato (UE) 2017/571 della Commissione, del 2 giugno 2016, che integra la direttiva 2014/65/UE del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione sull’autorizzazione, i requisiti organizzativi e la pubblicazione delle operazioni per i fornitori di servizi di comunicazione dati (GU L 87 del 31.3.2017, pag. 126, ELI: http://data.europa.eu/eli/reg_del/2017/571/oj).
(3) Regolamento (UE) 2024/791 del Parlamento europeo e del Consiglio, del 28 febbraio 2024, che modifica il regolamento (UE) n. 600/2014 per quanto riguarda il miglioramento della trasparenza dei dati, l’eliminazione degli ostacoli all’emergere di sistemi consolidati di pubblicazione, l’ottimizzazione degli obblighi di negoziazione e il divieto di ricevere pagamenti per il flusso degli ordini (GU L, 2024/791, 8.3.2024, ELI: http://data.europa.eu/eli/reg/2024/791/oj).
(4) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(5) Regolamento delegato (UE) 2025/1155 della Commissione, del 12 giugno 2025, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano i dati di input e di output dei sistemi consolidati di pubblicazione, la sincronizzazione degli orologi e la ridistribuzione dei ricavi da parte del fornitore di un sistema consolidato di pubblicazione per azioni e fondi indicizzati quotati, e che abroga il regolamento delegato (UE) 2017/574 della Commissione (GU L, 2025/1155, 3.11.2025, ELI: http://data.europa.eu/eli/reg_del/2025/1155/oj).
(6) Regolamento delegato (UE) 2025/1156 della Commissione, del 12 giugno 2025, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione sull'obbligo di mettere a disposizione del pubblico i dati di mercato a condizioni commerciali ragionevoli (GU L, 2025/1156, 3.11.2025, ELI: http://data.europa.eu/eli/reg_del/2025/1156/oj).
(7) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(8) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(9) Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, pag. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(10) Regolamento delegato (UE) 2017/590 della Commissione, del 28 luglio 2016, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione relative alla segnalazione delle operazioni alle autorità competenti (GU L 87 del 31.3.2017, pag. 449, ELI: http://data.europa.eu/eli/reg_del/2017/590/oj).
(11) Regolamento delegato (UE) 2017/587 della Commissione, del 14 luglio 2016, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari per quanto riguarda le norme tecniche di regolamentazione sugli obblighi di trasparenza a carico delle sedi di negoziazione e delle imprese di investimento relativamente ad azioni, certificati di deposito, fondi indicizzati quotati (ETF), certificati e altri strumenti finanziari analoghi e sull’obbligo di eseguire le operazioni su talune azioni nelle sedi di negoziazione o tramite gli internalizzatori sistematici (GU L 87 del 31.3.2017, pag. 387, ELI: http://data.europa.eu/eli/reg_del/2017/587/oj).
(12) Regolamento delegato (UE) 2017/583 della Commissione, del 14 luglio 2016, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio sui mercati degli strumenti finanziari per quanto riguarda le norme tecniche di regolamentazione sugli obblighi di trasparenza a carico delle sedi di negoziazione e delle imprese di investimento in relazione a obbligazioni, strumenti finanziari strutturati, quote di emissione e derivati (GU L 87 del 31.3.2017, pag. 229, ELI: http://data.europa.eu/eli/reg_del/2017/583/oj).
(13) Consultabile all’indirizzo: ISO/IEC 30134-2:2016 - Information technology — Data centres — Key performance indicators — Part 2: Power usage effectiveness (PUE)
(14) Regolamento delegato (UE) 2021/2139 della Commissione, del 4 giugno 2021, che integra il regolamento (UE) 2020/852 del Parlamento europeo e del Consiglio fissando i criteri di vaglio tecnico che consentono di determinare a quali condizioni si possa considerare che un’attività economica contribuisce in modo sostanziale alla mitigazione dei cambiamenti climatici o all’adattamento ai cambiamenti climatici e se non arreca un danno significativo a nessun altro obiettivo ambientale (GU L 442 del 9.12.2021, pag. 1, ELI: http://data.europa.eu/eli/reg_del/2021/2139/oj.
ELI: http://data.europa.eu/eli/reg_del/2025/1143/oj
ISSN 1977-0707 (electronic edition)