Il 9 giugno 2023 è una data che segna il decorso del mercato delle criptovalute e delle cripto-attività nell’Unione Europea. Con l’obiettivo di creare le necessarie condizioni regolamentative, nella stessa giornata il legislatore comunitario ha promulgato due dispositivi destinati a inquadrare l’emissione, la diffusione e lo scambio di token e cryptocurrency: il Regolamento (UE) 2023/1114, altresì noto come MiCa Regulation (o MiCaR) e il Regolamento (UE) 2023/1113, anche conosciuto come TFR Transfer of Funds Regulation.
Abbiamo ampiamente trattato in precedenza su PagamentiDigitali.it il regolamento MiCa, per un’analisi del quale rimandiamo a una lettura degli approfondimenti, a cura di scrive, in nota[1]. In questo contributo vogliamo invece proporre al lettore una disamina del TFR, soffermandoci su alcuni aspetti che appaiono più rilevanti, laddove impattano sulle proposizioni di business degli attori che operano nel mercato delle cripto-attività.
Il Regolamento (UE) 2023/1113 a colpo d’occhio
Pubblicato sulla Gazzetta Ufficiale dell’Unione Europea n. L150, il regolamento (UE) 2023/1113 del Parlamento e del Consiglio del 31 maggio 2023, riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività, rappresenta un passo significativo verso la regolamentazione delle cripto-attività e dei trasferimenti di fondi all’interno dell’Unione Europea.
Il dispositivo s’inserisce nel contesto evolutivo del quadro normativo in ambito antiriciclaggio (AML package), estende la cosiddetta “travel rule”, già esistente nella finanza tradizionale, per coprire i trasferimenti in criptovalute[2], ed è correlato al MiCaR.
Rivolto a banche, istituti di pagamento e di moneta elettronica e fornitori di servizi di cripto-attività, è stato concepito per garantire la trasparenza e la sicurezza delle transazioni finanziarie, in particolare quelle che coinvolgono il trasferimento di valore tramite l’adozione di tecnologie blockchain e, più in generale, DLT (Distributed Ledger Technologies).
Il nuovo testo europeo include disposizioni dettagliate sui dati informativi che devono accompagnare i trasferimenti di fondi e di cripto-attività, modificando la direttiva (UE) 2015/849[3] (c.d. “AMLD5” o “Quinta Direttiva Antiriclaggio”) e abrogando, a decorrere dalla data di applicazione, il precedente regolamento (UE) 2015/847.
Le principali novità che emergono dal nuovo regolamento riguardano la necessità di includere informazioni complete e accurate sui pagatori e i beneficiari in tutti i trasferimenti di fondi e di cripto-attività. Ciò include l’identificazione completa del pagatore e del beneficiario, l’indirizzo o l’identificativo univoco del beneficiario, e l’importo del trasferimento. Inoltre, il regolamento prevede che i fornitori di servizi di cripto-attività debbano conservare queste informazioni per un periodo di cinque anni.
Nello specifico, il regolamento prevede disposizioni particolari per gli Unhosted Wallet, più comunemente noti come Non-custodial Wallet[4]. Gli operatori devono garantire che i trasferimenti verso o da tali wallet siano accompagnati da informazioni complete sul pagatore e sul beneficiario. Tuttavia, sono previste alcune esenzioni se l’importo del trasferimento è inferiore a 1.000 euro.
L’importanza delle definizioni regolamentative per il mercato fintech
Tra le priorità più importanti per un regolatore vi è la necessità di fornire delle definizioni, atte a indicare l’oggetto e il soggetto cui una norma si riferisce. La neutralità sotto il profilo tecnologico, di concerto con la determinatezza, sono caratteristiche basilari di una definizione normativa, tali da rendere ragionevolmente definita l’interpretazione che il mercato potrà assumere. Ciò è di particolare rilievo, soprattutto all’interno di un profilo legislativo quale è quello che connota il legislatore comunitario. Diversamente, in altre territorialità, la carenza di un siffatto rigore definitorio, è talora foriera di ambiguità che dà adito a interpretazioni errate, tali da poter causare controversie o problemi legali.
Tuttavia, è importante notare che, nonostante il rigore definitorio, nel diritto esistono molte questioni interpretative. Queste derivano dal fatto che le parole possono avere significati diversi a seconda del contesto, e a volte possono persino avere più di un significato all’interno della stessa disposizione legale. Queste ambiguità vengono spesso risolte attraverso l’interpretazione giurisprudenziale.
Orbene, con l’aumento dell’innovazione e della digitalizzazione nel settore finanziario, le questioni legali e normative diventano sempre più complesse. Un legislatore che fornisce definizioni chiare e precise può aiutare a ridurre l’incertezza per gli investitori, facilitando così l’attrazione di capitale in un settore che presenta molti rischi.
Le nuove definizioni del Regolamento (UE) 2023/1113
Chiarita la rilevanza e il valore di una definizione, riportiamo ora le principali (e, talora, nuove) definizioni che il regolamento TFR propone, con riferimento alle cripto-attività, agevolando la comprensione di alcune di esse per le quali il TFR rimanda al Regolamento (UE) 2023/1114 (MiCar).
Cosa è considerata “cripto-attività”
Per definire cosa sia “cripto-attività” il TFR richiama il MiCar, nel quale troviamo una definizione (ormai consolidata), intesa come una rappresentazione digitale di un valore o di un diritto che può essere trasferito e memorizzato elettronicamente, utilizzando la tecnologia a registro distribuito o una tecnologia analoga.
Cosa non è considerata “cripto-attività”
Vale precisare, sempre riferendosi al Regolamento (UE) 2023/1114, che anche il TFR non considera “cripto-attività” gli NFT (al netto delle osservazioni di cui trovate una breve disamina in un precedente contributo di chi scrive) e gli strumenti finanziari, tra cui rientrano, ad esempio, i cosiddetti “security token”[5].
Una lettura in punta di legge, pertanto, suggerirebbe l’esclusione di tali cripto-attività dall’ambito oggettivo di applicazione del Regolamento (UE) 2023/1113, trovandosi (o dovendosi già trovare) le medesime attenzionate da altre norme più specifiche. Tuttavia, vale osservare come un trasferimento di disponibilità di tali specifici asset, laddove accompagnata da un trasferimento di fondi, fa ricadere nel campo di applicazione del TFR il trasferimento di questi ultimi.
Il trasferimento di fondi in “moneta programmabile”
Scostiamoci ora dalla puntuale disanima delle nuove definizioni del TFR ed estendiamo un pensiero critico al riguardo di quanto poc’anzi affermato. Quando il trasferimento delle disponibilità di cryptoasset quali, ad esempio, gli NFT, eseguite su DLT secondo una logica applicativa “inscritta” in uno smart contract, è condizionato da un trasferimento in stablecoin, siamo nel regno della cosiddetta “moneta programmabile”. Il regolamento (settlement) in token di moneta elettronica (come definiti dal MiCaR[6]) e secondo un automatismo DvP (Delivery vs Payment), viene considerato dal TFR alla stessa stregua di un trasferimento di fondi rappresentati da una cripto-attività fungibile.
Prestatore di servizi per le cripto-attività
Anche per “prestatore di servizi per le cripto-attività” il TFR richiama il MiCar nella definizione del cosiddetto “CASP” (Crypto Asset Services Provider), secondo cui si definisce tale una persona giuridica — o altra impresa —, la cui occupazione o attività consiste nella prestazione di uno o più servizi per le cripto-attività ai clienti su base professionale, previamente autorizzata ai sensi del regolamento MiCa.
Fra questi servizi si annoverano:
a) la prestazione di custodia e amministrazione di cripto-attività per conto di clienti;
b) la gestione di una piattaforma di negoziazione di cripto-attività;
c) lo scambio di cripto-attività con fondi;
d) lo scambio di cripto-attività con altre cripto-attività;
e) l’esecuzione di ordini di cripto-attività per conto di clienti;
f) il collocamento di cripto-attività;
g) la ricezione e trasmissione di ordini di cripto-attività per conto di clienti;
h) la prestazione di consulenza sulle cripto-attività;
i) la prestazione di gestione di portafoglio sulle cripto-attività;
j) la prestazione di servizi di trasferimento di cripto-attività per conto dei clienti.
Ai fini dell’applicazione del regolamento (UE) 2023/1113, distinguiamo prestatori di servizi per le cripto-attività del cedente e del cessionario, per i quali si applicano obblighi specifici e distinti che tratteremo nel prosieguo di questo contributo.
Prestatore intermediario di servizi per le cripto-attività
Con “prestatore intermediario di servizi per le cripto-attività” il TFR vuole riferirsi al prestatore di servizi per le cripto-attività, che non sia il prestatore di servizi per le cripto-attività del cedente o del cessionario e che riceva ed effettui un trasferimento di cripto-attività per conto del prestatore di servizi per le cripto-attività del cedente o del cessionario o di un altro prestatore intermediario di servizi per le cripto-attività.
Cosa sono gli “sportelli automatici per le cripto-attività”
Per il TFR sono considerati “sportelli automatici per le cripto-attività” o “cripto-ATM”, i terminali elettronici fisici o online che consentono a un prestatore di servizi per le cripto-attività di svolgere, in particolare, l’attività di servizi di trasferimento di cripto-attività per conto dei clienti[7].
Tale servizio, giova ricordarlo, è prestato da un soggetto vigilato ai sensi del MiCar. Ne consegue che il trasferimento di fondi tramite questi sportelli automatici può essere prestato solo da CASP (Crypto Asset Services Provider) autorizzati, e in ottemperanza a quanto disposto da TFR.
Che cos’è un “indirizzo nel registro distribuito”
Con “indirizzo nel registro distribuito” il regolamento intende un codice alfanumerico che identifica un indirizzo su una rete che utilizza la tecnologia a registro distribuito (DLT), o una tecnologia simile, in cui le cripto-attività possono essere inviate o ricevute.
Cosa succede se un indirizzo è autogenerato dall’utente?
Permetteteci, ora, una breve digressione tecnica, utile a comprendere (meglio) di cosa si sta trattando.
In un sistema crittografico quale è quello su cui si basa la sicurezza delle tecnologie dei registri distribuiti, “indirizzo” indica l’informazione associata a una chiave pubblica, utilizzata per identificare un’entità che può ricevere e trasmettere criptoasset su blockchain.
La chiave pubblica è una chiave crittografica utilizzata nei sistemi di crittografia asimmetrica che può essere impiegata da chiunque per crittografare una transazione, che potrà essere decifrata solo tramite la conoscenza della chiave privata corrispondente. Nelle criptovalute, così come per gli NFT, la chiave pubblica viene tipicamente utilizzata per identificare un conto (o account), a cui sono associati dei criptoasset, controllabili tramite la conoscenza della corrispondente chiave privata. Da una chiave pubblica non è possibile (ossia è troppo oneroso sotto il profilo computazionale) risalire alla corrispondente chiave privata.
La chiave privata è un chiave crittografica utilizzata nei sistemi di crittografia asimmetrica, che consente di firmare un documento in modo verificabile e non ripudiabile. Nelle criptovalute, così come per gli NFT, è utilizzata tipicamente per disporre trasferimenti da un conto a un altro. Da una chiave privata è possibile ottenere una corrispondente chiave pubblica[8].
Il regolamento (UE) 2023/1113 non entra nel merito della generazione di queste chiavi crittografiche (non legifera nulla, neppure, al riguardo delle cosiddette “Key Ceremonies”).
Orbene, una definizione come quella offerta dal TFR e discussa in questa sede, ove rimanesse tale e sola, non permetterebbe di discernere se l’“indirizzo nel registro distribuito” sia gestito da un prestatore di servizi per le cripto-attività.
In altre parole, non sarebbe possibile sapere se l’indirizzo in questione abbia potuto essere generato autonomamente dall’utente, senza alcun coinvolgimento di terzi, oppure tramite l’ausilio di prestatori di servizi di cripto-attività. Da qui la necessità per il legislatore di creare un distinguo fra “indirizzi”, precisando ulteriormente (come vedremo tra breve) la definizione di “indirizzo auto-ospitato”.
Tale accorgimento è dirimente e permette di attrarre nel regolamento (UE) 2023/1113 anche quelle transazioni in cripto-attività che siano legate a indirizzi gestiti in totale autonomia, senza alcun ricorso a enti terzi.
Che cos’è un “indirizzo auto-ospitato”
Chiarito cosa sia (o debba essere) un “indirizzo” ai sensi del TFR, nonché compresa la necessità del legislatore di trovare una definizione per quegli indirizzi generati autonomamente dall’utente, veniamo ora ad analizzare la definizione di “indirizzo auto-ospitato” (o, se preferite la forma anglosassone, “unhosted wallet”)
Con “indirizzo auto-ospitato” il regolamento (UE) 2023/1113 definisce un indirizzo nel registro distribuito non collegato a nessuno dei soggetti seguenti:
a) un prestatore di servizi per le cripto-attività;
b) un soggetto non stabilito nell’Unione che presta servizi analoghi a quelli di un prestatore di servizi per le cripto- attività.
Può essere utile in questa sede fare alcuni esempi pratici.
Un indirizzo Ethereum generato da un utente tramite l’uso di wallet quali MetaMask e WalletConnect, o hardware wallet come Ledger e Trezor (ascrivibili, come in precedenza chiarito, alla categoria dei Non-custodial Wallet), è considerato un “indirizzo auto-ospitato”.
Un indirizzo Ethereum generato grazie l’intervento di un soggetto terzo quale Coinbase (ciò vale anche per Coinbase Wallet), Binance, o qualsiasi altra entità obbligata ai sensi della quinta direttiva antiriciclaggio (si veda la Nota N°3), come una banca, un istituto di pagamento o un istituto di moneta elettronica, le Poste, le assicurazioni (ecc.), è considerato dal TFR semplicemente un “indirizzo nel registro distribuito”.
Conto di cripto-attività
Con “conto di cripto-attività” s’intende il conto detenuto da un prestatore di servizi per le cripto-attività a nome di una o più persone fisiche o giuridiche e che può essere utilizzato per l’esecuzione di trasferimenti di cripto-attività.
Ancorché non esplicitato è più che palese il riferimento alle fattispecie di conto tenute dai Custodial Wallet Provider[9].
Inoltre, riprendendo quanto spiegato nel precedente paragrafo al riguardo degli “indirizzi”, è pacifico ritenere che a tale conto di cripto-attività sia associato almeno un “indirizzo del registro distribuito”, potendosi escludere ogni riferimento all’altra fattispecie chiamata “indirizzo auto-ospitato”.
Trasferimento di cripto-attività
Con trasferimento di cripto-attività, il TFR si riferisce a un’operazione volta a spostare le cripto-attività da un indirizzo nel registro distribuito, da un conto di cripto-attività o da altro dispositivo che consenta la conservazione delle cripto-attività a un altro, effettuata da almeno un prestatore di servizi per le cripto-attività che agisce per conto di un cedente o di un cessionario, indipendentemente dal fatto che il cedente e il cessionario siano il medesimo soggetto e che il prestatore di servizi per le cripto-attività del cedente e quello del cessionario coincidano.
Chi è il “cedente”
Nei precedenti paragrafi si è più volte riferito a “cedenti” e “cessionari”. Vediamo ora di darne spiegazione secondo quanto disposto dal regolamento (UE) 2023/1113.
Ai sensi del TFR, “cedente” è il soggetto detentore di un conto di cripto-attività presso un prestatore di servizi per le cripto-attività, un indirizzo nel registro distribuito o un dispositivo che consenta la conservazione delle cripto-attività, e che autorizza un trasferimento di cripto-attività da tale conto, indirizzo nel registro distribuito o dispositivo o, in mancanza di tale conto, indirizzo nel registro distribuito o dispositivo, un soggetto che dà ordine di trasferire le cripto-attività o avvia il trasferimento.
Abbiamo ritenuto di evidenziare in grassetto la frase “o, in mancanza di tale conto, indirizzo nel registro distribuito o dispositivo” poiché, come vedremo a breve, l’applicazione di alcune deroghe del regolamento dipendono proprio dal fatto che il cedente possa non avere alcun “conto di cripto-attività”, ma possa ugualmente disporre trasferimenti di cripto-attività da un indirizzo nel registro distribuito che, intendiamo in coerenza con la disposizione in discorso, sia un indirizzo auto-ospitato.
A titolo esemplificativo, dunque, cedente può essere sia un soggetto che utilizza wallet Non-custodial come Metamask, sia un utente di un servizio prestato da un Custodial Wallet Provider come Coinbase, Binance, Conio (per citarne solo alcuni).
Chi è il “cessionario”
Con “cessionario”, il TFR intende riferirsi al generico soggetto destinatario finale del trasferimento di cripto-attività.
Trasferimento di cripto-attività da persona a persona
Con trasferimento di cripto-attività da persona, s’intende il trasferimento che avviene senza il coinvolgimento di alcun prestatore di servizi per le cripto-attività.
Per tale tipologia di trasferimenti (come vedremo in seguito) non si applica il regolamento (UE) 2023/1113.
Ambito di applicazione del Regolamento (UE) 2023/1113
Chiarite le principali definizioni del TFR che riguardano le cripto-attività, vediamo in estrema sintesi l’ambito di applicazione (il c.d. “positive scope”) del nuovo regolamento. Successivamente, entreremo nel dettaglio del “negative scope”, analizzando le esclusioni e il perimetro di deroga consentito.
Trasferimenti di fondi in qualsiasi valuta e cripto-attività
Il regolamento riguarda i trasferimenti di fondi, indipendentemente dalla valuta, gestiti da un fornitore di servizi di pagamento o un intermediario, purché sia stabilito nell’Unione.
La stessa normativa si estende anche alle transazioni di cripto-attività, inclusi gli scambi effettuati tramite cripto-ATM, ma (attenzione!), questo vale solo se il fornitore o l’intermediario per le cripto-attività, sia del cedente che del cessionario, è registrato nell’Unione.
I token di moneta elettronica, come definiti dal MiCaR (si veda la nota N°6), sono considerati alla stessa stregua delle cripto-attività ai sensi del regolamento.
Ambito di esclusione e perimetro di deroga del Regolamento (UE) 2023/1113
Veniamo quindi ad analizzare, in coerenza con quanto dianzi premesso, il “Negative Scope” del TFR.
Trasferimenti fra CASP che agiscono per proprio conto
Il TFR non si applica ai trasferimenti di cripto-attività qualora il cedente e il cessionario siano entrambi prestatori di servizi per le cripto-attività che agiscono per proprio conto.
Trasferimenti da persona a persona (P2P)
Il TFR non trova applicazione per quei trasferimenti di cripto-attività da persona a persona che siano effettuati senza coinvolgimento alcuno di prestatori di CASP.
Ciò significa che, laddove ad esempio, si dessero trasferimenti fra indirizzi auto-ospitati, senza il coinvolgimento di alcun prestatore di servizi di cripto-attività definiti dal Regolamento (UE) 2023/1113 (MiCar), il TFR non si applica, limitatamente al trasferimento fra indirizzi auto-ospitati.
Con ciò intendiamo rimarcare che, qualora il trasferimento terminasse (ovvero iniziasse) da un conto di cripto-attività, o da un conto gestito da qualsiasi intermediario vigilato ai sensi del MiCar o della PSD2, il TFR troverebbe piena applicazione per la “tratta” coperta dai regimi di vigilanza in essere.
Deroghe per trasferimenti in stablecoin
Il regolamento non è applicabile ai trasferimenti di fondi o ai trasferimenti di token di moneta elettronica effettuati tramite carta di pagamento, strumento di moneta elettronica, cellulare o qualsiasi altro dispositivo digitale o tecnologico, prepagato o postpagato, con funzionalità simili, purché si rispettino le seguenti condizioni:
- a) la carta, lo strumento o il dispositivo vengano utilizzati solamente per l’acquisto di beni o servizi; e
- b) il numero della carta, dello strumento o del dispositivo sia presente in ogni trasferimento generato dalla transazione.
Ciononostante, il regolamento diventa applicabile quando la carta di pagamento, lo strumento di moneta elettronica, il cellulare o qualsiasi altro dispositivo digitale o tecnologico, prepagato o postpagato, con funzioni simili, viene utilizzato per effettuare trasferimenti di fondi o di token di moneta elettronica tra individui che agiscono come consumatori per finalità non correlate alla loro attività commerciale, imprenditoriale o professionale.
Osserviamo al riguardo di questa deroga come il Regolamento (UE) 2023/1113 si debba applicare ai trasferimenti P2P in stablecoin, qui riferiti come token di moneta elettronica (vedere anche Nota N°6).
Ciò non contraddice (nei fatti) la dispensa precedentemente descritta (quella per i trasferimenti P2P generici), poiché in questo caso trattasi di cripto-attività in qualche misura “sussidiata” (ovvero finanziata) da strumenti di pagamento che rientrano nel novero di quelli specificati: carta di pagamento, strumento di moneta elettronica, cellulare o qualsiasi altro dispositivo digitale o tecnologico, prepagato o postpagato.
Al seguito proponiamo la disamina di due casi che potrebbero occorrere, laddove un CASP intenda offrire un servizio di trasferimento di stablecoin in un contesto P2P (da persona a persona).
Il caso di un operatore telefonico che offra un servizio CASP
A titolo prettamente esemplificativo e con il solo scopo di chiarire al meglio i possibili scenari attenzionati dal TFR, ipotizziamo che si dia un trasferimento in stablecoin tramite uno smartphone in possesso di un utente “cedente”, dove è l’operatore telefonico che provvede a operare come CASP[10], gestendo la compra-vendita della quantità di stablecoin usata per il trasferimento verso un cessionario (ad esempio con addebito in bolletta a fine mese a carico del cedente e accredito a beneficio del cessionario), in due casi d’uso diversi:
- pagamento in stablecoin per l’acquisto di un bene o servizio, fisico o digitale, presso un esercizio commerciale (può essere un marketplace). Il numero di telefono è presente fra i dati che accompagnano il trasferimento di cripto-attività;
- trasferimento P2P in stablecoin tra due soggetti (cedente e cessionario) in relazione amicale o parentale, durante il quale entrambi agiscono come consumatori per finalità non correlate alla loro attività commerciale, imprenditoriale o professionale; il numero di telefono è presente fra i dati che accompagnano il trasferimento di cripto-attività.
Tale caso potrebbe essere (ad esempio) quello di uno split-payment fra amici per pagare il conto di una cena al ristorante, la cui esecuzione potrebbe essere condizionata dall’esecuzione di uno smart contract (split-payment in moneta programmabile).
Nel primo caso il TFR può non applicarsi, in quanto il trasferimento di stablecoin avviene in funzione di una compra-vendita fra un consumatore e un esercente, e il numero di telefono accompagna il trasferimento di cripto-attività). La parti nel negozio giuridico d’esempio, sono infatti già state identificate previamente e il cessionario è stato “convenzionato” dal CASP per l’accettazione di stablecoin come forma di moneta alternativa alla moneta legale circolante nello Stato membro.
Nel secondo caso il TFR deve applicarsi, in quanto il trasferimento di stablecoin avviene non già in funzione di una compra-vendita fra consumatore ed esercizio commerciale, bensì (nonostante l’obbligo di veicolare il numero di telefono insieme al trasferimento di cripto-attività) fra soggetti consumatori e per finalità non correlate alla loro attività commerciale, imprenditoriale o professionale.
Il caso di una banca (o di un IMEL) che offra un servizio CASP per sussidiare il saldo in stablecoin
Anche in questa circostanza, a titolo prettamente esemplificativo e con il solo scopo di chiarire meglio i possibili scenari attenzionati dal TFR, ipotizziamo che si dia un trasferimento in stablecoin tra due (o più) soggetti cedente e cessionario/cessionari, abilitato grazie a un servizio offerto da una banca o da un istituto di moneta elettronica che emettono carte (rispettivamente di debito o prepagate) con cui è possibile finanziare il saldo in stablecoin di un conto di cripto-attività e, parimenti, verso le quali è diretto il trasferimento di stablecoin, per un’eventuale conversione ex-post in valuta fiat.
Immaginiamo due scenari differenti:
- pagamento in stablecoin per l’acquisto di un bene o servizio, fisico o digitale, presso un esercizio commerciale (può essere un marketplace). Il numero della carta è presente fra i dati che accompagnano il trasferimento di cripto-attività;
- trasferimento P2P in stablecoin tra due soggetti (cedente e cessionario) in relazione amicale o parentale, durante il quale entrambi agiscono come consumatori per finalità non correlate alla loro attività commerciale, imprenditoriale o professionale; il numero della carta è presente fra i dati che accompagnano il trasferimento di cripto-attività.
Tale caso potrebbe essere (ad esempio) quello di un trasferimento in moneta programmabile fra genitori e figli, per consentire al cessionario di avere una disponibilità in stablecoin sufficiente a coprire l’eventuale saldo, finalizzato a completare un acquisto in stablecoin di un prodotto o di un servizio, per cui il cedente ha la necessità di assicurarsi che il cessionario realmente impieghi detta disponibilità per il fine prefisso. Uno scenario di tale tipo è stato descritto in un precedente articolo cui rimandiamo il lettore: La moneta programmabile? Forse con gli stablecoin…, R. Garavaglia, Blockchain4Innovation, 19 dicembre 2018.
Nel primo scenario il TFR può non applicarsi, in quanto il trasferimento di stablecoin avviene in funzione di una compra-vendita fra un consumatore e un esercente, e il numero di carta accompagna il trasferimento di cripto-attività). La parti nel negozio giuridico d’esempio, sono infatti già state identificate previamente e il cessionario è stato “convenzionato” dal CASP per l’accettazione di stablecoin come forma di moneta alternativa alla moneta legale circolante nello Stato membro. Nel caso in cui il CASP sia anche un acquirer per pagamenti tradizionali basati su carta, l’esercente può avere in essere già un contratto di convenzionamento, esteso per l’accettazione degli incassi in stablecoin.
Nel secondo scenario il TFR deve applicarsi, in quanto il trasferimento di stablecoin avviene non già in funzione di una compra-vendita fra consumatore ed esercizio commerciale, bensì (nonostante l’obbligo di veicolare il numero di carta insieme al trasferimento di cripto-attività) fra soggetti consumatori e per finalità non correlate alla loro attività commerciale, imprenditoriale o professionale.
Poco conta, infatti, che il cessionario-destinatario ultimo del trasferimento in stablecoin (l’esercizio commerciale presso cui il cessionario intermedio potrà utilizzare gli stablecoin ricevuti dal cedente), sia o possa essere un esercizio commerciale.
La tratta in osservazione è quella che riguarda il trasferimento in stablecoin tra genitore e figlio/a, per stare nell’esempio succitato, due soggetti fisici per i quali il trasferimento di stablecoin non avviene — ovviamente —, per finalità correlate alla loro attività commerciale, imprenditoriale o professionale.
Deroghe per Limited Networks
Il regolamento, infine, non si applica ai servizi previsti in deroga dalla direttiva PSD2, tra i quali — lo ricordiamo per coerenza con gli obiettivi che si pone il contributo in discorso —, si ricomprendono le transazioni effettuate con strumenti che beneficiano dell’esclusione per le cosiddette limited network [11](si vedano al riguardo gli articolo emarginati in nota).
Un perimetro di dispensa, questo, a forte rischio di interpretazione (come sempre, del resto, quando si parla di limited network …), che se applicato non correttamente rischia di vanificare l’applicazione del Regolamento (UE) 2023/1113 a casi per i quali, invece, sarebbe opportuno (se non necessario) renderlo cogente.
Obblighi dei prestatori di servizi per le cripto-attività previsti dal Regolamento (UE) 2023/1113
Chiarite le definizioni e gli ambiti applicativi del Regolamento (UE) 2023/1113, entriamo ora nel dettaglio degli obblighi.
Le disposizioni delineate nel Regolamento (UE) 2023/1113 riguardano gli obblighi dei fornitori di servizi per le cripto-attività del cedente e sottolineano l’importanza della trasparenza e dell’accountability nel settore delle cripto-attività, mostrando un tentativo di regolamentare le transazioni di cripto-attività in modo simile a come vengono regolamentate le transazioni di valute tradizionali.
Le disposizioni sono organizzate in vari punti chiave che riassumiamo brevemente.
Obblighi del fornitore di servizi per le cripto-attività del cedente
I trasferimenti di cripto-attività devono essere accompagnati da dati informativi relativi al cedente e al cessionario. Questi dati includono il nome, l’indirizzo nel registro distribuito, il numero di conto di cripto-attività e altri dati personali o identificativi ufficiali.
Se il trasferimento di cripto-attività non è registrato su una rete che utilizza la Distributed Ledger Technology (DLT) o una tecnologia simile, il fornitore di servizi deve garantire che il trasferimento sia accompagnato da un codice unico di identificazione dell’operazione.
Questi dati informativi devono essere presentati in anticipo, contemporaneamente o in concomitanza con il trasferimento di cripto-attività, in modo sicuro e in conformità con il GDPR (Regolamento (UE) 2016/679).
Nel caso di un trasferimento a un indirizzo auto-ospitato, il fornitore di servizi deve ottenere e conservare i dati informativi e garantire che i trasferimenti di cripto-attività possano essere identificati individualmente.
Il fornitore di servizi deve verificare l’accuratezza dei dati informativi prima di trasferire le cripto-attività, basandosi su documenti, dati o informazioni ottenute da una fonte affidabile e indipendente.
I trasferimenti non possono essere avviati o eseguiti prima di aver assicurato il pieno rispetto di queste disposizioni.
Obblighi del fornitore di servizi per le cripto-attività del cessionario
Il fornitore di servizi deve applicare procedure efficaci per verificare se i dati informativi del cedente e del cessionario sono inclusi nel trasferimento o nel trasferimento raggruppato di cripto-attività.
Nel caso di un trasferimento da un indirizzo auto-ospitato, il fornitore di servizi deve ottenere e conservare i dati informativi e garantire che i trasferimenti di cripto-attività possano essere identificati individualmente.
Il fornitore di servizi deve verificare l’accuratezza dei dati informativi relativi al cessionario prima di mettere le cripto-attività a sua disposizione, basandosi su documenti, dati o informazioni ottenute da una fonte affidabile e indipendente.
Trasferimenti di cripto-attività con dati mancanti o incompleti
Se un fornitore di servizi per le cripto-attività del cessionario riceve un trasferimento di cripto-attività senza i dati informativi completi, deve attivare delle procedure specifiche. Queste possono includere il tentativo di ottenere i dati mancanti, la restituzione delle cripto-attività al cedente, o la segnalazione all’autorità competente.
Obblighi dei prestatori intermediari di servizi per le cripto-attivitài nel trasferimento di cripto-attività
Gli intermediari devono garantire che tutti i dati informativi siano mantenuti e trasmessi insieme al trasferimento di cripto-attività. Devono, parimenti, garantire che i dati siano trasmessi in modo sicuro e in conformità con il GDPR (Regolamento (UE) 2016/679).
Se un intermediario rileva che i dati informativi non sono completi o non sono presenti, deve attivare delle procedure specifiche. Queste possono includere il tentativo di ottenere i dati mancanti, la restituzione delle cripto-attività al cedente, o la segnalazione all’autorità competente.
I dati informativi previsti dal Regolamento (UE) 2023/1113
Come abbiamo potuto osservare nella breve disamina degli obblighi che abbiamo sintetizzato nei precedenti paragrafi, Il TFR in questione riferisce espressamente a dati informativi che devono accompagnare il trasferimento di cripto-attività.
Vediamo ora come tali dati devono essere forniti, trattati e conservati.
Fornitura di dati informativi
I fornitori di servizi di pagamento e di servizi cripto-attività hanno l’obbligo di rispondere prontamente e in modo esaustivo alle richieste di dati informativi provenienti dalle autorità incaricate della lotta contro il riciclaggio e il finanziamento del terrorismo. Questo deve avvenire rispettando le procedure legali dello stato in cui sono stabilite queste aziende.
Le richieste possono essere gestite attraverso un punto di contatto centrale, ove presente.
Protezione dei dati personali
La gestione dei dati personali è soggetta al regolamento (UE) 2016/679 (il GDPR). I dati personali devono essere gestiti solo per prevenire il riciclaggio e il finanziamento del terrorismo, e non devono essere utilizzati in modi incompatibili con questi obiettivi. L’uso di questi dati per scopi commerciali è vietato.
I fornitori di servizi di pagamento e di servizi cripto-attività devono fornire ai nuovi clienti le informazioni richieste dal GDPR prima di stabilire un rapporto d’affari o eseguire un’operazione occasionale.
Queste informazioni devono includere una comunicazione generale sui doveri di queste aziende nel trattamento dei dati personali per prevenire il riciclaggio e il finanziamento del terrorismo. Inoltre, queste aziende devono garantire che la trasmissione di dati personali avvenga in conformità con il GDPR stesso. Ciò è particolarmente rilevante nel caso di trasferimenti di dati personali a paesi terzi.
Il Comitato Europeo per la Protezione dei Dati, in consultazione con l’Autorità Bancaria Europea, fornirà linee guida sulla protezione dei dati personali per tali trasferimenti.
Conservazione dei dati
I dati informativi non devono essere conservati più del necessario.
I fornitori di servizi di pagamento e di servizi cripto-attività devono conservare i dati informativi per un periodo di cinque anni.
Dopo la scadenza di questo periodo, i dati personali devono essere cancellati, a meno che non vi siano disposizioni contrarie nel diritto nazionale.
Gli stati membri possono autorizzare o prescrivere un periodo di conservazione più lungo, fino a un massimo di cinque anni in più, solo dopo aver valutato la necessità e la proporzionalità di tale conservazione supplementare per prevenire, individuare o indagare su attività di riciclaggio o di finanziamento del terrorismo.
Deroghe per accordi con paesi o territori al di fuori dell’Unione Europea
Completiamo questo articolo dedicato al TFR, non senza dedicare spazio alle possibilità di deroga, espressamente previste dal regolamento, per accordi con paesi o territori al di fuori dell’Unione Europea.
Accordi con paesi e territori al di fuori dell’Unione Europea
La Commissione può autorizzare gli Stati membri a stipulare accordi con un paese o territorio esterno all’Unione Europea. Questi accordi possono includere deroghe al regolamento, allo scopo di considerare i trasferimenti di fondi tra lo Stato membro e il paese o territorio esterno come se fossero effettuati all’interno dello stesso Stato membro.
Tali accordi possono essere autorizzati solo se vengono rispettate le seguenti condizioni:
- il paese o territorio esterno è membro di un’unione monetaria con lo Stato membro, rientra nella sua area monetaria o ha firmato un accordo monetario con l’Unione, rappresentata da uno Stato membro;
- i fornitori di servizi di pagamento del paese o territorio esterno partecipano direttamente o indirettamente ai sistemi di pagamento e di regolamento nello Stato membro;
- il paese o territorio esterno richiede ai fornitori di servizi di pagamento sotto la sua giurisdizione di applicare le stesse regole stabilite dal regolamento.
Laddove uno Stato membro desidera stipulare un accordo di questo tipo, deve presentare una richiesta alla Commissione, fornendo tutte le informazioni necessarie per valutare la richiesta. Una volta ricevuta la richiesta, i trasferimenti di fondi tra lo Stato membro e il paese o territorio esterno sono temporaneamente considerati come se fossero effettuati all’interno dello Stato membro, fino a quando non sarà presa una decisione.
Se, entro due mesi dalla ricezione della richiesta, la Commissione ritiene di non avere tutte le informazioni necessarie per valutare la richiesta, chiederà ulteriori informazioni allo Stato membro.
Entro un mese dal ricevimento di tutte le informazioni necessarie, la Commissione notificherà lo Stato membro e trasmetterà una copia della richiesta agli altri Stati membri.
Infine, entro tre mesi dalla notifica, la Commissione deciderà se autorizzare o meno lo Stato membro a stipulare l’accordo. In ogni caso, la decisione deve essere presa entro 18 mesi dal ricevimento della richiesta.
L’implementazione di Sistemi di Identità Digitale Decentralizzata (SSI) e Verifiable Credentials può essere un’opportunità strategica per l’adempimento efficace del regolamento per i fornitori di servizi di Custodial Wallet. Queste tecnologie possono contribuire a migliorare l’efficienza e la sicurezza delle operazioni di conformità, riducendo al contempo la complessità per gli utenti finali.
Identità Digitale Decentralizzata e EUDI wallet a supporto del TFR
Vogliamo terminare questo contributo dedicato al nuovo Regolamento (UE) 2023/1113, condividendo una riflessione sull’opportunità, in chiave strategica, di adozione di un sistema di Identità Digitale Decentralizzata e Verifiable Credential, quale è quello previsto dal regolamento eIDAS2 (tuttora in fieri), e degli EUDI Wallet (European Union Digital Identity Wallet), anch’essi previsti dal medesimo regolamento eIDAS2, di cui abbiamo trattato in un precedente articolo su PagamentiDigitali.
Più in dettaglio, capiamo come per i Custodial Wallet Provider (di cui abbiamo compreso gli obblighi in relazione al TFR, per come li abbiamo trattati nei precedenti paragrafi), possa essere di grande utilità l’adozione di EUDI wallet ai fini di adempiere in maniera efficace e rispettosa della privacy a quanto disposto dal regolamento in discorso.
I sistemi di Identità Digitale Decentralizzata
I Sistemi di Identità Digitale Decentralizzata (SSI) offrono agli utenti un controllo completo sui loro dati personali, semplificando l’accesso e la condivisione di informazioni verificate senza la necessità di intermediari. Essi possono essere utilizzati per verificare l’identità di un utente in modo sicuro ed efficiente, il che è fondamentale per l’adempimento delle normative antiriciclaggio e antifinanziamento del terrorismo.
Le Verifiable Credentials, d’altro canto, sono un mezzo per attestare digitalmente l’autenticità e la validità di una particolare affermazione o dato di identità. Possono essere utilizzate per verificare l’identità dell’utente e fornire un quadro di fiducia nell’ambiente digitale.
Le Verifiable Credentials possono essere emesse da entità di fiducia e verificate attraverso meccanismi crittografici, offrendo un sistema di verifica efficace e sicuro.
L’adozione di EUDI Wallet
L’adozione dell’EUDI Wallet, previsto dal regolamento eIDAS2, può ulteriormente migliorare l’efficienza e la sicurezza di questi processi.
L’EUDI Wallet può servire come una fonte verificata e protetta di dati identificativi personali. Poiché queste informazioni sono controllate dall’utente e protette dal quadro normativo dell’UE, esse possono essere utilizzate per adempiere alle obbligazioni normative con maggiore sicurezza e precisione.
In termini di acquisizione e gestione dei dati informativi, sia l’EUDI Wallet che le Verifiable Credentials possono offrire soluzioni efficaci.
L’EUDI Wallet può fornire una fonte affidabile di dati identificativi personali, come il nome dell’utente, mentre le Verifiable Credentials possono essere utilizzate per verificare altri dati personali o identificativi ufficiali.
Questa combinazione può permettere un sistema di gestione dei dati informativi che è sia conforme alle normative sia rispettoso della privacy degli utenti, semplificando il processo di acquisizione dei dati e riducendo il rischio di errori o frodi.
Considerazioni finali
In conclusione, l’adozione di queste tecnologie può rappresentare una strategia chiave per i fornitori di servizi di Custodial Wallet che cercano di adempiere efficacemente al regolamento TFR e, in generale, agli obblighi previsti in materia di antiriciclaggio, garantendo al contempo una gestione sicura e rispettosa della privacy dei dati degli utenti.
DISCLAIMER
Questo articolo è stato redatto esclusivamente a scopo informativo e didattico, e non deve essere interpretato come una consulenza finanziaria o di investimento. Le criptovalute sono investimenti ad alto rischio e vi è la possibilità di perdere tutto il capitale investito. È fortemente consigliato consultare un consulente finanziario professionista prima di prendere qualsiasi decisione di investimento. Inoltre, la menzione di prodotti o servizi non rappresenta una promozione o una segnalazione commerciale, ma serve unicamente a illustrare i punti trattati nell’articolo.
NOTE
[1] Si vedano al riguardo: Cripto-asset: MiCAR approvato dal Parlamento europeo, 20 aprile 2023; Cripto-asset: il MiCAR in attesa del voto al Parlamento europeo, 26 gennaio 2023.
[2] La Travel Rule, nota anche come Raccomandazione 16 del GAFI (Financial Action Task Force – FATF – Travel Rule), è una serie di linee guida volte a prevenire il riciclaggio di denaro e il finanziamento del terrorismo. Si applica alle istituzioni finanziarie che si occupano di trasferimenti di beni virtuali e alle società di criptovaluta, richiede che le informazioni sulla fonte dell’asset e sul suo beneficiario viaggino con la transazione e siano archiviate su entrambi i lati del trasferimento.
[3] Si veda al riguardo anche Valute virtuali, wallet provider, exchange platform: cosa cambia con la quinta direttiva antiriciclaggio e cosa ancora deve cambiare, R. Garavaglia, Blockchain4Innovation, 30 giugno 2018.
[4] Un Non-custodial Wallet, è un portafoglio in cui un singolo utente controlla le proprie chiavi private, anziché un exchange o una piattaforma di trading. In questo modo gli utenti hanno il pieno controllo dei propri fondi. Esempi di tali wallet sono MetaMask e WalletConnect, o hardware wallet come Ledger e Trezor.
[5] Per maggiore precisione riportiamo l’’esatta definizione di cripto-attività secondo il TFR che rinviene all’art. 3(14): «cripto-attività»: cripto-attività ai sensi dell’articolo 3, paragrafo 1, punto 5), del regolamento (UE) 2023/1114, tranne quando rientra nelle categorie di cui all’articolo 2, paragrafi 2, 3 e 4, di tale regolamento o è altrimenti qualificata come fondi.
[6]Il MiCar definisce “token di moneta elettronica” un tipo di cripto-attività che mira a mantenere un valore stabile facendo riferimento al valore di una valuta ufficiale.
[7] L’attività di servizi di trasferimento di cripto-attività per conto dei clienti è definita all’articolo 3, paragrafo 1, punto 16), lettera j), del regolamento (UE) 2023/1114 (MiCar).
[8] Quando un utente crea un wallet Bitcoin, si genera una chiave privata. Questa chiave, prodotta tramite la crittografia ECDSA e la curva ellittica secp256k1, offre alta sicurezza. Usando questo metodo crittografico, è possibile creare innumerevoli chiavi private.
[9] Si veda anche Il custode è responsabile delle chiavi degli appartamenti … o di ciò che vi è contenuto?, R. Garavaglia, Blockchain4Innovation, 24 settembre 2018.
[10] In questo caso, ovviamente, l’operatore telefonico che volesse offrire un tale servizio deve essere autorizzato ai sensi del Regolamento (UE) 2023/1114 (MiCaR).
[11] Si vedano al riguardo gli articoli a firma di Roberto Garavaglia: E che PSD2 sia …! – Quinta puntata: cambiano le regole per gli strumenti a spendibilità limitata, 6 novembre 2018; E che PSD2 sia …! – Terza puntata: gli obblighi di notifica per chi ritiene di operare nel perimetro di deroga, 12 marzo 2018.
