La Banca d’Italia ha pubblicato una comunicazione che punta a richiamare l’attenzione degli intermediari vigilati, dei soggetti sorvegliati e di quelli che operano a vario titolo all’interno degli ecosistemi decentralizzati dedicati a finanza e cripto-attività. Il documento mira a sottolineare i rischi dell’utilizzo di una gamma di strumenti (specialmente le Distributed Ledger Technologies, Dlt) che sta conoscendo una sempre maggiore diffusione sul mercato, evidenziando anche una serie di raccomandazioni per mitigarne i possibili effetti negativi.
I benefici e i rischi delle cripto-attività
In particolare, nota la Banca d’Italia, la stabilità del sistema finanziario potrebbe essere compromessa “a causa dell’interdipendenza dei soggetti che vi partecipano, regolamentati e non, nonché della mancanza di controlli e strumenti che possono limitare gli effetti di eventi sfavorevoli. Il mondo delle cripto-attività è infatti ancora largamente deregolamentato. Sono in corso a livello internazionale ed europeo i lavori per disegnare un nuovo insieme di regole e di controlli per questi prodotti e per i relativi “ecosistemi” ma la loro entrata a regime richiederà ancora tempo”.
La Banca d’Italia è dunque “interessata alle cripto-attività nell’esercizio di sue molteplici funzioni: di controllo prudenziale sugli intermediari vigilati; di sorveglianza sul regolare funzionamento del sistema dei pagamenti; di salvaguardia della stabilità monetaria e finanziaria; di contrasto al riciclaggio e al finanziamento del terrorismo; di tutela della clientela”.
In linea di principio, “le Dlt possono recare benefici per gli utilizzatori, connessi con miglioramenti dell’efficienza nell’offerta di servizi finanziari, ampliamento degli orari di operatività dei sistemi, riduzione dei costi e dei tempi per le transazioni transfrontaliere, accrescimento della velocità nei trasferimenti di attività finanziarie e avanzamento della frontiera tecnologica, anche grazie a un rafforzamento della concorrenza”, ma affinché ciò avvenga queste soluzioni “devono avere le caratteristiche delle tecnologie più mature”, ovvero essere affidabili nella continuità del servizio e, in generale, resilienti agli attacchi informatici, scalabili, efficienti dal punto di vista economico e ambientale, con infine una governance robusta e identificabile.
Lo scenario normativo e il riferimento del MiCar
Sul piano regolatorio, la Banca d’Italia sottolinea come l’approvazione del regolamento Markets in Crypto-assets Regulation (MiCar) contribuirà a ridurre l’incertezza normativa e favorirà uno sviluppo ordinato del mercato delle cripto-attività, pur non affrontando tutte le diverse componenti degli ecosistemi di cripto-attività e della loro applicazione nella finanza decentralizzata. Per esempio, con riferimento all’ambito oggettivo sono escluse da MiCar, allo stato del negoziato in corso presso le istituzioni Ue, le cripto-attività uniche e non fungibili (Non fungible tokens o Ndt), come le opere della digital art. Dal punto di vista soggettivo, il regolamento introduce poi norme applicabili a entità chiaramente identificabili, che non esauriscono il novero dei soggetti coinvolti nei sistemi di finanza decentralizzata. Non saranno pertanto disciplinati i programmatori (di smart contracts) e i titolari di token di governance delle cosiddette “Decentralised Autonomous Organization” (Dao); resteranno fuori dall’ambito applicativo anche i cosiddetti unhosted wallets, software che abilitano allo scambio peer-to-peer tra indirizzi su Dlt. Titto ciò motiva l’esigenza che le Autorità assumano un atteggiamento proattivo, volto a far sì che gli sviluppi di mercato siano improntati fin da subito a caratteristiche di sicurezza
Nell’introdurre una disciplina del mercato delle cripto-attività, che sottoporrà a vigilanza anche nuove categorie di soggetti, MiCar riconoscerà un ruolo importante alle banche e agli altri intermediari finanziari vigilati; questi ultimi possono svolgere una varietà di possibili funzioni all’interno degli ecosistemi di cripto-attività, contribuendo al loro funzionamento, supportando e facilitando il trasferimento dei token, la custodia, le interazioni con i titolari e i movimenti in entrata e in uscita dall’ecosistema.
In attesa che si definiscano le indicazioni in corso di elaborazione a livello internazionale ed europeo, indipendentemente dalla specifica tipologia di operatività nel settore delle cripto-attività, gli attuali regimi prudenziali contengono principi ai quali le banche e gli altri intermediari vigilati possono fin da subito fare riferimento per valutare e presidiare i rischi connessi con l’eventuale avvio dell’operatività in cripto-attività. La Banca d’Italia parla per esempio di emissione e/o rimborso di cripto-attività (ove previsto); custodia e gestione della riserva nel caso di asset-linked stablecoins; gestione di infrastrutture e validazione di transazioni; prestazione di servizi relativi alle cripto-attività quali: portafoglio digitale (wallet), exchanger, piattaforma di trading, esecuzione di ordini, collocamento, ricezione e trasmissione di ordini per conto di terzi, consulenza.
Gli intermediari, d’altra parte, sulla base delle regole e delle buone prassi già oggi applicabili, sono chiamati ad assicurare: il coinvolgimento tempestivo degli organi di governo aziendale e delle funzioni di controllo di secondo e di terzo livello, sin dalla fase iniziale di studio delle iniziative, per valutarne la conformità alla regolamentazione vigente, la coerenza con gli indirizzi strategici, gli obiettivi e le politiche di governo dei rischi, nonché la relativa sostenibilità economica e finanziaria. Ma occorrono anche adeguati flussi informativi verso gli organi aziendali e le funzioni di controllo interno in merito al livello e all’andamento della loro esposizione, diretta o indiretta, a tutte le tipologie di rischio collegate all’operatività nel settore delle cripto-attività. Particolare attenzione dovrà essere dedicata all’adeguato presidio dei rischi di riciclaggio e finanziamento del terrorismo connessi all’operatività in cripto-attività – incluso il rischio di elusione di sanzioni internazionali – nonché dei rischi reputazionali e legali, tenuto conto anche del quadro normativo in evoluzione. Lo stesso discorso vale per l’adeguatezza dei processi e delle procedure volte ad assicurare l’identificazione, la valutazione e la mitigazione dei rischi (reputazionali o di altro genere) derivanti dall’esternalizzazione o dal ricorso a servizi prestati da terze parti, anche ove non qualificabili come esternalizzazioni (es. operatori specializzati nella custodia di assets digitali, wallets, piattaforme di trading).
Le proposte per le regolamentazione degli operatori
I soggetti che forniscono la tecnologia a supporto dei servizi bancari, finanziari e di pagamento sono già oggetto, a certe condizioni, di disposizioni prudenziali per l’outsourcing e di controlli di sorveglianza. Con specifico riguardo all’operatività in cripto-attività e all’uso nella finanza di tecnologie decentralizzate, in relazione anche al presidio del rischio sistemico e del corretto funzionamento del sistema dei pagamenti, la Banca d’Italia invita gli operatori e i fornitori tecnologici, a seconda dei casi, a tenere conto che: “è essenziale che la gestione della tecnologia si fondi il più possibile su una governance chiara e definita nonché su requisiti di gestione dei diversi rischi (ad esempio operativi, cyber, riguardanti la protezione delle informazioni e dei dati) a cui dovrebbero fare riferimento gli sviluppatori dei programmi che determinano il funzionamento della Dlt o i soggetti su cui sono concentrati poteri di gestione del funzionamento della Dlt.
“I fornitori di servizi tecnologici, ove chiaramente individuabili, possono rientrare nell’ambito delle norme di vigilanza in qualità di outsourcee degli intermediari vigilati e/o essere sottoposti a controlli di sorveglianza in virtù dell’applicazione, a certe condizioni, dei principi di sorveglianza sul sistema dei pagamenti”, spiega il documento. “I controlli su questi soggetti potrebbero estendersi al monitoraggio delle transazioni peer-to-peer, abilitate da software; in tal senso i fornitori delle tecnologie utilizzate e delle funzionalità a supporto dovrebbero garantire la disponibilità di adeguata. Le infrastrutture che abilitano alla funzione di trasferimento delle cripto-attività, con particolare riguardo a quelle ancorate a un’unica valuta fiat e che costituiscono una componente delle piattaforme di trading su cui le stesse vengono scambiate, dovrebbero conformarsi ai principi di sorveglianza applicabili alle infrastrutture finanziarie, con particolare riferimento a quelli attinenti alla governance e alla gestione integrata dei rischi”.
Le cripto-attività con funzione di pagamento e le funzionalità che ne supportano l’offerta e l’utilizzo dovrebbero infine conformarsi ai principi di sorveglianza su strumenti, schemi, arrangements, con particolare riferimento a quelli in materia di solidità della base legale, governance, nonché rischio di credito e di liquidità. In particolare, per assicurare la rimborsabilità ed essere “più sicure” per utilizzatori ed emittente, le riserve delle stablecoins ancorate ad attività dovrebbero rispecchiare il più possibile la composizione ed il valore del paniere o della singola attività alla quale sono riferite.
