REGOLAMENTO DI ESECUZIONE (UE) 2024/2902 DELLA COMMISSIONE, 20 novembre 2024
G.U.U.E. 28 novembre 2024, Serie L
Regolamento che stabilisce norme tecniche di attuazione per l'applicazione del regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio per quanto riguarda la comunicazione concernente i token collegati ad attività e i token di moneta elettronica denominati in una valuta che non è una valuta ufficiale di uno Stato membro. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 18 dicembre 2024
Applicabile dal: 1° gennaio 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937 (1), in particolare l'articolo 22, paragrafo 7, terzo comma,
considerando quanto segue:
1) Ai fini della comunicazione di cui all'articolo 22, paragrafo 1, lettera a), del regolamento (UE) 2023/1114, gli emittenti dovrebbero indicare il numero di possessori con una ripartizione per ubicazione e, per ciascuna ubicazione, il numero dei possessori di portafogli custoditi (custodial wallet) e il numero dei possessori di portafogli non custoditi (non-custodial wallet) oppure il numero dei possessori di tutti gli altri tipi di indirizzi di registro distribuito che sono utilizzati a fini di regolamento e non sono controllati dal possessore o da un prestatore di servizi per le cripto-attività. All'interno di queste due categorie di possessori di portafogli, segnatamente di portafogli custoditi e non custoditi, gli emittenti dovrebbero indicare, con un'ulteriore ripartizione, il numero dei detentori al dettaglio. Le autorità competenti necessitano di tali ripartizioni, in quanto le informazioni sulla concentrazione dei possessori e sui volumi per i detentori al dettaglio sono pertinenti affinché le autorità di vigilanza conseguano gli obiettivi del regolamento (UE) 2023/1114 e garantiscano il corretto funzionamento dei mercati delle cripto-attività, l'integrità del mercato e la stabilità finanziaria nell'Unione, nonché la tutela dei possessori di cripto-attività, in particolare dei detentori al dettaglio. Le informazioni fornite ripartendo i possessori per ubicazione dovrebbero essere utilizzate anche per determinare le autorità competenti idonee a essere membri di un collegio a norma dell'articolo 119, paragrafo 2, lettera l), del regolamento (UE) 2023/1114, sulla base dei criteri di cui al regolamento delegato [C(2024) 6911] della Commissione (2).
2) Ai fini della comunicazione di cui all'articolo 22, paragrafo 1, lettera b), del regolamento (UE) 2023/1114 e onde garantire una vigilanza adeguata sugli obblighi relativi alla riserva di attività di cui agli articoli 36 e 38 di tale regolamento, al regolamento delegato della Commissione che stabilisce norme tecniche di regolamentazione adottate a norma dell'articolo 36, paragrafo 4, del regolamento (UE) 2023/1114 e al regolamento delegato della Commissione che stabilisce norme tecniche di regolamentazione adottate a norma dell'articolo 38, paragrafo 5, del regolamento (UE) 2023/1114, gli emittenti dovrebbero indicare l'entità della riserva di attività con una ripartizione che ne rifletta il valore e la composizione, comprese le misure di gestione della liquidità.
3) A norma dell'articolo 22, paragrafo 1, secondo comma, del regolamento (UE) 2023/1114, le operazioni oggetto degli obblighi di comunicazione di cui alle lettere c) e d) di tale paragrafo sono solo le operazioni che comportano un cambiamento della persona fisica o giuridica avente diritto al token collegato ad attività e comprendono le operazioni regolate nel registro distribuito (operazioni «on-chain») e le operazioni regolate al di fuori del registro distribuito (operazioni «off-chain»). Inoltre la nozione di «operazione» di cui all'articolo 22, paragrafo 1, secondo comma, di tale regolamento prescinde dai tipi di portafogli utilizzati dal cedente o dal cessionario per inviare o ricevere un'operazione. Di conseguenza gli obblighi di comunicazione di cui all'articolo 22, paragrafo 1, lettere c) e d), di tale regolamento dovrebbero includere le operazioni tra portafogli custoditi e le operazioni tra un portafoglio custodito, da un lato, e un portafoglio non custodito o altri tipi di indirizzi di registro distribuito che non sono controllati dal possessore di un token collegato ad attività o da un prestatore di servizi per le cripto-attività, dall'altro. Inoltre l'obbligo di comunicazione di cui all'articolo 22, paragrafo 1, lettera c), del regolamento (UE) 2023/1114 dovrebbe riguardare anche le operazioni tra portafogli non custoditi come pure tra questi ultimi e altri tipi di indirizzi di registro distribuito che non sono controllati dal possessore di un token collegato ad attività o da un prestatore di servizi per le cripto-attività. Poiché gli emittenti dispongono di informazioni limitate sui possessori coinvolti in tali operazioni, in alcuni casi non è possibile stabilire se si tratti di operazioni soggette agli obblighi di comunicazione di cui all'articolo 22, paragrafo 1, del suddetto regolamento. Pertanto, per disporre di informazioni quanto più precise possibile su tali operazioni, l'obbligo di comunicazione di cui all'articolo 22, paragrafo 1, lettera c), del medesimo regolamento dovrebbe contemplare anche informazioni sui trasferimenti tra portafogli non custoditi come pure tra questi ultimi e altri tipi di indirizzi di registro distribuito che sono utilizzati a fini di regolamento e non sono controllati dal possessore di un token collegato ad attività o da un prestatore di servizi per le cripto-attività. Poiché le operazioni sono un sottoinsieme dei trasferimenti, tali informazioni aggiuntive sui trasferimenti tra portafogli non custoditi come pure tra questi ultimi e altri tipi di indirizzi di registro distribuito che non sono controllati dal possessore di un token collegato ad attività o da un prestatore di servizi per le cripto-attività potrebbero essere utilizzate come informazioni proxy e fornire dati utili sul numero e sul valore delle operazioni tra portafogli non custoditi come pure tra questi ultimi e altri tipi di indirizzi di registro distribuito che non sono controllati dal possessore di un token collegato ad attività o da un prestatore di servizi per le cripto-attività.
4) Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 1, lettera c), del regolamento (UE) 2023/1114, gli emittenti dovrebbero fornire le informazioni sulle operazioni con una ripartizione per distribuzione geografica, vale a dire per i paesi dei possessori coinvolti nelle operazioni. Una siffatta ripartizione fornirebbe informazioni utili sulla concentrazione delle operazioni per le autorità competenti che esercitano le loro funzioni di vigilanza. Le informazioni fornite ripartendo le operazioni per paese saranno utilizzate anche per determinare le autorità competenti idonee a essere membri di un collegio a norma dell'articolo 119 del regolamento (UE) 2023/1114, come stabilito dal regolamento delegato [C(2024) 6911]. Tale ripartizione non è richiesta per le operazioni e i trasferimenti tra portafogli non custoditi o tra questi ultimi e altri tipi di indirizzi di registro distribuito che non sono controllati dal possessore di un token collegato ad attività o da un prestatore di servizi per le cripto-attività, poiché gli emittenti dispongono di informazioni limitate sui possessori coinvolti in tali operazioni e trasferimenti.
5) Per essere efficace, il quadro di comunicazione dovrebbe includere le date di riferimento e le date d'invio delle comunicazioni, onde assicurare la condivisione corretta e tempestiva dei dati, che potranno così riferirsi allo stesso periodo ed essere trasmessi contemporaneamente per tutti i soggetti comunicanti, e onde garantire la comparabilità dei dati tra gli emittenti e le autorità competenti attraverso l'utilizzo di formati e modelli standardizzati.
6) E' opportuno garantire la continuità della comunicazione nei casi in cui il valore di emissione dei token scenda, a causa di sue variazioni temporanee, al di sotto della soglia di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114. Di conseguenza, onde verificare l'eventuale carattere temporaneo di tale calo, è necessario estendere l'obbligo di comunicazione per un periodo di tempo supplementare. Ciò non avrebbe alcuna incidenza sugli emittenti, in quanto essi disporranno già dei rispettivi sistemi di comunicazione.
7) Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 3, del regolamento (UE) 2023/1114, alcune delle informazioni che i prestatori di servizi per le cripto-attività devono fornire agli emittenti potrebbero includere dati personali se sono riferite a persone fisiche. Vi rientrano il nome completo unitamente al numero di identificazione nazionale, al codice ufficiale di identificazione fiscale o al numero di passaporto. La raccolta di tali dati personali è in questo caso necessaria per conseguire gli obiettivi del regolamento (UE) 2023/1114, in quanto, in assenza di tali informazioni, gli emittenti non potrebbero determinare il numero esatto di possessori di un token collegato ad attività e conteggerebbero due volte quelli che possiedono più conti presso diversi prestatori di servizi per le cripto-attività. L'inesattezza di tali dati altererebbe le informazioni comunicate alle autorità competenti in merito al numero di possessori di un token collegato ad attività e minerebbe l'adeguatezza della vigilanza che dette autorità esercitano. Di conseguenza, non esiste altro modo per riflettere accuratamente nei documenti di comunicazione le informazioni sui possessori di token collegati ad attività; peraltro, nel caso in questione, non è possibile applicare le consuete misure per limitare o tutelare la condivisione dei dati personali, come la pseudonimizzazione.
8) Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 3, del regolamento (UE) 2023/1114, i prestatori di servizi per le cripto-attività dovrebbero fornire all'emittente anche gli indirizzi di registro distribuito pubblici che utilizzano per effettuare trasferimenti per conto dei rispettivi clienti. Tali informazioni sono necessarie per consentire agli emittenti di individuare le operazioni iscritte nel registro distribuito che sono effettuate tra portafogli non custoditi e di comunicare quelle rientranti nell'ambito degli obblighi di comunicazione.
9) Affinché le informazioni comunicate all'autorità competente siano corrette e complete, gli emittenti dovrebbero disporre di sistemi e procedure che consentano loro di riconciliare i dati ricevuti dai prestatori di servizi per le cripto-attività ai sensi dell'articolo 22, paragrafo 3, del regolamento (UE) 2023/1114. Tali sistemi e procedure dovrebbero altresì consentire agli emittenti di riconciliare i dati comunicati dai prestatori di servizi per le cripto-attività con i dati che gli emittenti attingono da altre fonti, compresi, se del caso, i dati sulle operazioni disponibili nel registro distribuito.
10) Gli emittenti dovrebbero introdurre nelle proprie politiche interne un periodo massimo di conservazione dei dati personali dei singoli possessori che i prestatori di servizi per le cripto-attività hanno condiviso. Considerando l'obiettivo di garantire il rispetto degli obblighi di comunicazione a norma dell'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114, tale periodo massimo di conservazione non dovrebbe superare i cinque anni dalla data di ottenimento dei dati personali.
11) Il presente regolamento dovrebbe altresì applicarsi mutatis mutandis ai token di moneta elettronica denominati in una valuta che non è una valuta ufficiale di uno Stato membro, in quanto l'articolo 22 del regolamento (UE) 2023/1114 si applica ai token di moneta elettronica denominati in una siffatta valuta.
12) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (3), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 16 luglio 2024.
13) Onde allinearsi alla data di applicazione del regolamento (UE) 2023/1114 per quanto riguarda i prestatori di servizi per le cripto-attività, la data di applicazione del presente regolamento dovrebbe essere rinviata.
14) Il presente regolamento si basa sui progetti di norme tecniche di attuazione che l'Autorità bancaria europea (ABE) ha presentato alla Commissione.
15) L'ABE ha effettuato consultazioni pubbliche sui progetti di norme tecniche di attuazione sui quali è basato il presente regolamento, ha analizzato i relativi costi e benefici potenziali e ha chiesto la consulenza del gruppo delle parti interessate nel settore bancario istituito a norma dell'articolo 37 del regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (4),
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 150 del 9.6.2023, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
Regolamento delegato [C(2024) 6911] della Commissione, del 31 ottobre 2024, che integra il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano le condizioni per l'istituzione e il funzionamento dei collegi consultivi di vigilanza (non ancora pubblicato nella Gazzetta ufficiale).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
Disposizioni generali
1. Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114, gli emittenti utilizzano i modelli di cui all'allegato I, conformemente alle istruzioni fornite nell'allegato II del presente regolamento.
2. Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 3, del regolamento (UE) 2023/1114, i prestatori di servizi per le cripto-attività trasmettono agli emittenti i modelli di cui all'allegato III, conformemente alle istruzioni fornite nell'allegato IV del presente regolamento.
3. Ai fini della comunicazione di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114, a corredo dei dati trasmessi elencati nell'allegato I del presente regolamento, gli emittenti comunicano le informazioni seguenti:
(a) la data e il periodo di riferimento delle comunicazioni;
(b) la valuta utilizzata per le comunicazioni;
(c) per i soggetti giuridici, l'identificativo del soggetto giuridico (LEI) dell'emittente e, per le persone fisiche, il numero ufficiale di identificazione nazionale applicabile nello Stato membro d'origine;
(d) il tipo di token, quale definito all'articolo 3, paragrafo 1, punto 6 o 7, del regolamento (UE) 2023/1114, e il codice identificativo, il riferimento o il nome del token, se disponibili, sulla base del White Paper sulle cripto-attività pubblicato per il token;
(e) se la valuta di riferimento del token è:
i) esclusivamente la valuta ufficiale dello Stato membro d'origine;
ii) esclusivamente una o più valute diverse dalla valuta ufficiale dello Stato membro d'origine;
iii) sia la valuta ufficiale dello Stato membro d'origine che altre valute (una combinazione dell'opzione di cui al punto i) e dell'opzione di cui al punto ii));
(f) se il token è stato classificato come significativo a norma dell'articolo 43 del regolamento (UE) 2023/1114;
(g) se applicabile, una dichiarazione attestante che l'emittente non ha ricevuto dai prestatori di servizi per le cripto-attività le informazioni di cui agli allegati III e IV del presente regolamento.
4. A norma dell'articolo 58, paragrafo 3, del regolamento (UE) 2023/1114, il presente regolamento si applica mutatis mutandis ai token di moneta elettronica denominati in una valuta che non è una valuta ufficiale di uno Stato membro.
Date di riferimento per le comunicazioni
1. Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114, gli emittenti trasmettono le informazioni alle autorità competenti con cadenza trimestrale alle date di riferimento seguenti: 31 marzo, 30 giugno, 30 settembre e 31 dicembre.
2. La prima data di riferimento è quella corrispondente al trimestre in cui il valore di emissione del token collegato ad attività è superiore alla soglia di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114.
3. L'ultima data di riferimento è quella corrispondente al terzo trimestre consecutivo in cui il valore di emissione del token collegato ad attività è inferiore alla soglia di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114.
Date d'invio delle comunicazioni
1. Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114, gli emittenti trasmettono alle autorità competenti le informazioni di cui al suddetto articolo con cadenza trimestrale, entro l'orario di chiusura delle attività, alle date d'invio seguenti: 12 maggio, 11 agosto, 11 novembre e 11 febbraio.
2. Ai fini dell'obbligo di comunicazione di cui all'articolo 22, paragrafo 3, del regolamento (UE) 2023/1114, i prestatori di servizi per le cripto-attività trasmettono agli emittenti le informazioni di cui al suddetto articolo con cadenza trimestrale, entro l'orario di chiusura delle attività, alle date d'invio seguenti: 21 aprile, 21 luglio, 21 ottobre e 21 gennaio.
Tuttavia i prestatori di servizi per le cripto-attività trasmettono agli emittenti il modello «S 08.00 - Token detenuti da prestatori di servizi per le cripto-attività» di cui agli allegati III e IV entro l'orario di chiusura delle attività su base giornaliera.
3. Se la data d'invio coincide con una festività nazionale dello Stato membro dell'autorità competente destinataria della comunicazione o con un sabato o una domenica, i dati sono trasmessi il giorno lavorativo successivo.
4. Gli emittenti presentano eventuali rettifiche apportate alle informazioni trasmesse alle autorità competenti senza indebito ritardo.
Formati per lo scambio di dati e dati che accompagnano le informazioni
1. Gli emittenti trasmettono le informazioni di cui al presente regolamento nei formati e con le modalità specificati dalle autorità competenti per lo scambio di dati e rispettando la definizione dei punti di dati dell'apposito modello e le formule di convalida di cui all'allegato V, nonché le disposizioni seguenti:
(a) nei dati comunicati non sono incluse le informazioni non richieste o non applicabili;
(b) i valori numerici sono comunicati come segue:
i) i punti di dati con il tipo di dati «monetario» sono comunicati utilizzando una precisione minima equivalente alle diecimila unità;
ii) i punti di dati con il tipo di dati «numero intero» sono comunicati senza utilizzare decimali e con una precisione equivalente alle unità.
2. I prestatori di servizi per le cripto-attività trasmettono agli emittenti le informazioni di cui all'articolo 1, paragrafo 2, nei formati e con le modalità specificati dagli emittenti per lo scambio di dati.
Periodo di conservazione dei dati personali presso gli emittenti
Gli emittenti non conservano i dati personali relativi ai possessori trasmessi dai prestatori di servizi per le cripto-attività conformemente all'articolo 1, paragrafo 2, e all'articolo 3, paragrafo 2, del presente regolamento per un periodo più lungo di quello necessario per adempiere agli obblighi di comunicazione di cui all'articolo 22, paragrafo 1, del regolamento (UE) 2023/1114. Tale periodo di conservazione non supera i cinque anni dalla data in cui gli emittenti hanno ottenuto i dati personali.
Entrata in vigore e data di applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere dal 1° gennaio 2025.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 20 novembre 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO V
Parte I: modello unico di punti di dati
Tutte le voci riportate (data item) negli allegati I e II del presente regolamento devono essere trasformate in un modello unico di punti di dati.
Il modello unico di punti di dati risponde ai criteri seguenti:
(a) fornire una rappresentazione strutturata di tutte le voci (data item) riportate nell'allegato I;
(b) identificare tutti i concetti di business previsti all'allegato II;
(c) fornire un dizionario di dati che definisca le etichette di: tabella, riga, colonna, dominio, dimensione e membro;
(d) presentare metriche che determinino proprietà o importo dei punti di dati;
(e) prevedere definizioni dei punti di dati espresse come somma di caratteristiche che identificano in modo univoco il fenomeno;
(f) riportare tutte le specifiche tecniche necessarie allo sviluppo di soluzioni informatiche da applicare alle segnalazioni che permettano di ottenere dati di vigilanza uniformi.
Parte II: regole di convalida
Alle voci (data item) riportate negli allegati I e II del presente regolamento devono applicarsi regole di convalida che assicurino la qualità e la coerenza dei dati.
Le regole di convalida devono rispondere ai criteri seguenti:
(a) stabilire il nesso logico tra punti di dati;
(b) prevedere filtri e condizioni preliminari che definiscano la serie di dati cui si applica la regola di convalida;
(c) verificare la coerenza dei dati segnalati;
(d) verificare l'esattezza dei dati segnalati;
(e) fissare i valori predefiniti applicabili nei casi in cui l'informazione non sia segnalata.