REGOLAMENTO DELEGATO (UE) 2025/299 DELLA COMMISSIONE, 31 ottobre 2024
G.U.U.E. 13 febbraio 2025, Serie L
Regolamento che integra il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio relativo ai mercati delle cripto-attività per quanto riguarda le norme tecniche di regolamentazione sulla continuità e sulla regolarità della prestazione dei servizi per le cripto-attività. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 5 marzo 2025
Applicabile dal: 5 marzo 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937 (1), in particolare l'articolo 68, paragrafo 10, terzo comma,
considerando quanto segue:
1) Gli articoli 11 e 12 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (2) prevedono requisiti in materia di risposta e risanamento, politiche e procedure di backup, procedure e metodi di ripristino e recupero riguardanti i sistemi di TIC delle entità finanziarie, compresi i prestatori di servizi per le cripto-attività. Il regolamento delegato (UE) 2024/1774 della Commissione (3) specifica ulteriormente le componenti della politica di continuità operativa delle TIC, i test sui piani di continuità operativa in materia di TIC, le componenti dei piani di risposta e risanamento relativi alle TIC delle entità finanziarie, compresi i prestatori di servizi per le cripto-attività. Il presente regolamento integra tali disposizioni del regolamento (UE) 2022/2554 e del regolamento delegato (UE) 2024/1774 per quanto riguarda la continuità e la regolarità della prestazione dei servizi per le cripto-attività.
2) Nel fornire i loro servizi, i prestatori di servizi per le cripto-attività possono utilizzare un registro distribuito sul quale non esercitano alcun controllo, compreso un registro distribuito senza autorizzazione. In tal caso potrebbero non essere in grado di garantire la regolarità e la continuità dei loro servizi in presenza di perturbazioni causate da problemi inerenti al funzionamento di tali registri distribuiti. Per attenuare la volatilità del mercato che può incidere negativamente sui clienti colpiti da tali perturbazioni, la politica di continuità operativa dei prestatori di servizi per le cripto-attività dovrebbe prevedere misure per una comunicazione tempestiva con i clienti e altri portatori di interessi esterni. Tale comunicazione dovrebbe includere informazioni essenziali e tempestive per i clienti in merito a tali perturbazioni, compresi aggiornamenti sullo stato delle stesse, fino alla risoluzione della perturbazione e alla ripresa dei servizi. Qualora il prestatore di servizi per le cripto-attività non abbia prontamente a disposizione informazioni sullo stato del registro distribuito senza autorizzazione responsabile di una perturbazione del servizio, tale prestatore di servizi dovrebbe trasmettere aggiornamenti ai clienti e agli altri portatori di interessi, comprese le autorità competenti, adoperandosi con la massima diligenza possibile per garantire che i clienti e i portatori di interessi dispongano di informazioni quanto più complete possibile su tali perturbazioni.
3) Per evitare oneri amministrativi sproporzionati per le piccole e medie imprese e le start-up, la politica di continuità operativa dei prestatori di servizi per le cripto-attività dovrebbe tenere conto della portata, della natura e della gamma dei servizi da loro forniti. Ciò significa che i prestatori di servizi per le cripto-attività dovrebbero stabilire requisiti specifici di continuità operativa sulla base di una solida autovalutazione, basata su una serie di criteri che consentano loro di attuare una politica di continuità operativa commisurata all'impatto dei loro servizi sul mercato. L'autovalutazione dovrebbe tenere conto anche di altre circostanze, oltre a quelle elencate nell'allegato, che possono avere un impatto sul prestatore di servizi per le cripto-attività.
4) Il presente regolamento si basa sul progetto di norme tecniche di regolamentazione che l'Autorità europea degli strumenti finanziari e dei mercati ha presentato alla Commissione.
5) L'Autorità europea degli strumenti finanziari e dei mercati ha condotto consultazioni pubbliche aperte sul progetto di norme tecniche di regolamentazione su cui è basato il presente regolamento, ha analizzato i potenziali costi e benefici collegati e ha chiesto la consulenza del gruppo delle parti interessate nel settore degli strumenti finanziari e dei mercati istituito dall'articolo 37 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (4),
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 150 del 9.6.2023, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
Regolamento delegato (UE) 2024/1774 della Commissione, del 13 marzo 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e le politiche per la gestione dei rischi informatici e il quadro semplificato per la gestione dei rischi informatici (GU L 2024/1774 del 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1774/oj).
Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
a) «funzione essenziale o importante»: una funzione essenziale o importante quale definita all'articolo 3, punto 22), del regolamento (UE) 2022/2554;
b) «registro distribuito senza autorizzazione»: un tipo specifico di registro distribuito in cui nessun soggetto controlla il registro distribuito e i nodi di rete DLT possono essere istituiti da qualsiasi soggetto che rispetti i requisiti tecnici e i protocolli di tale registro distribuito.
Disposizioni organizzative in materia di continuità operativa
1. La politica di continuità operativa di cui all'articolo 68, paragrafo 7 del regolamento (UE) 2023/1114, è costituita da piani, procedure e misure.
2. L'organo di amministrazione dei prestatori di servizi per le cripto-attività, nell'esercizio delle sue funzioni di cui all'articolo 68, paragrafo 6, del regolamento (UE) 2023/1114, stabilisce e approva i piani, le procedure e le misure che costituiscono la politica di continuità operativa. L'organo di amministrazione del prestatore di servizi per le cripto-attività è responsabile dell'attuazione della politica di continuità operativa e del riesame della sua efficacia almeno su base annuale.
3. I prestatori di servizi per le cripto-attività garantiscono che eventuali modifiche alla politica di continuità operativa siano trasmesse a tutto il personale interno pertinente attraverso canali di comunicazione efficaci.
Politica di continuità operativa
1. La politica di continuità operativa di cui all'articolo 68, paragrafo 7, del regolamento (UE) 2023/1114 garantisce che i prestatori di servizi per le cripto-attività affrontino adeguatamente gli incidenti perturbatori o i problemi di prestazione relativi ai sistemi essenziali per l'esecuzione delle loro funzioni commerciali ed è stabilita su un supporto durevole.
2. I prestatori di servizi per le cripto-attività prevedono nella politica di continuità operativa tutti gli elementi seguenti:
a) una specificazione dell'ambito di applicazione della politica di continuità operativa, comprese le sue limitazioni ed esclusioni, da incorporare nei piani, nelle procedure e nelle misure di continuità operativa;
b) una descrizione dei criteri per l'attivazione dei piani di continuità operativa, comprese le procedure di attivazione dei livelli successivi di intervento fino al livello dell'organo di amministrazione;
c) disposizioni in materia di governance e organizzazione del prestatore di servizi per le cripto-attività, compresi i ruoli e le responsabilità del personale, che garantiscano la disponibilità di risorse sufficienti per l'attuazione efficace della politica;
d) disposizioni che garantiscano la coerenza tra i piani di continuità operativa e i piani di continuità operativa in materia di TIC e i piani di risposta e risanamento relativi alle TIC di cui agli articoli 24 e 26 del regolamento delegato (UE) 2024/1774.
Piani di continuità operativa
1. Nell'attuare la politica di continuità operativa di cui all'articolo 68, paragrafo 7, del regolamento (UE) 2023/1114, i prestatori di servizi per le cripto-attività stabiliscono piani di continuità operativa. I piani di continuità operativa dettano le procedure necessarie per proteggere e, se necessario, ripristinare:
a) la riservatezza, l'integrità e la disponibilità dei dati sui clienti;
b) la disponibilità delle funzioni commerciali, dei processi di supporto e dei patrimoni informativi dei prestatori di servizi per le cripto-attività.
2. I piani di continuità operativa contengono quanto segue:
a) una serie di possibili scenari negativi relativi all'esecuzione delle funzioni essenziali o importanti, comprese l'indisponibilità delle funzioni commerciali, del personale, dello spazio di lavoro, dei fornitori esterni, dei centri di dati, o la perdita o l'alterazione di dati e documenti essenziali;
b) le procedure e le politiche da seguire qualora si verifichi un incidente perturbatore, tra cui:
i) le misure necessarie per ripristinare le funzioni essenziali o importanti;
ii) i termini entro i quali tali funzioni essenziali o importanti devono essere ripristinate;
iii) gli obiettivi in materia di punti di ripristino;
iv) il tempo massimo per la ripresa dei servizi;
c) le procedure e le politiche per il trasferimento verso un sito di backup delle funzioni commerciali utilizzate per prestare servizi per le cripto-attività;
d) il backup dei dati commerciali essenziali, comprese le informazioni aggiornate sui contatti necessari per garantire la comunicazione all'interno del prestatore di servizi per le cripto-attività nonché tra il prestatore di servizi per le cripto-attività e i suoi clienti;
e) le procedure per comunicazioni tempestive con i clienti e altri portatori di interessi esterni, comprese le autorità competenti.
3. In caso di perturbazione che interessa un registro distribuito senza autorizzazione utilizzato dal prestatore di servizi per le cripto-attività nella fornitura dei suoi servizi, le comunicazioni di cui al paragrafo 2, lettera e), includono le informazioni seguenti:
a) quando è prevista la ripresa dei servizi;
b) i motivi e l'impatto dell'incidente perturbatore;
c) eventuali rischi relativi ai fondi dei clienti e alle cripto-attività detenuti per loro conto;
d) le misure che il servizio per le cripto-attività intende adottare in risposta alla perturbazione di un registro distribuito senza autorizzazione.
Qualora tali informazioni non siano prontamente disponibili per il prestatore di servizi per le cripto-attività, il prestatore di servizi per le cripto-attività comunica gli aggiornamenti relativi alle informazioni di cui al primo comma ai clienti e ai portatori di interessi, comprese le autorità competenti, con la massima diligenza possibile.
4. I piani di continuità operativa contengono le procedure per affrontare eventuali perturbazioni delle funzioni essenziali o importanti esternalizzate, anche nei casi in cui tali funzioni essenziali o importanti diventino indisponibili.
Test periodici sui piani di continuità operativa
1. I prestatori di servizi per le cripto-attività testano il funzionamento dei piani di continuità operativa di cui all'articolo 4 sulla base di scenari realistici. Tali test verificano la capacità del prestatore di servizi per le cripto-attività di riprendersi da incidenti perturbatori e di ripristinare i servizi conformemente all'articolo 4, paragrafo 2, lettera b).
2. I prestatori di servizi per le cripto-attività testano annualmente i piani di continuità operativa tenendo conto di quanto segue:
a) i risultati dei test di cui al paragrafo 1;
b) l'analisi delle minacce più recente;
c) gli insegnamenti tratti da eventi precedenti;
d) se del caso, eventuali modifiche degli obiettivi di ripristino, compresi gli obiettivi in materia di punti di ripristino e tempi di ripristino di cui all'articolo 4, paragrafo 2, lettera b);
e) i cambiamenti intervenuti nelle funzioni commerciali.
3. I prestatori di servizi per le cripto-attività documentano per iscritto i risultati dei test e li trasmettono al loro organo di amministrazione e alle unità operative interessate dai piani di continuità operativa.
4. I prestatori di servizi per le cripto-attività garantiscono che i test sui piani di continuità operativa non interferiscano con il normale svolgimento dei loro servizi.
Considerazioni in materia di complessità e rischio
1. Nel definire la politica di continuità operativa, compresi i piani, le procedure e le misure, i prestatori di servizi per le cripto-attività tengono conto degli elementi di maggiore complessità o rischio, tra cui:
a) il tipo e la gamma di servizi per le cripto-attività offerti;
b) la misura in cui i servizi del prestatore di servizi per le cripto-attività operano su un registro distribuito senza autorizzazione;
c) il potenziale impatto di eventuali perturbazioni sulla continuità delle attività del prestatore di servizi per le cripto-attività e sulla disponibilità dei suoi servizi.
2. Ai fini del paragrafo 1, i prestatori di servizi per le cripto-attività effettuano annualmente un'autovalutazione della portata, della natura e della gamma dei loro servizi. I prestatori di servizi per le cripto-attività basano tale autovalutazione sui criteri di cui all'allegato e su qualsiasi altro criterio ritenuto pertinente dal prestatore di servizi per le cripto-attività.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 31 ottobre 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO
CRITERI PER L'AUTOVALUTAZIONE DEI PRESTATORI DI SERVIZI PER LE CRIPTO-ATTIVITA'
a) La natura del prestatore di servizi per le cripto-attività, sulla base degli elementi seguenti:
i) la designazione delle classi di cui all'allegato IV del regolamento (UE) 2023/1114;
ii) i livelli medi di liquidità, o la profondità del mercato, delle cripto-attività disponibili per la negoziazione su una piattaforma di negoziazione di cripto-attività, se del caso;
iii) il ruolo del prestatore di servizi per le cripto-attività nel sistema finanziario, compreso se il prestatore di servizi per le cripto-attività gestisce una piattaforma di negoziazione di cripto-attività e se le cripto-attività negoziate sulla sua piattaforma sono negoziate su altre piattaforme di negoziazione di cripto-attività;
b) la portata, valutando l'impatto del prestatore di servizi per le cripto-attività sull'ordinato funzionamento dei mercati sulla base degli elementi seguenti, se del caso:
i) se il prestatore di servizi per le cripto-attività è ritenuto significativo ai sensi dell'articolo 85 del regolamento (UE) 2023/1114;
ii) il numero di paesi in cui il prestatore di servizi per le cripto-attività svolge l'attività commerciale;
iii) il numero di clienti;
iv) il numero di utenti attivi;
v) il valore delle cripto-attività detenute in custodia;
vi) il volume delle operazioni su una piattaforma di negoziazione di cripto-attività;
vii) il numero di trasferimenti di cripto-attività effettuati per conto dei clienti;
viii) il numero di ordini eseguiti per conto dei clienti;
c) la complessità, valutando, se del caso, gli elementi seguenti:
i) la struttura del prestatore di servizi per le cripto-attività in termini di proprietà e governance e la sua presenza organizzativa, operativa, tecnica, fisica e geografica;
ii) il livello di esternalizzazione del prestatore di servizi per le cripto-attività e, in particolare, se sono state esternalizzate funzioni operative essenziali o importanti;
iii) il numero e il tipo di registri distribuiti utilizzati nella prestazione dei servizi;
iv) il numero di nodi di rete DLT gestito dal prestatore di servizi per le cripto-attività su uno o più registri distribuiti;
v) il numero e il tipo di contratti intelligenti utilizzati e mantenuti dal prestatore di servizi per le cripto-attività;
vi) in che modo è garantita la custodia delle chiavi crittografiche private dei clienti o di altri mezzi di accesso alle cripto-attività;
vii) l'uso di portafogli digitali basati sul software e sull"hardware che garantiscono la sicurezza delle chiavi crittografiche utilizzando più fiduciari.
Ai fini della lettera b), punti da iii) a viii), il prestatore di servizi per le cripto-attività utilizza per l'autovalutazione la media giornaliera su un periodo di riferimento di un anno.