REGOLAMENTO DELEGATO (UE) 2025/1140 DELLA COMMISSIONE, 27 febbraio 2025
G.U.U.E. 10 giugno 2025, Serie L
Regolamento che integra il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificandole registrazioni da conservare relative a tutti i servizi per le cripto-attività, le attività, gli ordini e le operazioni effettuati. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 30 giugno 2025
Applicabile dal: 30 giugno 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937 (1), in particolare l'articolo 68, paragrafo 10, terzo comma,
considerando quanto segue:
1) Le registrazioni che i prestatori di servizi per le cripto-attività sono tenuti a conservare dovrebbero essere adattate al loro tipo di attività e alla gamma di servizi per le cripto-attività, attività, ordini e operazioni che effettuano.
2) I prestatori di servizi per le cripto-attività dovrebbero essere liberi di determinare le modalità di tenuta delle registrazioni dei dati pertinenti relativi a tutti gli ordini e le operazioni in cripto-attività. Tuttavia registrazioni coerenti e comparabili relative ai servizi, alle attività, agli ordini e alle operazioni sono essenziali per consentire alle autorità competenti di espletare le loro funzioni di vigilanza e adottare misure di attuazione. In particolare le autorità competenti dovrebbero essere in grado di svolgere la stessa analisi su tutti i set di dati delle registrazioni, indipendentemente dal prestatore di servizi per le cripto-attività che ha prodotto la registrazione. I prestatori di servizi per le cripto-attività dovrebbero pertanto fornire dettagli coerenti delle registrazioni relative a servizi, attività, ordini e operazioni utilizzando norme uniformi qualora un'autorità competente richieda tali informazioni a norma dell'articolo 94 del regolamento (UE) 2023/1114. Per gli stessi motivi è necessario specificare che le registrazioni dovrebbero essere conservate su un supporto che consenta alle autorità competenti di esercitare una vigilanza efficace.
3) Al fine di sfruttare le conoscenze tratte dal regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio (2) e dall'applicazione dello stesso, garantire norme di comunicazione coerenti in tutto il settore finanziario e ridurre al minimo il relativo onere per i prestatori di servizi per le cripto-attività, i dati dovrebbero essere registrati conformemente alle norme fissate in tale regolamento. Al fine di garantire la coerenza tra il presente regolamento delegato e il regolamento delegato (UE) 2025/416 della Commissione (3), è opportuno applicare le stesse norme quando le registrazioni sono prescritte anche da tale regolamento delegato.
4) Affinché le autorità competenti possano esercitare un'adeguata vigilanza sui servizi forniti dai prestatori di servizi per le cripto-attività, è necessario che tali prestatori tengano una registrazione delle politiche e delle procedure messe in atto per conformarsi al regolamento (UE) 2023/1114.
5) Gli abusi di mercato, compresa la manipolazione del mercato, possono essere effettuati con vari mezzi, tra cui la negoziazione algoritmica. Pertanto, al fine di assicurare l'efficace sorveglianza del mercato, ove le decisioni di investimento siano prese da una persona che non è il cliente o da un algoritmo informatico, tale persona o tale algoritmo dovrebbero essere identificati nelle registrazioni dell'ordine e dell'operazione tramite identificativi unici, solidi e coerenti. Per gli stessi motivi è importante stabilire che, qualora in seno a un prestatore di servizi per le cripto-attività la decisione di investimento sia presa da più persone, nella registrazione sia identificata la persona che ha la responsabilità primaria della decisione.
6) Per assicurare l'identificazione univoca, coerente e solida delle persone fisiche nelle registrazioni degli ordini e delle operazioni, tali persone dovrebbero essere identificate mediante la concatenazione del paese di cui hanno la cittadinanza seguito dagli identificativi assegnati dal paese di cui tali persone hanno la cittadinanza. Qualora tali identificativi non siano disponibili, le persone fisiche dovrebbero essere identificate mediante identificativi creati a partire dalla concatenazione della loro data di nascita e del loro nome.
7) E' necessario che determinati dati personali siano registrati dai prestatori di servizi per le cripto-attività allo scopo di identificare i loro clienti o altre persone fisiche pertinenti per gli ordini o le operazioni in cripto-attività, in quanto tali dati sono fondamentali per garantire una vigilanza efficiente da parte delle autorità competenti, anche per quanto riguarda gli abusi di mercato. In tutti i casi di identificazione di persone fisiche, l'identificazione dovrebbe essere effettuata secondo il livello di priorità dei diversi identificativi specificato nell'allegato II del regolamento delegato (UE) 2017/590 della Commissione (4).
8) E' possibile che le persone fisiche che devono essere identificate ai fini della conservazione delle registrazioni siano residenti in un paese diverso da quello di cui hanno la cittadinanza. Il paese di residenza delle persone fisiche può incidere su diversi obblighi imposti dal regolamento (UE) 2023/1114 ed è pertanto un elemento di dati importante per garantire una vigilanza efficace da parte delle autorità competenti. Qualora il paese di residenza sia diverso dalla cittadinanza di una persona fisica, tale discrepanza dovrebbe essere indicata fornendo il codice del paese di residenza della persona fisica.
9) Per facilitare la vigilanza del mercato e consentire la comparabilità delle registrazioni che i prestatori di servizi per le cripto-attività devono conservare, i clienti di tali prestatori che sono persone giuridiche dovrebbero essere identificati con un codice compatibile con i criteri stabiliti a livello internazionale ai fini dello sviluppo di solidi sistemi di identificazione per il monitoraggio dei mercati finanziari. Tale codice dovrebbe essere unico, neutro, affidabile, open source, scalabile, accessibile, disponibile gratuitamente o a un costo ragionevole e soggetto a un quadro di governance adeguato. Tali criteri sono stati utilizzati dalle autorità competenti per valutare gli identificativi più appropriati anche nelle precedenti norme tecniche sui dati di vigilanza (5), (6) al fine di garantire la coerenza e la comparabilità dei dati sulle operazioni finanziarie e dovrebbero pertanto essere applicabili anche nel contesto del presente regolamento.
10) Il LEI è un identificativo internazionale, utilizzato nei mercati finanziari, ampiamente riconosciuto, accessibile dal punto di vista finanziario e operativo. Il LEI è un identificativo internazionale che garantisce l'accesso ai dati sottostanti in qualsiasi momento, consentendo la comparabilità e l'aggregazione delle informazioni a livello dell'Unione, migliorando la qualità e la tempestività dei dati aggregati e riducendo l'onere di comunicazione per i prestatori di servizi per le cripto-attività. Pertanto i prestatori di servizi per le cripto-attività dovrebbero registrare, ove disponibile, il LEI dei clienti che sono persone giuridiche per conto dei quali eseguono ordini e operazioni. Tuttavia vi sono altri identificativi delle persone giuridiche che possono essere utilizzati nel contesto del presente regolamento. La direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio (7) impone alle società soggette a tale direttiva di disporre di un identificativo unico europeo («EUID») che identifichi inequivocabilmente le società e, in quanto tale, sia uno strumento adeguato per l'identificazione delle persone giuridiche nell'UE. Entro un periodo di 18 mesi dall'entrata in vigore del presente regolamento, la Commissione e l'ESMA collaboreranno strettamente per facilitare l'uso dell'EUID come strumento di identificazione dei clienti che sono persone giuridiche ai fini del presente regolamento. Una volta completato tale lavoro, la Commissione dovrebbe valutare la disponibilità a utilizzare l'EUID ai fini dell'articolo 14. Inoltre per garantire l'apertura ad altri identificativi che possono essere idonei ai fini della vigilanza e sostenere l'integrità del mercato, il presente regolamento stabilisce i criteri che dovrebbero essere soddisfatti da tali identificativi alternativi. Per consentire al mercato di utilizzare tali identificativi alternativi ammissibili, l'ESMA dovrebbe approvarne l'uso se soddisfano i criteri stabiliti nel presente regolamento.
11) Un metodo unico per l'identificazione e la classificazione di parti conformi ai criteri e agli strumenti summenzionati che seguono tali principi costituisce un sostegno diretto agli sforzi volti a conseguire un monitoraggio del mercato basato sui dati da parte delle autorità competenti.
12) Comportamenti abusivi manuali o algoritmici possono verificarsi anche quando un prestatore di servizi per le cripto-attività determina la piattaforma di negoziazione di cripto-attività cui accedere o il prestatore di servizi per le cripto-attività al quale trasmettere gli ordini o qualsiasi altra condizione relativa all'esecuzione dell'ordine. Pertanto al fine di assicurare l'efficace sorveglianza del mercato, nelle registrazioni dell'ordine e dell'operazione è opportuno identificare la persona o l'algoritmo informatico all'interno del prestatore di servizi per le cripto-attività che svolge tali attività. Per le stesse ragioni, ove siano interessati sia una persona che un algoritmo informatico, oppure più persone o algoritmi, il prestatore di servizi per le cripto-attività dovrebbe determinare, in modo coerente secondo criteri prestabiliti, quale persona o algoritmo ha la responsabilità primaria di tali attività.
13) Per garantire che le autorità competenti abbiano accesso a informazioni pertinenti, accurate e complete, è opportuno specificare i dati relativi all'ordine da trasmettere tra prestatori di servizi per le cripto-attività.
14) Data la natura transfrontaliera della negoziazione di cripto-attività, al fine di evitare lacune nei dati qualora un prestatore di servizi per le cripto-attività trasmetta ordini o esegua operazioni tramite un soggetto cui non si applica il regolamento (UE) 2023/1114, il prestatore di servizi per le cripto-attività dovrebbe registrare la trasmissione di tali ordini o l'esecuzione di tali operazioni come se avesse esso stesso trasmesso tali ordini o eseguito tali operazioni. Tali informazioni possono essere di particolare importanza per l'esercizio di un adeguato monitoraggio del mercato e di una vigilanza sugli abusi di mercato da parte dell'autorità competente.
15) Per monitorare adeguatamente l'integrità e la stabilità dei mercati delle cripto-attività, le autorità competenti necessitano di informazioni attendibili, coerenti e standardizzate sulle cripto-attività negoziate. Tali informazioni dovrebbero consentire loro di identificare le singole cripto-attività negoziate secondo principi stabiliti a livello internazionale. Le autorità competenti dovrebbero inoltre essere in grado di estrarre le principali caratteristiche delle cripto-attività negoziate, comprese le caratteristiche specifiche della tecnologia su cui si basano. I prestatori di servizi per le cripto-attività dovrebbero pertanto utilizzare un identificativo del token digitale concordato a livello internazionale per identificare le cripto-attività nelle registrazioni degli ordini e delle operazioni che forniscono alle autorità competenti. L'identificativo del token digitale (DTI) gestito dalla Digital Token Identifier Foundation è un identificativo concordato a livello internazionale che garantisce informazioni affidabili, coerenti, standardizzate e disponibili e consente la comparabilità e l'aggregazione delle informazioni a livello dell'Unione europea, migliorando la qualità e la tempestività dei dati aggregati e riducendo l'onere di comunicazione per i prestatori di servizi per le cripto-attività. Pertanto i prestatori di servizi per le cripto-attività dovrebbero poter utilizzare l'identificativo del token digitale per identificare le cripto-attività. Tuttavia, per garantire l'apertura ad altri identificativi di token che possono essere idonei ai fini della vigilanza e contribuire all'integrità del mercato, è necessario stabilire i criteri che tali identificativi alternativi dovrebbero soddisfare. Per consentire al mercato di utilizzare identificativi alternativi ammissibili, l'ESMA dovrebbe approvarne l'uso se soddisfano i criteri stabiliti nel presente regolamento.
16) Per riuscire a monitorare adeguatamente l'integrità e la stabilità dei mercati delle cripto-attività, le autorità competenti necessitano di informazioni attendibili, coerenti e standardizzate sulle cripto-attività negoziate. Tali informazioni dovrebbero consentire loro di classificare le singole cripto-attività negoziate secondo principi stabiliti a livello internazionale. Tale classificazione dovrebbe inoltre consentire alle autorità di collegare i dati sui White Paper con i dati sulle operazioni e sugli ordini nella stessa cripto-attività. Il codice ISO di classificazione degli strumenti finanziari (CFI) è una norma internazionale utilizzata per classificare gli strumenti finanziari. Tuttavia le cripto-attività che non sono strumenti finanziari attualmente non possono essere descritte con il codice CFI. L'ISO CFI è in fase di revisione per tener conto della classificazione delle cripto-attività, ma tale revisione non sarà completata prima dell'applicazione del presente regolamento. Pertanto, finché tale revisione non è completata, dovrebbe essere utilizzata una classificazione provvisoria che indichi il tipo di cripto-attività (cripto-attività diverse dai token collegati ad attività e dai token di moneta elettronica, token collegati ad attività e token di moneta elettronica).
17) Per garantire un monitoraggio del mercato efficiente ed efficace da parte delle autorità competenti, le registrazioni delle operazioni dovrebbero indicare se l'operazione è stata integralmente o parzialmente eseguita tramite una succursale del prestatore di servizi per le cripto-attività situata in un altro Stato membro o in un paese terzo. L'inclusione di dati che specifichino l'attività di ciascuna succursale nei registri tenuti dai prestatori di servizi per le cripto-attività, che non dovrebbe comportare un onere amministrativo sproporzionato per questi ultimi, consentirebbe alle autorità competenti di vigilare più efficacemente sui servizi forniti dai prestatori di servizi per le cripto-attività e di dare migliore visibilità alle modalità di prestazione di tali servizi nei diversi Stati membri.
18) In adesione al principio della minimizzazione dei dati, i prestatori di servizi per le cripto-attività dovrebbero conservare solo le informazioni necessarie e sufficienti per consentire alle autorità competenti di effettuare una valutazione globale della conformità del prestatore di servizi per le cripto-attività ai pertinenti requisiti del regolamento (UE) 2023/1114 e alle disposizioni di tale regolamento in materia di abusi di mercato. Nel trattamento dei dati personali inclusi nei registri, i prestatori di servizi per le cripto-attività e le autorità competenti dovrebbero rispettare le pertinenti disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (8).
19) Per individuare in modo certo ed efficiente i prestatori di servizi per le cripto-attività responsabili dell'esecuzione degli ordini o delle operazioni, tali prestatori dovrebbero provvedere a identificarsi nelle registrazioni conservate in ottemperanza ai loro obblighi in materia di tenuta dei registri tramite gli identificativi delle persone giuridiche convalidati, rilasciati e debitamente rinnovati (LEI). A norma dell'articolo 62 del regolamento (UE) 2023/1114, per essere autorizzati i prestatori di servizi per le cripto-attività hanno l'obbligo di ottenere un identificativo della persona giuridica. Inoltre per consentire alle autorità competenti di espletare le loro funzioni di vigilanza e adottare misure di attuazione in conformità dell'articolo 68, paragrafo 10, del regolamento (UE) 2023/1114, tale identificativo dovrebbe essere verificato, aggiornato e incluso nelle registrazioni da conservare a norma del presente regolamento.
20) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (9), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 28 agosto 2024.
21) Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) ha presentato alla Commissione.
22) L'ESMA ha svolto consultazioni pubbliche sui progetti di norme tecniche di regolamentazione su cui si basa il presente regolamento, ne ha analizzato i potenziali costi e benefici e ha richiesto la consulenza del gruppo delle parti interessate nel settore degli strumenti finanziari e dei mercati, istituito dall'articolo 37 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (10),
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 150 del 9.6.2023, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.
Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, ELI: http://data.europa.eu/eli/reg/2014/600/oj).
Regolamento delegato (UE) 2025/416 della Commissione, del 29 novembre 2024, che integra il regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano il contenuto e il formato delle registrazioni nel book di negoziazione per i prestatori di servizi per le cripto-attività che gestiscono una piattaforma di negoziazione di cripto-attività (GU L, 2025/416, 14.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/416/oj).
Regolamento delegato (UE) 2017/590 della Commissione, del 28 luglio 2016, che integra il regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione relative alla segnalazione delle operazioni alle autorità competenti (GU L 87 del 31.3.2017, ELI: http://data.europa.eu/eli/reg_del/2017/590/oj).
Regolamento di esecuzione (UE) 2019/363 della Commissione, del 13 dicembre 2018, che stabilisce norme tecniche di attuazione per quanto riguarda il formato e la frequenza delle segnalazioni delle informazioni sulle operazioni di finanziamento tramite titoli (SFT) ai repertori di dati sulle negoziazioni a norma del regolamento (UE) 2015/2365 del Parlamento europeo e del Consiglio e che modifica il regolamento di esecuzione (UE) n. 1247/2012 della Commissione relativamente all'utilizzo di codici per la segnalazione dei contratti derivati (GU L 81 del 22.3.2019, ELI: http://data.europa.eu/eli/reg_impl/2019/363/oj).
Regolamento di esecuzione (UE) n. 1247/2012 della Commissione, del 19 dicembre 2012, che stabilisce norme tecniche di attuazione per quanto riguarda il formato e la frequenza delle segnalazioni sulle negoziazioni ai repertori di dati sulle negoziazioni ai sensi del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 352 del 21.12.2012, ELI: http://data.europa.eu/eli/reg_impl/2012/1247/oj).
Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, ELI: http://data.europa.eu/eli/dir/2017/1132/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «operazione»: la conclusione di un acquisto o di una cessione di cripto-attività diverse dalle cripto-attività di cui all'articolo 2, paragrafi 3 e 4, del regolamento (UE) 2023/1114;
2) «effettuare un'operazione»: eseguire un'operazione o trasmettere un ordine di cripto-attività per conto di un cliente;
3) «eseguire un'operazione»: prestare uno dei servizi seguenti o svolgere una delle attività seguenti che determinano un'operazione:
a) ricezione e trasmissione di ordini di cripto-attività per conto di clienti;
b) esecuzione di ordini per conto dei clienti;
c) scambio di cripto-attività con fondi o con altre cripto-attività;
d) decisione di investimento nell'ambito di un mandato discrezionale conferito da un cliente;
e) trasferimento di cripto-attività da o verso conti.
Tenuta delle registrazioni
1. Le registrazioni sono tenute su un supporto che consenta di conservare le informazioni in modo che possano essere in futuro recuperate dall'autorità competente, in una forma e secondo modalità che soddisfino le condizioni seguenti:
a) le autorità competenti possono accedere prontamente a tali registrazioni e ricostruire ogni fase fondamentale del trattamento di ciascun servizio per le cripto-attività, attività, ordine o operazione;
b) è possibile individuare facilmente eventuali correzioni o altre modifiche apportate alle registrazioni, nonché il contenuto delle registrazioni prima di tali correzioni o modifiche;
c) non è possibile manipolare o alterare le registrazioni;
d) è possibile elaborare i dati mediante un sistema TIC o qualsiasi altro sistema efficiente, qualora il loro volume e la loro natura non permettano di analizzarli facilmente;
e) le modalità di conservazione delle registrazioni del prestatore di servizi per le cripto-attività sono conformi agli obblighi di conservazione delle registrazioni di cui al presente regolamento, indipendentemente dalla tecnologia utilizzata.
2. I prestatori di servizi per le cripto-attività conservano le registrazioni elencate nella sezione 1 dell'allegato, a seconda della natura dei loro servizi e attività.
3. L'obbligo di conservare le registrazioni di cui alla sezione 1 dell'allegato lascia impregiudicato l'obbligo di conservazione delle registrazioni stabilito in qualunque altro atto dell'Unione.
SEZIONE 2
Conservazione delle registrazioni in relazione a specifici servizi per le cripto-attività e alle attività dei prestatori di servizi per le cripto-attività
Conservazione delle registrazioni relative alle politiche e alle procedure del prestatore di servizi per le cripto-attività
1. I prestatori di servizi per le cripto-attività conservano le registrazioni relative alle politiche e alle procedure che sono obbligati a tenere per iscritto a norma del regolamento (UE) 2023/1114 e delle relative misure di attuazione.
2. I prestatori di servizi per le cripto-attività conservano inoltre registrazioni relative alla valutazione e al riesame periodico, effettuato dal loro organo di amministrazione, dell'efficacia delle politiche e delle procedure, di cui all'articolo 68, paragrafo 6, del regolamento (UE) 2023/1114, comprese le eventuali carenze individuate in relazione a tali politiche e procedure e alle misure adottate per porvi rimedio.
Conservazione dei documenti che stabiliscono i diritti e gli obblighi del prestatore di servizi per le cripto-attività e del cliente
1. I prestatori di servizi per le cripto-attività conservano i documenti che stabiliscono i loro diritti e obblighi in relazione alla prestazione di servizi, come pure quelli che stabiliscono i diritti e gli obblighi dei loro clienti, per un periodo di cinque anni a decorrere dalla cessazione dell'accordo di prestazione di servizi.
2. Su richiesta di un'autorità competente, presentata prima della scadenza del periodo di cinque anni di cui al paragrafo 1, i prestatori di servizi per le cripto-attività conservano i documenti di cui al paragrafo 1 per un periodo massimo di sette anni dalla data di cessazione dell'accordo di prestazione di servizi per le cripto-attività.
Conservazione delle registrazioni in relazione alla custodia delle cripto-attività e dei fondi dei clienti
1. I prestatori di servizi per le cripto-attività conservano registrazioni che consentano loro di distinguere, in qualsiasi momento e senza ritardo, le cripto-attività e i fondi detenuti per un cliente da cripto-attività e fondi detenuti per altri clienti e dalle proprie attività.
2. I prestatori di servizi per le cripto-attività conservano le registrazioni secondo modalità che ne consentono l'utilizzo a fini di audit.
3. Tali registrazioni comprendono quanto segue:
a) registrazioni che identificano immediatamente i saldi delle cripto-attività e dei fondi detenuti per ciascun cliente;
b) qualora i fondi dei clienti siano detenuti da prestatori di servizi per le cripto-attività in conformità dell'articolo 70, paragrafi 2 e 3, del regolamento (UE) 2023/1114, i dettagli dei conti in cui tali fondi sono detenuti e i pertinenti accordi tra il prestatore di servizi per le cripto-attività e gli enti creditizi o le banche centrali presso i quali i fondi dei clienti sono depositati;
c) i dettagli dei conti aperti presso terzi che detengono cripto-attività per il prestatore di servizi per le cripto-attività e degli accordi di esternalizzazione con tali terzi;
d) i dettagli dei terzi che svolgono qualsiasi attività esternalizzata a norma dell'articolo 73 del regolamento (UE) 2023/1114 e i dettagli relativi alle attività esternalizzate;
e) i nomi e le funzioni delle persone responsabili della custodia delle cripto-attività e dei fondi dei clienti all'interno del prestatore di servizi per le cripto-attività;
f) gli accordi che stabiliscono la titolarità dei clienti sulle cripto-attività e sui fondi.
Conservazione delle registrazioni degli ordini
1. Per ogni ordine iniziale ricevuto da un cliente e per ogni decisione iniziale di negoziare presa, i prestatori di servizi per le cripto-attività registrano e conservano i dettagli di cui alla sezione 2, tabella 2, seconda e terza colonna, dell'allegato e i dettagli di cui alla sezione 4, tabella 4, del medesimo allegato, nella misura in cui tali dettagli riguardano gli ordini iniziali e le decisioni di negoziare.
2. Qualora un'autorità competente esiga uno dei dettagli di cui al paragrafo 1 in conformità dell'articolo 94, paragrafo 1, lettere a) o d), o dell'articolo 94, paragrafo 3, lettera a), del regolamento (UE) 2023/1114, i prestatori di servizi per le cripto-attività forniscono tali dettagli come indicato alla sezione 2, tabella 2, quarta colonna, dell'allegato del presente regolamento.
3. Qualora i dettagli di cui alla sezione 2, tabella 2, dell'allegato del presente regolamento siano richiesti anche dall'articolo 76 del regolamento (UE) 2023/1114 o dagli articoli 25 e 26 del regolamento (UE) n. 600/2014, essi sono tenuti conformemente alle norme stabilite in tali regolamenti.
Conservazione delle registrazioni delle operazioni
1. Immediatamente dopo aver effettuato un'operazione, i prestatori di servizi per le cripto-attività registrano i dettagli di cui alla sezione 3, tabella 3, seconda e terza colonna, e i dettagli di cui alla sezione 4, tabella 4, seconda e terza colonna, dell'allegato.
2. Qualora le autorità competenti esigano i dettagli di cui al paragrafo 1 in conformità dell'articolo 94, paragrafo 1, lettere a) o d), o dell'articolo 94, paragrafo 3, lettera a), del regolamento (UE) 2023/1114, i gestori delle piattaforme di negoziazione di cripto-attività forniscono tali dettagli come indicato alla sezione 3, tabella 3, quarta colonna, dell'allegato.
Identificazione della persona o dell'algoritmo informatico all'interno del prestatore di servizi per le cripto-attività che prende la decisione di investimento
1. Qualora una persona o un algoritmo informatico all'interno di un prestatore di servizi per le cripto-attività prenda la decisione di investimento di acquistare o cedere una cripto-attività specifica per conto del prestatore di servizi per le cripto-attività o per conto di un cliente in conformità di un mandato discrezionale conferito dal cliente, tale persona o algoritmo informatico è identificato e registrato secondo quanto specificato nel campo 41 della tabella 3 della sezione 3 dell'allegato.
2. Qualora all'adozione della decisione di investimento partecipino sia una persona sia un algoritmo informatico oppure più di una persona o di un algoritmo, il prestatore di servizi per le cripto-attività registra la persona o l'algoritmo informatico che ha la responsabilità primaria di tale decisione.
Elemento di identificazione delle persone fisiche
1. Qualora un cliente sia una persona fisica, esso è identificato nelle registrazioni del prestatore di servizi per le cripto-attività con l'elemento risultante dalla concatenazione del codice alpha 2 dell'ISO 3166-1 (codice del paese a 2 lettere) della cittadinanza del cliente, seguito dall'identificativo nazionale del cliente specificato nell'allegato II del regolamento delegato (UE) 2017/590, sulla base della nazionalità del cliente.
2. L'identificativo nazionale del cliente di cui al paragrafo 1 è assegnato conformemente ai livelli di priorità stabiliti nell'allegato II del regolamento delegato (UE) 2017/590, utilizzando l'identificativo con la massima priorità della persona, indipendentemente dal fatto che esso sia già noto al prestatore di servizi per le cripto-attività.
3. Ai fini dell'identificazione di una persona fisica, se essa ha la cittadinanza di più di un paese dello Spazio economico europeo (SEE), sono utilizzati il codice del paese di cittadinanza che risulta primo nell'ordine alfabetico dei codici alpha-2 dell'ISO 3166-1 e l'identificativo di tale cittadinanza assegnato conformemente al paragrafo 2.
4. Se una persona fisica ha la cittadinanza di un paese non appartenente al SEE, è utilizzato l'identificativo con la massima priorità secondo il campo «Tutti gli altri paesi» di cui all'allegato II del regolamento delegato (UE) 2017/590. Se una persona fisica ha la cittadinanza di un paese SEE e di un paese non appartenente al SEE, sono utilizzati il codice del paese della cittadinanza SEE e l'identificativo con la massima priorità di tale cittadinanza assegnato conformemente al paragrafo 2.
5. Se un cliente è residente in un paese diverso da quello di cui ha la cittadinanza, i prestatori di servizi per le cripto-attività identificano tale persona anche sulla base del paese di residenza come specificato nel campo 41 della tabella 2 dell'allegato.
6. Se l'identificativo assegnato conformemente al paragrafo 2 si basa su CONCAT, il cliente è identificato dal prestatore di servizi per le cripto-attività utilizzando la concatenazione dei seguenti elementi nel seguente ordine:
a) la data di nascita della persona nel formato AAAAMMGG;
b) i primi cinque caratteri del nome di tale persona;
c) i primi cinque caratteri del cognome di tale persona.
7. Ai fini del paragrafo 6, sono esclusi i titoli e le particelle che precedono i nomi; ai nomi e cognomi di lunghezza inferiore a cinque caratteri è aggiunto «#» in modo da garantire che i riferimenti ai nomi e cognomi in conformità del paragrafo 6 contengano cinque caratteri. Tutti i caratteri sono in stampato maiuscolo. Non sono utilizzati apostrofi, accenti, trattini, segni di interpunzione o spazi.
Identificazione della persona o dell'algoritmo informatico che determina le condizioni per l'esecuzione di un'operazione
1. Se una persona o un algoritmo informatico all'interno del prestatore di servizi per le cripto-attività che esegue un'operazione decide a quale piattaforma di negoziazione di cripto-attività situata al di fuori dell'Unione accedere, a quale altro prestatore di servizi per le cripto-attività trasmettere ordini o qualsivoglia condizione relativa all'esecuzione di un ordine, tale dipendente o tale algoritmo informatico è identificato nel campo 41 della tabella 3 della sezione 3 dell'allegato.
2. Se una persona all'interno del prestatore di servizi per le cripto-attività prende decisioni che determinano l'esecuzione dell'operazione, il prestatore di servizi per le cripto-attività assegna un elemento di identificazione per detta persona nelle registrazioni dell'operazione conformemente all'articolo 9.
3. Se un algoritmo informatico che opera sotto il controllo del prestatore di servizi per le cripto-attività prende decisioni che determinano l'esecuzione dell'operazione, tale algoritmo informatico è identificato nel campo 43 della tabella della sezione 3 dell'allegato.
4. Qualora all'esecuzione dell'operazione partecipino sia una persona sia un algoritmo informatico, oppure più di una persona o più di un algoritmo, il prestatore di servizi per le cripto-attività registra la persona o l'algoritmo informatico che ha la responsabilità primaria dell'esecuzione dell'operazione nel campo 43 della tabella 3 della sezione 3 dell'allegato.
Registrazione della ricezione e della trasmissione degli ordini
1. I prestatori di servizi per le cripto-attività che ricevono e trasmettono a un altro prestatore di servizi per le cripto-attività un ordine di cripto-attività per conto di clienti, ai sensi dell'articolo 1, punto 3), lettera a), registrano i dettagli di tali ordini come specificato nei campi 1, 2, 10, 12, 14, 15, 16, 17, 19, 20, 21, 25 e 37 della tabella 2 della sezione 2 dell'allegato, se e nella misura in cui tali campi sono pertinenti per tale ordine.
2. Se l'ordine trasmesso è stato ricevuto da un prestatore di servizi per le cripto-attività che aveva precedentemente trasmesso tale ordine, i campi indicati al paragrafo 1 sono quelli che identificano il prestatore di servizi per le cripto-attività che ha trasmesso l'ordine.
3. Se un ordine è trasmesso più di una volta, i dettagli dell'ordine di cui al paragrafo 1 sono quelli del cliente del prestatore di servizi per le cripto-attività che per primo ha trasmesso l'ordine e sono registrati dal prestatore di servizi per le cripto-attività che ha trasmesso l'ordine per la prima volta.
4. Se si tratta di ordini aggregati per più di un cliente, i dettagli dell'ordine di cui al paragrafo 1 sono registrati per ciascun cliente.
Registrazione di ordini e operazioni eseguiti tramite piattaforme di negoziazione o prestatori di servizi cui non si applica il regolamento (UE) 2023/1114
1. Qualora un prestatore di servizi per le cripto-attività esegua un ordine o un'operazione per conto di un cliente tramite una piattaforma di negoziazione di cripto-attività o un prestatore di servizi cui non si applica il regolamento (UE) 2023/1114, il prestatore di servizi per le cripto-attività registra i dettagli dell'ordine o dell'operazione come se avesse eseguito esso stesso l'ordine o l'operazione.
2. Il prestatore di servizi per le cripto-attività registra le informazioni di cui al paragrafo 1 nei campi specificati nella tabella 2 della sezione 2 e nella tabella 3 della sezione 3 dell'allegato, se tali campi sono pertinenti per l'ordine o l'operazione in questione.
Registrazione della ricezione e della trasmissione di ordini a soggetti cui non si applica il regolamento (UE) 2023/1114
1. Qualora un prestatore di servizi per le cripto-attività trasmetta un ordine a un soggetto cui non si applica il regolamento (UE) 2023/1114, il prestatore di servizi per le cripto-attività registra i dettagli dell'ordine trasmesso nei campi specificati nella tabella 2 della sezione 2 dell'allegato, nella misura in cui tali campi sono pertinenti per l'ordine o l'operazione in questione.
2. Se si tratta di un ordine aggregato per più clienti, le informazioni di cui agli articoli 9 e 14, a seconda dei casi, sono registrate per ciascun cliente.
Identificazione dei clienti che sono persone giuridiche
1. Quando fornisce informazioni alle autorità competenti a norma degli articoli 6 e 7, il prestatore di servizi per le cripto-attività identifica qualsiasi cliente che è una persona giuridica mediante un codice identificativo della persona giuridica corrispondente a tale cliente.
2. I prestatori di servizi per le cripto-attività registrano i codici identificativi delle persone giuridiche che sono conformi alla norma ISO 17442 e sono inseriti nella base dati degli identificativi internazionali delle persone giuridiche gestita dall'unità operativa centrale nominata dal comitato di sorveglianza sulla regolamentazione per il sistema internazionale di identificazione dei soggetti giuridici.
3. Se il cliente non dispone di un identificativo della persona giuridica conforme alla norma ISO 17442, il prestatore di servizi per le cripto-attività gliene procura uno o utilizza un identificativo definito a livello dell'Unione che presenti tutte le caratteristiche seguenti:
a) unico;
b) neutro;
c) affidabile;
d) open source;
e) scalabile;
f) accessibile;
g) disponibile gratuitamente o a un costo ragionevole;
h) soggetto a un quadro di governance adeguato.
Identificazione delle cripto-attività
Quando fornisce informazioni alle autorità competenti a norma degli articoli 6 e 7, il prestatore di servizi per le cripto-attività identifica le cripto-attività oggetto dell'ordine o dell'operazione registrati, o utilizzate come mezzo di pagamento, mediante un identificativo del token digitale conforme alla norma ISO 24165 o mediante un identificativo unico equivalente approvato dall'ESMA a livello dell'Unione, che presenti tutte le caratteristiche seguenti:
a) unico;
b) neutro;
c) affidabile;
d) open source;
e) scalabile;
f) accessibile;
g) disponibile a costi ragionevoli;
h) soggetto a un quadro di governance adeguato.
Registrazione delle operazioni effettuate dalle succursali
1. Se effettua un'operazione integralmente o parzialmente tramite la propria succursale, il prestatore di servizi per le cripto-attività include nelle registrazioni dell'operazione il codice paese ISO 3166 di tale succursale, conformemente ai campi 7, 16, 34, 42 o 44 della tabella 3 della sezione 3 dell'allegato.
2. Il prestatore di servizi per le cripto-attività include nelle registrazioni dell'operazione le informazioni seguenti:
a) se la succursale ha ricevuto l'ordine da un cliente o ha preso una decisione di investimento per un cliente nell'ambito di un mandato discrezionale conferitole dal cliente;
b) se la succursale ha responsabilità di vigilanza per la persona che prende la decisione di investimento in questione;
c) se la succursale ha responsabilità di vigilanza per la persona che determina le condizioni per l'esecuzione dell'operazione;
d) se l'operazione è stata integralmente o parzialmente effettuata su una piattaforma di negoziazione di cripto-attività situata al di fuori dell'Unione avvalendosi del fatto che la succursale è membro di tale piattaforma di negoziazione di cripto-attività.
Identificazione del prestatore di servizi per le cripto-attività che effettua ordini e operazioni
1. I prestatori di servizi per le cripto-attività che effettuano ordini od operazioni che comportano l'obbligo di conservare le registrazioni si identificano nelle registrazioni da tenere a norma del presente regolamento mediante un identificativo della persona giuridica corretto che sia conforme alla norma ISO 17442 e inserito nella base dati degli identificativi internazionali delle persone giuridiche gestita dall'unità operativa centrale nominata dal comitato di sorveglianza sulla regolamentazione per il sistema internazionale di identificazione dei soggetti giuridici.
2. I prestatori di servizi per le cripto-attività provvedono a rinnovare i dati di riferimento relativi al proprio identificativo della persona giuridica secondo le condizioni di una qualsiasi unità operativa locale accreditata del sistema internazionale di identificazione dei soggetti giuridici.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 27 febbraio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN