MiCAR: Regolamento Europeo Cripto-Attività e Obblighi per CASP 2026
Regolamento UE 2023/1114 (MiCAR/MiCA) sui mercati delle cripto-attività: obblighi per CASP (Crypto Asset Service Providers), white paper, stablecoin, requisiti operativi e licenze. Guida per startup fintech crypto in Italia.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. Il Regolamento (UE) 2023/1114 (MiCAR/MiCA) è in vigore dal 29 giugno 2023. Le disposizioni su stablecoin (ART/EMT) si applicano dal 30 giugno 2024. Le disposizioni complete su tutti i servizi CASP si applicano dal 30 dicembre 2024. In Italia, l'adeguamento del TUB e del TUF al regime MiCAR è avvenuto con il D.Lgs. 128/2025. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: Reg. UE 2023/1114 (MiCAR), EUR-Lex · EBA, MiCA · CONSOB, Cripto-attività · Banca d'Italia, MiCAR · OAM, Registro CASP
Quali obblighi ha una startup fintech crypto con MiCAR? Come ottenere la licenza CASP in Italia?
Il Regolamento MiCAR (Reg. UE 2023/1114) impone che ogni soggetto che offre servizi su cripto-attività nell'UE, exchange, custodia di wallet, brokeraggio, trasferimento, ricezione e trasmissione ordini, sia autorizzato come Crypto Asset Service Provider (CASP). In Italia, le autorità competenti sono CONSOB e Banca d'Italia, con il registro OAM come punto di riferimento per la trasparenza. I requisiti includono: sede legale in un paese UE, capitale minimo da €50.000 a oltre €730.000 in base ai servizi offerti, assicurazione RC professionale, policy di custodia separata dei client asset e white paper obbligatorio per l'offerta al pubblico di cripto-attività. Le disposizioni complete si applicano dal 30 dicembre 2024.
1. Chi è obbligato alla licenza CASP
La definizione di "servizi su cripto-attività" ai sensi dell'Art. 3.16 MiCAR è ampia e include:
| Servizio | Descrizione | Capitale minimo |
|---|---|---|
| Exchange (custody vs non-custody) | Compravendita di cripto contro valuta fiat o altre crypto | €125.000 |
| Custodia e amministrazione | Wallet custodial per conto dei clienti | €125.000 |
| Trasferimento | Invio di cripto da un indirizzo all'altro per conto di terzi | €50.000 |
| Brokeraggio | Esecuzione di ordini per conto dei clienti | €50.000 |
| Piattaforma di negoziazione | Order book matching (DEX inclusi se con controllo dell'operatore) | €150.000 |
| Ricezione e trasmissione ordini | Intermediazione senza esecuzione diretta | €50.000 |
La licenza CASP è un passaporto europeo: una volta ottenuta in uno Stato membro, il servizio può essere prestato in tutti i paesi UE senza ulteriori autorizzazioni.
2. Il white paper obbligatorio (Artt. 6-14)
Per l'offerta al pubblico di cripto-attività (diverse da asset-referenced token ART e e-money token EMT), l'emittente deve pubblicare un white paper che contenga:
- Informazioni sull'emittente (nome, sede, governance, attività)
- Descrizione del progetto e delle finalità dell'offerta
- Caratteristiche della cripto-attività: diritti, funzionalità, tecnologia
- Rischi associati all'investimento e al progetto
- Destinazione dei fondi raccolti
Il white paper deve essere notificato alla CONSOB (o all'autorità dello Stato membro di origine), redatto in lingua italiana o inglese e pubblicato sul sito dell'emittente. Non è soggetto ad approvazione preventiva, ma l'autorità può chiederne la modifica o la sospensione in caso di contenuti non conformi o ingannevoli.
3. Stablecoin: regime speciale per ART e EMT
Il MiCAR introduce un regime particolarmente stringente per le cripto-attività che mirano a mantenere un valore stabile:
| Tipo | Descrizione | Autorità | Riserva |
|---|---|---|---|
| EMT (Electronic Money Token) | Agganciato a una singola valuta fiat (es. EUR) | Banca d'Italia/EBA | 100% della massa: depositi bancari o titoli di Stato equivalenti |
| ART (Asset-Referenced Token) | Agganciato a un paniere (valute, commodities, crypto) | EBA (significativi) / autorità nazionale | Obbligo di riserva, governance, audit trimestrale |
Gli emittenti di ART significativi (oltre 1 miliardo di EUR di capitalizzazione o 2.500 transazioni/giorno) sono soggetti a vigilanza diretta dell'EBA.
4. Obblighi operativi per i CASP
I CASP autorizzati devono rispettare una serie di requisiti organizzativi e di condotta (Artt. 66-84):
| Obbligo | Contenuto |
|---|---|
| Governance e organizzazione | Procedure documentate, compliance, risk management, internal audit |
| Custodia separata | I client asset devono essere segregati dal patrimonio del CASP; divieto di riutilizzo senza consenso informato |
| Trasparenza | Informativa precontrattuale su rischi, costi, condizioni |
| Best execution | Obbligo di eseguire gli ordini alle migliori condizioni possibili per il cliente |
| Gestione conflitti di interessi | Policy documentata, disclosure al cliente |
| Reclami | Procedura di gestione dei reclami dei clienti con riscontro obbligatorio |
| Resilienza ICT | Business continuity, disaster recovery, notifica incidenti |
| AML/KYC | Obblighi antiriciclaggio: verifica identità, monitoraggio transazioni, segnalazione SOS |
5. Regime transitorio per operatori già attivi in Italia
In Italia, prima del MiCAR, gli operatori crypto erano tenuti all'iscrizione al registro dei Virtual Asset Service Provider (VASP) presso l'OAM (Organismo degli Agenti e Mediatori Creditizi), con obblighi AML.
Il MiCAR ha sostituito il regime nazionale con la licenza CASP, ma ha previsto un regime transitorio (Art. 143 MiCAR):
- Gli operatori già iscritti al registro OAM alla data del 30 dicembre 2024 possono continuare a operare in regime transitorio fino all'ottenimento della licenza CASP o fino alla scadenza del termine massimo (18 mesi dalla pubblicazione della normativa attuativa italiana)
- Le nuove richieste di iscrizione OAM sono cessate dal 30 dicembre 2024: nuovi operatori devono richiedere direttamente la licenza CASP
6. Sanzioni
| Violazione | Sanzione massima |
|---|---|
| Violazione white paper (false informazioni) | Fino a €5.000.000 o 3% del fatturato annuo |
| Altre violazioni sostanziali | Fino a €2.000.000 o 2% del fatturato annuo |
| Violazione da parte di persona fisica | Fino a €700.000 |
7. Cosa fare subito
- Valutare se l'attività rientra nella definizione di "servizi su cripto-attività" MiCAR e se è già coperta dal regime transitorio italiano
- Predisporre la documentazione per la richiesta di licenza CASP: business plan, governance documentata, policy AML/KYC, risk assessment, white paper
- Adeguare la custodia dei client asset alla segregazione patrimoniale prevista dal MiCAR
- Aggiornare i Termini di Servizio e la Privacy Policy per includere le informative precontrattuali MiCAR
Per una consulenza specifica sugli obblighi MiCAR, si rimanda alla consulenza su DORA e NIS2.
Domande Frequenti (FAQ)
Un exchange decentralizzato (DEX) è soggetto a MiCAR? Dipende. Se il DEX è gestito da un soggetto giuridico (es. una società che sviluppa e mantiene lo smart contract e riceve commissioni), è soggetto a MiCAR come piattaforma di negoziazione. Se è completamente decentralizzato, senza un operatore identificabile che controlli il servizio, può essere al di fuori del perimetro MiCAR, ma l'interpretazione è ancora oggetto di dibattito tra le autorità.
Il MiCAR copre anche gli NFT? I token non fungibili (NFT) sono esclusi dal MiCAR (Art. 2.3) se sono effettivamente unici e non fungibili. Tuttavia, gli NFT emessi in serie o frazionati in unità (NFT "collezionabili" emessi in migliaia di copie identiche o NFT frazionati in parti fungibili) sono soggetti a MiCAR come cripto-attività standard.
Qual è il rapporto tra MiCAR e DORA? I CASP autorizzati ai sensi del MiCAR sono soggetti anche a DORA per quanto riguarda la resilienza ICT (gestione del rischio, notifica incidenti, test). Le due normative si applicano cumulativamente. I fornitori di servizi cloud critici che servono CASP sono potenzialmente soggetti a supervisione diretta DORA.
Un CASP italiano può operare in tutta Europa? Sì. La licenza CASP ottenuta in uno Stato membro è valida in tutto il territorio dell'Unione Europea (passaporto unico). Una volta autorizzato da CONSOB e Banca d'Italia, un CASP italiano può offrire servizi in Francia, Germania, Spagna e in qualsiasi altro paese UE senza necessità di autorizzazioni supplementari.
Approfondimenti consigliati:
- DORA: Resilienza Operativa Digitale
- DSA (Digital Services Act): Obblighi per Piattaforme e Startup
- Recupero Soldi Truffa Crypto: Guida Legale
- NIS2: Supply Chain e Notifica Incidenti
Fonti: Reg. UE 2023/1114 (MiCAR), EUR-Lex; CONSOB, Cripto; Banca d'Italia, MiCAr; OAM.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze