Il 4 settembre 2025 Banca d’Italia ha pubblicato una comunicazione in materia di interconnessione (di seguito, la “Comunicazione“) tra il Regolamento (UE) 2023/1114 sui mercati delle cripto-attività (di seguito, “MiCAR“) e la Direttiva (UE) 2015/2366 sui servizi di pagamento (di seguito, “PSD2“) al fine di cristallizzare la modalità in cui i servizi relativi ai token di moneta elettronica (di seguito, “EMT“) debbano essere giuridicamente configurati. La Comunicazione si colloca nel solco già tracciato dalla No Action Letter resa dall’Autorità Bancaria Europea (di seguito, “EBA“) il 10 giugno 2025 e fissa, per l’Italia, un quadro interpretativo che ha un impatto immediato sulle strategie autorizzative e organizzative dei prestatori di servizi per le cripto-attività (di seguito, “CASP“).
L’assunto centrale è chiaro: gli EMT, per loro stessa natura, si collocano a metà via tra il mondo delle cripto-attività e l’universo dei pagamenti. Se da un lato MiCAR li qualifica come una specifica categoria di cripto-attività, dall’altro devono considerarsi come “fondi” ai sensi PSD2 vista la loro equivalenza con la moneta elettronica tradizionale, con la conseguenza che alcune attività dei CASP si sovrappongono ai servizi di pagamento regolamentati. Da questa sovrapposizione discende un principio dirimente: quando un CASP offre servizi di trasferimento di EMT, o di custodia e amministrazione di EMT attraverso un custodial wallet che consente accrediti e addebiti da e verso terzi, tali attività devono essere considerate a tutti gli effetti servizi di pagamento.
Il messaggio regolamentare è inequivoco. Dal 2 marzo 2026 i CASP che intendano prestare simili servizi dovranno essere doppiamente autorizzati: da un lato come fornitori di servizi per le cripto-attività ai sensi di MiCAR, dall’altro come istituti di pagamento (di seguito, “IP“) o istituti di moneta elettronica (di seguito, “IMEL“) ai sensi di PSD2. In alternativa, sarà possibile operare tramite una partnership con un prestatore di servizi di pagamento già autorizzato (“PSP“), a condizione che la partnership sia formalizzata in modo chiaro, con un preciso riparto di responsabilità, procedure di scambio informativo, strumenti di monitoraggio e la nomina di un referente interno.
Per gli operatori già attivi la Comunicazione fissa un calendario stringente: l’istanza MiCAR dovrà essere presentata entro il 30 dicembre 2025 in ossequio al recentemente esteso regime transitorio, mentre l’istanza PSD2 dovrà essere depositata con anticipo sufficiente a concludere il procedimento entro il 1° marzo 2026. In mancanza, l’operatività sui servizi EMT dovrà essere sospesa fino all’ottenimento dell’autorizzazione o alla formalizzazione della partnership.
La Comunicazione non si limita dunque a recepire un orientamento europeo ma definisce un percorso operativo per i CASP italiani.
- Servizi interessati e perimetro applicativo
La Comunicazione individua con precisione quali servizi aventi ad oggetto EMT rientrano nell’ambito dei pagamenti. Si tratta, in particolare, del trasferimento di EMT e della custodia e amministrazione di EMT, quando il custodial wallet consente di ricevere e disporre trasferimenti da e verso terzi. In questa configurazione, il wallet è equiparato a un conto di pagamento, e i servizi offerti dal CASP si trasformano, a tutti gli effetti, in servizi di esecuzione di operazioni di pagamento. La logica è semplice: se l’operatore movimenta EMT per conto del cliente in un circuito aperto verso terzi, è soggetto agli stessi obblighi e garanzie previsti per chi movimenta fondi tradizionali.
Non meno importante è la delimitazione di ciò che resta fuori dal perimetro. Non costituisce servizio di pagamento l’intermediazione nell’acquisto di cripto-attività con EMT, così come non lo sono i servizi di scambio cripto-fiat. La qualificazione come servizi di pagamento, inoltre, non comporta un’assimilazione automatica agli strumenti di pagamento tipizzati dal Testo Unico Bancario: la sovrapposizione riguarda la funzione svolta, non la natura dello strumento utilizzato.
A partire dal 2 marzo 2026, i CASP che intendano offrire servizi di trasferimento e custodia di EMT con queste caratteristiche dovranno quindi essere autorizzati anche ai sensi della PSD2, in qualità di istituti di pagamento o di istituti di moneta elettronica. In alternativa, potranno operare tramite partnership con un PSP già autorizzato, purché l’accordo sia strutturato con chiarezza e garantisca un adeguato livello di presidio.
Per i soggetti già operativi, le tempistiche sono rigide: entro il 30 dicembre 2025 dovrà essere presentata l’istanza MiCAR ed entro il 1° marzo 2026 dovrà concludersi l’iter autorizzativo PSD2. In mancanza, l’operatività dovrà essere sospesa fino all’ottenimento delle autorizzazioni ovvero all’attivazione della partnership.
- Autorizzazioni e modelli operativi
La Comunicazione individua due percorsi alternativi per i CASP che intendano prestare servizi di trasferimento o custodia di EMT qualificabili come servizi di pagamento: la doppia licenza o la partnership con un PSP già autorizzato.
La prima opzione implica che l’operatore ottenga, oltre all’autorizzazione MiCAR come CASP, anche quella ai sensi della PSD2, scegliendo tra istituto di pagamento o istituto di moneta elettronica in base al proprio modello di business. Non si tratta di una scelta meramente formale: la tipologia di licenza deve riflettere in modo coerente i servizi effettivamente erogati, le modalità operative adottate e i rischi connessi. In questo scenario, la Comunicazione ribadisce la necessità di costituire un patrimonio destinato che tuteli sia l’attività CASP sia la prestazione di servizi di pagamento, garantendo un presidio separato e dedicato per l’emissione di moneta elettronica e per la movimentazione degli EMT. Anche nel caso in cui l’operatore limiti la propria operatività ai soli pagamenti in EMT, resta richiesto un patrimonio destinato in linea con gli standard previsti per IP e IMEL.
La seconda opzione consiste nel costruire una partnership con un PSP autorizzato. Questa strada non riduce gli obblighi di trasparenza né attenua la responsabilità complessiva del CASP, ma permette di concentrare l’attività autorizzativa sul solo perimetro MiCAR. La Comunicazione specifica, tuttavia, che la partnership deve essere solida e documentata già in sede di istanza, con un set minimo di elementi: un accordo contrattuale che stabilisca chiaramente gli ambiti di responsabilità; procedure di scambio informativo sulle transazioni effettuate; meccanismi di monitoraggio dell’attività del partner; e l’indicazione di un referente interno nel CASP incaricato di presidiare il rapporto. In mancanza di questi presidi, la partnership non è ritenuta idonea a sostituire la doppia licenza.
L’impostazione di Banca d’Italia è quindi pragmatica ma rigorosa: lascia libertà di scelta tra due modelli operativi, ma in entrambi i casi pretende che il livello di controllo e accountability sia equivalente. Che si tratti di doppia licenza o di partnership, i CASP devono dimostrare di aver strutturato assetti autorizzativi e organizzativi in grado di garantire ai clienti lo stesso livello di affidabilità e tutela riconosciuto agli operatori del mercato dei pagamenti tradizionali.
- Requisiti prudenziali, assetti proprietari ed esponenti
Uno degli aspetti più rilevanti della Comunicazione riguarda l’armonizzazione dei requisiti prudenziali, che non si limita a imporre il rispetto delle regole MiCAR, ma richiede ai CASP autorizzati anche come prestatori di servizi di pagamento di soddisfare cumulativamente le richieste provenienti da entrambe le normative. L’obiettivo è chiaro: garantire che l’intermediario disponga in ogni momento di una dotazione patrimoniale sufficiente a coprire l’intero spettro dei rischi derivanti dall’operatività mista.
In concreto, questo significa che i CASP devono rispettare i requisiti minimi previsti dal MiCAR (che variano a seconda dei servizi prestati e sono integrati dall’obbligo di detenere fondi propri o coperture assicurative) e, allo stesso tempo, i requisiti stabiliti per IP e IMEL dalle disposizioni di vigilanza nazionali. Per gli istituti di pagamento, il capitale iniziale è fissato a 125 mila euro per i servizi di trasferimento e custodia di EMT; per gli istituti di moneta elettronica, la soglia sale a 350 mila euro. L’approccio è quindi cumulativo: non si tratta di scegliere quale disciplina applicare, ma di sommare i presidi richiesti, come confermato dall’esempio numerico riportato in allegato alla Comunicazione.
Oltre al profilo patrimoniale, particolare attenzione è riservata agli assetti proprietari. MiCAR e PSD2 prevedono regole non identiche in materia di partecipazioni qualificate: il regolamento europeo richiede, per i soci qualificati, requisiti di onorabilità, assenza di sanzioni rilevanti e solidità finanziaria, individuando le partecipazioni sulla base dei criteri di controllo e moltiplicatore. La PSD2, invece, pone un accento ancora più forte sulla trasparenza: i partecipanti qualificati devono rispettare requisiti di onorabilità, correttezza e competenza secondo le disposizioni del Testo Unico Bancario e dei relativi decreti attuativi, considerando la totalità delle fattispecie penali e non solo quelle elencate in MiCAR. La conseguenza operativa è che i CASP, quando richiedono anche l’autorizzazione ai sensi della PSD2, devono trasmettere la documentazione comprovante il rispetto dei requisiti più ampi previsti per i PSP, senza eccezioni.
Infine, la Comunicazione equipara i CASP che intendono offrire servizi di pagamento in EMT agli istituti di pagamento e agli istituti di moneta elettronica “rilevanti”, per i quali i requisiti degli esponenti aziendali sono particolarmente stringenti. Non basta dimostrare assenza di precedenti penali o sanzioni: gli amministratori e i dirigenti devono possedere conoscenze, competenze ed esperienza adeguate, garantire indipendenza di giudizio e dedicare tempo sufficiente allo svolgimento delle proprie funzioni. Anche in questo caso, valgono i requisiti più estesi fissati dalla disciplina bancaria, che includono la valutazione di tutte le fattispecie di reato, la correttezza dei comportamenti professionali e la disponibilità di un track record coerente con l’incarico da ricoprire.
Il risultato complessivo è un quadro prudenziale e di governance che alza sensibilmente l’asticella: non solo capitale e risorse finanziarie, ma anche trasparenza negli assetti e affidabilità personale degli esponenti diventano condizioni imprescindibili per accedere al mercato dei pagamenti in EMT.
- Tutele della clientela e profili applicativi
Se la qualificazione dei servizi EMT come pagamenti sposta i CASP nel territorio della PSD2, il passo successivo è conseguente: l’applicazione delle tutele previste per i clienti. La Comunicazione stabilisce che, in linea generale, i CASP che offrono trasferimento o custodia di EMT dovranno rispettare le disposizioni in materia di trasparenza, informativa e responsabilità già previste per i prestatori di servizi di pagamento tradizionali.
Non mancano, tuttavia, alcune specifiche deroghe, dovute alle caratteristiche tecniche delle transazioni su blockchain ed in generale su tecnologie che hanno natura di registra distribuito (“DLT”). È il caso, ad esempio, delle commissioni di rete: nei trasferimenti on-chain i costi possono variare in tempo reale e non sempre essere conosciuti in anticipo. In questi casi non si applica l’obbligo di indicare ex ante l’importo preciso delle commissioni, ma l’operatore deve comunque fornire all’utente le informazioni disponibili prima che questi autorizzi la transazione. Allo stesso modo, non trovano applicazione le disposizioni che impongono di indicare in anticipo i tempi massimi di esecuzione: anche qui è richiesta almeno una stima attendibile, comunicata prima dell’operazione.
Accanto alle tutele informative, la Comunicazione ribadisce l’importanza della strong customer authentication (SCA). Dal 2 marzo 2026 i CASP dovranno garantire che l’accesso ai wallet custodial di EMT e l’avvio dei trasferimenti siano protetti da procedure di autenticazione forte, in linea con gli articoli 97 e 98 della PSD2. La mancata applicazione della SCA comporta responsabilità diretta del prestatore, fatta salva l’ipotesi di appurata frode del cliente, con la conseguenza che i CASP dovranno descrivere i propri meccanismi di autenticazione già in sede autorizzativa, dimostrando la conformità alle regole vigenti.
Altrettanto rilevante è l’introduzione di obblighi in materia di segnalazione delle frodi. Dal 2 marzo 2026 i CASP che offrono servizi di pagamento in EMT dovranno inviare le statistiche relative alle frodi sui mezzi di pagamento, secondo lo schema semestrale già previsto per gli altri operatori, e in conformità agli orientamenti emanati da EBA. Questo passaggio segna un ulteriore avvicinamento tra il mondo delle cripto-attività e quello dei pagamenti tradizionali, non solo sul piano autorizzativo ma anche su quello dei controlli di vigilanza.
Infine, la Comunicazione conferma l’esclusione delle norme sull’open banking. I servizi di disposizione di ordini di pagamento e di informazione sui conti non trovano applicazione ai trasferimenti e alla custodia di EMT, per la semplice ragione che la logica delle DLT non si presta a essere integrata nei circuiti di accesso ai conti disciplinati dalla PSD2. Un’esclusione che evita di forzare l’architettura tecnica degli EMT dentro schemi concepiti per il denaro bancario tradizionale.
Il quadro che emerge è di piena assimilazione: stessi obblighi di trasparenza, stessa protezione dei clienti, stesse responsabilità dei prestatori di servizi di pagamento.
Si intravede, tuttavia, un filo conduttore di adattamento mirato che tenta di riconoscere le peculiarità tecnologiche degli EMT e ne modella l’applicazione; senza derogare al principio di fondo: garantire agli utenti il medesimo livello di tutela di chi utilizza strumenti di pagamento convenzionali.
Conclusioni
La Comunicazione di Banca d’Italia segna un passaggio decisivo: i token di moneta elettronica non sono più un’area grigia del diritto delle cripto-attività, ma entrano stabilmente nel perimetro dei pagamenti regolamentati in costanza di specifiche ipotesi. Per i CASP questo significa adottare una strategia chiara, doppia licenza o partnership, e prepararsi a requisiti patrimoniali, di governance e di tutela della clientela che non lascino margini di improvvisazione. Il 2 marzo 2026 è una data spartiacque: chi non arriverà pronto rischia di trovarsi fuori dal mercato europeo delle cripto-attività.
Sullo stesso argomento può essere d’interesse l’articolo “Proroga italiana VASP e le tensioni nell’attuazione di MiCAR“.
Autori: Andrea Pantaleo e Giulio Napolitano
About the Author: Andrea Pantaleo
