CASP, l’Italia parte lenta: solo tre istanze formali di autorizzazione. Mentre in Germania sono autorizzati già in 19
Sono già 19 le autorizzazioni Crypto-Asset Service Providers (CASP) rilasciate in Germania, seguita da Paesi Bassi (16), Malta (8) e Francia (7). L’Italia, invece, conta appena 3 domande formali di autorizzazione pervenute fino a metà ottobre 2025, di cui una sola in corso di valutazione, mentre le altre risultano ritirate o archiviate.
Sono i numeri impietosi snocciolati da Banca d’Italia e Consob lo scorso 22 ottobre in occasione di un workshop a Roma, dedicato agli addetti ai lavori, organizzato dalle due autorità di vigilanza in merito al processo di autorizzazione dei CASP, alla luce della normativa europea Markets in Crypto-Assets Regulation (MiCAR) e delle sue implicazioni sul piano operativo e antiriciclaggio (AML).(si vedano qui il comunicato stampa e qui le slide di presentazione).
Nel dettaglio, si legge nel documento redatto da Stefano Renna e Mattia Berruti (Banca d’Italia, Costituzioni banche e altri intermediari) e da Emma Iannaccone (Consob, Ufficio Imprese di Investimento, Crowdfunding, CASP), in Italia al 15 ottobre 2025 risultavano: 49 notifiche ex art. 65 MiCAR, 45 richieste formali di interlocuzione, 3 domande formali di autorizzazione presentate e 7 pre-filing. I soggetti attivi nel settore erano 166 VASP iscritti al Registro OAM al 31 dicembre 2024, di cui 150 persone giuridiche. Tuttavia, solo una minima parte ha già avviato un percorso formale per l’ottenimento dello status di CASP. Un dato che preoccupa le autorità, alla luce della sopraccitata scadenza del 30 dicembre 2025, termine ultimo per presentare istanza ed accedere al regime transitorio previsto dal Decreto-legge 95/2025. Chi non si attiverà entro quella data, dovrà interrompere l’operatività.
Il passaggio da VASP a CASP segna l’ingresso in un regime di intermediazione vigilata, con requisiti assimilabili a quelli previsti per gli intermediari finanziari tradizionali. I profili di analisi indicati da Banca d’Italia comprendono: assetto proprietario, governance, struttura organizzativa, programma di attività, piani previsionali e presidi prudenziali, sistemi e procedure IT.
Le prime evidenze mostrano una preparazione ancora immatura da parte di molti operatori: scarsa esperienza pregressa in ambito regolamentato, strutture governance deboli o non indipendenti, business model ottimistici, spesso basati su attività non coperte da MiCAR (es. staking), elevato ricorso a esternalizzazione IT e modelli sub-custody, redditività limitata e capitalizzazione insufficiente, assenza di presidi compliance robusti.
Le aspettative delle Autorità si focalizzano su: trasparenza del gruppo, coinvolgimento attivo dei soci, adeguata dialettica negli organi, supervisione effettiva delle funzioni esternalizzate, sostenibilità patrimoniale, gestione dei rischi informatici e rispetto del DORA.
E non basta. Perché in alcuni casi è necessaria una doppia autorizzazione, quando entra in gioco il rispetto della direttiva PSD2. Questo accade in particolare per gli operatori che intendano offrire servizi di trasferimento EMT (e-money token), i quali appunto devono ottenere doppia autorizzazione oppure stipulare una partnership con un PSP autorizzato. L’indicazione di Banca d’Italia è chiara: evitare approcci ambiziosi non sostenibili, adottando una progressione per fasi e richiedendo la doppia licenza solo se realmente necessaria.
Nel nuovo impianto normativo, i CASP sono assimilati come detto a intermediari finanziari (non più operatori non finanziari), soggetti quindi alla vigilanza della Banca d’Italia e agli obblighi estesi in materia di antiriciclaggio. Su questo tema le disposizioni secondarie già aggiornate impongono: adeguata verifica rafforzata, con fonti informative qualificate; assetto organizzativo AML dedicato (AML manager, Responsabile segnalazioni SOS, autovalutazione del rischio); conservazione dati anche fuori da blockchain, secondo modalità condivise con la UIF; strumenti di transaction monitoring personalizzati, anche per wallet self-hosted; conformità alla “travel rule” UE, con responsabilità diretta dei CASP sui flussi informativi. Anche tema se questo Banca d’Italia segnala già criticità diffuse: matrici di rischio assenti, soluzioni di onboarding non conformi, outsourcing non presidiato, allocazione inefficiente dei ruoli AML.
L’adeguamento al nuovo regime è oneroso e complesso, ma, hanno concluso Banca d’Italia e Consob, anche un’opportunità di posizionamento competitivo per gli operatori seri e strutturati, in grado di operare in un quadro regolamentato, trasparente e conforme agli standard europei.