VASPs and technology outsourcing: between MiCA Regulation and DORA Regulation

Il regolamento sui mercati in cripto-attività (“Regolamento MiCA”) ha come obiettivo quello di fornire una regolamentazione uniforme in tutta l’Unione europea per il settore crypto. In questo contesto il legislatore europeo sta ridefinendo il panorama normativo dei fornitori di servizi su cripto-attività (i “VASP”), categoria che tipicamente include gli exchange, fornitori di servizi di custodia o gestori di piattaforme di trading di criptovalute.

La regolamentazione generale dei VASP

Il Regolamento MiCA consente ai VASP di operare nel territorio dell’Unione europea sulla base di una specifica autorizzazione, secondo un modello simile a quanto già previsto nel settore bancario e finanziario. Gli operatori su cripto-attività sono pertanto tenuti a presentare istanza presso le competenti autorità di vigilanza (in Italia la Consob e, per alcuni profili, la Banca d’Italia).

Per garantire la conformità normativa e preservare l’efficacia della vigilanza prudenziale, è essenziale che questi operatori gestiscano le loro attività in modo efficace. Ciò richiede che siano applicati tutti i requisiti previsti dalla normativa, contribuendo così a proteggere gli investitori, preservare l’integrità del mercato e mantenere la stabilità finanziaria.

Da questi principi discende la necessità per i VASP di dotarsi di procedure idonee a garantire un’organizzazione aziendale corretta e capace di prevenire i rischi relativi al mercato crypto. Tra le altre, sarà necessario adottare procedure di governance e risk management, di gestione dei rischi informatici e di prevenzione del riciclaggio, nonché di gestione dei conflitti di interesse e di continuità operativa.

In aggiunta, i VASP dovranno rispettare, per garantire la tutela dei consumatori, taluni requisiti prudenziali, in forma di fondi propri o di polizza assicurativa. I medesimi saranno altresì tenuti a dotarsi di una struttura di governance idonea ad una gestione sana e prudente.

Tra le procedure che i VASP devono definire, rientra la policy sulla esternalizzazione che deve prevedere anche piani di emergenza e strategie di uscita, tenendo conto della portata, della natura e della gamma dei servizi per le cripto-attività prestati.

I VASP e l’esternalizzazione di funzioni ICT

Gli exchange o le piattaforme di trading di crypto sono società in cui l’elemento tecnologico è centrale. Ciò comporta anche una considerevole esposizione verso i rischi legati proprio ai profili tecnologici.

Basti pensare alle molteplici lamentele e, in taluni casi, azioni legali intraprese da consumatori di noti crypto exchange proprio a causa di interruzioni di servizio che hanno causato importanti perdite economiche ai consumatori.

Mentre i VASP di dimensioni maggiori possono essere dotati di dipartimenti IT interni, altre volte le aziende potrebbero non avere la forza economica di assumere sviluppatori (che nell’ambito Web3 potrebbero anche essere particolarmente costosi). Queste potrebbero quindi affidarsi ad agenzie mediante contratti di sviluppo software, di assistenza IT o comunque di fornitura di servizi ICT.

Si pensi a quei progetti startup che a seguito del fundraising affidano ad un’agenzia di sviluppo software la programmazione della piattaforma o lo sviluppo di smart contracts. A volte internamente al team di founders vi è un unico sviluppatore che svolge solitamente la funzione di CTO e monitora l’attività degli sviluppatori in in outsourcing. In tali casi, poi, l’agenzia esterna potrebbe anche fornire assistenza continuativa per la manutenzione o la modifica della piattaforma.

L’esternalizzazione nel Regolamento MiCA

Proprio dal potenziale impatto delle attività dei fornitori sull’erogazione dei servizi e sulla conformità normativa del VASP discende la necessità di regolamentare l’esternalizzazione di funzioni operative.

In generale i VASP mantengono la piena responsabilità verso la clientela e per l’adempimento degli obblighi regolamentari anche in caso di outsourcing. Ciò significa che non potranno delegare la responsabilità al fornitore di servizi esterno, né l’esternalizzazione potrà alterare il rapporto con i clienti o le condizioni per l’autorizzazione ad operare.

È compito dei VASP assicurarsi di mantenere un’organizzazione tale da poter vigilare sui fornitori di servizi e agire su eventuali rischi. A tale fine sarà necessario predisporre una politica in materia di esternalizzazione che prevede anche piani di emergenza e strategie di uscita dai rapporti esternalizzati, tenendo conto della portata, della natura e della gamma dei servizi per le cripto-attività prestati.

Il Regolamento MiCA richiede inoltre che i contratti di outsourcing (ad es. contratti di sviluppo software) rispettino certe condizioni imposte direttamente dal regolamento, come la forma scritta, la presenza di clausole di risoluzione, la responsabilità in materia di gestione dei dati personali e obblighi di collaborazione con le autorità di vigilanza posti in capo al fornitore esterno.

Esternalizzazione di funzioni ICT e Regolamento DORA

Il regolamento (UE) 2022/2554 (c.d. digital operational resilience act o “Regolamento DORA”) mira a consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi per le entità finanziarie.

All’interno di quest’ultima categoria, il legislatore europeo ha fatto rientrare anche i VASP autorizzati sulla base del Regolamento MiCA.

Di conseguenza, costoro sono obbligati ad adottare tutte le misure previste nel Regolamento DORA al fine di dotarsi di robusti sistemi di prevenzione e mitigazione dei rischi informatici. Ciò include la definizione di idonei sistemi di governance (ad es. tramite l’adozione di un quadro di gestione dei rischi e l’approvazione di piani di continuità), la gestione degli incidenti informatici e la predisposizione di test della resilienza operativa e digitale.

In aggiunta le entità finanziarie rimangono pienamente responsabili per la conformità alla normativa anche nelle ipotesi di esternalizzazione di funzioni ICT. Le entità finanziarie devono quindi adottare e riesaminare periodicamente una strategia per gestire i rischi informatici derivanti da terzi, mantenendo un registro dettagliato degli accordi contrattuali con fornitori di servizi tecnologici.

Al fine di prevenire potenziali rischi le entità finanziarie devono valutare attentamente i fornitori terzi e garantire che soddisfino standard adeguati in materia di sicurezza delle informazioni. Inoltre, devono predisporre strategie di uscita per i servizi tecnologici critici (mediante apposite clausole di risoluzione contrattuale), garantendo la continuità operativa e la conformità normativa in caso di necessità di terminare gli accordi contrattuali.

Particolare attenzione deve essere prestata in quei casi in cui la funzione ICT esternalizzata sia da considerarsi essenziale o importante. Questa è definita dal Regolamento DORA come “una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari”.

Rischio di concentrazione in caso di esternalizzazione di funzioni ICT

Nell’ambito dell’identificazione e della valutazione dei rischi informatici, le entità finanziarie devono altresì considerare la possibilità che la conclusione di un accordo contrattuale per servizi tecnologici critici possa comportare situazioni particolari, come la dipendenza da un unico fornitore o la presenza di molteplici accordi con lo stesso fornitore. Si pensi, ad esempio, ad un VASP che dia in outsourcing lo sviluppo e la gestione della propria piattaforma di exchange ad un’unica agenzia di sviluppo software.

In tal caso le entità finanziarie devono valutare attentamente i benefici e i costi di soluzioni alternative, come l’uso di diversi fornitori, per garantire la continuità operativa e il raggiungimento degli obiettivi strategici in materia di resilienza digitale.

VASP e contratti di outsourcing tecnologico

Il Regolamento DORA impone alle entità finanziarie di concludere contratti di esternalizzazione di funzioni ICT solamente in forma scritta e di rispettare obblighi di contenuto imposti dalla normativa stessa.

Questi termini devono includere, tra gli altri, una descrizione completa delle funzioni e dei servizi ICT forniti, un Service Level Agreement (“SLA”), nonché le disposizioni per la protezione dei dati (inclusa l’indicazione dei luoghi di trattamento dei dati e di fornitura dei servizi) e la gestione delle emergenze. Particolarmente importanti sono anche gli obblighi di collaborazione in capo al fornitore tecnologico, sia con l’entità finanziaria (prestando assistenza in caso di incidenti), sia con le autorità di vigilanza.

Anche in questo caso sarà necessario definire clausole risolutive per l’uscita dal rapporto.

Un contenuto più corposo è imposto nei casi di esternalizzazione di funzioni essenziali, individuate sulla base della valutazione effettuata dall’entità finanziaria (v. sopra). Sono incluse, tra le altre, clausole che impongono diritti di accesso e monitoraggio da parte del VASP, obiettivi più precisi nell’ambito dello SLA e obblighi di notifica da parte del fornitore in caso di eventuali sviluppi che possano impattare sulle funzioni essenziali.

Se intendi offrire servizi come VASP crypto e vuoi scoprire come possiamo fornirti assistenza legale, puoi visitare la nostra pagina dedicata o contattarci.