Il Regolamento (UE) 2022/858 del Parlamento e del Consiglio Europeo del 30 maggio 2022 istituisce un regime pilota per le infrastrutture di mercato basate sulla tecnologia a registro distribuito (di seguito “Regolamento DLT”) in altre parole su blockchain (qui il link al provvedimento). Il provvedimento è il primo atto normativo ad essere approvato della triade che compone il Digital Financial Package (di seguito “DFP”) della UE (per un’introduzione, al DFP sia consentito rinviare al seguente articolo): gli altri due sono il DORA (cioè una proposta di regolamento sui rischi di cybersecurity nel settore finanziario) e, da ultimo, il piatto forte, last but not least, la proposta di regolamento MICA, cioè “Markets in Crypto Asset Regulation” che istituisce un regime regolamentare nell’Unione per i crypto-assets e che avrà ricadute importanti sulla (appena nascente) token-economy europea.
Il Regolamento DLT, in sostanza, crea un sistema regolamentare per gli operatori di piattaforme DLT, cioè piattaforme che ammettono alla negoziazione strumenti finanziari DLT, intendendosi per strumento finanziario DLT: lo “strumento finanziario emesso, registrato, trasferito e stoccato mediante la tecnologia a registro distribuito”: si tratta, in altre parole di strumenti finanziari “intesi in senso classico” (secondo la nozione consolidatasi nel diritto, contenuta da ultimo nella direttiva 2014/65, e recepita dal legislatore italiano, ormai da tempo, nel d.lgs. 58 del 1998) che, però, sono interscambiati su piattaforme basate su tecnologia blockchain.
La prima osservazione che s’impone è che il regolamento DLT non è applicabile ai crypto-assets che ricadono sotto l’ambito regolamentare del MICA. Infatti, se, da una parte, l’art. 2, par. 2, del MICA (secondo l’ultimo testo in ordine cronologico disponibile, cioè quello del 17 marzo 2022) dispone che tale provvedimento non si applica ai “financial instruments as defined in Article 4(1), point (15), of Directive 2014/65/EU” e, dall’altra, come visto, il regolamento DLT si applica agli strumenti finanziari nel senso della direttiva 2014/65, sebbene con la particolarità di essere negoziati su blockchain, appare evidente come il MICA e il regolamento DLT operino su ambiti diversi: ciò è, del resto, coerente con l’impostazione di fondo del legislatore europeo del MICA secondo cui i crypto-assets, vadano tenuti distinti, in linea di principio, dal settore finanziario e debbano, invece, essere assoggettati a una regolamentazione autonoma (quella appunto del MICA). Vale, peraltro, la pena di notare che, sulla base del sistema regolamentare del MICA (almeno secondo l’ultimo testo disponibile e sempre considerando che il MICA deve ancora essere approvato), è possibile che alcuni crypto-assets ricadano, altresì, nella definizione di “strumenti finanziari” nel senso della direttiva 2014/65 e che, in tali casi, dovrà essere applicato il regime regolamentare previsto per il settore finanziario (considerando 6 del MICA: “Crypto-assets that qualify as ‘financial instruments’ as defined in Article 4(1), point (15), of Directive 2014/65/EU or as ́deposits ́ as defined in Article 2 (1), point (3) of Directive 2014/49/EU of the European Parliament and the Council should therefore remain regulated under the general existing Union legislation, including Directive 2014/65/EU and Directive 2014/49/EU respectively, regardless of the technology used for their issuance or their transfer”).
In definitiva, i crypto-assets potranno essere negoziati su piattaforme che ricadono nell’ambito applicativo del regolamento DLT solamente ove essi siano anche “strumenti finanziari” (nel senso della direttiva 2014/65) mentre, qualora non lo siano, non saranno ammessi sui mercati DLT: “le infrastrutture di mercato DLT dovrebbero ammettere alla negoziazione o registrare solo gli strumenti finanziari DLT su un registro distribuito. Gli strumenti finanziari DLT dovrebbero essere cripto-attività che rientrano nella definizione di strumenti finanziari e che sono emesse, trasferite e conservate in un registro distribuito” (considerando 8 del regolamento DLT).
Il considerando 3 del regolamento DLT esprime un generale apprezzamento positivo sull’uso della tecnologia blockchain, andando sufficientemente controcorrente rispetto al generale atteggiamento di chiusura degli esponenti delle istituzioni europee (su cui spiccano, per furore ideologico, le dichiarazioni pubbliche dei membri della BCE, sia consentito rimandare in proposito al seguente articolo scritto insieme a Paolo Zagaglia): “la cosiddetta tokenizzazione degli strumenti finanziari, vale a dire la rappresentazione digitale di strumenti finanziari nei registri distribuiti o l’emissione di categorie di attività tradizionali in formato tokenizzato per consentirne l’emissione, la custodia e il trasferimento in un registro distribuito, dovrebbe aprire nuove opportunità per incrementi di efficienza nel processo di negoziazione e post-negoziazione. Tuttavia, poiché compromessi fondamentali relativi al rischio di credito e di liquidità permangono anche in un mondo tokenizzato, il successo dei sistemi basati sui token dipenderà, almeno in via provvisoria, dalla loro interazione con i sistemi tradizionali basati su conti”.
Inoltre, non si può non apprezzare (almeno dalla prospettiva di coloro che, come chi scrive, sono cittadini della UE) quanto dichiarato nel considerando 7 del regolamento: “per conseguire l’obiettivo del regime pilota è opportuno creare a livello dell’Unione un nuovo status per l’infrastruttura di mercato DLT al fine di garantire che l’Unione sia in grado di svolgere un ruolo di leadership per quanto riguarda gli strumenti finanziari in forma tokenizzata e contribuire allo sviluppo di un mercato secondario per tali attività”.
Il regolamento DLT si applica alle infrastrutture ricadenti nella nozione di “infrastruttura di mercato DLT”, cioè dei sistemi multilaterali di negoziazione DLT, dei sistemi di regolamento DLT o dei sistemi di negoziazione e regolamento DLT. Per sistema multilaterale di negoziazione DLT s’intende un “sistema multilaterale di negoziazione che ammette alla negoziazione solo strumenti finanziari DTL”; per sistema di regolamento DLT s’intende un “sistema di regolamento che regola operazioni in strumenti finanziari DLT contro pagamento o consegna”; per sistema di negoziazione e regolamento DLT (TSS DLT) s’intende “un TSS DLT o un SS DLT che combina i servizi prestati da un MTF DLT e da un SS DLT”.
Il regolamento DLT cerca di trovare un punto di equilibrio tra l’esigenza di aprire il nuovo regime pilota delle infrastrutture DLT a una base più ampia di investitori rispetto ai mercati tradizionali e quella di tutelare tali investitori dai rischi di perdite finanziarie: “la creazione di infrastrutture del mercato finanziario per le cripto- attività che rientrano nella definizione di strumenti finanziari è attualmente vincolata ad alcuni requisiti contenuti nella legislazione dell’Unione in materia di servizi finanziari che non sono pienamente adatti alle cripto-attività che rientrano nella definizione di strumenti finanziari o all’uso della tecnologia a registro distribuito. Per esempio, solitamente le piattaforme di negoziazione delle cripto-attività danno accesso diretto agli investitori non professionali, mentre di regola le sedi tradizionali di negoziazione consentono l’accesso agli investitori al dettaglio solo tramite intermediari finanziari” (considerando 5 del regolamento DLT). Dal punto di vista del dettato normativo, il bilanciamento è contenuto, per i sistemi multilaterali di negoziazione DLT, nel combinato disposto degli articoli 4 e 7, in quanto se il comma 1 dell’articolo 4 stabilisce che “un MTF DLT è soggetto ai requisiti che si applicano a un sistema multilaterale di negoziazione a norma del regolamento (UE) n. 600/2014 e della direttiva 2014/65/UE” i commi 2 e 3 del medesimo articolo predispongono un regime regolamentare più blando di quello contenuto nel regolamento 600/2014 e nella direttiva 2014/65; il comma 1 dell’art. 8, inoltre, precisa che: “una persona giuridica autorizzata ad agire quale impresa di investimento o autorizzata a gestire un mercato regolamentato a norma della direttiva 2014/65/UE può chiedere un’autorizzazione specifica a gestire un MTF DLT ai sensi del presente regolamento” e il comma 2 del medesimo articolo aggiunge che “se una persona giuridica chiede l’autorizzazione come impresa di investimento o l’autorizzazione a gestire un mercato regolamentato a norma della direttiva 2014/65/UE e, contemporaneamente, presenta una domanda di autorizzazione specifica a norma del presente articolo, al solo scopo di gestire un MTF DLT, l’autorità competente non valuta se il richiedente soddisfa i requisiti della direttiva 2014/65/UE in relazione ai quali il richiedente ha richiesto un’esenzione conformemente all’articolo 4 del presente regolamento”, cioè ai summenzionati commi 2 e 3. Il regolamento DLT, infine, utilizza una tecnica normativa analoga per i sistemi di regolamento DLT (combinato disposto degli articoli 5 e 9) e per i sistemi di negoziazione e regolamento DLT (combinato disposto degli articoli 6 e 10).
Il Regolamento DLT si basa sul principio di neutralità tecnologica: “la legislazione dell’Unione in materia di servizi finanziari è destinata a essere neutrale per quanto riguarda l’uso di qualsiasi particolare tecnologia rispetto a un’altra. Occorre, pertanto, evitare riferimenti a un tipo specifico di tecnologia a registro distribuito”.
Infine, è interessante notare che il par. 4 dell’articolo 7 del regolamento DLT si preoccupa di precisare che “i gestori delle infrastrutture di mercato DLT garantiscono che tutti i dispositivi informatici e cibernetici relativi all’uso della loro tecnologia a registro distribuito siano proporzionati alla natura, alla portata e alla complessità delle loro attività. Tali dispositivi assicurano la continuità e la costante trasparenza, disponibilità, affidabilità e sicurezza dei loro servizi e delle loro attività, compresa l’affidabilità degli smart contract utilizzati nell’infrastruttura di mercato DLT. Tali dispositivi garantiscono inoltre l’integrità, la sicurezza e la riservatezza di tutti i dati memorizzati dai gestori in questione, nonché che tali dati siano disponibili e accessibili”. Tale norma costituisce il precipitato del considerando 41 del regolamento DLT che enuncia chiaramente un principio di accountability per quanto riguarda gli aspetti di cybersicurezza delle infrastrutture DLT, con un focus specifico sugli smart contract: “le infrastrutture di mercato DLT dovrebbero disporre di specifici dispositivi informatici e cibernetici efficaci riguardanti l’uso della tecnologia a registro distribuito. Tali strumenti dovrebbero essere proporzionati alla natura, alla portata e alla complessità del piano aziendale del gestore dell’infrastruttura di mercato DLT. Tali strumenti dovrebbero inoltre garantire la continuità e la costante trasparenza, disponibilità, affidabilità e sicurezza dei servizi forniti, compresa l’affidabilità di eventuali smart contract utilizzati, indipendentemente dal fatto che tali smart contract siano creati dalla stessa infrastruttura di mercato DLT o da terzi in seguito a procedure di esternalizzazione”
Dato il focus che correttamente il regolamento DLT pone sugli smart contract con riferimento alla cybersicurezza delle infrastrutture DLT (si veda, per esempio, il citato par. 4 dell’articolo 7, del regolamento DLT, secondo cui i gestori di mercato DLT devono garantire “l’affidabilità degli smart contract utilizzati nell’infrastruttura di mercato DLT”) un’osservazione appare essere necessaria. Si aprirà quanto prima un mercato importante sugli aspetti di cybersicurezza degli smart contract, vero motore operativo delle blockchain e, quindi, correlativamente, ventre molle degli stessi rispetto agli attacchi informatici. Negli Stati Uniti, del resto, diverse società offrono già il servizio di auditing relativo alla sicurezza informatica degli smart contract (auditing che include l’assicurazione degli stessi). In definitiva, l’affidabilità delle piattaforme DLT, come anche, mutatis mutandis, il valore dei progetti NFT, passerà, quindi e sempre di più, necessariamente, per la (cyber-)tenuta degli smart contract che, almeno dal punto di vista informatico, sovrintendono alla loro genesi.