L’European Securities and Markets Authority ha deciso di alzare il livello di attenzione sulla custodia dei crypto asset. L’8 luglio, ESMA ha annunciato il lancio di una Common Supervisory Action coordinata con i regolatori nazionali di tutta l’Unione Europea, puntando direttamente sulla revisione ESMA custodia crypto: l’obiettivo è capire quanto siano realmente solide le strutture operative dei fornitori di servizi su crypto-asset già autorizzati sotto MiCA. Non si tratta di un’indagine teorica. È il primo test strutturato da quando il regime transitorio si è chiuso e le aziende hanno cominciato a operare sul registro UE condiviso.
Summary
Punti chiave
- ESMA ha avviato l’8 luglio una Common Supervisory Action sulla custodia crypto, nell’ambito della sorveglianza MiCA attiva.
- La revisione copre governance, gestione delle chiavi, controlli sulle transazioni, risposta agli incidenti, rischi dei smart contract e dipendenze da terze parti.
- Il processo si svolge dalla seconda metà del 2026 alla prima metà del 2027; il rapporto consolidato è atteso nella seconda metà del 2027.
- Il registro MiCA conta oggi 280 fornitori autorizzati dopo la chiusura del periodo transitorio.
- Ripple ha ottenuto il 6 luglio la piena autorizzazione CASP dalla CSSF lussemburghese per operare nello Spazio Economico Europeo a 30 paesi.
ESMA avvia la revisione sulla custodia: cosa cambia con MiCA in fase attiva
La transizione è finita. MiCA non è più solo un quadro normativo in costruzione: è diventato uno strumento di supervisione operativo, e la Common Supervisory Action di ESMA ne è la prima manifestazione concreta su larga scala. La revisione misura la maturità dei framework di resilienza delle aziende autorizzate — quanto siano robusti nei livelli tecnici e di governance che tengono al sicuro gli asset dei clienti.
Il timing non è casuale. Il registro MiCA ha raggiunto 280 fornitori autorizzati dopo la chiusura del periodo transitorio — una platea che include custodi, exchange e emittenti di token ora soggetti a un’unica struttura di vigilanza europea. ESMA vuole sapere se chi è entrato nel perimetro regolamentato ha davvero costruito controlli all’altezza dei rischi specifici della tecnologia a registro distribuito.
Ambito e focus della revisione sulla custodia
La Common Supervisory Action non lascia margini di ambiguità sui temi sotto la lente. L’azione copre governance, gestione delle chiavi e dello storage, controlli sulle transazioni, rilevamento e risposta agli incidenti, rischi dei smart contract e dipendenze da fornitori terzi. Ogni elemento tocca un aspetto critico di come un custode detiene e movimenta crypto asset per conto dei clienti.
Non è una lista casuale: sono esattamente le aree dove un’operatività improvvisata può tradursi in perdite irreversibili per gli utenti. La gestione delle chiavi private, ad esempio, è il punto zero della sicurezza in ambiente blockchain. Una governance debole in quel nodo — o una dipendenza eccessiva da un singolo provider terzo — può vanificare qualsiasi altro presidio.
ESMA ha inquadrato l’iniziativa come risposta diretta alle proprie priorità di supervisione basate sul rischio, che identificano sia la resilienza digitale operativa sia i fornitori di servizi crypto-asset come aree ad alta attenzione. L’obiettivo dichiarato è rafforzare la convergenza della vigilanza in un mercato che cambia velocemente.
Tempi e programma di reportistica
Il calendario è preciso. La revisione prende avvio nella seconda metà del 2026 e si conclude nella prima metà del 2027. Un rapporto consolidato arriverà poi al Board of Supervisors di ESMA nella seconda metà del 2027. Quasi due anni di lavoro, tra raccolta dati a livello nazionale e sintesi a livello europeo.
Questo arco temporale riflette la complessità del compito: non si tratta di una verifica amministrativa, ma di un’analisi tecnica e strutturale su aziende con architetture operative molto diverse tra loro.
Supervisione basata sul rischio e il quadro attuale dei fornitori autorizzati
I regolatori nazionali non esamineranno l’intera popolazione di 280 fornitori autorizzati. L’approccio è basato sul rischio: le autorità competenti nazionali selezionerà un campione mirato, concentrando l’attenzione dove una carenza di resilienza potrebbe causare i danni maggiori. È un modello che tiene l’enforcement nelle mani dei supervisori dei singoli Stati membri, pur alimentando un insieme comune di risultati a livello UE.
Questa architettura rispecchia il modello a responsabilità condivisa che ha caratterizzato il rollout di MiCA in tutta Europa: decentramento nell’esecuzione, convergenza nelle conclusioni.
Ruolo delle autorità nazionali competenti nella revisione
Il fatto che siano i regolatori locali a condurre le verifiche non è un dettaglio tecnico. Significa che l’esito della revisione dipenderà anche dalla capacità e dalle risorse di ciascuna autorità nazionale. La sfida è garantire che le analisi condotte in Germania, Francia, Irlanda o Cipro producano risultati comparabili e aggregabili a livello europeo — ed è precisamente per questo che ESMA coordina l’intera operazione dall’alto.
Situazione attuale dei fornitori autorizzati di servizi crypto
Il contesto in cui si inserisce questa revisione è uno dei più dinamici mai visti nella regolamentazione finanziaria europea. Nel solo inizio di luglio, Ripple ha ottenuto il 6 luglio la piena autorizzazione CASP dalla CSSF lussemburghese, abilitandola a operare nei 30 paesi dello Spazio Economico Europeo. Il registro interim di ESMA è salito a 280 provider dopo la chiusura del transitorio — rispetto ai 243 precedenti — con Standard Chartered, FalconX e Sygnum Europe tra i nuovi iscritti. Cipro ha guidato l’ultima ondata di approvazioni con sei nuovi ingressi.
Sul fronte dell’enforcement, la CNMV spagnola ha chiuso la porta a qualsiasi proroga per le piattaforme non autorizzate. Il presidente Carlos San Basilio ha dichiarato che non esistono eccezioni alla scadenza: chi non è in regola non può operare. Un segnale che la fase morbida di adattamento è definitivamente chiusa.
La revisione sulla custodia dà a ESMA la prima lettura strutturata sui controlli di resilienza da quando le aziende hanno cominciato a transitare dai registri nazionali a quello UE condiviso. I risultati del 2027 diranno se l’architettura costruita in questi anni regge davvero alla pressione operativa — o se il mercato ha ancora un problema strutturale che la licenza, da sola, non risolve.
FAQ
Su cosa si concentra la revisione ESMA sulla custodia crypto?
La revisione valuta la resilienza digitale operativa dei fornitori di servizi crypto-asset autorizzati, con focus specifico sui servizi di custodia. Copre governance, gestione delle chiavi, controlli sulle transazioni, risposta agli incidenti, rischi dei smart contract e dipendenze da fornitori terzi.
Chi conduce la revisione nei singoli Stati membri dell’UE?
Le autorità nazionali competenti effettuano revisioni basate sul rischio su un campione di fornitori autorizzati di servizi crypto-asset all’interno delle rispettive giurisdizioni, coordinandosi con ESMA per una reportistica convergente a livello europeo.
Quanti fornitori di servizi crypto-asset sono registrati sotto MiCA?
Dopo il periodo transitorio, il registro MiCA include 280 fornitori autorizzati di servizi crypto-asset.
Ripple ha ottenuto l’autorizzazione a operare sotto MiCA?
Sì. Ripple ha ricevuto la piena autorizzazione CASP dalla CSSF lussemburghese il 6 luglio 2026, ottenendo così il via libera per operare in tutti i 30 paesi dello Spazio Economico Europeo.
Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.

