Dal 1° luglio 2026 il mercato europeo delle cripto-attività entra definitivamente nella fase ordinaria del Regolamento MiCA[1]. Si chiude, infatti, il periodo transitorio previsto dall’art. 143, paragrafo 3, del Regolamento (UE) 2023/1114[2], che aveva consentito ai prestatori di servizi per le cripto-attività già operativi secondo le normative nazionali applicabili prima del 30 dicembre 2024 di continuare a operare fino al 1° luglio 2026, oppure fino al rilascio o al diniego dell’autorizzazione MiCAR, se precedente.

Da questo momento, la regola cambia radicalmente: la prestazione di servizi per cripto-attività nell’Unione Europea è riservata ai CASP[3] (Crypto Asset Services Provider) autorizzati ai sensi dell’art. 63 MiCAR[4], oppure agli intermediari finanziari già vigilati che possano prestare servizi crypto tramite il regime di notifica previsto dall’art. 60 MiCAR[5], nei limiti dei servizi consentiti.
L’art. 59 MiCAR[6] diventa così la porta d’ingresso del nuovo mercato regolato: senza autorizzazione o notifica, non vi è legittimazione a prestare servizi crypto nell’Unione.
Indice degli argomenti
Il dato italiano: otto CASP autorizzati e un intermediario bancario notificato
Nel comunicato del 30 giugno 2026, CONSOB[7], in stretto coordinamento con Banca d’Italia, ha reso noto che in Italia risultano ad oggi autorizzati 8 CASP. L’Autorità ha inoltre informato che un intermediario bancario ha effettuato la notifica alla Banca d’Italia per la prestazione di servizi per le cripto-attività.
Il dato complessivo è quindi quello di 9 soggetti abilitati: 8 CASP autorizzati e un intermediario bancario notificante.
È un numero ancora contenuto, soprattutto se rapportato alla dimensione potenziale del mercato italiano e alla platea di operatori che negli anni scorsi avevano prestato servizi crypto in base ai regimi nazionali o alle registrazioni VASP[8] (Virtual Asset Services Provider). Tuttavia, non è un dato marginale nel panorama europeo: con otto CASP autorizzati, l’Italia si colloca nella top ten degli Stati dello Spazio Economico Europeo per numero di autorizzazioni MiCAR, secondo il confronto ricavabile dai registri ESMA disponibili a ridosso della scadenza.
Questo posizionamento va letto correttamente. Non fotografa un mercato “affollato”, ma un mercato che ha superato una prima selezione regolamentare. Alcuni Stati membri hanno attirato più operatori, anche per ragioni di ecosistema preesistente o strategia di insediamento dei gruppi internazionali. Altri risultano molto meno popolati. L’Italia appare in una posizione intermedia: non hub dominante, ma giurisdizione rilevante nel nuovo mercato dei CASP conformi al regolamento MiCA.
Come verificare se un CASP può operare in Italia dal 1° luglio 2026
La verifica non deve partire dal brand, ma dalla legal entity.
È questo il primo punto che utenti, imprese e professionisti devono tenere fermo. Un marchio commerciale può essere utilizzato da più società dello stesso gruppo, stabilite in Paesi diversi e soggette a regimi differenti. Le tutele MiCAR si applicano alla specifica entità autorizzata nell’Unione, non automaticamente a ogni società che opera sotto lo stesso marchio.
La fonte primaria è il registro Interim ESMA MiCA[9] (aggiornata su base settimanale), in particolare il file relativo ai “Crypto-asset service providers”[10]. Occorre verificare che la società contrattuale sia effettivamente presente nel registro, che l’autorizzazione sia valida, che i servizi autorizzati coincidano con quelli concretamente offerti e che non vi siano revoche, withdrawal o limitazioni.
Se l’autorizzazione è stata rilasciata in Italia, la verifica riguarda soprattutto la coerenza tra legal entity, servizi autorizzati e servizio effettivamente prestato. Se invece l’autorizzazione è stata rilasciata in un altro Stato membro, occorre compiere un passaggio ulteriore: verificare che il CASP abbia attivato la procedura di prestazione transfrontaliera ex art. 65 MiCAR[11] e che l’Italia risulti tra gli Stati membri in cui il CASP intende prestare i servizi rilevanti. L’indicazione dell’Italia come host Member State[12] non equivale a una seconda autorizzazione italiana, bensì è l’evidenza del passaporto MiCAR verso il mercato italiano.
Attenzione ai soggetti “opachi”
Particolare attenzione va prestata ai soggetti che non dichiarano in modo chiaro, netto e verificabile la propria posizione rispetto a MiCAR.
Sono segnali di rischio le formule generiche come “regulated”, “registered”, “licensed”, “MiCA compliant” o espressioni equivalenti, se non accompagnate dall’indicazione della legal entity autorizzata, dell’autorità competente, della data di autorizzazione, dei servizi MiCAR effettivamente autorizzati e degli Stati membri coperti.
La stessa cautela vale quando il sito o l’app rinvia a una società del gruppo diversa da quella con cui l’utente contratta, quando l’operatività europea viene ricondotta a entità extra-UE, oppure quando la comunicazione insiste sulla continuità del servizio senza chiarire il titolo giuridico che consente di prestarlo.
Ancora più delicati sono i messaggi che, pur evocando MiCAR, evitano di affermare espressamente che l’operatore è autorizzato ai sensi del Regolamento. Formulazioni che richiamano la continuità dei servizi nell’area europea, che fanno riferimento a interventi tecnici o verifiche in corso sull’infrastruttura, oppure che assicurano un’esperienza utente senza discontinuità, possono risultare rassicuranti sul piano commerciale, ma, in assenza di una chiara e intellegibile affermazione che indichi i riferimenti ufficiali all’autorizzazione ottenuta entro il 30 giugno 2026, non sostituiscono l’evidenza regolamentare.
Dopo il 1° luglio 2026, ciò che rileva non è la promessa di continuità, ma la prova dell’autorizzazione, della notifica o, per i soli casi ammessi, della gestione ordinata del wind-down.
Per dirla con Nanni Moretti, “Le parole sono importanti”… e in un mercato ormai regolato, anche le omissioni lo sono.
Attenzione ai white paper: non sono per i CASP
Un ulteriore equivoco riguarda i white paper. La presenza di un white paper MiCA non dimostra che un soggetto sia autorizzato come CASP.
Il white paper è un documento informativo relativo all’offerta al pubblico o all’ammissione alla negoziazione di una cripto-attività; non è una licenza per prestare servizi quali custodia, esecuzione ordini, scambio, trasferimento, gestione di piattaforme, consulenza o gestione di portafogli.
Per chiarire meglio questo punto, all’avviso di chi scrive importante soprattutto per coloro che non hanno grandi conoscenze nel settore delle cripto-attività regolate dal MiCAR, diamo una definizione precisa di cosa s’intende con “offerta al pubblico o ammissione alla negoziazione di una cripto-attività”.
In MiCAR, l’“offerta al pubblico” è una comunicazione rivolta a persone, in qualsiasi forma e mezzo, con informazioni sufficienti a decidere se acquistare una cripto-attività; l’“ammissione alla negoziazione” riguarda l’accesso della cripto-attività a una piattaforma di negoziazione.
La disciplina varia per tipologia di token: per le cripto-attività diverse da ART[13] ed EMT[14] rilevano, di regola, redazione, notifica e pubblicazione del white paper; per gli ART opera il regime autorizzativo dell’emittente; per gli EMT l’emittente deve essere, salvo esenzioni, un ente creditizio o un istituto di moneta elettronica e pubblicare un white paper. In ogni caso, offerta/ammissione del token e white paper non equivalgono all’autorizzazione come CASP per prestare servizi crypto.
Per verificare il prestatore di servizi occorre guardare al registro dei CASP autorizzati, non al registro dei white paper.
Perché conta anche il semestre 1° gennaio – 30 giugno 2026
La fine del transitorio non cancella le domande sul periodo immediatamente precedente. Per gli utenti italiani, può essere rilevante capire se un operatore abbia servito legittimamente il mercato nazionale nel semestre tra il 1° gennaio e il 30 giugno 2026: ad esempio per valutare comunicazioni ricevute, restrizioni operative, ritardi nei trasferimenti, blocchi di servizio, cambi di entità contrattuale o procedure di chiusura dei rapporti.
In Italia, quella verifica è stata “OAM-centrica”[15].
Il regime transitorio nazionale riguardava le persone giuridiche regolarmente iscritte al Registro VASP OAM alla data del 27 dicembre 2024.
Per continuare a operare fino al 30 giugno 2026, tali soggetti dovevano presentare istanza di autorizzazione CASP entro il 30 dicembre 2025, in Italia o in altro Stato membro, oppure appartenere allo stesso gruppo di una società che avesse presentato tale istanza entro la medesima data. La prosecuzione era comunque possibile solo fino al rilascio o al diniego dell’autorizzazione e, in ogni caso, non oltre il 30 giugno 2026.
Ne deriva una conseguenza pratica importante: una domanda MiCAR presentata in un altro Stato membro non bastava, da sola, a dimostrare la legittimità dell’operatività in Italia. Doveva essere collegabile alla legal entity o al gruppo rilevante e risultare coerente con le condizioni del regime transitorio italiano. In assenza di evidenza OAM o di altra evidenza ufficiale equivalente, la conclusione più prudente era: posizione non verificabile.
Dal 1° luglio 2026: niente business-as-usual per i soggetti non autorizzati
L’ESMA[16] è stata chiara: dopo il 1° luglio 2026, qualsiasi entità che presti servizi per cripto-attività a clienti UE senza licenza MiCAR viola il diritto dell’Unione e deve cessare l’offerta di tali servizi. Ciò non significa, però, che ogni rapporto debba essere chiuso in modo istantaneo e disordinato. Significa che non può più proseguire il business-as-usual.
Il CASP non autorizzato deve interrompere onboarding, apertura di nuovi rapporti o account, acquisizione commerciale, marketing e sollecitazione verso clienti UE.
Può invece svolgere solo attività residuali strettamente funzionali all’uscita ordinata: vendita o trasferimento di cripto-attività, riallocazione degli asset, chiusura delle posizioni, restituzione di fondi e asset ai clienti. Anche la custodia può proseguire solo per il tempo strettamente necessario a completare l’exit ordinata.
Il wind-down[17], quindi, non è un modo per continuare l’attività sotto altra forma, ma una procedura di dismissione, che deve essere operativa, credibile, immediatamente eseguibile e coerente con gli obblighi di condotta, prudenziali e AML/CFT[18].
Gli operatori devono comunicare in modo chiaro e ripetuto ai clienti lo status autorizzativo, le modalità di trasferimento o chiusura, le tempistiche e le eventuali deadline dopo le quali le posizioni residue potranno essere chiuse automaticamente.
I rischi per l’utente che resta con un CASP non autorizzato
Il principale destinatario degli obblighi autorizzativi è l’operatore, non l’utente. Ma ciò non significa che l’utente europeo sia indifferente alla scelta del prestatore.
Restare presso un CASP non autorizzato significa esporsi a minori protezioni, maggiore incertezza contrattuale, rischio di perdita o limitazione dell’accesso agli asset, difficoltà nei trasferimenti e maggiore complessità in caso di contenzioso transfrontaliero.
Il tema della reverse solicitation
Il punto è ancora più delicato quando il servizio viene offerto da entità extra-UE. MiCAR disciplina con precisione la reverse solicitation all’art. 61[19]: l’esenzione opera solo quando il cliente stabilito o situato nell’Unione richiede il servizio di propria esclusiva iniziativa.
Se invece una third-country firm sollecita, promuove, pubblicizza o indirizza clienti o potenziali clienti nell’Unione (talora anche ingannevolmente), non può qualificare il rapporto come reverse solicitation.
La norma precisa anche che eventuali clausole contrattuali o disclaimer non prevalgono su questa valutazione.
In altre parole, la reverse solicitation non è una strategia commerciale. È un’eccezione stretta e, a parere di chi scrive, anche molto pericolosa, in particolare quando il cliente (o potenziale tale) non abbia quella sufficiente consapevolezza per discernere il falso dal vero (e non stiamo riferendoci ai celebri versi Gucciniani, rivolti ai “vecchi” …).
Un utente europeo che sceglie scientemente (almeno così si spera!) un prestatore non autorizzato, non conserva automaticamente le protezioni MiCAR solo perché residente nell’Unione. La protezione segue la legal entity autorizzata e il servizio autorizzato, non il brand, né la nazionalità del cliente.

MiCAR come filtro e presidio del mercato europeo
La fine del periodo transitorio rende evidente un aspetto che in parte era rimasto sullo sfondo: MiCAR non è stato un adempimento formale. È stato (ed è) un filtro regolamentare.
Alcuni grandi operatori hanno scelto di non avanzare alcuna richiesta di autorizzazione MiCAR. Altri hanno tentato il percorso autorizzativo, ma non sono riusciti a ottenere l’autorizzazione entro la scadenza. Altri ancora hanno dovuto ripensare la propria struttura societaria, la propria governance, i presidi AML/CFT, la custodia degli asset, la segregazione dei fondi dei clienti e la sostenibilità del modello operativo.
Questa selezione può ridurre il numero degli operatori disponibili nel breve periodo, ma rafforza la credibilità del mercato. Il passaggio dai regimi nazionali VASP a un quadro europeo autorizzativo e vigilato consente maggiore comparabilità, riduce l’arbitraggio regolamentare e rende più chiaro per gli utenti chi è responsabile del servizio prestato.
MiCAR non elimina la volatilità delle cripto-attività, né cancella i rischi tecnologici, operativi o di mercato. Ma introduce un perimetro di responsabilità: autorizzazione, vigilanza, regole di condotta, presidi prudenziali, tutela degli asset dei clienti, governance, trasparenza e procedure di uscita ordinata.
In tal senso, il Regolamento si pone come un baluardo del mercato europeo delle cripto-attività: non contro l’innovazione, ma contro l’opacità; non contro gli operatori, ma a favore di quelli che accettano di competere dentro regole comuni; non contro gli utenti, ma a protezione della loro possibilità di scegliere in modo informato.
Conclusioni: finite le prove generali
Dal transitorio alla scena regolata
La fine del periodo transitorio MiCAR non è soltanto la scadenza di un termine. È il momento in cui finiscono le prove generali e si apre la scena del mercato regolato.
Per un tempo limitato, gli operatori hanno potuto prepararsi al nuovo quadro europeo: presentare domanda di autorizzazione, rivedere strutture societarie, rafforzare la governance, adeguare i presidi AML/CFT, ripensare la custodia degli asset e predisporre procedure di tutela e uscita ordinata per i clienti.
Dal 1° luglio 2026, però, non basta più prepararsi a entrare nel nuovo regime: occorre esserci entrati.
Non basta più la promessa: serve la prova
Nel mercato post-transitorio, la posizione di un operatore non può più essere affidata a formule generiche, rassicurazioni commerciali o dichiarazioni costruite per suggerire continuità senza assumere una posizione regolamentare esplicita.
Espressioni come “licensed”, “registered”, “compliant”, “servizi disponibili nel SEE”, “nessuna interruzione per gli utenti” o “infrastruttura in fase di ottimizzazione” hanno valore solo se riconducibili a evidenze verificabili: legal entity autorizzata, registro ESMA, autorità competente, servizi coperti, eventuale passaporto verso l’Italia e, se l’autorizzazione manca, piano di wind-down limitato alle attività residuali consentite.
È questo il cambio di prospettiva più rilevante per gli utenti. La fiducia non può più essere chiesta come atto di adesione a un marchio, a un’interfaccia digitale o a una narrativa di continuità operativa. Deve essere costruita su elementi pubblici, documentali e controllabili.
Una selezione necessaria
MiCAR non elimina la volatilità delle cripto-attività, non cancella il rischio tecnologico e non garantisce il successo degli operatori. Introduce però una soglia di ingresso: chi vuole prestare servizi crypto nell’Unione deve essere identificabile, autorizzato, vigilato e responsabile.
Questa soglia non è una chiusura all’innovazione, ma una condizione per renderla sostenibile. Alcuni operatori hanno scelto di non attraversarla. Altri hanno tentato, senza riuscire a completare il percorso autorizzativo. Altri ancora hanno accettato di misurarsi con requisiti di governance, trasparenza, tutela degli asset dei clienti e continuità operativa. È in questa selezione che MiCAR mostra la propria funzione: non ridurre il mercato, ma renderlo più credibile.
Innovare dentro regole comuni
La stagione che si apre richiederà ancora coordinamento tra autorità, vigilanza effettiva e capacità di adattamento.
MiCAR non è il punto di arrivo della regolazione europea delle cripto-attività (infatti è già in corso una consultazione pubblica sul cosiddetto “MiCAR2), ma il primo vero passaggio da un mercato fondato su tolleranze nazionali e ambiguità interpretative a un mercato costruito su regole comuni.
Il messaggio, però, è già chiaro: nel mercato europeo delle cripto-attività, l’innovazione non potrà più fondarsi sull’opacità.
E, come nel motto attribuito ad Augusto, festina lente: affrettarsi, sì, ma lentamente. Innovare, sì, ma dentro regole che rendano l’innovazione sostenibile, verificabile e degna di fiducia.
Mappa degli articoli citati e definizioni chiave

Note
[1] MiCAR: Markets in Crypto-Assets Regulation, Regolamento (UE) 2023/1114, che introduce nell’Unione europea un quadro armonizzato per l’emissione, l’offerta e la prestazione di servizi relativi alle cripto-attività.
[2] Disposizione transitoria MiCAR che ha consentito ai prestatori di servizi crypto già operativi secondo il diritto nazionale applicabile di continuare l’attività fino al 1° luglio 2026, o fino al rilascio/diniego dell’autorizzazione MiCAR, se precedente.
[3] CASP: Crypto-Asset Service Provider, prestatore di servizi per le cripto-attività autorizzato ai sensi del Regolamento MiCAR a offrire servizi quali custodia, scambio, esecuzione ordini, trasferimento o consulenza su cripto-attività.
[4] Disposizione che disciplina il rilascio dell’autorizzazione come CASP, subordinandola alla presentazione di una domanda all’autorità competente dello Stato membro e alla verifica dei requisiti organizzativi, prudenziali e di governance previsti dal Regolamento.
[5] Disposizione che consente a determinati soggetti finanziari già vigilati, come enti creditizi, imprese di investimento o istituti di moneta elettronica, di prestare specifici servizi per cripto-attività previa notifica all’autorità competente, senza richiedere una nuova autorizzazione CASP ex art. 63.
[6] Disposizione che individua il perimetro autorizzativo dei servizi per cripto-attività nell’Unione europea, stabilendo che tali servizi possono essere prestati solo da CASP autorizzati ex art. 63 o da soggetti finanziari abilitati tramite notifica ex art. 60.
[7] Commissione Nazionale per le Società e la Borsa, autorità italiana di vigilanza sui mercati finanziari, competente anche per profili autorizzativi e di vigilanza sui CASP ai sensi della normativa nazionale di adeguamento a MiCAR.
[8] VASP: Virtual Asset Service Provider, operatore in valute virtuali iscritto, nel precedente regime nazionale italiano, nella sezione speciale del Registro OAM ai fini degli obblighi AML/CFT.
[9] Registro ESMA MiCA interim: registro provvisorio pubblicato da ESMA in attuazione degli artt. 109 e 110 MiCAR: l’art. 109 disciplina il registro dei white paper, degli emittenti di ART/EMT e dei CASP autorizzati; l’art. 110 disciplina il registro delle entità che prestano servizi crypto in violazione degli artt. 59 o 61 MiCAR.
[10] File “Crypto-asset service providers”: sezione del Registro ESMA MiCA interim dedicata ai CASP autorizzati, prevista nell’ambito del registro ex art. 109 MiCAR; riporta le informazioni trasmesse dalle autorità nazionali competenti, tra cui identità del CASP, autorità home, servizi autorizzati, Stati membri ospitanti ed eventuale revoca o cessazione dell’autorizzazione.
[11] Disposizione che disciplina la prestazione transfrontaliera dei servizi crypto nell’UE, imponendo al CASP autorizzato che intenda operare in altri Stati membri di comunicare all’autorità home l’elenco degli Stati ospitanti, i servizi da prestare e la data prevista di inizio attività.
[12] Host Member State: Stato membro diverso da quello di origine del CASP nel quale il prestatore intende offrire servizi crypto in regime transfrontaliero, previa procedura ex art. 65 MiCAR; per l’utente italiano, l’indicazione dell’Italia come host Member State è evidenza del passaporto MiCAR verso il mercato italiano.
[13] ART: Asset-Referenced Token, cripto-attività che mira a mantenere un valore stabile facendo riferimento a un altro valore o diritto, o a una combinazione di valori o diritti, incluse una o più valute ufficiali; si distingue dagli EMT, che mirano invece a mantenere un valore stabile facendo riferimento a una sola valuta ufficiale.
[14] EMT: e-Money Token, cripto-attività che mira a mantenere un valore stabile facendo riferimento al valore di una sola valuta ufficiale; ai sensi di MiCAR, può essere emesso, salvo specifiche eccezioni, solo da enti creditizi o istituti di moneta elettronica.
[15] OAM: Organismo Agenti e Mediatori, ente che gestisce in Italia — tra gli altri — anche il Registro degli operatori in valute virtuali; nel passaggio da VASP a CASP ha avuto un ruolo centrale per la verifica del regime transitorio nazionale previsto in attesa dell’autorizzazione MiCAR.
[16] ESMA: European Securities and Markets Authority, autorità europea degli strumenti finanziari e dei mercati; nell’ambito MiCAR pubblica il registro MiCA interim, coordina la convergenza di vigilanza tra autorità nazionali e adotta orientamenti, Q&A e statement applicativi sul mercato delle cripto-attività.
[17] Wind-down: processo di uscita ordinata dal mercato o da una determinata attività, volto a chiudere rapporti, trasferire asset, restituire fondi e gestire le posizioni dei clienti senza una prosecuzione ordinaria del servizio.
[18] AML/CFT: Anti-Money Laundering / Countering the Financing of Terrorism, insieme dei presidi di prevenzione del riciclaggio e del finanziamento del terrorismo, inclusi adeguata verifica della clientela, monitoraggio delle operazioni, segnalazione di operazioni sospette, conservazione dei dati e controlli su sanzioni e liste restrittive.
[19] Disposizione che disciplina la prestazione di servizi crypto da parte di imprese di Paesi terzi su iniziativa esclusiva del cliente UE; l’eccezione di “reverse solicitation” opera solo se il servizio è richiesto dal cliente senza sollecitazione, promozione o pubblicità nell’Unione, e non può essere aggirata tramite clausole contrattuali o disclaimer.


Partecipa alla community