Servizio di custodia di asset virtuali: San Marino, attraverso il DD 87 del 2021, ha normato la delicata materia finanziaria. Rimandando il lettore al pdf integrale (scaricabile sul sito del Consiglio Grande e Generale), ci soffermiamo sui punti salienti del documento.
La prestazione è riservata alle banche autorizzate (ai sensi della Legge 17 novembre 2005 n. 165 e successive modifiche, a seguito di specifica autorizzazione della Banca Centrale) a prestare in via accessoria tale servizio, rilasciata ai sensi del DD e del Regolamento attuativo.
La Banca Centrale può revocare l’autorizzazione a prestare il servizio di custodia di asset virtuali nei casi in cui la banca:
a) non si serve dell’autorizzazione entro 18 mesi dalla data di rilascio dell’autorizzazione;
b) ha cessato di prestare, da più di 12 mesi, il servizio autorizzato;
c) ha ottenuto l’autorizzazione prestando false dichiarazioni o con qualsiasi altro mezzo irregolare;
d) non soddisfa più i requisiti cui è subordinato il rilascio dell’autorizzazione e non ha adottato entro 6 mesi le azioni correttive richieste dalla Banca Centrale ovvero non informa la Banca Centrale di cambiamenti rilevanti riguardanti tali requisiti;
e) ha violato in modo grave e sistematico le disposizioni di cui al presente decreto delegato o alla relativa regolamentazione attuativa ovvero le pertinenti disposizioni in materia di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo;
f) è stata oggetto di provvedimento di revoca dell’autorizzazione a esercitare attività riservate (ai sensi della Legge 17 novembre 2005 n. 165).
REGISTRO DELLE BANCHE
È istituito presso la Banca Centrale il registro delle banche autorizzate a prestare il servizio di custodia di asset virtuali. Il registro è tenuto in modo informatizzato e reso disponibile al pubblico. La formazione e il contenuto del registro, le modalità di iscrizione e cancellazione dallo stesso, nonché ogni altro aspetto relativo alla tenuta del medesimo, sono disciplinati dalla Banca Centrale nell’ambito del regolamento attuativo.
IDONEITÀ TECNICA
Le banche che intendono richiedere autorizzazione alla Banca Centrale per la prestazione in via accessoria del servizio di custodia di asset virtuali devono produrre un attestato di idoneità tecnica rilasciato dall’Istituto per l’Innovazione ed esteso anche alla valutazione delle eventuali esternalizzazioni di funzioni operative. L’organo amministrativo della banca che intende prestare il servizio di custodia di asset virtuali deve:
a) nominare un responsabile del servizio, che possieda competenze, conoscenze ed esperienze necessarie per un’adeguata prestazione del servizio di custodia;
b) definire sistemi operativi e procedure per salvaguardare la sicurezza, l’integrità e la riservatezza delle informazioni relative alla prestazione del servizio;
c) definire sistemi operativi e procedure di salvaguardia e conservazione dei dati e delle registrazioni relative al servizio di custodia e alle attività accessorie e/o strumentali ad esso;
d) definire una politica di continuità operativa e relative misure, nonché piani di disaster recovery volti a garantire la conservazione di dati e la regolarità nella prestazione del servizio, ovvero, qualora ciò non sia possibile, il recupero tempestivo di tali dati e la tempestiva ripresa del servizio;
e) definire un piano di controlli interni e riesami periodici dei sistemi e delle procedure messe in atto per ottemperare agli obblighi di cui al presente decreto delegato e della relativa regolamentazione attuativa e adottare misure adeguate per rimediare a eventuali carenze.
L’Istituto per l’Innovazione, anche ai fini del rilascio dell’attestato di idoneità tecnica, valuta altresì la conformità della banca ai requisiti e può emettere, sentita la Banca Centrale, apposita regolamentazione atta a definire la disciplina specifica in materia di requisiti tecnici applicabile al servizio di custodia di asset virtuali, anche in caso di ricorso ad outsourcer. Ai fini del mantenimento dell’autorizzazione a prestare il servizio di custodia di asset virtuali, le banche devono trasmettere alla Banca Centrale un attestato di idoneità tecnica aggiornato, rilasciato dall’Istituto per l’Innovazione ogni qualvolta intervengano variazioni significative e comunque non oltre 2 anni dal precedente invio.
ESTERNALIZZAZIONE
Le banche che prestano il servizio di custodia di asset virtuali e che per lo svolgimento di funzioni operative ricorrono ad outsourcer devono adottare tutte le misure necessarie per assicurare un efficace presidio dei rischi operativi aggiuntivi, restano pienamente responsabili dell’adempimento di tutti i loro obblighi ai sensi del presente decreto delegato e della regolamentazione attuativa e garantiscono in ogni momento che tutte le seguenti condizioni siano rispettate:
a) l’esternalizzazione non implica alcun esonero o limitazione di responsabilità della banca;
b) l’esternalizzazione non incide sul rapporto tra la banca e i clienti, né sugli obblighi derivanti da tale rapporto;
c) la banca conserva le competenze e le risorse necessarie per valutare la qualità dei servizi forniti, per controllare efficacemente i servizi esternalizzati e per gestire i rischi associati all’esternalizzazione su base continuativa;
d) la banca ha accesso diretto alle informazioni pertinenti ai servizi esternalizzati;
REGOLAMENTO ATTUATIVO
La Banca Centrale, con apposito regolamento, stabilisce:
a) le modalità e i tempi di verifica dei requisiti;
b) la disciplina sul procedimento autorizzativo, comprensiva dei casi di sospensione;
c) le possibili cause di sospensione dell’autorizzazione e le procedure connesse;
d) i contenuti e le modalità di tenuta e aggiornamento del registro;
e) le caratteristiche e l’importo minimo della copertura assicurativa;
f) le procedure di segnalazione degli incidenti informatici.
Le banche che prestano il servizio di custodia di asset virtuali in regime di separazione patrimoniale devono adottare pertanto procedure adeguate per salvaguardare i diritti di proprietà dei clienti.
