Gli errori della Consob sul fintech: intervista agli esperti legali

Intervista a Giulia Aranguena, partner di GIM Legal, e Alessandro Lerro, partner di Avvocati.net, sulla regolamentazione del fintech in Italia.
consob fintech

Il tema della legislazione del fintech in Italia è stato sollevato lo scorso 14 giugno dal presidente della Consob, Paolo Savona, durante il suo incontro annuale con il mercato. Savona è preoccupato dal mercato dei prodotti monetari e finanziari virtuali e ha chiesto una maggiore regolamentazione di fintech e criptovalute. Ma quanto sono disciplinati oggi dalla legge? Lo abbiamo chiesto a due avvocati esperti di fintech: Giulia Aranguena, partner di GIM Legal e Alessandro Lerro, partner di Avvocati.net.

Quali sfide pone il fintech al legislatore, in un’ottica di tutela del risparmio?

Giulia Aranguena

Il principio della tutela del risparmio, garantito dall’art. 47 della Costituzione, è sicuramente uno degli snodi critici su cui si deve concentrare il legislatore. Le trasformazioni in atto stanno spingendo un numero crescente di privati ed imprese a ricercare prodotti e servizi finanziari alternativi, spesso caratterizzati da un elevato tasso di innovazione ma anche di rischio.

Tutta l’informatica finanziaria, come il Prof. Savona ha recentemente avuto modo di affermare, è “una lampada prodigiosa dalla quale è uscito il Genio”, specie degli strumenti virtuali, che attirano con sempre più investitori. Ma, dato il notevole tasso di complessità, c’è il rischio di prendere decisioni senza sapere cosa siano e cosa comportino questi nuovi tipi di investimento. Inoltre, il processo continuo e rapidissimo di innovazione comporta che alcuni provider possano trovarsi ad operare per un lungo periodo al di fuori del perimetro regolatorio.

L’inquadramento di questi nuovi business in una legislazione ordinaria spesso è tutt’altro che agevole. Ma la possibilità per il consumatore di perdere i propri risparmi senza delle forme di tutela rappresenta sicuramente lo scenario peggiore.

Alessandro Lerro

Pur essendo possibile avvalersi di consulenza finanziaria qualificata, tendenzialmente il fintech consente all’investitore di disintermediare i processi di investimento, valutando da solo opportunità per le quali potrebbe non avere una adeguata formazione finanziaria o restare vittima di suggestione determinata dal contesto informale di comunicazione, spesso correlato ai social media.

Trattandosi di un mercato globale, che per la sua componente “tech” si muove con il web, l’approccio normativo deve essere necessariamente di ampio respiro e quindi quantomeno su scala comunitaria. Sarebbe però logico se l’approccio fosse ampiamente condiviso, come è avvenuto in quasi tutti i Paesi del mondo per la lotta al riciclaggio e al finanziamento del terrorismo, onde evitare arbitraggio regolatorio e zone franche che determinerebbero squilibri competitivi. Inoltre, la sfida consiste anche nel riuscire a sfruttare adeguatamente le possibilità che le nuove tecnologie possono offrire, ad esempio a livello informativo, riuscendo a trasmettere istantaneamente dati e analisi a un livello quantitativo e qualitativo impossibile in precedenza.

Se quindi si pongono al legislatore nuovi problemi, allo stesso tempo è possibile utilizzare nuovi strumenti per contenerli, consentendo di allargare le maglie in alcuni ambiti, dei quali se ne favorisce in tal modo la crescita.

Cosa è stato regolamentato il fintech finora?

Giulia Aranguena

Negli ultimi anni il legislatore, sia europeo che italiano, ha emesso una notevole quantità di atti normativi per disciplinare il settore fintech.

La Commissione Europea ha scelto di muoversi su due direttrici principali: la strategia in materia di finanza digitale (Digital Finance Strategy) e la strategia europea in materia di pagamenti al dettaglio (Retail Payments Strategy).

Nel primo settore, l’iniziativa normativa si concentra in due proposte: il regolamento relativo ai mercati delle cripto-attività (Proposal for a Regulation on Markets in Crypto-assets – MiCAR) e quello sulla resilienza operativa digitale nel settore finanziario (Proposal for a Regulation on digital operational resilience for the financial sector - DORA).

Il principale atto normativo della Retail Payments Strategy è sicuramente la seconda direttiva europea sui servizi di pagamento: la PSD2. Quest’ultima è l’emblema delle difficoltà del legislatore nello stare al passo con le innovazioni del mercato: è entrata pienamente in vigore alla fine del 2020, ed è già programmata la revisione nel 2021.

Oltre alle normative di settore, però, le imprese fintech sono soggette a numerose altre disposizioni normative europee, tra cui il Regolamento generale sulla protezione dei dati (GDPR) e la V° Direttiva Antiriciclaggio (AML V). Anche il legislatore nazionale si è mosso, ad esempio con l’introduzione, avvenuta con il D.L. 34/2019 (cd. “Decreto Crescita”) dello strumento della “sandbox regolamentare” per le imprese del settore creditizio, finanziario ed assicurativo.

Si tratta di un regime legislativo transitorio, gestito dal Ministero dell’Economia e delle Finanze, di durata non superiore ai 18 mesi, che permette alle imprese di testare prodotti e servizi innovativi senza doversi conformare totalmente alla normativa vigente, mantenendo uno stretto rapporto con le autorità di vigilanza. Inoltre, con il D.L. 76/2020 (cd. “Decreto Semplificazioni 2020”) il legislatore ha provato a rendere più agevole l’utilizzo di strumenti digitali come lo SPID per l’accesso ai servizi bancari. Si tratta di un corpus normativo imponente, che, paradossalmente, si rivela spesso incompleto o lacunoso davanti alle nuove metodologie e servizi del fintech.

Alessandro Lerro

Il primo settore accuratamente disciplinato è quello dei servizi di pagamento, nel quale la disciplina PSD2 è ormai piuttosto consolidata, nonostante rimanga in parte poco attuata dal mercato (ad es. in Italia sono presenti relativamente pochi soggetti AISP e PISP). Poi è stata definita la disciplina del crowdfunding per il business, che in U.E. aveva lasciato spazio ad almeno 4 diversi framework normativi nazionali.

ESMA ed EBA stanno completando i 14 sub-regolamenti, ma da novembre il mercato unico del crowdfunding, che ormai vale diversi miliardi all’anno, sarà una realtà. Questo consentirà agli operatori italiani di contare su un bacino di potenziali investitori estremamente più ampi. Ma ci sono diversi altri campi in cui il fintech occupa un ruolo più o meno rilevante e che sono già stati, almeno in parte, regolamentati: ad esempio, l’offerta di mini-bond su portali di equity crowdfunding, oppure la consulenza automatizzata mediante robo-advisor (disciplinata dalla MiFID II).

Quali aspetti non sono stati ancora regolamentati e quali lo sono meno?

Giulia Aranguena

Le imprese fintech sono soggette ad un quadro regolatorio molto pesante, che va dagli obblighi privacy del GDPR all’autenticazione forte del cliente (SCA), dalla normativa antiriciclaggio a quella sull’attività transfrontaliera. Paradossalmente, gli aspetti attualmente meno regolamentati in Italia sono quelli relativi a reti a registri distribuiti (DLT o blockchain) e cripto-asset.

Il D.L. 135/2018, (cd. “Decreto Semplificazioni 2019”), all’art. 8-ter, aveva fornito una definizione sia delle tecnologie basate su registri distribuiti che degli smart contract. Ma la norma purtroppo rimanda all’Agenzia per l’Italia digitale (AGID) l’individuazione degli standard tecnici necessari, tuttora mai varati. Così la legge è rimasta lettera morta e alcuni imprenditori hanno abbandonato il nostro ordinamento per trasferirsi altrove, nonostante lo sforzo e il dispendio di attività istituzionale nell’elaborazione di una Strategia Nazionale Blockchain. Il regime di licenza/autorizzazione per i VASP (Virtual Asset Service Provider) manca all’appello dal 2017.

Tale perdurante vuoto non giova affatto agli investimenti, abilita altre autorità estere ad applicare contro le nostre imprese dumping regolatorio richiedendo autorizzazioni locali, lascia gli utenti privi di adeguate protezioni e danneggia le imprese, che non sono lasciate competere come si deve le nostre imprese su un settore molto ricco come le cripto-valute.

Un esempio virtuoso, invece, viene da Paesi come il Liechtenstein o come la stessa Repubblica di San Marino, dove hanno legiferato in materia di cripto-asset tenendosi a distanza dallo scivoloso terreno delle definizioni, e guardando solo alla tecnologia sottostante e alle sue applicazioni pratiche.

Alessandro Lerro

Il settore meno regolamentato al momento è quello delle cripto-attività, per il quale la proposta della Commissione (Prop. Regolamento MiCA) è peraltro lacunosa e deficitaria di interi settori; il nuovo regolamento, infatti, non si occupa della c.d. finanza decentralizzata (DeFi), un settore in crescita a un ritmo incredibile, lasciando fuori i token più capitalizzati al mondo, ovvero Bitcoin e ETH (i quali congiuntamente hanno di recente superato i 1.000 miliardi di euro di capitalizzazione), dove manca un soggetto emittente e quindi presenta notevoli difficoltà di regolamentazione. MiCA cerca di regolamentare gli exchange e i fornitori di specifici servizi per le cripto-attività (come i servizi di custodia), ma manca della necessaria specificità per il DeFi. Un altro ambito ignorato dal MiCA sono gli NFT, i Non-Fungible Tokens, i quali sono citati solo per escluderli dell’obbligo di pubblicazione del white-paper, mentre sarebbe opportuno prendere atto della crescita del settore e regolamentarlo.

Questo regolamento è particolarmente necessario e urgente a fronte delle differenti normative parziali che molti stati membri stanno adottando per rendersi appetibili per le aziende del settore crypto e posizionarsi strategicamente nel mercato futuro; ad esempio, dal 1° luglio gli spezialfunds tedeschi potranno investire in cripto-attività il 20% dei fondi gestiti, il che significa che la Germania potrà investire in questo mercato circa 240 miliardi di euro; una volta che il MiCA entrerà in vigore, gli attori istituzionali di tutta Europa avranno la fiducia nella stabilità normativa necessaria per procedere anch’essi con investimenti significativi nel settore, aprendo all’Europa un mercato enorme. Poi ci sono alcuni profili di impianti normativi consolidati che richiedono una rilettura per le esigenze del fintech e per le sue peculiari caratteristiche operative; mi riferisco alle norme concernenti le operazioni dei consumatori on-line, l’on-boarding sulle piattaforme fintech, alcuni aspetti dell’adeguata verifica ai fini anti-riciclaggio e anche alcuni aspetti del GDPR concernenti sia la registrazione dei dati delle persone fisiche che i processi delle società con partecipazioni ampiamente diffuse tra il pubblico.

Quali novità sono in arrivo per il fintech in termini legislativi?

Giulia Aranguena

Le maggiori novità normative per il fintech provengono dall’Europa, in primis la proposta MiCAR, che dovrebbe entrare in vigore solo nel 2023. D’altro canto, nelle intenzioni della Commissione Europea, i criteri ESG (environmental, social and governance) riguarderanno soprattutto il settore dei servizi finanziari e degli investimenti e quindi, a cascata, anche le imprese fintech. Inoltre, è possibile che siano varati nuovi interventi normativi a corollario del programma Next Generation EU, sotto forma di incentivi fiscali o di semplificazioni di passaggi burocratici.

Alessandro Lerro

La Commissione Europea ha definito un’agenda precisa, con il Digital Finance Package che in tre anni potrebbe completare almeno una prima definizione normativa di alcuni dei settori più critici del fintech: dopo il crowdfunding saranno disciplinati alcuni tipi di criptoattività (Regolamento MICA), la resilienza digitale, cioè la capacità a resistere a fenomeni distorsivi, eventi calamitosi, reati informatici (Regolamento DORA), il processo di onboarding dei consumatori sulle piattaforme finanziarie.

Inoltre, alcuni profili della proposta di regolamento sull’intelligenza artificiale influenzeranno il fintech (ad es. il robo-advisory ed i processi bottizzati), ma occorre fare attenzione ad una corretta qualificazione del fenomeno, poiché spesso si qualifica come intelligenza artificiale quella che è solo una buona capacità computazionale.

La BCE in passato ha proposto la creazione di una CBDC (Central Bank Digital Currency, o cryptoeuro). Cosa ne pensa?

Giulia Aranguena

Il tema delle Central Bank Digital Currencies è indubbiamente tra i più dibattuti e studiati nel settore, sia in Europa che negli Stati Uniti, ma il capofila dell’adozione massiva delle CBDC è sicuramente la Cina.

La Banca dei Regolamenti Internazionali ha recentemente lanciato un appoggio molto chiaro della tecnologia, quindi, a mio parere, è solo questione di tempo prima che essa abbia un vero impatto sul mercato globale. Con riguardo all’euro digitale, sebbene la BCE abbia recentemente pubblicato i risultati di una consultazione pubblica in materia, non ha ancora avviato una fase formale di studio, per cui siamo ancora molto lontani da una fase di test concreti. Intanto alcuni Stati stanno procedendo autonomamente: la Banca di Francia ha concluso da poco un esperimento in cui veniva simulata l’emissione di una propria CBDC su blockchain pubblica; la Svezia ha già avviato i test pratici della propria “e-krona”.

L’obiettivo di queste iniziative è arginare la proliferazione delle valute virtuali private soprattutto delle stablecoin. Un’ulteriore frammentazione del quadro europeo non è un segnale incoraggiante, data la complessità e l’importanza della sfida che ci attende.

Alessandro Lerro

Numerose banche centrali, incluse la Federal Reserve e la People’s Bank of China, hanno annunciato il progetto di valute nazionali digitali, e anzi una forma di yuan digitale è stato anche testato a partire da ottobre 2020, ma su numeri di utenti modesti (circa mezzo milione). Ma nessuno ancora ha certezza in questa campo; ci sono numerosi opzioni allo studio, ed è difficile formarsi un’opinione quando non si conosce la forma esatta della CBDC in commento.

Sicuramente si tratta di una reazione alla decentralizzazione delle criptovalute, che incute timore agli organi deputati al controllo della moneta di Stato. Non per nulla proprio nelle ultime settimane la Cina ha intensificato la sua campagna contro le criptovalute, vietando le attività di mining (che in Cina era il primo al mondo per volumi), forse anche in vista di una futura introduzione dello yuan digitale. Tuttavia, hanno così causato lo spostamento delle società (miliardarie) di mining negli Stati Uniti e in stati dove il costo energetico è particolarmente basso (es. Kazakistan), e questi stati ospiti godranno probabilmente in futuro di un significativo vantaggio tecnologico nella validazione di blockchain.

Un tema molto discusso delle CBDC riguarda poi i conti correnti e la privacy, dato che molti ritengono che solo le banche centrali emittenti sarebbero effettive depositarie dei conti correnti in CBDC, e le banche tradizionali probabilmente uscirebbero da questo mercato o vi agirebbero in delega. Insomma, quando si parla di CBDC si parla della risposta alla decentralizzazione, ma ancora non si conosce quale forma prenderà esattamente.

Cos’è uno smart contract? Come è regolamentato oggi in Italia?

Giulia Aranguena

Il noto informatico (e giurista) Nick Szabo, all’inizio degli anni ‘90, per primo definì gli smart contract come “un set di promesse, specificate in forma digitale, che includono protocolli all’interno dei quali le parti eseguono tali promesse”, identificando i distributori automatici come loro primo antenato.

Il già citato Decreto Semplificazioni 2019, all’articolo 8-ter, c.2, definisce uno smart contract come “un programma per elaboratore che opera su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti delle stesse”. La norma, però, precisa che spetta ad AGID precisare le linee guida da adottare affinché gli smart contract possano soddisfare il requisito della forma scritta, previa identificazione informatica delle parti.

Ma queste linee guida non sono state ancora pubblicate, per cui la norma è rimasta totalmente inattuata. Inoltre, la legge non prevede rimedi in caso di errori nella traduzione in linguaggio informatico della volontà contrattuale. Questo, a mio parere, rappresenta un nodo di fondamentale importanza per una futura, e si spera compiuta, regolamentazione del fenomeno.

Alessandro Lerro

Nonostante il nome possa trarre in inganno, si tratta di programmi volti ad automatizzare l’esecuzione di specifici task secondo un insieme di regole preimpostate. I passaggi di quest’esecuzione sono validati mediante una blockchain, e questo dovrebbe renderli trustless. A livello normativo italiano, esiste solo una definizione (nell’articolo 8-ter del D.L. 14 dicembre 2018, n. 135) e una previsione sul requisito della forma scritta, che viene soddisfatto con un processo d’identificazione informatica delle parti.

Dunque, manca totalmente una reale disciplina del fenomeno, ma ciò è comprensibile perché se ci fosse non potrebbe prescindere dalla disciplina delle cripto-attività, e mancando quest’ultima è molto difficile regolare adeguatamente gli smart contract.

Il Presidente di Consob, Paolo Savona, lo scorso 14 giugno ha fatto appello a una regolamentazione europea del fintech, ma se i tempi fossero lunghi, ha suggerito al legislatore italiano a intervenire in autonomia. Quale soluzione ritiene migliore?

Giulia Aranguena

In primis mi sento di sottolineare come le imprese fintech debbano agire in assoluta ottemperanza delle normative europee ed italiane, se non vogliono incorrere in profili di responsabilità civili e penali. D’altro canto, con particolare riferimento ai criptoasset, più refrattari alla regolamentazione, assistiamo a una proliferazione quasi giornaliera di progetti che potrebbero nascondere rischi finanziari per gli utenti.

In attesa dell’entrata in vigore della MiCAR, il nostro Paese potrebbe prendere a modello legislazioni più lungimiranti, in particolare la “Legge sui Token” del Liechtenstein. In questo modo, l’Italia potrebbe essere già pronta al recepimento della MiCAR, incardinata tramite un regolamento, che per definizione va poi implementato nei singoli ordinamenti nazionali.

Inoltre, potrebbero svilupparsi competenze ed imprenditorialità di cui il nostro Paese potrebbe sicuramente beneficiare, mentre esse, al momento, preferiscono la fuga all’estero.

Alessandro Lerro

Dal discorso del Presidente si evince una decisa preferenza per un intervento nazionale ed una certa sfiducia, già precedentemente manifestata, nei confronti dell’ormai consolidato approccio europeista, oltre che una visione un po’ sommaria del settore delle cripto-attività, caratterizzata da una strategia fortemente interventista. Si tratta di un approccio che si pone in conflitto frontale con il mercato e che richiederebbe una verifica politica oltre che un immediato sforzo negoziale per definire in modo condiviso approcci e priorità, a cominciare dalle tassonomie.

A titolo personale ritengo che un approccio normativo autarchico sia incompatibile con le caratteristiche del settore, e soprattutto con la decentralizzazione. Ritengo anche del tutto impensabile pretendere che organizzazioni straniere valorizzate miliardi di dollari, talora anche di natura pubblica, consegnino chiavi di accesso informatiche agli indirizzi degli utenti ad autorità nazionali a fini di vigilanza prudenziale, come prospettato nel discorso.