Entro il 1° luglio 2026, ogni azienda che fornisce servizi di crypto-asset nell'UE deve avere un'autorizzazione MiCA CASP. Non ci sono esenzioni o proroghe. Quanti operatori la otterranno è un'altra storia.
Pochi, dai numeri attuali. Dalla primavera 2026, circa 130-140 CASP hanno ricevuto l'autorizzazione MiCA completa in tutti i 27 stati membri dell'UE. Centinaia di aziende che operavano legalmente con le vecchie registrazioni VASP nazionali sono ancora in attesa o non hanno mai presentato domanda. L'Italia aveva oltre 150 registrazioni VASP; la Francia 104. Praticamente nessuna si è convertita.
Il problema non è solo un backlog. I requisiti MiCA sono stati scritti per banche e intermediari finanziari regolamentati, non per startup crypto. Un exchange da 5 miliardi di euro e un wallet gestito da 10 persone affrontano le stesse richieste di capitale, governance e ICT. È questa parità a far fallire la maggior parte delle domande.
Tre classi di servizi, tre livelli di capitale minimo#
L'articolo 67 della MiCA collega il capitale ai servizi offerti. Ci sono tre classi e il capitale minimo dipende dalla classe in cui opera l'azienda:
La Classe 1 copre consulenza e ricezione e trasmissione di ordini. Capitale minimo: 50.000 euro. Niente exchange, niente custodia. Qui rientrano chi offre informazioni o segnali di mercato.
La Classe 2 aggiunge lo scambio di criptovalute contro valute fiat e altri asset, l'esecuzione di ordini cliente e il collocamento. Capitale minimo: 125.000 euro. Piattaforme di trading spot, OTC desk e aggregatori stanno in questa classe.
La Classe 3 aggiunge la custodia e amministrazione di criptovalute per i clienti. Capitale minimo: 150.000 euro. Se detieni le chiavi private dei clienti, gestisci un portafoglio custodiale o amministri le loro posizioni, sei Classe 3.
I numeri sembrano bassi. Non lo sono, per due motivi.
Il capitale deve stare in bilancio come fondi propri regolamentari, non come capitale circolante o depositi clienti. Deve essere segregato e disponibile all'autorità di vigilanza su richiesta. Per una startup, bloccare 125.000-150.000 euro in modo permanente è un vincolo serio.
L'articolo 67(1)(b) aggiunge un vincolo: il capitale deve essere almeno un quarto delle spese generali fisse dell'anno precedente. Un'azienda con 600.000 euro di spese annuali ha bisogno di 150.000 euro indipendentemente da cosa fa. Crescere significa che il calcolo basato sulle spese supera il minimo della classe senza che il prodotto cambi.
Passare da una classe all'altra non è semplice. Un'azienda di Classe 2 che aggiunge la custodia ha bisogno di una nuova valutazione di vigilanza per la Classe 3. I servizi nuovi non possono partire mentre l'autorizzazione è in corso.
La maggior parte delle aziende crypto che costruiscono un prodotto completo—exchange più custodia—sono Classe 3 dal primo giorno, anche se la custodia non genera ricavi. Se lasci che gli utenti mantengano un saldo dopo un'operazione, stai fornendo custodia. Il minimo di 150.000 euro e tutta la governance della Classe 3 si applicano da subito.
La governance non è una casella da spuntare—l'articolo 68 significa struttura reale#
Il capitale è il prezzo di ingresso. Gli articoli 68-71 decidono se la domanda passa davvero.
L'articolo 68 richiede che i vertici aziendali abbiano "reputazione sufficientemente buona" e "adeguate conoscenze, competenze ed esperienza" rispetto alla complessità del CASP. Le autorità di vigilanza vogliono almeno un amministratore residente nello SEE che effettivamente lavora nell'UE. Volare solo per le riunioni del consiglio non regge presso la Banca della Lituania, l'AFM o BaFin.
Le regole tecniche ESMA secondo l'articolo 68 richiedono che le funzioni di controllo interno abbiano proprietari nominati, ambiti di responsabilità documentati e indipendenza strutturale verificata. Il modello delle tre linee di difesa è obbligatorio. Una funzione di compliance che risponde al COO—che gestisce anche i ricavi e lo sviluppo del business—non passa il test di indipendenza presso la maggior parte delle autorità. Il Responsabile della Compliance deve rispondere al consiglio, non alle operazioni.
Ogni responsabile di funzione chiave riceve una valutazione di idoneità: CEO, CFO, Responsabile della Compliance, MLRO. In molte giurisdizioni anche il Responsabile IT e il Responsabile della Custodia. Ogni persona deve presentare storia professionale, qualifiche e controllo penale. Se uno fallisce, la domanda si blocca.
Gli articoli 69-71 aggiungono: una procedura di reclamo con tempi e escalation definiti; chiarezza nella comunicazione ai clienti; una politica scritta su conflitti di interesse con revisione periodica dal consiglio.
L'MLRO deve essere una posizione dedicata e nominata, distinta dal CCO, con accesso al consiglio e autorità per presentare rapporti di attività sospette in modo indipendente. La maggior parte degli stati membri dell'UE lo richiede così. Non puoi affidarlo a un consulente esterno a contratto — deve essere un dipendente assunto a libro paga.
Non è difficile da capire, ma costruirlo da zero prende almeno sei mesi. L'NCA verifica che funzioni davvero, non solo che i documenti di policy esistano.
La maggior parte dei nuovi operatori guarda come ItisPay lo risolve senza licenza piuttosto che spendere un anno a costruire un'intera struttura di conformità prima di sapere se l'NCA la approverà.
ICT e DORA: la parte tecnica che quasi tutti sottovalutano#
Dal 17 gennaio 2025, i CASP regolamentati da MiCA devono rispettare anche il Digital Operational Resilience Act (DORA). MiCA richiede un framework di sicurezza ICT come condizione di autorizzazione. DORA specifica cosa deve contenere.
Nella domanda MiCA devi presentare:
- Un framework di gestione dei rischi ICT con procedure scritte per identificare, proteggere, rilevare, rispondere e recuperare da incidenti
- Procedure per rilevare, classificare e segnalare gli incidenti ICT. Quelli importanti vanno segnalati all'NCA entro poche ore dal rilevamento
- Un piano di continuità operativa, testato ogni anno
- Un registro dei rischi di terze parti per ogni fornitore e provider cloud significativo, con un piano di uscita scritto per ciascuno
- Simulazioni di risposta agli incidenti secondo un calendario definito
Se sei un CASP "significativo" secondo le soglie dell'NCA, gli Articoli 24–27 di DORA ti richiedono un Test di Penetrazione Guidato dalle Minacce ogni tre anni, con un provider esterno approvato. Il primo TLPT — scoping, esecuzione, rapporto di remediation — costa tra i 30.000 e gli 80.000 euro.
Costruire un framework ICT conforme a DORA da zero prende sei-dodici mesi. L'NCA non vuole template di policy; vuole una struttura che funziona davvero. Controllano i registri dei test e i log degli incidenti. Se arrivi con documentazione ma senza prove operative, ti rispingono al primo ciclo di revisione.
I requisiti di terze parti colpiscono soprattutto le aziende crypto che usano il cloud. Ogni dipendenza significativa — hosting, KYC, dati blockchain, custodia — ha bisogno di due diligence documentata, diritti di audit nel contratto e un piano di uscita scritto. Se non puoi provare una via d'uscita credibile da AWS, Google Cloud o Fireblocks, non superi la soglia di concentrazione di DORA.
Paese per Paese: I Tempi Non Sono Uguali#
MiCA è a livello dell'UE. L'autorizzazione avviene a livello nazionale, e i tempi variano significativamente tra gli stati membri.
La Lituania è la più veloce. La Banca di Lituania completa l'autorizzazione CASP in sei mesi, a volte meno con documentazione pulita. Il periodo di grandfathering è terminato il 1° gennaio 2026. Qualsiasi azienda ancora in funzione con status transitorio lì è già esposta. Per domande presentate entro febbraio 2026 con documentazione completa, la Lituania è l'unica giurisdizione che potrebbe teoricamente fornire una licenza prima di luglio.
I Paesi Bassi sono il secondo hub. L'AFM ha emesso le prime licenze MiCA il 30 dicembre 2024 e aveva autorizzato 26 CASP all'inizio di maggio 2026. L'elaborazione richiede da nove a dodici mesi. I requisiti sono rigorosi: sede registrata, personale locale effettivo, vera presenza operativa. Le strutture di facciata vengono rifiutate.
BaFin è la più rigorosa. L'elaborazione richiede da dodici a ventiquattro mesi. Una domanda completa per BaFin supera di solito le 200 pagine prima del primo ciclo di feedback. La Germania ha autorizzato 53 CASP a partire da maggio 2026, una cifra che riflette il suo settore finanziario consolidato, non una scorciatoia per i nuovi operatori. Senza vera sostanza operativa in Germania, una domanda BaFin è un progetto di diversi anni.
Francia (AMF) e Italia (Banca d'Italia / Consob) richiedono da dodici a diciotto mesi. Malta (MFSA) ha pubblicato una guida dettagliata alle regole MiCA a marzo 2025 e si posiziona come favorevole alle fintech, anche se i volumi di autorizzazione rimangono inferiori ai tre mercati principali.
Per i team che non hanno ancora presentato domanda, il quadro è chiaro: nessuna giurisdizione emette un'autorizzazione CASP prima del 1° luglio 2026 a meno che la domanda non sia già in revisione avanzata presso l'autorità competente nazionale. La finestra si è chiusa ovunque, tranne marginalmente in Lituania.
Polonia: Il Divario Normativo Aperto#
La Polonia è una storia diversa. Il 1° dicembre 2025, il presidente Karol Nawrocki ha posto il veto alla Legge sul mercato delle criptovalute, la normativa che la Polonia aveva bisogno di approvare per implementare l'autorizzazione CASP di MiCA a livello nazionale.
Le obiezioni erano specifiche. L'ufficio del presidente ha segnalato una disposizione che consente al KNF di bloccare unilateralmente i siti web VASP e un'altra che consente al KNF di congelare i conti di criptovalute per un massimo di 96 ore nei casi di insider trading, estendibili a sei mesi senza supervisione giudiziaria preliminare.
Il risultato: nessuna autorità competente in Polonia attualmente accetta domande CASP. Le aziende che operano con la registrazione VASP pre-MiCA della Polonia sono in limbo legale. MiCA si applica direttamente in Polonia indipendentemente. Il regolamento ha forza di legge in tutti gli stati membri dell'UE. Senza un'autorità nazionale designata e procedimenti nazionali, non c'è però dove presentare una domanda.
A partire da maggio 2026, nessun progetto di legge rivisto è stato approvato. Le aziende con operazioni polacche affrontano un problema più grave rispetto agli operatori di qualsiasi altro luogo dell'UE. Le opzioni sono re-legislazione in Polonia, autorizzazione in un'altra giurisdizione, o uscita dal mercato.
I Veri Ostacoli Dietro i Numeri#
Il limite patrimoniale raramente causa il rifiuto di una domanda. Il vero problema è cinque requisiti che arrivano insieme, e nessuno di loro ammette scorciatoie.
Il responsabile della conformità non può essere condiviso. Le autorità competenti nazionali rifiutano le domande in cui la conformità è combinata con un ruolo di ricavo o divisa tra entità. Un CCO dedicato con credenziali UE pertinenti e residenza nello SEE costa almeno 80.000-120.000 euro all'anno. Non una tariffa legale, un dipendente a tempo pieno dal giorno della presentazione della domanda.
Il fascicolo di domanda non è un modulo. Un'autorizzazione MiCA completa copre: politiche di governance e organigramma, programma AML/CFT, requisiti ICT DORA, prove di capitale e proiezioni, un piano aziendale di tre anni, fascicoli fit-and-proper per ogni titolare di una funzione chiave, politica sulla custodia dei beni dei clienti, procedura di reclamo, politica sui conflitti di interesse e un whitepaper conforme a MiCA dove applicabile. Diverse centinaia di pagine. La maggior parte delle autorità competenti nazionali emette almeno una richiesta di informazioni supplementari, che fa ricominciare il cronometro della revisione di mesi.
Il capitale rimane bloccato. I fondi propri devono essere mantenuti per tutta la vita dell'autorizzazione. Per una startup che ha bisogno di flessibilità sui capitali, il requisito di mantenere fondi propri compete direttamente con la velocità.
I tempi non sono vincolanti. Le autorità competenti nazionali possono estendere la revisione a loro discrezione. Nessuna giurisdizione garantisce una scadenza di elaborazione. Un'azienda che ha pianificato un lancio di prodotto per il Q3 2026 non può contare su una licenza ancora in revisione al primo ciclo.
La supervisione è un costo ricorrente, non una tantum. Una volta operativa, le commissioni annuali di supervisione, i test ICT continui, gli audit e il personale di conformità comportano €150K–€250K ogni anno. Il costo del primo anno è il deposito iniziale, non la spesa totale.
Se il tuo team non può affrontare €300K–€500K nel primo anno e non hai una timeline flessibile, considera l'alternativa software per candidarsi.
Tre percorsi dopo il 1° luglio 2026#
Se non avrai l'autorizzazione CASP entro il 1° luglio, hai tre opzioni.
Fermare i servizi nell'UE. Ritirare i servizi rivolti ai clienti UE fino a quando non otterrai l'autorizzazione. È la scelta conforme, ma finanziariamente difficile per qualsiasi azienda con utenti attivi nell'UE o pagamenti che transitano da banche europee.
Operare attraverso un'entità autorizzata del gruppo. Se una società madre o affiliata ha già un'autorizzazione CASP in uno stato membro UE, può estendere i servizi a tutti gli stati attraverso il passporting di MiCA. Ma non è semplice: il branding condiviso o la tecnologia non bastano. L'entità autorizzata deve avere una vera sostanza economica. Dovrai presentare notifiche di passporting che richiedono approvazione dalle autorità di vigilanza sia nello stato d'origine che di destinazione. Se il tuo gruppo non ha già un'entità autorizzata, acquisirla o costruirla da zero riparte la coda di autorizzazione da capo.
Affidati a un partner autorizzato. Se hai bisogno di offrire scambio, trasferimento o custodia di crypto ai clienti UE, puoi instradare i servizi attraverso un CASP e un'Istituzione di Pagamento autorizzati nell'UE che hanno già le licenze necessarie. Il partner autorizzato si prende il rischio normativo. Il prodotto rimane sotto il tuo marchio.
Se costruire il tuo stack di conformità non è la mossa giusta ora, connettiti a un partner CASP + PI autorizzato — è il motivo per cui itispay.com/mica esiste.
Questo articolo è solo informativo e non è consulenza legale o normativa. Parla con consulenti qualificati prima di decidere.
