Il primo luglio 2026, il mercato europeo delle cripto-attività è entrato nella sua fase ordinaria. Con quella data si esaurisce il periodo transitorio previsto dall’articolo 143, paragrafo 3, del Regolamento (UE) 2023/1114 – il cosiddetto MiCAR – che aveva consentito ai prestatori di servizi già operativi in base alle normative nazionali prima del 30 dicembre 2024 di continuare a operare in attesa di adeguarsi al nuovo quadro. Da quel momento, la prestazione di servizi su cripto-attività ai clienti dell’Unione è riservata in via esclusiva ai soggetti autorizzati, quali CASP (Crypto-Asset Service Provider), e agli intermediari già vigilati che abbiano notificato l’avvio dell’attività.
Non si tratta di un semplice adempimento tecnico, ma del passaggio in cui MiCAR diventa l’unico canale legittimo per operare nel settore all’interno dell’Unione. Finisce, in altre parole, la stagione dei regimi nazionali frammentati e delle “zone grigie” che avevano accompagnato la prima crescita del mercato. Per chi eroga i servizi cambia il presupposto stesso della legittimazione a operare; per chi li utilizza cambia il modo in cui vanno valutate le tutele e scelto il fornitore.
Indice degli argomenti
La fine del regime transitorio: cosa prevede l’articolo 143 MiCAR
Le disposizioni MiCAR applicabili ai prestatori di servizi per le cripto-attività si applicano dal 30 dicembre 2024, ferma restando la disciplina transitoria prevista dall’articolo 143, paragrafo 3.
Per evitare un’interruzione brusca dell’operatività, il regolamento ha però previsto un meccanismo di grandfathering: l’articolo 143, paragrafo 3, ha permesso agli operatori che già prestavano servizi in conformità al diritto nazionale applicabile prima di quella data – in Italia i VASP (Virtual Asset Service Provider) iscritti nel registro OAM – di continuare a operare fino al 1° luglio 2026, oppure fino al rilascio o al diniego dell’autorizzazione MiCAR, se anteriore.
Il fondamento del divieto è l’articolo 59 di MiCAR, che riserva la prestazione di servizi professionali relativi a cripto-attività ai soli soggetti autorizzati. Il regime transitorio non ha mai abrogato quel divieto: ne ha soltanto differito l’applicazione. Esaurito il periodo transitorio, il divieto torna a operare integralmente. Ne discende un principio operativo tanto semplice quanto stringente: una domanda di autorizzazione pendente non equivale a un’autorizzazione. Solo il provvedimento concesso ai sensi degli articoli 62 e 63 di MiCAR – o la notifica dell’intermediario già vigilato ai sensi dell’articolo 60 – abilita a proseguire l’attività.
La data non è stata uniforme in tutta l’Unione. Il 1° luglio 2026 rappresenta il limite esterno: diversi Stati membri hanno adottato finestre transitorie più brevi, già chiuse nei mesi precedenti. Ciò significa che una parte consistente degli operatori pre-MiCAR non ha completato per tempo il percorso autorizzativo, con un tasso di conversione dai vecchi registri nazionali al nuovo status di CASP nettamente inferiore rispetto alla platea di partenza.
Operatori non autorizzati: solo dismissione ordinata, non “business as usual”
Il punto più rilevante per il settore riguarda chi, alla scadenza, non ha ottenuto l’autorizzazione come CASP in almeno un Paese dell’Unione. Questi soggetti non possono più acquisire nuovi clienti né continuare a erogare servizi ordinari: devono cessare l’attività, limitandosi alle sole operazioni funzionali alla chiusura ordinata dei rapporti in essere.
Con il comunicato pubblico del 23 giugno 2026, l’ESMA ha precisato gli obblighi degli operatori non autorizzati. In sintesi, essi devono: interrompere immediatamente l’onboarding di nuovi clienti UE, non aprire nuovi rapporti o conti e sospendere ogni attività di marketing e sollecitazione; limitare i servizi alle azioni necessarie a vendere o trasferire le cripto-attività, riallocare gli asset o chiudere le posizioni; comunicare ai clienti, in modo chiaro, tempestivo e ripetuto, le misure adottate e le tempistiche entro cui disporre delle proprie posizioni, indicando anche l’eventuale termine oltre il quale le posizioni residue verrebbero chiuse d’ufficio.
Al centro c’è il concetto di piano di dismissione ordinata (wind-down plan): un piano credibile e immediatamente eseguibile che consenta l’uscita dal mercato senza arrecare danni economici alla clientela. In concreto, il piano deve consentire il trasferimento delle cripto-attività a un operatore autorizzato o a un portafoglio auto-custodito (self-hosted wallet), previo adeguato preavviso ai clienti. Il tutto va svolto nel rispetto delle regole di condotta e degli obblighi in materia di antiriciclaggio e contrasto al finanziamento del terrorismo (AML/CFT), salvaguardando gli interessi dei clienti e mitigando i rischi per l’integrità del mercato.
La posizione dell’ESMA
Il quadro non lascia margini di interpretazione. Già con la dichiarazione del 17 aprile 2026 l’ESMA aveva chiarito che il periodo transitorio scade in tutta l’Unione il 1° luglio 2026 e che, dopo tale data, qualunque soggetto che presti servizi su cripto-attività a clienti UE senza licenza MiCA opera in violazione del diritto dell’Unione e deve cessare l’offerta. Il divieto, ha precisato l’Autorità, si applica a prescindere dallo stato di recepimento della disciplina nei singoli Stati membri: è un termine di conformità valido per l’intero mercato unico.
L’ESMA ha inoltre delimitato con nettezza il perimetro delle eccezioni. La cosiddetta reverse solicitation – l’ipotesi in cui è il cliente a rivolgersi spontaneamente a un operatore extra-UE – va letta in senso restrittivo: qualsiasi forma di pubblicità, presenza nelle app store, accordi di affiliazione, post di influencer o marketing sui motori di ricerca rivolti al pubblico dell’Unione fa venire meno la spontaneità della richiesta. Le entità stabilite fuori dall’Unione non possono quindi prestare servizi MiCA a clienti dell’UE né sollecitarli; il divieto si applica anche nei rapporti tra imprese (B2B). MiCAR vieta inoltre ai CASP di esternalizzare taluni servizi – in particolare la custodia – a soggetti non autorizzati, come i CASP.
Il quadro italiano: otto CASP autorizzati e la notifica di Banca Sella
In Italia il periodo transitorio si è concluso il 30 giugno 2026. Con un comunicato congiunto di pari data, Consob e Banca d’Italia hanno confermato l’avvio della fase ordinaria e reso noto l’elenco dei soggetti abilitati. La Consob, in stretto coordinamento con la Banca d’Italia, ha autorizzato otto CASP:
CheckSig S.r.l.
Conio S.r.l.
CryptoSmart S.p.A.
Hercle S.r.l.
Hodlie S.r.l.
Olliv S.r.l.
Riv Digital S.r.l.
Young Platform S.p.A.
A questi si aggiunge Banca Sella S.p.A., intermediario bancario già vigilato, che ha effettuato la notifica alla Banca d’Italia per la prestazione di servizi relativi alle cripto-attività: al momento è l’unica banca italiana ad aver richiesto di operare in questo ambito, un’attività distinta da quella di emissione. Tutti questi operatori – al pari dei soggetti autorizzati negli altri Stati membri – sono iscritti nel Registro dei prestatori di servizi per le cripto-attività tenuto dall’ESMA e possono operare sull’intero territorio dell’Unione grazie al regime del passaporto europeo.
Il passaporto è la chiave del nuovo assetto: un’autorizzazione rilasciata da un’Autorità nazionale competente e valida in tutti i Paesi dell’Unione. In Italia, il riparto delle competenze è disciplinato dal d.lgs. 129/2024, che affida alla Consob la vigilanza sulla trasparenza, sulla correttezza dei comportamenti e sulla tutela dei clienti, e alla Banca d’Italia i profili di contenimento del rischio, di stabilità patrimoniale e di sana e prudente gestione; la notifica dei CASP specializzati è rilasciata dalla Consob previo parere della Banca d’Italia. Va segnalato che le due Autorità italiane, a differenza di diverse omologhe europee, hanno concesso buona parte delle licenze negli ultimi giorni utili, tenendo gli operatori in tensione fino alla scadenza.
Il riassetto ha inciso anche sulle strategie dei grandi player. Secondo fonti di stampa, Binance ha ritirato la domanda MiCA presentata in Grecia e ha dichiarato l’intenzione di proseguire il percorso autorizzativo in un altro Stato membro dell’Unione: un esempio di come la scelta della giurisdizione di stabilimento sia diventata una variabile competitiva nel nuovo regime del passaporto unico.
Cosa cambia per utenti e imprese: verificare l’entità giuridica, non il marchio
È il piano su cui l’impatto è più diretto per chi detiene cripto-attività. Il messaggio che Consob e Banca d’Italia rivolgono agli investitori è esplicito: non basta guardare il marchio commerciale di un exchange, occorre verificare la specifica entità giuridica che eroga in concreto il servizio.
La ragione è giuridica prima ancora che pratica. Le tutele previste da MiCAR si applicano soltanto quando il prestatore è autorizzato nell’Unione. Non si estendono alle altre entità del gruppo – comprese quelle extra-UE – che operano con lo stesso marchio senza autorizzazione MiCAR. Un’app in italiano, un sito localizzato o un brand notissimo non sono, di per sé, garanzie di protezione: dietro l’interfaccia può operare una società non autorizzata e, in tal caso, le tutele europee semplicemente non si applicano.
Indicazioni operative
Le indicazioni operative per l’utente e per l’impresa sono tre, concrete e verificabili:
- consultare il Registro ESMA dei prestatori di servizi per le cripto-attività e controllare che il proprio fornitore vi risulti effettivamente iscritto come autorizzato prima di investire o trasferire fondi;
- verificare quale entità firma il servizio, leggendo con attenzione condizioni contrattuali e informative per capire con quale società – e in quale Paese autorizzata – si sta effettivamente contrattando;
- agire in assenza di autorizzazione: se il fornitore non risulta autorizzato, valutare per tempo il trasferimento delle cripto-attività verso un operatore autorizzato o verso un portafoglio auto-custodito, oppure la chiusura ordinata delle posizioni in essere.
Per le imprese – in particolare quelle che utilizzano exchange e servizi di custodia nell’ambito della propria operatività – la verifica dell’entità autorizzata diventa parte integrante della gestione del rischio di controparte e della compliance: rapporti con soggetti non autorizzati espongono non solo a rischi economici, ma anche a profili di irregolarità nella catena dei fornitori.
La saldatura tra vigilanza e fisco: dalle lettere di compliance a DAC 8 e CARF
La svolta regolamentare non viaggia da sola. Nell’estate 2026 il mercato italiano delle cripto-attività si trova al crocevia di due dinamiche convergenti: da un lato l’ingresso nel perimetro della finanza regolata attraverso MiCAR, dall’altro l’ingresso nel perimetro della trasparenza fiscale.
Sul versante fiscale, secondo quanto riportato dalla stampa specializzata, l’Agenzia delle Entrate avrebbe avviato l’invio delle prime lettere di compliance relative alle annualità 2023-2024, rivolte a contribuenti che hanno movimentato o detenuto cripto-attività senza un pieno allineamento agli obblighi dichiarativi. Il quadro si completa con la direttiva DAC 8 e con lo standard internazionale CARF (Crypto-Asset Reporting Framework) elaborato dall’OCSE: il decreto legislativo 194/2025 e il provvedimento dell’Agenzia del 22 giugno 2026 rendono strutturali le comunicazioni annuali dei prestatori di servizi cripto, con un primo invio previsto entro il 30 giugno 2027 e successivo scambio automatico internazionale delle informazioni relative al 2026. In prospettiva, il Fisco non dipenderà più soltanto da controlli mirati, ma riceverà flussi standardizzati relativi a utenti, residenza fiscale, operazioni e trasferimenti.
A completare il mosaico interviene anche il piano contabile-tributario. Con il provvedimento del 6 luglio 2026, prot. n. 200904, l’Agenzia delle Entrate ha aggiornato le linee guida in materia di gestione del rischio fiscale nell’ambito dell’adempimento collaborativo, introducendo, tra l’altro, una scheda dedicata al trattamento contabile e fiscale delle criptovalute. È la conferma di un trattamento fiscale autonomo rispetto a quello contabile, che le imprese dovranno presidiare all’interno del proprio Tax Control Framework.
La lettura d’insieme è chiara: un mercato che diventa al contempo più regolato e più trasparente. La migrazione da un operatore non autorizzato verso un CASP non sana né aggrava, di per sé, la posizione fiscale pregressa, ma si inserisce in un contesto in cui depositi, prelievi, conversioni e trasferimenti sono destinati a essere sempre più tracciabili e confrontabili con il dichiarato.
Prospettive: un mercato più stretto, ma più solido
La chiusura del periodo transitorio consegna un mercato europeo più concentrato e, verosimilmente, con un numero di operatori inferiore rispetto alla platea pre-MiCAR. È il prezzo di un salto di qualità: governance, controlli interni, requisiti ICT e presidi antiriciclaggio sottoposti al vaglio delle Autorità diventano condizioni di accesso, non più elementi facoltativi. Per il settore è la fine dell’anonimato operativo che aveva caratterizzato la prima fase; per gli utenti è l’inizio di un’epoca in cui la fiducia è ancorata a un’autorizzazione verificabile e a un registro pubblico.
La sfida dei prossimi mesi si giocherà sulla capacità delle Autorità di garantire un’applicazione uniforme del MiCAR e di vigilare sulle strategie di migrazione della clientela, evitando che gli operatori non autorizzati proseguano di fatto l’attività oltre la scadenza. Sul lato della domanda, la responsabilità si sposta anche sull’utente, chiamato a un gesto tanto semplice quanto decisivo: controllare, prima di operare, che dietro l’app e il marchio ci sia un’entità autorizzata nell’Unione. È in questa verifica, più che in qualsiasi altra, che si misura oggi la tutela concreta del risparmiatore delle cripto-attività.












Partecipa alla community