Art. 5
Informazioni sul quadro di controllo interno
In vigore dal 5 giu 2025
Informazioni sul quadro di controllo interno
1. La domanda di autorizzazione contiene una descrizione completa del quadro di controllo interno dell’emittente richiedente, comprendente tutti gli elementi seguenti:
a)
una descrizione completa della funzione di controllo interno della conformità nell’ambito del meccanismo di controllo interno a norma dell’articolo 34, paragrafo 10, del regolamento (UE) 2023/1114, dotata nella misura necessaria di autorità, peso, risorse e accesso diretto all’organo di amministrazione;
b)
una descrizione completa del quadro di gestione del rischio e della funzione di gestione del rischio, se tale funzione è stata istituita, oppure, se conformemente al principio di proporzionalità in termini di dimensioni, complessità e profilo di rischio la funzione di gestione del rischio è stata affidata a un prestatore terzo, una descrizione completa dei relativi accordi con soggetti terzi a norma dell’, paragrafo 2;
c)
una descrizione completa dei sistemi e dei controlli di gestione del rischio, che illustri la strategia che l’emittente richiedente adotta per individuare, valutare, monitorare, attenuare e segnalare tutti i rischi cui è o potrebbe essere esposto, compresi i rischi per i possessori di un token collegato ad attività come pure i rischi di mercato, di liquidità, di concentrazione, operativi, informatici (TIC), reputazionali, giuridici, di condotta, di conformità, ambientali, sociali e di governance, di riciclaggio di denaro e di finanziamento del terrorismo, e strategici;
d)
una descrizione completa della funzione di audit interno nell’ambito del meccanismo di controllo interno a norma dell’articolo 34, paragrafo 10, del regolamento (UE) 2023/1114, se tale meccanismo è stato istituito, oppure, se conformemente al principio di proporzionalità in termini di dimensioni, complessità e profilo di rischio delle attività dell’emittente richiedente tale meccanismo è stato affidato a un fornitore terzo, una descrizione completa degli accordi stipulati con tale fornitore terzo che contenga tutti gli elementi di cui all’, paragrafo 2, lettere da a) a g), del presente regolamento, nonché il nome e i recapiti del revisore esterno nominato;
e)
una spiegazione dei dispositivi di governance attuati per garantire la distinzione e l’opportuna separazione dei compiti delle linee di business e delle unità operative dalle funzioni di controllo interno nell’ambito del meccanismo di controllo interno a norma dell’articolo 34, paragrafo 10, del regolamento (UE) 2023/1114, e una spiegazione dei dispositivi attuati per garantire l’indipendenza delle funzioni di controllo interno, anche attraverso il loro accesso diretto all’organo di amministrazione nelle sue funzioni di gestione e di vigilanza.
Ai fini della lettera c), la descrizione comprende anche la dichiarazione sulla propensione al rischio dell’emittente richiedente e la sua tolleranza al rischio, comprese le procedure e le misure previste per gestire i rischi individuati nell’ambito della propensione al rischio.
2. La domanda di autorizzazione contiene una descrizione dei meccanismi e delle risorse TIC e umane assegnate per garantire che l’emittente richiedente rispetti il regolamento (UE) 2022/2554, comprese tutte le seguenti informazioni relative ai sistemi, ai protocolli e agli strumenti di TIC dell’emittente richiedente:
a)
una documentazione tecnica dettagliata, comprendente la descrizione del quadro per la gestione dei rischi informatici conformemente all’, paragrafo 1, del regolamento (UE) 2022/2554, che dimostri la capacità dell’emittente richiedente di affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva, assicurando un elevato livello di resilienza operativa digitale;
b)
informazioni dettagliate che dimostrino che l’emittente richiedente mantiene sistemi, protocolli e strumenti di TIC aggiornati che sono idonei, affidabili, dotati di capacità sufficiente per elaborare in maniera accurata i dati necessari per lo svolgimento delle attività e la tempestiva fornitura dei servizi, nonché tecnologicamente resilienti conformemente all’ del regolamento (UE) 2022/2254;
c)
una descrizione dettagliata della politica di sicurezza che dimostri che i sistemi e le procedure dell’emittente richiedente sono in grado di tutelare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, dei patrimoni informativi e delle risorse TIC, compresi quelli dei loro clienti, conformemente all’, paragrafo 4, del regolamento (UE) 2022/2554;
d)
una descrizione completa dei processi e dei sistemi di TIC che dimostri la capacità di fornire all’emittente richiedente informazioni e dati affidabili a sostegno degli obblighi di comunicazione dei dati.
3. La domanda di autorizzazione contiene una descrizione del piano e della politica di continuità operativa che garantiscono la capacità dell’emittente richiedente di operare su base continuativa e di limitare le perdite in caso di grave perturbazione dell’attività. A tal fine il piano di continuità operativa comprende:
a)
la mappatura dei dati e delle funzioni essenziali;
b)
una panoramica dei sistemi di backup e ripristino disponibili;
c)
una descrizione della disponibilità del personale chiave nelle situazioni in cui è necessario garantire la continuità operativa conformemente all’articolo 34, paragrafo 8, del regolamento (UE) 2023/1114 e all’articolo 11, paragrafo 1, del regolamento (UE) 2022/2554.
4. Se i token collegati ad attività sono emessi, conservati e trasferiti utilizzando una DLT proprietaria o una tecnologia analoga gestita dall’emittente richiedente o da un terzo che agisce per suo conto, la domanda di autorizzazione dimostra il funzionamento della DLT o della tecnologia analoga includendo tutti gli elementi seguenti:
a)
la descrizione della titolarità legale dell’emittente richiedente sulla DLT o sulla tecnologia analoga, indipendentemente dal fatto che si tratti di un diritto di proprietà o di altri rapporti contrattuali che conferiscono all’emittente richiedente il controllo della DLT o della tecnologia analoga, a prescindere dall’eventualità che la DLT sia gestita da un’impresa diversa;
b)
il nome e i recapiti del gestore o dei gestori della DLT, se diversi dall’emittente richiedente;
c)
il piano dell’emittente richiedente o del gestore terzo in relazione all’identificazione, al monitoraggio, alla valutazione, all’attenuazione e alla prevenzione dei rischi, anche tenendo conto delle potenziali ricadute su altre cripto-attività emesse, trasferite o conservate tramite tale DLT e i relativi prestatori di servizi per le cripto-attività, e il piano di manutenzione e aggiornamento tecnologici periodici della DLT o della tecnologia analoga;
d)
una relazione di audit tecnico e di sicurezza sulla coerenza di funzionamento della DLT rispetto alle norme di qualità in uso sul mercato e sull’idoneità e l’adeguatezza dei piani di cui alla lettera c);
e)
nel caso di DLT proprietaria con autorizzazione (permissioned), una descrizione dettagliata dei meccanismi di trasparenza.
5. Qualora siano previsti accordi di cooperazione tra l’emittente richiedente e prestatori di servizi per le cripto-attività specifici, la domanda di autorizzazione contiene una descrizione dettagliata dei meccanismi e delle procedure di controllo interno attuali del prestatore volti a garantire il rispetto degli obblighi in materia di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo a norma della direttiva (UE) 2015/849 e, ove applicabile, del regolamento (UE) 2023/1113. Tale descrizione dettagliata comprende una valutazione prospettica del continuo rispetto di tale obbligo lungo l’orizzonte temporale triennale del piano di business dell’emittente richiedente. Tale descrizione e la valutazione prospettica elaborate dal prestatore di servizi per le cripto-attività specifico possono essere scambiate dall’autorità competente con le autorità responsabili della lotta al riciclaggio di denaro e al finanziamento del terrorismo, le unità di informazione finanziaria o altri organismi pubblici conformemente all’articolo 20, paragrafo 2, secondo comma, del regolamento (UE) 2023/1114.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2025:1125:oj#art-5