Stablecoin, terreno d’incontro tra PSD2 e MiCA

Con l’entrata in applicazione del Regolamento (UE) 2023/1114 sui mercati delle cripto-attività (MiCA)[1], l’Unione europea ha tracciato una nuova e ambiziosa architettura per la regolamentazione dei prestatori di servizi su cripto-attività (Crypto-Asset Service Providers – CASP). Tuttavia, l’intreccio con la Direttiva (UE) 2015/2366 sui servizi di pagamento (PSD2)[2] ha da subito evidenziato criticità, soprattutto per quei CASP che operano con token di moneta elettronica (Electronic Money Tokens – EMT), ossia le stablecoin, i quali assumono una duplice natura giuridica: sono al contempo cripto-attività secondo il MiCA e “fondi” ai sensi della PSD2.

La lettera “No Action” dell’EBA

Prima di entrare nel dettaglio dell’articolo che si prefigge di analizzare la lettera del 10 giugno 2025, inviata dall’EBA alla Commissione Europea, vogliamo soffermarci su ciò che, con altri termini (forse più intellegibili per un lettore meno esperto), il contenuto della stessa intende trattare: le transazioni di pagamento “in” (attenzione, non “con”) stablecoin.

L’attenzione sugli stablecoin

Gli EMT sono una tipologia di cripto-attività definita dal MiCAR come “token che puntano a mantenere un valore stabile facendo riferimento al valore di una singola valuta ufficiale”.

Sono trattati come moneta elettronica ai sensi della Direttiva CE 2009/110[3] (c.d. “EMD2” ossia la seconda direttiva sulla moneta elettronica) e, pertanto, rientrano anche nella definizione di “fondi” secondo la PSD2.

Gli EMT, pertanto, sono la base per gli stablecoin ammessi (previa autorizzazione) dal MiCAR come mezzo di pagamento che possono essere usati nei cosiddetti “pagamenti condizionali” basati sulla “moneta programmabile”, in quanto impiegabili insieme agli smart contract su blockchain.

Una definizione di EMT in contrasto con altri regolamenti europei

Sebbene il MiCAR, in coerenza con la PSD2, qualifichi gli EMT come “moneta elettronica” e quindi come “fondi”, è interessante osservare come il Regolamento (UE) 2023/1113 (Transfer of Funds Regulation recast, o “TFR recast”) adotti un approccio funzionale diverso, trattando gli EMT come cripto-attività (e non fondi) ai fini degli obblighi di tracciabilità.

In particolare, il TFR include gli EMT nel novero delle crypto-assets soggetti alla “travel rule”, equiparandoli in questo contesto alle altre cripto-attività per prevenire il riciclaggio e il finanziamento del terrorismo [Per un approfondimento si rimanda all’articolo “Regolamento (UE) 2023/1113: un’analisi delle disposizioni relative ai trasferimenti di fondi e cripto-attività”, Garavaglia R.,23 giugno 2023, PagamentiDigitali].

Ciò conferma l’esistenza di qualificazioni eterogenee a seconda della finalità regolamentare, con implicazioni significative sia per i CASP sia per le autorità di vigilanza, chiamate a un coordinamento interpretativo.

Il rischio di doppia autorizzazione e l’impatto sul mercato degli stablecoin

Il rischio che ne deriva è l’obbligo per i CASP che intendono gestire stablecoin di ottenere una doppia autorizzazione, con un onere regolamentare e amministrativo rilevante.

Per affrontare questo nodo, la Commissione Europea aveva chiesto formalmente all’EBA (European Banking Authority)[4]oltre che all’ESMA (European Securities and Markets Authority), con lettera del 6 dicembre 2024 avente a oggetto “Interplay between MiCA and PSD2 – Possible ‘no action letter’ by the EBA”, di formulare un parere tecnico.

La risposta è giunta il 10 giugno 2025 sotto forma di una “No Action Letter” che rappresenta la posizione ufficiale dell’Autorità Bancaria Europea, condivisa con ESMA e che intende guidare le Autorità Nazionali Competenti (ANC) nella gestione del periodo transitorio.

I servizi dei CASP attenzionati dalla lettera “No Action” dell’EBA

Per comprendere l’ambito delle raccomandazioni contenute nella “No Action Letter” dell’EBA, è necessario partire dal perimetro definito dal Regolamento MiCAR. L’art. 3, par. 1 del Regolamento elenca in modo tassativo dieci tipologie di servizi per le cripto-attività che i CASP possono offrire:

a) Custodia e amministrazione di cripto-attività per conto di clienti;
b) gestione di una piattaforma di negoziazione di cripto-attività;
c) scambio di cripto-attività con fondi;
d) scambio di cripto-attività con altre cripto-attività;
e) esecuzione di ordini di cripto-attività per conto di clienti;
f) collocamento di cripto-attività;
g) ricezione e trasmissione di ordini di cripto-attività per conto di clienti;
h) prestazione di consulenza sulle cripto-attività;
i) gestione di portafoglio sulle cripto-attività;
j) servizi di trasferimento di cripto-attività per conto dei clienti.

Tuttavia, non tutti questi servizi sollevano profili di sovrapposizione con la PSD2. La “No Action Letter” individua con precisione quelli che, quando riferiti a EMT, potrebbero ricadere nel perimetro regolamentare dei servizi di pagamento disciplinati dalla direttiva. In particolare, l’attenzione dell’EBA si concentra su due grandi categorie:

• servizi potenzialmente assimilabili a servizi di pagamento e dunque soggetti (o soggetti in futuro) alla PSD2,
• servizi che, pur coinvolgendo EMT, non devono essere considerati servizi di pagamento, se svolti secondo determinate modalità.

Servizi che possono ricadere nella PSD2

Secondo l’EBA, due servizi MiCAR possono rientrare nell’ambito della PSD2 se riferiti a EMT e svolti con determinate modalità operative:

• Custodia e amministrazione di EMT: quando il CASP offre al cliente un wallet che consente di inviare e ricevere EMT verso terzi, tale wallet può essere qualificato come conto di pagamento ai sensi dell’art. 4(12) PSD2. In tal caso, il servizio può comportare l’applicazione degli obblighi previsti dalla direttiva.
• Trasferimento di EMT per conto del cliente: se un CASP trasferisce EMT da un indirizzo a un altro su incarico del cliente, l’attività è assimilabile all’“esecuzione di ordini di pagamento”, rientrando quindi nell’ambito dell’art. 4(3) e dell’Allegato I, punto 3 della PSD2.

In entrambi i casi, la qualificazione dell’attività dipende da una valutazione caso per caso, basata sulle caratteristiche effettive del servizio reso.

Quando non si configura un servizio di pagamento in stablecoin

Tra le indicazioni più rilevanti contenute nella “No Action Letter” vi è la raccomandazione di non qualificare come servizi di pagamento le operazioni di scambio di cripto-attività con fondi o con altre cripto-attività, comprese quelle che coinvolgono EMT, quando svolte per conto proprio dal CASP.

Secondo l’art. 77 del MiCAR, tali operazioni rientrano nella normale attività di scambio: il CASP agisce come venditore o acquirente diretto, propone un prezzo, esegue gli ordini dei clienti e aggiorna i saldi, ma non effettua trasferimenti per conto del cliente tra soggetti terzi.

In queste condizioni:

• Non si realizza alcuna “esecuzione di pagamento” nel senso della PSD2.
• Manca il rapporto triangolare pagatore-PSP-beneficiario che caratterizza i servizi di pagamento.
• Il rischio operativo e di frode resta contenuto nel perimetro contrattuale tra CASP e cliente.

Questa esclusione si applica anche allo scambio tra stablecoin differenti, ossia EMT ancorati a valute diverse (es. EUR-EMT contro USD-EMT). Anche in questo caso, se il CASP opera per conto proprio e non trasferisce EMT a soggetti terzi per conto del cliente, non si tratta di un servizio di pagamento.

Importante è notare come, ai sensi dell’art. 4, punto 25 della PSD2, per “fondi” si intendono: “banconote e monete, moneta scritturale e moneta elettronica”. Poiché l’art. 48(2) del MiCAR considera gli EMT come moneta elettronica, ogni scambio tra EMT è tecnicamente uno scambio “con fondi”. Tuttavia, ciò non implica automaticamente che si tratti di un servizio di pagamento.

Un esempio pratico

Proponiamo, a titolo prettamente esemplificativo, i seguenti due scenari, con l’intenzione di offrire al lettore una migliore comprensione di uno dei punti che, all’avviso di chi scrive, è fra i più rilevanti (ovvero dirimenti) fra quelli per cui la lettera dell’EBA in discorso si prefigge di attenzionare.

Scenario A – Operazione non soggetta a PSD2
Un CASP offre il cambio tra EMT ancorati all’euro e EMT ancorati al dollaro, Si tratta di una normale e non infrequente operazione che riguarda tipologie di stablecoin EMT based emessi da issuer legalmente autorizzati ai sensi del MiCAR. Il CASP agisce come venditore diretto: applica un tasso di cambio, “aggiorna” il wallet del cliente, ma non trasferisce stablecoin a terzi. L’operazione, pur coinvolgendo fondi, non rientra nella PSD2.

Scenario B – Operazione soggetta a PSD2
Il cliente A ordina al CASP di trasferire EMT al cliente B come pagamento per un bene. Trattasi di un caso forse meno frequente (almeno alla data in cui si redige questo articolo), dove vengono impiegati stablecoin diversi per pagare e incassare l’importo di un bene ceduto, nell’ambito di un negozio giuridico a titolo oneroso. Il CASP esegue il trasferimento tra wallet per conto del cliente. In questo caso, l’attività è riconducibile a un servizio di pagamento e potenzialmente soggetta alla PSD2.

Impatti per i CASP nel breve, medio e lungo periodo

La “No Action Letter” dell’EBA si articola in una serie di raccomandazioni rivolte alle Autorità Nazionali Competenti (ANC)[5], volte a definire un quadro regolamentare transitorio chiaro, proporzionato e coerente, nelle more dell’adozione della futura disciplina PSD3/PSR.

Breve-medio periodo (fino al 2 marzo 2026)

Fino a tale data, l’EBA invita le ANC a:

• Richiedere l’autorizzazione secondo la PSD2 solo per un ristretto insieme di servizi EMT, evitando di estendere gli obblighi a tutto il perimetro CASP.
• Applicare procedure autorizzative semplificate, sfruttando le informazioni già raccolte nella procedura di autorizzazione CASP.
• Non dare priorità alla vigilanza e all’enforcement su vari obblighi PSD2, tra cui:
  • obblighi di salvaguardia,
  • trasparenza su commissioni e tempi di esecuzione,
  • uso di identificativi univoci (es. IBAN),
  • open banking.

Medio-lungo periodo

Due sono le vie percorribili in prospettiva:

• Rafforzare il MiCAR, introducendo o richiamando al suo interno i presìdi previsti dalla PSD3/PSR per i servizi di pagamento, così da assorbire i servizi EMT entro un’unica autorizzazione CASP.
• Modificare il PSD3/PSR, per stabilire in modo chiaro quali servizi EMT rientrano nel proprio campo di applicazione e in che modo, senza imporre ai CASP una nuova licenza da PSP.

La lettera non contempera invece esplicitamente l’opzione di escludere gli EMT dal campo PSD3/PSR senza un rafforzamento parallelo del MiCAR, in quanto ciò genererebbe squilibri di mercato, arbitraggi regolamentari e una tutela disomogenea del consumatore.

In sintesi:

• Fino al 2 marzo 2026: moratoria selettiva sull’autorizzazione PSD2, con vigilanza attenuata.
• Dopo tale data: obbligo pieno di autorizzazione o accordo di partenariato con un PSP autorizzato, a meno che non intervengano modifiche strutturali a PSD3/PSR o MiCA.

La Strong Customer Authentication: cosa cambia per i CASP

La Strong Customer Authentication (SCA) è un requisito cardine della PSD2, pensato per garantire un elevato livello di sicurezza nelle operazioni di pagamento. Essa impone l’uso di almeno due fattori di autenticazione tra:

• qualcosa che l’utente conosce (es. password),
• qualcosa che l’utente possiede (es. dispositivo),
• qualcosa che l’utente è (es. impronta digitale).

La SCA si applica, tra l’altro:

• all’accesso remoto a un conto di pagamento,
• all’avvio di operazioni di pagamento elettronico,
• a qualsiasi azione da remoto che possa comportare rischio di frode.

Nel processo di revisione normativa attualmente in corso, destinato a sfociare nella nuova PSD3 e nel PSR, la SCA è oggetto di attenzione critica e tecnica per migliorarne l’efficacia, in particolare anche nel contesto delle nuove tecnologie DLT e cripto.

In tale ottica, l’EBA afferma che:

• l’accesso ai wallet di custodia assimilabili a conti di pagamento,
• l’inizio di trasferimenti di EMT effettuati da CASP/PSP,

devono essere sottoposti agli obblighi di SCA.

Tuttavia, le ANC sono invitate a non applicare in via prioritaria tali obblighi prima del 2 marzo 2026, riconoscendo la necessità di tempo per l’adeguamento tecnico del settore. Lo stesso approccio vale per gli obblighi di reporting delle frodi, che entreranno in piena applicazione solo successivamente, e in forma semplificata.

Un futuro radioso per l’Account Abstraction e per le Delegated Actions

L’applicazione obbligatoria della Strong Customer Authentication (SCA) a partire dal 2 marzo 2026 non costituisce soltanto un vincolo di compliance per i CASP, ma può diventare un volano tecnologico e funzionale per l’evoluzione dell’esperienza utente nei servizi di custodia e pagamento basati su cripto-attività.

L’arco temporale implicitamente concesso dall’EBA – utile per l’adeguamento tecnico dei sistemi alla SCA – può infatti offrire lo spazio necessario per una adozione più matura e strutturata di due paradigmi abilitanti dell’ecosistema Web3:

• Account Abstraction: architettura che consente di separare la logica di validazione delle transazioni dall’identità crittografica rigida dell’utente (es. chiavi private). In combinazione con i requisiti della SCA, può favorire forme avanzate di autenticazione multi-fattore integrate direttamente a livello di smart contract, rendendo l’esperienza utente più fluida e sicura [Per un approfondimento si rimanda all’articolo “Account abstraction: la rivoluzione digitale nella blockchain. Ecco come funziona”, Garavaglia R.,9 gennaio 2024, PagamentiDigitali].
• Delegated Actions: meccanismi che consentono a un soggetto (utente, ente o agente) di delegare a terzi l’autorizzazione di specifiche operazioni, senza compromettere la sicurezza dell’intero wallet. La regolamentazione della SCA offre lo stimolo normativo per formalizzare queste deleghe in chiave compliance, superando modelli opachi e poco interoperabili.

Questi strumenti, se ben armonizzati con i requisiti della PSD2 e della futura PSD3, potranno incrementare l’usabilità e l’adozione mainstream delle soluzioni crypto-native, senza sacrificare i presìdi di sicurezza e di tracciabilità richiesti dal regolatore.

In altre parole, la SCA può fungere da catalizzatore: non solo di convergenza tra servizi cripto e regolamentazione tradizionale, ma anche di innovazione tecnica nella progettazione dei wallet, delle policy di accesso e dei modelli fiduciari su cui si basano le nuove forme di pagamento decentralizzato.

Esempio applicativi di SCA con Account Abstraction

Grazie all’implementazione dell’EIP-4337 (Ethereum Improvement Proposal), è possibile creare “smart accounts” che integrano logiche personalizzate di firma e validazione delle transazioni.
Un wallet basato su Account Abstraction potrebbe, ad esempio, richiedere automaticamente una doppia conferma biometrica (es. impronta + riconoscimento facciale) prima di autorizzare un trasferimento EMT, rispondendo pienamente ai requisiti di SCA, senza richiedere una gestione manuale di chiavi private.

Esempio applicativo di SCA con Delegated Actions: firma autorizzata da soggetto terzo

Un CASP potrebbe offrire la possibilità a un cliente retail di delegare a un family office o a un fiduciario l’autorizzazione di operazioni EMT ricorrenti, ad esempio per il pagamento mensile di una subscription o di forniture.
Attraverso un sistema conforme alla SCA, ogni transazione delegata verrebbe tracciata e approvata via smart contract solo in presenza dei fattori di autenticazione specificati nel mandato, consentendo un’implementazione sicura e legalmente robusta della delega.

Rischi di asimmetrie regolamentari

L’approccio transitorio delineato dall’EBA rappresenta un tentativo pragmatico di bilanciare esigenze di proporzionalità e tutela, nell’attesa di una cornice normativa più organica. Tuttavia, l’applicazione differenziata delle regole – tra soggetti autorizzati sotto MiCAR, PSD2 o entrambi – solleva interrogativi rilevanti sul piano della concorrenza e della coerenza sistemica.

In assenza di un allineamento normativo pieno, il rischio è che la coesistenza tra MiCAR e PSD2 (e, a tendere, PSD3/PSR) determini potenziali squilibri competitivi, creando un terreno fertile per arbitraggi regolamentari e asimmetrie di vigilanza. Tra i principali nodi ancora aperti:

• La qualificazione giuridica dei wallet di custodia: se assimilati a conti di pagamento, dovrebbero essere soggetti anche alla Payment Accounts Directive (PAD)[6], ma il MiCAR non fornisce chiarimenti espliciti.
• Le divergenze interpretative tra Stati membri, già rilevate dalla Commissione, possono minare l’unità del mercato interno.
• Il livello di tutela del consumatore rischia di variare significativamente in funzione del tipo di soggetto vigilato.

Conclusione

La “No Action Letter” dell’EBA rappresenta una risposta ragionata e proporzionata a un problema che rischiava di cristallizzarsi nel cuore del sistema europeo dei pagamenti digitali.

Si tratta di una soluzione temporanea, più simile a un ponte provvisorio gettato tra due sponde normative che faticano ancora a congiungersi: da un lato, la disciplina emergente del MiCA per il mondo cripto; dall’altro, l’architettura consolidata – ma in fase di ristrutturazione – dei servizi di pagamento tradizionali sotto PSD2. Un ponte utile, forse necessario, per evitare il blocco del traffico regolamentare. Ma, come ogni ponte provvisorio, non può reggere all’infinito il peso crescente del mercato.

Spetterà ora al legislatore europeo scegliere se rafforzare la struttura di una delle due sponde o progettare una nuova infrastruttura normativa comune. In entrambi i casi, l’obiettivo dovrà essere quello di assicurare parità di condizioni, tutela omogenea dei consumatori e certezza giuridica per tutti gli operatori, a prescindere dalla tecnologia sottostante.

Note

[1] Regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937 (c.d. MiCA)

[2] Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e che abroga la direttiva 2007/64/CE (PSD2).

[3] Direttiva 2009/110/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli istituti di moneta elettronica, che abroga la direttiva 2000/46/CE.

[4] Il regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, ha istuito un’Autorità europea di vigilanza (Autorità bancaria europea), modificando la decisione n. 716/2009/CE e abrogando la decisione 2009/78/CE della Commissione; esso rappresenta la base giuridica per le “No Action Letters” dell’EBA (v. art. 9c).

[5] Attesa la finalità di “mezzo di pagamento” delle cripto-attività oggetto della lettera dell’EBA, per quanto attiene all’Italia si potrebbe ritenere che l’ANC coinvolta sia solo la Banca d’Italia.

[6] Direttiva 2014/92/UE del Parlamento europeo e del Consiglio, del 23 luglio 2014, relativa alla comparabilità delle spese relative ai conti di pagamento, al trasferimento di conti di pagamento e all’accesso ai conti di pagamento con caratteristiche di base.