RIVISTA TRIMESTRALE DI DIRITTO DELL’ECONOMIA RASSEGNA DI DOTTRINA E GIURISPRUDENZA DIREZIONE SCIENTIFICA G. ALPA - M. ANDENAS - A. ANTONUCCI F. CAPRIGLIONE - R. MASERA - R. Mc CORMICK F. MERUSI - G. MONTEDORO - C. PAULUS Supplemento n. 3 al n. 1/2022 ISSN: 2036 - 4873 RIVISTA TRIMESTRALE DI DIRITTO DELL’ECONOMIA WWW.RTDE.LUISS.IT La sede della Rivista è presso la Fondazione G. Capriglione Onlus, Università Luiss G. Carli, Viale Romania 32, 00197 Roma. Direzione Scientifica G. Alpa - M. Andenas - A. Antonucci - F. Capriglione - R. Masera F. Merusi - R. McCormick - G. Montedoro - C. Paulus Direttore Responsabile F. Capriglione Comitato Editoriale V. Lemma - E. Venturi - D. Rossano - N. Casalino - A. Troisi I contributi pubblicati in questa Rivista potranno essere riprodotti dalla Fondazione G. Capriglione Onlus su altre proprie pubblicazioni, in qualunque forma. Autorizzazione n. 136/2009, rilasciata dal Tribunale di Roma in data 10 aprile 2009. COMITATO SCIENTIFICO PER LA VALUTAZIONE L. Ammannati, E. Bani, P. Benigno, R. Bifulco, A. Blandini, C. Brescia Morra, M. Brogi, R. Calderazzi, E. Cardi, A. Cilento, M. Clarich, A. Clarizia, R. Cocozza, G. Colavitti, F. Colombini, G. Conte, P. E. Corrias, C. G. Corvese, L. De Angelis, M. De Benedetto, P. De Carli, C. De Caro, P. de Gioia Carabellese, M. De Poli, G. Desiderio, L. Di Brina, L. Di Donna, G. Di Gaspare, F. Guarracino, F. Di Porto, G. Di Taranto, V. Donativi, M. V. Ferroni, L. Foffani, C. Fresa, P. Gaggero, I. Ingravallo, C. Irti, R. Lener, M. Libertini, P. Lucantoni, L. Ludovici, N. Lupo, M. B. Magro, F. Maimeri, A. Mangione, E. Maria Lombardi, G. Martina, S. Martuccelli, M. Maugeri, R. Miccù, F. Moliterni, S. Monticelli, G. Napolitano, G. Niccolini, A. Niutta, M. Passalacqua, M. Pellegrini, M. Proto, M. Rabitti, N. Rangone, P. Reichlin, R. Restuccia, A. Romano, A. Romolini, C. Rossano, G. Ruotolo, C. Russo, A. Sacco Ginevri, I. Sabbatelli, F. Sartori, A. Sciarrone, M. Sepe, G. Sicchiero, D. Siclari, G. Terranova, G. Tinelli, V. Troiano, A. Urbani, P. Valensise, A. Zimatore REGOLE DI AUTODISCIPLINA PER LA VALUTAZIONE DEI CONTRIBUTI I contributi inviati alla Rivista Trimestrale di Diritto dell’Economia sono oggetto di esame da parte del «Comitato scientifico per la valutazione» secondo le presenti regole. 1. Prima della pubblicazione, tutti gli articoli, le varietà, le note e le osservazioni a sentenza inviati alla Rivista sono portati all’attenzione di due membri del Comitato, scelti in ragione delle loro specifiche competenze ed in relazione all’area tematica affrontata nel singolo contributo. 2. Il contributo è trasmesso dalla Redazione in forma anonima, unitamente ad una scheda di valutazione, ai membri del Comitato, perché i medesimi – entro un congruo termine – formulino il proprio giudizio. 3. In ciascun fascicolo della Rivista sarà indicato, in ordine alfabetico, l’elenco dei membri del Comitato che hanno effettuato la valutazione dei contributi pubblicati. 4. In presenza di pareri dissenzienti, la Direzione si assume la responsabilità scientifica di procedere alla pubblicazione, previa indicazione del parere contrario dei membri del Comitato. 5. Ove dalle valutazioni emerga un giudizio positivo condizionato (a revisione, integrazione o modifica), la Direzione promuove la pubblicazione solo a seguito dell’adeguamento del contributo alle indicazioni dei membri del Comitato, assumendosi la responsabilità della verifica. I CONTRIBUTI DEL PRESENTE FASCICOLO SONO STATI VALUTATI DA: L. Di Brina, F. Moliterni TEMI E PROBLEMI DI DIRITTO DELL'ECONOMIA Pubblicazione degli atti del Convegno “La Supervisione finanziaria dopo due crisi. Quali prospettive” tenutosi il 17 e il 18 giugno 2022 presso l’Isola di Capri e organizzato dall’Università degli Studi di Napoli “Parthenope” A cura di Diego Rossano  Convegno di presentazione del PRIN 2020 dal titolo "An analysis of the Italian financial legal framework vis-a-vis the Capital Markets Union action plan: the perspective of regulatory fragmentation and sustainability” (Prot. 2020SMP7A7, Principal Investigator: Diego Rossano). INDICE DIEGO ROSSANO – Presentazione (Introduction)……………………………………………………………………………1 FILIPPO SARTORI – Vigilanza di tutela e trasparenza (Protection supervision and transparency)…………………………………………………………………………………………………………………………………………..2 LUCIA PICARDI - Nuove prospettive nella raccolta del risparmio e ordine del mercato (New perspectives in investment solicitation and market regulation)… ……………………………………………32 VALERIO LEMMA - Quali controlli per le valute virtuali? (How can cryptocurrencies be controlled?)……………………………………………………………………………………………………………………………………………52 ANDREA SACCO GINEVRI - Divagazioni su corporate governance e sostenibilità (Thoughts on corporate governance and sustainability)……… ……………………………………………………………………….83 DOMENICO SICLARI - Evoluzioni della funzione di vigilanza sui mercati finanziari: controllo da parte di organismi di diritto privato e potere sanzionatorio (Evolution of the supervisory function on financial markets: control by private law bodies and sanctioning power)…………………………………………………………………………………………………………………………………………………….95 FILIPPO ANNUNZIATA - La supervisione sul mercato dei capitali dopo due crisi: notarelle minime (Capital Markets Supervision after two crises: minimum notes)……………………………..106 MADDALENA RABITTI - Le regole di supervisione nel mercato digitale: considerazioni intorno alla comunicazione Banca d’Italia in materia di tecnologie decentralizzate nella finanza e cripto-attività (Supervisory rules in the digital market: notes on the Bank of Italy communication on distributed ledger technologies in finance and crypto assets)…………….119 COMUNICAZIONI GIAN LUCA GRECO - Antiriciclaggio “fra pari”: profili critici del Know Your Customer nei rapporti interbancari (“Peer” Anti-Money Laundering: Know Your Customer critical issues in Interbank Relationships)… …………………………………………………………………………………………………………..136 RAIMONDO MOTRONI - I «pagamenti senza moneta»: nuove sfide per la supervisione finanziaria («Payments without money»: new challenges for financial supervision)…………163 CARLOTTA GIUSTINIANI - Sostenibilità della governance e forme di supervisione in una prospettiva europea (Sustainability of governance and forms of supervision in a European perspective)……………… ………………………………………………………………………………………………………………………..179 ROBERTA LO CONTE - L’adozione dei fattori di sostenibilità nella definizione del modello distributivo e di consulenza assicurativa alla luce dei processi POG (The adoption of sustainability factors in the definition of the insurance distribution model in light of the product oversight and governance processes)……………………… …………………………………………………..204 CLAUDIA MILLI - Il potere sanzionatorio di Banca d’Italia. La portata dei cambiamenti. Note al provvedimento di Banca d’Italia del 29 luglio 2022 n. 302 (The Bank of Italy's sanctioning power. The scope of the changes. Commentary on Bank of Italy Provision No. 302 of 29 July 2022)……………………………………………………………………………………………………………………………………………..225 Maddalena Rabitti LE REGOLE DI SUPERVISIONE NEL MERCATO DIGITALE: CONSIDERAZIONI INTORNO ALLA COMUNICAZIONE BANCA D’ITALIA IN MATERIA DI TECNOLOGIE DECENTRALIZZATE NELLA FINANZA E CRIPTO-ATTIVITÀ  (Supervisory rules in the digital market: notes on the Bank of Italy communication on distributed ledger technologies in finance and crypto assets) ABSTRACT: The Bank of Italy's Communication of 15 June 2022 on Distributed Ledger Technologies in finance and Crypto assets, is an opportunity to carry out some considerations on the aims of supervision of the digital market in this age. First, the principle of technological neutrality should be overcome. The Supervisory Authorities can recommend the most reliable technology on the market if necessary. Furthermore, co-regulation and co-compliance between firms and supervisors could be the best way to create rules embedded with technology and ensure enforcement. SOMMARIO: 1. Nuove tecnologie e approccio al rischio nel mercato digitale. - 2. Primo assioma: il superamento del principio di vigilanza per soggetti. - 3. Secondo assioma: il superamento del principio di neutralità tecnologica. - 4. Terzo assioma: la soluzione della co-regolazione e cocompliance. - 5. Quarto assioma: le regole incorporate nella tecnologia e la supervisione dei mercati digitali. 1. Con il mercato digitale1 ci troviamo in presenza di un luogo di scambio nel  Il presente contributo è stato sottoposto a referaggio. *Il presente contributo riproduce, con note di accompagnamento, l’intervento tenuto al convegno “La supervisione finanziaria dopo due crisi. Quali prospettive”, tenutosi ad Anacapri il 17 e 18 giugno 2022. 1 Commissione Europea, Strategia per il mercato unico digitale in Europa, in https://eurlex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52015DC0192&from=IT. La Commissione Europea ha definito mercato unico digitale “un mercato in cui è garantita la libera circolazione delle merci, delle persone, dei servizi e dei capitali e in cui, quale che sia la loro 119 Le regole di supervisione nel mercato digitale quale le attività si spostano da una sede fisica ad una virtuale all’interno del quale operano soggetti ulteriori rispetto a quelli tradizionali e in cui le attività d’impresa vengono agevolate dall’utilizzo della tecnologia. Si tratta di un’evoluzione così rapida che impone al giurista di adottare nuove lenti, sia per avere una visione d’insieme e comprendere le dinamiche delle nuove catene del valore sia per apprestare strumenti di tutela adeguati alla migliore protezione degli interessi meritevoli. In campo finanziario, il già significativo dibattito sul Fintech2 ha messo in evidenza la centralità del ruolo delle Autorità di Vigilanza, chiamate sin da subito a regolare dal basso i mercati digitali e ad adottare tecniche di supervisione nuove ed efficaci3. In questa sede, l’idea è di limitare l’analisi sulle regole di supervisione nel mercato digitale ad alcune suggestioni che potranno poi essere approfondite. Sin d’ora, val la pena chiarire che la prospettiva da cui si muove è quella nota come di “approccio al rischio” come criterio per indirizzare l’attività di impresa e anche di supervisione. Il Risk-based Approach, basato sul concetto di gestione del rischio aziendale, nato per specifiche finalità di prevenzione di rischi d’impresa è, infatti, oggi appannaggio anche dei regolatori in quanto funzionale alla compliance4. Esso si fonda essenzialmente sull’istituzione di un quadro cittadinanza o nazionalità o il luogo di residenza, persone e imprese non incontrano ostacoli all'accesso e all'esercizio delle attività̀ online in condizioni di concorrenza leale e potendo contare su un livello elevato di protezione dei consumatori e dei dati personali”. 2 La letteratura è amplissima, mi permetto di rinviare per un’idea di massima a ARNER, BUCKLEY e BARBERIS, A FinTech and RegTech Overview: Where We Have Come from and Where We Are Going, in Idd. (a cura di), The RegTech Book, Chichester, 2019. 3 RABITTI e SCIARRONE ALIBRANDI, RegTech e SupTech, in Intelligenza artificiale e diritto: una rivoluzione, a cura di Pajno, Donati, Perrucci, vol. III, Astrid, 2022, pp. 451-465. 4 A partire dalla pubblicazione della Strategia per il mercato unico digitale in Europa, le istituzioni dell’Unione hanno, infatti, fatto un ricorso sempre maggiore allo strumento del rischio per incentivare una maggiore assunzione di responsabilità (accountability) da parte degli attori, pubblici e privati, per i potenziali effetti collaterali legati all’utilizzo di tali tecnologie e al processamento di dati personali. La modalità più tipica del risk-based approach, caratterizzante per esempio il GDPR, prevede che la valutazione del rischio e l’individuazione delle misure di mitigazione adeguate siano condotte direttamente dai soggetti destinatari della regolazione. Nel caso dell’AI Act, tuttavia, la 120 Maddalena Rabitti normativo in cui obblighi e doveri vengono graduati e adattati al concreto rischio connesso alle attività poste in essere e persegue un obiettivo di prevenzione. La consapevolezza che l’enforcement successivo sia meno efficace di quello preventivo è, peraltro, ormai diffusa in tutto il diritto delle imprese e la via della prevenzione diviene l’unica percorribile per i mercati digitali, in cui operano le piattaforme senza vincoli di giurisdizione e che coinvolge spesso terze parti che concorrono a fornire il servizio ampliando il numero di soggetti responsabili. L’approccio basato sul rischio è seguito dal legislatore europeo, sebbene in maniera non sempre uguale, sia in normative di carattere orizzontale – ad esempio il GDPR o la proposta di Regolamento sull’Intelligenza artificiale– sia di carattere verticale – ad esempio il Pacchetto sulla Finanza digitale del 2020. Il rischio, peraltro, è un concetto che si riempie di contenuto diverso a seconda dell’interesse protetto dalla norma, dalle scelte di policy legislativa, del contesto in cui esso assume rilievo: dunque la prospettiva è funzionale alla tutela degli interessi in gioco. Il parametro di valutazione, inoltre, non è sempre lo stesso, potendo il rischio pregiudicare interessi economici o diritti delle persone. Ne consegue che non solo le imprese, ma anche le autorità di vigilanza assumono il criterio risk based approach come guida dell’attività. In questa prospettiva, la Banca d’Italia ha pubblicato recentemente la Comunicazione del 15 giugno 2022 in materia di tecnologie decentralizzate nella finanza e cripto-attività5 in cui si afferma, tra l’altro, che: “l’utilizzo di tecnologie decentralizzate nella finanza presenta le stesse tipologie dei rischi della finanza tradizionale (credito, mercato, operativo, cibernetico, liquidità, etc.) accrescendone però la rilevanza sulla stabilità finanziaria, derivante ad esempio: i) dal rischio prospettiva sembra essere inversa, con l’adozione di una prospettiva top-down alla risk-based regulation. 5 In https://www.bancaditalia.it/media/approfondimenti/2022/cripto/Comunicazioni-della-Banca-dItalia-DLT-cripto.pdf . 121 Le regole di supervisione nel mercato digitale operativo all’interno di un ecosistema decentralizzato; ii) dai rischi sugli elementi di vulnerabilità non del tutto esplorati della DLT circa la continuità del servizio; iii) dal rischio cibernetico e di frodi legato alla presenza di più soggetti non regolati ed autonomi; iv) dalla presenza di strumenti e paradigmi tecnologici non puntualmente disciplinati; v) dall’assenza, per i nuovi sistemi, di standard di settore di riferimento e vi) dalla dimensione transazionale del fenomeno, che rende difficile regolarne l’influenza a livello di singole giurisdizioni”. Alla luce di queste puntualizzazioni è possibile distinguere i rischi richiamati in due macrocategorie: (a) i rischi del mercato digitale6, che sono propri della finanza decentralizzata e che dipendono dalle caratteristiche del mercato e dall’assenza di una regolamentazione adeguata: un esempio recente su come l’assenza di un quadro normativo e di supervisione in materia di DE-FI possa portare a fallimenti del mercato sono state le vicende della criptovaluta algoritmica terra-luna7; (b) i rischi tecnologici, che riguardano idealmente tutti quei rischi e quelle criticità insiti nell’utilizzo stesso delle nuove tecnologie; possiamo a tal proposito annoverare il rischio di dipendenza da terze parti nonché rischi infrastrutturali e di cyber security. Questi rischi, se non accuratamente gestiti, possono tradursi in rischi sistemici: basti solo pensare ai pregiudizi per gli utenti che l’inadeguata custodia delle chiavi crittografiche dei wallets (tramite cui conservare e trasferire i crypto-assets) può comportare8. 6 In tale ambito possiamo ricomprendere tutte quelle criticità che sono conseguenza delle caratteristiche del nuovo mercato (la presenza di nuovi intermediari non regolamentati, la decentralizzazione, l’impossibilità di applicare analogicamente la legislazione vigente a determinati fenomeni). 7 La suddetta criptovaluta, nel mese di maggio, ha visto azzerare il suo valore; si stima che il crack abbia mandato in fumo, quaranta miliardi di dollari, in https://www.ilsole24ore.com/art/criptosettimana-incubo-arriva-crack-token-luna-AEXtpiYB. 8 SIANI, La regolamentazione delle nuove tecnologie basate sulla Distributed ledger technology – DLT, tra tutela del mercato e rischi di sistema, in https://www.bancaditalia.it/pubblicazioni/ interventi-vari/int-var-2022/SIANI_3_maggio_2022.pdf. 122 Maddalena Rabitti Il governo dell’uno e dell’altro tipo di rischio è la priorità da perseguire per assicurare una disciplina adeguata alla migliore protezione degli interessi in gioco senza tuttavia pregiudicare l’innovazione tecnologica. Alla luce di questa premessa, sembra possibile fissare alcuni assiomi che si reggono sull’idea che la gestione del rischio d’impresa deve muovere il mercato e le autorità in modo da bilanciare innovazione e sicurezza. 2. Si assiste al superamento dell’idea che la vigilanza per soggetti sia, in via di principio, la più funzionale agli interessi da proteggere9. Già sul piano normativo, un approccio differente focalizzato sull’attività o sul prodotto e non sui soggetti è oggi largamente seguito nella legislazione europea: con riferimento al mercato digitale si può, ad esempio, avere riguardo a discipline sia di carattere orizzontale (AI Act) sia verticali (Pacchetto sulla Finanza digitale) in cui l’attenzione del legislatore è rivolta al modo in cui si svolge l’attività o il servizio, non al soggetto che le effettua. La Proposta sull’intelligenza artificiale, strutturata anch’essa su di un approccio risk based10, intende garantire che i sistemi, basati sull’intelligenza artificiale, all’interno dell’UE, rispettino elevati standard di sicurezza ed affidabilità e non ledano i diritti fondamentali delle persone. Se invece guardiamo al di fuori del mercato digitale, possiamo prendere ad esempio il GDPR, il quale adotta anch’esso un sistema di regole fondato sull’utilizzo dei dati che ha carattere 9 Da tempo si è manifestata in dottrina una certa insoddisfazione per regole basate solo su questo aspetto che hanno portato a overlapping di norme in alcuni casi e a gap evidenti in altri: si pensi alla disciplina dei PRIIPS e, più in generale, alla disciplina sulla trasparenza che ha indotto a superare la visione per silos verticali a favore di regole transettoriali. 10 Vengono previsti quattro livelli di tutela, a seconda della minaccia che i sistemi di IA possano arrecare alla sicurezza, alla salute ed ai diritti fondamentali dei cittadini. EUROPEAN COMMISSION, Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (artificial intelligence act) and amending certain union legislative acts, in https://eur-lex.europa.eu/legal-content/EN/TXT/?uri= CELLAR%3Ae0649735-a372-11eb-9585-01aa75ed71a1. 123 Le regole di supervisione nel mercato digitale orizzontale e che si basa sul criterio del rischio11. Ciò non significa, tuttavia, che una regolamentazione “per soggetti” non abbia più ragione d’essere. Lo dimostra, ad esempio, la normativa sulle attività delle piattaforme digitali12 le quali, per l’eterogeneità della fisionomia che possono assumere in concreto, rendono difficile adottare una disciplina unitaria che regoli il fenomeno. Solo le piattaforme più significative (c.d. GAFA) hanno trovato una prima risposta normativa, con il Digital Market Act e con il Digital Service Act, basata principalmente sull’effetto che le stesse producono sulle regole di concorrenza (motivo per il quale sono definite come gatekeepers). Le norme introdotte creano nuove macrocategorie, cui corrispondono regole diverse quanto a vincoli, controlli, sanzioni, cosicché gli operatori abbiano piena consapevolezza dei vincoli che devono rispettare13. Si impongono nuovi obblighi a carico di alcuni operatori del mercato, nuove regole di protezione dei consumatori e si attribuiscono poteri specifici delle autorità di vigilanza 14. Mentre il GDPR punta per l’enforcement sul principio dell’accountability che attribuisce il compito di gestire il rischio d’impresa alla stessa impresa; la proposta su IA, senza distinzioni per tipologie di operatori, prevede un sistema di regole più complesso che vieta alcuni sistemi in quanto valutati come troppo rischiosi e introduce regole di compliance rigorose per i sistemi ad alto rischio e regole meno stringenti per tutti gli altri. 12 Manca una definizione puntuale perché l’espressione “piattaforme digitali” viene riferita a una moltitudine di fenomeni diversi ma che sono tutti contraddistinti dalla capacità di processare dati e dall’uso di algoritmi. Una possibile, e condivisibile, definizione è stata data dal Vice Direttore Generale della Banca d’Italia CIPOLLONE, alla Conference on Digital Platforms and Global Law, che ha definito le piattaforme digitali un “network, un meccanismo federato e cooperativo in cui tutti gli operatori coinvolti possono estrarre valore dalla disponibilità delle informazioni a loro disposizione”, in https://www.bancaditalia.it/pubblicazioni/interventi-direttorio/int-dir-2022/CIPOL LONE_29_aprile_2022.pdf. 13 BASSAN, DSA, L’UE ha le carte in regola. Per Ora, in https://formiche.net/2022/04/dsa-uedigitale/. 14 Regolamento del Parlamento Europeo e del Consiglio relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) e che modifica la direttiva 2000/31/ce, art. 27 “Le piattaforme online di dimensioni molto grandi adottano misure di attenuazione ragionevoli, proporzionate ed efficaci, adattate ai rischi sistemici specifici individuati a norma dell'articolo 26 […]”, in https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020PC0825&from=en. Più nello specifico, il Digital Service Act introduce una legislazione ex ante per le piattaforme con più di 45 milioni di utenti, i gatekeepers; quest’ultimi dovranno adottare strumenti adeguati al fine di 11 124 Maddalena Rabitti Tuttavia, quel che induce a non considerare funzionale alla tutela questo approccio normativo e di vigilanza è il profilo dell’enforcement. La difficoltà di ancorare le piattaforme a criteri territoriali per legittimare l’intervento delle autorità, oltre alla capacità delle piattaforme più importanti di imporre direttamente le regole al mercato sottraendosi, con la forza dell’autorità privata, alle regole eteronome15, determina una crisi del metodo di vigilanza. Appare evidente dunque già nei presupposti che il Digital Market Act e il Digita Service Act potrebbero fallire nei loro obiettivi, in quanto unenforceable. Guardando al Pacchetto sulla Finanza Digitale del 2020, l’impressione è che il legislatore europeo abbia aperto la strada al superamento o, quantomeno, alla combinazione della disciplina per soggetti con quella per attività16, adottando un approccio al rischio connesso al tipo di tecnologia considerata: intelligenza artificiale e blockchain in primo luogo, cui deve corrispondere una vigilanza in grado di assicurare l’enforcement alle regole giuridiche. A questo proposito, come è stato sostenuto, «le sfide principali risiedono nell’identificazione del confine del perimetro regolamentare e nel come preservare la necessaria chiarezza sui profili di governance (chi è responsabile di che cosa, e come) in un mondo potenzialmente “atomistico”. L’innovazione mette infatti in discussione paradigmi di business, di supervisione e regolamentari, consolidati da decenni, come quello della vigilanza per soggetti»17. prevenire i contenuti illeciti e di rendere conoscibile il modo in cui le informazioni vengono veicolate. 15 In merito, cfr. BASSAN, Digital Platforms and Global Law, Edward Elgar Publishing, 2021. 16 A ben vedere, dunque, l’una e l’altra tecnica di regolamentazione hanno in via di principio ragione di esistere in considerazione delle finalità di tutela che la giustificano: il principio di proporzionalità delle regole è ad esempio alla base delle discipline che mantengono il fuoco sul soggetto, così come obiettivi di salvaguardia di concorrenza possono anch’essi essere alla base della tecnica normativa adottata che abbia come perno la natura e dimensione dell’ente vigilato. Ciò che però occorre considerare è se questo assetto di regole si combina con la capacità del sistema di farle rispettare. 17 SIANI, La regolamentazione delle nuove tecnologie basate sulla Distributed ledger technology – DLT, tra tutela del mercato e rischi di sistema, cit. 125 Le regole di supervisione nel mercato digitale 3. Andrebbe ripensato, in quanto non più coerente con l’attuale fase dello sviluppo tecnologico, anche il principio di neutralità tecnologica, che stabilisce che non è giusto scommettere su una sola tecnologia ma, al contrario, è meglio prevedere un approccio flessibile alle diverse tecnologie a disposizione, senza che una prevalga necessariamente sulle altre. Andrebbe criticata soprattutto il corollario che ne consegue secondo cui i policy maker non dovrebbero favorire l’impiego di un tipo particolare di tecnologia rispetto ad un'altra, altrimenti la regolazione non sarebbe più neutrale con potenziale pregiudizio della concorrenza. Raggiungere condizioni di parità per i partecipanti al mercato è certamente un obiettivo fondamentale per le autorità, ma non è l’unico, e esso deve essere bilanciato con la possibilità di salvaguardare altri interessi del sistema come, ad esempio, quello dell’efficienza della tecnologia e della sicurezza informatica che non possono essere davvero garantiti in assenza di regole. Sebbene richiamato da tutte le ultime proposte legislative europee, tra cui, ad esempio, il DLT Pilot Act18, nonché delle recentissime Raccomandazioni OCSE sulla blockchain19 del giugno 2022, il principio della neutralità tecnologica è peraltro da tempo revocato in dubbio dalla dottrina20, che ne sottolinea il 18 Il DLT Pilot ACT (proposta di regolamento COM, 2020/594) introduce un regime pilota di sperimentazione volto a consentire alle infrastrutture di mercato (sedi di negoziazione o depositari centrali di titoli), che abbiano ad oggetto valori mobiliari DLT (DLT transferable securities), di operare in deroga alla disciplina vigente applicabile alle infrastrutture di mercato attraverso una temporanea esenzione da alcuni requisiti specifici previsti dalla legislazione stessa. 19 OECD, Recommendation of the Council on Blockchain and other DLT, https://www.oecd.org/ mcm/Recommendation-on-Blockchain-and-other-Distributed-LedgerTechnologies.pdf. 20 Il principio di neutralità tecnologica seppur appaia particolarmente “rassicurante”, in quanto teoricamente capace di garantire pari condizioni di mercato non è agevolmente realizzabile; è infatti complesso disegnare norme che davvero lo «promuovano» e che consentano di monitorarlo. Lo hanno messo in dubbio in tanti, a partire da RABITTI, SCIARRONE ALIBRANDI, I servizi di pagamento tra PSD2 e GDPR: open banking e conseguenze per la clientela, in Liber amicorum Guido Alpa, (a cura di Capriglione), Padova 2019, pp. 711 ss.; a ANNUNZIATA, Verso una disciplina europea delle cripto-attività. Riflessioni a margine della recente proposta della 126 Maddalena Rabitti carattere declamatorio contraddetto da regole operative, ed è anche smentito dallo stesso legislatore (come, ad esempio, sembra evincersi dal divieto, espresso dal Parlamento Europeo, di vendita delle auto con motori termici a partire dal 203521). Esso rischia, nella sua concreta attuazione, di essere l’ultimo baluardo dell’idea che per sviluppare il mercato digitale non ci voglia nessuna regola sulla tecnologia. In un certo senso si potrebbe ritenere che esso sia stato sconfessato anche da chi a livello declamatorio lo afferma, come la Proposta di Regolamento sull’intelligenza artificiale che, vietando espressamente alcuni sistemi di intelligenza artificiale, in sostanza non si dimostra realmente neutrale sulle tecnologie e sull’uso che di esse è possibile farne. Un corollario criticabile anch’esso di questo principio è, come si diceva, il divieto per le autorità di vigilanza di preferire una tecnologia rispetto a un’altra 22. Anche a questo riguardo, non si può infatti continuare a sostenere, alla luce delle nuove tecnologie emergenti, che l’attività di supervisione debba essere condotta senza distinguere le soluzioni efficienti e inefficienti23. Commissione UE, in https://www.dirittobancario.it/art/verso-una-disciplina-europea-delle-criptoattivita-riflessioni-margine-recente-proposta-commissione/, Ottobre 2020; a MATTASSOGLIO, Algoritmi e regolazione. Circa i limiti del principio di neutralità tecnologica, in Rivista della Regolazione dei mercati, 2/2018. 21 In https://www.ilsole24ore.com/art/salta-riforma-mercato-ue-emissioni-gas-serra-attesa-voto-autoAEOFiYeB. 22 Per garantire un adeguato funzionamento del mercato e, più in generale, per tutelare l'interesse pubblico, le autorità pubbliche devono talvolta trattare i diversi attori in modo diverso, anche se ciò incide sulla loro posizione concorrenziale relativa. Infatti, i rischi generati da soggetti diversi che svolgono un'attività simile non sono necessariamente gli stessi. Ad esempio, diverse imprese che eseguono la sottoscrizione del credito generano rischi diversi per il sistema finanziario; ciò dipende dal fatto che la loro attività sia finanziata dalle proprie risorse, dalla leva di mercato o dai depositi prelevati dal pubblico. Di conseguenza, diversi soggetti con diverse opzioni di finanziamento potrebbero dover essere soggetti a norme diverse al fine di affrontare adeguatamente i rischi specifici che generano e, quindi, salvaguardare la stabilità finanziaria. 23 MICALI, Blockchain 4.0, Relazione al convegno Unidroit – Roma Tre, dal titolo Conference on Digital Platforms and Global Law, Roma, 29 aprile 2022. 127 Le regole di supervisione nel mercato digitale Oggi al centro dell’innovazione tecnologica ci sono le DLT/blockchain. Esistono buone blockchain e cattive blockchain e il criterio distintivo è dato dalle caratteristiche intrinseche della tecnologia adottata (ad esempio, il livello di sostenibilità dal punto di vista ambientale, sicurezza tecnologica; scalabilità) che devo essere idonee a garantire il rispetto dei principi e delle regole giuridiche poste a tutela degli interessi del mercato. Tuttavia, se non si può arrivare ad imporre per via legislativa una tecnologia piuttosto che un’altra –posta peraltro la sempre più rapida evoluzione delle soluzioni tecnologiche – è legittimo affermare che se una tecnologia specifica riesce, meglio di altre, a garantire il rispetto della normativa o a porsi in linea con gli standard normativi essa possa essere raccomandata o preferita dalle Autorità di Vigilanza. Basti pensare a come le blockchain di ultima generazione siano di gran lunga più sicure, efficienti ed ecosostenibili rispetto alle precedenti nate con bitcoins. Il superamento della neutralità tecnologica è, dunque, fisiologico e significa legittimare alcune tecnologie rispetto ad altre e per l’effetto alcuni prodotti e servizi in ragione della tutela degli interessi in gioco. Le Autorità di Vigilanza possono anticipare le tutele muovendosi alla stessa velocità del mercato e, da questo angolo visuale, possono diventare driver dell’innovazione tecnologica così da guidare il mercato verso l’adozione di soluzioni tecnologiche efficienti e sicure. È necessario infatti monitorare con attenzione l’interazione tra il modello di intermediazione tradizionale e quello decentralizzato, favorendo soluzioni tecnologiche robuste e sostenibili. La strada migliore sembra, dunque, essere quella intrapresa dalle autorità di vigilanza, tra cui la Banca d’Italia che si è impegnata ad individuare alcune caratteristiche che le tecnologie devono avere per assicurare il raggiungimento degli obiettivi normativi. Chiarissimo in questa direzione il contenuto della 128 Maddalena Rabitti comunicazione del 15 giugno 2022 della Banca d’Italia, in cui si afferma che: «in linea di principio, le DLT possono recare benefici per gli utilizzatori, connessi con miglioramenti dell’efficienza nell’offerta di servizi finanziari, ampliamento degli orari di operatività dei sistemi, riduzione dei costi e dei tempi per le transazioni transfrontaliere, accrescimento della velocità nei trasferimenti di attività finanziarie e avanzamento della frontiera tecnologica, anche grazie a un rafforzamento della concorrenza. Affinché ciò avvenga le DLT devono avere le caratteristiche delle tecnologie più mature, ovvero essere affidabili nella continuità del servizio e, in generale, resilienti agli attacchi informatici, scalabili (quindi in grado di adeguare la capacità di registrare un numero crescente di operazioni senza un deterioramento significativo dei tempi e della qualità del servizio), efficienti dal punto di vista economico e ambientale (in particolare, capaci di supportare a costi modesti e sostenibili sotto il profilo ambientale un volume elevato di operazioni), avere una governance robusta e identificabile». 4. La via per assicurare un sano sviluppo del FinTech potrebbe essere quella della di promuovere la co-regolazione tra le imprese e le autorità di vigilanza e anche forme di co-compliance in chiave RegTech, cioè prevedendo l’intervento dell’autorità di vigilanza al momento della creazione del prodotto per definire con il mercato anche i modi per rispettare le regole. La necessità di procedere ad una co-regolazione tra operatori ed autorità di settore viene affermata prima di tutto a livello europeo: i considerando 67 e 68 del Data Service Act nei quali, espressamente, si parla dell’opportunità che la Commissione Europea incoraggi l’adozione di codici di auto-condotta, la cui attuazione dovrebbe essere soggetta a controllo pubblico, elaborati in una ottica di 129 Le regole di supervisione nel mercato digitale co-regolamentazione ed autoregolamentazione24 ne sono un esempio. Il processo di co-regolazione, ove correttamente impostato, potrebbe dare spazio a un ambito di cooperazione sinergica e di dialogo costante tra Autorità Pubblica e soggetti privati, che permetterebbe di identificare e condividere benchmark tecnologici volti a costituire la garanzia di un’innovazione tecnologica robusta e sana25. Le autorità finanziarie europee e nazionali hanno mostrato essere consapevoli di questa opportunità e della opportunità di avere un ruolo proattivo nell’orientare le trasformazioni in corso, facilitando la transizione digitale dell’industria finanziaria tramite l’elaborazione di regole “su misura” che siano in grado di garantire la stabilità e la sicurezza del sistema senza ostacolarne le trasformazioni tecnologiche e organizzative26. In questa prospettiva, si è avviato un processo volto all’elaborazione di standard condivisi tra gli operatori del settore e le autorità mediante un processo dialogico che, oltre a stabilire limiti e obblighi, permetta di semplificare, quando possibile, le regole di compliance oggi esistenti, nonché di applicarle secondo un principio di proporzionalità. 24 La Commissione e il comitato dovrebbero incoraggiare l'elaborazione di codici di condotta per contribuire all'applicazione del presente regolamento. L'attuazione dei codici di condotta dovrebbe essere misurabile e soggetta a controllo pubblico; tuttavia, ciò non dovrebbe pregiudicare il carattere volontario di tali codici e la libertà delle parti interessate di decidere se aderirvi. In determinate circostanze è importante che le piattaforme online di dimensioni molto grandi cooperino all'elaborazione di specifici codici di condotta e vi aderiscano. Il presente regolamento non osta a che altri prestatori di servizi, attenendosi agli stessi codici di condotta, aderiscano alle stesse norme in materia di dovere di diligenza, adottino le migliori pratiche e traggano beneficio dagli orientamenti emanati dalla Commissione e dal comitato. È opportuno che per i suddetti codici di condotta il presente regolamento individui determinati ambiti da prendere in considerazione. In particolare, è opportuno valutare, mediante accordi di autoregolamentazione e di coregolamentazione, misure di attenuazione dei rischi riguardanti specifici tipi di contenuti illegal. 25 In questo senso, ora, vedi espressamente CIPOLLONE, Risposte (e proposte) della Banca d'Italia alle sfide dell'evoluzione tecnologica, in Riv. dir. banc., 2022, fasc. III, pp. 606 s. 26 PERAZZELLI, Le iniziative regolamentari per il Fintech: a che punto siamo?, in https://www.bancaditalia.it/pubblicazioni/interventi-direttorio/int-dir-2021/PERRAZZELLI-4maggio-2021.pdf. 130 Maddalena Rabitti Va peraltro osservato come non necessariamente la tecnologia migliore sia quella che assicura al massimo la compliance alla normativa esistente, perché la tecnologia può modificare le esigenze di tutela e, di conseguenza, rendere necessario rivisitare la disciplina vigente. Ad esempio, vi è già un ampio dibattito su come i rischi tecnologici possano cambiare i doveri del CdA27 o riflettersi sulle regole di organizzazione degli intermediari, così come, sempre a titolo esemplificativo, l’utilizzo di blockchain per svolgere attività di finanziamento potrebbe rendere superflue alcune regole oggi previste in materia di trasparenza (dal momento che la blockchain assicura la certezza e disponibilità delle informazioni presenti on chain) e invece richiedere nuove tutele legate a possibili rischi di attacchi informatici. Quanto si è fin qui detto dimostra che, sebbene l’Europa spinga verso una rapida regolamentazione del Fintech, la difficoltà che si incontra nel disciplinare fenomeni in così rapida evoluzione e così complessi rende opportuno, anche dal punto di vista regolatorio, adottare un approccio più flessibile, in cui mercato e autorità di vigilanza cooperino in vista di una prima e più efficiente risposta ai problemi e alle esigenze di tutela che la trasformazione digitale comporta, attraverso l’introduzione di standard e linee guida che contemperino innovazione e sicurezza dando attuazione ai principi dettati negli atti europei. Le sandbox regolamentari sono in linea con questa lettura: il Milano HUB28, ad esempio, è stato pensato come un luogo dove sostenere l’evoluzione del mercato digitale e permettere il confronto tra le autorità di vigilanza, il mondo accademico e gli operatori del mercato in modo da cooperare al fine di individuare 27 PICCIAU, Gli algoritmi e il ruolo del consiglio di amministrazione: un nuovo equilibrio tra compiti strategici, gestori e di controllo, in https://www.economia.unimore.it/site/home/ricerca/ seminari-algoritmi-e-diritto-dellimpresa/articolo890059054.html. 28 È il centro di innovazione creato dalla Banca d’Italia nel quale l’Autorità fornisce il proprio sostegno allo sviluppo di progetti innovativi che vedono coinvolti operatori di mercato, istituzioni private e pubbliche e accademia. 131 Le regole di supervisione nel mercato digitale i rischi delle nuove tecnologie e gli strumenti più adeguati per contenerli29. Va tuttavia notato come lo strumento del sandbox non appare ugualmente efficace nei confronti di tutta la tecnologia: se da un lato tecnologie come la DLT/blockchain si prestano più facilmente a una “regolazione partecipata”30, che veda protagonisti mercato e autorità nella sperimentazione tecnologica e che porti a creare nuovi servizi o prodotti già in qualche misura “validati” in via preventiva dall’Autorità di vigilanza; dall’altro lato, esistono tecnologie che per le loro caratteristiche intrinseche non sono, allo stato attuale, altrettanto governabili. I sistemi di AI con machine learning, - che permette alla macchina di adattarsi in maniera indipendente a nuovi set di dati, che si aggiungono a quelli iniziali, per cui la stessa impara dal gran numero di dati che vengono immessi nel sistema per suggerire nuove soluzioni - sono, ad esempio, difficilmente valutabili come idonei ex ante dall’autorità di settore, dal momento che essi sono destinati a modificare il proprio comportamento alla luce dei dati che incontrano e per raggiungere l’obiettivo per cui è stata programmata, con esiti non sempre prevedibili, specie in caso di bias. 5. Le regole devono essere embedded nella tecnologia e la supervisione su di esse deve essere preventiva e non successiva, altrimenti si corre il rischio che non ci sia un enforcement effettivo. La tecnologia ha permesso di creare prodotti e servizi talmente innovativi che difficilmente possono essere assoggettati alla normativa esistente né è sempre agevole riuscire ad applicare le categorie giuridiche del mondo analogico a sistemi digitali basati su codici non criptografici non necessariamente conformi all’attuale VISCO, Intervento di chiusura del Webinar su “La transizione digitale nel credito”, in https://www.bancaditalia.it/pubblicazioni/interventi-governatore/integov2021/Visco_22-aprile2021.pdf . 30 BASSAN, Digital Platforms and Blockchains: the Age of Participated Regulation, in corso di pubblicazione. 29 132 Maddalena Rabitti normativa civilistica31. Ne deriva pertanto la necessità di far sì che il diritto non insegua la tecnologia (attività questa che sarebbe molto difficile se non impossibile da compiere) ma che si coniughi Tech e Law. Ecco allora che la prospettiva da cui guardare all’attività e ai rischi si sposta: le regole nascono dal mercato e per essere garantito il loro rispetto devono, sin dall’inizio, essere in linea con gli obiettivi legislativi e valutate ex ante come idonee dalle autorità di vigilanza. È questo un processo che consente anche l’enforcement: la regola deve nascere incorporata nella tecnologia poiché se ciò non accadesse non vi è alcun modo di garantire ex post il rispetto delle regole. Questa necessità è stata evidenziata anche nella già citata comunicazione di Banca d’Italia in materia di DLT/blockchain secondo cui: “regole, diritti e doveri sono iscritti all’interno di protocolli e programmi – predisposti e resi liberamente disponibili sull’infrastruttura da utilizzatori della stessa, anche residenti in diverse giurisdizioni – rendendo difficile identificare un soggetto o entità centrale cui riferire le responsabilità di governance, e quindi il foro competente e la legge applicabile, in particolare nelle dlt permissionless”. Per realizzare tale obiettivo vanno creati elevati standards e good practices che possano indirizzare il mercato, dare fiducia agli utenti e favorire una innovazione tecnologica responsabile ed efficiente. Verso tale strada è orientata la Banca d’Italia, il cui vicedirettore generale Piero Cipollone, ha avuto modo di osservare in un convegno dell’aprile scorso sulle piattaforme digitali organizzato dall’Unidroit e dall’Università di Roma Tre32 come, la “definizione di standard e prassi sviluppati secondo una logica di collaborazione pubblico – privato può essere funzionale ad alimentare una regolazione soft per 31 CIPOLLONE, Risposte (e proposte) della Banca d'Italia alle sfide dell'evoluzione tecnologica, cit. CIPOLLONE, Conference on Digital Platforms and Global Law, in https://www.banca ditalia.it/pubblicazioni/interventi-direttorio/int-dir2022/CIPOLLONE_ 29_aprile _2022.pdf 32 133 Le regole di supervisione nel mercato digitale principi che potrebbe garantire un sufficiente grado di aderenza rispetto a una frontiera tecnologica in continuo movimento”. Una riprova di tale convinzione dell’Autorità si rinviene anche in a proposito di blockchain e cripto attività, nella comunicazione più volte richiamata, in cui la Banca d’Italia si è riservata di: “intervenire con indicazioni aventi anche natura prescrittiva per contribuire a garantire uno sviluppo dei servizi basati su tecnologie decentralizzate sicuro, efficiente, inclusivo, sostenibile”. In conclusione, posta l’applicazione dei precedenti assiomi viene facile portare il ragionamento oltre, fino ad immaginare che in un futuro, forse non troppo lontano, saranno le Authorities a partecipare all’infrastruttura tecnologica del mercato digitale divenendo esse stesse, ad esempio, nodi della blockchain o oracoli nell’ambito degli smart contracts. Si attuerebbe così in pieno la rivoluzione Fintech, che vede nuovi operatori e nuovi prodotti (Fintech in senso stretto), nuove tecniche di compliance partecipata (Regtech) e di supervisione (SupTech)33. 33 Rinvio a quanto ho osservato nel capitolo dal titolo RegTech e SupTech , in Intelligenza artificiale e diritto: una rivoluzione, cit., pp. 454, in cui osservo che: “il rapporto tra Fintech, Regtech e Suptech si chiarisce meglio se si guarda all’iniziativa di chi agisce: se l’impresa si avvale di tecnologia per creare business, siamo al cospetto di Fin-tech in senso stretto; se l’impresa ricorre alla tecnologia per assicurare il rispetto degli obblighi normativi in maniera più efficiente ed efficace rispetto alle capacità attuali si parla di Reg-tech; infine, se alla tecnologia ricorrono le Autorità di regolazione e di vigilanza per assolvere i propri compiti si ha Sup-tech. Questa classificazione è funzionale all’uso che si fa della tecnologia applicata alla finanza: business, compliance, supervision. Concentrando l’attenzione sul Reg-tech – che riguarda dunque le soluzioni tecnologiche utilizzabili per rendere più efficienti i processi di monitoraggio, reporting e compliance nei servizi finanziari33 -- nella letteratura internazionale più recente - proprio guardando all’iniziativa di parte - si propone in dottrina (COLAERT RegTech as a Response to Regulatory Expansion in the Financial Sector, June 2018, disponibile su SSRN: https://ssrn.com/abstract=2677116 or http://dx. doi.org/10.2139/ssrn.2677116), una classificazione tripartita del fenomeno che ci permette di distinguere tra tre sub-categorie di RegTech, andando così ben oltre la generica definizione richiamata. Si distingue cioè tra: (i) Compliance-RegTech: che si ha quando gli intermediari finanziari sviluppano e acquisiscono tecnologie per rendere più efficiente la compliance; (ii) SupRegTech: quando l’Autorità di Vigilanza impone l’uso di una determinata tecnologia per facilitare la compliance, la vigilanza e l’enforcement; (iii) Reg-RegTech: che permette di tradurre le regole direttamente in machine readable language (Code is the Law): gli obblighi di compliance non sono più formulati con linguaggio giuridico ma scritti con codici informatici o comunque con linguaggio 134 Maddalena Rabitti Perché ciò sia concretamente possibile occorre tuttavia che il percorso avviato e il processo di definizione di regole e standard sia maggiormente consolidato, altrimenti vi è il rischio di attribuire nuove e forse eccessive responsabilità alle Autorità di Vigilanza. Maddalena Rabitti Ordinario di Diritto dell’economia nell’Università di Roma Tre leggibili dall’informatica. Il pregio di questa proposta articolata sul piano definitorio è duplice: da un lato, essa consente di circoscrivere meglio l’ambito applicativo del RegTech cogliendone le molteplici declinazioni; dall’altro lato, evidenzia il legame stretto che intercorre tra RegTech e SupTech. 135