C'è una data che il settore crypto europeo conosce bene: il 1° luglio 2026. La fine del regime transitorio MiCA, il momento in cui tutti i crypto-asset service provider dovevano avere in tasca una licenza CASP oppure smettere di operare nell'Unione Europea. Una scadenza che ha mobilitato avvocati, compliance officer e team legali per mesi, che ha generato decine di articoli, analisi e webinar. Una scadenza che, alla fine, ha prodotto 280 CASP autorizzati e 29 revocazioni già registrate nei giorni immediatamente successivi.
E poi c'è il 28 luglio 2026. Una data quasi invisibile nel dibattito pubblico, ignorata dai media mainstream del settore, assente dalle newsletter più seguite. Eppure il 28 luglio non è una scadenza minore: è il giorno in cui entrano in vigore le linee guida ESMA elaborate ai sensi dell'Art. 81(7) del Regolamento MiCA — le norme che impongono agli exchange di dimostrare che il proprio personale è competente, certificato, formato. Non basta avere la licenza: devi dimostrare che chi lavora per te sa quello che fa.
Questo articolo racconta quella data. Chi sapeva, chi non sapeva, chi ha già dichiarato conformità e chi ha preferito il silenzio. E perché questa seconda scadenza potrebbe interessare molto più di quanto sembri agli utenti retail che ogni giorno comprano e vendono crypto su piattaforme europee autorizzate.
- Data di entrata in vigore: 28 luglio 2026
- Norma di riferimento: Art. 81(7) MiCA (Reg. EU 2023/1114)
- Linee guida ESMA pubblicate: 28 gennaio 2026 (ref. ESMA35-24871704-2922)
- Staff Tier 1 (ruoli informativi): minimo 10 ore CPD/anno
- Staff Tier 2 (ruoli di consulenza): minimo 20 ore CPD/anno
- Prima NCA in compliance dichiarata: AMF Francia (26 marzo 2026)
- CASP soggetti: tutti i 280 CASP autorizzati EU/EEA (dato al 9/7/2026, fonte casptracker.eu)
- Sanzioni possibili: fino a €15 milioni o 12,5% del fatturato annuo (Art. 111 MiCA)
Il 28 luglio non è il 1° luglio
Per capire perché il 28 luglio è importante, occorre prima capire perché è diverso dal 1° luglio. Le due date rispondono a logiche normative distinte e producono effetti completamente diversi sul mercato.
Il 1° luglio 2026 segnava la fine del regime di grandfathering previsto dalla fase transitoria MiCA. In parole semplici: tutti i CASP che operavano in regime provvisorio — autorizzati dalla propria NCA nazionale in base alle norme preesistenti — dovevano entro quella data completare il processo di autorizzazione completa secondo il nuovo quadro europeo, oppure cessare l'attività. Era una scadenza esistenziale per molti operatori. Chi non aveva la licenza, chi non aveva ancora completato il dossier, chi aveva scelto di ritirare la domanda (come Binance con la Grecia) doveva fare i conti con l'impossibilità di operare legalmente nell'UE. Il risultato, nei giorni successivi al 1° luglio, è stato di 29 revocazioni CASP già registrate e 280 operatori attivi rimasti in campo, secondo i dati di casptracker.eu e Finray.
Il 28 luglio funziona diversamente. Non è una scadenza di accesso al mercato — riguarda invece le modalità di condotta degli operatori già autorizzati. Tecnicamente, le linee guida ESMA ex Art. 81(7) sono state pubblicate il 28 gennaio 2026, e la norma prevede un periodo di applicazione di sei mesi dalla pubblicazione. Il conto è semplice: 28 gennaio + 6 mesi = 28 luglio 2026. Da quel giorno, tutti i CASP autorizzati sono tenuti a rispettare i requisiti di conoscenza e competenza del personale stabiliti da ESMA. Non come raccomandazione. Come obbligo.
Il silenzio dei media su questa seconda scadenza è quasi totale. Nelle settimane precedenti al 28 luglio, la quasi totalità dell'attenzione del settore si è concentrata sugli strascichi del 1° luglio — chi ha perso la licenza, chi ha lasciato l'Europa, come si redistribuiranno i clienti di Binance. Il 28 luglio è rimasto in ombra. Il che rende questo articolo, probabilmente, uno dei pochi tentativi di analisi sistematica di quella scadenza rivolti a un pubblico italiano.
Cosa impone l'Art. 81(7) MiCA al personale degli exchange
L'Art. 81(7) del Regolamento MiCA stabilisce che i CASP devono garantire che il personale impiegato nella fornitura di servizi di informazione o consulenza in materia di crypto-asset possieda le conoscenze e le competenze necessarie per adempiere ai propri obblighi. Le linee guida ESMA del 28 gennaio 2026 — prodotto finale di un processo iniziato con il Final Report pubblicato a luglio 2025 (ref. ESMA35-1872330276-2380) — traducono questo principio in requisiti operativi concreti, organizzati per livelli.
Le linee guida introducono due categorie di personale in scope, ognuna con requisiti distinti:
Tier 1 — Staff informativo. Rientrano in questa categoria tutti i ruoli che forniscono informazioni generali su crypto-asset senza raccomandazioni personalizzate: customer support, team di onboarding, account manager commerciali, operatori KYC, team di assistenza tecnica che spiegano il funzionamento dei prodotti. Per questo personale, il requisito minimo è di 10 ore annue di formazione professionale continua (CPD, Continuing Professional Development). Non si tratta di un corso una tantum: è un aggiornamento annuale obbligatorio, certificato e documentato.
Tier 2 — Staff advisory. Appartengono a questa categoria i professionisti che forniscono raccomandazioni personalizzate su crypto-asset specifici, gestiscono portafogli per conto dei clienti, o forniscono consulenza strutturata in materia di investimenti crypto. Per questi ruoli il requisito sale a 20 ore annue di CPD — il doppio del Tier 1 — a riflesso della maggiore responsabilità nei confronti dell'utente finale.
Ma l'aspetto forse più impegnativo delle guidelines non sono le ore di formazione in sé: è la documentazione obbligatoria che ogni CASP deve mantenere per ogni singola persona in scope. Le linee guida ESMA specificano che ciascun individuo nel perimetro della norma deve avere un registro individuale che includa:
- Una valutazione iniziale delle competenze al momento dell'assunzione o dell'assegnazione al ruolo
- Il modulo formativo certificato completato, con indicazione del provider e della data
- I risultati dell'assessment con il voto di superamento
- La documentazione dell'aggiornamento annuale obbligatorio
- La prova della supervisione nei primi mesi di esercizio del ruolo
- Il registro individuale completo, disponibile on demand per il supervisore NCA in caso di ispezione
Questo è l'aspetto che rende il 28 luglio una scadenza operativamente pesante, soprattutto per i CASP medio-grandi con centinaia o migliaia di dipendenti in scope. Costruire un sistema di tracking individuale della formazione, certificarla, mantenerla aggiornata e renderla disponibile su richiesta delle autorità non è un'operazione che si fa in una settimana. È un'infrastruttura di compliance che richiede mesi di progettazione, implementazione e test.
Nota metodologica: Le linee guida ESMA non specificano un elenco chiuso di provider di formazione approvati. Tuttavia, le ore CPD devono essere erogate da programmi strutturati con valutazione finale certificata. Corsi interni autoprodotti senza assessment esterno potrebbero non essere ritenuti sufficienti dalle NCA in sede di ispezione.
Cosa cambia per te come utente
Il 28 luglio 2026 è una data di compliance normativa. Ma le sue implicazioni concrete per l'utente finale sono più tangibili di quanto sembri a prima vista.
Il punto di partenza è questo: quando contatti il customer support del tuo exchange europeo — per un problema con un bonifico, per capire come funziona lo staking, per chiedere spiegazioni su un prodotto — stai interagendo con personale che, dal 28 luglio, deve avere competenze certificate su crypto-asset. Non generiche, non auto-dichiarate: certificate, documentate, aggiornate almeno 10 ore all'anno. Se ti viene fornita un'informazione errata su un prodotto crypto, e domani emerge che quell'operatore non aveva completato la formazione obbligatoria, l'exchange è esposto non solo a una critica reputazionale ma a sanzioni regolatorie formali.
Ancora più rilevante per gli utenti che usano servizi di consulenza o gestione di portafoglio: il consulente che ti raccomanda un specifico crypto-asset, o che gestisce il tuo portfolio su delega, deve avere almeno 20 ore annue di formazione certificata. È un requisito simile a quello che esiste da decenni per i consulenti finanziari tradizionali. MiCA lo estende al mondo crypto.
C'è una domanda molto semplice che puoi porre al tuo exchange: "Siete in regola con le guidelines ESMA del 28 luglio 2026 ex Art. 81(7) MiCA?". Se l'operatore con cui parli non sa di cosa stai parlando, è un segnale. Non necessariamente che l'exchange non sia conforme — potrebbe essere che la persona che risponde al ticket non sia quella che gestisce la compliance. Ma se la risposta è un vuoto assoluto o una risposta evasiva anche dopo un'escalation, è lecito nutrire dubbi.
Dal 28 luglio le NCA — le autorità nazionali competenti dei singoli stati membri — hanno il potere esplicito di richiedere on demand i registri di formazione individuali. Se un exchange non li ha, o li ha in formato non conforme, rischia sanzioni ai sensi dell'Art. 111 MiCA: fino a 15 milioni di euro o al 12,5% del fatturato annuo, a seconda di quale cifra sia più alta. Le NCA possono anche sospendere o revocare la licenza CASP per violazioni reiterate delle norme di condotta.
Non è solo una questione di compliance burocratica. È una protezione concreta per l'utente retail, costruita sulla stessa logica dei requisiti MiFID II per i consulenti finanziari tradizionali. Il mercato crypto europeo si sta uniformando agli standard del mercato finanziario regolamentato — e questo include la qualità professionale di chi ci lavora.
Chi ha già dichiarato di essere pronto (e chi non ha detto nulla)
La disparità tra chi ha comunicato la propria posizione sul 28 luglio e chi ha scelto il silenzio è la parte forse più rivelatrice di questa vicenda. E il quadro che emerge è tutt'altro che rassicurante per l'utente che cerca trasparenza.
AMF Francia — compliance dichiarata. L'Autorité des Marchés Financiers francese è la prima NCA ad aver formalmente dichiarato la propria conformità alle guidelines ESMA ex Art. 81(7), il 26 marzo 2026 — quasi quattro mesi prima della scadenza. La dichiarazione ufficiale dell'AMF è esplicita: "The AMF reminds that these guidelines will apply from 28 July 2026. They will apply to all authorised CASPs, whether authorised through licensing or through a notification procedure." Il documento di riferimento è l'AMF Position DOC-2026-03. L'AMF, che supervisiona i principali CASP autorizzati in Francia tra cui Bitstamp, ha quindi già incorporato i requisiti nelle proprie procedure ispettive.
CySEC Cipro — intenzione di conformarsi. La Cyprus Securities and Exchange Commission ha dichiarato di "intendere conformarsi" alle guidelines una volta completati i propri procedimenti interni. La formula è diversa da quella dell'AMF: non è una dichiarazione di compliance già raggiunta, ma un'intenzione formale. Cipro è la giurisdizione con il maggior numero di CASP autorizzati nell'UE — una NCA non pienamente operativa su questi requisiti ha quindi implicazioni sistemiche.
Banca Centrale di Cipro — stessa posizione. La CBC ha emesso una dichiarazione analoga a quella della CySEC, indicando l'intenzione di conformarsi una volta completati i procedimenti interni. Due autorità cipriote con la stessa formula, entrambe ancora in fase di completamento procedurale a poche settimane dalla scadenza.
Sul fronte degli exchange, il quadro è ancora più opaco. Kraken non ha rilasciato dichiarazioni pubbliche specifiche sulle guidelines Art. 81(7) disponibili al momento della pubblicazione di questo articolo. Bitvavo, exchange olandese tra i più rilevanti per gli utenti italiani, non ha rilasciato dichiarazioni pubbliche in merito. Coinbase EU, che opera attraverso la propria entità irlandese autorizzata dal CBI, non ha rilasciato dichiarazioni pubbliche in merito. OKX e Bybit EU si trovano nella stessa situazione: assenza di comunicazioni pubbliche specifiche sulle guidelines al momento della pubblicazione.
Questo non significa necessariamente che questi exchange non siano conformi. Significa che hanno scelto di non comunicare la propria conformità in modo proattivo e pubblico. È una scelta legittima, ma è anche un'informazione rilevante per l'utente che vuole valutare la qualità dell'operatore con cui interagisce.
La conclusione investigativa è questa: la mancanza di dichiarazioni pubbliche da parte della maggior parte degli exchange non è un dettaglio trascurabile. In un regime normativo come MiCA, dove la trasparenza nei confronti degli utenti è esplicitamente richiesta, l'assenza di comunicazione proattiva su una scadenza di compliance rilevante è di per sé un indicatore da tenere in considerazione.
Ma c'è una cosa ancora più importante che emerge dalla Compliance Table ufficiale ESMA (ESMA35-24871704-3058, pubblicata il 7 luglio 2026): Polonia e Romania risultano formalmente non conformi per default. Non perché abbiano rifiutato di adeguarsi — ma perché nessuno Stato membro ha ancora designato un'autorità competente per la supervisione MiCA in quei paesi. In parole semplici: per i CASP che operano in quei mercati, non esiste un'autorità in grado di richiedere i registri di formazione. Una lacuna sistemica che la stessa ESMA ha reso pubblica.
| Soggetto | Tipologia | Dichiarazione pubblica Art. 81(7) | Stato |
|---|---|---|---|
| AMF Francia | NCA | Sì — compliance dichiarata il 26/03/2026 | CONFORME |
| BaFin Germania | NCA | Sì — conforme (fonte: ESMA compliance table 7/7/2026) | CONFORME |
| AFM Paesi Bassi | NCA | Sì — conforme (fonte: ESMA compliance table 7/7/2026) | CONFORME |
| Central Bank of Ireland | NCA | Sì — conforme (fonte: ESMA compliance table 7/7/2026) | CONFORME |
| CONSOB Italia | NCA | Sì — conforme (fonte: ESMA compliance table 7/7/2026) | CONFORME |
| MFSA Malta | NCA | Sì — conforme (fonte: ESMA compliance table 7/7/2026) | CONFORME |
| CySEC Cipro | NCA | Intende conformarsi — procedimento interno in corso | IN CORSO |
| Banca Centrale Cipro | NCA | Intende conformarsi quando esisterà un'istituzione competente | IN CORSO |
| MNB Ungheria | NCA | Intende conformarsi entro il 30 settembre 2026 | IN CORSO |
| Latvijas Banka (Lettonia) | NCA | Intende conformarsi entro il 30 settembre 2026 | IN CORSO |
| Bank of Greece | NCA | Intende conformarsi entro il 31 dicembre 2026 | IN CORSO |
| CNB Repubblica Ceca | NCA | Intende conformarsi entro il 1° luglio 2027 | IN CORSO |
| Finanstilsynet Danimarca | NCA | Conformità parziale — solo linee guida qualitative; limitazioni normative nazionali per quelle quantitative | PARZIALE |
| Polonia | NCA | Non conforme per default — autorità competente non ancora designata dallo Stato membro | NON CONFORME |
| Romania | NCA | Non conforme per default — autorità competente non ancora designata dallo Stato membro | NON CONFORME |
| Kraken | Exchange CASP | Nessuna dichiarazione disponibile al momento della pubblicazione | N.D. |
| Bitvavo | Exchange CASP | Nessuna dichiarazione disponibile al momento della pubblicazione | N.D. |
| Coinbase EU | Exchange CASP | Nessuna dichiarazione disponibile al momento della pubblicazione | N.D. |
| OKX | Exchange CASP | Nessuna dichiarazione disponibile al momento della pubblicazione | N.D. |
| Bybit EU | Exchange CASP | Nessuna dichiarazione disponibile al momento della pubblicazione | N.D. |
Fonte NCA: ESMA Compliance Table ESMA35-24871704-3058 del 7 luglio 2026. Dato sugli exchange: verifica editoriale al momento della pubblicazione. Tabella completa: esma.europa.eu
ESMA in modalità enforcement — non aspetta il 28 luglio
Se il settore ha ignorato il 28 luglio, ESMA non lo ha fatto. Anzi, l'Autorità europea degli strumenti finanziari e dei mercati ha adottato una strategia che va ben oltre la semplice attesa della scadenza: ha scelto di fare pressione, anticipare e moltiplicare gli strumenti di enforcement prima ancora che la data arrivi.
Il 7 luglio 2026 — diciannove giorni prima della scadenza — ESMA ha pubblicato la Compliance Table delle guidelines Art. 81(7). La Compliance Table è un documento che mappa la posizione di ciascuna NCA rispetto alle guidelines: chi ha dichiarato conformità, chi ha dichiarato l'intenzione di conformarsi, chi non ha risposto. È uno strumento di pressione politica molto efficace: le NCA non conformi vengono esposte pubblicamente, con il loro nome e la loro posizione, davanti all'intera comunità regolamentare europea. Pubblicare la Compliance Table diciannove giorni prima della scadenza è una mossa deliberata: non è informazione post-scadenza, è un sollecito formale e pubblico a chi è ancora indietro.
L'8 luglio 2026 — un giorno dopo — ESMA ha alzato ulteriormente la posta, annunciando il lancio di una Common Supervisory Action (CSA) sulla resilienza operativa digitale dei CASP. L'esercizio si concentra specificamente sui servizi di custody — governance dei sistemi DLT, gestione delle chiavi crittografiche, sistemi di rilevamento degli incidenti, rischi legati agli smart contract. La CSA è un esercizio coordinato a livello europeo che si svilupperà nel periodo H2 2026 → H1 2027, con un report finale atteso nella seconda metà del 2027.
L'8 luglio 2026 ESMA ha lanciato la Common Supervisory Action (CSA) sulla resilienza operativa digitale dei CASP per i servizi di custody — governance DLT, key management, incident detection, smart contract risks. Esercizio H2 2026 → H1 2027. Fonte: esma.europa.eu/press-news/esma-news/esma-launches-common-supervisory-action-casps-digital-operational-resilience
Il messaggio che emerge da queste due mosse consecutive è chiaro: ESMA non è in modalità wait-and-see. È in modalità enforcement attivo, e lo dimostra anticipando le scadenze, rendendo pubbliche le posizioni delle NCA e lanciando esercizi di supervisione coordinati che attraverseranno l'intero settore nei prossimi dodici mesi.
C'è un precedente che vale la pena richiamare per comprendere la direzione di marcia. Nel luglio 2025, ESMA ha condotto un peer review sulla Malta Financial Services Authority (MFSA) in relazione alla supervisione dei CASP maltesi. Il peer review — senza nominare i CASP specifici esaminati — ha sollevato "preoccupazioni su governance, ICT e AML su almeno un CASP non nominato". È la prova che la compliance formale — avere la licenza, avere i documenti — non è sufficiente. ESMA guarda alla sostanza della supervisione, alla qualità dell'enforcement locale, alla reale efficacia delle misure adottate dagli operatori.
In questo contesto, il 28 luglio non è un traguardo che si taglia con un comunicato stampa. È l'inizio di un regime di supervisione continua, in cui le NCA potranno richiedere i registri di formazione on demand, in cui la Compliance Table è aggiornata e pubblica, in cui ESMA può avviare CSA su qualsiasi area ritenuta critica. Chi aveva scommesso sul fatto che MiCA fosse una questione di "avere la licenza e poi si vede" potrebbe trovare il 2027 più complicato del previsto.
Domande frequenti
Il 28 luglio 2026 vale per tutti gli exchange EU?
Sì — le guidelines ESMA ex Art. 81(7) si applicano a tutti i 280 CASP autorizzati nell'UE e nello Spazio Economico Europeo, sia quelli che hanno ottenuto una licenza CASP completa attraverso il processo ordinario, sia quelli che hanno ottenuto l'autorizzazione attraverso la procedura di notifica (passaporto europeo). Non esistono esenzioni basate sulle dimensioni dell'operatore, sul volume di utenti, sul Paese di autorizzazione o sulla tipologia di servizi offerti. Un piccolo exchange autorizzato in Estonia è soggetto agli stessi obblighi di un grande operatore autorizzato in Francia o Irlanda.
Cosa rischia un exchange non conforme dopo il 28 luglio?
Le sanzioni applicabili sono quelle previste dall'Art. 111 del Regolamento MiCA per le violazioni delle norme di condotta. L'importo massimo della sanzione amministrativa pecuniaria è pari al maggiore tra 15 milioni di euro e il 12,5% del fatturato annuo totale dell'operatore nell'esercizio precedente. Questo significa che per un exchange con un fatturato significativo, la sanzione potrebbe superare ampiamente i 15 milioni. Oltre alle sanzioni pecuniarie, le NCA hanno il potere di sospendere temporaneamente l'autorizzazione CASP, di imporre misure correttive con scadenze specifiche, o nei casi più gravi di revocare definitivamente la licenza. La revoca della licenza CASP comporta l'impossibilità di operare nell'intero mercato unico europeo.
Come posso sapere se il mio exchange è conforme?
Al momento non esiste un registro pubblico centralizzato che mostri quali CASP hanno completato la formazione del personale ai sensi delle guidelines Art. 81(7) — si tratta di documentazione interna che ogni operatore deve mantenere e rendere disponibile su richiesta della propria NCA. La via più diretta è chiedere esplicitamente all'exchange, possibilmente via canale scritto (email o ticket di supporto): "L'azienda è in conformità con le guidelines ESMA ex Art. 81(7) MiCA entrate in vigore il 28 luglio 2026? È disponibile una dichiarazione formale in merito?" Dal 28 luglio, le NCA possono richiedere i registri on demand: gli exchange seri dovrebbero essere in grado di rispondere a questa domanda senza difficoltà. Il consiglio operativo è di privilegiare exchange che operano sotto NCA con un track record comprovato di enforcement attivo: AMF Francia, BaFin Germania, AFM Paesi Bassi, Central Bank of Ireland. Non è una garanzia assoluta, ma è un indicatore di qualità della supervisione.
Conclusione: la seconda scadenza apre la fase due
Il 28 luglio 2026 non chiude il ciclo MiCA: apre una nuova fase. La prima scadenza — il 1° luglio — ha deciso chi può operare nel mercato unico europeo dei crypto-asset. La seconda scadenza — il 28 luglio — inizia a definire come. E la differenza tra queste due domande è enorme.
Avere la licenza significa aver superato un processo di autorizzazione, aver presentato documenti, aver dimostrato a una NCA di avere i requisiti organizzativi e patrimoniali per operare. È una condizione necessaria, ma non sufficiente. Avere personale qualificato, certificato, aggiornato, tracciato in un registro individuale verificabile — questo è qualcosa di diverso. È la differenza tra la forma e la sostanza della compliance.
Il mercato crypto europeo ha attraversato anni in cui "far West regolamentato" era una descrizione accurata: operatori di ogni qualità potevano operare liberamente, il personale poteva dire qualsiasi cosa senza conseguenze, le protezioni per l'utente retail erano minime o inesistenti. MiCA sta cambiando questa situazione, progressivamente, scadenza dopo scadenza. Il 28 luglio è un passo concreto in questa direzione.
Resta una domanda aperta, e la lasciamo a chi legge: il tuo exchange ti ha mai informato di questo obbligo?
Se la risposta è no, potrebbe valere la pena chiedere perché. E se la risposta dovesse essere "non sappiamo di cosa parli", potreste avere già la risposta alla domanda che conta davvero: quanto è seriamente il vostro exchange intende prendere le regole che ha accettato di rispettare ottenendo la licenza MiCA.
Approfondisci: Leggi il nostro reportage sul MiCA D-Day del 1° luglio 2026 — cosa è successo davvero il giorno della scadenza. Consulta anche la nostra guida su quali exchange MiCA luglio 2026 hanno retto il colpo, e la lista CASP autorizzati costantemente aggiornata.
Fonti
- ESMA Guidelines Art. 81(7) MiCA — Criteri di conoscenza e competenza del personale CASP (28/01/2026): ESMA35-24871704-2922
- ESMA Final Report on MiCA Guidelines on knowledge and competence (07/2025): ESMA35-1872330276-2380
- AMF France — dichiarazione di compliance (26/03/2026), AMF Position DOC-2026-03: amf-france.org
- ESMA Compliance Table — Guidelines Art. 81(7) MiCA, ESMA35-24871704-3058 (07/07/2026): esma.europa.eu
- ESMA Common Supervisory Action — Resilienza operativa digitale CASP, custody (08/07/2026): esma.europa.eu
- casptracker.eu — Registro CASP autorizzati EU/EEA (dato al 9/7/2026): casptracker.eu
- Regolamento MiCA Art. 81(7) e Art. 111 — Reg. EU 2023/1114, Gazzetta Ufficiale dell'Unione Europea