L'Autorité européenne des marchés financiers (European Securities and Markets Authority – ESMA) vient de publier un guide de supervision pour harmoniser le fonctionnement des prestataires de services sur cryptoactifs (PSCA) au sein de l'Union européenne( règlement MICA).
Ce document vise à fournir aux autorités nationales compétentes des orientations sur l’évaluation des demandes d’autorisation des prestataires en crypto en mettant l’accent sur l’approche basée sur les risques, la gouvernance, la gestion des risques et la conformité aux réglementations en vigueur.
L’approche basée sur les risques souligne que, contrairement à certains secteurs financiers traditionnels, il n’existe pas de PSCA à faible risque. Ces entités, souvent récentes, opèrent à grande échelle avec des clients de détail et présentent un risque accru en matière de blanchiment d'argent et de financement du terrorisme. Plusieurs facteurs augmentent le niveau de risque d’un PSCA, notamment sa taille (plus d'un million d’utilisateurs annuels actifs dans l’UE ou un bilan supérieur à 3 milliards d’euros), la complexité de sa structure de groupe, l'ampleur de son activité transfrontalière, son rôle dans l’écosystème des cryptos (plateformes d’échange, services de conservation), ou encore son modèle économique combinant différentes activités (émission d’actifs et services de crypto).
Le document insiste également sur l’importance de la gouvernance et de la substance locale des PSCA. Ceux-ci doivent démontrer une autonomie de décision au sein de l’UE, avec une équipe de direction et un personnel en place dans le pays d’autorisation. Une attention particulière est accordée à l'externalisation de fonctions clés, qui ne doit pas compromettre la supervision des régulateurs ni entraîner un transfert de responsabilité des PSCA vers des entités externes. L’ESMA recommande également une vigilance accrue sur l’externalisation hors de l’UE, en particulier pour les fonctions critiques comme la gestion des risques, la conformité ou la sécurité informatique.
L’évaluation de l'aptitude et de la probité des dirigeants de PSCA est un autre point clé du rapport. Les autorités doivent examiner leur historique de conformité réglementaire, notamment les infractions passées ou les éventuelles poursuites en cours.
Enfin, le document aborde la gestion des notifications liées aux services de cryptoactifs. Les autorités nationales doivent tenir des registres clairs des PSCA autorisés et veiller à ce que les entreprises soumettent des notifications complètes avant de débuter leurs activités.
