La Comunicazione di vigilanza FINMA 01/2026 del 12 gennaio 2026 articola la custodia dei valori cripto in tre modelli e relega definitivamente uno di essi in bilancio. Il discrimine è la capacità operativa della banca di identificare in qualsiasi momento la posizione di ciascun cliente. La contabilità interna non costituisce prova sufficiente di tale imputazione. In sua assenza, l’istituto perde il diritto alla separazione ai sensi dell’art. 16 cpv. 1bis BankG in combinato disposto con l’art. 37d BankG e l’art. 242a SchKG; e con esso la posizione fuori bilancio — e di conseguenza l’esenzione dalla piena copertura con fondi propri, riservata alle sole posizioni segregabili.

FINMA distingue tre configurazioni di custodia: custodia individuale per cliente; custodia collettiva con quote clienti identificabili in qualsiasi momento e obbligo di disponibilità; e custodia aggregata senza chiara imputazione. La scelta del modello ha conseguenze immediate sull’autorizzazione: la custodia collettiva con quote contabilizzate in modo chiaro richiede un’autorizzazione FinTech (art. 1b BankG); la custodia aggregata senza chiara imputazione è considerata raccolta di depositi del pubblico e comporta la necessità di una licenza bancaria piena (art. 1a/1b BankG in combinato disposto con art. 5/5a BankV). Solo i primi due modelli superano la verifica di segregazione. La terza variante, storicamente gestita tramite conti clienti interni e registrazione contabile in bilancio, confluisce nella massa fallimentare del depositario. Non si tratta di una norma nuova: è nel testo di legge sin dal pacchetto normativo DLT del 2021. FINMA ha precisato dove l’imputazione deve essere dimostrabile: la comunicazione richiede che le quote clienti siano identificabili in qualsiasi momento — quali mezzi di prova siano a tal fine sufficienti sarà chiarito dal ciclo di revisione.

Qualora i valori non siano segregabili, entrano nel bilancio dell’istituto vigilato come crediti nei confronti del depositario, soggetti alla normale copertura con fondi propri. Il trattamento fuori bilancio e il limitato requisito di capitale per rischio operativo ai sensi dell’art. 4sexies BankG sono riservati ai valori imputabili in modo dimostrabile. Un libro mastro interno non è sufficiente a tale scopo; in caso di fallimento, il curatore esaminerà presumibilmente la situazione on-chain.

Per i subdepositari esteri il test si sdoppia. Il depositario deve essere soggetto a vigilanza prudenziale e il regime fallimentare del paese di domicilio deve garantire una segregazione equivalente. FINMA indica come plausibilmente equivalenti i depositari UE regolamentati ai sensi di MiCA, senza rilasciare un certificato di equivalenza generalizzato. La verifica di equivalenza è a carico di ogni singolo istituto svizzero per ciascun depositario. Per i gestori patrimoniali (art. 24 FinIO) vigono requisiti analoghi; gli accordi esistenti non conformi possono essere provvisoriamente mantenuti previo consenso documentato del cliente e informativa completa sui rischi.

Il quadro normativo, l’onere della prova e le conseguenze sui fondi propri sono ora definiti. Resta aperto il trattamento delle strutture ibride: derivazione BIP-32 da una chiave master, schemi MPC con frammenti di chiave aggregati, in cui l’imputazione è dimostrabile crittograficamente ma non attuata mediante wallet separati per cliente. È probabile che questa questione sia risolta dal ciclo di revisione 2026: solo le relazioni di revisione esterna sui conti annuali 2026 riveleranno dove l’autorità di vigilanza riconosce l’imputazione crittografica come segregazione — e dove no.