Informativa sulla Policy di trasferimento delle Cripto-attività

1. Premessa
‍

La presente Informativa sulla Policy di trasferimento delle Cripto-attività (l’“Informativa”) descrive in modo strutturato il modello operativo, il sistema dei controlli e il quadro di governance adottati da YouHodler Italy S.r.l. (“YouHodler” o la “Società”) in relazione alla prestazione dei servizi di trasferimento di cripto-attività per conto dei propri clienti ai sensi dell’art. 3(1)(26) del Regolamento (UE) 2023/1114 (“MiCAR”).
‍

La presente Informativa è redatta in coerenza con (i) il MiCAR; (ii) gli Orientamenti ESMA in materia di protezione degli investitori e trasparenza nei servizi per le cripto-attività; (iii) la normativa in materia di antiriciclaggio; (iv) il Regolamento (UE) 2023/1113 (“Travel Rule”); nonché (iv) i principi di gestione del rischio ICT e resilienza operativa ai sensi del Regolamento (UE) 2022/2554 (“DORA”).

2. Natura del servizio di trasferimento

Il servizio di trasferimento di cripto-attività per conto del Cliente consiste nell’esecuzione di operazioni di trasferimento di cripto-attività da indirizzi o conti controllati dalla Società, in qualità di custode, verso indirizzi di registri distribuiti designati dal cliente, nell’ambito di un modello custodial in cui la Società mantiene il controllo delle chiavi crittografiche (il “Servizio di Trasferimento”). Il Servizio è erogato nell’ambito dell’infrastruttura di custodia della Società. 
‍

I clienti non interagiscono direttamente con la blockchain, ma impartiscono istruzioni tramite la piattaforma di YouHodler; al ricevimento dell’istruzione, la Società esegue controlli di autenticazione, validazione tecnica e conformità, prima di procedere all’esecuzione. Il Servizio di Trasferimento è prestato secondo un approccio basato sul rischio (risk-based), con applicazione di controlli proporzionati alla natura della transazione e al livello di rischio associato.
‍

Il trasferimento avviene mediante registrazione su tecnologia a registro distribuito (DLT) ed è disciplinato dalle regole del protocollo blockchain di riferimento, che non sono controllate né influenzabili dalla Società. Pertanto, il Servizio non garantisce tempi certi di regolamento sulla blockchain, in quanto tali tempi dipendono dal funzionamento della rete sottostante.
‍

I trasferimenti aventi ad oggetto EMT, in quanto qualificabili come servizi di pagamento ai sensi della normativa applicabile, non sono eseguiti dalla Società. 

3. Procedura operativa di trasferimento

Il cliente impartisce l’ordine di trasferimento tramite la piattaforma di YouHodler, previa autenticazione forte. Dopo la ricezione dell’istruzione di trasferimento, ma prima dell’esecuzione del trasferimento, la Società mette a disposizione del cliente una schermata riepilogativa o comunicazione equivalente contenente almeno (i) cripto-attività oggetto del trasferimento; (ii) importo del trasferimento; (iii) rete DLT selezionata o applicabile; (iv) indirizzo o conto di cripto-attività di destinazione indicato dal cliente; (v) commissioni, costi e oneri applicabili, con distinta indicazione, ove applicabile, tra network fee/gas fee e commissioni applicate dalla Società; (vi) eventuali limiti operativi o controlli di conformità applicabili al trasferimento; nonché (vii) avvertenza standardizzata circa l’irreversibilità o sufficiente irreversibilità del trasferimento sulla rete DLT selezionata.
‍

Ogni richiesta è soggetta a controlli interni, inclusi quelli previsti dalla normativa antiriciclaggio e Travel Rule, controlli sui limiti operativi e, ove necessario, procedure rafforzate in funzione del profilo di rischio dell’operazione. YouHodler può sospendere o ritardare l’esecuzione in caso di parametri tecnici non validi, informazioni incomplete, esito negativo dei controlli di sicurezza o conformità, o rilevazione di anomalie operative.
‍

Le operazioni di uscita dai wallet di custodia sono sottoposte a meccanismi di autorizzazione multilivello (Multi-Signature) ove applicabili, con segregazione dei ruoli e tracciabilità delle attività. Una volta trasmessa alla rete blockchain e confermata secondo le regole del protocollo, la transazione è tecnicamente irreversibile.
‍

L’istruzione di trasferimento si considera ricevuta quando (i) è stata correttamente trasmessa dal cliente tramite la Piattaforma; (ii) sono stati completati i controlli di autenticazione; (iii) risultano disponibili tutte le informazioni richieste dalla normativa applicabile, inclusa la Travel Rule ove applicabile; e (iv) l’istruzione ha superato i controlli tecnici preliminari di validazione relativi almeno alla cripto-attività selezionata, alla rete DLT, all’indirizzo di destinazione e all’importo del trasferimento. Ai fini di tracciabilità e auditabilità, fa fede il timestamp registrato dalla piattaforma di YouHodler al momento dell’invio dell’istruzione da parte del cliente.
‍

I tempi di presa in carico delle istruzioni ricevute, in condizioni ordinarie, sono i seguenti:

• in caso di presa in carico automatica, le istruzioni sono prese in carico entro 5 (cinque) minuti dalla relativa ricezione;
• in caso di trasmissione in modalità straight-through processing (STP), le istruzioni sono prese in carico entro 1 (una) ora dal completamento dei controlli previsti;
• in caso di revisione manuale, le istruzioni sono inserite nella coda operativa entro 60 (sessanta) minuti, mentre la revisione è completata entro 24 ore o, se successivo, entro il giorno lavorativo seguente; nei casi di particolare complessità, il termine può estendersi fino a 3 (tre) giorni lavorativi. 

I tempi di regolamento sulla blockchain dipendono invece dalle caratteristiche del protocollo sottostante e dalle condizioni operative della rete applicabile e non sono integralmente nella disponibilità di YouHodler.
‍

Dopo l’esecuzione del trasferimento, il Cliente riceve tramite la piattaforma di YouHodler, in formato elettronico e gratuitamente, almeno le seguenti informazioni:

• ammontare e tipologia di cripto-attività trasferite o ricevute;
• rete DLT utilizzata e, ove applicabile, indirizzo del wallet del destinatario e del mittente;
• data e ora di ricezione ed esecuzione dell’istruzione;
• un riferimento univoco dell’operazione, ove disponibile (es. TXID o riferimento equivalente);
• lo stato dell’operazione e, ove applicabile, le relative conferme di rete; nonché
• eventuali commissioni, costi o oneri applicati da YouHodler in relazione al trasferimento.

Le informazioni successive all’esecuzione sono rese disponibili tramite la piattaforma di YouHodler, notifiche elettroniche, estratti conto o rendiconti periodici. Qualora tali informazioni siano fornite con frequenza non superiore a una volta al mese, esse sono rese disponibili gratuitamente, fatto salvo quanto diversamente previsto dalla normativa applicabile.

4. Diritti del Cliente

Il Cliente ha diritto a ricevere, in formato elettronico tramite la piattaforma, informazioni chiare, complete e aggiornate prima, durante e dopo ogni trasferimento. 
‍

In particolare, il Cliente ha diritto a ricevere:

• prima della conclusione del contratto, le informazioni riguardanti le caratteristiche del servizio, le modalità operative, i costi e le commissioni applicabili, le condizioni di responsabilità, le modalità di revoca, i tempi di esecuzione e le reti DLT supportate;
• prima di ogni trasferimento, un riepilogo contenente almeno la cripto-attività oggetto del trasferimento, l’importo, la rete DLT selezionata, l’indirizzo di destinazione, le commissioni applicabili e le avvertenze relative all’irreversibilità o sufficiente irreversibilità dell’operazione;
• dopo il trasferimento, le informazioni relative ai dati del trasferimento, incluse, ove applicabili, le informazioni sul cedente e sul cessionario, il riferimento identificativo della transazione, l’importo trasferito, la data di esecuzione e le commissioni o network fee applicate;
• in caso di rifiuto, sospensione, ritardo o restituzione del trasferimento, le informazioni riguardanti, salvo limitazioni derivanti dalla normativa applicabile, le ragioni del  rifiuto, sospensione, ritardo o restituzione, le eventuali azioni correttive richieste al cliente e l’eventuale rimborso di commissioni o oneri applicabili.

Il Cliente, inoltre, ha diritto a:

• revocare l’istruzione prima che la stessa divenga irrevocabile a seguito dell’avvio dell’esecuzione tecnica del trasferimento o della trasmissione della transazione alla rete DLT;
• ricevere copia del contratto e delle informazioni relative al servizio in formato elettronico;
• essere informato tempestivamente di ogni modifica rilevante al servizio; nonché
• recedere dal contratto secondo le modalità previste dalla documentazione contrattuale.

5. Responsabilità del Cliente e segnalazioni

Il Cliente è responsabile della correttezza delle istruzioni impartite, in particolare riguardo (i) correttezza dell’indirizzo di destinazione e della rete blockchain selezionata; (ii) sicurezza delle proprie credenziali di accesso; nonché (iii) completezza e veridicità delle informazioni fornite.
‍

In caso di trasferimento non autorizzato o disposto o eseguito erroneamente, il cliente deve segnalarlo a YouHodler senza indebito ritardo e comunque entro il termine di 30 (trenta) giorni, attraverso i canali sicuri indicati nella piattaforma di YouHodler, fornendo (i) identificativo del trasferimento; (ii) cripto-attività; (iii) importo; (iv) data; (v) indirizzo di destinazione; (vi) descrizione dell’anomalia; nonché (vii) ogni documento o informazione utile alla ricostruzione dell’operazione. 

6. Tempi di esecuzione e irreversibilità

1. Una volta trasmessa alla rete DLT, la transazione è irrevocabile o sufficientemente irreversibile dopo un numero di conferme di blocco che varia in base alla rete sottostante. 

7. Rischi specifici del Servizio di Trasferimento

Il Servizio di Trasferimento di cripto-attività, secondo quanto ulteriormente indicato nella Policy sui Rischi, comporta rischi intrinseci quali:

• irreversibilità;
• errori di digitazione dell’indirizzo;
• selezione errata della rete;
• congestione della blockchain;
• attacchi informatici ai wallet esterni del cliente; nonché
• sospensioni o restrizioni per obblighi normativi.

Tali rischi non sono integralmente eliminabili e non costituiscono di per sé inadempimento del servizio.

8. Politiche di sicurezza

YouHodler adotta un framework di sicurezza conforme agli standard ISO/IEC 27001, e allineato ai requisiti applicabili in materia di sicurezza delle reti e dei sistemi informativi, inclusi la Direttiva NIS2 e il DORA, che include:

• autenticazione forte del Cliente;
• controlli di accesso basati su principio del minimo privilegio;
• monitoraggio e correlazione eventi di sicurezza (SIEM o equivalenti);
• misure di protezione delle infrastrutture, tra cui controlli perimetrali, sistemi di rilevazione e prevenzione intrusioni (IDS/IPS) e strumenti di anomaly detection;
• vulnerability assessment e penetration test sulle componenti critiche, con cadenza almeno annuale o a seguito di modifiche rilevanti;
• infrastruttura custodial su tre livelli (Hot, Warm e Cold Wallet);
• sistemi HSM per la gestione delle chiavi crittografiche;
• meccanismi multi-signature per la firma delle transazioni.

9. Gestione delle anomalie, degli incidenti e continuità operativa

La Società adotta misure volte a garantire la continuità del servizio e la gestione efficace di eventuali anomalie, incidenti, inclusi gli incidenti ICT, o interruzioni operative che possano impattare la prestazione dei servizi di trasferimento.

La Società adotta misure di continuità operativa e resilienza, in coerenza con il proprio Piano di Continuità Operativa (Business Continuity Plan – BCP) e con le procedure di Disaster Recovery (DRP), finalizzate a garantire la continuità dei servizi critici e il ripristino delle operazioni in caso di interruzioni. 

10. Sospensione o rifiuto del trasferimento

YouHodler può sospendere o rifiutare un trasferimento in presenza di obblighi normativi, sospetti di frode o rischi operativi rilevanti. Le decisioni di sospensione, rifiuto o esecuzione del trasferimento sono adottate secondo un approccio basato sul rischio, che tiene conto, tra l’altro, dell’importo dell’operazione, della novità dell’indirizzo di destinazione, di eventuali alert generati dai sistemi di monitoraggio blockchain, nonché degli obblighi previsti dalla normativa antiriciclaggio e dalla Travel Rule.
‍

In tali casi comunica tempestivamente, nei limiti consentiti dalla legge, la motivazione, le eventuali azioni correttive e le informazioni aggiuntive richieste. 

11. Informativa al Cliente
‍

La presente informativa è pubblicata sul sito web di YouHodler.
‍

Il consenso del Cliente è accolto all’atto della registrazione sul sito ovvero dell’accettazione dei Termini di Servizio.
‍

Il Cliente può in ogni momento richiedere via e-mail una copia digitale della Policy sul servizio di trasferimento di cripto-attività.
‍

La presente Informativa deve essere letta congiuntamente ai Termini di Servizio e alle altre Informative applicabili; in caso di discrepanze, prevalgono i Termini di Servizio. 
‍

YouHodler può aggiornare la presente Informativa per riflettere evoluzioni normative, tecnologiche o operative del servizio dandone comunicazione al cliente secondo quanto previsto dai Termini di Servizio.