Cripto-attività e antiriciglaggio: l’adattamento normativo e l’adeguamento dei presìdi Fintech

---

SOMMARIO: 1. L’inquadramento normativo delle criptovalute – 2. Gli obblighi antiriciclaggio per gli operatori del settore – 3. L’evoluzione tecnologica e l’applicazione degli obblighi AML-CFT – 4. Prospettive e sfide per il futuro.

---

1. L’inquadramento normativo delle criptovalute

Contrariamente al pensiero comune, sia la normativa comunitaria che quella nazionale si dimostrano estremamente sensibili alle tematiche connesse al contrasto del riciclaggio di denaro e al finanziamento del terrorismo tramite l’utilizzo di cripto-attività. Nello specifico, le normative di riferimento risultano essere:

a livello comunitario:

• Direttiva Europea n. 849/2015 (AMLD IV);
• Direttiva Europea n. 843/2018 (AMLD V);
• Markets in Crypto-Assets Regulation n. 1114/2024 (MiCAR);
• Direttiva Europea n. 1640/2024 (AMLD VI);
• Regolamento Europeo n. 1620/2024 (AMLAR);
• Regolamento Europeo n. 1624/2024 (AMLR);

a livello nazionale:

• Decreto legislativo n. 231/2007 (Decreto Antiriciclaggio);
• Decreto legislativo n.141/2010;
• Decreto legislativo n. 90/2017;
• Decreto Legislativo n. 129/2024;
• Decreto legislativo n. 231/2024.

Tale impianto normativo si rivolge prettamente a due specifiche categorie di prestatori di servizi: CASP¹ e VASP.

L’acronimo CASP – Crypto Asset Service Provider, comparso per la prima volta nel 2020 con la pubblicazione della bozza del MICAR, indica i soggetti che offrono servizi correlati a criptovalute.

L’acronimo VASP – Virtual Asset Service Provider, coniato nel 2019 dalla Financial Action Task Force², designa tutti quei soggetti esercenti servizi correlati ad asset digitali.

Pur presentando sovrapposizioni operative nelle attività svolte le due tipologie di provider si differenziano per l’elenco dei servizi regolamentati. Difatti, nell’operatività dei Crypto Asset Service Provider si includono attività più dettagliate come la gestione di exchange nonché di servizi di consulenza in ambito criptovalute.

2. Gli obblighi antiriciclaggio per gli operatori del settore

Le conseguenze pragmatiche di questo apparato normativo si declinano attraverso il rispetto e l’adempimento dei seguenti presidi di mitigazione da parte degli operatori di settore.

Innanzitutto, con l’entrata in vigore del Decreto Antiriciclaggio del 2007, i prestatori di servizi finanziari hanno visto accrescere i propri obblighi dovendo implementare stringenti controlli al fine di mitigare i possibili rischi di riciclaggio di denaro e di finanziamento al terrorismo. Con l’entrata in vigore del Decreto legislativo n. 90/2017 tali obblighi sono divenuti più severi e rigorosi prevedendo diversi gradi di complessità a seconda del profilo di rischio della clientela. I più importanti di questi sono:

• Adeguata Verifica della Clientela³: obbligo di identificare correttamente i prospect siano essi persone fisiche o persone giuridiche (titolare effettivo) e valutarne il profilo di rischio;
• Conservazione dei Dati⁴: obbligo di conservare i dati, le transazioni e le informazioni rilevanti per almeno 10 anni assicurando l’utilizzo di procedure adeguate volte a garantire l’integrità e la riservatezza degli stessi;
• Segnalazione di Operazioni Sospette⁵: obbligo di monitorare costantemente l’operatività della clientela e segnalare tempestivamente alle autorità competenti qualsiasi operazione sospetta.

Dal giugno 2017⁶ i prestatori di servizi di valuta virtuale per poter svolgere la propria attività commerciale all’interno del territorio dello Stato italiano hanno l’obbligo:

• di comunicare al Ministero dell’Economia l’inizio dell’operatività sul territorio nazionale;
• di registrarsi nella sezione speciale “Registro Operatori Valute Virtuali” del registro dei cambiavalute tenuto dall’OAM (Organismo degli Agenti e dei Mediuatori);
• di disporre di una sede legale e amministrativa in Italia o, per i soggetti comunitari, di una stabile organizzazione nel territorio della Repubblica;
• di comunicare regolarmente le negoziazioni effettuate all’OAM.

A partire dal 24 giugno 2024, il governo italiano ha approvato il decreto legislativo che adegua la normativa nazionale al regolamento MiCAR. Il provvedimento introduce un nuovo quadro normativo per gli operatori di settore destinato a sostituire la vigente disciplina.

È previsto un periodo transitorio di 12 mesi, valido fino al 30 dicembre 2025. Nel mentre i prestatori di servizi di valuta virtuale dovranno ottenere una licenza per operare in Italia, rilasciata dall’autorità di regolamentazione finanziaria (CONSOB).

Da ultimo, sempre in attuazione del MiCAR i succitati provider dovranno essere soggetti a rigorosi requisiti di trasparenza:

• i membri dell’organo di amministrazione, cosi come gli azionisti e i soci diretti ed indiretti, dovrebbero disporre di sufficienti requisiti di onorabilità e, in particolare, non dovrebbero essere stati condannati per alcun reato nell’ambito del riciclaggio o del finanziamento del terrorismo;
• i CASP che forniscono servizi di compravendita di criptovalute al fine di garantire la concreta solvibilità, così come prevista dalla direttiva (UE) 2015/2366, devono conservare i fondi appartenenti ai loro clienti sotto forma di banconote, monete, moneta scritturale o moneta elettronica presso un ente creditizio o una banca centrale;
• i CASP emittenti cripto-attività devono preparare un whitepaper contenente informazioni dettagliate sull’emittente, sui termini dell’offerta, sui rischi associati all’investimento e sull’impatto climatico e ambientale dell’ecosistema specificando se il procedimento di consenso sia Proof of Work (PoW) o Proof of Stake (PoS);
• i CASP saranno obbligati a nominare un Central Contact Point (CCP) nel caso in cui il valore aggregato delle attività svolte superi i 3 milioni di euro l’anno nonché, anche sotto questa soglia, se il rischio di riciclaggio o finanziamento del terrorismo è giudicato elevato, i CCP devono garantire la conformità alle norme AML locali, facilitare la supervisione da parte delle autorità, comunicare irregolarità e proporre azioni correttive e rappresentare l’istituzione nelle comunicazioni con le autorità. I CASP dovranno prevedere un apposito e differente CCP per ogni Stato membro in cui operano.⁷

3. L’evoluzione tecnologica e l’applicazione degli obblighi AML-CFT

Stante quanto fin qui rappresentato, dobbiamo rilevare come l’evoluzione tecnologica si pone alla base dell’evoluzione normativa. Difatti, il quadro normativo, soprattutto in ambito antiriciclaggio, si aggiorna in ordine ai nuovi paradigmi giuridici che si delineano a seguito dell’utilizzo e dell’evoluzione degli applicativi tecnologi adoperati al fine di aggirare gli appositi controlli.

Pertanto, al fine di contrastare tali fenomeni sia la Comunità Europea come i suoi Stati Membri hanno istituito apposite entità giuridiche⁸ al fine di vigilare e monitorare i prestatori di servizi finanziari e inoltre hanno, altresì, il compito di redigere le disposizioni operative del quadro normativo così ricostruito. Le loro linee guida svolgono un ruolo fondamentale nel garantire la solidità e la stabilità del sistema bancario europeo. Esse forniscono orientamenti e standard che le istituzioni finanziarie devono seguire per assicurare una gestione efficace dei rischi, una governance interna robusta e una protezione adeguata per i consumatori.

Entrando più nello specifico delle effettive misure di mitigazione adottate dai provider di servizi finanziari, tra i quali anche i VASP e CASP, analizziamo l’evoluzione di alcuni controlli effettuati:

• Metodi di identificazione – Know Your Customer (KYC)

In passato:

• Processo Manuale: Le istituzioni finanziarie richiedevano ai clienti di recarsi fisicamente in filiale per fornire documenti di identità, come carte d’identità o passaporti, completando moduli cartacei per la verifica. ​
• Verifica Manuale: Il personale esaminava manualmente i documenti, confrontandoli con le informazioni fornite, con un alto rischio di errori umani e tempi di elaborazione più lunghi. ​

Oggi:

• Identificazione Digitale: L’uso combinato di tecnologie come biometria e Optical Character Recognition (OCR) consente la verifica dell’identità del prospect tramite l’analisi dei dati presenti nei documenti d’identità. Ciò avviene verificando la loro autenticità e confrontano le informazioni con database governativi (liste World-Check), migliorando l’efficienza e riducendo così la necessità di presenza fisica in filiale e accelerando i processi di valutazione del profilo di rischio del cliente.
• Automazione e Intelligenza Artificiale (IA): Gli istituti di credito hanno rinforzato e snellito i propri presidi di mitigazione attraverso l’implementazione di applicativi automatizzati o applicativi basati sul Machine Learning e Generative AI.
  Tali applicativi garantiscono sia un aggiornamento costante dei criteri sottesi ai vari livelli di controllo sia un’adeguata analisi delle informazioni raccolte.
• Conservazioni dei dati.

Passato:

• Archiviazione Cartacea: I dati dei clienti venivano conservati in archivi fisici, rendendo difficile l’accesso rapido e aumentando il rischio di smarrimento o danneggiamento delle informazioni. ​
• Processi Manuali: La gestione e l’aggiornamento delle informazioni richiedevano interventi manuali, con un consumo significativo di tempo e risorse. ​

Oggi:

• Archiviazione Digitale e Privacy: I dati dei clienti sono conservati in sistemi elettronici sicuri, facilitando l’accesso rapido e la gestione efficiente delle informazioni. ​ Al fine di proteggere e rispettare la privacy delle informazioni del cliente queste vengono crittografate mediante l’uso di modelli matematici i quali garantiscono che solo le parti che detengono le chiavi per decodificarli possano accedervi.
• Aggiornamenti Automatizzati: Le informazioni possono essere aggiornate in tempo reale, garantendo l’accuratezza dei dati e la conformità alle normative vigenti. ​ Ciò, altresì, consente un controllo e monitoraggio costante dei termini di validità della documentazione ottenuta nonché un aggiornamento costante del profilo di rischio del cliente.
• Monitoraggio delle Transazioni – Know Your Transactions (KYT).

Passato:

• Monitoraggio Manuale: Le transazioni venivano esaminate manualmente per identificare attività sospette, un processo laborioso e soggetto a ritardi. ​
• Reattività Limitata: Le istituzioni finanziarie reagivano a incidenti di riciclaggio di denaro dopo che si verificavano, con capacità limitate di prevenzione proattiva. ​

Oggi:

• Monitoraggio in Tempo Reale: L’uso di IA e Machine Learning consente l’analisi in tempo reale delle transazioni, identificando schemi sospetti e attività anomale. ​Ulteriori applicativi consentono il controllo di dati sensibili come la VPN utilizzata al fine di verificare che non provenga da un paese in Black List⁹.
• Analisi Predittiva e Segnalazioni delle Operazioni Sospette: Le istituzioni finanziarie possono ora prevedere e prevenire potenziali attività illecite, adottando misure proattive per mitigare i rischi. ​ Al fine di agevolare l’individuazione delle operazioni sospette, su proposta della UIF sono emanati e periodicamente aggiornati specifici indicatori di anomalia. Susseguentemente, una volta rilevate possibili operazioni sospette queste dovranno essere puntualmente segnalate.
• Conformità alle Normative – Compliance.

Passato:

• Normative Locali e Mancanza di Uniformità: Le procedure KYC variavano significativamente tra le diverse giurisdizioni, creando complessità per le istituzioni finanziarie globali. ​
• Aggiornamenti Manuali: Le modifiche alle normative richiedevano l’aggiornamento manuale dei processi, con il rischio di non conformità nonché di dilazione dei tempi di aggiornamento.

Oggi:

• Standardizzazione Globale: Sforzi internazionali hanno portato a standard più uniformi per le pratiche KYC, semplificando la conformità e migliorando l’interoperabilità e lo scambio di informazioni tra le istituzioni finanziarie che operano in più giurisdizioni. ​
• Soluzioni RegTech: L’adozione di tecnologie di regolamentazione automatizzate assicura che le istituzioni finanziarie rimangano aggiornate con le normative in continua evoluzione, riducendo il rischio di sanzioni.

​Tali presidi non sono stati altro che l’effetto della crescente sofisticazione delle tecniche utilizzate dai criminali per il riciclaggio di denaro. Pertanto, si è resa indispensabile l’adozione di misure di controllo più rigorose nel settore bancario e finanziario.
In particolare, strumenti come gli IBAN virtuali (V-IBAN), l’uso di identità generate tramite IA e l’impiego di documenti falsificati o rubati è sempre più utilizzato per mascherare l’origine illecita dei fondi e per facilitare le operazioni di collocamento, stratificazione e integrazione (placement, layering e integration).

4. Prospettive e sfide per il futuro

Come visto dunque, la trasformazione digitale sta ridefinendo le dinamiche di questo settore. In tale scenario evolutivo l’identità digitale e la mass adoption delle cripto-attività assumono un ruolo sempre più rilevante.

In ordine al primo punto, la Comunità Europea, con grande lungimiranza, già con il Regolamento Eidas n. 910/2014 aveva già gettato le basi per un riconoscimento reciproco dei sistemi di identificazione elettronica tra gli Stati membri. In sostanza sarebbe una versione europea dell’attuale SPID.

Tuttavia, il contesto attuale richiede strumenti più evoluti, capaci di integrare diverse tipologie di informazioni (dati anagrafici, certificati professionali, dati di fatturazione, credenziali di pagamento) all’interno di un unico ecosistema. Difatti, l’Europa con l’emanazione del Regolamento Eidas 2 n. 1183/2024 ha introdotto l’EU Digital Identity Wallet.

Il Portafoglio Europeo di Identità Digitale consente ai cittadini dell’Unione Europea di gestire in modo sicuro e interoperabile le proprie credenziali digitali, come documenti d’identità, patenti di guida e certificati.

Dunque, l’EUDIWallet si appresta a diventare il nuovo standard in ambito di metodologie d’identificazione. Questa implementazione garantirà un sinergico e più rapido scambio di informazioni tra i provider presenti sul panorama nazionale ed internazionale.

Inoltre, l’EUDI Wallet potrà essere impiegato per effettuare pagamenti elettronici in piena sicurezza. Vien da sé la correlazione con l’implementazione della Central Bank Digital Currency (CBDC) emanata proprio dalla BCE prevista tra il 2025 e il 2026.

In tal senso, una specifica menzione è doverosa vista la massadoption delle cripto-attività a cui stiamo assistendo. Nell’immaginario collettivo il riferimento all’ecosistema cripto ricomprendere implicitamente un grande utilizzo delle valute virtuali al fine di aggirare i controlli.

I dati però smentiscono questa credenza, difatti, secondo un rapporto di Chainalysis,¹⁰ nel 2023 il riciclaggio di denaro tramite criptovalute ha raggiunto un valore di 21,3 miliardi di euro a livello globale. Sebbene questo importo sia significativo, è importante notare che il volume di denaro fiat coinvolto nel riciclaggio potrebbe essere da 40 a 100 volte superiore.

Ne consegue, come anche indicato dalla stessa Banca d’Italia,¹¹ la necessità d’instaurare una nuova sinergia tra i provider della finanza tradizionale e i nuovi provider di servizi finanziari (CASP e VASP). Occorre presidiare con estrema attenzione il momento di passaggio del denaro da valuta fiat a valuta digitale al fine di intercettare lo spostamento di “denaro sporco” nel mercato cripto per dissimularne l’origine e poi reintrodurlo nel sistema finanziario e viceversa.

Pertanto, in un contesto in così rapida evoluzione, una regolamentazione equilibrata e flessibile potrà certamente favorire l’innovazione e la competitività dell’Europa in questo settore strategico. Ancor di più, sarebbe auspicabile un’armonizzazione della normativa tra gli operatori di settore a livello internazionale, anche oltre i confini europei.

---

1 Nel contesto internazionale, il primo riconoscimento di operatori CASP risale al 2011, con la fondazione di The Rock Trading a Milano (Andrea Medri, Davide Barbieri) e BitStamp in Slovenia (Nejc Kodrič, Damijan Merlak).

2 FATF, Linee guida per un approccio ai virtual asset e ai prestatori di servizi in materia di virtual asset basato sul rischio, FATF, Parigi, 2019.

3 Previsti dal Decreto Legislativo n. 231/2007, Capo I Obblighi di adeguata verifica della clientela.

4 Previsti dal Decreto Legislativo n. 231/2007, Capo II Obblighi di conservazione.

5 Previsti dal Decreto Legislativo n. 231/2007, Capo II Obblighi di segnalazione.

6 Ai sensi del comma 8 dell’art. 17 bis del D.lgs 13 agosto 2010, n. 14, introdotto con l’entrata in vigore del D.lgs
n. 90/2017 attuativo della Direttiva Europea n. 849/2015 (AMLD IV) e successivamente novellato dal d.lgs. n. 125/2019 attuativo della Direttiva Europea n. 843/2018 (AMLD V), ad oggi aggiornato a seguito del Decreto Legislativo
n. 129/2024 adattando le definizioni di CASP e VASP in base a quanto previsto dal MiCAR.

7 Final Report dell’EBA del 25 aprile 2025 sui nuovi Standard Tecnici Regolamentari (RTS) che modificano il Regolamento Delegato (UE) 2018/1108.

8 Tra le entità giuridiche appositamente preposte non si possono non menzionare: l’European Banking Authority (EBA); la Banca d’Italia; l’Unità d’Intelligence Finanziaria (UIF); l’ Anti-Money Laundering Authority (AMLA).

9 Tale elenco è periodicamente aggiornato dalla Commissione Europea attraverso regolamenti specifici.
Ad esempio, il Regolamento (UE) 2023/1219 del 17 maggio 2023, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 26 giugno 2023, ha aggiornato l’elenco delle giurisdizioni di Paesi terzi ad alto rischio, includendo Nigeria e Sudafrica, e rimuovendo Cambogia e Marocco.

10 Chainalysis, The 2024 crypto-crime report release, febbraio 2024.

11 GABBIADINI Romina, GOBBI Lorenzo, RUBERA Eugenio, Riciclaggio e blockchain: si può seguire la traccia nel mondo cripto?, in Questioni di economia e finanza (Occasional Papers), n. 893, novembre 2024.

Stefano Triggiani