Super AML

L’evoluzione del quadro normativo europeo e nazionale

Il 30 settembre 2025 segna una tappa fondamentale nell’implementazione della disciplina europea sui mercati delle cripto-attività in Italia. Con la pubblicazione del Provvedimento sulla governance degli emittenti di token collegati ad attività (ART) e dei prestatori di servizi per le cripto-attività (CASP), Banca d’Italia completa l’architettura regolamentare nazionale di attuazione del Regolamento (UE) 2023/1114, noto come Markets in Crypto-Assets Regulation o “MiCAR”.

Il percorso normativo che ha condotto alle disposizioni del 2025 si articola su più livelli, riflettendo la complessità di un settore in rapida evoluzione. A livello europeo, il MiCAR rappresenta il primo framework regolamentare armonizzato per le cripto-attività nell’Unione Europea. Entrato in vigore il 29 giugno 2023 e applicabile dal 30 dicembre 2024, con alcune disposizioni operative già attive dal 30 giugno 2024, il Regolamento introduce una disciplina organica per l’emissione, l’offerta al pubblico e la prestazione di servizi relativi alle cripto-attività che non rientrano già nella regolamentazione finanziaria tradizionale.

Parallelamente al MiCAR, l’AML Package europeo ha rafforzato il quadro di contrasto al riciclaggio e al finanziamento del terrorismo. Composto dal Regolamento sulla prevenzione del riciclaggio e dalla sesta Direttiva antiriciclaggio, questo pacchetto normativo estende specificamente gli obblighi anche agli operatori del settore cripto, riconoscendo le peculiari vulnerabilità di questo comparto.

A livello nazionale, il D. Lgs. 5 settembre 2024, n. 129, definito “Decreto MiCAR”, ha individuato Banca d’Italia e Consob quali autorità nazionali competenti, ripartendo le competenze di vigilanza secondo criteri funzionali chiari. La Banca d’Italia si occupa prevalentemente degli aspetti prudenziali, organizzativi e antiriciclaggio, mentre la Consob vigila sulla trasparenza e la tutela degli investitori. Il coordinamento tra le due Autorità è disciplinato da specifici protocolli d’intesa adottati ai sensi dell’articolo 9 del Decreto MiCAR, che definiscono modalità operative, flussi informativi e procedure coordinate per l’esercizio dei poteri di vigilanza.

Il 2025 ha visto la pubblicazione di due provvedimenti di Banca d’Italia fondamentali che completano il quadro regolamentare. Il primo, datato 16 giugno 2025, riguarda l’adeguata verifica della clientela per gli operatori non finanziari e costituisce un precedente rilevante per l’estensione delle norme AML ai CASP. Il secondo, pubblicato il 30 settembre 2025, disciplina la governance, i controlli interni e i piani di risanamento per gli emittenti di ART. Entrambi gli atti recepiscono gli Orientamenti emanati dall’Autorità Bancaria Europea (EBA) e dall’Autorità Europea degli Strumenti Finanziari e dei Mercati (ESMA), garantendo uniformità applicativa nel mercato unico europeo.

Il Provvedimento Bankit del 16 giugno 2025

L’estensione delle norme AML ai CASP: dal trattamento del contante alle cripto-attività

Il Provvedimento del 16 giugno 2025 sugli obblighi di adeguata verifica per gli operatori non finanziari iscritti nell’elenco ex articolo 8 del decreto-legge 350/2001 rappresenta un importante precedente metodologico per l’estensione delle norme antiriciclaggio ai prestatori di servizi per le cripto-attività. Il Provvedimento delinea un approccio basato sul rischio che risulta perfettamente adattabile ai CASP.

Il principio dell’approccio basato sul rischio

Il principio cardine dell’approccio basato sul rischio impone agli operatori di adottare misure di adeguata verifica la cui frequenza ed estensione sia graduata in relazione al livello di rischio di riciclaggio o di finanziamento del terrorismo associato al singolo cliente.

Per i CASP, la valutazione del rischio deve considerare sia fattori soggettivi relativi al tipo di cliente, sia fattori oggettivi concernenti l’operazione o il rapporto continuativo. Sul versante soggettivo, assume rilevanza la natura giuridica del cliente, con particolare attenzione a strutture complesse quali trust, fondazioni o Special Purpose Vehicle, nonché ai frequenti mutamenti dell’assetto proprietario che possono indicare tentativi di occultamento della titolarità effettiva. L’attività prevalentemente svolta riveste uguale importanza, specialmente quando si tratta di settori ad alto utilizzo di cripto-attività come il gambling online, i dark web marketplaces o i mixer services.

Il comportamento tenuto dal cliente costituisce un ulteriore elemento di valutazione significativo. La riluttanza a fornire informazioni, le incoerenze nei dati forniti o i tentativi di frammentare operazioni per eludere le soglie di controllo rappresentano segnali d’allerta che devono indurre gli operatori ad accrescere il livello di attenzione. Infine, l’area geografica di residenza o sede del cliente assume particolare rilevanza nel contesto cripto, dove la localizzazione può riferirsi non solo alla residenza formale ma anche alla localizzazione dei server del CASP, alla giurisdizione di incorporazione degli exchange utilizzati o all’origine geografica degli indirizzi blockchain con cui il cliente interagisce.

Sul versante dei fattori oggettivi, gli operatori devono considerare la tipologia dell’operazione richiesta, distinguendo tra servizi di custodia, exchange, transfer o trading, ciascuno caratterizzato da profili di rischio differenti. Le modalità di svolgimento assumono particolare rilevanza quando si distingue tra operazioni on-chain, completamente tracciabili sulla blockchain, e operazioni off-chain, che avvengono all’interno dei sistemi del CASP senza lasciare traccia pubblica. La presenza di intermediari multipli o l’uso di mixer e servizi di anonimizzazione costituiscono ulteriori elementi da valutare attentamente.

L’ammontare dell’operazione deve essere valutato in relazione al profilo economico-patrimoniale del cliente. La frequenza e il volume delle operazioni richiedono particolare attenzione quando risultano incoerenti con lo scopo dichiarato del rapporto o manifestano pattern anomali difficilmente spiegabili con legittime esigenze operative. Infine, la ragionevolezza complessiva dell’operazione o del rapporto deve essere costantemente verificata, assicurando la congruità con la situazione patrimoniale e l’attività effettivamente svolta dal cliente.

Gli obblighi di adeguata verifica: contenuto e modalità di applicazione

L’adeguata verifica della clientela si articola in tre componenti essenziali. La prima riguarda l’identificazione e la verifica dell’identità del cliente, dell’eventuale esecutore che agisce per suo conto e del titolare effettivo, ovvero la persona fisica nell’interesse della quale, in ultima istanza, il rapporto è instaurato o l’operazione è eseguita. La seconda componente consiste nell’acquisizione di informazioni sullo scopo e sulla natura del rapporto continuativo o dell’operazione occasionale. La terza impone un controllo costante per tutta la durata del rapporto.

Nel contesto specifico dei CASP, la verifica dell’identità richiede il riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all’atto dell’identificazione. Per i CASP, questa verifica può avvalersi di strumenti tecnologici avanzati. I sistemi di identificazione digitale come SPID o eIDAS di livello significativo o elevato offrono garanzie di identità paragonabili ai documenti fisici. Le procedure di video-identificazione regolamentate consentono l’apertura di rapporti a distanza mantenendo standard di sicurezza elevati. Le blockchain analytics possono essere utilizzate per verificare la titolarità di wallet attraverso l’analisi dei pattern transazionali, mentre lo screening su registri pubblici dei titolari effettivi consente di riscontrare le informazioni dichiarate dal cliente.

Anche l’identificazione del titolare effettivo presenta peculiarità che richiedono soluzioni innovative. In fase di avvio del rapporto continuativo o di richiesta di un’operazione occasionale, il cliente deve dichiarare se operi eventualmente per conto di un altro soggetto, fornendo i dati identificativi di quest’ultimo e del suo eventuale titolare effettivo. Tuttavia, nel mondo cripto questa identificazione si scontra con complessità tecniche significative. I wallet multi-firma, caratterizzati da governance complessa che richiede l’approvazione di più soggetti per autorizzare transazioni, rendono difficile individuare chi sia effettivamente in controllo delle risorse. Le Decentralized Autonomous Organizations, o DAO, presentano una titolarità diffusa tra numerosi token holders che votano sulle decisioni organizzative, sfumando il concetto stesso di titolare effettivo. Ancora più problematici risultano gli smart contract che agiscono come “clienti”, eseguendo operazioni in modo automatico secondo logiche predeterminate, con beneficiari che possono essere difficilmente individuabili o mutevoli nel tempo.

L’origine delle cripto-attività costituisce un aspetto cruciale dell’adeguata verifica rafforzata. Il cliente deve fornire informazioni circostanziate indicando se le cripto-attività derivano da mining diretto, acquisto su exchange specificando quali e quando, pagamenti ricevuti per beni o servizi prestati, investimenti in Initial Coin Offerings o altre forme di fundraising, oppure airdrops, staking rewards o yield farming. La documentazione richiesta include prove di acquisto su exchange regolamentati, contratti di mining, fatture per beni o servizi che hanno generato pagamenti in cripto, e dichiarazioni fiscali attestanti il possesso di cripto-attività.

In presenza di un elevato rischio di riciclaggio o di finanziamento del terrorismo, i CASP devono applicare misure rafforzate di adeguata verifica che si sostanziano in obblighi più stringenti e approfonditi. Alcune categorie di clienti sono sempre considerate ad alto rischio e richiedono automaticamente l’applicazione di queste misure rafforzate.

Una prima categoria comprende i rapporti e le operazioni con Paesi terzi ad alto rischio, identificati dal Financial Action Task Force nelle liste “High-risk and other monitored jurisdictions” o dalla Commissione Europea ai sensi dell’articolo 9 della Direttiva 2015/849/UE. Nel contesto cripto, la localizzazione geografica assume connotati peculiari, potendo riferirsi alla residenza o sede del cliente, alla localizzazione dei server del CASP utilizzato, alla giurisdizione di incorporazione degli exchange con cui si opera, o all’origine geografica degli indirizzi blockchain con cui il cliente interagisce abitualmente.

Una seconda categoria riguarda le Persone Politicamente Esposte, o PEP, categoria che include il cliente o il titolare effettivo che riveste tale qualifica, nonché i familiari o i soggetti notoriamente legati a PEP. Un’eccezione significativa è prevista quando le PEP agiscono in veste di organi delle Pubbliche Amministrazioni, caso in cui si applica un’adeguata verifica commisurata al rischio concreto piuttosto che automaticamente rafforzata. Le cripto-attività possono essere particolarmente attraenti per PEP corrotti che cercano di occultare proventi di corruzione, eludere controlli sui movimenti di capitali o aggirare sanzioni personali o familiari imposte da autorità nazionali o internazionali.

Oltre a queste categorie automatiche, esistono fattori di rischio aggiuntivi specificamente rilevanti per i CASP. Le circostanze anomale nel comportamento del cliente, quali la riluttanza a fornire informazioni, la variazione ripetuta delle informazioni fornite, l’impossibilità di produrre documentazione di base, o comportamenti volti a evitare l’instaurazione di rapporti continuativi manifestando una preferenza per operazioni occasionali ripetute, costituiscono segnali d’allerta significativi.

Le aree geografiche a rischio elevato richiedono particolare attenzione quando il cliente risiede o ha sede in zone caratterizzate da alto rischio secondo i criteri dell’articolo 24 del decreto antiriciclaggio. Per i CASP assumono inoltre rilevanza l’utilizzo prevalente di exchange localizzati in giurisdizioni opache, le interazioni frequenti con indirizzi blockchain attribuibili a entità high-risk identificate da autorità internazionali o da società di blockchain analytics, e il routing di transazioni attraverso giurisdizioni multiple senza apparente giustificazione economica.

Gli indici reputazionali negativi costituiscono un ulteriore fattore di rischio che richiede approfondimenti. Rientrano ad esempio in questa categoria i procedimenti penali quando noti e non coperti da segretezza processuale, i procedimenti per danno erariale, la responsabilità amministrativa degli enti ai sensi del D. Lgs. 231/2001, le sanzioni amministrative per violazioni della normativa antiriciclaggio. Le fonti informative rilevanti per i CASP includono segnalazioni pubbliche di coinvolgimento in schemi Ponzi crypto, blacklist di indirizzi pubblicati da autorità internazionali come l’Office of Foreign Assets Control statunitense o le liste sanzionatorie dell’Unione Europea, segnalazioni provenienti da altri CASP o exchange, e notizie di stampa autorevoli su coinvolgimenti in attività illecite.

Anche i fattori geografici meritano considerazione specifica. I Paesi che non figurano nelle liste FATF ma presentano carenze nei sistemi antiriciclaggio, evidenziate da rapporti di valutazione reciproca sfavorevoli di MoneyVal o di altri organismi regionali del FATF, costituiscono aree di attenzione. Analogamente, i Paesi con scarsa trasparenza fiscale, identificati attraverso rating negativi dell’OCSE su trasparenza e scambio di informazioni fiscali, richiedono cautela. Per i CASP assumono particolare rilevanza i Paesi con exchange non regolamentati o sotto-regolamentati, le giurisdizioni “crypto-friendly” che attraggono operatori con normative permissive ma scarsi controlli antiriciclaggio, e i Paesi con alta concentrazione di mining pools operanti senza adeguata supervisione.

Il Provvedimento Bankit del 30 settembre 2025

La governance e i controlli interni degli emittenti di ART

Le disposizioni sulla governance si applicano agli emittenti di ART autorizzati ai sensi degli articoli 21 del MiCAR e 11 del Decreto MiCAR, categoria che comprende istituti di moneta elettronica, istituti di pagamento e SIM diverse da quelle di classe 1. Un elemento innovativo di particolare rilievo è l’applicazione del principio di proporzionalità, che consente di graduare gli obblighi in funzione delle dimensioni in termini di totale di bilancio, della natura e complessità delle attività svolte, della classificazione del token come significativo o non significativo, dell’entità della riserva di attività e della complessità degli strumenti in cui viene investita, del ricorso a fornitori terzi di servizi, e dei sistemi informatici esistenti con le relative misure di continuità operativa. Questo approccio risk-based evita l’imposizione di oneri sproporzionati agli operatori di minori dimensioni, pur mantenendo standard elevati di presidio dei rischi.

I requisiti organizzativi fondamentali

Il Provvedimento del 30 settembre introduce quattro pilastri organizzativi che costituiscono il fondamento della governance degli emittenti di ART. La struttura organizzativa deve essere adeguata e trasparente, promuovendo una gestione efficace e prudente dell’emittente e, ove applicabile, del gruppo di appartenenza. L’organo di amministrazione deve avere piena conoscenza e comprensione della struttura giuridica, organizzativa e operativa dell’emittente, principio sintetizzato nell’espressione “know your structure”, garantendo che tale struttura sia in linea con la strategia aziendale, la strategia in materia di rischio e la propensione al rischio approvate, nonché inclusa nel quadro di gestione dei rischi.

La cultura del rischio rappresenta il secondo pilastro, richiedendo lo sviluppo di una cultura integrata e diffusa in tutta la struttura aziendale, basata su una piena comprensione dei rischi connessi con l’attività svolta. Questa previsione recepisce le best practice della vigilanza bancaria, adattandole alle specificità del settore cripto dove i rischi possono derivare tanto dalla volatilità intrinseca degli asset quanto dalle vulnerabilità tecnologiche o dalle minacce cyber.

I valori aziendali e il codice di condotta costituiscono il terzo pilastro. L’organo di amministrazione deve sviluppare, adottare, rispettare e promuovere elevati standard etici e professionali, prendendo in considerazione le esigenze e le caratteristiche specifiche dell’emittente di ART. L’attuazione di questi standard deve avvenire mediante un codice di condotta o uno strumento analogo, con monitoraggio costante del rispetto da parte del personale.

La trasparenza, quarto pilastro, impone che le strategie, le politiche e le procedure siano comunicate a tutto il personale interessato in seno all’emittente in maniera chiara e coerente. Il personale deve avere piena comprensione delle politiche e delle procedure associate ai propri compiti e responsabilità, applicandole nella pratica quotidiana. L’organo di amministrazione deve informare e aggiornare il personale tramite orientamenti scritti, manuali o altri mezzi idonei, almeno al livello necessario per svolgere i compiti specifici assegnati.

Il sistema di governo societario

Il Provvedimento dedica particolare attenzione alla composizione e ai compiti dell’organo di amministrazione, operando una distinzione chiara tra le diverse funzioni che questo può svolgere. La funzione di supervisione strategica compete all’organo nel quale si concentrano le funzioni di indirizzo e supervisione della gestione sociale. A questo organo spetta sorvegliare e monitorare il processo decisionale e le azioni dell’organo di amministrazione nella sua funzione di gestione, provvedendo a una sorveglianza efficace attraverso il monitoraggio e l’analisi del suo rendimento individuale e collettivo nonché dell’istituzione e dell’attuazione della strategia e degli obiettivi dell’emittente.

L’organo con funzione di supervisione strategica deve contestare in modo costruttivo e rivedere criticamente le proposte e le informazioni fornite dai membri dell’organo di amministrazione nella sua funzione di gestione, garantendo e valutando periodicamente l’efficacia del quadro di governance dell’emittente per adottare le misure appropriate volte a far fronte a eventuali carenze individuate. Compete inoltre a questo organo sorvegliare e monitorare la coerente attuazione degli obiettivi strategici, della struttura organizzativa e della strategia in materia di rischio dell’emittente, la sua propensione al rischio e il quadro di gestione dei rischi, nonché di altre politiche quali la politica di investimento della riserva di attività.

La funzione di gestione è affidata all’organo aziendale o ai componenti ai quali spettano o sono delegati compiti di gestione, intesi come attuazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica. Questo organo deve essere fattivamente impegnato nell’ambito dell’attività dell’emittente e prendere decisioni informate, assumendo la responsabilità dell’attuazione delle strategie e delle politiche stabilite. I membri dell’organo con funzione di gestione devono assicurare una corretta e costruttiva dialettica interna e rivedere in modo critico le proposte, le motivazioni e le informazioni ricevute dal personale. Ove applicabile, questo organo informa e riferisce regolarmente, tempestivamente e in modo esaustivo all’organo con funzione di supervisione strategica tutte le informazioni pertinenti necessarie per l’esercizio delle sue funzioni, compresi i rischi e gli altri sviluppi che incidono sull’attività dell’emittente.

Un elemento critico della governance è l’obbligo di assicurare un appropriato equilibrio dei poteri. Il processo decisionale dell’organo di amministrazione non può essere dominato da un singolo membro o da un gruppo ristretto dei suoi membri, garantendo una dialettica costruttiva all’interno degli organi aziendali che favorisca decisioni ponderate e bilanciate. Questo principio assume particolare rilevanza nel settore cripto, spesso caratterizzato da figure imprenditoriali forti che hanno fondato e sviluppato i progetti, ma che devono ora confrontarsi con meccanismi di governance più strutturati e collegiali.

Il sistema dei controlli interni

Il Provvedimento prevede l’istituzione di un articolato sistema di controlli interni finalizzato a individuare e gestire i rischi aziendali, garantire una sana ed efficace gestione e diffondere una corretta cultura del rischio in tutta l’organizzazione aziendale. Questo sistema si articola su tre livelli progressivi di controllo, ciascuno con funzioni e responsabilità specifiche.

Il primo livello è costituito dai controlli di linea, integrati nei processi operativi e sotto la responsabilità delle strutture operative stesse. Questi controlli costituiscono la prima barriera difensiva contro i rischi operativi e devono essere incorporati nelle procedure quotidiane di lavoro.

Il secondo livello comprende le funzioni di controllo specializzate, che operano con indipendenza dalle strutture operative. La funzione di conformità alle norme è obbligatoria per tutti gli emittenti e presiede alla gestione del rischio di non conformità con riguardo a tutta l’attività aziendale. La funzione di gestione dei rischi, da istituire secondo i criteri di proporzionalità, assicura un’adeguata attuazione del quadro di gestione dei rischi e verifica che tutti i rischi siano individuati, valutati, misurati, monitorati, gestiti e debitamente segnalati dalle unità interessate dell’emittente.

Il terzo livello è rappresentato dalla funzione di revisione interna o internal audit, anch’essa da istituire secondo proporzionalità, che riesamina in modo indipendente, secondo un metodo basato sul rischio, la conformità di tutte le attività e unità dell’emittente alle politiche e procedure interne nonché agli obblighi normativi esterni.

I responsabili delle funzioni di controllo sono collocati a un livello gerarchico adeguato che fornisce loro l’autorità appropriata e il peso necessario per adempiere alle proprie responsabilità. Questi responsabili rispondono direttamente agli organi aziendali e hanno in ogni caso accesso diretto all’organo con funzione di supervisione strategica e all’organo con funzione di controllo, ove istituito, potendo comunicare con essi senza restrizioni o intermediazioni. Gli emittenti devono disporre di processi documentati per assegnare e revocare la posizione di responsabile di una funzione aziendale di controllo, richiedendo in ogni caso la previa approvazione dell’organo di amministrazione nella sua funzione di supervisione strategica per la rimozione.

Per quanto riguarda gli esponenti aziendali, questi devono possedere requisiti di onorabilità consistenti nell’assenza di precedenti penali per reati nei settori del diritto commerciale, fallimentare, finanziario, antiriciclaggio o antifrode. Devono inoltre dimostrare competenza attraverso conoscenze, competenze ed esperienza necessarie per amministrare l’intermediario, dedicare tempo sufficiente all’esercizio delle funzioni, e contribuire a un’adeguata composizione collettiva dell’organo di amministrazione caratterizzata da diversità di esperienze, competenze e prospettive.

Conclusioni: sfide e prospettive del nuovo quadro regolamentare

I Provvedimenti di Banca d’Italia del 2025 rappresentano un passaggio fondamentale nella costruzione di un ecosistema cripto regolamentato, sicuro e trasparente in Italia. L’approccio adottato si caratterizza per l’allineamento europeo attraverso il recepimento fedele degli Orientamenti EBA ed ESMA, garantendo un level playing field nel mercato unico che favorisce la concorrenza leale e previene l’arbitraggio regolamentare. La calibrazione degli obblighi in funzione delle dimensioni, complessità e rischio evita oneri sproporzionati per operatori minori, consentendo anche alle realtà più piccole di operare nel rispetto della normativa senza sostenere costi insostenibili.

L’approccio basato sul rischio permette di modulare le misure di adeguata verifica in funzione del rischio effettivo, concentrando le risorse di vigilanza e compliance sulle situazioni realmente problematiche quali le relazioni con PEP, i rapporti con Paesi terzi ad alto rischio, e le operazioni caratterizzate da profili anomali. I requisiti stringenti su governance, controlli interni e gestione dei rischi allineano gli standard del settore cripto a quelli della finanza tradizionale, superando la percezione di un comparto caratterizzato da improvvisazione e scarsa professionalità.