L’Unità di Informazione Finanziaria per l’Italia ha pubblicato il 17 febbraio il Quaderno dell’antiriciclaggio n. 33, firmato da Michele Manna. Non è un documento tecnico per addetti ai lavori. È una mappa del rischio di riciclaggio nascosta dentro uno strumento che tutti usano ogni giorno: l’IBAN.
La pratica di associare più codici IBAN a un unico conto di pagamento – i cosiddetti IBAN virtuali o, come preferisce lo studio, IBAN aggiuntivi – è diventata comune nelle aziende che gestiscono grandi volumi di incassi, nelle strutture di gruppo e nei nuovi ecosistemi dell’Open Banking. Utile, flessibile, efficiente. Ma anche, in scenari avversi, perfettamente attrezzata per spezzare il filo del denaro tra chi paga e chi incassa.
Il Quaderno colma un vuoto significativo. La letteratura accademica sul tema era quasi inesistente prima del Report dell’EBA del 2024. Oggi la UIF offre qualcosa di più: una tassonomia sistematica, dati empirici sui principali operatori di mercato e tre indicazioni di priorità che ogni funzione AML dovrebbe leggere con attenzione.
Il problema del nome
Il termine “virtuale” non convince il ricercatore. Un IBAN aggiuntivo ha la stessa struttura alfanumerica di qualsiasi altro IBAN: nessuno può distinguerlo a vista. Il Regolamento (UE) 2024/1624 – il pacchetto AMLR – ne introduce per la prima volta una definizione giuridica all’articolo 2, punto 26, descrivendo il vIBAN come “un identificativo che causa il reindirizzamento dei pagamenti verso un conto di pagamento identificato da un IBAN diverso da tale identificativo”.
Un IBAN virtuale non è meno reale degli altri. È semplicemente un secondo – o terzo, o quarto – biglietto da visita per lo stesso conto. Il problema non è l’esistenza dello strumento, ma la possibilità che dietro al biglietto da visita non ci sia nessuno che conosce il mittente.
Il nodo giuridico è sottile ma rilevante: l’AMLR ammette esplicitamente i vIBAN come identificativi legittimi, ma al tempo stesso impone – all’articolo 22(3) – che l’istituto che gestisce il conto master sia sempre in grado di ottenere le informazioni per identificare e verificare l’identità della persona fisica che usa quell’IBAN aggiuntivo. Un obbligo che suona semplice e che nella pratica può diventare molto oneroso.
Otto configurazioni, otto livelli di rischio
Il contributo più originale dello studio è la proposta di una tassonomia delle configurazioni possibili, costruita su tre variabili: se l’IBAN aggiuntivo mantiene il codice banca dell’IBAN primario, se mantiene il codice paese, e se il titolare del conto master è direttamente una delle parti del pagamento oppure un intermediario finanziario. La combinazione genera otto categorie, dalla A alla H.
Tavola di sintesi: le 8 categorie della tassonomia
| Cat. | Codice banca | Codice paese | Titolarità conto | Livello di rischio AML |
| A | = primario | = primario | Diretta | Contenuto – baseline |
| B | = primario | ≠ primario | Diretta | Moderato (IBAN discrimination) |
| C | = primario | = primario | Indiretta | Moderato |
| D | = primario | ≠ primario | Indiretta | Medio-alto |
| E | ≠ primario | = primario | Diretta | Medio-alto |
| F | ≠ primario | ≠ primario | Diretta | Alto |
| G | ≠ primario | = primario | Indiretta | Alto |
| H | ≠ primario | ≠ primario | Indiretta | Molto alto |
La Categoria A è il caso più trasparente: una società di utenze assegna un IBAN distinto a ciascun cliente per automatizzare la riconciliazione degli incassi. Il gestore del conto ha visibilità completa su entrambi i lati del pagamento. Tre passaggi, tutto tracciabile. La Categoria H è l’opposto: l’IBAN aggiuntivo differisce dall’IBAN primario sia per codice banca sia per codice paese, e il conto master è detenuto da un intermediario anziché direttamente dalle parti. Sette passaggi, visibilità progressivamente frammentata lungo tutta la catena.
L’autore misura questa complessità in modo concreto: il numero di linee di comunicazione e di trasferimenti di fondi raddoppia quasi passando dalla configurazione più semplice a quella più articolata. Più passaggi significa meno visibilità per il gestore del conto master, più difficoltà nell’applicare le misure di adeguata verifica e, in scenari di abuso, più possibilità di occultare l’identità del beneficiario finale o del pagatore originario.
Nelle configurazioni più complesse – le categorie G e H – il soggetto che emette l’IBAN aggiuntivo può risiedere in un Paese SEPA esterno all’Unione Europea. La SEPA conta oggi 41 Paesi: 27 Stati membri dell’UE e 14 giurisdizioni extra-UE, incluso il Regno Unito che è rimasto nell’area nonostante la Brexit. Al di fuori dell’UE, l’AMLR non si applica. L’obbligo di identificazione del titolare effettivo rimane sulla carta, ma il meccanismo di enforcement per ottenerlo non c’è.
La discriminazione IBAN
Una sezione dello studio affronta un tema che la compliance bancaria conosce bene ma spesso sottovaluta: l’IBAN discrimination, cioè il rifiuto illegittimo di eseguire bonifici verso conti situati in un altro Paese SEPA. La pratica viola l’articolo 9 del Regolamento SEPA, eppure è ancora diffusa: la piattaforma “Accept My IBAN” ha registrato 3.500 denunce tra febbraio 2021 e settembre 2023, con Francia e Spagna in testa.
Il punto AML non è la violazione in sé, ma ciò che accade subito dopo. Chi subisce il rifiuto chiede spesso un IBAN aggiuntivo con il codice paese “accettato” dalla controparte, trasformando un’esigenza operativa legittima in un vettore potenziale di opacità. Lo studio è esplicito: nessuno degli argomenti portati a giustificazione dell’IBAN discrimination può essere risolto emettendo un IBAN con un diverso identificatore di paese. L’istituto che accetta di farlo – sapendo o dovendo sapere la ragione – diventa corresponsabile della violazione.
Il rimedio non è nell’IBAN. È nell’eliminazione della discriminazione. Le sanzioni attualmente applicabili agli Stati membri sono eterogenee al punto da rendere l’obbligo quasi teorico: la forchetta va da 250 a 20.000 euro, e la Commissione europea non è nemmeno tenuta a valutare se le penali siano effettive, proporzionate e dissuasive.
Chi offre gli IBAN aggiuntivi e da dove
Lo studio analizza i 20 principali provider di IBAN aggiuntivi a livello internazionale, incrociando quattro fonti di mercato con i registri ufficiali EBA, FCA britannica, EPC e SWIFT. Al primo posto si trova Wise, seguita da Payset, Revolut, Payoneer, Airwallex e Rapyd. Il dato geografico è il più rilevante ai fini AML.
I gruppi con sede nel Regno Unito – sia quelli con licenza UE diretta sia quelli che operano nell’area tramite partnership – rappresentano quasi il 60% del punteggio aggregato dei top 20. Questo non è un problema di per sé: il mercato dei pagamenti SEPA è comune e il Regno Unito ne fa parte. Il problema è che questi operatori sono soggetti a un ordinamento giuridico diverso dall’AMLR, con standard di adeguata verifica che possono divergere in modo significativo.
Un’altra evidenza riguarda la trasparenza delle catene: in più di un caso, i registri ufficiali disponibili al pubblico non consentono di identificare tutti gli attori coinvolti nelle strutture operative dei provider esaminati. Le reti reali sono più complesse di quelle visibili. E in materia AML, la complessità non tracciata è sempre un rischio.
Il paradosso delle piccole giurisdizioni
I dati EBA sul Registro degli Istituti di Pagamento rivelano una concentrazione che l’autore definisce “significativa e statisticamente robusta”: Cipro, Irlanda, Lituania, Lussemburgo e Malta – cinque Paesi che pesano il 2,4% della popolazione europea e il 3,9% del PIL – ospitano il 16,3% degli istituti di pagamento autorizzati a operare su base transfrontaliera nell’EEA. Un istituto di pagamento ha una probabilità cinque volte maggiore di scegliere una di queste cinque giurisdizioni. Escludendo l’Irlanda, il multiplo sale a undici.
L’autore costruisce un modello econometrico per spiegare questa concentrazione. Il risultato più significativo è ciò che il modello esclude: la dimensione del mercato domestico ha segno negativo e statisticamente significativo, confermando che la domanda interna non ha nulla a che fare con la scelta. La market friendliness, misurata dagli indici World Bank e IMD, spiega il fenomeno solo parzialmente e in modo non uniforme. Per Irlanda e Lituania, il modello sottostima il dato effettivo di 7-8 punti percentuali.
Le evidenze disponibili non costituiscono prova di disomogeneità nell’applicazione delle politiche di vigilanza. Ma suggeriscono che le aspettative degli operatori sulle prassi istituzionali e sulle modalità di esercizio della supervisione possano influire sulle scelte di localizzazione. È una congettura prudente. È anche la più onesta che i dati consentano.
Per la compliance bancaria, questa concentrazione ha un’implicazione pratica immediata: quando si valuta un istituto di pagamento come controparte o come provider di servizi, la giurisdizione di stabilimento non è un dato neutro. È informazione di rischio.
Open Banking e BaaS: il motore strutturale
Gli IBAN aggiuntivi non sono un prodotto dell’Open Banking nel senso stretto. Ma rispondono agli stessi stimoli: più flessibilità nella gestione dei conti, riduzione dei costi operativi, integrazione tecnologica tra sistemi e attori eterogenei. Il risultato è che il tradizionale schema a quattro parti – pagatore, banca del pagatore, beneficiario, banca del beneficiario – si è moltiplicato in reti molto più complesse, dove ogni nodo aggiuntivo è anche un punto cieco potenziale per il monitoraggio AML.
Il Gruppo d’Azione Finanziaria Internazionale ha preso atto di questa trasformazione con la revisione della Raccomandazione 16 (la Travel Rule), adottata nel 2025. Le Note Interpretative stabiliscono che il messaggio di pagamento deve consentire a tutte le istituzioni coinvolte di identificare gli istituti che gestiscono i conti dell’ordinante e del beneficiario e le giurisdizioni in cui si trovano. Un obbligo che riguarda direttamente gli IBAN aggiuntivi, classificati dal FATF tra i “virtual account numbers”. La scadenza di implementazione è fissata a fine 2030. Un documento di orientamento sulla trasparenza dei pagamenti è atteso per fine 2026.
Nel contesto europeo, PSD3 e il Regolamento sui servizi di pagamento (PSR) dovrebbero essere finalizzati nel corso del 2026, con implementazione prevista a fine 2027 o inizio 2028. Sono il punto di riferimento normativo più ravvicinato per chi opera nell’area.
Cosa deve cambiare nelle funzioni AML
Lo studio individua tre linee di azione prioritarie. La prima è l’eliminazione dell’IBAN discrimination: non perché sia semplicemente illegale, ma perché finché esiste fornisce una giustificazione plausibile – e spesso difficile da confutare – per richieste di IBAN aggiuntivi con codice paese diverso. Ogni banca che accetta di emettere un IBAN aggiuntivo “per aggirare” un rifiuto altrui dovrebbe chiedersi se sta risolvendo un problema o creandone uno più grande.
La seconda priorità riguarda la trasparenza nelle catene complesse. L’obbligo dell’articolo 22(3) AMLR – quello di garantire l’identificazione dell’utente finale dell’IBAN aggiuntivo – non può essere rispettato senza meccanismi contrattuali e informativi che raggiungano tutti i nodi della rete, inclusi quelli situati fuori dall’Unione Europea. Nelle categorie più complesse della tassonomia, questo significa ridisegnare i contratti con i partner e le procedure di due diligence sui provider di servizi di pagamento.
La terza priorità è la più scomoda: interrogarsi sulle scelte di localizzazione dei propri provider. La concentrazione di istituti di pagamento in cinque micro-giurisdizioni è un fatto documentato. Le ragioni non sono ancora pienamente spiegate. Per una funzione AML, “non ancora spiegate” non è sinonimo di “irrilevante”: è esattamente il tipo di segnale che merita approfondimento nell’ambito della governance del rischio terze parti.
Il punto
Gli IBAN aggiuntivi non sono pericolosi. Sono strumenti. Come tutti gli strumenti, il loro impatto dipende da chi li usa e in quale configurazione. Il merito del Quaderno n. 33 dell’UIF è di avere costruito una mappa di quella configurazione: otto categorie, tre variabili, una gerarchia di rischio chiara. Chi lavora in una funzione AML non ha più l’alibi dell’ignoto.
La prossima volta che un cliente o una controparte presenta un IBAN con un codice paese inatteso, o un provider di pagamenti stabilito in una piccola giurisdizione europea con un’offerta cross-border molto estesa, le domande da fare sono diverse rispetto a un anno fa. Questo studio le ha rese più precise.
Super AML 
Scrivi una risposta a thoughtfullyfamous8f0258f350 Cancella risposta