Le nuove norme antiriciclaggio sul trasferimento di fondi e di crypto-assets | Studio Legale Tidona e Associati

© Tutti i diritti riservati. Vietata la ripubblicazione cartacea ed in internet senza una espressa autorizzazione scritta. È consentito il link diretto a questo documento.

Di Antonio Pezzuto, ex Dirigente della Banca d’Italia

Il 20 luglio 2021 la Commissione europea ha presentato l’AML Package, composto di quattro proposte legislative, in attuazione del “Piano d’azione per una politica integrata dell’Unione in materia di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo”, tutte in seguito approvate dal Parlamento e dal Consiglio europeo.

L’AML Package persegue due obiettivi principali: migliorare la capacità del sistema finanziario di individuare operazioni e attività sospette e adeguare l’attuale quadro normativo europeo alle sfide nuove ed emergenti legate all’innovazione tecnologica, alla maggiore integrazione dei flussi finanziari nel mercato unico e alla natura globale delle organizzazioni terroristiche.

Il pacchetto AML si compone:

• del Regolamento (UE) 2023/1113, riguardante i dati informativi che accompagnano i trasferimenti di fondi e cripto-attività (c.d. Transfers of Funds Regulation recast – TFR), che modifica la Direttiva UE/2015/849 (c.d. Quarta Direttiva Antiriciclaggio) e abroga il Regolamento (UE) 2015/847;
• del Regolamento (UE) 2024/1624, relativo alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (c.d. AMLR)[1];
• del Regolamento (UE) 2024/1620, che istituisce l’Autorità per la lotta al riciclaggio e al finanziamento del terrorismo (AMLA[2]), e che modifica i Regolamenti n. 1093/2010, n. 1094/2010 e n. 1095/2010;
• della Direttiva UE/2024/1640, concernente i meccanismi che gli Stati membri devono istituire per prevenire l’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (c.d. AMLD6 o Sesta Direttiva Antiriciclaggio)[3].

Muovendo dalla constatazione che i flussi di denaro illecito derivanti da trasferimenti di cripto-attività possono minare l’integrità, la stabilità e la reputazione del sistema finanziario e costituire una minaccia per il mercato interno dell’Unione nonché lo sviluppo internazionale dei trasferimenti di valute virtuali, il 31 maggio 2023 il legislatore europeo ha approvato il Regolamento 2023/1113.

Il nuovo framework rafforza gli oneri informativi in materia di trasferimento di fondi (travel rule) e di cripto-attività, imponendo da un lato ai prestatori di servizi di pagamento l’obbligo di accompagnare i trasferimenti di fondi in qualsiasi valuta dei dati informativi relativi all’ordinante e al beneficiario e, dall’altro, ai prestatori di servizi per le cripto-attività l’obbligo di corredare i trasferimenti di cripto-attività di informazioni riguardanti il cedente e il cessionario. Con tale Regolamento, l’UE recepisce le raccomandazioni 15 e 16 del Gruppo d’azione finanziaria internazionale (GAFI), che ha esteso il regime di trasparenza, attualmente previsto per il trasferimento di fondi tra i prestatori di servizi di pagamento (payment service providers, PSP), anche ai prestatori di servizi di cripto-attività (crypto-asset services providers, CASP) che effettuano trasferimenti di attività digitali.

Il Regolamento in commento, che entrerà in vigore il 30 dicembre 2024, mira a prevenire, individuare e indagare fenomeni di riciclaggio e finanziamento del terrorismo, qualora almeno uno dei prestatori dei servizi di pagamento o dei prestatori di servizi per le cripto-attività coinvolti nel trasferimento di fondi o crypto-assets abbia sede legale o sia stabilito nell’UE. Le definizioni di crypto-asset e crypto asset service provider riprendono quelle contenute nel Regolamento (UE) 2023/1114 (c.d. MiCA, Markets in Crypto-Assets)[4].

Il Regolamento si applica ai trasferimenti di fondi e cripto-attività inviati o ricevuti da un prestatore di servizi di pagamento o da un prestatore intermediario di servizi di pagamento stabilito nell’Unione.

Restano esclusi dall’ambito di applicazione del Regolamento:

• i trasferimenti di fondi o di token di moneta elettronica effettuati utilizzando carte di pagamento, strumenti di moneta elettronica, telefoni cellulari o altri dispositivi simili digitali o informatici prepagati o postpagati, qualora: i) il trasferimento sia eseguito per il pagamento di beni o servizi; e ii) il numero della carta dello strumento o del dispositivo si accompagni a ogni trasferimento generato dalla transazione;
• taluni trasferimenti, come, ad esempio, il prelievo di contante da parte dell’ordinante dal proprio conto di pagamento o il pagamento di imposte o sanzioni a un’autorità pubblica;
• i trasferimenti di cripto-attività, qualora sia il cedente sia il cessionario agiscano per proprio conto ed il trasferimento abbia luogo da persona a persona (person-to-person) senza il coinvolgimento di un prestatore di servizi per le cripto-attività.

Il Regolamento prevede una serie di obblighi in capo ai:

1. prestatori di servizi di pagamento dell’ordinante (verificare il nome e il numero di conto di pagamento dell’ordinante e del beneficiario e i dettagli relativi all’indirizzo e all’identità ufficiale dell’ordinante che accompagnano il trasferimento dei fondi; limitare i dati informativi ai conti dell’ordinante e del beneficiario e, se necessario, al codice unico di identificazione dell’operazione, qualora tutti i prestatori di servizi di pagamento coinvolti nel trasferimento abbiano sede nell’Unione; fornire ulteriori informazioni entro tre giorni lavorativi, se richiesto dal prestatore di servizi del beneficiario;
2. prestatori di servizi di pagamento del beneficiario (verificare se i dati informativi relativi all’ordinante e al beneficiario sono stati inseriti correttamente nel sistema di messaggistica o di pagamento e di regolamento ed accertare se vi sono dati mancanti; decidere se eseguire, rifiutare o sospendere un trasferimento di fondi privo di dati informativi di base relativi all’ordinante e al beneficiario; richiamare il prestatore di servizi di pagamento qualora ometta ripetutamente le informazioni richieste prima di rifiutare i trasferimenti e di informare l’autorità responsabile per la lotta al riciclaggio di denaro e al finanziamento del terrorismo; tenere conto della mancanza o dell’incompletezza dei dati informativi nel valutare se il trasferimento è sospetto e se deve essere segnalato all’Unità di informazione finanziaria (UIF);
3. prestatori intermediari di servizi di pagamento (accertare che i dati informativi relativi all’ordinante e al beneficiario sono stati inseriti correttamente nel sistema di messaggistica o di pagamento e di regolamento; rifiutare il trasferimento di fondi qualora non sia accompagnato dai dati informativi; richiamare il prestatore di servizi di pagamento qualora questi ometta ripetutamente di fornire le informazioni; informare l’autorità responsabile per la lotta al riciclaggio di denaro e al finanziamento del terrorismo; tenere conto della mancanza di dati informativi nel valutare se il trasferimento è sospetto e se deve essere segnalato all’UIF;
4. prestatori di servizi per le cripto-attività del cedente (assicurare che i trasferimenti di cripto-attività siano accompagnati dai dati informativi relativi al cedente e al cessionario, quali i loro nomi, l’indirizzo di registro distribuito e i numeri di conto delle cripto-attività; garantire che il trasferimento sia accompagnato da un codice unico di identificazione dell’operazione qualora il trasferimento non sia registrato su una rete che utilizza la distributed ledger technology(DLT); accertare l’esattezza delle informazioni ricevute; verificare se un indirizzo auto-ospitato (self hosted address)[5] è posseduto o controllato dal cedente per i trasferimenti superiori ai 1.000 euro;
5. prestatori di servizi per le cripto-attività del cessionario (verificare se i dati informativi del cedente e del cessionario sono inclusi nel trasferimento o nei trasferimenti raggruppati di cripto-attività; garantire che il trasferimento di cripto-attività da un indirizzo auto-ospitato possa essere identificato individualmente; verificare l’accuratezza dei dati informativi relativi al cessionario prima di mettere le cripto-attività a sua disposizione; decidere se eseguire, rifiutare, restituire o sospendere un trasferimento di cripto-attività non accompagnato da dati informativi e adottare le misure più opportune; rifiutare o restituire le cripto-attività o richiedere ulteriori elementi informativi in caso di mancanza o incompletezza di informazioni; richiamare il prestatore di servizi di cripto-attività qualora questi ometta ripetutamente le informazioni richieste prima di procedere a un rifiuto, ovvero limitare o terminare o porre fine al suo rapporto professionale e di informare l’autorità responsabile per la lotta al riciclaggio di denaro e al finanziamento del terrorismo; tenere conto della mancanza di dati informativi nel valutare se il trasferimento è sospetto e se deve essere segnalato all’UIF);
6. prestatori intermediari di servizi per le cripto-attività (conservare e mettere a disposizione delle autorità competenti, se richiesti, tutti i dati informativi ricevuti relativi al cedente e al cessionario, che accompagnano un trasferimento di cripto-attività; accertare se i dati informativi del cedente e del cessionario sono stati presentati in anticipo, simultaneamente o in concomitanza con il trasferimento o i trasferimenti raggruppati di cripto-attività; decidere se eseguire, rifiutare o sospendere un trasferimento privo dei prescritti dati informativi; richiamare il prestatore di servizi per le cripto-attività qualora questi ometta ripetutamente di fornire le informazioni prima di procedere a un rifiuto, ovvero limitare o terminare o porre fine al suo rapporto professionale e di informare l’autorità responsabile per la lotta al riciclaggio di denaro e al finanziamento del terrorismo; tenere conto della mancanza di dati informativi nel valutare se il trasferimento è sospetto e se deve essere segnalato all’UIF);
7. prestatori di servizi di pagamento e ai prestatori di servizi di cripto-attività (definire politiche, procedure e controlli interni per garantire l’applicazione delle norme a livello europeo e nazionale quando effettuano trasferimenti di fondi o cripto-attività; rispondere pienamente e senza indugio alle indagini delle autorità responsabili per la prevenzione e la lotta al riciclaggio di denaro e al finanziamento del terrorismo; conservare i dati informativi relativi ai soggetti coinvolti nel trasferimento di fondi o cripto-attività (cedenti, cessionari, ordinanti e beneficiari) per cinque anni, estendibili a ulteriori cinque anni se richiesto da uno Stato membro).

Il Regolamento in esame ha apportato numerose modifiche alla Direttiva UE/2015/849[6], tra cui le più significative risultano essere le seguenti:

• includere la categoria dei CASP nella definizione di “istituto finanziario” (articolo 3), al fine di assicurare che siano sottoposti agli stessi requisiti e all’analogo regime di vigilanza, per i profili antiriciclaggio, previsti per questi operatori;
• richiedere ai CASP di individuare e valutare il rischio di riciclaggio e di finanziamento del terrorismo associato ai trasferimenti di cripto-attività diretti a (o provenienti da) un indirizzo auto-ospitato, nonché di applicare misure di attenuazione commisurate ai rischi individuati (articolo 19-bis);
• richiedere ai CASP di adottare adeguate misure di attenuazione dei rischi nell’instaurazione di rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di servizi per le cripto-attività con un ente rispondente stabilito nell’Unione (articolo 19-ter);
• consentire agli Stati membri di imporre anche ai CASP stabiliti nel loro territorio in forme diverse dalle succursali e la cui sede centrale è situata in un altro Stato membro, di designare un punto di contatto centrale nel loro territorio (articolo 45, paragrafo 9).

Viene previsto inoltre che: i) gli Stati membri applichino sanzioni in caso di violazioni del Regolamento; e ii) la Commissione europea presenti una relazione alle massime Istituzioni europee entro il 31 dicembre 2026 e, successivamente, ogni tre anni sulle sanzioni e le attività di monitoraggio, nonché una relazione entro il 30 giugno 2027 sull’applicazione e l’esecuzione del Regolamento.

Al Regolamento TFR è seguita la pubblicazione, in data 4 luglio 2024, degli Orientamenti sulla travel rule, con i quali l’Autorità bancaria europea ha specificato i dati informativi che dovrebbero accompagnare un trasferimento di fondi o di crypto–assets ed indicato le azioni che gli operatori di mercato dovrebbero adottare per identificare le informazioni mancanti o incomplete, descrivendo le procedure da attuare se un trasferimento è privo delle informazioni richieste.

Al fine di adeguare l’ordinamento nazionale alle disposizioni del Regolamento, il 29 ottobre 2024 il Governo ha approvato uno schema di decreto legislativo che novella il d.lgs. 231/2007 (c.d. Decreto Antiriciclaggio) e apporta modifiche di mero coordinamento al D.L. 167/1990, convertito, con modificazioni, nella legge 227/1990, in materia di rilevazione a fini fiscali di taluni trasferimenti dà e per l’estero di denaro, titoli e valori.

Sullo schema di decreto sono state espresse perplessità in merito alla mancata introduzione di un punto centrale di contatto centrale per i CASP stabiliti negli altri Stati membri ma operanti in Italia. Tale lacuna, è stato sottolineato, potrebbe affievolire la capacità di supervisione dell’UIF sui CASP stranieri, in quanto causerebbe ritardi nell’analisi dell’operatività transfrontaliera e difficoltà nel tracciamento delle cripto-attività[7].

Note:

[1] Il Regolamento, che è entrato in vigore il 10 luglio 2024, contiene norme di immediata applicabilità in tema di due diligence sulla clientela, di trasparenza dei titolari effettivi, di piattaforme di crowdfunding e di utilizzo di cripto-attività.

[2] Il Regolamento istituisce l’”Autorità per la lotta al riciclaggio e al finanziamento del terrorismo” (Anti Money-Laundering Authority, AMLA), la quale, a partire dal 1° luglio 2025, assolverà due funzioni principali: supervisione dei soggetti maggiormente rischiosi e supporto e coordinamento delle Unità di informazione finanziaria (Financial Intelligence Units, FIU).

[3] La Direttiva, che dovrà essere recepita negli ordinamenti nazionali entro il 10 luglio 2027, reca norme sulle procedure di valutazione dei rischi nazionali e sovranazionali, sulla trasparenza della titolarità effettiva, sulla creazione di archivi nazionali utili per le analisi e i controlli, sull’individuazione dei paesi terzi “a rischio”. Rafforza inoltre i poteri delle FIU relativamente al rilevamento di fenomeni di riciclaggio e finanziamento del terrorismo, all’accesso alle informazioni finanziarie, amministrative e investigative, alla cooperazione delle FIU nazionali, alla sospensione e al diniego dell’autorizzazione alle operazioni sospette.

[4] La cripto-attività è una rappresentazione digitale di un valore o di un diritto che può essere trasferito e memorizzato elettronicamente, utilizzando la tecnologia a registro distribuito o una tecnologia analoga (articolo 3, n. 5). Il CASP è una persona giuridica o altra impresa la cui occupazione o attività consiste nella prestazione di uno o più servizi per le cripto-attività ai clienti su base professionale e che è autorizzata a prestare servizi per le cripto-attività, conformemente all’art. 59 (articolo 3, n. 15)

[5] E’ un indirizzo nel registro distribuito non collegato a nessuno dei soggetti seguenti: un prestatore di servizi per le cripto-attività e un soggetto non stabilito nell’Unione che presta servizi analoghi a quelli offerti dai CASP (art. 3, n. 20).

[6] La Direttiva in questione è volta a far fronte alla minaccia del riciclaggio di denaro e il finanziamento del terrorismo, impedendo l’utilizzo improprio dei mercati finanziari a tali scopi.

[7] Audizione del Direttore dell’Unità di Informazione Finanziaria per l’Italia, 27.11.2024.

Rivista di Diritto Bancario Tidona – www.tidona.com – Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.
Le informazioni contenute in questo sito web e nella rivista “Magistra Banca e Finanza” sono fornite solo a scopo informativo e non possono essere ritenute sostitutive di una consulenza legale. Nessun destinatario del contenuto di questo sito, cliente o visitatore, dovrebbe agire o astenersi dall’agire sulla base di qualsiasi contenuto incluso in questo sito senza richiedere una appropriata consulenza legale professionale, da un avvocato autorizzato, con studio dei fatti e delle circostanze del proprio specifico caso legale.