Banca d’Italia: Audizione del Direttore dell’Unità di Informazione Finanziaria per l’Italia del 27 novembre 2024

(AGENPARL) – Roma, 27 Novembre 2024

(AGENPARL) – mer 27 novembre 2024 CAMERA DEI DEPUTATI
COMMISSIONI RIUNITE GIUSTIZIA (II) E FINANZE (VI)
Atto del Governo n. 227
Schema di decreto legislativo recante adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2023/1113, riguardante i dati informativi che
accompagnano i trasferimenti di fondi e determinate cripto-attività e che modifica la
direttiva (UE) 2015/849, e per l’attuazione della direttiva (UE) 2015/849, relativa
alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento
del terrorismo, come modificata dall’articolo 38 del medesimo regolamento (UE)
2023/1113
Audizione del Direttore dell’Unità di Informazione Finanziaria per l’Italia
Dott. Enzo Serata
Roma, 27 novembre 2024
Signori Presidenti, Onorevoli Deputati,
ringrazio molto per l’invito a questa audizione sullo schema di decreto legislativo per
l’adeguamento della normativa nazionale al regolamento (UE) 2023/1113, riguardante i dati
informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività (c.d.
Transfers of Funds Regulation recast – TFR)1.
Questo regolamento, pubblicato nel giugno 2023, fa parte del c.d. AML Package
insieme ad altri due regolamenti2 e a una direttiva3, il cui iter di approvazione si è concluso lo
scorso giugno definendo il nuovo quadro antiriciclaggio dell’Unione. In tale ambito è stata
istituita a Francoforte la nuova Autorità Antiriciclaggio europea, la c.d. AMLA, che svolgerà
il duplice ruolo di supervisore e di Meccanismo di supporto e coordinamento delle Financial
Intelligence Unit; tra queste rientra l’Unità di Informazione Finanziaria per l’Italia (UIF).
Sono stati già avviati primi contatti per passare alla fase attuativa di questa significativa
riforma ed è fondamentale procedere con celerità alle valutazioni utili all’adeguamento delle
disposizioni nazionali, nell’ottica di perseguire la massima efficacia consentita dalle norme
europee.
Lo schema di decreto legislativo oggi all’esame è particolarmente importante perché
rafforza la trasparenza delle transazioni in crypto-asset e la prevenzione dei rischi di
riciclaggio (ML) e del finanziamento del terrorismo (TF) in questo comparto4; completa
inoltre il quadro normativo nazionale recentemente innovato dal d.lgs. 129/2024, di
attuazione del regolamento (UE) 2023/1114 relativo ai mercati delle cripto-attività (c.d.
MiCAR), esattamente coevo al TFR e recante la disciplina dei profili prudenziali e di tutela
della clientela.
La UIF presta da tempo attenzione alle esigenze di prevenzione dei rischi ML/TF
connessi con l’utilizzo di crypto-assets; ha diffuso diversi warning, il primo nel 2015, nonché
specifici indicatori di anomalia5.
Nel 2017 il legislatore nazionale ha anticipato quello europeo nell’introduzione di
obblighi antiriciclaggio agli operatori del settore6, anche operanti online dall’estero,
Il regolamento TFR recast abroga il precedente regolamento (UE) 2015/847, che riguardava i dati informativi che
accompagnano i trasferimenti di fondi senza contenere previsioni concernenti le cripto-attività.
Regolamento UE/2024/1620 del 31 maggio 2024, che istituisce l’Autorità per la lotta al riciclaggio e al finanziamento del
terrorismo (regolamento AMLA o AMLAR) e regolamento UE/2024/1624 del 31 maggio 2024, relativo alla prevenzione
dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (AMLR).
La direttiva UE/2024/1640 del 31 maggio 2024, concernente i meccanismi che gli Stati membri devono istituire per prevenire
l’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (AMLD6).
Nel documento che accompagna il report della Commissione Europea dell’ottobre 2022 sulla valutazione dei rischi di
riciclaggio e di finanziamento del terrorismo si legge tra l’altro “Crypto-assets related activity represents a growing money
laundering/terrorist financing threat. Financial intelligence units (FIUs) across the FATF global network have seen a rise
in the number of suspicious transaction reports that relate to crypto-assets. Several law enforcement authorities indicated
that ML/TF risks from crypto-assets have increased further since 2019”.
Cfr. Provvedimento della UIF del 12 maggio 2023, in particolare indicatori n. 26 e n. 27 e i relativi sub-indici.
La direttiva (UE) 2015/849 (c.d. quarta direttiva) non aveva introdotto presìdi antiriciclaggio inerenti alle valute virtuali
mentre con il d.lgs. 90/2017 di recepimento della medesima direttiva sono stati annoverati tra i soggetti obbligati i c.d
exchanger di valute virtuali. La successiva direttiva (UE) 2018/843 (c.d. quinta direttiva) aveva previsto l’estensione degli
obblighi antiriciclaggio ai predetti exchanger (“prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio
tra valute virtuali e valute aventi corso forzoso”) e ai prestatori di servizi di portafoglio digitale. Con il d.lgs. 125/2019 di
prevedendone il censimento in una sezione speciale del registro dei cambiavalute tenuto
dall’Organismo Agenti e Mediatori (OAM).
Sebbene il censimento sia stato in concreto avviato nel 2022, per effetto dell’entrata in
vigore della riforma del 2017, l’Unità già dall’anno successivo ha iniziato a ricevere le
segnalazioni di operazioni sospette (SOS) dai predetti operatori, oggi denominati cryptoassets service provider (CASP), e ha avviato prontamente controlli, anche ispettivi,
focalizzati sull’adempimento dell’obbligo di SOS da parte di tali operatori. Il flusso
segnaletico è in progressivo aumento: a fronte di poche centinaia di segnalazioni inviate nei
primi anni di applicazione dei presidi AML/CFT, nel 2023, le SOS trasmesse dai CASP sono
state poco meno di 1.200; nei primi 10 mesi del 2024 sono più che raddoppiate, giungendo a
quasi 2.500. Si tratta di un dato significativo considerando che il flusso segnaletico è piuttosto
concentrato, provenendo da 36 soggetti attivi nel comparto sui 62 censiti nel sistema
segnaletico dell’UIF; nei primi 10 mesi del 2024 oltre il 70% delle SOS è stato inviato da soli
5 CASP.
In ragione dell’esperienza maturata nel tempo in tema di cripto-attività, la UIF ha
partecipato attivamente al confronto con le autorità competenti in vista dell’adeguamento
delle norme nazionali al TFR, formulando proposte e osservazioni.
L’audizione odierna è pertanto un’occasione gradita per condividere con codeste
Commissioni il punto di vista della UIF.
1. Disposizioni per la trasparenza dei trasferimenti di crypto-asset
Per effetto del regolamento TFR e dell’Atto del Governo n. 227 la disciplina nazionale
si arricchisce di nuove previsioni, anche definitorie, essenziali per l’applicazione dei presidi
di prevenzione: cripto-attività7, servizi per le cripto-attività8, indirizzo auto-ospitato9, criptoATM10 sono alcune delle nozioni alla base della nuova normativa.
Diventa obbligatoria la disponibilità e la verifica di specifiche informazioni inerenti ai
trasferimenti di cripto-attività11, in particolare con riguardo all’ordinante e al beneficiario dei
attuazione della quinta direttiva, il legislatore nazionale ha ulteriormente ampliato i presidi AML/CFT nazionali rispetto a
quelli europei: ha previsto infatti l’applicazione degli obblighi nei confronti dei prestatori di servizi relativi all’utilizzo di
valuta virtuale e di portafoglio digitale, così estendendo i presidi AML/CFT ai servizi ulteriori svolti nel settore (cfr. art. 1,
co. 2, lett. ff), del d.lgs. 231/2007 dove sono tra l’altro citati i servizi di emissione, offerta, trasferimento, compensazione e
ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio).
Articolo 3, paragrafo 1, punto 5), di MiCAR.
Cfr. articolo 3, paragrafo 1, punto 16), del MiCAR (qualsiasi servizio e attività elencati di seguito in relazione a qualsiasi
cripto-attività: a) prestazione di custodia e amministrazione di cripto-attività per conto di clienti; b) gestione di una
piattaforma di negoziazione di cripto-attività; c) scambio di cripto-attività con fondi; d) scambio di cripto-attività con altre
cripto-attività; e) esecuzione di ordini di cripto-attività per conto di clienti; f) collocamento di cripto-attività; g) ricezione e
trasmissione di ordini di cripto-attività per conto di clienti; h) prestazione di consulenza sulle cripto-attività; i) prestazione di
gestione di portafoglio sulle cripto-attività; j) prestazione di servizi di trasferimento di cripto-attività per conto dei clienti).
Articolo 3, punto 20), del TFR.
Articolo 3, punto 17), del TFR.
Articolo 3, punto 10), del TFR.
trasferimenti stessi12. In caso di dati mancanti, i CASP applicano procedure basate sul rischio
per stabilire se eseguire, rifiutare, restituire o sospendere il trasferimento di cripto-attività;
valutano altresì se il trasferimento o altre operazioni correlate siano sospetti e quindi da
segnalare alla FIU.
Gli stessi CASP devono inoltre predisporre politiche, procedure e controlli interni per
garantire l’attuazione delle misure restrittive dell’Unione e nazionali nonché assicurare la
conservazione dei dati per un periodo di cinque anni, oltre il quale si provvede alla
cancellazione13.
A presidio delle disposizioni per la trasparenza dei trasferimenti di crypto-assets è
stabilita l’introduzione di forme di controllo e di adeguate misure sanzionatorie14.
2. Il rafforzamento della disciplina di prevenzione con riguardo ai crypto-assets
Lo schema di decreto legislativo all’esame di codeste Commissioni attua anche la
direttiva antiriciclaggio15 come modificata dal TFR e conseguentemente innova la disciplina
di prevenzione contenuta nel d.lgs. 231/2007 (c.d. decreto antiriciclaggio).
Sotto il profilo dei destinatari degli obblighi antiriciclaggio, considerate – come detto
– le anticipazioni già decise dal legislatore nazionale con riguardo al perimetro dei prestatori
di servizi ritenuti rilevanti16, evidenzio che tali soggetti, finora qualificati come “operatori
non finanziari”, saranno denominati “prestatori di servizi per le cripto-attività”17 e inclusi tra
gli intermediari bancari e finanziari sottoposti alla supervisione della Banca d’Italia.
Si tratta di un aggiornamento funzionale alla definizione di un quadro di regole e
controlli adeguati ai rischi del comparto, che la UIF auspicava da tempo in relazione alle
attività svolte in tema di crypto-assets.
In merito alla valutazione dei rischi, è introdotto un richiamo esplicito a quelli associati
ai trasferimenti di cripto-attività in cui una delle parti sia unhosted ovvero priva di relazione
con un CASP in grado di assicurare adeguata due diligence; è stabilito l’obbligo di attuare
controlli e procedure volti a mitigare tali rischi e in particolare di: prevedere misure basate
sul rischio per identificare l’ordinante o il beneficiario dei trasferimenti della specie,
verificandone l’identità; richiedere informazioni aggiuntive sull’origine e sulla destinazione
delle cripto-attività; monitorare nel continuo le operazioni che coinvolgono indirizzi auto12
Nome, indirizzo nel registro distribuito, numero di conto di cripto-attività, indirizzo, numero di documento e di
identificazione come cliente, identificativo del soggetto giuridico (più in dettaglio si veda il Capo III, Sezione 1 del TFR).
È fatta salva la possibilità per il diritto nazionale di stabilire diversamente dopo aver effettuato una valutazione accurata ove
consideri la conservazione per un periodo ulteriore giustificata in quanto necessaria al fine di prevenire, individuare o
indagare su attività di riciclaggio o di finanziamento del terrorismo. Tale ulteriore periodo di conservazione non supera i
cinque anni (cfr. più in dettaglio art. 26 del TFR).
Cfr. capo VI del TFR.
Direttiva (UE) 2015/849 già modificata dalla direttiva (UE) 2018/843.
Cfr. art. 3, comma 5, lett. i) e i-bis), del d.lgs. 231/2007 e le corrispondenti definizioni di cui all’art. 1, comma 2, lett. ff) e
ff-bis).
Sono assoggettati a obblighi antiriciclaggio tutti i servizi di cui all’articolo 3, paragrafo 1, punto 16), del MiCAR (cfr. nota
supra), a eccezione del servizio di consulenza sulle cripto-attività.
ospitati e ogni altra misura anche per attenuare e gestire il rischio di mancata attuazione e di
evasione delle sanzioni finanziarie18.
Sono previsti l’obbligo di adeguata verifica dei clienti anche per i trasferimenti di
cripto-attività superiori a 1.000 euro19 nonché misure di customer due diligence rafforzate per
i rapporti che comportano l’esecuzione di servizi per le cripto-attività con un intermediario
corrispondente di un Paese terzo20.
Per i rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di servizi
per le cripto-attività, è indicato che i CASP prevedano specifiche autorizzazioni dei propri
esponenti aziendali prima di aprire nuovi conti di corrispondenza, svolgano verifiche
supplementari sull’intermediario corrispondente, formalizzando l’accordo con quest’ultimo
sui rispettivi obblighi nonché assicurando che lo stesso intermediario svolga precisi
adempimenti in materia di adeguata verifica e fornisca pertinenti flussi informativi. I CASP
devono inoltre documentare la propria decisione di porre eventualmente fine a rapporti di
corrispondenza per motivi connessi al riciclaggio e al finanziamento del terrorismo21.
In coerenza con la qualificazione dei CASP come intermediari bancari e finanziari, è
prevista l’applicazione delle sanzioni prescritte per questi ultimi dal d.lgs. 231/2007; la Banca
d’Italia è indicata come autorità competente in materia sanzionatoria, anche in caso di
violazioni del regolamento TFR.
Sono confermati i poteri di controllo della UIF in materia di SOS22 ed è previsto che
le verifiche AML/CFT possano essere svolte anche dal Nucleo Speciale di Polizia Valutaria
della Guardia di Finanza, d’intesa con l’Autorità di vigilanza23.
3. L’operatività transfrontaliera dei CASP
Le nuove disposizioni sono destinate a incidere anche sulla disciplina antiriciclaggio
applicabile ai CASP con sede all’estero e operanti in Italia per via telematica. Infatti, rispetto
all’attuale regime nazionale – che prevede il censimento di questi soggetti nel registro tenuto
dall’OAM – si passa a un sistema basato su meccanismi autorizzativi in ciascuno Stato
membro e regimi di home country control integrati con forme di cooperazione tra autorità
competenti.
Risulterà quindi superato il sistema attuale secondo cui in Italia anche ai prestatori di
servizi in valute virtuali con sede nell’Unione europea e operanti online è richiesta la sede o
la stabile organizzazione nel territorio della Repubblica. È senza dubbio un cambio di
paradigma che determina alcune complessità.
Cfr. nuovo art. 16-bis del d.lgs. 231/2007, introdotto dall’Atto del Governo n. 227.
Cfr. art. 17, comma 1, lett. b), del d.lgs. 231/2007, come modificato dall’Atto del Governo n. 227.
Cfr. art. 24, comma 5, lett. b), del d.lgs. 231/2007, come modificato dall’Atto del Governo n. 227.
Cfr. art. 25-bis del d.lgs. 231/2007, introdotto dall’Atto del Governo n. 227.
Art. 6 del d.lgs. 231/2007.
Cfr. art. 9, comma 2, del d.lgs. 231/2007 come modificato dall’Atto del Governo n. 227.
Fino a oggi, l’assoggettamento a obblighi antiriciclaggio nazionali degli operatori con
sede all’estero ha assicurato, pur con qualche difficoltà comunicativa, la disponibilità di