Cripto-attività: in GU le modifiche al Decreto Antiriciclaggio

Il 30.12.2023 entrò in vigore il Reg. UE 2023/1113 riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività. A distanza di un anno, il nostro ordinamento provvede all'adeguamento normativo richiesto, attraverso l'emanazione del D.Lgs. 204/2024.

Le modifiche apportate al D.Lgs. 231/2007 sono tutte contenute nell'art. 1 del provvedimento in parola e interessano, innanzitutto, l'ambito delle definizioni contenute all'art. 1 c. 2 del Decreto Antiriciclaggio. Al netto del necessario richiamo all'interno delle lett. g), “conti correnti di corrispondenza e rapporti ad essi assimilabili” e m), “conti di passaggio”, ai “rapporti per lo svolgimento di operazioni in cripto-attività o trasferimenti di cripto-attività”, va evidenziata l'introduzione della lettera m-bis che definisce, per la prima volta in chiave AML, le cripto-attività, pur limitandosi ad un richiamo alle disposizioni del regolamento MICA (Reg. UE 2023/1114).

Definizione di cripto-attività e servizi per le cripto-attività

Nel dettaglio, quest'ultimo definisce, all'art. 3 par. 1 punto 5), la cripto-attività come “una rappresentazione digitale di un valore o di un diritto che può essere trasferito e memorizzato elettronicamente, utilizzando la tecnologia a registro distribuito o una tecnologia analoga”, fatte salve le eccezioni contenute all'interno del medesimo regolamento.

Anche la neonata lett. mm-bis dell'art. 1 D.Lgs. 231/2007 ha una sua rilevanza specifica poiché si riferisce ai “servizi per le cripto-attività” che, a mente del Regolamento MICA cui la norma rinvia, ricomprendono “a) prestazione di custodia e amministrazione di cripto-attività per conto di clienti; b) gestione di una piattaforma di negoziazione di cripto-attività; c) scambio di cripto-attività con fondi; d) scambio di cripto-attività con altre cripto-attività; e) esecuzione di ordini di cripto-attività per conto di clienti; f) collocamento di cripto-attività; g) ricezione e trasmissione di ordini di cripto-attività per conto di clienti; h) prestazione di consulenza sulle cripto-attività; i) prestazione di gestione di portafoglio sulle cripto-attività; j) prestazione di servizi di trasferimento di cripto-attività per conto dei clienti”. Si tratta in buona sostanza di servizi di tipo bancario e/o finanziario che hanno appunto ad oggetto le cripto-attività.

Destinatari degli obblighi

Esplicitate queste ultime e i relativi servizi a corredo, non poteva mancare il richiamo a coloro che prestano tali servizi, quali nuovi destinatari degli obblighi AML, che il novellato art. 3 D.Lgs. 231/2007 definisce come “una persona giuridica o altra impresa la cui occupazione o attività consiste nella prestazione di uno o più servizi per le cripto-attività ai clienti su base professionale e che è autorizzata (in Italia) a prestare servizi per le cripto-attività” ai sensi del procedimento definito dall'art. 59 del Regolamento MICA. Restano esclusi dal novero dei “nuovi” obbligati i soggetti giuridici che si limitano a prestare consulenza in materia di cripto-attività.

Dalla previsione di una nuova tipologia di soggetti obbligati discende, quale conseguenza logica, l'inserimento nel corpus normativo del D.Lgs. 231/2007 dell'art. 16-bis che impone ai prestatori di servizi per le cripto-attività l'individuazione e la valutazione dei rischi associati ai trasferimenti di cripto-attività diretti a (o provenienti da) un indirizzo auto-ospitato, per tale intendendosi un indirizzo presente “nel registro distribuito non collegato a nessuno dei soggetti seguenti: a) un prestatore di servizi per le cripto-attività; b) un soggetto non stabilito nell'Unione che presta servizi analoghi a quelli di un prestatore di servizi per le cripto-attività”. Al riguardo è necessario chiarire cosa sia un indirizzo nel registro distribuito: si tratta, come chiarisce il MICA, di un codice alfanumerico che identifica un indirizzo su una rete che utilizza la tecnologia a registro distribuito (DLT) o una tecnologia simile in cui le cripto-attività possono essere inviate o ricevute.

Sotto il punto di vista logico, i nuovi soggetti obbligati sono sottoposti alla medesima sequenza di attività preordinate alla gestione del rischio ML/FT che, partendo dall'autovalutazione del rischio, si dipanano nell'articolazione dei vari adempimenti richiesti dalla normativa vigente. Come ipotizzabile, la nuova norma definisce gli standard minimi, rimettendo al destinatario l'implementazione di misure, controlli, procedure, set di informazioni utili al contenimento del rischio, proprio sulla base degli esiti dell'esercizio.

L'unico adempimento “ridisegnato”, in funzione delle specificità dell'attività di un provider di servizi per le cripto-attività, è l'adeguata verifica rafforzata (art. 25-bis) in caso di trasferimenti transfrontalieri di tali asset, laddove il soggetto sottoposto al KYC, in base alla norma, non è colui il quale ordina il trasferimento o lo riceve – a seconda dei casi – ma è il provider di servizi corrispondente.

In termini generali, ai soggetti obbligati è imposto, tra l'altro, di accertare il titolo autorizzativo del proprio omologo estero, anche riferendosi a fonti terze (affidabili ed indipendenti, viene da dire), eseguendo - in nome del principio di proporzionalità (?) - una due diligence sulla “qualità dei controlli in materia di prevenzione del riciclaggio e del finanziamento del terrorismo cui l'intermediario corrispondente è soggetto”.

Trattandosi di un caso di escalation di default, la norma richiede il rispetto di un procedimento autorizzativo interno all'apertura di un nuovo conto di corrispondenza che sia conforme al sistema di deleghe del soggetto che esegue la enhanced due diligence ed impone la forma scritta all'accordo con l'intermediario corrispondente, dando specifica evidenza dell'assetto negoziale.

Resta qualche dubbio - a parere di chi scrive - sulla capacità del soggetto obbligato di assicurarsi “che l'intermediario corrispondente abbia sottoposto ad adeguata verifica i clienti che hanno un accesso diretto ai conti di cripto-attività di passaggio, che effettui il controllo costante dei rapporti con tali clienti e che, su richiesta, possa fornire all'intermediario controparte obbligato i dati pertinenti in materia di adeguata verifica della clientela” se non altro perché sembra una sorta di probatio diabolica  a carico del soggetto obbligato.

L'adempimento appena descritto sembrerebbe, tuttavia, mitigato dall'introduzione - per la prima volta nell'impianto normativo AML - della riserva accordata ai provider di interrompere i “rapporti di corrispondenza per motivi connessi al riciclaggio e al finanziamento del terrorismo”, documentando la decisione presa: una novità assoluta rispetto all'ipotesi di astensione obbligatoria disposta dall'art. 42 D.Lgs. 231/2007.

Resta infine da capire quali saranno i contenuti della necessaria riedizione del Provvedimento della Banca d'Italia in materia di “organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo” che tenga conto dei rilevanti interventi normativi sin qui descritti.

Fonte: D.Lgs. 204/2024 (GU 28 dicembre 2024 n. 303)