Antiriciclaggio e nuove tecnologie: quali novità all’orizzonte? Si riporta di seguito il testo dell’intervento svolto dall’Avv. Luca D’Agostino in occasione del convegno «Cripto-attività e criminalità. Riflessioni a valle del regolamento MICA e in vista del pacchetto antiriciclaggio» tenutosi presso la Scuola di Polizia Economico Finanziaria della Guardia di Finanza il 24 maggio 2024.

Il nuovo pacchetto antiriciclaggio: estratto dell’intervento dell’Avv. Luca D’Agostino

***

Buongiorno vorrei anzitutto ringraziare il Comandante della Scuola, Francesco Mattana, per il gradito invito. Per me è un grande piacere, oltre che un onore, intervenire a chiusura della sessione mattutina, dedicata ai profili di diritto penale sostanziale. Il tema che mi è stato assegnato è quello del “nuovo pacchetto antiriciclaggio e l’impatto sul mondo cripto”.

Si registra, a livello nazionale ed europeo, una crescente tendenza alla iper-regolamentazione del fenomeno. Per rendersene conto è sufficiente considerare che, fino al 2017, non esisteva alcuna normativa di settore – e non mi riferisco soltanto alla prevenzione del riciclaggio – che disciplinasse l’emissione e il trasferimento di criptoattività.

Quando venne alla deriva l’enorme potenziale criminogeno delle “valute virtuali” (al tempo si preferiva chiamarle così) gli Stati si trovarono di fronte a una scelta di campo vietare in toto la circolazione di tali valori, considerandoli alla stregua di beni intrinsecamente illeciti; oppure contenere i rischi di un impiego per finalità illecite, prevedendo adempimenti, controlli e sanzioni a carico degli emittenti e degli intermediari. 

La maggior parte degli ordinamenti nazionali a livello globale, anche in ragione dei consistenti interessi economici sottesi alla circolazione dei nuovi valori (acquistati e scambiati anche da investitori istituzionali di grosso calibro, banche, intermediari finanziari, fondi d’investimento), hanno prediletto il secondo approccio, quello di una stringente regolamentazione.

Oggi ci troviamo di fronte a un quadro regolamentare multilivello, di crescente complessità, che investe diversi settori del diritto (es. tributario, mercati finanziari, antiriciclaggio). In questo intervento mi concentrerò sulle novità che riguardano la prevenzione del riciclaggio, svolgendo alcune brevi considerazioni sull’impatto delle scelte compiute dal legislatore.

È notizia dello scorso mese di gennaio il raggiungimento di un accordo provvisorio tra Consiglio e Parlamento UE per introdurre nuove regole (un c.d. pacchetto di riforma) della disciplina antiriciclaggio. Per quel che qui interessa, l’emanando Regolamento prevede l’estensione del novero dei soggetti obbligati a tutti i provider del settore delle cripto-attività. Si vuole in tal modo superare l’attuale previsione (contenuta nella V direttiva antiriciclaggio, art. 1 lett. c) che circoscrive la cornice di obblighi ai soli exchange e wallet provider.

Tale scelta appare condivisibile e in linea con l’approccio già seguito in molti Stati membri. Emblematico l’esempio offerto dal legislatore italiano che, già dal 2019, ha esteso gli obblighi del T.U. antiriciclaggio a tutti i “prestatori di servizi relativi all’utilizzo di valuta virtuale”. 

La definizione fornita dall’art. 1, lett. ff) è chiarissima: sono tali tutti i “servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o […] nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute”. Già sul piano definitorio ci si rende conto della sostanziale differenza tra l’ambito di applicazione della normativa italiana e lo standard di armonizzazione imposto dalla V direttiva.

Occorre inoltre osservare come l’estensione dei soggetti obbligati all’antiriciclaggio sia in linea con la Raccomandazione n. 15 del GAFI (come modificata nel 2019) che definisce in modo piuttosto ampio i VASP (Virtual Asset Service Provider). Nel testo provvisorio dell’accordo si individua la nuova figura del CASP (Crypto-Asset-Service-Provider) come definito dall’art.3, par. 1 del Regolamento MICA, il quale abbraccia moltissime attività e servizi (che non si limitano ai soli servizi di scambio e di portafoglio digitale). Quindi la prima novità consiste nell’ampiamento dei soggetti obbligati.

Una seconda novità, prevista nell’accordo provvisorio, riguarda la soglia minima delle operazioni (stabilita in euro 1.000), superata la quale i prestatori di servizi per le cripto-attività dovranno applicare misure di adeguata verifica della clientela. Al riguardo possiamo osservare come anche in questo caso l’Unione si sia conformata alle Raccomandazioni del GAFI (v. par. 7 della Nota Interpretativa alla Raccomandazione n. 15). 

L’accordo prevede poi norme specifiche applicabili ai portafogli self-hosted (comunemente noti come portafogli privati). Si tratta di hardware e software utilizzati per memorizzare, detenere o trasferire criptoattività: grazie ad essi il proprietario ha il completo controllo della propria chiave privata. In sostanza il self-hosted address è quell’indirizzo non collegato a un prestatore di servizi intermediari. Appaiono evidenti i maggiori rischi collegati a tali indirizzi, perché con essi i criminali potrebbero evitare il passaggio per intermediari e provider di servizi (e ciò, peraltro, rappresenta la ragione “storica” della creazione di Bitcoin).

Sul punto l’art. 31b della Proposta di Regolamento prevede che i destinatari della disciplina antiriciclaggio saranno tenuti ad adottare politiche, procedure e controlli rafforzati e a richiedere informazioni aggiuntive sull’origine e la destinazione dei cripto-asset quando il trasferimento sia diretto a (o provenga da) portafogli privati. Ciò è reso possibile grazie alla creazione di un database di indirizzi ospitati (perché gestiti da intermediari). 

Un cenno merita anche la disciplina introdotta dal Regolamento (UE) 2023/1113 riguardante i dati informativi che accompagnano i trasferimenti di fondi in cripto-attività, applicabile a partire dal 30 dicembre 2024. Quest’ultimo stabilisce le norme relative alle informazioni sugli ordinanti e sui beneficiari che accompagnano i trasferimenti di cripto-asset, ai fini della prevenzione del riciclaggio di denaro e del finanziamento del terrorismo.

Conclusioni sul nuovo pacchetto antiriciclaggio

In estrema sintesi la normativa antiriciclaggio impone ai provider dell’ordinante e del beneficiario di acquisire informazioni con elevato grado di dettaglio e anche di verificare l’accuratezza delle informazioni di sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Si tratta di una normativa che lascia aperti molti dubbi e desta, a mio avviso qualche perplessità. 

In primis occorre considerare che quando la normativa antiriciclaggio sarà attuata la procedura per operare un trasferimento di fondi crypto sarà complessa, anche più complessa dell’esecuzione di un bonifico bancario transfrontaliero. Gli operatori avranno l’obbligo di sospendere o bloccare un trasferimento anche in caso di sospetto di una incompletezza di dati o informazioni (e dunque senza che vi siano necessariamente gli estremi di una “operazione sospetta”). È sicuramente una scelta cautelativa, ma probabilmente troppo rigida, se l’intento (come dichiarato dalla Commissione) è quello incentivare la crescita degli scambi e favorire il mercato crypto.

Altri dubbi riguardano gli indirizzi self-hosted. In caso di trasferimento di cripto-attività effettuato verso un indirizzo privato, il prestatore di servizi del cedente deve assicurare – leggo testualmente – “che i trasferimenti di cripto-attività possano essere identificati individualmente”. Questo cosa vuol dire? Che dovrà essere indicato il nome di una persona fisica? Quid iuris se il beneficiario è una società? Come si verifica la corrispondenza rispetto alle informazioni realmente in possesso dell’ordinante?

Si prevede poi che, nel caso di un trasferimento di importo superiore a 1.000 euro verso un indirizzo privato che il prestatore di servizi del cedente – leggo anche qui testualmente – “adotta misure adeguate per valutare se tale indirizzo sia di proprietà del cedente o da questi controllato”. La disposizione sembra voler arginare il rischio di operazioni di autoriciclaggio compiute dal cedente mediante un indirizzo self-hosted (e dunque controllato da egli stesso). Si tratta di un fenomeno ricorrente, come emerge da alcuni studi di Europol, secondo cui i crypto-asset hanno alimentato la tendenza al “fai da te”, rendendo superfluo il ricorso alla condotta di terzi.

Ma viene da chiedersi: come potrebbe il provider rendersi conto che il beneficiario dei fondi è lo stesso mittente? Se viene utilizzato, ad esempio un nome di fantasia, quali sono i dati oggettivi per avere un riscontro? Esistono degli indicatori o dei pattern da cui poter desumere che ti tratta di un indirizzo self-hosted?

Il problema resta aperto poiché, in questo caso, non abbiamo dal lato del cessionario alcun provider che possa controllare le informazioni indicate dal mittente.

Per trarre le fila del discorso, sembra che anche nel novellato quadro normativo antiriciclaggio, continueranno ad esistere (sia pur in misura ridotta) transazioni avvolte dall’ombra e celate dal mistero. Ed è forse il caso di ammettere che, volendo far salva la tecnologia DLT e la circolazione di criptoattività, il legislatore più di questo non può fare.