Antiriciclaggio e impatto sul mondo cripto: l’Avv. Luca D’Agostino relatore alla Scuola di Polizia Economico Finanziaria il 24 maggio 2024

da Redazione | Set 17, 2024 | Diritto d'Impresa

Antiriciclaggio e nuove tecnologie: quali novità all’orizzonte? Si riporta di seguito il testo dell’intervento svolto dall’Avv. Luca D’Agostino in occasione del convegno «Cripto-attività e criminalità. Riflessioni a valle del regolamento MICA e in vista del pacchetto antiriciclaggio» tenutosi presso la Scuola di Polizia Economico Finanziaria della Guardia di Finanza il 24 maggio 2024.

Il nuovo pacchetto antiriciclaggio: estratto dell’intervento dell’Avv. Luca D’Agostino

***

Buongiorno vorrei anzitutto ringraziare il Comandante della Scuola, Francesco Mattana, per il gradito invito. Per me è un grande piacere, oltre che un onore, intervenire a chiusura della sessione mattutina, dedicata ai profili di diritto penale sostanziale. Il tema che mi è stato assegnato è quello del “nuovo pacchetto antiriciclaggio e l’impatto sul mondo cripto”.

Si registra, a livello nazionale ed europeo, una crescente tendenza alla iper-regolamentazione del fenomeno. Per rendersene conto è sufficiente considerare che, fino al 2017, non esisteva alcuna normativa di settore – e non mi riferisco soltanto alla prevenzione del riciclaggio – che disciplinasse l’emissione e il trasferimento di criptoattività.

Quando venne alla deriva l’enorme potenziale criminogeno delle “valute virtuali” (al tempo si preferiva chiamarle così) gli Stati si trovarono di fronte a una scelta di campo vietare in toto la circolazione di tali valori, considerandoli alla stregua di beni intrinsecamente illeciti; oppure contenere i rischi di un impiego per finalità illecite, prevedendo adempimenti, controlli e sanzioni a carico degli emittenti e degli intermediari.

La maggior parte degli ordinamenti nazionali a livello globale, anche in ragione dei consistenti interessi economici sottesi alla circolazione dei nuovi valori (acquistati e scambiati anche da investitori istituzionali di grosso calibro, banche, intermediari finanziari, fondi d’investimento), hanno prediletto il secondo approccio, quello di una stringente regolamentazione.

Oggi ci troviamo di fronte a un quadro regolamentare multilivello, di crescente complessità, che investe diversi settori del diritto (es. tributario, mercati finanziari, antiriciclaggio). In questo intervento mi concentrerò sulle novità che riguardano la prevenzione del riciclaggio, svolgendo alcune brevi considerazioni sull’impatto delle scelte compiute dal legislatore.

È notizia dello scorso mese di gennaio il raggiungimento di un accordo provvisorio tra Consiglio e Parlamento UE per introdurre nuove regole (un c.d. pacchetto di riforma) della disciplina antiriciclaggio. Per quel che qui interessa, l’emanando Regolamento prevede l’estensione del novero dei soggetti obbligati a tutti i provider del settore delle cripto-attività. Si vuole in tal modo superare l’attuale previsione (contenuta nella V direttiva antiriciclaggio, art. 1 lett. c) che circoscrive la cornice di obblighi ai soli exchange e wallet provider.

Tale scelta appare condivisibile e in linea con l’approccio già seguito in molti Stati membri. Emblematico l’esempio offerto dal legislatore italiano che, già dal 2019, ha esteso gli obblighi del T.U. antiriciclaggio a tutti i “prestatori di servizi relativi all’utilizzo di valuta virtuale”.

La definizione fornita dall’art. 1, lett. ff) è chiarissima: sono tali tutti i “servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o […] nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute”. Già sul piano definitorio ci si rende conto della sostanziale differenza tra l’ambito di applicazione della normativa italiana e lo standard di armonizzazione imposto dalla V direttiva.

Occorre inoltre osservare come l’estensione dei soggetti obbligati all’antiriciclaggio sia in linea con la Raccomandazione n. 15 del GAFI (come modificata nel 2019) che definisce in modo piuttosto ampio i VASP (Virtual Asset Service Provider). Nel testo provvisorio dell’accordo si individua la nuova figura del CASP (Crypto-Asset-Service-Provider) come definito dall’art.3, par. 1 del Regolamento MICA, il quale abbraccia moltissime attività e servizi (che non si limitano ai soli servizi di scambio e di portafoglio digitale). Quindi la prima novità consiste nell’ampiamento dei soggetti obbligati.

Una seconda novità, prevista nell’accordo provvisorio, riguarda la soglia minima delle operazioni (stabilita in euro 1.000), superata la quale i prestatori di servizi per le cripto-attività dovranno applicare misure di adeguata verifica della clientela. Al riguardo possiamo osservare come anche in questo caso l’Unione si sia conformata alle Raccomandazioni del GAFI (v. par. 7 della Nota Interpretativa alla Raccomandazione n. 15).

L’accordo prevede poi norme specifiche applicabili ai portafogli self-hosted (comunemente noti come portafogli privati). Si tratta di hardware e software utilizzati per memorizzare, detenere o trasferire criptoattività: grazie ad essi il proprietario ha il completo controllo della propria chiave privata. In sostanza il self-hosted address è quell’indirizzo non collegato a un prestatore di servizi intermediari. Appaiono evidenti i maggiori rischi collegati a tali indirizzi, perché con essi i criminali potrebbero evitare il passaggio per intermediari e provider di servizi (e ciò, peraltro, rappresenta la ragione “storica” della creazione di Bitcoin).

Sul punto l’art. 31b della Proposta di Regolamento prevede che i destinatari della disciplina antiriciclaggio saranno tenuti ad adottare politiche, procedure e controlli rafforzati e a richiedere informazioni aggiuntive sull’origine e la destinazione dei cripto-asset quando il trasferimento sia diretto a (o provenga da) portafogli privati. Ciò è reso possibile grazie alla creazione di un database di indirizzi ospitati (perché gestiti da intermediari).

Un cenno merita anche la disciplina introdotta dal Regolamento (UE) 2023/1113 riguardante i dati informativi che accompagnano i trasferimenti di fondi in cripto-attività, applicabile a partire dal 30 dicembre 2024. Quest’ultimo stabilisce le norme relative alle informazioni sugli ordinanti e sui beneficiari che accompagnano i trasferimenti di cripto-asset, ai fini della prevenzione del riciclaggio di denaro e del finanziamento del terrorismo.

Conclusioni sul nuovo pacchetto antiriciclaggio

In estrema sintesi la normativa antiriciclaggio impone ai provider dell’ordinante e del beneficiario di acquisire informazioni con elevato grado di dettaglio e anche di verificare l’accuratezza delle informazioni di sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Si tratta di una normativa che lascia aperti molti dubbi e desta, a mio avviso qualche perplessità.

In primis occorre considerare che quando la normativa antiriciclaggio sarà attuata la procedura per operare un trasferimento di fondi crypto sarà complessa, anche più complessa dell’esecuzione di un bonifico bancario transfrontaliero. Gli operatori avranno l’obbligo di sospendere o bloccare un trasferimento anche in caso di sospetto di una incompletezza di dati o informazioni (e dunque senza che vi siano necessariamente gli estremi di una “operazione sospetta”). È sicuramente una scelta cautelativa, ma probabilmente troppo rigida, se l’intento (come dichiarato dalla Commissione) è quello incentivare la crescita degli scambi e favorire il mercato crypto.

Altri dubbi riguardano gli indirizzi self-hosted. In caso di trasferimento di cripto-attività effettuato verso un indirizzo privato, il prestatore di servizi del cedente deve assicurare – leggo testualmente – “che i trasferimenti di cripto-attività possano essere identificati individualmente”. Questo cosa vuol dire? Che dovrà essere indicato il nome di una persona fisica? Quid iuris se il beneficiario è una società? Come si verifica la corrispondenza rispetto alle informazioni realmente in possesso dell’ordinante?

Si prevede poi che, nel caso di un trasferimento di importo superiore a 1.000 euro verso un indirizzo privato che il prestatore di servizi del cedente – leggo anche qui testualmente – “adotta misure adeguate per valutare se tale indirizzo sia di proprietà del cedente o da questi controllato”. La disposizione sembra voler arginare il rischio di operazioni di autoriciclaggio compiute dal cedente mediante un indirizzo self-hosted (e dunque controllato da egli stesso). Si tratta di un fenomeno ricorrente, come emerge da alcuni studi di Europol, secondo cui i crypto-asset hanno alimentato la tendenza al “fai da te”, rendendo superfluo il ricorso alla condotta di terzi.

Ma viene da chiedersi: come potrebbe il provider rendersi conto che il beneficiario dei fondi è lo stesso mittente? Se viene utilizzato, ad esempio un nome di fantasia, quali sono i dati oggettivi per avere un riscontro? Esistono degli indicatori o dei pattern da cui poter desumere che ti tratta di un indirizzo self-hosted?

Il problema resta aperto poiché, in questo caso, non abbiamo dal lato del cessionario alcun provider che possa controllare le informazioni indicate dal mittente.

Per trarre le fila del discorso, sembra che anche nel novellato quadro normativo antiriciclaggio, continueranno ad esistere (sia pur in misura ridotta) transazioni avvolte dall’ombra e celate dal mistero. Ed è forse il caso di ammettere che, volendo far salva la tecnologia DLT e la circolazione di criptoattività, il legislatore più di questo non può fare.

Reati informatici cyberlaundering e diritto penale – Immagine rappresentativa dei servizi di assistenza e difesa legale presso lo Studio Legale Avvocato Luca D’Agostino a Roma

L’Avv. Luca D’Agostino relatore alla Giornata nazionale per la Cybersicurezza – Roma 29 novembre 2023

da Redazione | Set 17, 2024 | Diritto d'Impresa

Nel ringraziare il Ministero dell’Università e della Ricerca per il gradito invito alla Giornata Nazionale della Cybersicurezza, si riporta di seguito – a fini divulgativi – un estratto della relazione tenuta lo scorso 29 novembre dall’Avv. Luca D’Agostino.

Il video dell’intervista alla Giornata Nazionale della Cybersicurezza è disponibile al seguente link.

Cybersicurezza: l’intervento dell’Avv. Luca D’Agostino

Parlare di Cybersicurezza al fianco delle Istituzioni è sempre motivo di grande soddisfazione, oltre che di crescita professionale. Una materia che rappresenta oggi una priorità per il Sistema-Paese, come testimoniato da numerosi atti di impegno politico e dagli investimenti programmati nell’ambito del PNRR. Una priorità non soltanto per la pubblica amministrazione, ma anche per il tessuto economico e sociale italiano che, ogni anno, soffre numerose perdite a causa di attacchi informatici oppure per una non corretta governance del cyber risk.

Si va verso la costruzione di un vero e proprio “ponte di comunicazione” tra settore pubblico e privato. Comuni sono le minacce da prevenire, le esigenze da soddisfare e le best practices da osservare. Anche per questo è fondamentale attivare canali di collaborazione e scambio di informazioni tra i due ambiti, pubblico e privato.

Da docente e avvocato penalista ho sempre ritenuto centrale il tema della corporate compliance che, fino a ieri, era conosciuto soltanto dalle società di grandi dimensioni. Oggi invece, anche grazie alle evoluzioni del quadro normativo, l’idea di una compliance verso il digitale si è radicata anche in aziende di medie dimensioni e in molte pubbliche amministrazioni. La cybersicurezza è l’emblema di questa tendenza.

Il nucleo duro di questa materia è, come noto, la prevenzione del rischio e il contenimento dei danni che derivano da un incidente informatico. In estrema sintesi, la cybersicurezza ha una duplice anima: presidio di legalità all’interno dell’ente e protezione dalle minacce esterne.

Ecco individuate quelle che, a mio avviso, sono le parole chiave della ricerca in ambito cyber: multidisciplinarietà, cultura della prevenzione, e partenariato pubblico-privato.

Negli ultimi anni il legislatore è intervenuto a più riprese sul tema della cybersicurezza, dando vita a un quadro istituzionale e di disciplina decisamente articolato Si tratta di un settore molto giovane, ma già caratterizzato dalla stratificazione di fonti “multilivello” di notevole complessità.

Benché già vi fossero alcuni atti amministrativi generali in materia, l’esperienza italiana inizia esattamente dieci anni fa con il Decreto Monti del 2013 che delineava, per la prima volta, l’architettura nazionale per la cybersicurezza, poi attuata nel 2015 con la Direttiva del Presidente del Consiglio dei Ministri. Erano soltanto gli esordi di una normativa che, a partire dal 2016, è letteralmente esplosa grazie agli input offerti dal legislatore comunitario e per effetto dell’accresciuta consapevolezza dell’importanza di questa materia.

Si tratta dunque di un quadro regolatorio multilivello, caratterizzato dalla stratificazione di fonti normative diverse e di crescente complessità. Potremmo anche considerare la cybersicurezza un “nuovo settore regolamentato” che, al pari di altri (es. anticorruzione, concorrenza, servizi a rete etc.), mira a tutelare gli interessi dello Stato e della collettività in settori di particolare interesse.

La tecnica per imporre il raggiungimento degli obiettivi di cybersicurezza fa leva sulla accountability (c.d. approccio basato sul rischio). É un modello certamente flessibile, che assicura una certa proporzionalità e adeguatezza in concreto: ciascun operatore dovrà valutare il rischio e adottare delle misure che siano adeguate e proporzionate al rischio stesso. L’esempio emblematico è quello della normativa NIS, la quale prevede che gli operatori dei servizi essenziali debbano adottare misure tecniche organizzative adeguate e proporzionate (art. 12 comma 1, D. Lgs. 65/2018); oppure quello del GDPR sulle misure di sicurezza nel trattamento dei dati personali.

Debbono tuttavia essere messi in luce anche gli aspetti negativi, tra cui in primis l’incertezza sull’avvenuto assolvimento degli obblighi di legge. Difatti, laddove si verificasse un incidente informatico l’Autorità potrebbe ex post ritenere insufficienti i presidi adottati. L’accountability può quindi rivelarsi una sorta spada di Damocle che incombe sui destinatari della disciplina, esposti al rischio di un sindacato negativo sulle proprie scelte organizzative.

Da ultimo vorrei soffermare l’attenzione sulle principali novità introdotte dalla direttiva NIS 2 in punto di cybersicurezza, di prossima attuazione a livello nazionale. Essa ha esteso campo di applicazione degli obblighi di prevenzione e notifica, che si rivolgono a due nuove categorie di soggetti, definiti come “essenziali” e “importanti” . Vi rientrano non soltanto gli operatori nei settori indicati dalla prima direttiva (OSE e FSD), ma anche quelli che prestano servizi altrettanto critici (es. servizi postali e di consegna, gestione dei rifiuti, fabbricazione di dispositivi medici o sistemi informatici etc.).

Cybersicurezza e NIS 2: le novità sul versante sanzionatorio

Ma le novità più significative introdotte dalla NIS 2 riguardano il versante sanzionatorio. L’art. 21 della prima Direttiva prevedeva che gli Stati dovessero stabilire le sanzioni efficaci, proporzionate e dissuasive da irrogare in caso di violazione delle disposizioni nazionali di attuazione. La scelta del legislatore italiano è stata nel senso di prevedere sanzioni pecuniarie nell’appendice del D. Lgs. 65/2018 per poche migliaia di Euro, che non assicurano una sufficiente deterrenza, e appaiono inadeguate rispetto alla rilevanza degli interessi protetti e alla capacità economica dei soggetti NIS.

Un netto cambiamento di rotta si è avuto con l’emanazione della seconda direttiva, che ha irrigidito la risposta sanzionatoria e introdotto una inedita forma di responsabilità degli apicali della società. L’art. 35 della Direttiva prevede sanzioni molto severe per l’omessa adozione delle misure di sicurezza e l’inosservanza dell’obbligo di notifica, secondo un modello che ricorda molto l’apparato sanzionatorio del GDPR. Nel dettaglio, i soggetti “importanti” saranno soggetti a sanzioni pecuniarie fino a Euro 7.000.000 o, se superiore, fino all’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente. Gli importi sono elevati, rispettivamente a Euro 10.000.000 o al 2% del totale del fatturato mondiale annuo per i soggetti qualificati come “essenziali”.

Al riguardo è opportuno svolgere un paio di considerazioni. In primis, la severità delle sanzioni lascerà discutere – come del resto avvenuto a proposito delle sanzioni pecuniarie previste in materia privacy – sulla possibilità di ascriverle al concetto di “materia penale” secondo gli orientamenti della Corte EDU. Ormai si parla sempre più spesso di ibridazione del diritto penale, verso un diritto lato sensu sanzionatorio.

In secondo luogo, ai sensi dell’art. 20 della Direttiva, gli Stati dovranno disciplinare la responsabilità degli organi di governance della società in caso dell’inosservanza degli obblighi di compliance (es. mancata adozione di misure di prevenzione dei rischi, di mantenimento della business continuity e politiche di disaster recovery, pratiche di formazione in materia di cibersicurezza). Non resta che attendere la normativa di attuazione (che dovrà giungere entro il 17 ottobre 2024) per valutare in che modo il legislatore scioglierà il nodo sulla natura di tale responsabilità.

Tablet con riferimento al Decreto NIS 2 e cyber security sullo schermo, studio legale avvocato a Roma specializzato in sicurezza informatica, incidenti, vulnerabilità, consulenza e misure di sicurezza ACN

Studio Legale D’Agostino a Roma: consulenza su Cybersicurezza, Decreto NIS 2, cyber security e sicurezza informatica.

Post successivi »