La compliance AML in materia di valute virtuali

Termini come Bitcoin e Blockchain, nonostante afferiscano a tecnologie emergenti e non di agevole comprensione, sono sempre più parte integrante della nostra quotidianità, o comunque non ci risultano così sconosciuti. Al pari, sono in crescita le aziende e le startup che promettono di offrire un’ampia gamma di servizi relativi alle cd. criptovalute, che ne sono la più diretta implicazione. Non tutti sanno però che tali società devono rispettare stringenti disposizioni in materia di compliance ed Anti Money Laundering (“AML”) a seguito della entrata in vigore delle recenti normative.

1. Le valute virtuali alla luce delle Direttive antiriciclaggio

Per poter meglio comprendere il collegamento tra compliance AML e valute virtuali occorre partire dalla definizione di queste ultime. Una valuta virtuale è la rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata ad una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente^[1]. Tra queste, la più famosa è senza dubbio Bitcoin.

Tale definizione è stata introdotta nel nostro ordinamento dal d.lgs. 90/2017, poi modificato dal successivo d.lgs 125/2019, nell’ambito del più ampio programma di attuazione della IV e V Direttiva Antiriciclaggio dell’Unione Europea, emanate in materia di prevenzione e contrasto del riciclaggio e del finanziamento del terrorismo.

Tra le novità più importanti delle modifiche legislative in parola, vi è senza dubbio quella della previsione esplicita per tutti coloro che forniscono servizi relativi alle valute virtuali tra i soggetti destinatari degli obblighi antiriciclaggio, con l’inserimento nella categoria degli altri operatori non finanziari^[2], dei prestatori di servizi di valuta virtuale^[3], nonché dei prestatori di servizi di portafoglio digitale^[4], con tutti gli obblighi di compliance che ne derivano.

In conseguenza della nuova normativa in vigore dunque, gli operatori in materia di valuta virtuale – quali, a titolo esemplificativo, le piattaforme di scambio e/o conversione in valuta avente corso legale e viceversa (cd. exchange), gli intermediari nelle transazioni in criptovaluta, i fornitori di servizi di custodia di chiavi private (cd. wallet di tipo, totalmente o parzialmente, custodial) – sono tenuti alla iscrizione in appositi registri ed alla adozione di specifiche misure di compliance.

2. Gli obblighi antiriciclaggio

Tra gli obblighi di carattere generale è stato previsto per i prestatori di servizi di conversione di valuta virtuale, quello di comunicazione al Ministero dell’Economia dell’inizio dell’operatività sul territorio nazionale, nonché quello di iscrizione in una sezione speciale del registro dei cambiavalute^[5] tenuto dall’Organismo Agenti e Mediatori (“OAM”), il tutto secondo le modalità e la tempistica da fissarsi con successivo decreto, ad oggi ancora non emanato.

Con riferimento particolare agli obblighi antiriciclaggio, una impresa che voglia fornire i servizi descritti in materia di valute virtuali ed adeguarsi alla compliance prevista dalla normativa vigente, dovrà procedere in primo luogo alla identificazione ed alla adeguata verifica del cliente e del c.d. titolare effettivo, acquisendo tra le altre cose tutte le necessarie informazioni sullo scopo e sulla natura del rapporto instaurato (ovvero relativamente alla operazione occasionale). In presenza di tale impossibilità è fatto obbligo per l’impresa di astenersi dall’effettuare l’operazione.

La fase di raccolta dei dati è indispensabile per procedere altresì alla valutazione dell’effettivo rischio, anche allo scopo di attuare, a seconda dei casi, misure di adeguata verifica semplificate ovvero rafforzate della clientela. Il controllo non si esaurisce con il completamento della verifica iniziale, dal momento che la normativa richiede che il medesimo venga svolto in maniera costante durante il corso del rapporto, anche con riferimento alle singole operazioni effettuate dal cliente, di cui bisognerà analiticamente tenere traccia. Riguardo queste ultime, i soggetti obbligati sono tenuti, in caso di valutazione di operazione sospetta (“SOS”), a provvedere alla relativa segnalazione all’Unità di Informazione Finanziaria (“UIF”) presso la Banca d’Italia.

Altro aspetto è quello relativo alla conservazione delle informazioni del cliente e delle operazioni effettuate dallo stesso, garantendo la trasparenza, la chiarezza, l’integrità e la completezza dei dati, nonché assicurando la piena e tempestiva accessibilità agli stessi da parte delle autorità competenti.

3. Presidi e procedure aziendali

Alla luce di tutto quanto sopra descritto, diventa imprescindibile per una impresa che voglia offrire alla propria clientela servizi nel campo delle valute virtuali ed essere in linea con gli obblighi di compliance che derivano dalla normativa nazionale, mettere in campo specifici presidi e definire procedure interne al fine di mitigare e gestire i possibili rischi di riciclaggio e di finanziamento del terrorismo.

In primo luogo, e ferma comunque la responsabilità finale in capo al soggetto obbligato, le attività di verifica menzionate, nonché quelle relative alla conservazione, sono eseguibili anche mediante il ricorso alle prestazioni di un soggetto terzo attraverso la esternalizzazione di servizi^[6] (c.d. outsourcing), a mezzo la stipula di un apposito contratto di appalto. Ciò permetterebbe sicuramente alla impresa di concentrarsi sulla crescita del proprio business e sui servizi da offrire, delegando parte degli adempimenti antiriciclaggio a soggetti terzi.

Con riferimento invece alle misure interne applicabili dall’impresa vi rientrano la formalizzazione di un documento di policy antiriciclaggio che motivi ed indichi le scelte del destinatario in materia di assetti organizzativi, procedure e controlli interni, adeguata verifica e conservazione dei dati^[7]. Ancora, l’azienda dovrebbe prevedere la istituzione di una Funzione di controllo aziendale con la responsabilità di assicurare l’adeguatezza, l’efficacia e l’affidabilità dei presidi antiriciclaggio (c.d. Funzione antiriciclaggio), nonché di una Funzione di revisione interna con il compito di verificare in modo continuativo il grado di adeguatezza dell’assetto organizzativo e di una ulteriore funzione dedicata ai compiti di segnalazione delle operazioni sospette.

Non di minore rilevanza, i destinatari realizzano programmi di formazione del personale sugli obblighi di compliance previsti dalla normativa antiriciclaggio, proponendo continui e sistematici aggiornamenti sulla evoluzione dei rischi.

Le misure sopra indicate non si applicano indistintamente. Le stesse sono adottate dai soggetti obbligati secondo il principio di proporzionalità, in coerenza con la natura, la dimensione, la complessità dell’attività svolta, nonché con riguardo alla tipologia e la gamma dei servizi prestati.

---

[1] cfr. art. 1, comma 2, lettera qq), D. Lgs. 231/2007, così come modificato dal D.Lgs. 90/2017 e dal D.Lgs. 125/2019.

[2] cfr. art. 3, comma 5, D. Lgs. 125/2019.

[3] si intende per prestatore di servizi di valuta virtuale, ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, anche online, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute (cfr. art. 1, comma 2, lettera ff), D. Lgs. 231/2007, così come modificato dal D.Lgs. 90/2017 e dal D.Lgs. 125/2019.

[4] si intende per prestatore di servizi di portafoglio digitale, ogni persona fisica o giuridica che fornisce, a terzi, a titolo professionale, anche online, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali (cfr. art. 1, comma 2, lettera ff-bis), D. Lgs. 231/2007, così come modificato dal D.Lgs. 90/2017 e dal D.Lgs. 125/2019.

[5] cfr. art. 8, comma 1, D. Lgs. 90/2017, così come modificato dal D. Lgs. 125/2019, che ha modificato la disciplina di cui al D.Lgs. 141/2010 sui servizi di pagamento, prevedendo l’inserimento all’art. 17 bis, dei nuovi commi 8 bis e 8 ter.

[6] cfr. art. 26 D. Lgs. 231/2007, così come modificato dal D.Lgs. 90/2017 e dal D.Lgs. 125/2019. Dalla analisi normativa si ritiene che non possano essere conferite a soggetti esterni all’azienda le attività di valutazione delle operazioni sospette ed il compimento dell’attività di segnalazione alla UIF.

[7] cfr. Disposizioni su organizzazione, procedure e controlli interni in materia antiriciclaggio, emesse dalla Banca d’Italia il 26.03.2019.