Con le proprie Linee Guida EBA/GL/2024/01 del 16 gennaio 2024, l’Autorità Bancaria Europea ha inteso modificare le linee guida EBA/GL/2021/02 sulle misure semplificate e rafforzate di adeguata verifica della clientela e sui fattori che gli enti creditizi e gli istituti finanziari dovrebbero prendere in considerazione nel valutare i rischi di riciclaggio (ML) e finanziamento del terrorismo (TF) associati ai singoli rapporti continuativi e alle operazioni occasionali.
Le Linee Guida (Orientamenti, nel testo italiano) sono state emesse ai sensi dell’articolo 17 e dell’articolo 18, paragrafo 4, della direttiva (UE) 2015/849 (IV Direttiva Antiriciclaggio), che prevedono, appunto, l’emanazione di orientamenti sui fattori di rischio e sulle misure semplificate e rafforzate di adeguata verifica della clientela.
La Quinta Direttiva Antiriciclaggio UE/2018/843 ha ampliato l'ambito dei soggetti obbligati, includendovi operatori in valute virtuali.
Le linee guida del 2021 avevano già rilevato che, a parte i prestatori di servizi di cambio tra valute virtuali e valute legali e i prestatori di servizi di portafoglio digitale che sono soggetti obbligati ai sensi della IV Direttiva Antiriciclaggio, l’emissione o la detenzione di valute virtuali rimane in gran parte non regolamentata nell’UE, e che questo accresce i rischi di ML/TF. Per tale ragione si invitavano le imprese, nell’ambito della loro valutazione del rischio di ML/TF connesso al cliente, a considerare anche quello associato alla prestazione di servizi relativi a valute virtuali.
Le Linee Guida modificative appena emesse inseriscono quindi fattori di rischio specifici per le cripto attività e per i CASP (crypto assets service providers), e prevedono misure semplificate e rafforzate di adeguata verifica della clientela. Vengono introdotte alcune linee guida specifiche, quali la 21, relativa proprio ai CASP, esposti a rischi ML/TF per le particolari caratteristiche del loro modello di business e per l’utilizzo di tecnologia che consente loro di trasferire cripto assets a utenti in diverse giurisdizioni, con effetto immediato e talvolta anche a fronte di informazioni non corrette fornite dagli utenti.
Le Linee Guida riconoscono che maggiori o minori rischi possono essere associati ai prodotti e servizi negoziati dai CASP, alla natura e ai comportamenti del cliente, all’area geografica e ai canali di distribuzione dei servizi.
Per quanto attiene ai prodotti, rischi maggiori legati al prodotto si identificano nelle caratteristiche di quest’ultimo ove in grado di facilitare l'anonimato (a titolo esemplificativo, la possibilità di effettuare trasferimenti da e verso indirizzi self-hosted o la possibilità di offuscare transazioni tramite piattaforme mixer o tumblers, l’utilizzo di hardware per lo scambio di cripto assets con valuta fiat e viceversa, quali i bancomat cripto, che coinvolgono l’uso di valuta o di moneta elettronica che beneficia di esenzioni ai sensi della IV Direttiva Antiriciclaggio e che non ricade nel regime regolatorio e di vigilanza nell’Unione).
Al contempo, alcune caratteristiche dei prodotti contribuiscono alla riduzione del rischio: funzionalità limitate, ridotti volumi di scambio o di valore; possibilità di consentire transazioni tra il conto del cliente e conti bancari a nome del cliente presso un ente creditizio soggetto al framework normativo AML/CFT di cui alla IV Direttiva Antiriciclaggio o ad altro regime extra UE che sia ugualmente solido.
La Linea Guida 21 fornisce poi un elenco di rischi maggiori anche in relazione alla natura del cliente (legami con attività o propaganda estremista, società bancarie di comodo, società neocostituite che presentano grandi volumi di scambio) ai suoi comportamenti, quali il tentativo di aprire molteplici conti cripto con il CASP senza alcun apparente scopo professionale o logica economica, o l’utilizzo di indirizzi IP collegato a più utenti, o la modifica frequente degli strumenti di pagamento collegati al conto, nonché il reiterato invio o la ricezione di transazioni sempre vicine alla soglia di 1000 euro di cui all’esenzione della verifica del beneficiario o del soggetto ordinante ai sensi del Regolamento 2023/1113, riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività e che modifica la IV Direttiva Antiriciclaggio. Rischi minori sono invece identificati nel caso di track records non sospetti, di cambio con valuta fiat destinato a conto corrente acceso dall’utente in una giurisdizione a basso rischio.
Rischi maggiori o minori sono identificati anche in riferimento a fattori legati al Paese o all’area geografica, nel caso di conti cripto dell’ordinante o del beneficiario, o di attività di mining, associati a Paese o aree maggiormente o meno esposte in termini di rischi ML/TF.
Infine, rilevano anche rischi maggiori e minori collegati ai canali di distribuzione, quali ad esempio, il rapporto tra CASP e cliente intermediato da un altro CASP o rapporto avviato via bancomat cripto).
Nell’offerta di servizi di cripto assets, quindi, i CASP devono rispettare le previsioni generali in tema di valutazione del rischio oltre a quelle specifiche per il tipo di settore; nella maggior parte dei casi, le misure di adeguata verifica applicate dai CASP sono simili o uguali a quelle applicate da altre imprese, ma sarà richiesta una due diligence rafforzata per i clienti (art. 18 IV Direttiva Antiriciclaggio) in presenza di fattori di rischio maggiore e, conseguentemente, i CASP dovranno, tra le altre cose:
i) verificare l'identità del cliente e del titolare effettivo sulla base di più di una fonte affidabile e indipendente.
ii) Identificare e verificare l'identità degli azionisti di maggioranza che non rientrano nella definizione di titolari effettivi, o di qualsiasi persona fisica che abbia l'autorità di gestire un conto di criptoasset o un indirizzo di distributed ledger per conto del cliente o di dare istruzioni per il trasferimento o lo scambio di cripto-asset o altri servizi relativi a tali cripto-asset.
iii) Ottenere maggiori informazioni sul cliente e sulla natura e lo scopo del rapporto per costruire un profilo più completo del cliente; ad esempio, effettuando ricerche o commissionandole a terzi, per reperire le informazioni che sono elencate nelle Linee Guida.
iv) Ottenere prove sulla fonte dei fondi, sulla fonte di ricchezza o sulla fonte di cripto-asset in relazione a quelle transazioni che presentano un livello di rischio più elevato.
v) Aumentare la frequenza del monitoraggio delle transazioni di cripto-asset, ogni volta che vi siano condotte inusuali o indicatori di possibili attività sospette.
(vi) Ottenere la conferma del livello di conoscenza e comprensione del cliente in materia di cripto-asset per raggiungere un livello adeguato di sicurezza del fatto che il cliente non venga utilizzato come corriere di denaro.
Nelle situazioni classificate a basso rischio a seguito della valutazione effettuata in conformità con le Linee Guida, i CASP possono applicare misure attenuate di adeguata verifica, come l’aggiornamento di informazioni, dati o documentazione, solo in presenza di specifici eventi scatenanti, quali ad esempio la richiesta da parte del cliente di un prodotto nuovo o a più alto rischio, o variazioni nel comportamento del cliente che suggeriscano che il rischio associato al rapporto non è più basso.
Infine, quando le informazioni sui clienti e sulle transazioni sono disponibili su DLT, i CASP non dovrebbero fare affidamento sul registro distribuito per la conservazione delle registrazioni, ma dovrebbero adottare misure per adempiere agli oneri di registrazione in conformità alla IV Direttiva Antiriciclaggio e dovrebbero mettere in atto procedure che consentano loro di associare l'indirizzo del registro distribuito a una chiave privata, controllata da una persona fisica o giuridica
Le autorità competenti dovranno comunicare di essere conformi alle Linee Guida entro due mesi dalla pubblicazione delle traduzioni sul sito dell’EBA. Le Linee Guida si applicheranno a partire dal 30 dicembre 2024.
