- Obbligo di adeguata verifica rafforzata per i rapporti di corrispondenza transfrontalieri in servizi di cripto-attività con intermediari di Paesi terzi.
- I prestatori di servizi per le cripto-attività devono verificare l’autorizzazione dell’intermediario corrispondente e valutare la qualità dei suoi controlli antiriciclaggio.
- È richiesta l’autorizzazione dei vertici aziendali prima di aprire nuovi conti di corrispondenza in cripto-attività.
- Le informazioni sull’adeguata verifica del rapporto di corrispondenza devono essere aggiornate periodicamente o al sorgere di nuovi rischi.
Art. 25 bis D.Lgs. 231/2007 (Antiriciclaggio) – Modalità di esecuzione degli obblighi di adeguata verifica
In vigore dal 29/12/2007
Modalità di esecuzione degli obblighi di adeguata verifica rafforzata della clientela per i rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di servizi per le cripto-attività (1) 1. Nel caso di rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di servizi per le cripto-attività quali definiti all’articolo 3, paragrafo 1, punto 16), del regolamento (UE) 2023/1114, del Parlamento europeo e del Consiglio, del 31 maggio 2023, con l’eccezione della lettera h) di tale punto, con un intermediario corrispondente di un Paese terzo che presta servizi analoghi, compresi i trasferimenti di cripto-attività, i prestatori di servizi per le cripto-attività, oltre alle ordinarie misure di adeguata verifica della clientela, al momento dell’avvio del rapporto adottano le seguenti ulteriori misure: a) determinano se l’intermediario corrispondente è autorizzato o registrato; b) raccolgono informazioni sufficienti sull’intermediario corrispondente per comprendere pienamente la natura delle attività svolte e per determinare, sulla base di pubblici registri, elenchi, atti o documenti, la correttezza e la qualità della vigilanza cui l’intermediario corrispondente è soggetto; c) valutano la qualità dei controlli in materia di prevenzione del riciclaggio e del finanziamento del terrorismo cui l’intermediario corrispondente è soggetto; d) ottengono l’autorizzazione dei titolari di poteri di amministrazione o direzione ovvero di loro delegati o, comunque, di soggetti che svolgono una funzione equivalente, prima di aprire nuovi conti di corrispondenza; e) definiscono in forma scritta i termini dell’accordo con l’intermediario corrispondente e i rispettivi obblighi; f) si assicurano che l’intermediario corrispondente abbia sottoposto ad adeguata verifica i clienti che hanno un accesso diretto ai conti di criptoattività di passaggio, che effettui il controllo costante dei rapporti con tali clienti e che, su richiesta, possa fornire all’intermediario controparte obbligato i dati pertinenti in materia di adeguata verifica della clientela. 2. I prestatori di servizi per le cripto-attività che decidono di porre fine ai rapporti di corrispondenza per motivi connessi al riciclaggio e al finanziamento del terrorismo documentano tale decisione. 3. I prestatori di servizi per le cripto-attività ag- DLgs. 21.11.2007 n. 231 – Art. 26-27 56 giornano le informazioni sull’adeguata verifica per il rapporto di corrispondenza periodicamente o qualora emergano nuovi rischi in relazione all’intermediario corrispondente. 4. I prestatori di servizi per le cripto-attività tengono conto delle informazioni di cui al comma 1 al fine di determinare, in funzione della valutazione del rischio, le misure appropriate da adottare per mitigare i rischi associati all’intermediario corrispondente. Note: (1) Articolo inserito dall’art. 1, comma 1, lett. g), DLgs. 27.12.2024 n. 204, pubblicato in G.U. 28.12.2024 n. 303. Per l’applicazione della presente disposizione fino alla scadenza del periodo transitorio, come determinato dall’art. 45, comma 1, DLgs. 129/2024, si veda il successivo art. 4. SEZIONE III –
Contesto normativo e origine della disposizione
L’art. 25-bis è stato introdotto nel D.Lgs. 231/2007 dal D.Lgs. 204/2024, in attuazione del regolamento europeo MiCA (Markets in Crypto-Assets, Reg. UE 2023/1114). Si tratta di una norma di recente introduzione che estende l’approccio dell’adeguata verifica rafforzata già previsto per i rapporti di corrispondenza bancari tradizionali (art. 25 del decreto) all’ambito dei servizi per le cripto-attività, riconoscendo i rischi peculiari che questi strumenti presentano sul piano del riciclaggio e del finanziamento del terrorismo.
Ambito di applicazione
La norma si applica ai prestatori di servizi per le cripto-attività (CASP, Crypto-Asset Service Providers) che instaurano rapporti di corrispondenza transfrontalieri con intermediari corrispondenti di Paesi terzi al fine di eseguire servizi analoghi, compresi i trasferimenti di cripto-attività. Il riferimento alle cripto-attività è quello del regolamento MiCA (art. 3, paragrafo 1, punto 16), con la sola eccezione della lettera h) di tale punto. L’applicazione è limitata ai rapporti con intermediari di Paesi terzi, escludendo quelli instaurati tra soggetti all’interno dello Spazio Economico Europeo.
Le misure rafforzate al momento dell’avvio del rapporto
Prima di avviare un rapporto di corrispondenza transfrontaliero, il prestatore di servizi per le cripto-attività deve adottare, in aggiunta alle ordinarie misure di adeguata verifica, una serie di misure specifiche. Deve verificare se l’intermediario corrispondente è autorizzato o registrato nell’ordinamento del Paese terzo di appartenenza. Deve raccogliere informazioni sufficienti per comprendere la natura delle attività svolte dall’intermediario e determinare, sulla base di pubblici registri o atti, la correttezza e la qualità della vigilanza cui è soggetto. Deve poi valutare la qualità dei controlli antiriciclaggio e di contrasto al finanziamento del terrorismo applicati dall’intermediario corrispondente.
Autorizzazione dei vertici e formalizzazione del rapporto
Prima di aprire un nuovo conto di corrispondenza in cripto-attività, è richiesta l’autorizzazione dei titolari di poteri di amministrazione o direzione ovvero di loro delegati, o di soggetti che svolgano una funzione equivalente. I termini dell’accordo con l’intermediario corrispondente e i rispettivi obblighi devono essere formalizzati per iscritto. Queste due previsioni mirano a responsabilizzare il vertice aziendale e a garantire che i rapporti di corrispondenza ad alto rischio siano oggetto di una deliberazione consapevole e documentata.
Verifica della clientela dell’intermediario corrispondente
Una misura particolarmente significativa riguarda i clienti dell’intermediario corrispondente che hanno accesso diretto ai conti di cripto-attività di passaggio. Il CASP deve assicurarsi che l’intermediario corrispondente abbia sottoposto questi clienti ad adeguata verifica, che effettui il controllo costante dei rapporti con loro e che, su richiesta, possa fornire i dati pertinenti in materia di adeguata verifica. In questo modo, la catena di adeguata verifica si estende oltre il diretto rapporto con l’intermediario corrispondente.
Aggiornamento e documentazione della cessazione
Il comma 3 impone un aggiornamento periodico delle informazioni sull’adeguata verifica del rapporto di corrispondenza, o quando emergano nuovi rischi associati all’intermediario corrispondente. Il comma 2 prevede inoltre che, qualora il CASP decida di porre fine al rapporto di corrispondenza per motivi connessi al riciclaggio o al finanziamento del terrorismo, debba documentare tale decisione. Questa previsione introduce un obbligo di tracciabilità delle scelte aziendali in materia di de-risking, rilevante anche in ottica di successive verifiche ispettive.
Domande frequenti
A chi si applica l’art. 25-bis del D.Lgs. 231/2007?
Si applica ai prestatori di servizi per le cripto-attività (CASP) che instaurano rapporti di corrispondenza transfrontalieri con intermediari corrispondenti di Paesi terzi per l’esecuzione di servizi analoghi, compresi i trasferimenti di cripto-attività, come definiti dal regolamento MiCA (Reg. UE 2023/1114).
Quale autorizzazione è necessaria prima di aprire un conto di corrispondenza in cripto-attività?
È richiesta l’autorizzazione dei titolari di poteri di amministrazione o direzione del CASP, ovvero di loro delegati o di soggetti che svolgano una funzione equivalente, prima di aprire nuovi conti di corrispondenza con intermediari di Paesi terzi.
Cosa deve verificare il CASP sull’intermediario corrispondente?
Deve verificare se l’intermediario è autorizzato o registrato, raccogliere informazioni sulla natura delle sue attività, valutare la qualità dei controlli antiriciclaggio cui è soggetto e assicurarsi che applichi adeguata verifica ai propri clienti che accedono ai conti di cripto-attività di passaggio.
Con quale frequenza vanno aggiornate le informazioni sull’adeguata verifica del rapporto di corrispondenza?
Le informazioni devono essere aggiornate periodicamente o quando emergano nuovi rischi in relazione all’intermediario corrispondente, in linea con l’approccio dinamico e basato sul rischio che caratterizza il sistema di adeguata verifica rafforzata.