← Torna a Antiriciclaggio - D.Lgs. 231/2007
Ultimo aggiornamento: 15 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
In sintesi
  • Disciplina l’obbligo di conservazione dei documenti, dei dati e delle informazioni acquisiti in sede di adeguata verifica della clientela.
  • Il periodo minimo di conservazione è di 10 anni dalla cessazione del rapporto continuativo o dall’esecuzione dell’operazione occasionale.
  • I documenti devono essere conservati in modo da consentire la ricostruzione delle operazioni e la loro eventuale utilizzazione a fini probatori in sede giudiziaria.
  • È ammessa la conservazione in formato digitale, purché garantisca integrità, autenticità, leggibilità e reperibilità nel tempo.
  • L’inadempimento agli obblighi di conservazione è sanzionato amministrativamente ai sensi dell’art. 56.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 32 D.Lgs. 231/2007 (Antiriciclaggio) – Modalità di conservazione dei dati e delle informazioni (1)

In vigore dal 29/12/2007

1. I soggetti obbligati adottano sistemi di conservazione dei documenti, dei dati e delle informazioni idonei a garantire il rispetto delle norme dettate dal codice in materia di protezione dei dati personali nonchè il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto. 2. Le modalità di conservazione adottate devono prevenire qualsiasi perdita dei dati e delle informazioni ed essere idonee a garantire la ricostruzione dell’operatività o attività del cliente nonchè l’indicazione esplicita dei soggetti legittimati ad alimentare il sistema di conservazione e accedere ai dati e alle informazioni ivi conservati. Le predette modalità devono, altresì, assicurare: a) l’accessibilità completa e tempestiva ai dati e alle informazioni da parte delle autorità di cui all’articolo 21, comma 4, lettera a); b) la tempestiva acquisizione, da parte del soggetto obbligato, dei documenti, dei dati e delle informazioni, con indicazione della relativa data. È considerata tempestiva l’acquisizione conclusa entro trenta giorni dall’instaurazione del rapporto continuativo o dal conferimento dell’incarico per lo svolgimento della prestazione professionale, dall’esecuzione dell’operazione o della prestazione professionale, dalla variazione e dalla chiusura del rapporto continuativo o della prestazione professionale; c) l’integrità dei dati e delle informazioni e la non alterabilità dei medesimi successivamente alla loro acquisizione; d) la trasparenza, la completezza e la chiarezza dei dati e delle informazioni nonchè il mantenimento della storicità dei medesimi. 3. I soggetti obbligati possono avvalersi, per la conservazione dei documenti, dei dati e delle informazioni, di un autonomo centro di servizi, ferma restando la responsabilità del soggetto obbligato e purchè sia assicurato a quest’ultimo l’accesso diretto e immediato al sistema di conservazione. Note: (1) Articolo sostituito dall’art. 2, comma 1, DLgs. 25.5.2017 n. 90, pubblicato in G.U. 19.6.2017 n. 140, S.O. n. 28. Testo precedente: “Art. 32 (Requisiti obbligatori per i soggetti terzi) – 1. Ai fini della presente sezione, si intendono per “terzi” gli enti o le persone enumerati nell’articolo 2 della direttiva o enti e persone equivalenti situati in uno Stato extracomunitario, che soddisfino le condizioni seguenti: a) sono soggetti a registrazione professionale obbligatoria, riconosciuta dalla legge; b) applicano misure di adeguata verifica della clientela e obblighi di conservazione dei documenti conformi o equivalenti a quelli previsti dalla direttiva e sono soggetti alla sorveglianza intesa a garantire il rispetto dei requisiti della direttiva secondo il Capo V, Sezione 2, della direttiva medesima o siano situati in uno Stato extracomunitario che impone obblighi equivalenti a quelli previsti dalla direttiva.“. Per le precedenti modifiche si veda l’art. 18, comma 1, DLgs. 25.9.2009 n. 151, pubblicato in G.U. 3.11.2009 n. 256.

Stesso numero, altri codici
Funzione e struttura dell’art. 32

L’art. 32 del D.Lgs. 231/2007, intitolato alle procedure di archiviazione, disciplina il secondo dei due grandi pilastri procedurali del sistema antiriciclaggio italiano: se l’adeguata verifica della clientela (artt. 17-30) riguarda la raccolta e la valutazione delle informazioni, la conservazione (art. 32) riguarda il mantenimento nel tempo di quelle informazioni, unitamente a quella relativa alle operazioni effettuate, in modo da renderle disponibili per l’analisi finanziaria e per i procedimenti giudiziari. I due obblighi sono strettamente connessi: la verifica senza conservazione sarebbe inutile, e la conservazione senza una verifica adeguata sarebbe incompleta.

La norma recepisce le previsioni degli artt. 40-44 della IV Direttiva UE 2015/849, che hanno uniformato a livello europeo gli standard di archiviazione documentale, fissando in 5 anni dalla cessazione del rapporto il termine minimo di conservazione previsto dalla direttiva. Il legislatore italiano ha mantenuto il termine di 10 anni già previsto dalla previgente normativa, giudicando la soglia minima europea insufficiente rispetto alle esigenze investigative, in particolare per i reati di riciclaggio che spesso emergono con grande ritardo rispetto al momento della commissione.

Oggetto della conservazione: dati, documenti e informazioni

L’art. 32 individua tre categorie di elementi soggetti all’obbligo di conservazione.

La prima categoria riguarda i dati identificativi del cliente, dell’esecutore e del titolare effettivo acquisiti in sede di adeguata verifica: nome, cognome, data e luogo di nascita, residenza, codice fiscale, e gli ulteriori elementi richiesti dall’art. 19 (tipo e numero del documento di identità, data e luogo di rilascio, ente emittente). Per i soggetti diversi dalle persone fisiche: denominazione, sede legale, codice fiscale o partita IVA, dati degli esponenti aziendali.

La seconda categoria comprende la documentazione acquisita per l’adeguata verifica: copia del documento di identità, visura camerale, statuto e atto costitutivo, documentazione relativa alla struttura proprietaria e al titolare effettivo, dichiarazioni del cliente sulla fonte dei fondi e sulla finalità del rapporto, documentazione aggiuntiva raccolta in sede di verifica rafforzata.

La terza categoria include le informazioni sulle operazioni effettuate: per ciascuna operazione, la data, l’importo, la valuta, la causale, i conti coinvolti, la controparte (o le controparti), il mezzo di pagamento utilizzato, nonché le informazioni necessarie per la ricostruzione del flusso dei fondi. Per i rapporti continuativi, devono essere conservati i dati di tutte le operazioni eseguite nel corso del rapporto, con la storia completa delle variazioni (cambio titolare effettivo, modifica degli esecutori, variazioni delle condizioni del rapporto).

Periodo di conservazione e decorrenza

Il periodo di conservazione di 10 anni decorre: dalla cessazione del rapporto continuativo, per i dati e i documenti relativi al rapporto e alle operazioni effettuate nel corso dello stesso; dalla data di esecuzione dell’operazione occasionale, per i dati e i documenti relativi a operazioni non riconducibili a un rapporto continuativo. Per la segnalazione di operazioni sospette e i relativi atti istruttori, il termine decorre dalla data di trasmissione della segnalazione all’UIF.

È importante precisare che il termine di 10 anni non è un limite massimo, bensì un minimo inderogabile: i soggetti obbligati possono conservare i documenti per periodi più lunghi se lo richiedono la normativa settoriale, le esigenze operative o i procedimenti giudiziari in corso. In particolare, qualora il soggetto obbligato sia coinvolto in un procedimento penale o amministrativo che richieda la produzione di documentazione relativa a periodi precedenti, l’obbligo di conservazione si prolunga fino alla conclusione definitiva del procedimento.

Modalità di conservazione: analogico e digitale

L’art. 32 consente la conservazione dei documenti sia in formato analogico (cartaceo) sia in formato digitale, purché siano garantiti quattro requisiti fondamentali: integrità (il documento non può essere alterato dopo la conservazione); autenticità (deve essere possibile verificare che il documento corrisponda all’originale); leggibilità (il documento deve essere accessibile e comprensibile senza ausili tecnici obsoleti); reperibilità nel tempo (i documenti devono essere rintracciabili e recuperabili anche a distanza di anni, anche in caso di cambiamento dei sistemi informatici).

Per la conservazione digitale, i soggetti obbligati devono rispettare il Codice del Consumo Digitale (D.Lgs. 82/2005, CAD) e le regole tecniche dell’AgID in materia di conservazione dei documenti informatici. In particolare, per i documenti con efficacia probatoria rafforzata (ad esempio quelli firmati digitalmente o acquisiti attraverso sistemi di identificazione elettronica certificata), il sistema di conservazione deve prevedere l’uso di marche temporali che attestino la data certa del documento. La migrazione verso nuovi sistemi di archiviazione durante il periodo di conservazione è possibile, ma richiede procedure documentate che garantiscano l’integrità del trasferimento.

Archivio unico informatico (AUI)

Per gli intermediari finanziari (banche, SIM, SGR, assicurazioni vita, IMEL), la conservazione dei dati relativi alle operazioni e ai rapporti continuativi avviene attraverso l'Archivio Unico Informatico (AUI), disciplinato dal D.M. 26 marzo 2002, n. 66, e successive modificazioni. L’AUI è un sistema informatico che registra in modo standardizzato tutte le operazioni oltre la soglia (attualmente 5.000 euro per le operazioni in contante e 15.000 euro per le operazioni non in contante), i rapporti continuativi instaurati e le variazioni degli stessi. L’AUI è accessibile alle autorità di vigilanza e alle Forze di polizia per le finalità di contrasto al riciclaggio, e costituisce la principale fonte di dati per le analisi di intelligence finanziaria dell’UIF.

Per i professionisti e gli altri soggetti obbligati non finanziari, l’obbligo di mantenere un archivio equivalente all’AUI è stato introdotto dal D.Lgs. 90/2017, che ha previsto la tenuta di un Registro della clientela (per i professionisti persone fisiche o studi di piccole dimensioni) o di un sistema informatico equivalente. Le modalità operative sono state disciplinate con provvedimento del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, degli Ordini degli Avvocati e del Notariato.

Accesso agli archivi da parte delle autorità

I documenti e i dati conservati ai sensi dell’art. 32 sono accessibili, su richiesta motivata, dalle autorità competenti: le Forze di polizia nell’ambito di indagini penali; l’UIF nell’ambito dell’analisi finanziaria e della verifica dell’adempimento degli obblighi antiriciclaggio; le autorità di vigilanza di settore nell’ambito dell’attività ispettiva; le autorità giudiziarie nell’ambito di procedimenti penali e civili. Il soggetto obbligato non può opporre il segreto professionale all’accesso da parte delle autorità di law enforcement per le finalità antiriciclaggio, ma può farlo quando la richiesta non è supportata da una valida base giuridica o eccede i poteri dell’autorità richiedente.

Interazione con il GDPR

La conservazione per 10 anni di dati personali dei clienti crea una tensione con il principio di minimizzazione e limitazione della conservazione sancito dal Regolamento UE 2016/679 (GDPR). L’art. 17 del GDPR prevede il diritto alla cancellazione, ma ammette deroghe quando la conservazione è necessaria per adempiere a un obbligo legale. L’art. 40 della IV Direttiva UE 2015/849 risolve espressamente il conflitto: gli obblighi di conservazione antiriciclaggio costituiscono una deroga legale al diritto alla cancellazione GDPR, purché la conservazione sia limitata ai dati strettamente necessari e per il periodo minimo previsto dalla legge. Il soggetto obbligato deve comunque informare il cliente dell’obbligo di conservazione (art. 13 GDPR) e adottare misure tecniche e organizzative adeguate per proteggere i dati conservati (art. 25 GDPR).

Domande frequenti

Per quanti anni devono essere conservati i documenti antiriciclaggio?

Il termine minimo di conservazione è di 10 anni: per i rapporti continuativi decorre dalla cessazione del rapporto; per le operazioni occasionali dalla data di esecuzione. Il termine di 10 anni scelto dall’Italia è superiore al minimo di 5 anni previsto dalla IV Direttiva UE 2015/849. La conservazione può durare più a lungo in caso di procedimenti giudiziari o penali in corso che richiedano la documentazione.

È possibile conservare i documenti solo in formato digitale?

Sì. L’art. 32 ammette la conservazione digitale purché siano garantiti integrità, autenticità, leggibilità e reperibilità nel tempo. I soggetti obbligati devono rispettare le regole del CAD (D.Lgs. 82/2005) e le linee guida AgID. Per documenti con efficacia probatoria rafforzata, è richiesto l’uso di marche temporali. Le migrazioni tra sistemi di archiviazione richiedono procedure documentate.

Cos'è l’Archivio Unico Informatico (AUI) e chi è tenuto a tenerlo?

L’AUI è il sistema informatico standardizzato in cui gli intermediari finanziari (banche, SIM, SGR, assicurazioni vita, IMEL) registrano operazioni oltre soglia, rapporti continuativi e relative variazioni. Per i professionisti non finanziari (commercialisti, avvocati, notai), l’obbligo equivalente è il Registro della clientela, disciplinato dai rispettivi ordini professionali, introdotto dal D.Lgs. 90/2017.

I clienti possono chiedere la cancellazione dei loro dati ai sensi del GDPR?

No, non durante il periodo di conservazione obbligatoria. L’art. 40 della IV Direttiva UE 2015/849 e il suo recepimento nell’art. 32 D.Lgs. 231/2007 costituiscono una deroga legale al diritto alla cancellazione GDPR (art. 17 Reg. UE 2016/679). Il soggetto obbligato deve comunque informare il cliente dell’obbligo di conservazione e proteggere adeguatamente i dati con misure di sicurezza appropriate.

Le autorità possono accedere agli archivi del soggetto obbligato senza il consenso del cliente?

Sì. I documenti conservati ai sensi dell’art. 32 sono accessibili su richiesta motivata da Forze di polizia (per indagini penali), UIF (per analisi finanziaria), autorità di vigilanza (in sede ispettiva) e autorità giudiziarie. Il soggetto obbligato non può opporre il segreto professionale per finalità antiriciclaggio, ma può contestare richieste prive di base giuridica o eccedenti i poteri dell’autorità richiedente.

Andrea Marton, Tax Advisor e Responsabile Editoriale di La Legge in Chiaro
A cura di
Dott. Andrea Marton — Tax Advisor, Consulente Fiscale
Responsabile editoriale di La Legge in Chiaro per i 17 codici e testi unici italiani (Costituzione, C.C., C.P., C.P.C., C.P.P., C.d.S., Codice del Consumo, TUIR, T.U.IVA, T.U.B., IRAP, CCII, Antiriciclaggio, Successioni, Accertamento, T.U. Edilizia, Legge di Bilancio 2026). Contenuti redatti con linguaggio chiaro, fonti ufficiali aggiornate e revisione professionale a cura della Redazione. Profilo completo →
Avvertenza: il testo è pubblicato a fini informativi e divulgativi. Per casi specifici è sempre consigliato rivolgersi a un professionista abilitato.
Articoli correlati
Antiriciclaggio - D.Lgs. 231/2007
Art. 31 Antiriciclaggio - Obblighi di conservazione (1)
Antiriciclaggio - D.Lgs. 231/2007
Art. 33 Antiriciclaggio - Obbligo di invio dei dati aggregati alla UIF (1)
Antiriciclaggio - D.Lgs. 231/2007
Art. 30 Antiriciclaggio - Esclusioni (1)
Antiriciclaggio - D.Lgs. 231/2007
Art. 34 bis Antiriciclaggio - Banche dati informatiche presso gli organismi di autoregolamentazio...
Antiriciclaggio - D.Lgs. 231/2007
Art. 34 Antiriciclaggio - Disposizioni specifiche (1)
Antiriciclaggio - D.Lgs. 231/2007
Art. 29 Antiriciclaggio - Esecuzione da parte di terzi aventi sede in