- I prestatori di servizi per le cripto-attività (CASP) devono individuare e valutare il rischio di riciclaggio associato ai trasferimenti diretti a o provenienti da indirizzi auto-ospitati (unhosted wallet).
- Devono adottare misure di attenuazione proporzionate al rischio individuato: identificazione del cedente/cessionario, informazioni aggiuntive sull’origine, monitoraggio rafforzato.
- L’art. 16-bis è stato inserito dal D.Lgs. 204/2024 e si applica nel periodo transitorio determinato dall’art. 45, comma 1, del D.Lgs. 129/2024.
- Le misure comprendono anche il rispetto delle sanzioni finanziarie UE nei confronti di soggetti connessi a indirizzi auto-ospitati sospetti.
Art. 16 bis D.Lgs. 231/2007 (Antiriciclaggio) – Individuazione e valutazione dei rischi associati ai trasferimenti di cripto-attività
In vigore dal 29/12/2007
diretti a o provenienti da un indirizzo autoospitato (1) 1. I prestatori di servizi per le cripto-attività individuano e valutano il rischio di riciclaggio e di finanziamento del terrorismo associato ai trasferimenti di cripto-attività diretti a o provenienti da un indirizzo auto-ospitato. 2. I prestatori di servizi per le cripto-attività adottano i presidi e attuano i controlli e le procedure necessarie a mitigare tali rischi e applicano misure di attenuazione commisurate ai rischi individuati. Tali misure comprendono una o più delle misure seguenti: a) misure basate sul rischio per identificare il cedente o il cessionario di un trasferimento effettuato da o verso un indirizzo auto-ospitato o il titolare effettivo di tale cedente o cessionario, anche facendo affidamento su terzi, e verificarne l’identità; b) richiesta di informazioni aggiuntive sull’origine e sulla destinazione delle cripto-attività trasferite; c) un monitoraggio continuo e rafforzato delle operazioni dirette a o provenienti da indirizzi auto-ospitati; d) qualsiasi altra misura volta ad attenuare e gestire i rischi di riciclaggio e di finanziamento del terrorismo, nonchè il rischio di mancata attuazione e di evasione delle sanzioni finanziarie adottate dall’Unione europea, nei casi di cui agli articoli 4 e 4-ter del decreto legislativo 22 giugno 2007, n. 109, ovvero con decreto del Ministro dell’economia e delle finanze nei casi di cui all’articolo 4- bis del medesimo decreto. Note: (1) Articolo inserito dall’art. 1, comma 1, lett. d), DLgs. 27.12.2024 n. 204, pubblicato in G.U. 28.12.2024 n. 303. Per l’applicazione della presente disposizione fino alla scadenza del periodo transitorio, come determinato dall’art. 45, comma 1, DLgs. 129/2024, si veda il successivo art. 4.
Stesso numero, altri codici
Il contesto normativo: cripto-attività e indirizzi auto-ospitati
L’art. 16-bis del D.Lgs. 21 novembre 2007, n. 231 è stato inserito dall’art. 1, comma 1, lettera d) del D.Lgs. 27 dicembre 2024, n. 204 e risponde a una delle aree di maggiore vulnerabilità del sistema antiriciclaggio nell’era digitale: i trasferimenti di cripto-attività da e verso indirizzi auto-ospitati (in inglese unhosted wallets o self-custodied wallets). Un indirizzo auto-ospitato è un portafoglio di cripto-attività la cui chiave privata è detenuta direttamente dall’utente, senza l’intermediazione di un prestatore di servizi per le cripto-attività (CASP). In questo modo il trasferimento avviene senza che vi sia una controparte soggetta agli obblighi AML dalla parte del cedente o del cessionario, creando un punto cieco nella tracciabilità del flusso finanziario. La norma risponde anche alle indicazioni del pacchetto europeo in materia di cripto-attività, in particolare al Regolamento UE 2023/1113 (Transfer of Funds Regulation, applicabile alle cripto-attività dal 30 dicembre 2024) e agli standard GAFI sulle virtual assets.
I soggetti destinatari: i CASP
L’art. 16-bis si rivolge ai prestatori di servizi per le cripto-attività (CASP, Crypto-Asset Service Providers) nel senso del Regolamento UE 2023/1114 (MiCA). In Italia, i CASP sono iscritti nel registro tenuto dall’OAM (Organismo Agenti e Mediatori) ai sensi del D.L. 25/2022 convertito dalla L. 48/2022, che ha introdotto l’obbligo di iscrizione per i prestatori di servizi relativi all’utilizzo di valuta virtuale e di portafoglio digitale. Con la piena applicazione di MiCA, a partire dal 30 dicembre 2024, il quadro normativo è significativamente evoluto: le licenze rilasciate dagli Stati membri consentono il passaporting in tutta l’UE e le regole di condotta si armonizzano. I CASP rientrano tra i soggetti obbligati ai sensi dell’art. 3, comma 5, lettera i) del D.Lgs. 231/2007 e sono soggetti alla vigilanza della Banca d'Italia (per i profili prudenziali e AML).
L’obbligo di individuazione e valutazione del rischio
Il comma 1 dell’art. 16-bis impone ai CASP di individuare e valutare il rischio di riciclaggio e di finanziamento del terrorismo associato ai trasferimenti di cripto-attività diretti a o provenienti da un indirizzo auto-ospitato. Si tratta di un obbligo di valutazione del rischio specifico, che si aggiunge alla valutazione generale del rischio di cui all’art. 15 del decreto. Il CASP deve quindi adottare procedure interne che consentano di identificare automaticamente i trasferimenti che coinvolgono indirizzi auto-ospitati e di attivare il processo di valutazione del rischio. Strumenti di blockchain analytics (come Chainalysis, Elliptic o TRM Labs) sono utilizzati in pratica per valutare il profilo di rischio degli indirizzi, incrociando le transazioni con database di indirizzi associati a sanzioni, dark web, ransomware e altri illeciti noti.
Le misure di attenuazione del rischio
Il comma 2 dell’art. 16-bis elenca le misure di attenuazione che i CASP devono adottare, commisurate ai rischi individuati. Le misure sono alternative o cumulative:
a) Identificazione del cedente o del cessionario: misure basate sul rischio per identificare e verificare l’identità del soggetto che invia o riceve cripto-attività da o verso un indirizzo auto-ospitato, o il titolare effettivo di tale soggetto, anche affidandosi a terzi. In pratica il CASP chiede al proprio cliente informazioni sul destinatario o mittente del trasferimento e ne verifica l’identità.
b) Informazioni aggiuntive sull’origine e sulla destinazione: il CASP può richiedere documentazione a supporto della provenienza delle cripto-attività (estratti di wallet, dichiarazioni di mining, atti di acquisto) o della loro destinazione (contratto, fattura, scopo della transazione).
c) Monitoraggio continuo e rafforzato: per i trasferimenti verso o da indirizzi auto-ospitati il CASP applica un livello di monitoraggio superiore a quello ordinario, con alert automatici su volumi, frequenze e pattern anomali.
d) Qualsiasi altra misura: la norma ammette misure residuali, inclusa la sospensione del trasferimento o l’astensione dall’operazione, nei casi di rischio elevato non mitigabile con le misure precedenti.
Il raccordo con le sanzioni finanziarie UE
Il comma 2, lettera d) dell’art. 16-bis richiama espressamente gli artt. 4 e 4-ter del D.Lgs. 22 giugno 2007, n. 109 (misure per prevenire il finanziamento del terrorismo e dei Paesi a rischio) e l’art. 4-bis dello stesso decreto (sanzioni finanziarie UE adottate con decreto MEF). Ciò significa che il CASP deve verificare, nell’ambito della valutazione degli indirizzi auto-ospitati, se il soggetto mittente o destinatario è inserito nelle liste di congelamento UE (Reg. UE 2580/2001, Reg. UE 881/2002 e successivi aggiornamenti) o in quelle adottate dall’ONU. La violazione delle misure di congelamento è un reato penale ai sensi del D.Lgs. 109/2007 e non è derogabile dall’art. 16-bis: il CASP non può eseguire il trasferimento in tali casi, indipendentemente dalla valutazione del rischio AML.
Il periodo transitorio e il coordinamento con MiCA
La disposizione finale dell’art. 16-bis precisa che la norma si applica fino alla scadenza del periodo transitorio determinato dall’art. 45, comma 1, del D.Lgs. 129/2024 (che recepisce MiCA). Il coordinamento con MiCA e con il Transfer of Funds Regulation (Reg. UE 2023/1113) è fondamentale: il TFR impone ai CASP di accompagnare ogni trasferimento di cripto-attività con i dati del cedente e del cessionario (la cosiddetta travel rule). Per i trasferimenti verso indirizzi auto-ospitati, il TFR richiede ai CASP di raccogliere e conservare i dati del proprietario dell’indirizzo quando il trasferimento supera 1.000 euro e, per i trasferimenti di importo inferiore, valutare se il proprio cliente e l’indirizzo auto-ospitato appartengano alla stessa persona. Il D.Lgs. 204/2024 armonizza queste previsioni con il sistema antiriciclaggio nazionale.
Implicazioni pratiche per gli intermediari e i professionisti
L’art. 16-bis è principalmente rilevante per i CASP, ma interessa indirettamente anche i professionisti che assistono clienti operanti in cripto-attività. In primo luogo, quando un cliente dichiara di ricevere proventi da cripto-attività, il professionista deve considerare se tali proventi provengano da operazioni che hanno coinvolto indirizzi auto-ospitati, eventualmente avvalendosi delle informazioni fornite dal CASP di riferimento del cliente. In secondo luogo, i professionisti che si trovano a valutare operazioni aventi a oggetto cripto-attività devono tenere conto delle misure di due diligence previste dall’art. 16-bis come parte del contesto normativo entro cui le cripto-attività operano. Infine, la mancata adozione da parte di un CASP delle misure previste dall’art. 16-bis è un elemento rilevante nella valutazione del rischio complessivo da parte del professionista che assiste tale CASP.
Domande frequenti
Cos'è un indirizzo auto-ospitato nel contesto delle cripto-attività?
È un portafoglio di cripto-attività la cui chiave privata è detenuta direttamente dall’utente, senza l’intermediazione di un exchange o di un altro CASP. Noto anche come unhosted wallet o self-custodied wallet, consente transazioni senza che la controparte sia soggetta agli obblighi AML, creando un punto cieco nella tracciabilità.
Quale obbligo impone l’art. 16-bis ai prestatori di servizi per le cripto-attività?
I CASP devono individuare e valutare il rischio AML associato ai trasferimenti verso o da indirizzi auto-ospitati e adottare misure proporzionate: identificazione del titolare dell’indirizzo, richiesta di informazioni sull’origine dei fondi, monitoraggio rafforzato, sospensione del trasferimento in caso di rischio elevato.
L’art. 16-bis si applica anche alle sanzioni finanziarie internazionali?
Sì. La lettera d) del comma 2 richiama le misure di congelamento dei fondi previste dal D.Lgs. 109/2007 e dai decreti MEF attuativi delle sanzioni finanziarie UE. Il CASP deve verificare se il soggetto associato all’indirizzo auto-ospitato figuri nelle liste di congelamento, indipendentemente dalla valutazione AML.
Qual è il rapporto tra l’art. 16-bis e il Transfer of Funds Regulation europeo?
Il Regolamento UE 2023/1113 (TFR) estende la travel rule alle cripto-attività dal 30 dicembre 2024: i CASP devono raccogliere i dati del cedente e del cessionario per ogni trasferimento. L’art. 16-bis completa questo obbligo per i trasferimenti verso indirizzi auto-ospitati, coordinandosi con il periodo transitorio di MiCA.
I commercialisti devono preoccuparsi dell’art. 16-bis?
Indirettamente sì: i professionisti che assistono clienti operanti in cripto-attività devono considerare se i proventi provengano da operazioni con indirizzi auto-ospitati e valutare la correttezza del profilo di rischio del cliente. La mancata compliance di un CASP fornitore del cliente è un elemento da considerare nell’adeguata verifica.