Politiche e procedure antiriciclaggio: una guida completa alla conformità.

Politiche e procedure antiriciclaggio: una guida completa alla conformità.

Le banche non sono le sole a doversi preoccupare del riciclaggio di denaro. Exchange di criptovalute, processori di pagamento, commercianti online: se la tua attività movimenta denaro, prima o poi un ente regolatore ti chiederà come impedisci il transito di fondi illeciti. La tua risposta deve essere messa per iscritto. Questa è la tua politica antiriciclaggio e, se le politiche e le procedure antiriciclaggio sono errate, rischi multe, congelamento dei conti e un danno reputazionale che durerà ben oltre la violazione stessa.

Cosa contiene esattamente uno di questi documenti? Questa guida illustra il contenuto di una policy AML, i motivi per cui le autorità di regolamentazione la richiedono e come creare una struttura in grado di superare un audit. Non importa se gestisci una banca, una startup fintech o un'azienda di pagamenti in criptovalute: la logica di base è la stessa.

Che cosa sono le politiche e le procedure antiriciclaggio?

Una politica AML è il regolamento scritto della tua organizzazione per individuare, bloccare e segnalare il riciclaggio di denaro e il finanziamento del terrorismo. Pensala come il "cosa" e il "perché": la propensione al rischio, le tipologie di clienti che vengono escluse a priori, chi all'interno del personale è responsabile di cosa. L'intera disciplina è nota come antiriciclaggio, o AML, e le autorità di regolamentazione usano questo termine come abbreviazione per indicare sostanzialmente qualsiasi controllo volto a impedire che il denaro sporco entri nel sistema finanziario.

Le procedure definiscono il "come". Una transazione viene segnalata in qualche modo. Qualcuno la esamina. Viene presentata una segnalazione di attività sospetta, seguendo una procedura specifica. Politiche e procedure, nel loro insieme, costituiscono una parte importante di quello che viene solitamente definito un programma di conformità AML, che comprende anche formazione, tecnologia e audit indipendenti.

Spesso si tende a confondere questi termini, ma gli organi di controllo no. Una politica senza procedure a supporto è sostanzialmente inapplicabile. Le procedure senza una politica di riferimento non hanno alcun fondamento giuridico.

Ecco perché questa distinzione è fondamentale nella pratica quotidiana: un ispettore non si limiterà a verificare che un documento di policy esista da qualche parte in un cassetto. Esaminerà transazioni reali e le traccerà attraverso le procedure aziendali, controllando se la documentazione corrisponde a quanto effettivamente accaduto. Molte policy sembrano perfette sulla carta, ma crollano nel momento in cui vengono messe alla prova con i documenti reali: è una delle lacune più comuni riscontrate dagli auditor nelle piccole e medie imprese.

Perché ogni azienda ha bisogno di una politica antiriciclaggio

Non stiamo parlando di un reato marginale. Le Nazioni Unite stimano che ogni anno venga riciclato tra il 2% e il 5% del PIL globale, e solo nel 2023 oltre 3 trilioni di dollari di fondi illeciti sono transitati nell'economia mondiale. Ogni azienda che non riesce a controllare questo flusso, consapevolmente o meno, entra a far parte di questo sistema.

Le autorità di regolamentazione lo sanno, ed è per questo che gli istituti finanziari, le società di servizi finanziari e ora anche le aziende di criptovalute sono tutti soggetti a obblighi di conformità AML (Antiriciclaggio). Le sanzioni vanno dalle multe fino alla revoca definitiva della licenza operativa. E il rischio legale è onestamente solo la parte minore del problema: uno scandalo di riciclaggio di denaro rimane impresso nella memoria di clienti e partner per anni.

I revisori dei conti e gli enti di regolamentazione richiedono innanzitutto la documentazione della politica aziendale. L'assenza di una politica aziendale significa non avere modo di dimostrare la buona fede, anche se le azioni effettivamente intraprese quotidianamente sono perfettamente ragionevoli.

Basta guardare la storia delle sanzioni. Gli enti regolatori di tutto il mondo continuano a infliggere multe multimilionarie per fallimenti nei programmi antiriciclaggio, e spesso il riciclaggio stesso non è mai stato nemmeno provato: la multa è derivata da lacune nelle politiche, nella formazione o nel monitoraggio che hanno reso impossibile dimostrare la prevenzione. Una politica ben strutturata costa molto meno di un rischio di questo tipo.

Politiche e procedure antiriciclaggio: una guida completa alla conformità.

Principali leggi e regolamenti antiriciclaggio che devi conoscere

I requisiti AML variano a seconda della giurisdizione, ma una serie di modelli guida sono alla base di quasi tutte le normative redatte oggi. Comprenderli è il modo più rapido per sapere cosa deve includere il vostro documento.

Regolamento Regione Requisito fondamentale
Legge sul segreto bancario (BSA) Stati Uniti Richiede la tenuta dei registri, la segnalazione di transazioni sospette e un programma AML scritto.
Legge patriottica statunitense, Sezione 352 Stati Uniti Il mandato si basa su quattro pilastri: responsabile della conformità, formazione, test e controlli interni.
Direttive UE in materia di antiriciclaggio (AMLD) Unione Europea Armonizza le norme in materia di dovuta diligenza della clientela, titolarità effettiva e rendicontazione tra gli Stati membri.
Raccomandazioni del GAFI Globale Definisce lo standard internazionale su cui si basano le leggi nazionali antiriciclaggio.

Nessuno di questi quadri normativi è un'opzione aggiuntiva. Rappresentano il punto di partenza, e una politica che ignori quella pertinente alla propria area operativa non supererà la prima revisione normativa. Il Gruppo d'azione finanziaria internazionale (GAFI), in particolare, stabilisce il parametro di riferimento su cui si basano la maggior parte delle leggi nazionali in materia di antiriciclaggio e finanziamento del terrorismo. Ecco perché il linguaggio del GAFI compare in politiche redatte in paesi lontanissimi.

Componenti fondamentali che ogni politica AML deve includere

La sezione 352 del USA PATRIOT Act definisce quattro pilastri obbligatori per un programma scritto di conformità AML, e la maggior parte dei framework globali li rispecchia fedelmente. Qualsiasi politica che non includa anche solo uno di questi elementi è incompleta secondo gli standard normativi:

  • Un responsabile della conformità designato, incaricato della supervisione quotidiana in materia di antiriciclaggio e della rendicontazione normativa.
  • Formazione continua dei dipendenti su segnali di allarme, obblighi di segnalazione e aggiornamenti normativi.
  • Test o verifiche indipendenti per confermare che il programma funzioni come previsto, e non solo come progettato.
  • Politiche, procedure e controlli interni scritti che regolano l'acquisizione dei clienti e il monitoraggio delle transazioni.

Le moderne politiche antiriciclaggio in genere aggiungono due ulteriori componenti ai quattro pilastri: una valutazione documentata del rischio di riciclaggio e una procedura di verifica delle sanzioni. Le autorità di regolamentazione considerano sempre più spesso entrambi gli elementi come scontati, anche laddove la legge non li preveda esplicitamente.

Un errore frequente è quello di considerare questi elementi come una semplice lista di controllo da soddisfare una sola volta, anziché come un sistema dinamico. Il ruolo del responsabile della conformità, ad esempio, necessita di reale autorità e di un budget adeguato. Una carica priva di entrambi non reggerebbe se le autorità di regolamentazione chiedessero chi ha effettivamente il potere di bloccare un conto sospetto. Anche la formazione impartita una sola volta al momento dell'inserimento del nuovo dipendente e poi dimenticata diventa rapidamente obsoleta rispetto alle nuove tipologie di figure professionali e agli aggiornamenti normativi.

Procedure di adeguata verifica della clientela e basate sul rischio

La due diligence del cliente, o CDD (Customer Due Diligence), consiste semplicemente nell'individuare con chi si sta effettivamente facendo affari, sia al momento della registrazione che successivamente. Ciò significa confermare l'identità, comprendere l'attività effettiva del cliente e prestare attenzione a qualsiasi elemento sospetto. Una valutazione del rischio AML (Antiriciclaggio) indica dove concentrare gli sforzi: quali conti necessitano di un controllo rapido e quali meritano un'analisi più approfondita.

Il rischio non è distribuito uniformemente tra i clienti, e questo è proprio il punto cruciale di un approccio basato sul rischio. Persone politicamente esposte, clienti residenti in giurisdizioni ad alto rischio, conti con movimenti di denaro irregolari: tutti questi casi richiedono una maggiore diligenza. Controlli più approfonditi. Monitoraggio più frequente. L'approvazione di un responsabile senior prima che il conto possa essere aperto. Se si trascura una persona politicamente esposta, si attirerà rapidamente l'attenzione delle autorità di controllo, quindi non bisogna includere questo screening nella procedura di onboarding standard, ma dedicargli una fase specifica.

Poi c'è il controllo delle sanzioni, ovvero la verifica dei nuovi clienti (e, a dire il vero, anche delle transazioni) rispetto agli elenchi governativi come l'OFAC prima che il denaro si muova. Trascurare questo passaggio significa commettere uno degli errori più costosi che una politica antiriciclaggio possa comportare.

Tutto questo non si conclude con la fase di onboarding. Un cliente che inizialmente sembrava perfettamente affidabile potrebbe non esserlo più: volumi di transazione più elevati, nuove controparti in paesi a rischio, attività che non corrispondono più a quanto dichiarato in precedenza. Una buona politica basata sul rischio prevede la revisione periodica della valutazione del cliente, anziché considerare il primo controllo come una verifica una tantum.

Passo dopo passo: come costruire il quadro di riferimento per le politiche antiriciclaggio.

Redigere una policy AML partendo da zero è più semplice se si segue una sequenza prestabilita. Ecco l'ordine che permette di ottenere un documento valido e pronto per un eventuale audit:

  1. Effettua una valutazione del rischio : individua i prodotti, i clienti e le aree geografiche che ti espongono al rischio di riciclaggio più elevato.
  2. Nomina un responsabile della conformità o un responsabile antiriciclaggio (MLRO) , ovvero una persona con l'autorità e le risorse necessarie per gestire il programma quotidianamente.
  3. Definisci l'ambito di applicazione e la propensione al rischio della politica : indica chiaramente quali tipologie di clienti e attività sono accettabili, limitate o vietate.
  4. Imposta i trigger per la CDD e la due diligence rafforzata : specifica esattamente quando i controlli standard si intensificano e richiedono una revisione più approfondita.
  5. Crea regole di monitoraggio delle transazioni : definisci soglie e modelli che attivano avvisi interni.
  6. Definisci una procedura per la segnalazione di attività sospette (SAR) : documenta chi esamina gli avvisi e come le segnalazioni vengono trasmesse alle autorità di regolamentazione.
  7. Formare tutto il personale interessato , non solo i team addetti alla conformità, ma chiunque abbia contatti con i clienti o si occupi di transazioni.
  8. Pianifica audit indipendenti : inserisci una revisione periodica nel calendario prima che la politica entri in vigore, non dopo che un ente regolatore l'ha richiesta.

Seguendo quest'ordine si evita un errore comune: scrivere procedure dettagliate prima di aver effettuato la valutazione del rischio sottostante. Saltare questo passaggio significa in genere dover riscrivere metà del documento in seguito.

La maggior parte delle aziende può completare una bozza di questo quadro di riferimento in quattro-sei settimane, anche se la tempistica dipende in larga misura dal numero di linee di prodotto e giurisdizioni che la politica deve coprire. Le aziende che cercano di comprimere il processo in pochi giorni finiscono in genere per utilizzare un linguaggio generico mutuato da modelli. Tale linguaggio può sembrare completo, ma non riflette il loro effettivo profilo di rischio, ed è proprio questo che un revisore noterà per primo.

Monitoraggio, verifica e aggiornamento delle procedure antiriciclaggio

La validità di una polizza dipende dalla qualità del sistema di monitoraggio delle transazioni. Che si tratti di un sistema manuale o automatizzato, questo deve essere in grado di individuare operazioni di frazionamento, movimenti di fondi insolitamente rapidi o attività che non rientrano nel profilo tipico del cliente.

Quando si tratta di attività sospette, la tempestività è fondamentale. Le aziende hanno generalmente 30 giorni di tempo, ai sensi del Bank Secrecy Act, per presentare una segnalazione di attività sospetta prima che scattino le sanzioni per ritardato pagamento. E non buttate via la documentazione: documenti d'identità, registri delle transazioni, segnalazioni di attività sospette, tutto deve essere conservato per cinque anni, sia ai sensi del Bank Secrecy Act che della quarta direttiva antiriciclaggio dell'UE (AMLD4).

Anche la politica stessa necessita di essere rivista, non solo le transazioni che la attraversano. Le normative cambiano, i modelli di business si evolvono, emergono nuove tattiche di riciclaggio. La maggior parte dei team di compliance rivede la propria politica antiriciclaggio almeno una volta all'anno, oltre ad aggiornamenti aggiuntivi ogni qualvolta le normative o l'esposizione al rischio subiscano modifiche significative.

Considerazioni internazionali in materia di conformità alle normative antiriciclaggio.

Rimanendo in un solo Paese, si è tenuti a rispettare un unico quadro normativo. Attraversando i confini, improvvisamente la propria politica deve essere conforme a diversi quadri normativi contemporaneamente, senza che nessuno di essi si contraddica a vicenda.

In pratica, la maggior parte dei team di compliance procede in questo modo: redigere una politica globale di base, a cui poi aggiungere appendici locali per ciascuna giurisdizione. La politica di base gestisce gli aspetti universali, l'approccio basato sul rischio, la due diligence della clientela (CDD) e il controllo delle sanzioni. Le appendici si occupano dei formati di reporting locali, di chi contattare presso l'autorità di regolamentazione e delle soglie che variano da paese a paese.

Le aziende fintech e quelle del settore delle criptovalute risentono maggiormente di questa pressione, poiché molte di esse servono clienti in decine di giurisdizioni ancor prima di aver compiuto un anno. È fondamentale mantenere la policy come un unico documento globale, rivisto centralmente e applicato localmente. In questo modo si evitano le lacune che emergono quando le policy regionali vengono assemblate a posteriori anziché essere progettate in tal senso fin dall'inizio.

Non si tratta solo di burocrazia. Una transazione che non desta alcun sospetto in base alle soglie di un Paese potrebbe far scattare l'obbligo di segnalazione in un altro. Chi prende quindi la decisione quando due normative non concordano? Di solito la responsabilità ricade su una sola persona, il responsabile della conformità o il responsabile antiriciclaggio (MLRO), che deve comprendere a fondo dove le soglie divergono.

Politiche e procedure antiriciclaggio: una guida completa alla conformità.

Conformità AML per le aziende di criptovalute e pagamenti digitali

Le criptovalute sono soggette a un controllo antiriciclaggio più rigoroso rispetto alla maggior parte delle fintech tradizionali e, onestamente, non è difficile capirne il perché. Portafogli pseudonimi, trasferimenti transfrontalieri in pochi secondi, transazioni blockchain più veloci di un bonifico bancario: tutto ciò aumenta la pressione sulle autorità di regolamentazione che cercano di impedire il riciclaggio di denaro e il finanziamento del terrorismo attraverso gli asset digitali. E questo controllo si concentra principalmente su chi elabora i pagamenti in criptovalute.

Una politica AML (Antiriciclaggio) adatta al settore delle criptovalute necessita di alcuni elementi che un modello standard per i servizi finanziari semplicemente non copre:

  • Verifica dell'indirizzo del portafoglio rispetto a database noti di attività illecite e sanzioni prima dell'accettazione dei fondi
  • Monitoraggio delle transazioni on-chain che traccia i flussi di fondi attraverso più passaggi, non solo il mittente immediato
  • Procedure di escalation chiare per le transazioni che coinvolgono mixer, exchange ad alto rischio o indirizzi inseriti in blacklist.

Se gestisci un negozio online e accetti criptovalute, costruire da zero tutta l'infrastruttura necessaria è eccessivo. La soluzione più semplice è collaborare con un fornitore di servizi di pagamento che integri già i controlli AML e KYC. Plisio, ad esempio, gestisce il controllo dei wallet e delle transazioni come parte integrante della sua infrastruttura, consentendo ai commercianti di accettare criptovalute senza dover affrontare da soli l'intero onere della conformità.

Quel divario è più ampio di quanto sembri a prima vista. Un commerciante che implementa un sistema di pagamento in criptovalute basato su un processore privo di controlli antiriciclaggio si assume questo rischio in modo silenzioso: nessuno se ne accorge finché un ente regolatore o un partner bancario non inizia a porre domande scomode sull'esposizione ai fondi illeciti. Scegliendo un'infrastruttura che gestisca già i controlli, si ha una risposta pronta ancor prima che qualcuno la chieda.

Considerazioni finali

Una solida politica antiriciclaggio non è un documento da redigere una volta per tutte e archiviare. Si tratta di un quadro di riferimento dinamico che necessita di monitoraggio, audit e aggiornamenti regolari, in quanto le normative e i rischi si evolvono. Se si parte dai principi fondamentali, ovvero una chiara valutazione del rischio, procedure di due diligence ben definite e un responsabile della conformità designato, qualsiasi azienda, da una banca tradizionale a una piattaforma di pagamenti in criptovalute, si troverà in una posizione migliore rispetto alla maggior parte delle verifiche normative.

Le aziende che faticano a conformarsi alle normative antiriciclaggio raramente si trovano ad affrontare rischi realmente nuovi: sono piuttosto quelle che hanno considerato la propria politica come una mera formalità burocratica anziché come un sistema operativo. Costruire fin dall'inizio politiche e procedure antiriciclaggio solide, con una reale responsabilizzazione e revisioni periodiche integrate, è molto più economico che ricostruirle dopo che una violazione ha reso necessario intervenire.

Qualsiasi domanda?

Quattro di questi pilastri sono esplicitamente previsti dal USA PATRIOT Act: responsabile della conformità, formazione, test indipendenti e controlli interni. Nessuno ha previsto un quinto pilastro per legge, ma la valutazione documentata del rischio è diventata talmente comune che viene comunque aggiunta di routine.

Propensione al rischio. Norme di due diligence della clientela. Verifica delle sanzioni. Soglie di monitoraggio. Una procedura per la presentazione di segnalazioni di attività sospette. Requisiti di formazione. Un programma di audit. E il nome di qualcuno a cui è associato il ruolo di responsabile di tutto.

In breve: se sei una banca, una cooperativa di credito, un’impresa di servizi finanziari, una piattaforma di scambio di criptovalute o un casinò, sì. In modo più dettagliato, le autorità di regolamentazione continuano ad ampliare l’elenco delle attività "ad alto rischio", quindi verifica le normative specifiche della tua giurisdizione anziché presumere di essere esente.

Una volta all’anno, come minimo. Più spesso se cambiano le normative, se si entra in un nuovo mercato o se un audit rileva delle irregolarità. Una politica che non viene modificata da due anni è praticamente un invito per un revisore a trovare problemi.

Quotidianamente, sono loro a esaminare gli avvisi e a decidere quali richiedono un’attenzione maggiore. Quando arriva una segnalazione da parte di un ente regolatore, questa passa attraverso di loro. In caso di audit, sono il punto di riferimento. Quasi tutti i principali sistemi antiriciclaggio prevedono questa figura professionale come requisito indispensabile.

La sanzione varia a seconda della gravità. A volte si tratta di una multa e di una scadenza per porre rimedio alla situazione. Altre volte la banca chiude silenziosamente il conto. Nei casi peggiori, le licenze vengono revocate e i singoli funzionari sono ritenuti personalmente responsabili per negligenza intenzionale.

Ready to Get Started?

Create an account and start accepting payments – no contracts or KYC required. Or, contact us to design a custom package for your business.

Make first step

Always know what you pay

Integrated per-transaction pricing with no hidden fees

Start your integration

Set up Plisio swiftly in just 10 minutes.