Conformità AML in 2026: costi, scadenze, sanzioni reali
4,3 miliardi di dollari. Questa è stata la somma pattuita da Binance con il Dipartimento di Giustizia degli Stati Uniti, FinCEN e OFAC nel novembre 2023, e rimane il record per le violazioni delle normative antiriciclaggio nel settore delle criptovalute. Non è, tuttavia, l'ultimo caso. Nel febbraio 2025, OKX ha pagato 504 milioni di dollari per risolvere una causa parallela con il Dipartimento di Giustizia. Nel novembre dello stesso anno, la Banca Centrale d'Irlanda ha multato Coinbase Europe per 21,46 milioni di euro per non aver monitorato 30 milioni di transazioni per un valore di 176 miliardi di euro. Nel marzo 2025, i server di Garantex sono stati sequestrati negli Stati Uniti, in Germania e in Finlandia. Il quadro è chiaro. L'applicazione delle normative antiriciclaggio nel settore delle criptovalute non è più episodica. È continua. È legata alla giurisdizione. È costosa.
Per qualsiasi operatore di un'attività basata su asset virtuali, la conformità AML in 2026 rappresenta una voce di costo annuale a sette cifre. Tre percorsi di licenza (EU MiCA, UK FCA, Singapore DTSP) entrano in vigore tutti in un unico arco di dodici mesi. Le stablecoin ora rappresentano l'84% di tutto il volume illecito on-chain. Il profilo della minaccia della criminalità finanziaria è cambiato più rapidamente di quanto qualsiasi programma di conformità scritto prima del 2024 possa assorbire. Questa è la situazione pratica del settore, con i relativi dati.
Cosa significa la conformità AML in 2026
L'antiriciclaggio (AML) è il quadro giuridico e operativo che banche e società di criptovalute utilizzano per impedire che fondi provenienti da attività criminali confluiscano nei loro prodotti. Tali fondi possono assumere diverse forme: proventi di reato, evasione fiscale, frode, pagamenti di riscatti per ransomware, elusione delle sanzioni. L'obiettivo di qualsiasi programma AML è prevenire il riciclaggio di denaro, contrastare i sistemi di riciclaggio già in atto e impedire che i flussi di riciclaggio e finanziamento del terrorismo si infiltrino nel sistema finanziario. Nel contesto delle criptovalute, il quadro normativo è stato esteso attraverso la Raccomandazione 16 del GAFI (Gruppo d'azione finanziaria internazionale) del 2019. Negli Stati Uniti, il Bank Secrecy Act si applica ora alle imprese di servizi finanziari, comprese le società di criptovalute. L'AML si basa su quattro pilastri operativi: un programma di identificazione del cliente (CIP), la due diligence del cliente (CDD) con trigger di due diligence rafforzata che soddisfano i requisiti di due diligence dei principali framework, il monitoraggio continuo delle transazioni, con l'obbligo di segnalare attività sospette all'unità di intelligence finanziaria competente, e il controllo delle sanzioni. La procedura "Know Your Customer" (KYC) rappresenta solo la componente di identificazione. Il lavoro più complesso inizia dopo l'acquisizione del cliente. Bisogna individuare le transazioni sospette in tempo reale, presentare la segnalazione corretta all'autorità competente entro i termini previsti e fare tutto questo mentre i clienti si aspettano un prodotto senza intoppi.
Per un'azienda che opera nel settore delle criptovalute, questo implica diverse cose. Devi conoscere i tuoi clienti. Devi sapere quali fondi stanno trasferendo. Devi sapere da dove provengono questi fondi. E devi verificare che nessun indirizzo, nome o controparte sia presente in una lista di sanzioni. Il livello di impegno richiesto aumenta con il rischio e la giurisdizione. I diversi Paesi applicano normative differenti. Ed è qui che il quadro generale si fa interessante.
2026 Tabellone di valutazione dell'applicazione della legge: il costo di un errore
Quanto costa effettivamente un fallimento in materia di antiriciclaggio in 2026? L'andamento delle azioni di contrasto dal 2022 è la risposta empirica. Ogni caso ha creato un precedente e quelli recenti sono andati ben oltre il modello limitato agli Stati Uniti.
| Data | Ditta | Pena | Autorità | Perché |
|---|---|---|---|---|
| Ottobre 2022 | Bittrex | 29,28 milioni di dollari | FinCEN + OFAC | Oltre 116.000 transazioni con giurisdizioni sanzionate, per un totale di 263 milioni di dollari. |
| Novembre 2023 | Binance | 4,3 miliardi di dollari | Dipartimento di Giustizia + FinCEN + OFAC | Fallimenti sistemici nella lotta al riciclaggio di denaro, monitoraggio FinCEN per 5 anni, uscita dagli Stati Uniti |
| Marzo 2025 | Garantex | Prendere nota | Stati Uniti + Germania + Finlandia | Sanzionata dall'OFAC dal 2022, continua a operare |
| Febbraio 2025 | OKX | 504,3 milioni di dollari | Dipartimento di Giustizia | Transazioni sospette per oltre 5 miliardi di dollari tra il 2018 e il 2024, confisca di 420 milioni di dollari e multa di 84 milioni di dollari. |
| Novembre 2025 | Coinbase Europa | 21,46 milioni di euro | Banca Centrale d'Irlanda | 30 milioni di transazioni non monitorate in 12 mesi (valore di 176 miliardi di euro) |
| Dicembre 2025 | Paxful | 3,5 milioni di dollari | FinCEN | Flussi sospetti per oltre 500 milioni di dollari, con esposizione a Iran, Corea del Nord e Venezuela. |
Due aspetti meritano di essere evidenziati. In primo luogo, l'applicazione delle norme non è più concentrata negli Stati Uniti. Europol e la Banca Centrale d'Irlanda ora agiscono autonomamente, senza attendere i pieni poteri conferiti dalla legge antiriciclaggio (AMLA). In secondo luogo, il caso Garantex dimostra che le sole sanzioni non sono sufficienti a fermare una piattaforma di scambio non conforme. L'OFAC ha sanzionato Garantex nell'aprile del 2022. La piattaforma è rimasta operativa per quasi tre anni, fino al sequestro fisico dei server da parte delle forze dell'ordine.
Il costo di una grave violazione delle norme antiriciclaggio ora comprende ordini di cessazione e desistenza, multe multimiliardarie, sorveglianza penale e uscita forzata dal mercato. I 4,3 miliardi di dollari di Binance rimangono il caso più eclatante. I casi di OKX e Coinbase Europe hanno stabilito parametri di riferimento più rilevanti per un CASP di medie dimensioni che valuta il rischio.
La svolta delle stablecoin e l'attacco hacker a Bybit
Il rapporto sui crimini crittografici di Chainalysis ha cambiato la prospettiva sul problema della finanza illecita. Il volume totale di transazioni illecite on-chain ha raggiunto i 154 miliardi di dollari nel 2025, con un aumento del 162% rispetto all'anno precedente. Di questi, l'84% riguardava stablecoin, rispetto al 63% del 2024. L'impennata è stata trainata da entità sanzionate. Le transazioni verso indirizzi sanzionati sono aumentate del 694% su base annua. Quasi la totalità di queste transazioni proveniva dalla stablecoin russa A7A5, ancorata al rublo, che ha movimentato 93,3 miliardi di dollari in meno di dodici mesi. Gran parte di questi flussi è transitata attraverso l'exchange Grinex.
Il caso emblematico del 2025 è l'attacco hacker a Bybit. Il 21 febbraio, il gruppo nordcoreano Lazarus, operante sotto il cluster TraderTraitor, ha sottratto 1,5 miliardi di dollari in Ethereum da un cold wallet di Bybit attraverso un'interfaccia SafeWallet compromessa. Nel giro di cinque giorni, circa 400 milioni di dollari sono stati trasferiti tramite exchange decentralizzati, bridge cross-chain e conversioni in Bitcoin. Nessun fondo è stato recuperato. Attori legati allo stato nordcoreano hanno rubato più di 2 miliardi di dollari nel corso del 2025, l'anno di maggior successo nella loro storia di furti di criptovalute.
Per un team AML, ne conseguono due considerazioni. In primo luogo, lo screening delle controparti tramite la sola analisi della blockchain non è più sufficiente. Le rotte del riciclaggio ora utilizzano smart contract immutabili, atomic swap e bridging entro poche ore dal furto. In secondo luogo, gli emittenti di stablecoin sono diventati il punto nevralgico più potente della blockchain. Un blocco dell'indirizzo corretto da parte di Tether o Circle è più efficace di qualsiasi tracciamento a posteriori.
Il calendario di conformità 2026: MiCA, UK FCA, MAS
Tre delle quattro principali giurisdizioni occidentali stanno per raggiungere contemporaneamente le scadenze strutturali per l'antiriciclaggio. Il tutto entro dodici mesi. Un'azienda di criptovalute che opera in queste giurisdizioni deve pianificare tre percorsi di licenza in parallelo.
| Giurisdizione | Struttura | Scadenza | impatto | Soglia |
|---|---|---|---|---|
| Unione Europea | MiCA + Regolamento sul trasferimento di fondi | 1° luglio 2026 | Tutti i CASP preesistenti necessitano di autorizzazione completa; l'ESMA ha confermato ad aprile 2026 che non ci saranno proroghe. | Zero (da CAPS a CAPS) |
| Unione Europea | Supervisione AMLR + AMLA | 10 luglio 2027 | La direttiva AMLR sostituisce la AMLD5/6; la direttiva AMLA prevede la supervisione diretta di 40 entità ad altissimo rischio. | Standardizzato a livello UE |
| Regno Unito | Autorizzazione completa FCA per le criptovalute | Settembre 2026 | Si apre la finestra di richiesta; non è previsto il passaggio automatico dalla registrazione AML esistente. | Per regime |
| Singapore | Quadro MAS DTSP | 30 giugno 2025 (provveduto) | È necessaria una licenza DTSP per le aziende che forniscono servizi all'estero; la MAS ha dichiarato che "generalmente non ne rilascerà una" | Per regime |
| Globale | Raccomandazione 16 del GAFI | In corso | Regola di viaggio: il 73% delle giurisdizioni ha una legislazione, il 59% non la applica | Tasso di cambio USD/EUR di base pari a 1.000 |
L'AMLA è la nuova Autorità europea antiriciclaggio. Ha sede a Francoforte e ha iniziato le sue attività ufficiali il 1° luglio 2025. Il suo mandato copre sia il riciclaggio di denaro che il contrasto al finanziamento del terrorismo. Per la prima volta, la conformità normativa in materia di antiriciclaggio e contrasto al finanziamento del terrorismo è affidata a un'unica autorità dell'UE. Il primo compito dell'AMLA è quello di armonizzare circa sessanta autorità nazionali di vigilanza antiriciclaggio, frammentate tra loro, sotto un unico quadro normativo. La supervisione diretta delle quaranta entità dell'UE a più alto rischio inizierà nel 2028. La multa di 21,5 milioni di euro inflitta dalla Banca Centrale d'Irlanda a Coinbase Europe nel novembre 2025 è un primo segnale. Le autorità nazionali non stanno aspettando che l'AMLA disponga di tutti i suoi poteri.
Il divario relativo alla Travel Rule è impressionante. L'aggiornamento mirato del 2025 del GAFI ha rilevato che il 73% delle 117 giurisdizioni che consentono i VASP (Visiting Asset Service Providers) aveva approvato la legislazione di cui alla Raccomandazione 16, eppure il 59% non l'aveva ancora applicata. Il Regolamento UE sui trasferimenti di fondi va oltre il GAFI: impone una soglia zero per i trasferimenti da CASP a CASP, il che significa che ogni trasferimento tra entità regolamentate deve contenere informazioni complete sul beneficiario.
Costo dell'antiriciclaggio: fornitori e stipendi dei responsabili della conformità.
Questa è la parte della conformità AML di cui i contenuti formativi raramente parlano. Un CASP di medie dimensioni che gestisce un programma interno si trova di fronte a una serie di voci ben definite. E le cifre non sono irrisorie.
| Componente | Esempi di fornitori | Banda annuale | Note |
|---|---|---|---|
| Analisi blockchain (KYT) | Reattore Chainalysis KYT + | €120.000-€250.000 | Spesso la voce più grande |
| Controllo del portafoglio | Navigatore ellittico | €80.000-€180.000 | Talvolta sostituito alla Chainalysis |
| Rischio di transazione | TRM Labs | €60.000-€150.000 | La più economica delle tre principali |
| KYC / identità | Sumsub, Ondato, Trulioo | Basato su sedile | Scalabile in base al volume di onboarding |
| Regola di viaggio | Notabene, Sumsub Travel Rule, TRISA | Sottoscrizione | Prezzi legati al volume dei messaggi VASP |
| Controllo delle sanzioni | LSEG / LexisNexis World-Check | Basato su sedile | OFAC SDN, UE, Regno Unito: aggiornamenti giornalieri |
Solo gli strumenti necessari per un'attività di medie dimensioni di alto livello costano dai 300.000 ai 700.000 euro all'anno. E questo prima ancora di considerare i costi del personale. Un Compliance Officer (CLO) nel settore delle criptovalute negli Stati Uniti guadagna in media 159.792 dollari (ZipRecruiter, 2025). La posizione di Chief Compliance Officer (CLO) prevede uno stipendio medio di 200.000 dollari. Un MLRO (Antiriciclaggio, Antiriciclaggio e Responsabilità) a Londra percepisce uno stipendio tra le 130.000 e le 180.000 sterline (Morgan McKinley, guida 2025). Aggiungendo la figura di un assistente alla compliance, il costo totale del personale supera i 400.000 dollari negli Stati Uniti e le 220.000 sterline nel Regno Unito. Un programma AML serio presso un CASP (Central Asset Service Provider) regolamentato raramente costa meno di 1 milione di dollari in totale. Questa cifra include consulenza legale, audit e infrastrutture.
Questi dati spiegano perché la questione "sviluppare internamente o acquistare" sia ora centrale per chiunque si occupi di pagamenti in criptovalute. Le normative antiriciclaggio e le scelte in materia di conformità possono determinare la redditività stessa di un'azienda.
Sviluppare internamente o acquistare: quando esternalizzare la gestione antiriciclaggio a un fornitore di servizi di pagamento?
Un piccolo o medio commerciante di criptovalute non ha bisogno di assumere un responsabile antiriciclaggio (MLRO) e di concedere in licenza tre fornitori di servizi di analisi. Un processore di pagamento si assume gli obblighi antiriciclaggio in qualità di istituto finanziario capofila. Il commerciante integra un'API. Il fornitore di servizi di pagamento (PSP) si occupa delle licenze, della verifica dell'identità (KYC), dello screening, della presentazione delle segnalazioni di operazioni sospette (SAR) e dell'implementazione della Travel Rule. È così che provider come Plisio, BitPay e CoinGate si posizionano sul mercato. L'antiriciclaggio è il prodotto, non un componente aggiuntivo.
L'albero decisionale è piuttosto chiaro. Prendiamo come soglia di volume circa 50 milioni di dollari. Al di sotto di tale soglia, in una singola giurisdizione e in assenza di attività VASP regolamentate (custodia, scambio, trasferimento di denaro), la soluzione PSP è quasi sempre la più vantaggiosa. Al di sopra di tale soglia, la gestione interna risulta vincente in termini di personalizzazione, controllo dei dati e flessibilità operativa. A quel punto, il costo non è più evitabile.
Il modello ibrido è ormai dominante per gli operatori di medie dimensioni. Un CASP regolamentato si avvale di una terza parte per uno o due servizi di nicchia, come la pianificazione dei percorsi secondo le regole di viaggio. La questione chiave non è quale modello sia più economico, ma quale modello trasferisca il rischio di licenza all'entità più appropriata.
Tornado Cash, contratti intelligenti e il confine OFAC
Un cambio di politica separato che i team di conformità devono interiorizzare. Il 26 novembre 2024, la Corte d'Appello del Quinto Circuito degli Stati Uniti ha stabilito nel caso Van Loon che i contratti intelligenti immutabili non sono "proprietà" ai sensi dell'International Emergency Economic Powers Act. Il 21 marzo 2025, l'OFAC ha formalmente revocato le sanzioni sul mixer Tornado Cash. Il procedimento penale contro il co-fondatore Roman Storm continua, con il processo fissato per il 14 luglio 2025.
In pratica, per un team AML, ciò significa che la questione è più precisa che generica. Il protocollo in sé non può più essere sanzionato, ma specifici indirizzi di wallet possono essere e rimanere nella lista OFAC SDN (oltre 12.000 voci a marzo 2026). Interagire con il protocollo non costituisce, di per sé, una violazione delle sanzioni. L'invio o la ricezione di fondi da un indirizzo sanzionato, invece, lo è ancora. Le policy di interazione con gli smart contract devono essere definite a livello di indirizzo, non a livello di protocollo, con un sistema di screening collegato al feed OFAC SDN e alle liste equivalenti di UE e Regno Unito. Il Regno Unito ha consolidato le proprie liste: a partire dal 28 gennaio 2026, la lista consolidata OFSI è stata chiusa e la lista delle sanzioni del Regno Unito è ora l'unica fonte di riferimento.
Verifica dei fatti della regola del viaggio con le criptovalute
La raccomandazione 16 del Regolamento sui viaggi del Gruppo d'azione finanziaria internazionale (GAFI), impone ai fornitori di servizi di trasferimento di valore (VASP) di trasmettere le informazioni relative all'ordinante e al beneficiario per i trasferimenti superiori a 1.000 dollari USA/euro. Secondo l'aggiornamento mirato del 2025 del GAFI, il 73% delle giurisdizioni che consentono l'attività dei VASP aveva emanato una legislazione in materia, ma il 59% di queste non l'aveva ancora applicata. L'UE si spinge oltre il GAFI, imponendo una soglia zero per i trasferimenti da un CASP all'altro ai sensi del Regolamento sul trasferimento di fondi.
Sul piano operativo, il rapporto Notabene 2025 State of Travel Rule (basato su un sondaggio condotto su 91 VASP) ha rilevato che il 100% degli intervistati si è impegnato a rispettare la Travel Rule entro la fine del 2025 e che si è registrato un aumento del 431% su base annua delle aziende che bloccano i prelievi fino alla verifica delle informazioni del beneficiario. L'infrastruttura è matura: Notabene, Sumsub Travel Rule, TRISA e Veriscope costituiscono i pilastri operativi. Il problema rimanente è l'interoperabilità tra i diversi fornitori di rete, una frammentazione che probabilmente si consoliderà nei prossimi due anni.
Cosa deve effettivamente fare un programma AML in 2026
Eliminando gli aspetti di marketing, un programma di conformità AML presso un'azienda di criptovalute prevede nove obblighi concreti. Un responsabile antiriciclaggio (MLRO) designato o un responsabile della conformità AML con autorità documentata. Un quadro di identificazione del cliente (CIP) e di adeguata verifica della clientela (CDD) basato sul rischio, con trigger di due diligence rafforzata (EDD) per clienti ad alto rischio e persone politicamente esposte (PEP). Verifica delle sanzioni rispetto alla lista OFAC SDN, alla lista consolidata UE e alla lista delle sanzioni del Regno Unito, con verifica continua. Monitoraggio delle transazioni con regole e soglie documentate. Segnalazione di attività sospette (presentazione di SAR e CTR) all'Unità di informazione finanziaria (FIU) competente entro tempistiche definite. Implementazione della Travel Rule per i trasferimenti superiori alla soglia (zero nell'UE, 1.000 dollari a livello globale). Test annuali indipendenti del programma. Formazione continua del personale, documentata e datata. Conservazione dei registri entro il periodo di conservazione applicabile (in genere cinque anni).
I quadri normativi differiscono nei dettagli, ma i requisiti operativi minimi sono gli stessi per FinCEN, FCA, MAS e l'UE post-AMLA. Le normative antiriciclaggio e le leggi più ampie si sono armonizzate più rapidamente di quanto la maggior parte degli operatori si aspettasse. Le norme globali antiriciclaggio ora si collegano a livello di requisiti normativi, non di quadri normativi nazionali. I programmi di conformità antiriciclaggio sono più allineati che mai tra le autorità di regolamentazione. Gli sforzi di conformità, un tempo limitati al settore bancario corrispondente e ai servizi finanziari tradizionali, ora si estendono a ogni canale crypto regolamentato. I casi di sanzioni del periodo 2022-2025 si concentrano su fallimenti in due pilastri: il monitoraggio delle transazioni su larga scala e la presentazione di segnalazioni di operazioni sospette (SAR) in base a quanto rilevato dal monitoraggio. È fondamentale concentrarsi prima su questi due aspetti. Una conformità antiriciclaggio efficace è per lo più un lavoro noioso. Queste due attività vanno svolte in modo coerente su milioni di transazioni e per ogni cliente del proprio portafoglio.
