regolamentare

AML6: cosa cambia realmente nella nuova normativa europea antiriciclaggio

Min

•

17.03.2026

A partire dal 10 luglio 2027, tutte le entità sottoposte a vigilanza in Europa dovranno applicare le nuove regole del pacchetto AML 2024. Questo provvedimento affronta due problemi strutturali: la frammentazione normativa tra Stati membri e il vuoto normativo sui cripto-asset.

Per aziende fintech, istituti di credito, studi legali e gestori di denaro, questa è la norma più importante dall'implementazione del GDPR. In Italia, l'Unità di Informazione Finanziaria (UIF) presso il Ministero dell'Economia e della Finanza e la Banca d'Italia supervisionano il rispetto della normativa, insieme alla CONSOB per gli intermediari finanziari.

‍

Cos'è AML6? I tre pilastri della nuova regolamentazione

‍

Il pacchetto AML 2024 è composto da tre testi legislativi interconnessi:

‍

La Direttiva AML6 (AMLD6)

‍

Aggiornamento della quinta direttiva antiriciclaggio. Allarga il perimetro normativo a nuovi settori (lusso, immobiliare ad alto valore, servizi di visto d'oro) e stabilisce obblighi rafforzati sulla identificazione dei beneficiari effettivi (UBO).

‍

Il Regolamento AMLA (Autorità Europea Antiriciclaggio)

‍

Istituisce l'Autorità Europea Antiriciclaggio (AMLA), un nuovo organo di vigilanza europeo centralizzato. Questo organismo coordinerà gli sforzi tra gli Stati membri, stabilirà standard tecnici vincolanti e supervisionerà i casi ad alto rischio. Rappresenta un cambio paradigmatico: si passa da una vigilanza frammentata a un approccio europeo centralizzato.

‍

La Travel Rule

‍

Obbligo di trasmettere informazioni sul committente e beneficiario in trasferimenti di criptovalute superiori a 1.000 euro. Sebbene originariamente introdotta per i bonifici bancari, ora si estende esplicitamente agli asset digitali, colmando un vuoto normativo critico degli ultimi 5 anni.

‍

Calendario di applicazione: verso la conformità obbligatoria

‍

9 giugno 2024 : Pubblicazione in Gazzetta Ufficiale UELegislazione adottata formalmente

1° luglio 2025 : Entrata in vigore AMLAInstallazione della nuova autorità europea

10 luglio 2027 : Applicazione obbligatoria completaTutti i soggetti obbligati devono conformarsi

2029 : Inclusione del calcio professionisticoNuovi obblighi per club e agenti

‍

Per la tua organizzazione, ciò significa che hai circa 15 mesi da oggi per allinearti completamente. Non è una proroga indefinita: l'11 luglio 2027, non conformarsi significa esporsi a sanzioni significative.

‍

Cosa cambia concretamente per il tuo business

‍

Regole KYC/KYB armonizzate a livello europeo

‍

Fino ad ora, il rispetto delle norme KYC (Know Your Customer) variava considerevolmente tra paesi. Un cliente italiano verificato con determinati documenti potrebbe non esserlo in Spagna o Germania. AML6 stabilisce standard europei uniformi:

‍

Verifica dell'identità rafforzata: L'identificazione deve essere validata rispetto a fonti di riferimento ufficiali (registri anagrafici nazionali, autorità di emissione dei documenti).
Valutazione del rischio armonizzata: Criteri comuni per classificare i clienti come a rischio basso, medio o alto (beneficiari politici, giurisdizioni ad alto rischio, strutture opache).
Due diligence rafforzata: Per i clienti ad alto rischio, investigazione più approfondita sull'origine dei fondi e sullo scopo della relazione commerciale.

‍

In pratica, strumenti come Meelo che automatizzano questi processi diventano essenziali. La verifica manuale è insostenibile su scala europea.

‍

AMLA come nuovo organo di vigilanza europeo centralizzato

‍

La creazione di AMLA rappresenta un cambio paradigmatico. Per la prima volta, un'autorità europea unica può:

Supervisionare direttamente le entità ad alto rischio
Stabilire orientamenti tecnici vincolanti
Coordinare le indagini transfrontaliere
Emettere sanzioni amministrative pecuniarie dirette

‍

Per la tua organizzazione significa: non solo conformarsi alla normativa nazionale, ma allinearsi agli standard europei che potrebbero essere più rigorosi. L'UIF italiana, la Banca d'Italia e la CONSOB continueranno a essere autorità di vigilanza chiave a livello nazionale, ma coordineranno con AMLA.

‍

Criptovalute nel diritto comune

‍

Il vuoto normativo sulle criptovalute termina. I fornitori di servizi di cripto-asset (PSAC) ora hanno obblighi espliciti:

Conformità KYC identica agli intermediari finanziari tradizionali
Travel Rule obbligatoria (informazioni del committente in trasferimenti >1.000€)
Monitoraggio delle transazioni sospette
Segnalazione delle transazioni sospette all'UIF

Se offri servizi di scambio cripto, portafoglio, custodia o prestito di criptoasset, hai bisogno di sistemi di monitoraggio equivalenti a quelli di una banca tradizionale.

‍

Nuovi settori inclusi

AML6 allarga la rete normativa a:

Commercianti di lusso (gioielleria, arte, orologi di alto valore): obblighi KYC per acquisti superiori a soglie specifiche
Servizi immobiliari ad alto valore: agenti e notai che verificano l'origine dei fondi
Visti d'oro e residenza: i governi devono verificare l'origine degli investimenti
Settore sportivo professionistico (a partire da 2029): club di calcio, agenti e scommettitori

professionisti

‍

Contante: limite europeo di 10.000€

‍

Le aziende non possono accettare più di 10.000 euro in contanti in una sola transazione senza registrare i dati del cliente. Questa soglia si riduce progressivamente. Per i business con elevati volumi di contante (commercio al dettaglio, alberghi), è un cambiamento operativo significativo.

‍

Beneficiari effettivi (UBO):

accesso e trasparenza

‍

L'identificazione dei beneficiari effettivi (persona fisica che in ultima analisi controlla un'entità) diventa più critica e più trasparente.

‍

Accesso illimitato delle autorità

‍

Le autorità (UIF, Banca d'Italia, CONSOB, AMLA) hanno accesso completo ai registri UBO senza restrizioni. Non ci sono eccezioni per confidenzialità commerciale.

‍

Accesso di giornalisti e ONG con interesse legittimo

‍

A differenza della normativa precedente, giornalisti, ONG e ricercatori possono accedere alle informazioni UBO se dimostrano un interesse legittimo (investigazione su corruzione, frode, riciclaggio di denaro). In Italia, questo sarà gestito dai Registri delle Imprese delle Camere di Commercio e dai Notai.

‍

Registri interconnessi tramite BORIS

‍

Il Registro dei Beneficiari Effettivi (BORIS, Beneficial Ownership Register Information System) collegherà tutti i registri nazionali dell'UE. Una ricerca in BORIS ti mostrerà strutture azionarie complesse, partecipazioni incrociate e relazioni nascoste tra entità italiane e internazionali.

Implicazione: Se il tuo cliente è una struttura opaca con UBO non identificato o dubbio, non puoi continuare la relazione dopo AML6.

‍

Sanzioni: cosa ti espone realmente

‍

AML6 introduce sanzioni significativamente più elevate rispetto al regime precedente. Le autorità (AMLA, UIF, Banca d'Italia, CONSOB) possono applicare sanzioni amministrative in due categorie:

‍

Violazioni amministrative: sanzioni minime

‍

Minimo 1.000.000 di euro per istituti di credito
Minimo 250.000 euro per altri soggetti obbligati
Oppure il doppio del profitto ottenuto dall'inosservanza (se maggiore)

Esempio: Se un intermediario finanziario ottiene 500.000€ in commissioni facilitando transazioni non monitorate, la sanzione minima è 1.000.000€ (non 250.000€, perché il doppio del profitto è maggiore).

‍

Violazioni gravi: percentuale del fatturato annuale

‍

Fino al 20% del fatturato annuale per violazioni gravi (strutturali, recidive)

Una banca italiana con 5 miliardi di fatturato annuale che non rispetta, affronta sanzioni fino a 1 miliardo di euro.

‍

Violazioni più esposte a sanzioni: i rischi maggiori

‍

I mancati rispetti che generano le sanzioni più elevate:

Carenza nell'identificazione di UBO: Non identificare o non verificare correttamente i beneficiari effettivi
Assenza di due diligence rafforzata: Non investigare l'origine dei fondi per i clienti ad alto rischio
Mancata segnalazione di transazioni sospette: Omissione nel segnalare all'UIF comportamenti fraudolenti
Inosservanza della Travel Rule: Non trasmettere informazioni nei trasferimenti di criptovalute

Ognuno di questi può generare sanzioni amministrative separate e cumulative.

‍

Sanzioni penali in alcuni Stati

‍

Oltre alle sanzioni amministrative (supervisionate da AMLA, UIF, Banca d'Italia), alcuni Stati mantengono sanzioni penali (carcere) per violazioni strutturali. In Italia, il Codice della Privacy e la Legge 231/2001 sulla responsabilità amministrativa impongono sanzioni anche penali per violazioni gravi di antiriciclaggio.

‍

Come prepararsi: dalla teoria all'azione

‍

Se la tua organizzazione rispetta AMLD5, la maggior parte degli obblighi già esiste. AML6 rafforza, espande e centralizza, ma non inventa un nuovo sistema. I passaggi chiave:

‍

1. Controllare la conformità attuale

‍

Valuta dove sei oggi:

¿Il tuo KYC attuale è conforme agli standard europei armonizzati?
Hai gli UBO identificati e verificati per tutti i clienti aziendali?
Il tuo sistema di monitoraggio rileva transazioni in contanti >10.000€?
Se offri servizi cripto, hai implementato la Travel Rule?
I tuoi team sono addestrati nella valutazione del rischio e nella segnalazione delle transazioni sospette?

‍

2. Allineare KYC/KYB agli standard europei

‍

Implementa verifica dell'identità rispetto ai registri anagrafici ufficiali. Ciò implica integrazioni con le autorità italiane (Anagrafe Nazionale Popolazione Residente), europee o piattaforme di terzi come Meelo che centralizzano queste validazioni.

‍

3. Aggiornare i registri UBO

‍

Fai un inventario completo dei clienti aziendali. Per ciascuno, identifica e verifica i beneficiari effettivi. Se hai clienti con strutture complesse (holding, fondi di private equity, trust), avrai bisogno di investigazioni più approfondite.

‍

4. Implementare la Travel Rule nelle operazioni cripto

‍

Se offri servizi con criptovalute, integra sistemi che catturino le informazioni del committente e del beneficiario nei trasferimenti >1.000€. Ciò richiede API con altre entità e fornitori di servizi cripto.

‍

5. Verificare i nuovi settori

‍

Se il tuo business tocca lusso, immobiliare ad alto valore o sportivo, mappa dove AML6 applica nuovi obblighi e dove hai bisogno di aggiornamenti ai processi.

‍

6. Formare i team

‍

Compliance, operations e vendite hanno bisogno di una comprensione profonda di:

Criteri di valutazione del rischio armonizzati
Procedure di due diligence rafforzata
Cosa costituisce "transazione sospetta" in contesto europeo
Obblighi della Travel Rule
Scenari di potenziali sanzioni

‍

Meelo: semplifica la conformità AML6

‍

Invece di costruire internamente sistemi di verifica, monitoraggio e reportistica, Meelo automatizza l'intero ciclo di conformità KYC/KYB:

✓ Verifica dell'identità rispetto ai registri ufficiali - Standard europei armonizzati, senza deviazioni per paese

✓ Valutazione automatica del rischio - Algoritmi allineati con i criteri AMLA per classificare i clienti a rischio basso, medio, alto

✓ Identificazione e verifica di UBO - Ricerca dei beneficiari effettivi, integrazione con registri commerciali, validazione documentaria

✓ Monitoraggio delle transazioni - Rilevamento di pattern anomali, transazioni in giurisdizioni ad alto rischio, operazioni >10.000€ in contanti

✓ Segnalazione automatica alle autorità - Reportistica integrata all'UIF di transazioni sospette senza attriti operativi

✓ Supporto Travel Rule - Per i servizi cripto, trasmissione automatica delle informazioni del committente/beneficiario

‍

Con Meelo, il tuo team si dedica alle decisioni strategiche di rischio, mentre la piattaforma gestisce il lavoro pesante della conformità. Meno onere operativo, minore esposizione a sanzioni, maggiore agilità.

Scopri come Meelo semplifica AML6 →

‍

Domande frequenti su AML6

‍

Cosa succede se non mi conformo ad AML6 prima del 10 luglio 2027?

‍

Dopo questa data, il mancato rispetto è una violazione normativa. L'UIF, la Banca d'Italia, la CONSOB o AMLA possono avviare procedimenti sanzionatori immediatamente. Le sanzioni sono retroattive: possono reclamare violazioni commesse anche dopo l'entrata in vigore se scoprono carenze in retrospettiva. Non c'è un "periodo di grazia".

‍

AML6 si applica alle piccole aziende o solo alle grandi istituzioni?

‍

AML6 si applica a tutti i soggetti obbligati secondo AMLD5: banche, fintech, cambiavalute, assicuratori, gestori di fondi, studi legali, notai, commercianti di lusso al di sopra di determinate soglie, ecc. Se sei piccolo ma rientri in una categoria soggetta, allora sì, si applica.

‍

La scala organizzativa non è un'esenzione, ma influenza l'approccio al rischio: una microimpresa con basso volume può avere una valutazione più semplice rispetto a una banca.

‍

Posso continuare ad accettare contante se gli importi sono inferiori a 10.000€?

‍

Sì, ma devi registrare le informazioni del cliente (nome, indirizzo, documento di identità) per qualsiasi operazione in contanti. La soglia di 10.000€ è il limite dove non hai bisogno di registrare, non dove è vietato accettare contante. Al di sotto di 10.000€ per singola transazione è consentito, ma se rilevi pattern di più transazioni <10.000€ concepite per evitare il limite (strutturazione), è una transazione sospetta.

‍

Cosa succede con i clienti/transazioni che erano già conformi secondo AMLD5?

‍

Non c'è validità indefinita. Le tue valutazioni del rischio KYC/KYB devono essere riviste periodicamente. AML6 rafforza gli standard di verifica, quindi alcuni clienti che erano accettabili secondo AMLD5 potrebbero richiedere due diligence aggiuntiva secondo AML6. Specialmente quelli senza UBO chiaramente identificato o in giurisdizioni di rischio emergente.

‍