Obblighi antiriciclaggio e criptovalute

La crescente funzione delle cripto-valute quale strumento di consumazione e remunerazione della criminalità online. Sin dalla loro introduzione nel 2008, ad opera del fantomatico Satoshi Nakamoto, le cripto-valute sono state circondate da un'aurea di fascinazione mista a sospetto.

La spettacolare ascesa del valore relativo si è accoppiata alla conferma della potenzialità criminogena attestando la natura bifronte di questi strumenti; casi quali Silk Road, Alpha Bay ed il nostrano e recentissimo Berlusconi Market hanno esposto chiaramente la potenzialità delle cripto-valute di divenire strumento di scambio che, sfruttando l'emancipazione dalle istituzioni finanziarie garantita dal sistema peer-to-peer, possa permettere di condurre transazioni online "off the radar".

Al di là di mezzo di scambio per transazioni illecite, le cripto-valute hanno confermato la loro potenzialità criminogena in diversi altri settori: da una parte sono divenuti lo strumento di remunerazione di elezione delle estorsioni del XXI secolo, i c.d. ransomware; dall'altra, sfruttando la summenzionata fascinazione e la limitata alfabetizzazione tecnologica del pubblico, le cripto-valute, anche attraverso lo strumento delle Initial Coin Offering (ICO), sono divenute un redditizio espediente per la perpetrazione di frodi online. Nonostante tali evidenti rischi, le cripto-valute - e in particolare la tecnologia a queste sottostanti denominata blockchain - rappresentano una rivoluzione copernicana in tema di struttura delle transazioni commerciali.

Invero, la blockchain elimina un elemento fondamentale negli scambi commerciali degli ultimi secoli: il terzo garante. Mediante una sorta di libro mastro decentrato, la blockchain sposta la funzione di garanzia dal singolo alla rete permettendo ai partecipanti di scambiarsi dati in modo sicuro e senza doversi affidare a terzi per evitare frodi. A prescindere dalla vaticinata portata distruttiva per le istituzioni finanziarie tradizionali, la blockchain ha enormi potenzialità in termini di aumento della trasparenza, diminuzione dei costi e semplificazione degli scambi.

Tali opportunità non sono sfuggite ai maggiori players internazionali, quali la Commissione europea (che, di recente, ha lanciato un Pre-Commercial Procurement proprio in tema di blockchain), le tradizionali istituzioni finanziare che hanno formato partnership per sviluppare soluzioni blockchain o colossi tecnologici quali IBM. La natura bifronte delle criptovalute, per come originariamente introdotte, sembra quindi aver indotto una scissione semantica nel discorso pubblico il quale ha identificato, probabilmente semplificando, le criptovalute quale rischio e la blockchain quale opportunità.

Disintermediazione, transnazionalità e pseudonimia, le chiavi di volta del rischio AML.

L'identificazione e la caratterizzazione del "rischio cripto" da parte del regolatore nazionale ed internazionale si è rivolta, principalmente, alla modernizzazione di uno strumento che ha costituito il fulcro dell'azione economica in tema di repressione della criminalità transnazionale: la prevenzione del riciclaggio e del finanziamento del terrorismo. Questo strumento normativo, nato nei primi anni '90 quale metodo di contrasto alla criminalità organizzata, spinto dalla "War on terror" americana post 11 settembre, è divenuto la chiave di volta di quella modalità di prevenzione della criminalità che segue il lemma "follow the money".

Sotto gli auspici di questa visione criminologica la quale, in una prospettiva razionalistica dell'individuo, predica l'annullamento della remunerazione del reato quale strumento di dissuasione e prevenzione della criminalità, il regolatore ha operato una responsabilizzazione di tutti quei soggetti i quali, data la loro funzione di intermediari, si pongono quali collettori di informazioni e che svolgono, in questo sistema, una funzione di allarme decentrato per le autorità investigative.

Dato questo breve inquadramento, è evidente che le criptovalute costituiscono un rischio esistenziale per il sistema AML/CFT e si comprende per quale motivo questi strumenti siano divenuti in breve tempo la valuta di elezione per la criminalità online. Invero, le criptovalute, girando su un sistema di scambio da pari a pari, by-passano tutti quei soggetti che formano la struttura di allarme diffuso predisposto dal sistema AML/CFT; in tal senso, l'elemento essenziale della tecnologia blockchain risiede proprio nell'eliminazione della necessaria intermediazione di terzi garanti negli scambi di dati online.

Tale peculiarità cozza con un sistema di prevenzione del riciclaggio basato sulla collaborazione degli intermediari per effettuare un'attività di polizia diffusa del mercato finanziario internazionale. Secondo elemento chiave del rischio cripto è la globalità che assume due forme: una più familiare relativa alla permeabilità dei confini nazionali e alla mobilità degli attori coinvolti sia utenti che prestatori di servizi; l'altra specifica della decentralizzazione delle condotte e degli oggetti di regolazione. Per quanto riguarda il primo tema, i problemi che si pongono non sono differenti rispetto a quelli afferenti ad altri fenomeni del mondo cyber: forum shopping; limitatezza territoriale dei poteri investigativi e della giurisdizione; concorrenza regolamentare; difficile ricostruzione del disegno criminoso.

Per quanto invece riguarda il secondo dei problemi, le cripto-valute pongono un tema specifico in termini di a-territorialità piuttosto che di transnazionalità: invero, questi strumenti si sostanziano in null'altro che annotazioni contabili su un registro - per l'appunto la catena di blocchi - il quale indica chi ha diritto a trasferire quanto; in tal senso, l'utente più che essere proprietario di determinate criptovalute ha una pretesa rispetto al registro e ai nodi dello stesso di poter ritrasferire un certo numero di coins ad nutum; ora tale registro è per sua natura decentralizzato, con ciò si intende che ogni nodo della rete blockchain possiede una copia di tale registro e partecipa al processo di formazione del consenso per l'aggiunta dei successivi blocchi. In tal senso, le criptovalute esistono contemporaneamente in ogni nodo che compone la blockchain di riferimento, il che vuol dire - nel caso delle criptovalute più comuni che si basano su una blockchain pubblica - in più di un continente contemporaneamente.

Ovviamente, questa caratteristica territoriale impatta direttamente sulla capacità di governance dei regolatori, nonché sulla congruenza delle categorie utilizzate dalla normativa preesistente con la tecnologia attuale. Da ultimo, elemento chiave del rischio cripto è la pseudonimia delle valute virtuali; più nel dettaglio, attesa la libertà e decentralizzazione nel processo di creazione di account, l'identificazione delle parti di una transazione in valute virtuali è difficoltosa; invero, seppur ogni account è ricollegato ad una stringa alfanumerica nota come chiave pubblica, tale chiave non consente di identificare in modo immediato la persona fisica che ne ha il possesso.

Tale caratteristica è accentuata per le c.d. Anonymity Enhanced Cryptocurrencies (AEC), quali Monero o ZCash, le quali utilizzano differenti strumenti per rendere ancor più difficoltosa l'identificazione della chiave pubblica o della catena di transazioni. I primi segnali d'allarme, la risposta legislativa nazionale e la 32372011: prospettive regolatorie. Le criticità fin qui evidenziate sono state oggetto di analisi approfondite da parte dei regolatori nazionali e internazionali. In particolare, nel giugno 2014, in risposta alla nuova minaccia posta dalle valute virtuali e dai loro meccanismi di pagamento, il GAFI ha pubblicato il report "Virtual Currencies: key definitions and potential AML/CFT risks", affrontando per la prima volta a livello globale la tematica, sino a quel momento quasi sconosciuta e successivamente, nel giugno 2015, ha adottato la "Guidance for a risk- based approach to virtual currencies", sottolineando la centralità del concetto di approccio basato sul rischio non solo con riferimento all'effettiva implementazione dei suoi standards ma anche quale essenziale metodologia di analisi delle valute virtuali.

Questo report, oltre ad individuare i rischi posti dalle criptovalute in termini di trasparenza e liceità dei flussi finanziari, ha dettato la linea regolamentare per questo settore, linea che è stata pedissequamente recepita dal legislatore nazionale e comunitario. Segnatamente, il GAFI, con le linee guida del 2015, concentra la propria attenzione sui "punti di intersezione" tra mercato cripto e mercato tradizionale; in tal senso, la regolamentazione delle valute virtuali passa per la regolamentazione di questi punti di intersezione in modo tale da evitare l'inquinamento del mercato legale da parte di fondi illeciti scambiati mediante criptovalute; questa strategia di delimitazione rinuncia espressamente a regolare il mondo delle valute virtuali, semplicemente puntando a salvaguardare il sistema finanziario tradizionale da possibili elementi di instabilità provenienti da tale "mercato parallelo".

A tal proposito, la principale linea guida regolatoria è la sottoposizione dei cambiavalute (exchanger) - purché operino attività di cambio cripto-to-fiat - agli stessi obblighi AML/CFT previsti per le istituzioni finanziarie, nonché ad obblighi di registrazione. A tale linea guida ha dato attuazione il legislatore nazionale il quale, primo in Europa ed in anticipo sul legislatore comunitario, ha inserito nel D.Lgs. n. 90/2017 (che dava attuazione della IV Direttiva) tra gli operatori non finanziari obbligati a svolgere i controlli antiriciclaggio "i prestatori di servizi relativi all'utilizzo di valuta virtuale, limitatamente allo svolgimento dell'attività di conversione di valute virtuali da ovvero in valute aventi corso forzoso".

Tale scelta è stata seguita a stretto giro dal legislatore comunitario il quale l'anno successivo, ha affrontato per la prima volta il tema delle criptovalute con la direttiva (UE) 2018/843 del 30 maggio 2018 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Con la V direttiva, il legislatore europeo ha ampliato la platea dei soggetti obbligati includendo, tra gli altri, i prestatori di servizi di cambio tra valute virtuali e valute aventi corso legale (valute fiat) e i prestatori di servizi di portafoglio digitale custodiale.

Tale ampliamento operato dal legislatore comunitario ai prestatori di servizi di portafoglio, rispetto alle linee guida 2015 del GAFI, segna un primo timido scostamento rispetto alla summenzionata strategia di contenimento. Tuttavia, tale scostamento è parziale in quanto nello stesso momento in cui il legislatore include i prestatori di portafoglio esclude i cambiavalute che effettuino attività cripto-to-cripto; ciò porta ad ipotizzare che più che una cosciente svolta normativa l'estensione sia dovuta alla solo apparente somiglianza tra gestori di portafoglio e banche.

La nuova guidance del GAFI. Platea più ampia, approccio invariato. Il GAFI è tornato ad occuparsi di regolamentazione delle valute virtuali mediante l'aggiornamento delle sue Raccomandazioni pubblicato nel 2018 e la guidance su "virtual asset e virtual asset service providers" del 2019.

Mediante questi due documenti, il GAFI ha fondamentalmente rivoluzionato l'approccio precedentemente adottato con i report del 2014 e 2015. Fulcro di tale rivoluzione è l'estensione della platea di soggetti obbligati i c.d. Virtual Asset Service Providers (VASPs): a norma di questa ultima raccomandazione è sottoposto agli obblighi antiriciclaggio ogni persona fisica o giuridica (non diversamente disciplinata nelle raccomandazioni GAFI) che ponga in essere una o più delle seguenti attività od operazioni per conto di un'altra persona fisica o giuridica: scambio tra valute virtuali e fiat, scambio tra una o più forme di valute virtuali, il trasferimento di valute virtuali, custodia e/o amministrazione di valute virtuali o di strumenti che consentano un controllo di dette valute, nonché l'erogazione di servizi finanziari correlati ad un acquisto e/o vendita da parte di un emittente di valute virtuali.

Elemento chiave, dal punto di vista dell'approccio regolatorio, di tale raccomandazione è, pertanto, l'estensione della platea degli obbligati a soggetti i quali hanno una funzione meramente intra-mercato; tale estensione rappresenta l'abbandono della strategia di contenimento adottata mediante il report del 2015, la quale limitava il controllo ai punti di intersezione tra mercato cripto e mercato fiat e l'estensione della governance antiriciclaggio anche a ciò che accade dentro il mercato delle cripto-valute.

Il D.Lgs. 125/2019, il Legislatore Nazionale nuovamente all'avanguardia. Il D.Lgs. n. 125/2019 ha dato attuazione alla V Direttiva nell'ordinamento nazionale; nel procedimento di trasposizione di tale Direttiva, il legislatore ha colto l'occasione per porsi nuovamente all'avanguardia, rispetto alla traccia comunitaria; in particolare, cogliendo gli stimoli provenienti dal GAFI, la normativa italiana, a differenza di quella comunitaria, ha compiuto una decisa svolta in termini di regolamentazione degli operatori intra-mercato.

Invero, rientrano tra i soggetti obbligati, oltre ai fornitori di portafoglio digitale custodiale, tutti i prestatori di servizi relativi all'utilizzo di valuta virtuale definiti come "ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, anche online, servizi funzionali all'utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all'acquisizione, alla negoziazione o all'intermediazione nello scambio delle medesime valute".

Da questo esaustivo elenco si coglie chiaramente la volontà di sottoporre agli obblighi di registrazione e compliance AML/CFT tutti gli operatori che a qualsiasi titolo operino professionalmente nel mercato delle cripto-valute. I limiti dell'approccio attuale: temporaneità e non specificità della normativa. L'approccio normativo attuale, per come corretto ed espanso dalle ultime linee guida del GAFI, adotta una prospettiva prettamente tradizionale; invero, il filo rosso delle regolamentazioni analizzate è individuare quei soggetti che assomiglino, per struttura o per funzioni, agli intermediari tradizionalmente regolati dalla normativa AML/CFT e imporre su questi ultimi gli stessi obblighi previsti per gli operatori del mercato fiat. Tale approccio è confermato dalle recentissime linee guida del GAFI, le quali semplicemente operano un ampliamento della platea dei soggetti interessati operando un cambio di prospettiva quanto all'ambito ma non al metodo.

Invero, seppur la ricomprensione tra i soggetti obbligati, nelle ultime linee guida, degli operatori che operano esclusivamente internamente al mercato cripto - quali i cambiavalute cripto-to-cripto – segna la fine di quella strategia di delimitazione e contenimento del mercato cripto e contemporaneo approccio hands-off riguardo le vicende intra-mercato che caratterizzava le precedenti normative, la metodologia regolamentare rimane sostanzialmente la stessa. Invero, la normativa, come con le valute tradizionali, si focalizza sulla collaborazione forzosa di quei partecipanti al mercato i quali svolgendo funzione, a vario titolo, di intermediari sono dei collettori di informazioni.

Il regolatore non sembra ritenere, pertanto, che le criptovalute pongano rischi diversi né offrano opportunità ulteriori rispetto alle valute a corso forzoso. Ebbene, questo approccio appare, se si considerano le caratteristiche delle valute virtuali e della tecnologia blockchain, non rispondente alla realtà tecnologica; al riguardo, ragion d'essere delle criptovalute è proprio la liberazione dell'utente dalla tirannia degli intermediari creando un sistema che sostituisca la "fiducia con la prova crittografica"; in questo ecosistema gli intermediari saranno sempre, a differenza delle tradizionali transazioni online, soggetti eventuali e mai necessari.

Tale parzialità della rete normativa è riconosciuta dallo stesso legislatore eurounitario nel considerando 9 della V Direttiva il quale afferma: "l'inclusione dei prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute reali e dei prestatori di servizi di portafoglio digitale non risolve completamente il problema dell'anonimato delle operazioni in valuta virtuale: infatti, poiché gli utenti possono effettuare operazioni anche senza ricorrere a tali prestatori, gran parte dell'ambiente delle valute virtuali rimarrà caratterizzato dall'anonimato".

Si comprende quindi come lasciare il fuoco normativo sugli intermediari non colga nel segno e sia piuttosto frutto di un approccio tradizionalista alla regolamentazione AML/CFT. Invero, data la funzione completamente differente dei prestatori di servizi in ambito di transazioni fiat rispetto alle transazioni cripto, utilizzare un approccio normativo fondamentalmente identico non sembra adeguato.

Tale inadeguatezza è accentuata se si considera la summenzionata natura bifronte delle criptovalute: se dal punto di vista della dimensione soggettiva le criptovalute causano difficoltà in termini di pseudonimia e assumono caratteristiche di rischio simili al contante con l'"aggravante" della circolazione online; dal punto di vista oggettivo, le valute virtuali offrono opportunità in termini di trasparenza che potrebbero avere una portata rivoluzionaria per il sistema di controllo AML/CFT.

In particolare, le transazioni in criptovalute vengono salvate su un registro il quale è pubblico, consequenziale e immodificabile; in tal senso, queste ultime potrebbero risolvere annosi problemi quali il segreto bancario, la cooperazione tra giurisdizioni e, più in generale, l'accessibilità per le autorità investigative ai dati finanziari. Non a caso l'adozione della blockchain è stata proposta in diversi ambiti - dalla sicurezza alimentare alla tassazione internazionale - proprio in chiave antifrode. In quest'ottica, il legislatore piuttosto che continuare a perseguire un approccio soggettivo dovrebbe spostare il proprio focus sulla potenzialità che tale registro blockchain offre e sviluppare soluzioni di controllo le quali sfruttino le potenzialità offerte da questo nuovo strumento in un'ottica di technology rooted legislation.

In altri termini, si potrebbe pensare di spostare il controllo sul registro mediante AI based web crawlers i quali possano identificare pattern di transazioni sospette; a seguito di tale identificazione, le criptovalute associate a quella transazione potrebbero essere bloccate - mediante un sistema di blacklisting - richiedendo al possessore di identificarsi e giustificare la transazione stessa; tale blocco potrebbe essere operato tramite una presunzione - sulla falsariga ti quanto accade in tema di accertamenti tributari - di abusività del pattern di transazioni. Insomma, il legislatore dovrebbe valutare la possibilità di spostare, in tema di valute virtuali, la propria attenzione dall'identificazione dei soggetti all'identificazione delle transazioni, invertendo il processo attuale.

di Marco Letizi Avvocato e Dottore Commercialista. Esperto della Commissione europea e del Consiglio d'Europa. PhD Student in Business Management presso l'Università "La Sapienza" di Roma e Giulio Soana PhD Student in Diritto e Impresa presso LUISS Guido Carli.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più