Antiriciclaggio: guida completa al D.Lgs. 231/2007 e agli adempimenti

La normativa antiriciclaggio è uno di quegli ambiti in cui la differenza tra “fare” e “fare bene” si misura solo nel momento sbagliato: quando arriva l’ispezione, quando il cliente cambia natura, quando un’operazione anomala costringe a riaprire un fascicolo che si era chiuso troppo in fretta. Il D.Lgs. 231/2007, nel testo aggiornato dal D.Lgs. 90/2017 (IV Direttiva) e dal D.Lgs. 125/2019 (V Direttiva), tiene insieme tutto: chi è obbligato, cosa deve fare, come deve documentarlo, per quanto tempo, con quali conseguenze in caso di omissione.

Questa guida riordina i pezzi e rimanda agli approfondimenti operativi pubblicati nel blog. Non sostituisce la lettura del decreto ma offre una mappa concreta per orientarsi: dalla qualifica del soggetto obbligato all’invio della segnalazione all’UIF, passando per i nodi più trascurati — il titolare effettivo, le persone politicamente esposte, la valutazione del rischio fatta davvero, le liste antiterrorismo.

⬇ Scarica la guida in PDF

1. Cos’è la normativa antiriciclaggio: l’impianto del D.Lgs. 231/2007

L’antiriciclaggio è il complesso di regole che impone a determinati soggetti — banche, intermediari finanziari, professionisti, operatori in settori a rischio — di prevenire l’utilizzo del sistema economico per scopi di riciclaggio di denaro e finanziamento del terrorismo. La norma di riferimento in Italia è il D.Lgs. 21 novembre 2007 n. 231, attuativo della III Direttiva europea e successivamente rimaneggiato dal D.Lgs. 90/2017 (IV Direttiva) e dal D.Lgs. 125/2019 (V Direttiva). La VI Direttiva (UE 2018/1673) ha completato il quadro sul piano penale.

L’impianto si regge su quattro pilastri: identificazione del cliente (adeguata verifica), conservazione di dati e documenti per dieci anni, segnalazione all’UIF delle operazioni sospette, controllo costante dell’operatività nel tempo. Un quinto elemento, trasversale, è l’approccio basato sul rischio: non tutti i clienti sono uguali, e l’intensità degli adempimenti deve essere proporzionata al profilo di rischio specifico.

La logica è semplice da enunciare e complicata da applicare: il soggetto obbligato deve conoscere chi ha davanti, capire cosa sta facendo, valutare se qualcosa non torna e, in caso, segnalare all’autorità competente. Il resto — fascicolo, scheda, registri — è la trama documentale che rende ricostruibile questo processo a distanza di anni.

2. Chi è soggetto obbligato

L’articolo 3 del decreto elenca in modo tassativo i soggetti che ricadono negli obblighi antiriciclaggio. Le categorie sono numerose ma raggruppabili in quattro grandi famiglie, ciascuna con regole operative simili nel principio e diverse nell’applicazione concreta.

Intermediari bancari e finanziari (art. 3 comma 2)

È la categoria storica, quella per cui la normativa è nata e su cui pesano gli obblighi più stringenti. Comprende:

• banche italiane e succursali italiane di banche estere;
• Poste Italiane S.p.A. per l’attività di bancoposta;
• istituti di moneta elettronica (IMEL) e istituti di pagamento;
• società di intermediazione mobiliare (SIM);
• società di gestione del risparmio (SGR), SICAV e SICAF;
• imprese di assicurazione operanti nei rami vita;
• agenti di cambio;
• intermediari finanziari iscritti all’albo unico ex art. 106 TUB;
• confidi vigilati dalla Banca d’Italia;
• servicer in operazioni di cartolarizzazione;
• Cassa Depositi e Prestiti;
• società fiduciarie iscritte nell’albo ex art. 106 TUB.

Altri operatori finanziari (art. 3 comma 3)

Soggetti che svolgono attività finanziaria pur non essendo banche o intermediari classici:

• società fiduciarie ex L. 1966/1939 non iscritte nell’albo 106 TUB;
• mediatori creditizi iscritti nell’elenco OAM;
• agenti in attività finanziaria, compresi quelli che prestano servizi di pagamento e cambiavalute;
• istituti di pagamento e IMEL non comunitari operanti in Italia tramite agenti.

Professionisti (art. 3 comma 4)

La categoria che comprende la quasi totalità della clientela “studio”. Vi rientrano:

• dottori commercialisti, esperti contabili e consulenti del lavoro;
• notai e avvocati (con esclusione delle attività di difesa in giudizio);
• revisori legali e società di revisione;
• prestatori di servizi relativi a società e trust;
• chi rende — anche in forma di consulenza — servizi in materia di contabilità e tributi.

Altri operatori non finanziari (art. 3 comma 5)

Settori a rischio individuati dalla normativa:

• agenti immobiliari (mediatori in operazioni di compravendita);
• operatori che esercitano attività di custodia e trasporto di denaro contante;
• compro-oro e operatori in metalli preziosi;
• case d’asta e gallerie d’arte sopra soglia;
• operatori del gioco autorizzati;
• prestatori di servizi relativi all’utilizzo di valuta virtuale e di portafoglio digitale.

Per l’inquadramento operativo dei professionisti — che è il caso d’uso più ricorrente — il riferimento è la guida all’adeguata verifica della clientela, che entra nel dettaglio delle differenze tra le categorie e dei pacchetti documentali richiesti.

3. L’adeguata verifica della clientela

L’adeguata verifica — customer due diligence nella terminologia internazionale — è il processo con cui il soggetto obbligato identifica il cliente, ne verifica l’identità, individua il titolare effettivo, comprende lo scopo del rapporto e ne monitora l’evoluzione nel tempo. Non è un’istantanea iniziale: è un’attività continuativa che accompagna tutta la durata del rapporto e si aggiorna al variare delle circostanze rilevanti.

La normativa prevede tre livelli di intensità — semplificata, ordinaria, rafforzata — da applicare in funzione del rischio specifico associato al cliente e alla prestazione. La verifica rafforzata è obbligatoria per i clienti residenti in Paesi terzi ad alto rischio, per le persone politicamente esposte, per le operazioni a distanza e per le strutture societarie opache.

Un punto che genera spesso confusione è la differenza tra cliente e controparte. Per le banche e i professionisti la controparte non è un cliente: si valutano i suoi dati per misurare il rischio dell’operazione, ma non si raccolgono documenti né si fanno firmare moduli. Per l’agente immobiliare, invece, sia venditore sia acquirente sono clienti a tutti gli effetti, con due fascicoli distinti.

L’approfondimento operativo, con tabelle comparative tra le categorie di soggetti obbligati e i casi più ricorrenti, è in adeguata verifica della clientela: cos’è e come si applica.

4. Persone politicamente esposte (PEP)

Le persone politicamente esposte sono soggetti che, per la carica pubblica ricoperta o per i legami familiari e d’affari con chi la ricopre, presentano un rischio intrinseco più elevato. La definizione dell’art. 1, comma 2, lettera dd del decreto è tassativa e copre — fra gli altri — capi di Stato e di governo, ministri e parlamentari, giudici delle alte corti, ambasciatori, ufficiali di grado elevato, presidenti e amministratori di enti pubblici e società partecipate.

L’estensione che genera più errori riguarda i familiari (coniuge, persona in unione civile o convivenza, figli e loro coniugi, genitori) e i soggetti legati da stretti rapporti (titolari effettivi congiunti di enti, soci d’affari rilevanti, soggetti che fungono da prestanome). Lo status di PEP fa scattare automaticamente la verifica rafforzata e impone l’autorizzazione preventiva di un soggetto in posizione apicale prima di accettare il rapporto.

Lo status non si esaurisce con la fine del mandato: gli obblighi rafforzati permangono per almeno dodici mesi dalla cessazione, prorogabili sulla base di una valutazione motivata del rischio residuo. Anche la “declassificazione” a cliente ordinario va documentata nel fascicolo.

I criteri di classificazione, le tecniche di verifica incrociata sulle banche dati pubbliche e gli errori più frequenti negli studi sono trattati in persone politicamente esposte (PEP): chi sono e come gestirle nell’adeguata verifica.

Per le PEP un aspetto operativo spesso sottovalutato è l’origine del patrimonio e dei fondi: per questi clienti va sempre acquisita e documentata, non solo valutata in base al rischio. Come applicarla in concreto, con la tabella degli obblighi per categoria di soggetto obbligato, è spiegato in origine dei fondi nell’adeguata verifica: obblighi per categoria.

5. La scheda di valutazione del rischio

La scheda di valutazione del rischio è lo strumento operativo che traduce in punteggio l’analisi del cliente e della prestazione. È il documento da cui dipende, nei fatti, il livello di adeguata verifica applicato e la profondità dei controlli successivi: una scheda compilata male non è un dettaglio formale, è un errore che si propaga su tutto il fascicolo.

La logica è quella dell’approccio basato sul rischio imposto dall’art. 17 del decreto. Si valutano fattori inerenti al cliente — natura giuridica, attività svolta, area geografica, comportamento in fase di identificazione, eventuale qualifica di PEP — e fattori inerenti alla prestazione — tipologia, modalità di esecuzione, ammontare, logicità economica. La somma ponderata determina la classe di rischio (basso, medio, alto) e la cadenza degli aggiornamenti.

L’errore più ricorrente è la scheda compilata in modo standardizzato, con punteggi identici per tutti i clienti e motivazioni copincollate. In sede ispettiva è il primo segnale che la valutazione non è stata fatta davvero. Il secondo è il mancato aggiornamento: la scheda firmata cinque anni fa, sullo stesso cliente che nel frattempo ha cambiato compagine sociale, vale come una scheda non fatta.

I criteri di compilazione, gli esempi di punteggio e le griglie di riferimento del CNDCEC sono in scheda di valutazione del rischio antiriciclaggio: come si compila davvero.

6. Il fascicolo antiriciclaggio del cliente

Il fascicolo antiriciclaggio è il dossier che raccoglie, per ogni cliente, l’insieme di documenti e informazioni acquisite in attuazione degli obblighi di adeguata verifica, conservazione e monitoraggio. È la prova documentale che il professionista ha conosciuto il cliente, ne ha valutato il rischio e ha seguito la prestazione nel tempo. Senza fascicolo — o con un fascicolo lacunoso — l’adeguata verifica, sulla carta, non c’è stata.

Il contenuto minimo si articola in quattro blocchi: documenti identificativi (documento d’identità in corso di validità, codice fiscale, visura camerale per le persone giuridiche, eventuali deleghe), informazioni sul titolare effettivo con scheda firmata, scheda di valutazione del rischio datata e motivata, documentazione sulla prestazione e sul monitoraggio nel tempo.

L’aggiornamento è la parte più trascurata. Va eseguito alla scadenza dei documenti, al modificarsi delle circostanze rilevanti (cambio sede, compagine, attività, titolare effettivo) e con periodicità proporzionale al livello di rischio: tipicamente annuale per il rischio alto, triennale per il basso. Una buona prassi è fissare una data fissa annuale per la riesame dell’intero portafoglio clienti.

Per la struttura concreta del fascicolo, le modalità di conservazione cartacea o digitale e gli errori più frequenti rilevati nei controlli ispettivi, il riferimento è fascicolo antiriciclaggio del cliente: cosa contiene e come si tiene aggiornato.

7. Archivio Unico Informatico e conservazione

L’Archivio Unico Informatico (AUI) è stato a lungo il contenitore obbligato delle informazioni antiriciclaggio per banche e intermediari, con tracciati standard e tempi di registrazione stringenti. Con la riforma del 2017 l’impianto è cambiato: gli intermediari bancari e finanziari continuano a tenerlo nella forma tradizionale prevista dalla Banca d’Italia, mentre per i professionisti e gli altri soggetti non finanziari l’obbligo è diventato di conservazione dei dati e dei documenti in forma libera, purché siano garantiti tempestività, integrità, accessibilità e riservatezza.

La conservazione ha durata decennale dalla cessazione del rapporto. Significa che un cliente seguito per vent’anni produce una coda documentale di trent’anni totali: vale la pena pensarci quando si sceglie il supporto, perché il cartaceo a trent’anni è spesso illeggibile o smarrito e il digitale non strutturato rischia di vivere su tecnologie ormai obsolete.

I tempi operativi di registrazione, i contenuti minimi del fascicolo, le tre opzioni pratiche (cartaceo, digitale non strutturato, software dedicato) e gli errori che costano caro sono trattati in Archivio Unico Informatico: cos’è, chi lo tiene e come si gestisce oggi.

8. La Segnalazione di Operazione Sospetta (SOS)

Quando dall’attività di adeguata verifica e di monitoraggio emergono elementi che fanno presumere un’operazione di riciclaggio o di finanziamento del terrorismo, il soggetto obbligato deve trasmettere una Segnalazione di Operazione Sospetta all’UIF (Unità di Informazione Finanziaria presso la Banca d’Italia) attraverso il portale Infostat-UIF. Il canale è uno solo: nessuna comunicazione diretta a Guardia di Finanza o DIA.

La soglia è qualitativa, non quantitativa. L’art. 35 del decreto parla di chi “sa, sospetta o ha motivi ragionevoli per sospettare”: tre livelli di conoscenza, tutti rilevanti. Non esistono importi al di sotto dei quali non si segnala se il sospetto c’è, né importi alti che da soli obblighino a segnalare in assenza di elementi concreti. Conta il giudizio professionale, fondato su fatti circostanziati.

Tre regole non negoziabili: la SOS va inviata senza ritardo e prima dell’esecuzione dell’operazione quando possibile; vige il divieto assoluto di comunicazione al cliente e a terzi (art. 39, sanzionato penalmente); il professionista deve continuare a svolgere la propria attività in modo normale per non insospettire il cliente. L’identità del segnalante è protetta dall’art. 38 e la segnalazione effettuata in buona fede non comporta responsabilità.

Anche le valutazioni che escludono il sospetto vanno conservate: poter mostrare in ispezione che il caso è stato esaminato vale molto più del silenzio. Per la procedura completa, gli indicatori di anomalia UIF e gli errori ricorrenti, si veda segnalazione operazioni sospette (SOS): cosa sapere e come gestirla nello studio.

9. Liste antiterrorismo e sanzioni internazionali

Accanto al rischio di riciclaggio, il soggetto obbligato deve verificare che il cliente — e in determinati casi la controparte e il titolare effettivo — non figuri nelle liste delle sanzioni internazionali e antiterrorismo. È una verifica obbligatoria, da eseguire all’apertura del rapporto e con cadenza periodica successiva, e da documentare nel fascicolo.

Le liste rilevanti per l’operatore italiano sono quattro:

• la lista UE dei soggetti coinvolti in atti terroristici (Posizione comune 2001/931/PESC e regolamenti collegati), riesaminata periodicamente con cadenza semestrale;
• la lista ONU del Consiglio di Sicurezza (Risoluzione 1267 e successive);
• la lista OFAC degli Stati Uniti, rilevante per i rapporti con controparti USA;
• la lista del HM Treasury del Regno Unito, divenuta riferimento autonomo dopo la Brexit.

L’interrogazione manuale è teoricamente possibile ma operativamente fragile: le liste cambiano in continuazione, il name screening richiede gestione delle omonimie e delle traslitterazioni, la documentazione dell’esito deve essere tracciabile e ripetibile in caso di controllo. È uno degli ambiti in cui l’automazione fa la differenza tra un controllo eseguito davvero e uno solo dichiarato.

10. Sanzioni e rischio di non compliance

Il sistema sanzionatorio del D.Lgs. 231/2007 è articolato e prevede sanzioni amministrative pecuniarie, sanzioni accessorie e — per le condotte più gravi — rilievi penali. Senza entrare nel dettaglio dei singoli articoli, vale la pena richiamare gli ordini di grandezza:

• violazioni dell’obbligo di adeguata verifica: sanzione amministrativa pecuniaria di 2.000 euro nei casi ordinari, fino a 50.000 euro nei casi gravi, ripetuti o sistematici;
• violazioni dell’obbligo di conservazione: sanzione amministrativa pecuniaria di 2.000 euro nei casi ordinari, fino a 50.000 euro nei casi più gravi;
• omessa Segnalazione di Operazione Sospetta: sanzione amministrativa pecuniaria dal 10% al 30% dell’importo dell’operazione non segnalata, con un minimo edittale rilevante e aumenti per i casi qualificati;
• violazione del divieto di comunicazione al cliente della SOS effettuata: sanzione penale (reclusione fino a un anno, multa fino a 10.000 euro).

Più che la singola sanzione, il problema è l’effetto a cascata: una conservazione lacunosa mette in discussione l’intero processo di adeguata verifica, una scheda di valutazione standardizzata svuota di contenuto il monitoraggio successivo, un fascicolo non aggiornato costringe a ricostruire a posteriori in fretta. In sede ispettiva i singoli rilievi si sommano, e le difese basate sulla “buona fede” reggono solo se documentate.

11. Errori trasversali che si ripetono

Dall’esperienza con i nostri clienti — e dai pattern ricorrenti nei controlli ispettivi — emergono cinque errori che attraversano tutte le aree dell’antiriciclaggio:

1. Standardizzazione degli output. Schede di valutazione, fascicoli, autorizzazioni interne con testo identico per tutti i clienti. È il segnale più chiaro che il processo è stato eseguito in modo meccanico.
2. Mancato aggiornamento. Documenti scaduti, schede ferme alla data di apertura, monitoraggio assente su rapporti pluriennali.
3. Confusione tra cliente e controparte. Fascicoli aperti su soggetti che non sono clienti o, viceversa, controparti ignorate ai fini della valutazione del rischio.
4. Documentazione del titolare effettivo lacunosa. Dichiarazioni generiche, mancata verifica incrociata sulle visure, assenza di tracciabilità delle modifiche.
5. Assenza di tracce delle valutazioni negative. Casi di mancata segnalazione SOS senza documentazione del ragionamento. In ispezione vale meno il silenzio della valutazione motivata.

Tutti errori che derivano non da malafede, ma da una gestione fatta a tempo perso tra un adempimento fiscale e l’altro. È esattamente il punto in cui un sistema strutturato — meglio se software — fa la differenza tra un fascicolo che regge l’ispezione e uno che apre la strada a contestazioni a catena.

12. In sintesi

L’antiriciclaggio è un processo, non un adempimento. Si articola in identificazione del cliente e del titolare effettivo, valutazione del rischio, conservazione decennale di dati e documenti, monitoraggio continuativo, segnalazione delle operazioni sospette, verifica delle liste antiterrorismo. Le quattro grandi famiglie di soggetti obbligati — intermediari finanziari, altri operatori finanziari, professionisti, altri operatori non finanziari — condividono i principi ma applicano regole operative diverse: i pacchetti documentali, le tempistiche di registrazione, le modalità di monitoraggio cambiano in funzione della categoria. Le sanzioni partono da soglie significative e si aggravano negli effetti a cascata. Una gestione strutturata, possibilmente con strumenti dedicati, non è un lusso: è la differenza tra un controllo che si chiude in poche ore e uno che si trasforma in un’archeologia documentale dall’esito incerto.