Nuovi obblighi,

adeguata
verifica e
adempimenti
antiriciclaggio
dei prestatori di
servizi di
conversione di
valuta virtuale
Ipotesi di lavoro per la configurazione del
relativo servizio per conto dei prestatori dei
servizi di conversione di valuta virtuale

Avv. Giulia Arangena giulia.aranguena@adlpstudio.it

 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

Case study
Nuovi obblighi, adeguata

verifica e adempimenti
Formalizzazione di un
contratto di

antiriciclaggio dei outsourcing&service tra

un Istituto di
prestatori di servizi di Pagamento ed un
Prestatore di Servizi di
conversione di valuta conversione di Valuta

virtuale Virtuale. Per la

ideazione della
struttura di contratto e
Ipotesi di lavoro per la configurazione del relativo servizio
lindividuazione dei
per conto dei prestatori dei servizi di conversione di valuta
contenuti, si reso
virtuale
necessario svolgere uno
Glossario e riferimenti normativi un approfondimento
generale alla luce dei

Prestatore/i di Servizi: il soggetto che offre servizi recenti sviluppi della

relativi all'utilizzo di valuta virtuale, limitatamente allo disciplina
svolgimento dell'attivit di conversione di valute antiriciclaggio, allo
virtuali da ovvero in valute aventi corso forzoso. scopo di individuare
quali adempimenti
Valuta Virtuale: la rappresentazione digitale di possono essere fatti
valore, non emessa da una banca centrale o da oggetto di
un'autorit pubblica, non necessariamente esternalizzazione.
collegata a una valuta avente corso legale,
utilizzata come mezzo di scambio per l'acquisto di
beni e servizi e trasferita, archiviata e negoziata
elettronicamente.1
Decreto: il D.Lgs. 21 novembre 2007 n. 231 "Attuazione della direttiva
2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a

1La definizione di valuta virtuale stata introdotta nel nostro ordinamento dal D.Lgs. 25 maggio 2017, n. 90.
Tuttavia, si segnala che essa stata mutuata dallAutorit Bancaria Europea, che ha definito le valute virtuali
come rappresentazioni digitali di valore che non sono emesse da una banca centrale o autorit pubblica n
1
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

scopo di riciclaggio dei proventi di attivit criminose e di finanziamento del

terrorismo nonch della direttiva 2006/70/CE che ne reca misure di esecuzione,
con testo in vigore dal 4 luglio 2017.
Decreto di Riforma: il D.Lgs. 25 maggio 2017, n. 90 di Attuazione della direttiva
(UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a scopo di
riciclaggio dei proventi di attivit criminose e di finanziamento del terrorismo e
recante modifica delle direttive 2005/60/CE e 2006/70/CE e attuazione del
regolamento (UE) n. 2015/847 riguardante i dati informativi che accompagnano
i trasferimenti di fondi e che abroga il regolamento (CE) n. 1781/2006.
Provvedimento ADV: il provvedimento della Banca dItalia del 3 aprile 2013
recante disposizioni attuative in materia di adeguata verifica della clientela, e
ss.mm., in vigore fino al 31 marzo 2018.
Provvedimento per lOrganizzazione Interna: il provvedimento della Banca
dItalia del 10 marzo 2011, recante disposizioni attuative in materia di
organizzazione, procedure e controlli interni per evitare il coinvolgimento degli
intermediari finanziari in fenomeni di riciclaggio e di finanziamento del terrorismo,
e ss.mm., in vigore fino al 31 marzo 2018.
Provvedimento AUI: il provvedimento Banca dItalia del 3 aprile 2013, recante
disposizioni attuative perla tenuta dellArchivio Unico Informatico (di seguito,
AUI) e per le modalit semplificate di registrazione di cui allart. 37, commi 7 e 8
del Decreto, e ss.mm., in vigore fino al 31 marzo 2018.

Premessa operativa
Con lattuazione della direttiva (UE) n. 2015/849 (c.d. IV Direttiva Antiriciclaggio)
attraverso il Decreto Legislativo 25 maggio 2017, n. 90, entrato in vigore il 4 luglio
2017, il Decreto stato riformato e novellato in pi punti.

sono necessariamente collegate a una valuta avente corso legale, ma che vengono utilizzate da una persona
fisica o giuridica come mezzo di scambio e che possono essere trasferite, archiviate e negoziate
elettronicamente (cfr. EBA - Opinion on Virtual Currencies del 4 luglio 2014, consultabile allindirizzo:
http://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08+Opinion+on+Virtual+Currencies.pdf). Si
ritiene comunque preferibile la formulazione che ne ha dato la Banca dItalia il 30.1.2015 nellAvvertenza
sullutilizzo delle cosiddette valute virtuali (cfr: https://www.bancaditalia.it/compiti/vigilanza/avvisi-
pub/avvertenza-valute-virtuali/AVVERTENZA_VALUTE_VIRTUALI.pdf), che ha definito le valute virtuali
come rappresentazioni digitali di valore, utilizzate come mezzo di scambio o detenute a scopo di investimento, che
possono essere trasferite, archiviate e negoziate elettronicamente, in quanto il riferimento alla finalit di
investimento appare pi aderente alla realt ed allutilizzo corrente di molte delle valute virtuali in
circolazione, specie del Bitcoin.
2
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

Tra le novit pi rilevanti, c lesplicita previsione, tra i soggetti destinatari degli

obblighi antiriciclaggio, della categoria degli altri operatori non finanziari.2 In tale
categoria, in virt del nuovo art. 3, comma 5, lett. i) del Decreto, rientrano ora
anche i Prestatori di Servizi relativi all'utilizzo di Valuta Virtuale, limitatamente allo
svolgimento dell'attivit di conversione di Valute Virtuali da ovvero in valute
aventi corso forzoso.3

1. Nuovi obblighi per i Prestatori dei Servizi di conversione di

Valuta Virtuale

1.1. Obblighi generali

Tra gli obblighi previsti dal Decreto di Riforma a carico dei Prestatori di Servizi
figurano sia obblighi specifici strettamente attinenti agli adempimenti
antiriciclaggio, sia obblighi di carattere pi generale e di carattere fiscale.

Tra gli obblighi di carattere generale, il Decreto di Riforma, con lart. 8

modificando la disciplina di cui al D.Lgs. 13 agosto 2010, n. 141 sui servizi di
pagamento vi ha previsto linserimento, allart. 17 bis, dei nuovi commi 8 e 8 bis,
nonch linserimento del comma 5 bis allart. 30 ter, in virt dei quali, ora, i
Prestatori di Servizi di conversione di Valuta Virtuale sono tenuti:

(i) ad iscriversi in una sezione speciale del registro tenuto dallOAM

(lOrganismo competente per la gestione degli elenchi degli Agenti in
attivit finanziaria e dei Mediatori creditizi);4

2In tale categoria sono stati inclusi anche: a) i prestatori di servizi relativi a societ e trust; b) i soggetti che esercitano
attivit di commercio di cose antiche; c) i soggetti che esercitano l'attivit di case d'asta o galleria d'arte; d) gli operatori
professionali in oro; e) gli agenti in affari che svolgono attivit in mediazione immobiliare in presenza dell'iscrizione al
Registro delle imprese; f) i soggetti che esercitano l'attivit di custodia e trasporto di denaro contante e di titoli o valori a
mezzo di guardie particolari giurate; g) i soggetti che esercitano attivit di mediazione civile; h) i soggetti che svolgono
attivit di recupero stragiudiziale dei crediti per conto di terzi.
3 Il legislatore italiano, con il Decreto di Riforma, adottato in attuazione della IV Direttiva Antiriciclaggio, ha anticipato le
linee di sviluppo del diritto europeo che, nel prevedere degli emendamenti al testo della IV Direttiva, ha consolidato, nel
dicembre del 2016, un testo di proposta di una nuova direttiva (c.d. V Direttiva Antiriciclaggio), nel quale sono confluite la
definizione di moneta virtuale, e linclusione, tra i soggetti obbligati, dei providers of exchange services between virtual
currencies and fiat currencies e dei fornitori di servizi di portafoglio digitale i cc.dd. wallet provider che offrono servizi
di custodia delle credenziali necessarie per accedere alle valute virtuali.
4I Prestatori di Servizi di conversione di Valuta Virtuale, grazie allinserimento dei nuovi commi 8 e 8 bis allart. 17 bis del
D.Lgs. n. 141/2010, a seguito del Decreto di Riforma, sembrano essere stati equiparati ai cambiavalute, con non poche
implicazioni di ordine pratico. Infatti, fatto salvo il regime applicativo, ad oggi del tutto mancante, una delle conseguenze
di tale equiparazione potrebbe comportare la libert di forma giuridica per lesercizio dellattivit economica peri
Prestatori di Servizi, dato che i cambiavalute possono svolgere la loro attivit anche senza la costituzione di una societ di
capitali. Ci deriva dal mutato regime a cui sono stati sottoposti i cambiavalute, che, nel corso degli anni, sono passati dal
3
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

(ii) a comunicare al Ministero dellEconomia linizio delloperativit sul

territorio nazionale, secondo modalit e la tempistica da fissarsi con
successivo decreto;
(iii) ad aderire al sistema pubblico anti-frode sulle carte presso il Ministero
dellEconomia.

1.2. Obblighi di carattere fiscale

Il Decreto di Riforma ha apportato modifiche anche alla disciplina sul
monitoraggio fiscale (ex Decreto Legge n.167/1990, convertito in Legge 4
agosto 1990, n. 227).

Al riguardo, le modifiche in vigore dal 4 luglio 2017, sono contenute nellart. 8,

comma 7 del Decreto di Riforma ed obbligano il Prestatore di Servizi a
comunicare allAgenzia delle Entrate i dati analitici delle le operazioni da e
verso lestero di importo pari o superiore a 15.000 euro, costituenti ununica
operazione o pi operazioni che appaiano collegate per realizzare
unoperazione frazionata, effettuate anche in Valuta Virtuale.

Pertanto, il Prestatore di Servizi ha lobbligo di comunicare i trasferimenti, pari o

superiori a 15.000 euro, eseguiti anche per conto di soggetti non residenti, alla
sola condizione che il flusso provenga o sia destinato allestero.

1.3. Obblighi specifici

Il Decreto di Riforma ha esteso ai Prestatori dei Servizi le prescrizioni in tema di
antiriciclaggio.

contesto della normativa valutaria a quello degli intermediari finanziari, e da questo ad un nuovo e diverso perimetro di
regolamentazione a seguito della riforma strutturale del credito avvenuta a partire dal 2010, (cfr D.Lgs. n. 141/2010).
Attualmente, il mestiere del cambiavalute risulta liberalizzato, seppure non del tutto svincolato dagli obblighi di legge
tanto per lesercizio dellattivit, quanto per losservanza di taluni accorgimenti, ad esempio, in tema di rapporti con il
pubblico, atteso che i cambiavalute sono tenuti ad osservare gli obblighi di trasparenza bancaria nei loro contratti con la
clientela. Tale nuovo regime, dal punto di vista dei requisiti soggettivi, sembra imporre, dal punto di vista generale, il solo
obbligo di iscrizione allelenco tenuto dallOAM, nonch stante il riferimento nelle disposizioni transitorie e finali del
D.Lgs. n. 141/2010 (come integrato dal D.Lgs. 19.9.2012 n. 169) agli articoli 11 e 115 T.u.l.p.s. (Testo Unico delle Leggi di
Pubblica Sicurezza), lobbligo di esercitare lattivit di cambiavalute solo dietro il rilascio di una licenza di commercio da
parte del Questore. Ma a tale ultimo proposito, si segnala che la Circolare del Ministero dellInterno del maggio del 2015
(https://www.indicenormativa.it/sites/default/files/circolare%20Ministero%20dell%27Interno%20cambiavalute%20115TUL
PS.PDF) ha escluso lobbligo di richiedere la licenza per intraprendere lattivit di cambiavalute, potendosi dar luogo ad
una semplice comunicazione.
4
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

Tali soggetti - ancorch non vi siano ancora le nuove disposizioni e siano

applicabili, fino al 31 marzo del 2018,5 le norme di secondo livello gi in vigore -
a partire dal 4 luglio del 2017, sono tenuti ad osservare:

- lobbligo di identificazione del cliente e del c.d. titolare effettivo;

- lobbligo di adeguata verifica del cliente e del titolare effettivo;
- lobbligo di conservazione dei dati relativi al cliente e alloperazione;
- lobbligo di astenersi dalleffettuare loperazione in presenza di
impossibilit di effettuare ladeguata verifica del cliente o del titolare
effettivo;
- lobbligo segnalazione allUnit di Informazione Finanziaria (UIF) presso la
Banca di Italia, in caso di operazioni sospette (c.d. SOS);
- lobbligo di formazione del personale e dei collaboratori;
- lobbligo di segnalare al Ministero dellEconomia i trasferimenti di denaro
contante effettuati a qualsiasi titolo per importi pari o superiori a 3.000;
- lobbligo di adottare presidi e procedure interne, al fine di mitigare e
gestire i rischi di riciclaggio e di finanziamento del terrorismo.

1.4. Sintesi degli obblighi a carico del Prestatore dei Servizi e regime di
esecuzione
Quasi tutti gli obblighi sopra menzionati, tranne quelli di carattere generale,
afferenti ai requisiti soggettivi del Prestatore di Servizi per lo svolgimento
dellattivit, sono eseguibili anche mediante il ricorso alle prestazioni di un
soggetto terzo attraverso la stipula di un apposito contratto di appalto di servizi
e/o di esternalizzazione, c.d. outsourcing.6

Di seguito, si elencano schematicamente tutti i predetti obblighi con la

marcatura in rosso di quelli non delegabili ad altri soggetti.

Obblighi generali Obblighi antiriciclaggio Obblighi monitoraggio

iscrizione in una sezione
speciale del registro tenuto
dallOAM
fiscale
identificazione del cliente e trasmissione all'Agenzia delle
titolare effettivo Entrate i dati assunti durante
adeguata verifica del cliente e ladeguata verifica per
del titolare effettivo
operazioni di trasferimento da e
conservazione dei dati relativi al
verso lestero di importo pari o
cliente e alloperazione

5Ai sensi dellart. 9, comma 1, del Decreto di Riforma, Le disposizioni emanate dalle autorit di vigilanza di settore, ai sensi di
norme abrogate o sostituite per effetto del presente decreto, continuano a trovare applicazione fino al 31 marzo 2018.
6Con tali contratti le imprese riescono ad affidarsi a un soggetto esterno delegandogli il compito di occuparsi di un
servizio o di un processo produttivo.

5
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

comunicazione al Ministero astensione dalloperazione in uguale ad 15.000 effettuato

dellEconomia dellinizio presenza di impossibilit di anche in valuta virtuale
delloperativit secondo adeguata verifica
segnalazione allUIF, in caso di
modalit e tempistica da fissarsi evidenza delle operazioni
operazioni sospette
con successivo decreto intercorse con l'estero anche
formazione del personale e dei
collaboratori per masse di contribuenti e con
adesione al sistema pubblico segnalazione al Ministero riferimento ad uno specifico
anti-frode sulle carte, istituito dellEconomia dei trasferimenti di periodo temporale
presso il Ministero denaro contante per importi pari o
dellEconomia superiori a 3.000 indicano, con riferimento a
adozione di presidi e procedure specifiche operazioni con
interne, al fine di mitigare e gestire l'estero o rapporti ad esse
i rischi di riciclaggio e di
collegate, l'identit dei titolari
finanziamento del terrorismo.
effettivi

2. Obbligo di adeguata verifica

Il contenuto dellobbligo di adeguata verifica disciplinato dagli artt. 17, 18 e 19
del Decreto. Tali disposizioni prescrivono di: (i) identificare il cliente e verificarne
l'identit sulla base di documenti, dati o informazioni ottenuti da una fonte
affidabile e indipendente; (ii) identificare l'eventuale titolare effettivo,7 e
verificarne l'identit; (iii) ottenere informazioni sullo scopo e sulla natura del
rapporto continuativo o della prestazione professionale; e (iv) svolgere un
controllo costante nel corso del rapporto.

Il Prestatore di Servizi deve fare ladeguata verifica:

a) in occasione dell'instaurazione di un rapporto continuativo;8

b) all'esecuzione di un'operazione occasionale che comporti la trasmissione o
la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000
euro, indipendentemente dal fatto che sia effettuata con una operazione
unica o con pi operazioni che appaiono collegate per realizzare
un'operazione frazionata;
ovvero, in ogni caso, al di l del limite suddetto:

7Secondo la normativa, il titolare effettivo la persona fisica per conto della quale realizzata un'operazione o un'attivit,
ovvero, nel caso di entit giuridica, la persona o le persone fisiche che, in ultima istanza, possiedono o controllano tale
entit, ovvero ne risultano beneficiari.
8La definizione di rapporto continuativo contenuta nel Provvedimento ADV che richiama anche, per maggiore
dettaglio, lart. 3 del Provvedimento AUI. Il rapporto continuativo un rapporto contrattuale di durata rientrante
nellesercizio dellattivit istituzionale dei soggetti obbligati, che possa dare luogo a pi operazioni di trasferimento o
movimentazione di mezzi di pagamento e che non si esaurisce in una sola operazione; di talch, data loperativit di un
Prestatore di Servizi di conversione di Valuta Virtuale generalmente offerta agli utilizzatori attraverso piattaforme
Internet che comportano lapertura e la registrazione di account ogni registrazione di un utente corrisponde allapertura
di un rapporto potenzialmente di durata.

6
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

c) quando vi sospetto di riciclaggio o di finanziamento del terrorismo,

indipendentemente da qualsiasi deroga, esenzione o soglia applicabile; e
d) quando vi sono dubbi sulla veridicit o sull'adeguatezza dei dati ottenuti
precedentemente ai fini dell'identificazione.

Sul dettaglio dello svolgimento delladeguata verifica ordinaria, semplificata e

rafforzata, nonch dellastensione dal compimento delle operazioni, si rimanda
al Provvedimento ADV in attesa della promulgazione di una nuova disciplina
regolatoria.9

2.1. Modalit esecutive delladeguata verifica attraverso un terzo

Gli obblighi di adeguata verifica a carico dei Prestatori di Servizio (e degli altri
soggetti obbligati), ai sensi dellart. 26 del Decreto, possono essere eseguiti
ricorrendo a terzi.

Il ricorso alle prestazioni di un terzo pu avvenire, alternativamente, attraverso

lutilizzo delladeguata verifica gi svolta da parte di altri soggetti qualificati (art.
da 26 a 29 del Decreto), o attraverso lesternalizzazione (art. 30 del Decreto).

Nel primo caso, si considerano per legge terzi qualificati al compimento degli
obblighi per conto del Prestatori di Servizi gli intermediari bancari e finanziari
qualificati, tra cui rientrano anche gli istituti di pagamento o gli istituti di moneta
elettronica.

In tale ipotesi, per, il ricorso alle prestazioni del terzo, ai sensi dellart. 26 del
Decreto e del Provvedimento ADV, non riguarda tutte le fasi delladeguata
verifica, perch debbono restare in capo al soggetto obbligato, comunque
responsabile, il controllo costante delloperativit del cliente, nonch la verifica
delle informazioni e dei documenti resi disponibili dallintermediario terzo. Infatti,
potendosi assolvere gli obblighi di adeguata verifica, previo rilascio di idonea
attestazione da parte del terzo che abbia provveduto ad adempiervi

9Data la complessit delle operazioni effettuate dal Prestatore di Servizi attraverso lutilizzo di Valuta Virtuale, si ritiene
che vi sia la presenza di pi di un indice di rischiosit per come indicati dallart. 24 del Decreto. Pertanto, pare opportuno
evidenziare che lobbligo di adeguata verifica a cui tenuto tale soggetto possa essere richiesto in linea di massima
attraverso lassolvimento di modalit rafforzate. Infatti, loperativit concreta di un Prestatore di Servizi quasi sempre
unoperativit a distanza (prevista dal Provvedimento ADV quale principale fattore di rischio), che richiede una specifica
attenzione - in considerazione dellassenza di un contatto diretto sia con il cliente che con i soggetti eventualmente
incaricati -, ed implica quasi sempre la presenza di diversi fattori di rischio come, ad esempio, lutilizzo di prodotti e il
compimento di operazioni che possono favorire lanonimato (art. 24, comma 2, lett. b, n. 2, Decreto), ovvero di prodotti e
pratiche commerciali di nuova generazione, compresi i meccanismi innovativi di distribuzione e l'uso di tecnologie innovative (art.
24, comma 2, lett. b, n. 5 Decreto).

7
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

direttamente,10 il Prestatore di Servizi, ai sensi dellart. 28 del Decreto, deve

comunque:

1) valutare se gli elementi raccolti e le verifiche effettuate dai soggetti terzi

siano idonei e sufficienti ai fini dellassolvimento degli obblighi previsti dalla
legge; e
2) verificare, nei limiti della diligenza professionale, la veridicit dei
documenti ricevuti, e, in caso di dubbio sull'identit del cliente,
dell'esecutore e del titolare effettivo, provvedere, in proprio a compierne
l'identificazione e ad adempiere, in via diretta, agli obblighi di adeguata
verifica.11

Tali limitazioni, ai sensi dellart. 30 del Decreto, non sono applicabili nel caso in
cui il regime esecutivo degli obblighi avvenga tramite esternalizzazione, sulla cui
base possono essere contrattualmente terziarizzate e delegate tutte le fasi
delladeguata verifica ad un soggetto diverso dal Prestatore di Servizi.

In caso di outsourcing, come chiarito dalla Comunicazione di Banca dItalia del

30 marzo 2012: "Esternalizzazione degli adempimenti antiriciclaggio: obblighi per
gli operatori", il terzo delegato deve essere dotato di idonei requisiti tecnici e
professionali la cui permanenza va periodicamente verificata dal soggetto
obbligato.

Inoltre, i soggetti obbligati, anche in caso di esternalizzazione debbono

mantenere la conoscenza e il controllo sulloperativit e sul processo
esternalizzato di cui conservano la piena responsabilit.12 Il che implica - come

10Lattestazione, secondo il Provvedimento ADV ancora in vigore sino al 31 marzo del 2018, deve confermare il corretto
adempimento degli obblighi antiriciclaggio da parte del terzo attestante, in relazione alle varie attivit effettuate. Il
contenuto dellattestazione pu variare a seconda dello specifico obbligo di adeguata verifica cui essa diretta; in base a
tale criterio, essa deve contenere: a) i dati identificativi del cliente, dellesecutore e del titolare effettivo ai fini
delladempimento dellobbligo di identificazione; b) lindicazione delle tipologie delle fonti utilizzate per laccertamento e
per la verifica dellidentit; c) le informazioni sulla natura e sullo scopo del rapporto da aprire e delloperazione
occasionale da eseguire ai fini delladempimento del relativo obbligo.
11Inoltre, secondo il Provvedimento ADV ancora in vigore fino al 31 marzo 2018, nellambito delle modalit di raccolta e
scambio delle informazioni con i terzi, lintermediario responsabile deve: definire le fasi delladeguata verifica demandate
ai terzi, individuare i dati e le informazioni che necessario siano trasmesse dai terzi e le modalit e la tempistica della
trasmissione; predisporre strumenti, in formato cartaceo o elettronico, per lo scambio tempestivo dei flussi informativi;
verificare, nei limiti della diligenza professionale, la veridicit dei documenti ricevuti e la correttezza e attendibilit delle
informazioni desunte dagli stessi; acquisire, ove necessario, informazioni supplementari, dai terzi stessi, dal cliente ovvero
da altre fonti.
12In conformit con il Provvedimento per lOrganizzazione Interna ancora in vigore fino al 31 marzo 2018, tra i presidi
interni che il soggetto obbligato deve realizzare, in caso di terziarizzazione, vi lindividuazione di referente interno che
8
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

precisato nella predetta Comunicazione - la chiara e appropriata definizione, in

sede contrattuale tra il Prestatore di Servizi ed il soggetto terzo: (i) dei servizi
esternalizzati; (ii) delle modalit di svolgimento; (iii) degli standard di qualit; (iv)
dei livelli di servizio assicurati in caso di emergenza nonch delle soluzioni da
adottare per garantire la continuit del servizio reso; (v) degli obblighi a carico
delloutsourcer per assicurare una ordinata transizione nei casi di conclusione
del rapporto; (vi) del monitoraggio delloperato delloutsourcer; (vii)
delladozione di interventi adeguati in caso di livelli insoddisfacenti delle
prestazioni rese, ivi compresa lapplicazione di misure pecuniarie (es. penali) e la
risoluzione del rapporto con loutsourcer e(viii) delle conseguenze in caso di
inadempimento.

3. Obblighi di conservazione
Tra le novit del Decreto di Riforma, una di particolare rilievo riguarda la
cancellazione dellobbligo di registrazione dei dati successiva alladeguata
verifica della clientela; e, quindi, labolizione dellobbligo di tenuta dellarchivio
unico antiriciclaggio (c.d. AUI).

Dal 4 luglio 2017, infatti, in linea generale, sufficiente una semplice

conservazione dei dati e dei documenti acquisiti durante ladeguata verifica,
sia in formato cartaceo che informatico.

Tuttavia, se a livello formale risulta tale abolizione, a ben vedere, anche a

seguito delle nuove norme, ladozione e lutilizzo di un archivio informatico a
supporto delle attivit e procedure antiriciclaggio sono ancora esigibili, almeno
sul piano strettamente pratico.

Gli artt. da 31 a 34 del Decreto prevede una serie complessa di obblighi che, da
un punto di vista pratico, non possono essere assolti senza lausilio di un archivio
informatico, posto che sono stabiliti:

- lobbligo di conservazione delle informazioni per un minimo di 10 anni;

- lobbligo di indicare: (i) la data di instaurazione del rapporto continuativo
o del conferimento dell'incarico; (ii) i dati identificativi del cliente, del
titolare effettivo e dell'esecutore e le informazioni sullo scopo e la natura
del rapporto o della prestazione; (iii) la data, l'importo e la causale
dell'operazione; (iv) i mezzi di pagamento utilizzati;

operi in stretto coordinamento funzionale con loutsourcer, verificando le modalit di svolgimento del servizio
esternalizzato.

9
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

- lobbligo di rendere noti i soggetti legittimati ad alimentare il sistema di

conservazione e accedere ai dati e alle informazioni ivi conservati;
- lobbligo di assicurare: (i) l'accessibilit completa e tempestiva ai dati e
alle informazioni da parte delle Autorit; (ii) la tempestiva acquisizione, da
parte del soggetto obbligato, dei documenti, dei dati e delle informazioni,
con indicazione della relativa data (entro 30 giorni decorrenti:
dall'instaurazione del rapporto continuativo o dal conferimento
dell'incarico; dall'esecuzione dell'operazione o della prestazione
professionale; dalla variazione e dalla chiusura del rapporto continuativo o
della prestazione professionale); (iii) l'integrit dei dati e delle informazioni
e la non alterabilit dei medesimi successivamente alla loro acquisizione;
(iv) la trasparenza, la completezza e la chiarezza dei dati e delle
informazioni nonch il mantenimento della storicit dei medesimi;
- lobbligo di trasmissione dei dati aggregati, c.d. SARA (previsto solo per
banche e operatori finanziari).

Inoltre, se vero che stato formalmente eliminato lobbligo di tenuta dellAUI,

tuttavia, da un lato, sono state inasprite le sanzioni,13 e, dallaltro, risultano
identici, rispetto al passato, sia gli obblighi antiriciclaggio con riguardo al
contenuto delle informazioni da acquisire o trasmettere, sia le finalit della
conservazione dei dati, atteso che i destinatari devono comunque assicurare:

1. lordine cronologico delle registrazioni;

2. linalterabilit delle registrazioni;
3. lacquisizione di informazioni relative al cliente, al titolare effettivo, alla
prestazione professionale resa;
4. la conservazione dei dati registrati;
5. la comunicazione delle informazioni e dei dati aggregati (solo per
banche e intermediari finanziari).

Pertanto, non coerente, n concretamente ipotizzabile che labolizione di un

obbligo formale come la tenuta di un registro informatico e il suo popolamento
con i dati e delle informazioni della clientela possa attuarsi dal punto di vista
pratico, poich esso rappresenta un presidio sostanziale ed uno strumento
operativo necessario.

13Il nuovo testo dellarticolo 57 del Decreto prevede che la violazione di tali norme comporti una sanzione amministrativa
pecuniaria pari a 2.000 mentre, nel caso di violazioni gravi, ripetute o sistematiche ovvero plurime, la sanzione
amministrativa pecuniaria pu arrivare fino a 50.000.

10
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

3.1. Modalit esecutive degli obblighi di conservazione attraverso un terzo

Ai sensi dellart. 32, comma 3, del Decreto, i soggetti obbligati possono avvalersi,
per la conservazione dei documenti, dei dati e delle informazioni, di un
autonomo centro di servizi, purch sia assicurato loro laccesso diretto e
immediato allarchivio stesso e ferme restando le responsabilit previste dalla
legge (Provvedimento AUI, art. 12, comma 2).14

Inoltre, nel caso in cui gli obblighi di registrazione, comunque sempre

concretamente applicabili, e gli obblighi di conservazione vengano adempiuti
attraverso un mandato verso un soggetto terzo, diverso da un centro servizi,
lincarico conferito ad altro destinatario, come stabilito dal Provvedimento AUI
allart. 12, comma 2, deve essere svolto in modo che sia assicurata lunit
logica dellarchivio, la sua separatezza da altri archivi tenuti dal medesimo
soggetto, anche avvalendosi dei medesimi supporti hardware.

Infine, poich nellassolvimento degli obblighi di conservazione dei documenti,

dei dati e delle informazioni occorre garantire il rispetto delle norme dettate dal
codice in materia di protezione dei dati personali, nonch il trattamento dei
medesimi esclusivamente per le finalit relative allantiriciclaggio, in caso di
ricorso alle prestazioni di un terzo per gli adempimenti AUI, occorre individuare il
ruolo assunto da tale soggetto rispetto al trattamento dei dati personali dei
clienti del Prestatore di Servizi.

Al riguardo il parere dellAutorit garante per la protezione dei dati personali,

reso con provvedimento n. 125 del 9.3.2017,15 chiarisce (al par. 5.2.) che il terzo
delegato al compimento degli obblighi AUI sia preventivamente designato
quale responsabile del trattamento ai sensi dell'art. 29 del codice privacy che
individua la figura del c.d. responsabile esterno del trattamento.

Tutti i predetti elementi che debbono caratterizzare il rapporto di

esternalizzazione possono e debbono confluire nel contratto di outsourcing tra il

14E doveroso puntualizzare, con riferimento espresso al regime giuridico dei cambiavalute a cui il Decreto di Riforma ha
equiparato i Prestatori dei Servizi di conversione di Valuta Virtuale prevedendone liscrizione in unapposita sezione
speciale dellelenco dei cambiavalute tenuto dallOAM che il Decreto del Ministero dellEconomia e delle Finanze del 2
aprile del 2015 stabilisce, allart. 4, che lOAM stesso ha il ruolo di autonomo centro servizi attraverso i servizi informatici
di archiviazione presenti nellarea privata del suo portale. E ci in conseguenza del fatto che i cambiavalute, tenuti alla
registrazione nel sito dellOAM ed alliscrizione allelenco da questo tenuto sono obbligati a trasmettere i flussi mensili di
dati relativi alle operazioni compiute. Tale obbligo, che ha carattere puramente amministrativo, per i cambiavalute pu
equipararsi allinvio dei dati aggregati (c.d. flusso SARA), a cui sono tenuti gli altri intermediari finanziari nei confronti
dellUIF.
15 Cfr http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6124534.

11
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

Prestatore di Servizi ed un soggetto terzo che, come detto relativamente agli

obblighi di adeguata verifica, deve obbligatoriamente presentare altres i
contenuti fissati dalla Comunicazione della Banca dItalia del 30 marzo 2012 gi
innanzi menzionata ed alla quale si rinvia.

4. Obblighi di segnalazione
Ai sensi dellart. 35 del Decreto, i soggetti obbligati sono tenuti ad inoltrare,
prima del compimento di una operazione, una segnalazione alla UIF quando
sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso
o che siano state compiute o tentate operazioni di riciclaggio o di
finanziamento del terrorismo.

Inoltre, lart. 35 del Decreto detta, al comma 1, alcuni presupposti oggettivi in

presenza dei quali scatta lobbligo di segnalazione.16 Mentre, nello svolgimento
degli obblighi di segnalazione, ai fini dellindividuazione delle operazioni sospette
e nell'indicazione dei motivi del sospetto, deve aversi particolare riguardo al
contenuto delle: i) Istruzioni operative per lindividuazione di operazioni
sospette, dettate unitamente agli indicatori di anomalia - col Provvedimento
della Banca dItalia il 24 agosto 2010; nonch ii) a quanto stabilito dal
Provvedimento della Banca dItalia del 4 maggio 201, recante istruzioni sui dati e
le informazioni da inserire nelle segnalazioni di operazioni sospette; entrambi in
vigore fino al 31 marzo 2018 in attesa della promulgazione di una nuova
disciplina regolatoria.

4.1. Modalit esecutive degli obblighi di segnalazione attraverso un terzo

Il vecchio art. 42 del Decreto conteneva lindicazione del soggetto investito dei
compiti di segnalazione delle operazioni sospette. Questo era chiaramente
individuato nel legale rappresentante dellimpresa (o titolare dellattivit) ovvero
in un suo delegato.

Sulla base di tale dato normativo anteriforma, il Provvedimento per

lOrganizzazione Interna, specificando il ruolo del terzo delegato, stabilisce che
la persona nominata delegato deve essere in possesso di adeguati requisiti di

16Talch, considerata "operazione" sia una singola transazione sia un insieme di transazioni che appaiano tra loro
funzionalmente ed economicamente collegate. Nel corso della normale operativit, dovranno essere oggetto di
segnalazione le operazioni che per caratteristica, entit, natura, o per qualsivoglia altra circostanza conosciuta, a ragione
delle funzioni esercitate, tenuto conto anche della capacit economica e dellattivit svolta dal soggetto cui riferita,
inducano a ritenere, in base agli elementi a disposizione, che le utilit oggetto delle operazioni medesime possano
prevenire da attivit criminosa.
12
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

indipendenza, autorevolezza e professionalit. Il delegato non deve avere

responsabilit dirette in aree operative n deve essere gerarchicamente
dipendente da soggetti di dette aree. Il ruolo e le responsabilit del delegato
ovvero del titolare dellattivit/legale rappresentante devono essere
adeguatamente formalizzati e resi pubblici allinterno della struttura. La delega
per la valutazione e la trasmissione delle segnalazioni pervenute (ex art. 42,
comma 4, D. Lgs. n. 231/2007) pu essere attribuita al responsabile
antiriciclaggio. La delega non pu essere conferita al responsabile della funzione
di revisione interna n a soggetti esterni allimpresa.

Pertanto, n la valutazione delle operazioni sospette, n il compimento delle

segnalazioni allUIF, secondo il Provvedimento per lOrganizzazione Interna in
vigore fino al 31 marzo 2018, possono essere conferite in outsourcing ad un
soggetto esterno al destinatario degli obblighi che, difatti, tenuto alla nomina
di un responsabile aziendale delle segnalazioni.

Con il Decreto di Riforma, ora, gli obblighi di segnalazione sono contenuti negli
articoli da 35 a 41 del Decreto. Tali disposizioni utilizzano in vari contesti e a
diverse finalit lespressione: il titolare della competente funzione, il legale
rappresentante o altro soggetto all'uopo delegato presso i soggetti obbligati.

Sulla base di queste indicazioni normative ed in assenza di una nuova disciplina

attuativa, difficile confermare loperativit tout court del vecchio
Provvedimento per lOrganizzazione Interna che vieta lesternalizzazione sia con
riferimento alla valutazione delle operazioni sospette, sia con riferimento al
compimento delle attivit di segnalazione allUIF. Daltra parte, per,
innegabile che lespressione utilizzata dal Decreto di Riforma in tema di
segnalazioni, collochi la relativa disciplina direttamente allinterno dei presidi
organizzativi di mitigazione del rischio di riciclaggio, di cui si dir in seguito,
potendosi, pertanto, ritenere tuttora operante il divieto di esternalizzazione dei
compiti di segnalazione, se non altro con riferimento allattivit di valutazione
delle operazioni sospette.

Sulla base di ci, cos come vedremo meglio in tema di presidi e organizzazione
interna, alle cui prescrizioni sono tenuti anche i Prestatori di Servizi, si ritiene che
lassolvimento degli obblighi di segnalazione non possa essere esternalizzato, ma
possa essere fatto oggetto, quanto agli adempimenti ed alle attivit meramente
materiali di supporto, di un contratto di servizi ovvero di co-sourcing a favore di

13
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

un terzo, estraneo alla compagine societaria del Prestatore di Servizi;17 fermo

restando lobbligo di individuare un responsabile aziendale delle segnalazioni
delle operazioni sospette che, come detto, pu essere il legale rappresentante
o un suo delegato interno.

5. Obblighi di mitigazione del rischio organizzazione interna

Il principio dellapproccio basato sul rischio (risk based approach) riproposto
anche dalla nuova disciplina ed diretto ad identificare e valutare i rischi di
riciclaggio e finanziamento del terrorismo insiti nellesercizio delle attivit svolte
dai destinatari della normativa di settore. Lidentificazione e la valutazione dei
rischi funzionale a consentirne la mitigazione attraverso ladempimento di
specifici obblighi organizzativi, calibrati in relazione alla minaccia specifica e
aventi lo scopo di facilitare una migliore allocazione delle risorse interne dei
soggetti obbligati verso ambiti di maggiore vulnerabilit.

Al riguardo, il Decreto di Riforma sembra prescindere dalla natura finanziaria

svolta dai soggetti obbligati; che, difatti, risultano tutti indistintamente sottoposti
a determinati obblighi organizzativi, anche allorquando la loro attivit di impresa
sia estranea ai tipici aspetti dellattivit finanziaria (vedi, ad esempio, le case
daste, o gli antiquari, ora inclusi tra i soggetti tenuti allosservanza dei precetti
antiriciclaggio). Segno evidente questultimo, che il legislatore ha valutato ex
ante ad alto rischio non solo le attivit tipicamente finanziarie ovvero le attivit
professionali come stato in passato, ma interi settori economici ritenuti
particolarmente sensibili rispetto a determinati fenomeni criminosi. 18

Alla luce di ci, lart. 16 del Decreto stabilisce, in via generale, che: i soggetti
obbligati adottano i presidi e attuano i controlli e le procedure, adeguati alla
propria natura e dimensione, necessari a mitigare e gestire i rischi di riciclaggio e
di finanziamento del terrorismo. Saranno poi le Autorit di vigilanza o di
controllo a dettare le norme attuative per individuare i requisiti dimensionali e
organizzativi in base ai quali i soggetti obbligati sono tenuti ad adottare, come
stabilito dal comma 2, specifici presidi, controlli e procedure per: a) la
valutazione e gestione del rischio di riciclaggio e di finanziamento del terrorismo;

17Per completezza si vedano le Istruzioni per lAccesso al Portale Infostat-Uif (http://uif.bancaditalia.it/portale-infostat-

uif/istruz_acc_portale.pdf), che prevedono le diverse tipologie di utilizzazione del portale da parte dei soggetti segnalanti
attraverso i profili gestore e profili operatore.
18La normativa di cui al Decreto di riforma, infatti, poggia su un sistema di obblighi, rivolti ad unampia
platea di destinatari (intermediari finanziari, imprese non finanziarie e professionisti).

14
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate

rispetto alle dimensioni e alla natura dell'attivit, la nomina di un responsabile
della funzione antiriciclaggio e la previsione di una funzione di revisione
indipendente per la verifica delle politiche, dei controlli e delle procedure.

Inoltre, a prescindere dallemanazione della normativa di attuazione, i soggetti

obbligati come stabilito sempre dallart. 16 del Decreto - devono adottare
misure proporzionate ai propri rischi, alla propria natura e alle proprie
dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono
tenuti ai sensi del presente decreto, ivi compresi quelli in materia di protezione
dei dati personali. A tal fine, i soggetti obbligati garantiscono lo svolgimento di
programmi permanenti di formazione, finalizzati alla corretta applicazione delle
disposizioni di cui al presente decreto, al riconoscimento di operazioni connesse
al riciclaggio o al finanziamento del terrorismo e all'adozione dei comportamenti
e delle procedure da adottare.

Da quanto sopra deriva che, a carico dei Prestatori di Servizi, ancorch inclusi
tra gli operatori non finanziari, sussistono degli obblighi di organizzazione interna
immediatamente applicabili a partire cio dalla entrata in vigore del Decreto di
Riforma.

Gli obblighi organizzativi di applicazione immediata a carico del Prestatore di

Servizi, come indicato dallart. 16 del Decreto, sono:

1) ladozione di specifici presidi interni, controlli e procedure, adeguati alla

propria natura e dimensione (comma 1);
2) lattuazione di programmi di formazione permanente ed aggiornamento
del personale in tema di antiriciclaggio (comma 3).

A tali obblighi, per quanto detto in precedenza in tema di segnalazione delle

operazioni sospette, si aggiunge anche quello di istituire un responsabile
aziendale delle segnalazioni allUIF che, come gi innanzi precisato, potr essere
il legale rappresentante o titolare dellattivit del Prestatore di Servizi, ovvero un
suo delegato interno.

Se lobbligo di realizzare programmi di formazione e aggiornamento non desta

criticit n in termini di declinazione concreta, n in termini di assolvimento
attraverso lausilio delle prestazioni di un terzo, losservanza degli obblighi sub 1)
comporta pi di un problema applicativo per i Prestatori dei Servizi.

15
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

La declinazione concreta degli obblighi organizzativi sub 1), stando alla lettera
dellart. 16 del Decreto,19 infatti, rende operativo al livello di normativa primaria il
modello gi esistente di cui al Provvedimento per lOrganizzazione Interna
(comunque applicabile fino al 31marzo 2018). Per, tale modello stato
elaborato da Banca dItalia con riferimento ad un novero di soggetti obbligati
appartenenti al settore finanziario che - per quanto formulato ad ampio spettro,
includendo cio anche entit non direttamente vigilate, come ad esempio i
mediatori creditizi o gli agenti in attivit finanziaria - risulta comunque
applicabile a soggetti che esercitano attivit di impresa di natura finanziaria

Tuttavia, data la specificit dellattivit del Prestatore di Servizi e limposizione,

per effetto del Decreto di Riforma, dellobbligo generale di iscriversi alla sezione
speciale dellelenco dei cambiavalute tenuto e controllato da OAM lautorit
che tiene anche gli elenchi dei mediatori creditizi e degli agenti in attivit
finanziaria , non difficile ipotizzare lestensione del modello finanziario dei
presidi antiriciclaggio anche per lo svolgimento dei servizi di conversione di
Valuta Virtuale, anche se opportuno attendere i successivi sviluppi della
normativa dattuazione prima di dare assolvimento in maniera completa a
quanto previsto dal Decreto in tema di organizzazione interna e governance.

5.1. Dettaglio degli obblighi organizzativi

Nel dettaglio gli obblighi di organizzazione a mitigazione del rischio di riciclaggio
e finanziamento del terrorismo stabiliti dal comma 2 dellart. 16 del Decreto, si
identificano nella necessit di attuare, allinterno della propria organizzazione,
presidi, controlli e procedure finalizzate a:

a) la valutazione e gestione del rischio di riciclaggio e di finanziamento del

terrorismo;

b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate

rispetto alle dimensioni e alla natura dell'attivit, la nomina di un responsabile
della funzione antiriciclaggio e la previsione di una funzione di revisione
indipendente per la verifica delle politiche, dei controlli e delle procedure:

19Ci si riferisce allobbligo di adottare specifici presidi, controlli e procedure per: a) la valutazione e gestione del rischio di
riciclaggio e di finanziamento del terrorismo; b) l'introduzione di una funzione antiriciclaggio, ivi comprese, se adeguate rispetto alle
dimensioni e alla natura dell'attivit, la nomina di un responsabile della funzione antiriciclaggio e la previsione di una funzione di
revisione indipendente per la verifica delle politiche, dei controlli e delle procedure, introdotto dal comma 2 dellart. 16 del
Decreto.
16
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

Quanto agli adempimenti sub a), essi si sostanziano nella previsione di

procedure interne che comportino una graduazione degli obblighi di adeguata
verifica della clientela in funzione del rischio. Ci si riferisce, in particolare,
allobbligo di procedere in via preventiva alla profilatura del rischio, compito
rimesso alla libera valutazione del soggetto obbligato, che deve comunque
adottare misure idonee a valutare il rischio di riciclaggio o di finanziamento del
terrorismo per singolo rapporto continuativo ed operazione, seguendo i criteri
oggettivi e soggettivi delineati dallart. 17 del Decreto e delle disposizioni
attuative ancora in vigore.

Quanto agli obblighi sub b), come indicato nel Provvedimento per
lOrganizzazione Interna, e fermo restando il principio di proporzionalit coerente
con la forma giuridica, le dimensioni, larticolazione organizzativa, le
caratteristiche e la complessit dellattivit svolta dal soggetto obbligato,
vengono in rilievo i requisiti minimali ivi stabiliti che impongono i seguenti
adempimenti:

deve essere prevista la funzione antiriciclaggio e nominato il relativo

responsabile; ammessa lesternalizzazione e lattribuzione della
responsabilit della funzione ad un amministratore, che, salvo il caso
dellamministratore unico, deve essere privo di deleghe operative;
ove lunit di revisione interna non sia istituita, i relativi compiti possono
essere assegnati ad un amministratore, che, salvo il caso
dellamministratore unico, deve essere privo di deleghe operative;
deve essere formalizzata lattribuzione della responsabilit per la
segnalazione delle operazioni sospette.

Sulla base di ci, il Prestatore di Servizi deve:

1) istituire al proprio interno la funzione antiriciclaggio;20

2) nominare il responsabile della funzione antiriciclaggio;21

20Come stabilito dal Provvedimento per lOrganizzazione Interna, la funzione aziendale antiriciclaggio deve essere
indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere, riferisce
direttamente agli organi di vertice ed ha accesso a tutte le attivit dellimpresa nonch a qualsiasi informazione rilevante
per lo svolgimento dei propri compiti. Il personale addetto alla funzione deve, inoltre, essere adeguato per numero,
competenze tecnicoprofessionali e aggiornamento, anche attraverso linserimento in programmi di formazione continua.
21Come stabilito dal Provvedimento per lOrganizzazione Interna, il responsabile della funzione antiriciclaggio deve essere
in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalit, esercita funzioni aziendali di controllo
ed nominato o revocato dallorgano di gestione. La persona incaricata della funzione non deve avere responsabilit
dirette di aree operative n deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. Qualora
17
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

3) nominare il responsabile delle segnalazioni delle operazioni sospette.

6. Esternalizzazione degli obblighi organizzativi
Secondo quanto previsto dal Provvedimento per lOrganizzazione Interna,
tranne che per la nomina del delegato aziendale delle segnalazioni delle
operazioni sospette su cui si gi ampiamente detto in precedenza, lo
svolgimento della funzione antiriciclaggio pu essere affidato a soggetti esterni
con idonei requisiti in termini di professionalit, autorevolezza e indipendenza.

Nellipotesi si addivenga ad un contratto di outsourcing tra il Prestatore di Servizi

ed un terzo, la responsabilit per la corretta gestione dei rischi in discorso resta,
in ogni caso, in capo allimpresa destinataria degli obblighi.

Quanto ai contenuti del contratto di outsourcing, il Provvedimento per

lOrganizzazione Interna prescrive che lesternalizzazione deve essere comunque
formalizzata in un accordo scritto che definisca quanto meno:

- la compiuta indicazione degli obiettivi da perseguire;

- la frequenza minima dei flussi informativi nei confronti del referente interno e
degli organi di vertice e di controllo aziendali, fermo restando lobbligo di
corrispondere tempestivamente a qualsiasi richiesta di informazioni e di
consulenza;

- gli obblighi di riservatezza delle informazioni acquisite nellesercizio della

funzione;

- la possibilit di rivedere le condizioni del servizio al verificarsi di modifiche

normative o nelloperativit e nellorganizzazione dellimpresa
esternalizzante;

- la possibilit per le Autorit di Vigilanza e la UIF di accedere alle

informazioni utili per lattivit di supervisione e controllo.

Inoltre, anche in caso di esternalizzazione, limpresa deve comunque nominare

un responsabile interno alla funzione antiriciclaggio (referente interno), con il
compito di monitorare le modalit di svolgimento del servizio da parte
delloutsourcer. Limpresa dovr inoltre adottare le cautele che sul piano

giustificato dalle ridotte dimensioni dellimpresa, la responsabilit della funzione pu essere attribuita ad un
amministratore, purch privo di deleghe gestionali.

18
 Nuovi obblighi, adeguata verifica e adempimenti antiriciclaggio dei prestatori di servizi di
conversione di valuta virtuale

organizzativo sono necessarie a garantire il mantenimento dei poteri di indirizzo

e controllo da parte degli organi aziendali sulla funzione esternalizzata.

Tutti i predetti elementi che debbono caratterizzare il rapporto di

esternalizzazione possono e debbono confluire nel contratto di outsourcing tra il
Prestatore di Servizi ed un soggetto terzo che, come detto relativamente agli
obblighi di adeguata verifica e di conservazione, deve obbligatoriamente
presentare altres i contenuti fissati dalla Comunicazione della Banca dItalia del
30 marzo 2012 gi innanzi menzionata, ed alla quale si rinvia per completezza.

19