Il conto alla rovescia è ufficialmente partito. A partire dal 10 luglio 2027, l'Unione Europea applicherà direttamente il nuovo Regolamento Antiriciclaggio (AMLR - Anti-Money Laundering Regulation) in tutti i 27 Stati membri.
Questo cambiamento normativo eliminerà l'attuale frammentazione legale in Europa istituendo un Testo Unico (Single Rulebook) e introducendo un'Autorità Antiriciclaggio centralizzata (AMLA) con il compito di vigilare e sanzionare i soggetti non conformi.
Per i settori bancario, finanziario e del credito, non si tratta di un semplice aggiornamento di conformità standard, ma di una radicale ridefinizione dei processi di onboarding e Know Your Customer (KYC).
In occasione del recente Identity & Business Day Milan 2026, esperti del settore, accademici del Politecnico di Milano e leader di istituzioni come BBVA, Banco BPM e Fabrick si sono riuniti per discutere come trasformare questo imminente obbligo normativo in un vantaggio strategico.
Ecco i 5 pilastri fondamentali che le istituzioni finanziarie devono considerare per muoversi in anticipo rispetto ai tempi.
1. I tre percorsi KYC legalmente validi ai sensi dell'Articolo 22
L'Articolo 18.1 dell'AMLR dà esplicitamente il "via libera" alle aziende per esternalizzare le attività di adeguata verifica della clientela (CDD - Customer Due Diligence) a fornitori terzi specializzati. Entrando nel dettaglio dell'Articolo 22, il regolamento stabilisce tre chiari percorsi per la verifica dell'identità a distanza, tutti coperti in modo nativo e completo da Veridas:
- Verifica dell'Identità Digitale da remoto (IDV - Remote Identity Verification): Verificare le identità digitalmente utilizzando la verifica dei documenti d'identità e la biometria del viso come base di partenza. Veridas ha aperto la strada in questo campo nel 2017 in collaborazione con BBVA Spagna e oggi gestisce oltre 400.000 verifiche di identità al giorno a livello globale.
- QTSP - Qualified Trust Service Providers: Richiedono rigide certificazioni tecniche come la ETSI 461, un ambito in cui Veridas ha già gestito l'emissione di oltre 2 milioni di certificati qualificati in Spagna. E c'è un punto chiave: questo aggiornamento richiede una certificazione specifica contro gli attacchi di tipo injection. Si tratta di un campo altamente esigente in cui Veridas ha un vantaggio significativo, avendo già elaborato la verifica dell'identità per oltre 2 milioni di certificati qualificati emessi in Spagna.
- Sistemi di Identità Digitale Nazionale e Wallet (EUDI Wallet): Utilizzano le identità digitali sovrane. Poiché le istituzioni finanziarie saranno legalmente obbligate ad accettare l'EUDI Wallet entro la fine del 2027, l'attuale ecosistema wallet di Veridas consente alle banche di adattarsi fin da ora gestendo, emettendo e verificando queste credenziali digitali di nuova generazione.
2. Lo scenario italiano: la prontezza per l'IT Wallet e la crescita dei budget IT
Secondo i dati dell'Osservatorio del Politecnico di Milano presentati durante l'evento, l'Europa è attualmente divisa tra Paesi che costruiscono sistemi di identità ex novo e altri, come l'Italia, che integrano strutture esistenti (SPID/CIE).
In Italia, l'IT Wallet pubblico – accessibile tramite l'App IO – introdurrà circa 200 nuovi documenti digitali certificati, trasformando l'app in un archivio personale sicuro utilizzabile per transazioni finanziarie complesse, come i mutui bancari.
La ricerca del Politecnico di Milano evidenzia che più di 1 italiano su 2 si dichiara "Wallet Ready" (rientrando nei cluster di identità digitale Advanced o Addicted).
Questa elevata predisposizione degli utenti si allinea perfettamente con i nuovi dati di AbiLab, i quali rivelano che il 58% delle banche italiane sta aumentando i propri budget IT, portando attivamente l'Intelligenza Artificiale fuori dalla fase di sperimentazione per integrarla in processi interni di livello industriale come il credit scoring e le operazioni.
3. La sfida tecnica: certificazioni ETSI e difese anti-deepfake
L'asticella tecnica fissata dall'AMLR e dai quadri normativi europei è eccezionalmente alta. Entro l'agosto 2027, i fornitori di identità dovranno dotare le banche di sistemi conformi ai rigorosi standard ETSI (nello specifico la versione 2.1.1). Ciò richiede difese robuste e certificate contro frodi basate sull'IA sempre più sofisticate:
- CEN/TS 18099 per rilevare e bloccare gli attacchi di injection video (Rilevamento degli Injection Attack).
- ISO 30107-3 per prevenire gli attacchi di presentazione (Liveness Detection).
Durante l'evento di Milano, una dimostrazione dal vivo ha provato come un attacco di injection di base – eseguito utilizzando una foto pubblica e uno strumento freemium di IA generativa – potesse facilmente aggirare i software di onboarding standard.
L'attacco è stato bloccato solo quando è stato elaborato attraverso una tecnologia che utilizza algoritmi proprietari di rilevamento dell'injection.
Veridas possiede questa conformità ETSI dal 2024, garantendo una protezione solida sia sui canali web sia sulle applicazioni native.
4. Bilanciare sicurezza ed esperienza utente (UX)
Una conformità di sicurezza più rigorosa non deve tradursi in un abbandono da parte degli utenti. Come sottolineato, durante la tavola rotonda esecutiva dell'evento che ha visto la partecipazione di Banco BPM, BBVA e Fabrick, la finestra temporale rimanente di 18 mesi per l'attuazione dell'AMLR è stretta.
Tuttavia, la velocità di onboarding non è più un elemento di differenziazione sul mercato; ogni banca digitale oggi è veloce. Il nuovo elemento di differenziazione è rappresentato da conformità, sicurezza e trasparenza.
Sfruttando un approccio modulare e orchestrato, le banche possono applicare una complessa frizione di sicurezza solo ai prodotti ad alto rischio, integrando al contempo flussi di onboarding fluidi e sicuri nei canali nativi di uso quotidiano come WhatsApp per ridurre drasticamente i tassi di abbandono.
5. Perché scegliere un partner specializzato nell'identità ("Identity-First")?
Poiché l'AMLR introduce standard di tolleranza zero contro le frodi sintetiche avanzate, affidarsi a fornitori di software multiprodotto che trattano la verifica dell'identità come una funzionalità secondaria e aggiuntiva rappresenta un grave rischio operativo.
