La normativa per combattere riciclaggio e finanziamento del terrorismo mediante cripto asset e asset virtuali è migliorata, ma mancano ancora competenze, tecnologie e, soprattutto, prassi di cooperazione internazionale.
Il report appena emesso da Moneyval, il Comitato di Esperti del Consiglio d’Europa sulla Valutazione delle Misure Antiriciclaggio e del Finanziamento del Terrorismo, torna a lanciare l’allarme sull’interesse della criminalità per i criptoasset.
E lo fa grazie alle risposte fornite dalle autorità operative in 25 giurisdizioni diverse, fornendo un interessante prospettiva “dal campo”.
Migliora la normativa, ma c’è molto da fare
In primis, il progresso regolamentare. Il report sottolinea l’evoluzione della regolamentazione dei Virtual Asset Service Provider (VASP) tra le giurisdizioni del Consiglio d’Europa (che, lo ricordiamo, include sia gli stati dell’Unione Europea sia molti altri paesi che non ne fanno parte).
Oggi, circa l’81% delle giurisdizioni richiede una autorizzazione o quantomeno una registrazione dei VASP e oltre il 90% ha designato una Autorità di vigilanza.
Il report evidenzia però una debolezza nella scarsa applicazione delle norme contro gli operatori privi di licenza, mentre solo il 46% delle giurisdizioni ha reso operativa la Travel Rule.
Si tratta della misura che chiede ai VASP di raccogliere e mantenere informazioni su ordinante e beneficiario dei trasferimenti di cripto asset, dandone comunicazione al VASP o all’istituzione finanziaria beneficaria e a disposizione delle autorità competenti, su richiesta.
La Travel Rule è stata implementata in Unione Europea dal Regolamento 2023/1113 e include anche l’obbligo di sottopore a screening le transazioni, verificando la presenza di parti soggette a sanzioni.
Emergono nuovi rischi
Stanno emergendo, poi, una serie di nuovi rischi legati agli asset virtuali. Utilizzabili per evadere sanzioni, commettere frodi, finanziare attività illecite.
Il report cita il caso dell’Isola di Man, che ha implementato misure contro il crimine finanziario nell’e-gaming e nelle attività connesse. Altre giurisdizioni, viene citata la Lituania, stanno intensificando le azioni di valutazione sui CASP e i VASP, guardando a scenari specifici di rischio come l’uso di mixer, il trading di NFT, la vulnerabilità delle operazioni condotte ai cosiddetti “crypto ATM”.
Mancano competenze
Visto anche il quadro normativo recente, ancora in implementazione e certamente perfezionabile, forze dell’ordine e autorità di Vigilanza affrontano una serie di sfide.
La blockchain, ad esempio, piace: la sua natura di tecnologia immutabile viene ormai considerato un asset prezioso, perché permette di tracciare in modo affidabile le transazioni. Ma non sempre sono già disponibili strumenti di analisi e competenze adeguate alla sfida.
C’è, poi, il nodo della collaborazione internazionale, tanto nella fase di indagine quanto nell’applicazione delle misure cautelari, del congelamento o del sequestro di beni. L’arbitraggio normativo e lo sfruttamento dei contesti transfrontalieri sono, d’altronde, prassi anche nel caso del crimine informatico tout court.
La maggior parte delle giurisdizioni avrebbe i meccanismi necessari a imporre misure provvisorie di sequestro o congelamento ai VASP/CASP, ma spesso mancano l’esperienza, il quadro normativo o le procedure per il sequestro. Servirebbe una cooperazione con il custodian degli asset, con ordini formali emessi da forze dell’ordine o autorità giudiziarie.
Alcune giurisdizioni, poi, utilizzano portafogli ufficiali o controllati dal governo per detenere i VA sequestrati.
Anche l’emergere di modelli non regolamentati, oppure decentrati, è una via per sfuggire ai quadri di Vigilanza tradizionali.
Segnalazioni di Operazioni Sospette in crescita
Il 60% dei paesi ha indagato attivamente Segnalazioni di Operazioni Sospette (SOS) relative a operazioni con asset virtuali o cripto asset. Nel 56% dei casi la SOS è arrivata da un CASP/VASP. Elevata la percentuale di segnalazioni generate in alcuni mercati: Estonia (quasi 40% delle SOS nel 2024), Cipro (22%) e Gibilterra (30%).
C’è però un tema legato alla qualità delle SOS. Nello specifico Ungheria, Lituana e Malta ritengono eccessiva la generazione automatica di SOS, effettuata solo sulla base di strumenti tecnologici e senza intervento umano.
Altre criticità riguardano le segnalazioni “difensive”, in molti casi attivate a causa dell’incapacità di completare la due diligence del cliente, così come l’esternalizzazione delle funzioni di AML da parte di alcuni CASP/VASP.
Spicca anche un aspetto che meriterebbe sicuramente un approfondimento: la presenza di team di compliance con una solida conoscenza tecnica, ma limitata comprensione dei principi dell’AML e del contrasto al finanziamento del terrorismo.
I CASP/VASP attivi in più mercati, poi, faticano a capire in quale giurisdizione segnalare un eventuale sospetto.
L’analisi della blockchain
Sta crescendo l’adozione di strumenti per analizzare la blockchain, ma in modo molto disomogeneo. Quasi tutte le giurisdizioni che hanno contribuito al report Moneyval utilizzano blockchain explorer pubblici, oppure piattaforme forensi commerciali.
Alcune, però, subiscono vincoli di budget o non possono comunque accedere agli strumenti commerciali.
In generale, gli strumenti di blockchain analytics vengono utilizzati per tracciare le transazioni, identificare controparti e rilevare collegamenti con attività illecite.
Le caratteristiche più ricercate in questi strumenti includono capacità di clustering, interfacce intuitive, output esportabili e dati affidabili e aggiornati.
