L’evoluzione del quadro regolatorio AML/CFT nel settore dei cryptoasset nel Regno Unito
Abstract
Il presente contributo esamina il processo di riforma del quadro normativo britannico in materia di antiriciclaggio e contrasto al finanziamento del terrorismo (AML/CFT), con particolare riguardo al settore dei cryptoasset. L’analisi muove da tre fonti primarie pubblicate tra il 2025 e il 2026: la Consultation Response dell’HM Treasury relativa al miglioramento dell’efficacia delle Money Laundering Regulations (MLRs), la Cryptoassets Threat Assessment dell’Office of Financial Sanctions Implementation (OFSI), e il Draft Statutory Instrument denominato Financial Services and Markets Act 2000 (Cryptoassets) (Amendment) Regulations 2026. Attraverso l’esame incrociato di tali fonti, il saggio ricostruisce le dinamiche di un sistema regolatorio in trasformazione, chiamato a coniugare proporzionalità dei requisiti, efficacia preventiva e coerenza sanzionatoria in un ecosistema finanziario profondamente mutato dalla diffusione delle tecnologie distribuite. Particolare attenzione è dedicata alla disciplina degli stablecoin qualificanti introdotta dal Draft SI 2026, che delinea per la prima volta nel diritto britannico un regime di esenzione specifico per le transazioni in stablecoin emessi da soggetti autorizzati, con importanti implicazioni per la prevenzione del riciclaggio. Si argomenta che le riforme in atto, pur ispirate a un approccio risk-based di derivazione FATF, riflettono tensioni strutturali tra esigenze di semplificazione amministrativa e imperativo di chiusura delle lacune normative, tensioni particolarmente acute in un comparto in cui la velocità dell’innovazione tecnologica supera strutturalmente i tempi del processo legislativo.
Parole chiave: Money Laundering Regulations, AML/CFT, cryptoasset, stablecoin, OFSI, sanzioni finanziarie, risk-based approach, FATF, FSMA, Statutory Instrument, Regno Unito
I. Premessa: il contesto normativo e la logica della riforma
La regolamentazione dei mercati finanziari nel Regno Unito ha conosciuto, nel corso dell’ultimo quinquennio, una stagione di profonda revisione. Il recesso dall’Unione europea, da un lato, e la rapida espansione dell’ecosistema dei cryptoasset, dall’altro, hanno imposto al legislatore britannico una doppia sfida: aggiornare un corpus normativo concepito nel quadro armonizzato europeo adattandolo alle specificità del diritto nazionale, e al contempo elaborare risposte regolatorie adeguate a fenomeni tecnologici privi di precedenti nella storia della finanza. Le Money Laundering Regulations (MLRs) — formalmente denominate The Money Laundering, Terrorist Financing and Transfer of Funds (Information on the Payer) Regulations 2017 — costituiscono l’architrave di tale sistema. Esse impongono a una vasta platea di operatori economici obblighi di due diligence, monitoraggio delle transazioni, segnalazione delle operazioni sospette e adeguata valutazione del rischio di riciclaggio e finanziamento del terrorismo.
Consapevole delle lacune applicative emerse nel decennio successivo all’entrata in vigore delle MLRs, l’HM Treasury ha avviato tra marzo e giugno 2024 un processo di consultazione pubblica dal titolo Improving the Effectiveness of the Money Laundering Regulations. I risultati di tale processo sono stati pubblicati nel luglio 2025 in una Consultation Response che sintetizza le posizioni di 224 soggetti respondenti — inclusi operatori del settore privato, autorità di contrasto e organizzazioni della società civile — e delinea il perimetro degli interventi correttivi che il Governo intende adottare.1
In parallelo e in modo complementare, l’Office of Financial Sanctions Implementation (OFSI) dell’HM Treasury ha pubblicato nel medesimo mese un’analisi settoriale delle minacce alla conformità con le sanzioni finanziarie nel comparto dei cryptoasset, la Cryptoassets Threat Assessment. Questo secondo documento, frutto di un’attività di intelligence condotta tra gennaio 2022 e maggio 2025, offre una prospettiva complementare: laddove la Consultation Response guarda alla prevenzione del riciclaggio con un approccio sistemico e riformistico, la Threat Assessment si concentra sulla concreta fenomenologia delle violazioni sanzionatorie, descrivendo le tipologie di condotta illecita osservate e formulando raccomandazioni operative per il settore.2
Il terzo documento oggetto di analisi è il Financial Services and Markets Act 2000 (Cryptoassets) (Amendment) Regulations 2026 (di seguito «Draft SI 2026»), uno strumento normativo secondario in forma di bozza (Draft Statutory Instrument) adottato in esercizio dei poteri conferiti dalle sezioni 21, 22 e 428 del FSMA 2000. Questo atto modifica il precedente Financial Services and Markets Act 2000 (Cryptoassets) Regulations 2026 (SI 2026/102) e il Financial Services and Markets Act 2000 (Financial Promotion) Order 2005, introducendo disposizioni specifiche sugli stablecoin qualificanti (qualifying stablecoins) e rifinendo il perimetro delle attività regolate in materia di cryptoasset. Il Draft SI 2026 rappresenta la traduzione normativa in legislazione secondaria di orientamenti annunciati nella Consultation Response, e costituisce pertanto un banco di prova privilegiato per valutare la coerenza tra intenzioni di policy e architettura tecnico-giuridica.3
Il presente articolo si propone di analizzare congiuntamente tali documenti, nella convinzione che il loro studio integrato permetta di cogliere le dinamiche profonde di un sistema regolatorio in via di consolidamento. Nella Sezione II si ricostruisce il fondamento teorico dell’approccio risk-based e la sua traduzione nelle MLRs. La Sezione III esamina le principali riforme della customer due diligence introdotte dalla Consultation Response. La Sezione IV analizza la disciplina speciale dei cryptoasset nelle MLRs e la sua evoluzione. La Sezione V è dedicata al Draft SI 2026 e, in particolare, alla nuova disciplina degli stablecoin qualificanti e delle relative esenzioni. La Sezione VI si concentra sui profili sanzionatori delineati dalla Threat Assessment dell’OFSI. La Sezione VII propone alcune riflessioni conclusive sulla coerenza sistemica del quadro normativo emergente.
II. L’approccio risk-based come paradigma regolatorio
2.1 Origini e fondamenti teorici
L’approccio risk-based (RBA) alla regolamentazione antiriciclaggio costituisce oggi il paradigma dominante a livello internazionale, sancito come standard dall’organo di normazione globale in materia di AML/CFT, il Financial Action Task Force (FATF). Secondo tale paradigma, gli obblighi di compliance non devono essere uniformi e indiscriminati, bensì proporzionati al livello di rischio effettivo di riciclaggio e finanziamento del terrorismo cui ciascuna istituzione o transazione è esposta. Il corollario operativo è che le risorse di compliance — inevitabilmente limitate — devono essere allocate in modo da massimizzare l’impatto preventivo, concentrandosi sui segmenti di mercato, sulle categorie di clientela e sulle tipologie di operazione che presentano il profilo di rischio più elevato.
Le MLRs 2017 incorporano pienamente questa filosofia, richiedendo agli operatori soggetti ai propri obblighi di condurre valutazioni del rischio a livello aziendale, calibrare le misure di due diligence in funzione del rischio identificato e aggiornare periodicamente tali valutazioni alla luce dell’evoluzione del contesto. Il rischio è dunque al contempo criterio organizzativo interno alle imprese regolate e parametro di conformità oggetto di supervisione da parte delle autorità competenti. La Consultation Response riconosce esplicitamente che «le norme sono concepite per incoraggiare un approccio basato sul rischio, imponendo alle imprese di identificare e valutare i potenziali rischi di riciclaggio e finanziamento del terrorismo cui il loro business è esposto».4
2.2 Tensioni applicative e distorsioni da over-compliance
Nonostante il suo solido fondamento teorico, l’approccio risk-based genera in pratica tensioni non trascurabili. La principale è la tendenza delle imprese regolate a privilegiare comportamenti di over-compliance — ossia l’applicazione di misure di due diligence più stringenti del necessario — in risposta all’incertezza interpretativa e al timore di sanzioni regolamentari. Questa deriva è stata ampiamente documentata nel settore bancario e finanziario con il fenomeno del de-risking: la chiusura o il rifiuto di apertura di conti correnti e conti di pagamento a interi segmenti di clientela ritenuti a priori ad alto rischio, indipendentemente da una valutazione individualizzata.
La Consultation Response registra questa problematica con acutezza, rilevando che «molti stakeholder percepiscono alcuni requisiti di due diligence come ambigui o privi di chiara finalità, con alcuni respondenti che riferiscono come i requisiti attuali non siano così efficaci come potrebbero essere nell’identificazione del riciclaggio o del finanziamento del terrorismo».5 In risposta, il Governo ha adottato un approccio a doppio binario: intervento legislativo selettivo sulle disposizioni che generano over-compliance sistematica, e rafforzamento della guidance settoriale per le aree in cui l’incertezza interpretativa è la causa principale del comportamento distorto.
III. La riforma della customer due diligence
3.1 Trigger della due diligence per i settori non finanziari
Una delle questioni più dibattute nella consultazione ha riguardato la chiarezza dei c.d. «trigger points» — vale a dire le circostanze al ricorrere delle quali un operatore è obbligato ad avviare la customer due diligence (CDD). Il problema si pone con particolare acutezza per i soggetti non finanziari soggetti alle MLRs solo in relazione a transazioni di elevato valore, come i partecipanti al mercato dell’arte (art market participants), i rivenditori di beni di lusso ad alto valore (high value dealers) e gli agenti immobiliari nel mercato delle locazioni. Per tali categorie, la coesistenza nel quadro normativo di un trigger basato sull’instaurazione di una «relazione d’affari» e di un trigger basato sul superamento di soglie monetarie ha generato incertezza applicativa.
La risposta del Governo è articolata su due livelli. Sul piano legislativo, le MLRs saranno modificate per allineare i trigger transazionali per i partecipanti al mercato dell’arte e gli agenti immobiliari a quelli vigenti per i rivenditori di beni di alto valore, chiarendo che la CDD deve essere effettuata per le transazioni in-scope sia nell’ambito dell’instaurazione di una nuova relazione d’affari, sia come transazione occasionale.6 Sul piano della guidance, l’HM Treasury chiederà ai supervisori e agli organismi di settore di rivedere le istruzioni esistenti in relazione all’instaurazione di una relazione d’affari, valutando se ulteriori dettagli o casi di studio possano aiutare le imprese ad applicare le Regulations in modo coerente e proporzionato.
3.2 Enhanced Due Diligence: la riforma della nozione di transazione «complessa»
L’enhanced due diligence (EDD) — l’insieme di misure rafforzate applicabili in presenza di rischio elevato — è stata al centro di un importante intervento riformistico relativo al concetto di transazione «complessa o insolitamente grande». La formulazione previgente richiedeva l’applicazione dell’EDD a tutte le transazioni «complesse o insolitamente grandi», senza tuttavia definire cosa dovesse intendersi per «complessa». Questa lacuna definitoria ha prodotto un’applicazione ipertrofica dell’EDD in settori — come le transazioni immobiliari societarie, le operazioni fiscali e le fusioni e acquisizioni — in cui la complessità è strutturalmente insita nella natura delle operazioni.
Il 71% dei respondenti alla consultazione ha ritenuto che una guidance aggiuntiva fosse necessaria, e il 54% si è espresso a favore di un emendamento legislativo che limitasse l’obbligo di EDD alle sole transazioni insolitamente complesse.7 Il Governo ha accolto questa posizione: le MLRs saranno modificate per richiedere l’EDD sulle transazioni «insolitamente complesse» piuttosto che su tutte le transazioni complesse, mentre l’obbligo relativo alle transazioni insolitamente grandi rimarrà invariato. Si tratta di una scelta che riflette una raffinata comprensione della logica risk-based: l’eccezionalità rispetto alla norma del settore — e non la mera complessità tecnica — è il segnale rilevante ai fini AML.
3.3 La riforma della EDD sui paesi terzi ad alto rischio
Un intervento di portata particolarmente significativa riguarda la disciplina dell’EDD obbligatoria in relazione ai paesi terzi ad alto rischio (High Risk Third Countries, HRTCs). Le MLRs attuali richiedono l’applicazione dell’EDD a qualsiasi cliente stabilito in un HRTC o in relazione a qualsiasi transazione in cui una delle parti sia stabilita in un HRTC. La definizione di HRTC include sia i paesi inseriti dalla FATF nella lista di «Monitoraggio Rafforzato» (Increased Monitoring List, IML), che comprende attualmente 24 giurisdizioni, sia quelli soggetti a un «Appello all’Azione» (Call for Action), vale a dire quelli con le carenze strategiche più gravi (attualmente Repubblica Democratica Popolare di Corea, Myanmar e Iran).
La Consultation Response riconosce un problema fondamentale: la presenza di un paese nell’IML della FATF riflette carenze sistemiche nel regime AML/CFT di quella giurisdizione, ma non implica necessariamente che i clienti o le transazioni connesse a quel paese presentino un rischio elevato di riciclaggio specificamente rilevante per il sistema finanziario del Regno Unito. Come nota il documento governativo, «alcuni paesi inseriti dal FATF sono riconosciuti come presentanti rischi prevalentemente regionali piuttosto che internazionali, forse a causa dell’assenza di un settore finanziario specializzato e internazionalmente orientato o di rigidi controlli valutari».8
La risposta normativa è coerente con questa analisi: le MLRs saranno modificate per rendere obbligatoria l’EDD solo in relazione a transazioni o relazioni con clienti stabiliti nei paesi soggetti all’Appello all’Azione, non in quelli nell’IML. Rimangono tuttavia intatti i requisiti generali di valutazione del rischio geografico, inclusa la prescrizione di tenere conto di entrambe le liste FATF nell’ambito delle valutazioni del rischio cliente. Questa riforma esprime con particolare chiarezza la tensione tra armonizzazione internazionale degli standard e adattamento delle norme alle specificità del rischio nazionale.
3.4 I conti correnti raggruppati: dalla simplified due diligence a un regime autonomo
Un’ulteriore riforma di rilievo pratico significativo riguarda i conti correnti raggruppati (pooled client accounts, PCAs), vale a dire i conti bancari utilizzati da intermediari — avvocati, agenti, broker — per detenere fondi di numerosi clienti distinti. La disciplina previgente legava la possibilità di applicare la simplified due diligence (SDD) all’apertura e gestione di tali conti a condizioni molto restrittive, con il risultato che molte categorie di operatori — in particolare gli studi legali e gli agenti immobiliari — incontravano difficoltà a ottenere o mantenere tali conti presso gli istituti di credito.
La risposta del Governo è di portata strutturale: invece di modificare le condizioni di accesso alla SDD, si è scelto di rescindere del tutto il legame tra PCAs e SDD, creando una disciplina autonoma per i conti raggruppati nelle MLRs. Le nuove disposizioni consentiranno agli istituti finanziari di offrire PCAs in una gamma di circostanze più ampia rispetto a quella attualmente consentita dalla SDD, pur richiedendo misure protettive aggiuntive: la verifica dello scopo del conto, la valutazione del livello di rischio AML/CFT associato e la disponibilità su richiesta delle informazioni sull’identità dei clienti sottostanti.9 Questa riforma è esplicitamente collegata alla Growth Mission del Governo, a conferma della tensione strutturale tra regolazione prudenziale e politica industriale che caratterizza la governance economica britannica contemporanea.
IV. La disciplina dei cryptoasset nelle MLRs: verso un regime maturo
4.1 L’evoluzione dell’inquadramento regolatorio
I cryptoasset rappresentano la frontiera più complessa e dinamica della regolamentazione AML/CFT. Il regime britannico ha percorso in pochi anni una traiettoria di maturazione accelerata: dall’assenza di qualsiasi obbligo specifico si è passati, con le modifiche alle MLRs del 2020, all’obbligo di registrazione presso la Financial Conduct Authority (FCA) per i fornitori di servizi di scambio di cryptoasset e i fornitori di portafogli di custodia (custodian wallet providers), con contestuale assoggettamento ai requisiti AML/CFT generali. Il 2022 ha visto l’introduzione delle c.d. disposizioni sul «change in control», che impongono la notifica alla FCA dell’intenzione di acquisire il controllo di una cripto-impresa registrata.
La Consultation Response affronta due questioni di architettura regolatoria: il problema della doppia registrazione — quella richiesta dalle MLRs e quella che sarà richiesta dalla nuova disciplina FSMA per le attività in cryptoasset — e l’allineamento delle soglie di registrazione e change in control. Sul primo punto, il Governo ha optato per una soluzione che privilegia la semplicità e la certezza: il futuro regime FSMA per le attività in cryptoasset regolate conterrà disposizioni che esonerano le imprese autorizzate per le nuove attività dalla necessità di registrarsi separatamente come «cryptoasset exchange providers» o «custodian wallet providers» ai sensi delle MLRs.10 Sul secondo punto, le soglie di registrazione e change in control saranno allineate alle soglie FSMA, garantendo così coerenza sistemica.
4.2 I fornitori di servizi su cryptoasset come soggetti obbligati
Accanto alle modifiche architetturali, la Consultation Response introduce un’importante novità sul piano della due diligence: l’introduzione di obblighi di counterparty due diligence (CPDD) per le imprese di cryptoasset, in linea con gli standard internazionali della FATF (segnatamente la Raccomandazione 13 sul Correspondent Banking, letta in combinazione con la Raccomandazione 15 sulle Nuove Tecnologie). Tali requisiti allineano determinate obbligazioni per le cripto-imprese a quelle già vigenti per gli istituti di credito e finanziari, riconoscendo che le transazioni in cryptoasset presentano rischi di controparte analoghi a quelli delle relazioni di corrispondenza bancaria tradizionale.11
Di particolare rilievo è altresì l’estensione degli obblighi di registrazione ai fornitori di servizi su off-the-shelf companies (società precostituite destinate alla vendita). L’assenza di tale obbligo costituiva una lacuna normativa rilevante: un Trust or Company Service Provider (TCSP) poteva formare una società per futura vendita senza applicare alcuna misura di CDD al momento della formazione — poiché non esisteva ancora un cliente identificabile — e successivamente vendere la società senza obbligo di CDD, in quanto tale vendita non rientrava nelle attività regolate. Il 95% dei respondenti alla consultazione ha espresso sostegno per la chiusura di questa lacuna, e il Governo ha accolto la raccomandazione.12
V. Il Draft SI 2026: la disciplina degli stablecoin qualificanti e le nuove esenzioni
5.1 Architettura e ambito del provvedimento
Il Financial Services and Markets Act 2000 (Cryptoassets) (Amendment) Regulations 2026 (Draft SI 2026) costituisce uno degli atti normativi secondari di maggiore rilevanza tecnica nell’attuale stagione di riforma della regolamentazione dei cryptoasset nel Regno Unito. Adottato ai sensi dei poteri conferiti dalle sezioni 21(5), (6) e (9), 22(1) e (5) e 428(8) del FSMA 2000, nonché del paragrafo 25 dello Schedule 2, esso modifica due strumenti preesistenti: il Financial Services and Markets Act 2000 (Cryptoassets) Regulations 2026 (SI 2026/102) e il Financial Services and Markets Act 2000 (Financial Promotion) Order 2005 (FPO 2005). La struttura del provvedimento è quella tipica degli emendamenti di secondo livello: non introduce un regime ex novo, ma interviene su disposizioni già vigenti, perfezionandone il perimetro applicativo e risolvendo ambiguità interpretative emerse nella fase di prima applicazione.20
Un aspetto di peculiare interesse è la struttura del regime transitorio previsto dall’articolo 2(2) del Draft SI: alcune disposizioni — specificamente quelle relative all’emendamento del Collective Investment Schemes Order 2001 e dei Alternative Investment Fund Managers Regulations 2013 — entreranno in vigore non contestualmente all’atto principale, bensì trenta giorni successivi alla sua entrata in vigore. Questa scansione temporale differenziata riflette la consapevolezza del legislatore che l’integrazione dei cryptoasset nel quadro normativo degli schemi di investimento collettivo e dei fondi alternativi richiede un periodo di adattamento più lungo, data la complessità degli assetti regolatori già esistenti in tali comparti.
5.2 La nozione di stablecoin qualificante e il regime di esenzione
Il cuore innovativo del Draft SI 2026 risiede nell’introduzione di un regime di esenzione dalle attività regolate per le transazioni aventi ad oggetto i c.d. relevant qualifying stablecoins — locuzione che designa gli stablecoin qualificanti emessi, nei termini e nell’ambito dell’articolo 9M del Regulated Activities Order (issuing qualifying stablecoin), da un soggetto titolare di un’autorizzazione di Parte 4A del FSMA per tale attività regolata. La qualificazione normativa è dunque duplice: è necessario che lo stablecoin rientri nella categoria degli stablecoin qualificanti ai sensi dell’architettura definitoria del SI 2026/102, e che il suo emittente sia specificamente autorizzato dalla FCA.21
Il nuovo articolo 9Z10A del Regulated Activities Order — introdotto dall’articolo 2(3)(v) del Draft SI 2026 — stabilisce che sono escluse dalle attività regolate di negoziazione come principale (art. 9T), negoziazione come agente (art. 9W) e arranging (art. 9Y) le attività consistenti nel trasferimento di un relevant qualifying stablecoin a un’altra persona ovvero nel suo scambio con un altro asset, inclusa la moneta o un altro stablecoin qualificante. Questa esenzione risponde a una logica di proporzionalità sistematica: se l’emittente dello stablecoin è già soggetto a piena supervisione FSMA e il valore dello strumento è ancorato a valute fiat — essendo lo stablecoin garantito da moneta legale o altri asset ai sensi dell’articolo 88G(2)(a) del Regulated Activities Order — il rischio aggiuntivo derivante dalla mera circolazione dello strumento non giustifica l’imposizione di obblighi autorizzativi sulle parti della transazione.
L’esenzione è tuttavia soggetta a due limiti significativi, che ne definiscono con precisione il perimetro. In primo luogo, essa non si applica al trasferimento o alla disposizione di uno stablecoin qualificante soggetto a un obbligo o a un diritto di riacquisto del medesimo o equivalente stablecoin: questa esclusione mira a evitare che l’esenzione venga utilizzata per strutturare operazioni di securities financing in cryptoasset che, nella loro sostanza economica, si avvicinano alle operazioni pronti contro termine o alle operazioni di prestito titoli, assoggettate a un regime regolatorio diverso. In secondo luogo, e di ancor maggiore rilievo sistematico, l’esenzione non si applica alle transazioni di scambio tra uno stablecoin qualificante e un cryptoasset qualificante non stablecoin: la conversione tra stablecoin e cryptoasset volatili rimane quindi soggetta alla piena disciplina delle attività regolate, in quanto tale operazione — per sua natura — espone le parti a rischi di mercato e di liquidità significativamente superiori a quelli delle transazioni tra asset di valore stabile.22
5.3 L’esenzione dalla financial promotion restriction
Parallelamente all’esenzione dalle attività regolate, il Draft SI 2026 introduce — tramite il nuovo articolo 73ZAA del FPO 2005 — un’esenzione dalla financial promotion restriction di cui alla sezione 21 del FSMA per le comunicazioni commerciali relative ai relevant qualifying stablecoins. L’esenzione riguarda le comunicazioni nell’ambito delle attività controllate di negoziazione, arranging e consulenza sugli investimenti, laddove tali comunicazioni si riferiscano al trasferimento o allo scambio di uno stablecoin qualificante emesso da un soggetto autorizzato.
Questa scelta normativa è coerente con la logica sottostante all’esenzione dalle attività regolate: se la promozione di uno stablecoin il cui emittente è già soggetto a supervisione prudenziale e di condotta fosse assoggettata agli stessi requisiti di comunicazione pubblicitaria previsti per l’offerta al pubblico di cryptoasset non regolati, ne deriverebbe un aggravio sproporzionato per operatori che operano già nel perimetro di una regolazione stringente. Parallelamente, i medesimi limiti applicabili all’esenzione dalle attività regolate valgono anche per quella dalla financial promotion restriction: le comunicazioni relative allo scambio tra stablecoin qualificante e cryptoasset non stablecoin rimangono soggette alla disciplina ordinaria.
5.4 L’emissione di stablecoin qualificanti come attività controllata
Complementare all’introduzione del regime di esenzione è la qualificazione espressa dell’emissione di stablecoin qualificanti come attività controllata (controlled activity) ai fini del FPO 2005, mediante l’inserimento del nuovo paragrafo 7ZA nella Parte 1 dello Schedule 1. Questa qualificazione non genera, di per sé, nuovi obblighi per chi emette stablecoin già autorizzato — la cui attività ricade già nel perimetro del FPO come conseguenza dell’autorizzazione FSMA — ma ha l’effetto di assoggettare alla financial promotion restriction le comunicazioni promozionali relative all’emissione di stablecoin da parte di soggetti non autorizzati, colmando così una lacuna che avrebbe potuto essere sfruttata per eludere la disciplina delle comunicazioni finanziarie.23
La definizione di «emissione» fornita dal nuovo paragrafo 7ZA merita attenzione, sia per la sua ampiezza sia per le sue esclusioni. Un soggetto (A) è considerato emittente di uno stablecoin qualificante se: (a) offre o organizza l’offerta dello stablecoin in vendita o sottoscrizione da un insediamento nel Regno Unito; (b) lo stablecoin è stato creato da A o da un membro del suo gruppo; e (c) A svolge da un insediamento nel Regno Unito sia l’attività di rimborso (o le relative disposizioni) sia la detenzione delle riserve di valore fiat o di altri asset a sostegno della stabilità del valore dello stablecoin. Significativamente, la semplice operazione di minting — la creazione tecnica dello stablecoin sulla blockchain nella sua forma trasferibile — è esclusa dalla definizione di emissione. Tale esclusione ha una precisa ratio: il minting è un’operazione tecnica che non implica necessariamente un rapporto contrattuale con gli investitori finali; è l’assunzione dell’obbligo di rimborso e la gestione delle riserve che caratterizzano l’attività economicamente rilevante dal punto di vista della tutela degli investitori.
5.5 Implicazioni per il regime AML/CFT
Le disposizioni del Draft SI 2026 hanno implicazioni significative, pur se indirette, per il regime AML/CFT applicabile ai cryptoasset. La creazione di un perimetro regolatorio chiaro per gli stablecoin qualificanti emessi da soggetti autorizzati — con la connessa esenzione da alcuni obblighi di attività regolata e di financial promotion — ha l’effetto di segmentare il mercato degli stablecoin in due categorie: gli stablecoin emessi da operatori autorizzati e vigilati, che beneficiano del regime semplificato, e gli stablecoin emessi al di fuori di questo perimetro, che rimangono soggetti alla piena disciplina.
Dal punto di vista AML/CFT, questa segmentazione è di rilievo perché introduce criteri normativi che possono orientare la valutazione del rischio delle transazioni in stablecoin. Il fatto che uno stablecoin sia emesso da un soggetto autorizzato FSMA, e che le transazioni che lo riguardano siano esenti da alcuni obblighi regolatori, costituisce un indicatore di rischio più basso rispetto ai circuiti degli stablecoin non regolati — come il caso di Grinex e del suo stablecoin A7A5 ancorato al rublo, documentato nella Threat Assessment dell’OFSI — che operano al di fuori di qualsiasi quadro di supervisione equivalente. In altri termini, la distinzione introdotta dal Draft SI 2026 potrebbe essere recepita nelle guidance settoriali AML/CFT come elemento di differenziazione del rischio nelle valutazioni della customer due diligence relative a controparti che utilizzano stablecoin.24
Vi è tuttavia una tensione latente che merita di essere segnalata: la semplificazione degli obblighi per le transazioni in stablecoin qualificanti rischia di creare un incentivo all’arbitraggio regolatorio, inducendo operatori che intendano sfuggire agli obblighi ordinari a strutturare le proprie attività in forma di transazioni in stablecoin. Il legislatore ha tentato di presidiare questo rischio attraverso i due limiti sopra descritti — esclusione delle operazioni con obbligo di riacquisto e delle conversioni stablecoin/cryptoasset non stablecoin — ma la completezza di tale presidio potrà essere valutata solo alla luce della prassi applicativa successiva all’entrata in vigore del provvedimento.
VI. Sanzioni finanziarie e cryptoasset: la prospettiva dell’OFSI
5.1 Il quadro sanzionatorio e il ruolo dell’OFSI
L’Office of Financial Sanctions Implementation (OFSI) è l’autorità competente per l’attuazione delle sanzioni finanziarie del Regno Unito, operante nell’ambito dell’HM Treasury. Sebbene la sua attività sia concettualmente distinta dalla supervisione AML/CFT — le sanzioni finanziarie costituiscono un regime autonomo fondato sulla legislazione del Sanctions and Anti-Money Laundering Act 2018 (SAMLA) — vi è una significativa sovrapposizione pratica nel settore dei cryptoasset: le stesse tecniche di offuscamento utilizzate per il riciclaggio di proventi illeciti sono spesso impiegate per eludere le sanzioni finanziarie, e i medesimi soggetti vigilati sono tenuti al rispetto di entrambi i regimi.
La Cryptoassets Threat Assessment pubblicata dall’OFSI nel luglio 2025 rappresenta l’analisi più aggiornata e dettagliata disponibile sulle modalità concrete con cui le sanzioni finanziarie vengono violate tramite cryptoasset. Il documento si basa su informazioni raccolte dall’OFSI nel periodo gennaio 2022 — maggio 2025 e formula cinque «giudizi chiave» (key judgements) che costituiscono la colonna vertebrale dell’analisi. Giova ricordare che la Threat Assessment utilizza un «barometro probabilistico» (Probability Yardstick) elaborato dal Professional Head of Intelligence Assessment del governo britannico: le affermazioni sono accompagnate da qualificatori probabilistici standardizzati che vanno da «Remote Chance» (0-5%) ad «Almost Certain» (95-100%).13
5.2 La sotto-segnalazione come vulnerabilità sistemica
Il primo e più preoccupante giudizio chiave dell’OFSI stabilisce che è «quasi certo» (almost certain) che le imprese britanniche di cryptoasset abbiano sotto-segnalato sospette violazioni delle sanzioni finanziarie all’OFSI dall’agosto 2022 in poi. Tale valutazione si basa sull’analisi dei pattern di segnalazione: «la stragrande maggioranza di tali segnalazioni (oltre il 90%) è stata presentata dall’aprile 2024 in poi», il che suggerisce che nel periodo precedente la conformità con gli obblighi di segnalazione era ampiamente deficitaria.14
Le cause della sotto-segnalazione sono di natura tecnica e organizzativa. L’OFSI identifica come fattori principali: i ritardi nell’attribuzione delle transazioni ai soggetti designati (designated persons, DPs), dovuti alla difficoltà di ricondurre indirizzi blockchain anonimi a identità reali; l’acquisizione tardiva di strumenti di blockchain analytics, che permette di identificare retroattivamente transazioni già eseguite; e la complessità delle strutture di esposizione indiretta, in cui le cripto-imprese non interagiscono direttamente con un DP ma attraverso una catena di intermediari.
In risposta, l’OFSI ha formulato raccomandazioni operative dettagliate sulle modalità di segnalazione: tra queste, l’aggregazione in un unico rapporto di transazioni multiple di basso valore che coinvolgono gli stessi attori o indirizzi, l’indicazione di tutti gli indirizzi intermedi e dei relativi hash di transazione, e la spiegazione delle motivazioni dei ritardi nelle segnalazioni storiche.15
5.3 L’esposizione a Garantex e l’emergenza di Grinex
Il terzo giudizio chiave dell’OFSI — classificato come «highly likely» — concerne l’esposizione delle imprese britanniche di cryptoasset all’exchange russo Garantex, designato dal Regno Unito nel maggio 2022 sotto il Russia (Sanctions) (EU Exit) Regulations 2019 per il suo coinvolgimento nel supporto al Governo russo attraverso l’operatività nel settore dei servizi finanziari. Il documento dell’OFSI rivela che «quasi tutte le transazioni da servizi britannici attribuiti o da imprese di cryptoasset registrate presso la FCA verso soggetti designati dal 2022 hanno coinvolto Garantex».16
L’analisi on-chain di Garantex condotta dall’OFSI ha rivelato che l’exchange ha ricevuto somme significative da una varietà di attività illecite, tra cui gruppi ransomware, ed è stato un canale finanziario chiave per Hydra Market, il più grande marketplace del dark web nella storia, prima del suo smantellamento. Nel marzo 2025, Garantex è stato oggetto di un’operazione internazionale di contrasto che ha portato al sequestro dei suoi domini e server in Germania e Finlandia e al congelamento di circa 26 milioni di dollari in cryptoasset illeciti.
Tuttavia, l’OFSI valuta come «highly likely» che almeno un’organizzazione successiva sia stata costituita e sia attualmente operativa come continuazione diretta di Garantex. Si tratta di Grinex, un fornitore di servizi di cryptoasset registrato in Kirghizistan che offre conversioni tra USD, rublo, USDT e A7A5, uno stablecoin ancorato al rublo. L’OFSI nota una serie di indicatori convergenti che attestano la continuità tra le due entità: l’interfaccia visivamente identica dei siti web, il rimborso su Grinex di alcuni utenti che avevano perso fondi durante lo smantellamento di Garantex, il trasferimento di liquidità coordinato tra le due piattaforme, e — dato di particolare significatività — il fatto che al maggio 2025 i volumi di transazione in entrata e uscita di Grinex superassero i 1,2 miliardi di dollari in USDT.17
5.4 La minaccia nordcoreana: cyberattacchi e lavoratori IT infiltrati
Il quarto giudizio chiave dell’OFSI qualifica la minaccia rappresentata dagli attori cibernetici collegati alla Repubblica Democratica Popolare di Corea (DPRK) come la più significativa e persistente per il settore dei cryptoasset nel momento attuale. Tale valutazione si basa sull’escalation degli attacchi documentati: nel febbraio 2025, attori collegati alla DPRK sono stati responsabili del furto di circa 1,5 miliardi di dollari in cryptoasset dall’exchange Bybit — il più grande furto di cryptoasset mai registrato — e nel 2024 l’exchange britannico Lykke è stato compromesso con la perdita di circa 19,5 milioni di dollari, attribuita agli stessi attori nordcoreani.
Una minaccia particolarmente insidiosa, emersa con maggiore chiarezza nel 2024, è quella dei lavoratori IT nordcoreani che si infiltrano nelle imprese di cryptoasset travestendosi da lavoratori freelance di paesi terzi. Come nota l’OFSI nel suo Advisory del settembre 2024, «c’è una possibilità realistica che i lavoratori IT che ottengono accesso privilegiato a informazioni sensibili o critiche dell’azienda possano determinare la compromissione o l’uso improprio di tali informazioni da parte di altri attori cibernetici malevoli della DPRK».18 Tale minaccia interseca direttamente le problematiche KYC delle cripto-imprese: procedure di verifica dell’identità insufficienti facilitano l’infiltrazione.
5.5 Tipologie di evasione sanzionatoria: un’analisi sistematica
La Threat Assessment fornisce una tassonomia dettagliata delle tecniche impiegate per eludere le sanzioni finanziarie tramite cryptoasset, che merita una trattazione sistematica in quanto illumina i meccanismi concreti che la regolamentazione AML/CFT è chiamata a fronteggiare.
La tecnica più frequentemente osservata è il layering tramite mixing e tumbling services: servizi che oscurano la storia transazionale dei cryptoasset raggruppando fondi di utenti multipli e redistribuendoli, rendendo difficile tracciare l’origine originaria. I mixer abilitati da smart contract su protocolli DeFi aggiungono un ulteriore livello di offuscamento eliminando qualsiasi interazione umana con i cryptoasset. Strettamente connessa è la tecnica del chain hopping: il trasferimento di cryptoasset tra reti blockchain diverse tramite «bridge», che aumenta la complessità del tracciamento e può consentire di spostare fondi verso blockchain orientate alla privacy.
Le piattaforme over-the-counter (OTC) e i servizi P2P sono identificati come vettori particolarmente rilevanti per la conversione da crypto a fiat e viceversa, spesso al di fuori della supervisione degli exchange regolamentati. Gli exchange annidati (nested exchanges), che operano sfruttando l’infrastruttura di exchange più grandi senza la consapevolezza o il consenso di questi ultimi, gestiscono cryptoasset illeciti a tassi significativamente superiori rispetto alle piattaforme legittime. L’OFSI segnala altresì l’impiego crescente di stablecoin — in particolare USDT — come strumento di sanctions evasion, per via della loro stabilità di valore e della facilità di trasferimento transfrontaliero.19
Sul piano dei segnali d’allerta (red flags), l’OFSI ha elaborato un elenco dettagliato di indicatori comportamentali e transazionali che, pur non costituendo di per sé prova di attività illecita, devono indurre le cripto-imprese ad applicare una due diligence rafforzata. Tra questi figurano: transazioni di importo elevato immediatamente successive ad annunci di sanzioni; cambiamenti improvvisi nei pattern transazionali; l’uso crescente di DEX rispetto agli exchange regolamentati; l’esposizione a servizi privi di requisiti KYC; e l’impiego di VPN per mascherare la vera ubicazione geografica di una controparte.
VII. Riflessioni conclusive: verso un sistema AML/CFT integrato per i cryptoasset
6.1 Coerenza sistemica e tensioni irrisolte
L’analisi congiunta della Consultation Response e della Cryptoassets Threat Assessment permette di trarre alcune conclusioni di carattere sistematico sull’architettura regolatoria britannica in materia di AML/CFT applicata ai cryptoasset.
In primo luogo, emerge con chiarezza che il legislatore britannico ha scelto di perseguire la proporzionalità normativa come valore primario, anche a costo di aumentare la complessità del sistema. La riforma della EDD sulle transazioni «insolitamente complesse», la modifica al regime degli HRTC e la creazione di un regime autonomo per i PCAs sono tutte espressioni di questa filosofia: invece di regole uniformi e di facile applicazione, il sistema privilegia regole calibrate sul rischio effettivo, più difficili da applicare ma più efficienti nell’allocazione delle risorse di compliance. Questa scelta è coerente con l’approccio FATF, ma pone oneri significativi sulle imprese regolate, in particolare su quelle di piccole dimensioni.
In secondo luogo, si riscontra una tensione non completamente risolta tra la logica riformistica della Consultation Response — che tende a semplificare e chiarire i requisiti per ridurre i costi di compliance — e la logica diagnostica della Threat Assessment — che documenta l’inadeguatezza delle pratiche di compliance esistenti e la prevalenza della sotto-segnalazione. Se le imprese faticano già a rispettare i requisiti attuali, l’introduzione di un sistema ancora più differenziato e risk-based potrebbe esacerbare piuttosto che risolvere i problemi di conformità.
6.2 L’integrazione tra AML/CFT e sanzioni finanziarie
Un tema trasversale che emerge dall’analisi è la convergenza crescente tra il regime AML/CFT e il regime sanzionatorio nel settore dei cryptoasset. Le modifiche alle Regulations 52A e 52B delle MLRs — che ampliano l’ambito delle informazioni riservate che la FCA è autorizzata a condividere nell’esercizio delle sue funzioni, includendovi informazioni sulla supervisione MLRs delle cripto-imprese — costituiscono un segnale significativo: il legislatore riconosce che la compartimentazione informativa tra supervisori AML/CFT e autorità sanzionatorie non è più funzionale di fronte alla natura integrata delle minacce.25
Questa convergenza trova riscontro anche nella disposizione che aggiunge il Financial Regulators Complaints Commissioner alla lista delle autorità rilevanti nella Regulation 52, e nell’emendamento che allinea la difesa contro la violazione delle restrizioni sulla riservatezza con quella prevista dall’articolo 348 del Financial Services and Markets Act. Si tratta di passi verso una maggiore integrazione sistemica che, pur di natura tecnica, hanno implicazioni significative per la governance dell’intero comparto.
6.3 La sfida della velocità tecnologica
La sfida più profonda che emerge dall’analisi è quella della velocità relativa: la tecnologia dei cryptoasset evolve a un ritmo che supera strutturalmente i tempi del processo legislativo e regolatorio. L’emergenza di Grinex come successore quasi immediato di Garantex, la sofisticazione crescente delle tecniche di layering attraverso protocolli DeFi e bridge cross-chain, l’infiltrazione di lavoratori IT nordcoreani: tutti questi fenomeni documentati dalla Threat Assessment sono emersi e si sono diffusi in un arco temporale di tre anni, mentre le riforme legislative esaminate nella Consultation Response hanno richiesto oltre un anno di consultazione e richiederanno ulteriore tempo prima di essere recepite nella legislazione primaria e secondaria.
La risposta istituzionale a questa asimmetria temporale non può essere esclusivamente di natura legislativa. Lo testimonia la scelta strategica dell’OFSI di pubblicare threat assessments settoriali — strumenti di soft law ad aggiornamento rapido — a complemento degli interventi normativi. E lo testimonia l’enfasi della Consultation Response sugli strumenti di guidance settoriale, da aggiornare con cadenza più frequente rispetto alle modifiche legislative. La coesistenza di regolazione «dura» e «morbida», con orizzonti temporali e velocità di aggiornamento diversi, appare dunque come il modello regolatorio che il sistema britannico sta elaborando per rispondere alla sfida dell’innovazione tecnologica.
In prospettiva, la coerenza di lungo periodo del quadro regolatorio dipenderà dalla capacità delle autorità competenti — FCA, OFSI, NCA, HM Treasury — di sviluppare meccanismi di coordinamento e condivisione delle informazioni all’altezza delle minacce. Le riforme esaminate in questo contributo costituiscono un passo avanti significativo in questa direzione; se tuttavia la tecnologia continuerà a evolversi al ritmo attuale, sarà necessaria una revisione ancora più profonda non solo delle singole norme, ma dell’architettura istituzionale complessiva della governance dei cryptoasset nel Regno Unito.
Note
1. HM Treasury, Improving the Effectiveness of the Money Laundering Regulations — Consultation Response (London: HM Treasury, July 2025), p. 8.
2. Office of Financial Sanctions Implementation (OFSI), Cryptoassets Threat Assessment (London: HM Treasury, July 2025), pp. 4–6.
3. HM Treasury/Treasury Counsel, Financial Services and Markets Act 2000 (Cryptoassets) (Amendment) Regulations 2026 — Draft Statutory Instrument (London: HM Treasury, 2026), reg. 1 e reg. 2.
4. HM Treasury, Consultation Response, cit., p. 10.
5. Ibid., p. 10.
6. Ibid., p. 12.
7. Ibid., p. 19.
8. Ibid., p. 21.
9. Ibid., pp. 23–24.
10. Ibid., p. 33.
11. Ibid., p. 43.
12. Ibid., p. 32.
13. OFSI, Cryptoassets Threat Assessment, cit., p. 7.
14. Ibid., p. 9.
15. Ibid., pp. 10–11.
16. Ibid., p. 20.
17. Ibid., pp. 22–23.
18. Ibid., p. 25.
19. Ibid., pp. 14–16.
20. Draft SI 2026, cit., reg. 2(1)–(2).
21. Ibid., reg. 2(3)(v), nuovo art. 9Z10A(5) del Regulated Activities Order.
22. Ibid., nuovo art. 9Z10A(2) e (3).
23. Ibid., reg. 3(3)(a), nuovo par. 7ZA, Schedule 1, Parte 1, FPO 2005.
24. OFSI, Cryptoassets Threat Assessment, cit., pp. 22–23 (sulla natura e le implicazioni di Grinex e del suo stablecoin A7A5).
25. HM Treasury, Consultation Response, cit., pp. 26–27.
Fonti primarie citate
HM Treasury. Improving the Effectiveness of the Money Laundering Regulations — Consultation Response. London: HM Treasury, July 2025. Disponibile su: http://www.gov.uk/official-documents.
Office of Financial Sanctions Implementation (OFSI). Cryptoassets Threat Assessment. London: HM Treasury, July 2025. Contatti: ofsi@hmtreasury.gov.uk.
Financial Action Task Force (FATF). The FATF Recommendations: International Standards on Combating Money Laundering and the Financing of Terrorism and Proliferation. Paris: FATF, 2012 (agg. 2023).
HM Treasury. Review of the UK’s Anti-Money Laundering and Counter-Terrorist Financing Regulatory and Supervisory Regime. London: HM Treasury, 2022.
UK Parliament. The Money Laundering, Terrorist Financing and Transfer of Funds (Information on the Payer) Regulations 2017, SI 2017/692.
UK Parliament. Sanctions and Anti-Money Laundering Act 2018.
UK Parliament. Financial Services and Markets Act 2023.
National Crime Agency (NCA). Operation Destabilise. Press Release, 4 dicembre 2024.
Financial Law 