L’Autorità Bancaria Europea (EBA) il 9 ottobre ha pubblicato il “Report on tackling ML/TF risks in crypto-asset services through supervision: lessons learned from recent cases”, un documento destinato alle autorità di vigilanza ma che in realtà è molto più di un report: è una radiografia cruda e dettagliata di come si è sviluppato il settore delle criptovalute in Europa, delle sue persistenti falle strutturali sul fronte antiriciclaggio e delle sfide enormi che attendono autorità e operatori nei prossimi anni.
Indice degli argomenti
Ambizioni europee e vuoti normativi pre-MICA
Il documento, pubblicato dopo l’entrata in vigore del regolamento MiCA (Markets in Crypto-Assets), racconta una storia complessa: da un lato l’ambizione europea di costruire un mercato crypto sicuro, integrato e competitivo; dall’altro, le pratiche elusive di operatori che hanno prosperato per anni nel vuoto normativo. È una lettura quasi inquietante per chi si occupa di finanza digital o per chi semplicemente investe in crypto. Questo report, però, ha implicazioni ben più ampie: riguarda tutti coloro che entreranno nel mondo crypto con la sua crescente diffusione. Come verranno gestite queste vulnerabilità deciderà se potremo davvero fidarci dell’ecosistema europeo delle criptovalute.
Il paradosso della blockchain tra trasparenza e vulnerabilità
Il paradosso del mondo crypto è sempre lo stesso: la blockchain, con la sua trasparenza e tracciabilità, offre strumenti straordinari per contrastare il riciclaggio di denaro; ma allo stesso tempo crea spazi inediti per aggirare controlli e normative:
- le transazioni sono pubbliche ma spesso scollegate da identità verificate;
- gli smart contract possono automatizzare la compliance, ma possono anche diventare veicoli per schemi complessi difficili da interrompere.
- E la natura globale e decentralizzata di questi sistemi sfida le autorità nazionali abituate a operare entro confini ben definiti.
Per questo l’Unione Europea, già nel 2018 con la quinta direttiva antiriciclaggio (AMLD5), ha iniziato timidamente a includere alcuni operatori crypto nel perimetro dei soggetti obbligati (anche se in Italia questa disposizione era già stata “accolta” in sede di recepimento della quarta direttiva). Poi, a partire dal 30 dicembre 2024, con l’entrata in vigore di MiCA e dell’AML Package (AMLR, AMLD6 e l’istituzione della nuova autorità europea antiriciclaggio: AMLA), ha avviato una trasformazione radicale: per la prima volta esiste un quadro normativo europeo uniforme per emissione, scambio e custodia di cripto-asset, con regole comuni, autorizzazioni armonizzate e poteri di vigilanza rafforzati.
Ma questo salto in avanti non ha cancellato ciò che è accaduto prima. Anzi: il report EBA mostra con grande chiarezza come molti operatori abbiano sfruttato la frammentazione normativa per costruire modelli di business basati proprio sulle differenze tra Paesi.
Il Far West europeo: forum shopping e arbitraggi regolamentari
Una delle sezioni più interessanti del report riguarda il fenomeno del forum shopping: aziende che, prima dell’adozione di MiCA, sceglievano strategicamente in quale Stato membro registrarsi o richiedere una licenza, cercando le giurisdizioni più permissive. Quando un’autorità iniziava a fare domande sull’attività svolta, alcuni operatori ricominciavano altrove. In alcuni casi, addirittura, le società trasferivano i clienti da un’entità a un’altra all’interno dello stesso gruppo per continuare a operare nonostante gli ordini di cessazione dell’attività.
In un caso citato dal report, un operatore con sede in un Paese terzo offriva servizi in quattro Stati membri diversi, tra il 2019 e il 2024, senza mai aver richiesto o ottenuto le autorizzazioni necessarie. Ogni volta che un’autorità interveniva, la società spostava le sue attività su un’altra giurisdizione, in una sorta di “gioco del gatto e del topo” su scala continentale.
Abuso della reverse solicitation nel mercato unico
C’è poi l’abuso sistematico della reverse solicitation, l’eccezione che permette a operatori non UE di offrire servizi se è il cliente europeo a cercarli “spontaneamente”. In teoria dovrebbe essere una fattispecie residuale; in pratica, il report mostra come molti siti web fossero strutturati per dare questa impressione in modo artificioso: sezioni dedicate a singoli Paesi UE, prezzi in euro, traduzioni nelle lingue locali, campagne pubblicitarie mirate.
Tutto per fingersi passivi quando in realtà facevano marketing aggressivo verso i clienti europei.
Sistemi antiriciclaggio inadeguati o deliberatamente deboli
Il report dedica ampio spazio alle carenze strutturali nei controlli antiriciclaggio. Non si tratta di errori occasionali, ma di strategie deliberate o di debolezze sistemiche: sistemi KYC inadeguati, screening delle sanzioni assente, assenza di monitoraggio delle transazioni sospette. In molti casi le funzioni chiave erano delegate a società del gruppo in Paesi terzi, con procedure non adattate alle norme europee.
Un caso emblematico riguarda un CASP che, pur operando in più Stati membri, non verificava adeguatamente l’identità dei clienti, non applicava due diligence rafforzata per i soggetti ad alto rischio e non aveva alcun sistema efficace di segnalazione. L’ufficio compliance era affidato a un consulente part-time, condiviso con altre istituzioni. Altri operatori ignoravano completamente i rischi legati all’interazione con la finanza decentralizzata (DeFi), fungendo da “rampe d’accesso” a protocolli anonimi senza adeguate misure di mitigazione.
E poi c’è la questione delle strutture proprietarie opache: reti societarie che attraversano più giurisdizioni, prestanomi, trust, veicoli offshore. In diversi casi, le stesse aziende fornivano informazioni diverse a autorità diverse, rendendo impossibile individuare i beneficiari effettivi. Non si tratta di trascuratezza, ma di opacità deliberata per evitare i controlli di onorabilità e trasparenza.
Tre pilastri per un mercato crypto unificato
Con MiCA e il pacchetto antiriciclaggio, l’Europa ha alzato l’asticella anche dei controlli e non solo delle regole. Le novità principali sono essenzialmente tre.
- Un’autorizzazione unica e passporting europeo: è stata armonizzata la modalità con le quali le imprese crypto possono ottenere una autorizzazione per operare in tutta l’UE, con standard comuni su governance, AML e organizzazione.
- Limiti severi alla reverse solicitation: le attività di marketing verso clienti europei da parte di soggetti extra-UE saranno vietate, salvo eccezioni rigorose.
- Poteri di vigilanza ed enforcement rafforzati: autorità nazionali, EBA, ESMA e la futura AMLA potranno intervenire con sanzioni, revoche e misure correttive coordinate.
Ma la vera partita si gioca nel periodo transitorio, fino a luglio 2026, quando coesisteranno i vecchi regimi nazionali e il nuovo quadro europeo. È qui che il report lancia l’allarme: molte aziende con problemi di compliance stanno cercando di ottenere autorizzazioni MiCA sfruttando procedure semplificate. Il rischio è quello del “grandfathering di comodo”: operatori ad alto rischio che ottengono il “bollino europeo” senza aver realmente risolto le loro vulnerabilità. Se accadesse, i problemi non verrebbero eliminati, ma semplicemente “europeizzati”.
I confini porosi tra finanza tradizionale e decentralizzata
Il report dedica spazio anche ai rischi emergenti. Il più insidioso è il confine poroso tra il mondo regolamentato e quello decentralizzato. Anche se i protocolli DeFi non sono soggetti direttamente alla regolamentazione, gli exchange e i wallet provider fungono da canali di ingresso e uscita. Se non riconoscono e gestiscono questi rischi, diventano anelli deboli della catena.
Altro tema critico sono gli stablecoin, in particolare quelli emessi in conformità a MiCA ma poi scambiati su piattaforme con controlli scadenti. È come costruire una cassaforte e lasciarla in una stanza con le finestre aperte. Anche partnership tra emittenti rispettabili ed exchange problematici possono generare “contagio reputazionale e operativo”, minando la fiducia nell’intero sistema.
Nessuna autorità può agire da sola: il ruolo della cooperazione
Nessuna autorità nazionale, da sola, può affrontare questi problemi. L’EBA lo dice chiaramente: la natura transfrontaliera del settore crypto rende la cooperazione tra autorità europee e internazionali un imperativo, non un’opzione. Per questo, entro fine 2025 entrerà in funzione AMLA, la nuova Autorità Antiriciclaggio europea che avrà sede a Francoforte e avrà poteri diretti su alcuni operatori ad alto rischio o di rilevanza sistemica.
La cooperazione, però, non riguarda solo le istituzioni pubbliche: il report sottolinea l’importanza di partnership pubblico–private per condividere intelligence, tipologie di rischio, strumenti di analisi blockchain. Alcune giurisdizioni stanno già sperimentando “sandbox normative“ dove autorità e operatori testano insieme nuove modalità di compliance. È un cambio di mentalità: dalla vigilanza reattiva a un approccio anticipatorio e collaborativo.
Quando le regole incidono sui portafogli di tutti
Si potrebbe pensare che queste siano questioni per tecnici, giuristi o regolatori. Non è così. Il modo in cui l’Europa gestirà questa transizione determinerà quanto potremo fidarci delle piattaforme crypto che usiamo per investire, custodire fondi o semplicemente sperimentare nuove forme di finanza digitale.
Un exchange che non rispetta le norme AML può essere chiuso da un giorno all’altro, lasciando gli utenti senza accesso ai propri fondi. Un emittente di stablecoin con partner opachi può esporre i risparmi a rischi di congelamento, frode o sanzioni. Un operatore che sfrutta lacune normative può diventare il veicolo inconsapevole per attività criminali, con effetti che ricadono su tutto l’ecosistema.
Per questo la fase che si apre è decisiva: nei prossimi 18 mesi capiremo se l’Europa sarà in grado di costruire un ecosistema crypto innovativo ma affidabile, o se prevarranno ancora arbitraggi e zone grigie.
Innovazione responsabile o replicazione di vecchie vulnerabilità
Il messaggio finale del report è netto: l’era del “Far West” crypto europeo sta finendo. Ma la costruzione di un nuovo paradigma basato su “innovazione responsabile” richiederà risorse, competenze e, soprattutto, volontà politica e amministrativa.
Per gli operatori, significa che i giorni dell’arbitraggio normativo sono contati. Per i consumatori, che avranno più tutele ma dovranno imparare a distinguere tra soggetti affidabili e truffatori. Per le autorità, che dovranno passare da un approccio difensivo a uno proattivo, imparando a leggere i segnali deboli e ad agire in rete.
Il report dell’EBA può essere letto dunque anche come un manifesto per il futuro del settore crypto in Europa: non solo una fotografia del presente, ma una chiamata all’azione. Se riusciremo a trasformare queste lezioni in pratica regolatoria coerente, potremo davvero avere un mercato innovativo e sicuro delle crypto, ciò a vantaggio di una concorrenza basata effettivamente sull’innovazione e non su elementi meno trasparenti nascosti dietro strabiliati promesse di guadagno.
Se non ci riusciremo, rischiamo di replicare nel digitale le stesse vulnerabilità che per decenni hanno favorito il riciclaggio nel sistema finanziario tradizionale. Solo questa volta, su scala globale e in tempo reale.
