DECRETO LEGISLATIVO n. 204 del 27 dicembre 2024
Adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023, riguardante i dati informativi che accompagnano i trasferimenti di fondi e determinate cripto-attività e che modifica la direttiva (UE) 2015/849, e per l’attuazione della direttiva (UE) 2015/849, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, come modificata dall’articolo 38 del medesimo Regolamento (UE) 2023/1113
Art. 1
Modifiche al decreto legislativo 21 novembre 2007, n. 231
1. Al decreto legislativo 21 novembre 2007, n. 231, sono apportate le seguenti modificazioni:
a) all’articolo 1, comma 2:
1) la lettera g) è sostituita dalla seguente:
«g) conti correnti di corrispondenza e rapporti ad essi assimilabili: conti tenuti dalle banche per il regolamento dei servizi interbancari e gli altri rapporti comunque denominati, intrattenuti tra intermediari bancari e finanziari per il regolamento di transazioni per conto dei clienti degli enti corrispondenti, inclusi i rapporti per lo svolgimento di operazioni in cripto-attività o trasferimenti di cripto-attività;»;
2) la lettera m) è sostituita dalla seguente:
«m) conti di passaggio: rapporti di corrispondenza transfrontalieri, intrattenuti tra intermediari bancari e finanziari, utilizzati per effettuare operazioni in nome proprio e per conto della clientela, inclusi i rapporti per lo svolgimento di operazioni in cripto-attività o trasferimenti di cripto-attività;»;
3) dopo la lettera m), è inserita la seguente:
«m-bis) cripto-attività: cripto-attività quale definita all’articolo 3, paragrafo 1, punto 5), del regolamento (UE) 2023/1114, del Parlamento europeo e del Consiglio, del 31 maggio 2023, tranne quando rientra nelle categorie di cui all’articolo 2, paragrafi 2, 3 e 4, del medesimo regolamento o è altrimenti qualificata come fondi;»;
4) alla lettera t), dopo le parole: «mezzi di pagamento» sono inserite le seguenti: «o di cripto-attività»;
5) la lettera ff) è abrogata;
6) la lettera ff-bis) è abrogata;
7) alla lettera ll), le parole: «, che non si esaurisce in un’unica operazione» sono soppresse;
8) dopo la lettera mm), è inserita la seguente:
«mm-bis) servizi per le cripto-attività: i servizi quali definiti all’articolo 3, paragrafo 1, punto 16), del regolamento (UE) 2023/1114;»;
9) la lettera qq) è abrogata;
10) dopo la lettera qq), è aggiunta la seguente:
«qq-bis) indirizzo auto-ospitato: un indirizzo auto-ospitato quale definito all’articolo 3, punto 20), del regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023.»;
b) all’articolo 3:
1) al comma 2, lettera v), il segno di interpunzione: «.» è sostituito dal seguente: «;»;
2) al comma 2, dopo la lettera v), è aggiunta la seguente:
«v-bis) i prestatori di servizi per le cripto-attività come definiti all’articolo 3, paragrafo 1, punto 15), del regolamento (UE) 2023/1114, autorizzati in Italia alla prestazione di tali servizi, ad eccezione del servizio di consulenza sulle cripto-attività.»;
3) al comma 5, le lettere i) e i-bis) sono abrogate;
c) all’articolo 9, comma 2, dopo la lettera f), è inserita la seguente:
«f-bis) prestatori di servizi per le cripto-attività di cui all’articolo 3, comma 2, lettera v-bis);»;
d) dopo l’articolo 16, è inserito il seguente:
«Art. 16-bis (Individuazione e valutazione dei rischi associati ai trasferimenti di cripto-attività diretti a o provenienti da un indirizzo auto-ospitato). – 1. I prestatori di servizi per le cripto-attività individuano e valutano il rischio di riciclaggio e di finanziamento del terrorismo associato ai trasferimenti di cripto-attività diretti a o provenienti da un indirizzo auto-ospitato.
2. I prestatori di servizi per le cripto-attività adottano i presidi e attuano i controlli e le procedure necessarie a mitigare tali rischi e applicano misure di attenuazione commisurate ai rischi individuati. Tali misure comprendono una o più delle misure seguenti:
a) misure basate sul rischio per identificare il cedente o il cessionario di un trasferimento effettuato da o verso un indirizzo auto-ospitato o il titolare effettivo di tale cedente o cessionario, anche facendo affidamento su terzi, e verificarne l’identità;
b) richiesta di informazioni aggiuntive sull’origine e sulla destinazione delle cripto-attività trasferite;
c) un monitoraggio continuo e rafforzato delle operazioni dirette a o provenienti da indirizzi auto-ospitati;
d) qualsiasi altra misura volta ad attenuare e gestire i rischi di riciclaggio e di finanziamento del terrorismo, nonchè il rischio di mancata attuazione e di evasione delle sanzioni finanziarie adottate dall’Unione europea, nei casi di cui agli articoli 4 e 4-ter del decreto legislativo 22 giugno 2007, n. 109, ovvero con decreto del Ministro dell’economia e delle finanze nei casi di cui all’articolo 4-bis del medesimo decreto.»;
e) all’articolo 17, comma 1, lettera b), le parole: «un trasferimento di fondi, come definito dall’articolo 3, paragrafo 1, punto 9, del regolamento (UE) n. 2015/847 del Parlamento europeo e del Consiglio» sono sostituite dalle seguenti: «un trasferimento di fondi o di cripto-attività, come definito dall’articolo 3, punti 9) e 10), del regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023»;
f) all’articolo 24, comma 5, lettera b), sono aggiunte, infine, le seguenti parole: «o che comportano l’esecuzione di servizi per le cripto-attività con un intermediario bancario o finanziario corrispondente di un Paese terzo»;
g) dopo l’articolo 25, è inserito il seguente:
«Art. 25-bis (Modalità di esecuzione degli obblighi di adeguata verifica rafforzata della clientela per i rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di servizi per le cripto-attività). – 1. Nel caso di rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di servizi per le cripto-attività quali definiti all’articolo 3, paragrafo 1, punto 16), del regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, con l’eccezione della lettera h) di tale punto, con un intermediario corrispondente di un Paese terzo che presta servizi analoghi, compresi i trasferimenti di cripto-attività, i prestatori di servizi per le cripto-attività, oltre alle ordinarie misure di adeguata verifica della clientela, al momento dell’avvio del rapporto adottano le seguenti ulteriori misure:
a) determinano se l’intermediario corrispondente è autorizzato o registrato;
b) raccolgono informazioni sufficienti sull’intermediario corrispondente per comprendere pienamente la natura delle attività svolte e per determinare, sulla base di pubblici registri, elenchi, atti o documenti, la correttezza e la qualità della vigilanza cui l’intermediario corrispondente è soggetto;
c) valutano la qualità dei controlli in materia di prevenzione del riciclaggio e del finanziamento del terrorismo cui l’intermediario corrispondente è soggetto;
d) ottengono l’autorizzazione dei titolari di poteri di amministrazione o direzione ovvero di loro delegati o, comunque, di soggetti che svolgono una funzione equivalente, prima di aprire nuovi conti di corrispondenza;
e) definiscono in forma scritta i termini dell’accordo con l’intermediario corrispondente e i rispettivi obblighi;
f) si assicurano che l’intermediario corrispondente abbia sottoposto ad adeguata verifica i clienti che hanno un accesso diretto ai conti di cripto-attività di passaggio, che effettui il controllo costante dei rapporti con tali clienti e che, su richiesta, possa fornire all’intermediario controparte obbligato i dati pertinenti in materia di adeguata verifica della clientela.
2. I prestatori di servizi per le cripto-attività che decidono di porre fine ai rapporti di corrispondenza per motivi connessi al riciclaggio e al finanziamento del terrorismo documentano tale decisione.
3. I prestatori di servizi per le cripto-attività aggiornano le informazioni sull’adeguata verifica per il rapporto di corrispondenza periodicamente o qualora emergano nuovi rischi in relazione all’intermediario corrispondente.
4. I prestatori di servizi per le cripto-attività tengono conto delle informazioni di cui al comma 1 al fine di determinare, in funzione della valutazione del rischio, le misure appropriate da adottare per mitigare i rischi associati all’intermediario corrispondente.»;
h) all’articolo 62, al comma 7, le parole: «regolamento (UE) n. 2015/847» sono sostituite dalle seguenti: «regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023,»;
i) all’articolo 70:
1) al comma 1, le parole: «regolamento (UE) del Parlamento europeo e del Consiglio 20 maggio 2015, n. 847» sono sostituite dalle seguenti: «regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023»;
2) ai commi 2 e 3, le parole: «regolamento (UE) n. 2015/847 del Parlamento europeo e del Consiglio 20 maggio 2015,» sono sostituite dalle seguenti: «regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023,»;
3) alla rubrica, le parole: «regolamento (UE) del Parlamento europeo e del Consiglio del 20 maggio 2015, n. 847» sono sostituite dalle seguenti: «regolamento (UE) 2023/1113 del Parlamento europeo e del Consiglio, del 31 maggio 2023».
Art. 2
Modifiche al decreto-legge 28 giugno 1990, n. 167, convertito, con modificazioni, dalla legge 4 agosto 1990, n. 227
1. Al decreto-legge 28 giugno 1990, n. 167, convertito, con modificazioni, dalla legge 4 agosto 1990, n. 227, sono apportate le seguenti modificazioni:
a) all’articolo 1, comma 1, le parole da: «Gli intermediari bancari e finanziari di cui all’articolo 3, comma 2,» a: «effettuate anche in valuta virtuale ovvero in cripto-attività» sono sostituite dalle seguenti: «Gli intermediari bancari e finanziari di cui all’articolo 3, comma 2, e gli altri operatori finanziari di cui all’articolo 3, comma 3, lettere a) e d), del decreto legislativo 21 novembre 2007, n. 231, che intervengono, anche attraverso movimentazione di conti, nei trasferimenti da o verso l’estero di mezzi di pagamento di cui all’articolo 1, comma 2, lettera s), del medesimo decreto sono tenuti a trasmettere all’Agenzia delle entrate i dati di cui all’articolo 31, comma 2, del menzionato decreto relativi alle predette operazioni, effettuate anche in cripto-attività»;
b) all’articolo 2, comma 1, lettera a), le parole: «agli intermediari bancari e finanziari di cui all’articolo 3, comma 2, agli altri operatori finanziari di cui all’articolo 3, comma 3, lettere a) e d), e agli operatori non finanziari di cui all’articolo 3, comma 5, lettere i) e i-bis), del decreto legislativo 21 novembre 2007, n. 231, e successive modificazioni» sono sostituite dalle seguenti: «agli intermediari bancari e finanziari di cui all’articolo 3, comma 2, del decreto legislativo 21 novembre 2007, n. 231, e agli altri operatori finanziari di cui all’articolo 3, comma 3, lettere a) e d), del medesimo decreto».
Art. 3
Clausola di invarianza finanziaria
1. Dall’attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.
2. Le amministrazioni interessate e le istituzioni pubbliche coinvolte provvedono all’attuazione delle disposizioni di cui al presente decreto con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Art. 4
Disposizioni transitorie e finali
1. Fino alla scadenza del periodo transitorio, come determinato ai sensi dell’articolo 45, comma 1, del decreto legislativo 5 settembre 2024, n. 129, ai soggetti che operano in conformità a quanto ivi previsto continuano ad applicarsi le disposizioni di cui agli articoli 1, comma 2, lettere ff), ff-bis) e qq), e 3, comma 5, lettere i) e i-bis), e le ulteriori disposizioni di cui al decreto legislativo 21 novembre 2007, n. 231, nonchè le disposizioni di cui all’articolo 1, comma 1, e 2, comma 1, del decreto-legge 28 giugno 1990, n. 167, convertito, con modificazioni, dalla legge 4 agosto 1990, n. 227, nella versione vigente il giorno antecedente alla data di entrata in vigore del presente decreto.
Art. 5
Entrata in vigore
1. Il presente decreto entra in vigore il 30 dicembre 2024.