WEBINAR / 28 Maggio
Antiriciclaggio: indicazioni UIF per agevolazioni e contratti pubblici


I nuovi indicatori di anomalia della Comunicazione UIF 31 marzo 2026

ZOOM MEETING
Offerte per iscrizioni entro il 07/05

SCOPRI I DETTAGLI

WEBINAR / 28 Maggio
Antiriciclaggio: indicazioni UIF per agevolazioni e contratti pubblici
SCOPRI I DETTAGLI
Login
Shopping cart
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
Shopping cart
www.dirittobancario.it
Attualità
Antiriciclaggio

Autovalutazione dei rischi di riciclaggio: gli orientamenti AMLA in consultazione

8 Maggio 2026

Giampaolo Estrafallaces, Consigliere senior della Banca d’Italia

Di cosa si parla in questo articolo
AMLA Regolamento Antiriciclaggio
Vuoi leggere la versione PDF?
Indice dell'articolo
  1. Premessa
  2. Le domande oggetto della consultazione
  3. I requisiti minimi
  4. Le fonti di informazione aggiuntive
  5. Interazioni fra gli orientamenti sulla valutazione aziendale ed altri gli mandati AMLA
Condividi

[*] Il contributo analizza i recenti orientamenti posti in consultazione dall’Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) in materia di autovalutazione dei rischi di riciclaggio di attuazione del Regolamento Antiriciclaggio.

1. Premessa

La previsione a carico dei soggetti obbligati del dovere di effettuare la valutazione del proprio livello di rischio di riciclaggio risale all’entrata in vigore della Direttiva UE 2015/849.

L’articolo 10 del Regolamento UE 2024/1624 (di seguito AMLR), nel ribadire tale obbligo, ne estende l’ambito di applicazione anche ai rischi connessi alla mancata attuazione e all’elusione delle sanzioni finanziarie mirate.

Ad oggi, le indicazioni sul modo di condurre una valutazione del rischio a livello aziendale (di seguito BWRA: Business-Wide Risk Assessment) sono contenute nelle linee guida dell’EBA del 1° marzo 2021 (EBA/GL/2021/02) sull’adeguata verifica della clientela e sui fattori che gli intermediari finanziari dovrebbero tener presenti nel valutare il rischio ML/FT associato a singole relazioni d’affari e alle operazioni occasionali ai sensi degli articoli 17 e 18, par.4, della Direttiva UE 2015/849.

Tali linee guida si applicano solo al settore finanziario e non si estendono quello non finanziario.

Ciò premesso, l’articolo 10, par.4, AMLR ha attribuito all’Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) il mandato ad emanare orientamenti che specifichino:

  1. i requisiti minimi relativi al contenuto dell’autovalutazione; e
  2. le fonti di informazione aggiuntive da prendere in considerazione nell’effettuare tale valutazione.

Pertanto, il 16 aprile 2026 l’AMLA ha posto in consultazione pubblica il documento intitolato Draft guide lines on Business-wide risk assessment under Article 10 (4), Regulation (EU) 2024/1624[1] invitando tutte le parti interessate, in particolare i soggetti obbligati dei settori finanziario e non finanziario, a presentare proposte in ordine al contenuto del documento.

Nelle intenzioni dell’AMLA, gli orientamenti in bozza dovrebbero garantire la piena coerenza delle attività connesse all’autovalutazione alle previsioni normative del “Single Rulebook”, e consentirebbero di affrontare rischi emergenti, compreso quello legato alla mancata attuazione ed elusione delle sanzioni finanziarie mirate.

Nel complesso, il progetto in consultazione mira a garantire l’adozione, da parte dei soggetti obbligati di un approccio condiviso per identificare i rischi ai quali sono esposti nell’auspicio che un quadro di identificazione dei rischi solido e ben documentato possa consentire ai soggetti obbligati l’elaborazione e l’attuazione di politiche, procedure e controlli adeguati e proporzionati ai rischi cui sono esposti.

Per raggiungere questo obiettivo, la bozza stabilisce requisiti minimi per il contenuto della BWRA dando, altresì, enfasi al principio di proporzionalità, ribadendo nuovamente che la valutazione aziendale non deve essere intesa come un mero esercizio formalistico ma come un processo il cui output deve avere un livello di dettaglio che rispecchi la complessità della struttura del soggetto chiamato ad elaborarla.

In tal modo, l’AMLA ha deliberatamente bilanciato l’armonizzazione normativa con la flessibilità metodologica: riconoscendo, infatti, la diversità dei soggetti obbligati, il progetto si concentra sulla specificazione dei requisiti minimi da soddisfare e dei risultati da raggiungere attraverso la BWRA, piuttosto che prescrivere un’unica metodologia.

Questo approccio consente ai soggetti obbligati di selezionare le metodologie più adatte alla loro specifica esposizione al rischio a condizione che le scelte siano adeguatamente motivate e documentate.

Gli orientamenti posti in consultazione fino al 15 luglio 2026, offrono, quindi, diverse opzioni e cercano di promuovere la chiarezza e la semplificazione evitando aggiunte alle disposizioni già emanate, concentrandosi su aspetti da chiarire laddove l’AMLR lascia spazio all’interpretazione al fine di favorire un’attuazione coerente.

Su questa bozza l’AMLA ha preannunciato una seduta pubblica da tenere il 28 maggio 2026.

L’aspettativa dell’Authority è di giungere alla versione definitiva degli orientamenti nel quarto trimestre del 2026.

2. Le domande oggetto della consultazione

La consultazione consiste nel fornire risposte a una o più delle seguenti 5 domande:

Domanda 1:

Siete d’accordo che le proposte contenute in questa bozza possano essere applicate a tutti i soggetti obbligati e consentano un approccio basato sul rischio e proporzionato al fine di garantire la conformità ai requisiti in materia di AML/CFT? In caso contrario, si prega di:

  1. specificare la disposizione in questione con chiaro riferimento al paragrafo; e
  2. fornire proposte concrete e spiegare perché le misure da voi proposte sarebbero più appropriate.

Domanda 2:

Siete d’accordo con i requisiti minimi proposti per il contenuto della valutazione aziendale definiti in questa bozza? In caso di disaccordo, si prega di specificare:

  1. le disposizioni in questione, indicando chiaramente il paragrafo; e
  2. la motivazione della vostra posizione.

Si prega di fornire proposte concrete e spiegare perché la misura proposta sarebbe più appropriata.

Domanda 3:

Siete d’accordo con le proposte relative alle fonti di informazione aggiuntive da prendere in considerazione nell’attuazione della valutazione aziendale come stabilito in questa bozza? Se non siete d’accordo, specificate:

  1. le fonti con cui non siete d’accordo; e
  2. le motivazioni della vostra posizione;
  3. le fonti che dovrebbero essere incluse.

Domanda 4:

Prevedete difficoltà operative nell’attuazione di questi orientamenti? In tal caso, specificare:

  1. le disposizioni interessate con chiaro riferimento al paragrafo; e
  2. la motivazione dell’affermazione.

Domanda 5:

Con riferimento al contenuto definito dall’articolo 10, paragrafo 4, AMLR, ritenete necessario introdurre disposizioni aggiuntive? In tal caso, fornite proposte concrete.

3. I requisiti minimi

La bozza in consultazione prevede che l’autovalutazione soddisfi 4 requisiti (minimum requirements):

i. Panoramica aziendale e operativa

I soggetti obbligati dovrebbero iniziare la loro autovalutazione con una panoramica concisa e descrittiva della propria attività e delle operazioni che pongono in essere, delineando gli elementi chiave quali il proprio assetto strutturale e l’organizzazione operativa (ad esempio, sedi operative, uffici, gestione dei processi interni, eventuali processi digitali), la struttura a livello di gruppo (in caso di appartenenza a un gruppo), la tipologia della clientela, i prodotti e i servizi offerti, i canali di distribuzione, l’area geografica e i paesi di operatività, la struttura della funzione AML/CFT, gli accordi di esternalizzazione e l’eventuale uso di tecnologie nuove o emergenti.

La finalità è quella di offrire una visione d’insieme che consenta la verifica della proporzionalità fra l’approccio utilizzato nella valutazione e le dimensioni, la natura e la complessità dell’attività del soggetto obbligato;

ii. Identificazione, valutazione e classificazione del rischio intrinseco

In questa fase il soggetto obbligato, tenendo presenti il proprio modello di business e la propria realtà operativa, deve verificare in che misura i rischi ML/TF e quello relativo alla mancata attuazione/elusione delle sanzioni finanziarie mirate possano concretizzarsi in relazione ai fattori di rischio che insistono sulle aree clienti, prodotti/servizi/transazioni, canali di distribuzione ed esposizione geografica.

In proposito, l’estensore della bozza ha richiamato il contenuto delle regulatory technical standards (RTS) ex articolo 40, par.2 della Direttiva (UE) 2024/1640 (di seguito AMLD6) che ha attribuito all’AMLA il mandato ad elaborare, entro il 10 luglio 2026, il progetto di norme tecniche di regolamentazione recanti i parametri di riferimento e la metodologia che le autorità devono utilizzare per valutare e classificare il rischio intrinseco e residuo dei soggetti obbligati, nonché la frequenza con cui tale profilo di rischio viene riesaminato[2] (v. infra par.5): gli orientamenti in bozza prevedono, infatti, che ai fini del rischio intrinseco i soggetti obbligati utilizzino, at least, i data points elencati nelle RTS citate, integrati da eventuali ulteriori indicatori quantitativi e qualitativi rilevanti (ad es. modifiche al piano strategico, fusioni o cambiamenti normativi che abbiano interessato il soggetto obbligato);

iii. Valutazione della qualità dei controlli AML/CFT e sul rischio di mancata attuazione/elusione delle sanzioni finanziarie mirate

Una volta identificato il rischio intrinseco, i soggetti obbligati dovrebbero valutare l’efficacia con cui le politiche che hanno adottato, le procedure e i controlli posti in essere mitigano il rischio spiegando come avviene tale mitigazione nella pratica.

Le valutazioni in merito all’efficacia delle misure di mitigazione dovranno essere chiaramente documentate, facendo riferimento a indicatori di qualità dei controlli come i risultati di test di conformità, gli esiti degli audit interni/esterni e delle azioni di vigilanza delle autorità, illustrando le carenze che eventualmente permangano;

iv. Valutazione e classificazione dei rischi residui

Considerando il livello del rischio intrinseco i soggetti obbligati, alla luce della qualità dei controlli, devono calcolare il rischio residuo a cui rimangono esposti.

La bozza in consultazione sottolinea che la metodologia utilizzata dai soggetti obbligati deve prendere atto dell’esistenza di fattori intrinsecamente ad alto rischio che, per loro natura, non potranno essere completamente mitigati dalle misure di controllo.

Una volta completata la valutazione dovranno essere individuate le aree di intervento prioritarie e attuate tempestivamente le misure correttive necessarie o gli aggiornamenti delle politiche, delle procedure, dei sistemi e dei controlli per garantire un’efficace mitigazione del rischio residuo calcolato.

4. Le fonti di informazione aggiuntive

L’articolo 10, par.1, AMLR definisce una serie minimale di fonti che i soggetti obbligati dovrebbero prendere in considerazione nella fase di elaborazione dell’autovalutazione[3].

Nel progetto in consultazione, in base al mandato conferitole, l’AMLA specifica fonti aggiuntive ad integrazione di quelle individuate dal legislatore unionale.

Sebbene la bozza preveda che i destinatari dell’obbligo di autovalutazione possano attingere a qualsiasi ulteriore fonte purché pertinente e attendibile, coerente con la loro attività, il loro settore e il loro Ordinamento, dal progetto emerge la volontà che i soggetti obbligati si muovano pur sempre in un quadro predefinito: il documento in consultazione, infatti, prevede che i soggetti obbligati debbano “ in ogni caso…stabilire il tipo e il numero delle fonti di informazione prese in considerazione, tenendo conto della natura e della complessità della loro attività” (trad. dell’a.)[4].

A tal proposito, la bozza fornisce una descrizione non esaustiva di fonti aggiuntive:

  • documenti redatti da autorità pubbliche e organismi accreditati come quelli che si occupano del monitoraggio delle frodi, le banche centrali, gli organismi di statistica e le istituzioni del mondo accademico;
  • elenchi di sanzioni e liste gestite da autorità competenti ai fini della identificazione di persone, entità, giurisdizioni rilevanti ai fini dei rischi di riciclaggio di denaro, finanziamento del terrorismo ed evasione fiscale;
  • pubblicazioni e valutazioni di organismi internazionali nel campo dell’AML/CFT, quali rapporti di mutual evaluation e report di follow-up;
  • documenti redatti da organismi di settore, associazioni professionali, meccanismi o comitati di analisi che valutano il livello di rischio specifico di determinati settori economici (SRB, Sectoral Risk Boards);
  • relazioni sui rischi, report dell’intelligence e materiali affidabili di dominio pubblico su tipologie di comportamento, rischi emergenti e attività criminali, quali resoconti oggettivi frutto di giornalismo investigativo indipendente;
  • documenti provenienti dalla società civile, quali gli indici di corruzione e report sulla situazione dei diversi paesi;
  • documenti attendibili elaborati da organizzazioni commerciali.

Per quanto ovvio nella bozza si legge che l’attività di autovalutazione deve avvalersi di tutte le conoscenze e competenze professionali del soggetto obbligato, ivi incluse quelle maturate nell’ambito della valutazione delle operazioni sospette nonché quelle desumibili dalle richieste di informazioni o dai riscontri ricevuti dalle FIU, dalle forze dell’ordine o dall’autorità giudiziaria.

Infine, nello svolgimento dell’autovalutazione si dovrà tener conto dei risultati delle verifiche della funzione di conformità e di quelle di internal audit, nonché delle indicazioni desumibili dalle azioni di vigilanza.

5. Interazioni fra gli orientamenti sulla valutazione aziendale ed altri gli mandati AMLA

In esordio l’AMLA dichiara che la valutazione aziendale, pur distinta dall’attività di profilatura condotta sul singolo cliente ai sensi dell’articolo 20, par.2 AMLR, rappresenta una componente essenziale di quest’ultima in quanto fornisce al soggetto obbligato una prima coordinata per determinare il livello di adeguata verifica della clientela.

Inoltre, gli orientamenti in consultazione presentano interconnessioni con altri mandati conferiti all’AMLA.

In generale, come già accennato (v. supra par.3), l’articolo 40 AMLD6 stabilisce che le autorità di vigilanza AML applichino, nello svolgimento della loro attività di supervisione, un approccio basato sul rischio.

Orbene tale approccio richiede, sempre ai sensi del citato articolo, la chiara comprensione, da parte dei supervisori, dei rischi ML/FT presenti nello Stato membro e che la frequenza e l’intensità della supervisione sia basata sul profilo di rischio del soggetto obbligato nonché sui rischi propri dello Stato membro.

Conseguentemente, l’articolo 40, par.2, AMLD6 attribuisce all’AMLA il compito di elaborare e presentare alla Commissione, entro il 10 luglio 2026, un progetto di RTS che stabilisca i parametri di riferimento e la metodologia per valutare e classificare il profilo di rischio intrinseco e residuo dei soggetti obbligati, nonché la frequenza con cui tale profilo di rischio debba essere riesaminato[5].

Al riguardo, l’estensore del progetto sottolinea che, sebbene gli obiettivi siano diversi, entrambi i mandati fanno riferimento a concetti comuni relativi allo svolgimento di una valutazione dei rischi tant’è che, come anticipato, nell’effettuare la propria autovalutazione il soggetto obbligato viene indirizzato dagli orientamenti in consultazione a tener presenti i data points che la stessa AMLA ha individuato nel progetto di RTS del 18 dicembre 2025[6].

Un ulteriore punto di contatto è rappresentato dagli orientamenti (ancora da emanare) previsti dall’articolo 9, par.4, AMLR: quest’ultimo stabilisce, infatti, che entro il 10 luglio 2026, l’AMLA dovrà emanare orientamenti in ordine agli elementi di cui i soggetti obbligati dovranno tenere conto – in base alla natura della loro attività, inclusi i loro rischi (rectius risultati emersi dal BWRA), alla loro complessità e dimensioni – per decidere la portata delle politiche, delle procedure e dei controlli interni.

Infine, gli orientamenti in consultazione presentano stretti collegamenti con quelli (ancora da emanare) previsti dall’articolo 20, par.3 AMLR sulle variabili di rischio e sui fattori di rischio che i soggetti obbligati devono prendere in considerazione quando avviano rapporti d’affari o effettuano operazioni occasionali.

 

[*] Le opinioni espresse non impegnano l’Istituto di appartenenza.

[1] Il Draft è consultabile all’indirizzo internet https://www.amla.europa.eu/policy/public-consultations/consultation-draft-guidelines-business-wide-risk-assessment_en#reference-documents

[2] Sull’argomento si veda anche, G. Estrafallaces, I criteri per la vigilanza AMLA sull’antiriciclaggio, in questa rivista, Gennaio 2026. Il 18 dicembre 2025 l’AMLA ha pubblicato il Final report recante, tra l’altro, la bozza del regolamento delegato ex articolo 40, par.2. AMLD6 che la Commissione europea dovrebbe adottare. Final Report, Draft Regulatory Technical Standards on the assessment of the inherent and residual risk profile of obliged entities under Article 40(2) of Directive (EU) 2024/1620, consultabile all’indirizzo internet https://www.amla.europa.eu/document/download/c8782141-45bf-4ef9-9d66-33e2f90e607e_en?filename=1.1_20251216_FINAL%20REPORT%20RTS%2040%282%29%20AMLD%20financial%20only_Final.pdf

[3] In particolare, l’articolo 10 AMLR indica come fonti cui attingere per condurre la valutazione aziendale dei rischi:

  1. l’elenco delle variabili di rischio indicate nell’allegato I del regolamento AMLR. Tale allegato, intitolato “Elenco indicativo delle variabili di rischio”, contiene un elenco non esaustivo delle variabili che i soggetti obbligati devono considerare quando elaborano la BWRA e quando determinano in che misura applicare le misure di adeguata verifica della clientela;
  2. gli elenchi dei fattori di rischio presenti negli allegati II (fattori indicativi di situazioni a basso rischio) e III (fattori indicativi di situazioni ad alto rischio) del regolamento AMLR;
  3. i risultati della valutazione sovranazionale del rischio svolta dalla Commissione a norma dell’articolo 7 AMLD6;
  4. i risultati delle valutazioni nazionali del rischio effettuate dagli Stati membri, nonché i risultati di qualsiasi valutazione del rischio per settore svolta dagli Stati membri;
  5. le informazioni pubblicate da enti internazionali che formulano standard in materia di AML/CFT o, dall’Unione europea, dalla Commissione o dall’AMLA;
  6. le informazioni sui rischi di riciclaggio e finanziamento del terrorismo fornite dalle autorità competenti;
  7. le informazioni sulla clientela.

[4] “In all cases, OEs should determine the type and number of sources of information considered, taking into account the nature and complexity of their business”, Draft guidelines on Business-wide risk assessment under Article 10 (4), Regulation (EU) 2024/1624, par.18, p.14.

[5] Tale frequenza dovrà tener conto degli eventi o sviluppi rilevanti nella gestione e nel funzionamento del soggetto obbligato, nonché della natura e delle dimensioni dell’attività.

[6] Final Report cit.

Di cosa si parla in questo articolo
AMLA Regolamento Antiriciclaggio
Vuoi leggere la versione PDF?

WEBINAR / 28 Maggio
Antiriciclaggio: indicazioni UIF per agevolazioni e contratti pubblici


I nuovi indicatori di anomalia della Comunicazione UIF 31 marzo 2026

ZOOM MEETING
Offerte per iscrizioni entro il 07/05

SCOPRI I DETTAGLI

WEBINAR / 22 Maggio
Concessione abusiva di credito: nuove criticità, prevenzione e tutela


Mancata valutazione del merito creditizio, nullità e irripetibilità del finanziamento alla luce della Cassazione (n. 7134/2026)

ZOOM MEETING
Offerte per iscrizioni entro il 30/04

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI