
28 maggio 2026 · Redazione MioReport
AML e antiriciclaggio: gli obblighi delle imprese e come verificare i tuoi partner
La normativa antiriciclaggio impone controlli sempre più stringenti sui partner commerciali. Ecco cosa sono le verifiche AML, chi è obbligato a farle e come integrarle nel processo di onboarding.
L'AML (Anti-Money Laundering) è l'insieme di procedure e controlli volti a prevenire il riciclaggio di denaro e il finanziamento del terrorismo. In Italia il quadro normativo è definito principalmente dal D.Lgs. 231/2007 e successive modifiche, che recepisce nell'ordinamento nazionale le direttive europee antiriciclaggio (le cosiddette direttive AMLD, giunte alla quinta e sesta generazione).
Chi è obbligato alle verifiche AML
La normativa impone obblighi di adeguata verifica della clientela (AVC) a una platea ampia di soggetti, i cosiddetti "soggetti obbligati":
- Banche e istituti finanziari
- Intermediari finanziari e imprese di assicurazione
- Notai, avvocati e commercialisti, limitatamente a specifiche operazioni (costituzione di società, trasferimenti immobiliari, gestione di capitali per conto di terzi)
- Agenti immobiliari
- Operatori in valuta virtuale (exchange di criptovalute)
- Gioiellieri e commercianti di beni di lusso per operazioni in contanti superiori a €10.000
Anche le imprese non direttamente obbligate per legge sono sempre più spesso spinte dai propri partner bancari e assicurativi ad implementare processi interni di verifica dei fornitori e dei clienti, specialmente quando operano con l'estero o in settori considerati a rischio riciclaggio (edilizia, commercio di beni di lusso, import-export).
Cosa si verifica in un controllo AML
Le verifiche AML si articolano su più livelli, ciascuno pensato per rispondere a una domanda diversa:
- Identificazione: chi è il soggetto? I dati anagrafici dichiarati coincidono con quelli ufficiali?
- UBO (Ultimate Beneficial Owner): chi controlla davvero l'impresa? La normativa fissa al 25% la soglia di partecipazione che identifica un beneficiario effettivo, ma il controllo può derivare anche da altri meccanismi (patti parasociali, diritti di voto, controllo di fatto)
- Sanction screening: il soggetto, o i suoi legali rappresentanti, compaiono in liste di sanzioni internazionali (ONU, UE, OFAC statunitense)?
- PEP check: si tratta di Persone Politicamente Esposte, o di loro familiari e collaboratori stretti? La normativa richiede in questi casi un livello di verifica rafforzato
- Adverse media: esistono notizie pubbliche note su procedimenti penali, indagini o connessioni con organizzazioni criminali riconducibili al soggetto?
L'approccio basato sul rischio
La normativa AML non richiede lo stesso livello di verifica per ogni rapporto: impone un approccio basato sul rischio, dove l'intensità dei controlli è proporzionale al rischio concreto dell'operazione. Un cliente italiano, con storia consolidata e operazioni di importo contenuto, richiede una verifica semplificata. Un nuovo cliente estero, con struttura societaria complessa o operazioni ricorrenti sopra soglia, richiede invece una verifica rafforzata (Enhanced Due Diligence), che tipicamente include un controllo UBO più approfondito e una ricerca di adverse media più estesa.
Caso pratico: onboarding di un cliente estero
Un'impresa italiana che inizia a fornire un cliente con sede in un paese extra-UE, per un valore contrattuale ricorrente, tipicamente non si limita alla verifica anagrafica di base. Il processo prevede: identificazione della catena societaria fino ai beneficiari effettivi (spesso non immediata quando ci sono più livelli di holding), sanction screening su tutti i soggetti individuati, e verifica PEP sugli amministratori. Se la controparte opera in un settore o in un paese considerato ad alto rischio dalle liste GAFI (Gruppo di Azione Finanziaria Internazionale), la prassi è ripetere questi controlli con cadenza periodica per l'intera durata del rapporto, non solo all'apertura.
Cosa succede se un controllo AML rileva un'anomalia
Un match su una lista di sanzioni o un profilo PEP non identificato correttamente non blocca automaticamente il rapporto commerciale, ma impone al soggetto obbligato di valutare il rischio e, nei casi previsti dalla normativa, di effettuare una segnalazione di operazione sospetta alla UIF (Unità di Informazione Finanziaria) presso la Banca d'Italia. Anche per le imprese non obbligate per legge, ignorare un'anomalia di questo tipo espone a un rischio reputazionale e, in caso di coinvolgimento in un procedimento, alla difficoltà di dimostrare di aver agito con la diligenza dovuta.
Le sanzioni per la mancata compliance
Per i soggetti obbligati, il D.Lgs. 231/2007 prevede un apparato sanzionatorio articolato: le sanzioni amministrative pecuniarie per omessa adeguata verifica della clientela o omessa identificazione del titolare effettivo possono essere significative, e nei casi più gravi (ad esempio l'omessa segnalazione di operazioni sospette in presenza di elementi di sospetto conclamati) la responsabilità può estendersi anche a livello personale per chi ha la funzione di responsabile antiriciclaggio. Per le imprese non obbligate per legge, non esiste una sanzione diretta, ma il rischio si sposta sul piano reputazionale e contrattuale: un partner bancario o assicurativo che scopre una compliance AML carente può interrompere il rapporto o richiedere condizioni più onerose.
Strumenti e fonti dei dati AML
I dati necessari per un controllo AML completo provengono da fonti eterogenee: il Registro delle Imprese per l'identificazione anagrafica e, dal recepimento della normativa UBO, per il registro dei titolari effettivi; le liste di sanzioni pubblicate da ONU, UE e OFAC, aggiornate con frequenza e non sempre facili da consultare in modo strutturato; le banche dati PEP, che incrociano cariche pubbliche italiane ed estere; e le fonti di adverse media, che richiedono una ricerca più qualitativa. Incrociare manualmente queste fonti per ogni nuovo cliente o fornitore è realistico solo per volumi molto bassi: superata una certa scala, la maggior parte dei soggetti obbligati (e delle imprese che vogliono comunque tutelarsi) si affida a provider che aggregano questi dati in un'unica verifica.
Come integrare le verifiche AML nel processo di onboarding
La best practice è eseguire il controllo AML prima di instaurare il rapporto commerciale e ripeterlo periodicamente, specialmente per i clienti ad alto valore o ad alto rischio. Farlo manualmente, incrociando più fonti (Registro Imprese, liste di sanzioni pubbliche, banche dati PEP), è un processo lento e facilmente incompleto se svolto senza strumenti dedicati. Con MioReport puoi richiedere il pacchetto AML completo — che include UBO, sanction list e scoring del rischio — direttamente nella fase di valutazione del soggetto, integrando tutti i dati in un unico report PDF pronto per essere archiviato come evidenza della verifica svolta.
