2026–2027 AML e Identità Digitale: perché stiamo affrontando una rivoluzione strutturale nel KYC

AML-KYC: un cambiamento strutturale, non un semplice aggiornamento incrementale

Gli anni 2026 e 2027 non segneranno semplicemente un’altra tappa normativa per i dipartimenti di compliance. Rappresenteranno un punto di svolta strutturale per l’identità digitale, l’onboarding dei clienti, i pagamenti e le infrastrutture di fiducia, in tutta Europa e probabilmente ben oltre.

Ciò che si sta avvicinando non è un’onda. È uno tsunami.

Al centro di questa trasformazione si trova il regolamento eIDAS rivisto (eIDAS 2.0), che impone che entro dicembre 2026 tutti gli Stati membri dell’UE rendano disponibile almeno un European Digital Identity Wallet (EUDIW). Entro dicembre 2027, l’obbligo di accettare questi wallet si estenderà non solo alle pubbliche amministrazioni, ma anche alle grandi piattaforme online e alle entità private regolamentate, tra cui banche, operatori telecom e utility.

Parallelamente, il 2027 segnerà anche la piena applicabilità del nuovo Anti-Money Laundering Regulation (AMLR), supervisionato dalla nuova Autorità europea antiriciclaggio (AMLA). Gli Standard Tecnici di Regolamentazione (RTS) sono già in consultazione pubblica, segnalando che il perimetro della compliance si sta restringendo mentre l’infrastruttura digitale viene ripensata.

A questo si aggiunge la rapida evoluzione delle frodi basate sull’intelligenza artificiale, dei flussi biometrici basati su NFC, dei sistemi agentici e di una nuova economia in cui non solo gli individui (KYC), ma anche le imprese (KYB) e gli agenti autonomi (KYA) devono essere verificati, monitorati e considerati affidabili.

Infine, identità e pagamenti — a lungo trattati come domini separati — stanno convergendo. Recenti discussioni globali, comprese importanti contribuzioni da parte di istituzioni internazionali e consorzi industriali europei, suggeriscono che la fusione tra identità digitale e infrastrutture di pagamento potrebbe sbloccare nuovi modelli di inclusione finanziaria, sicurezza ed efficienza economica.

Le implicazioni per l’onboarding sono profonde. Per i trust service provider, le industrie regolamentate e le piattaforme digitali, i prossimi due anni ridefiniranno scala, interoperabilità e vantaggio competitivo.

Dalla disponibilità all’adozione: la vera sfida del Wallet Europeo di Identità Digitale

Entro dicembre 2026 gli Stati membri dell’UE dovranno fornire ai cittadini accesso a un European Digital Identity Wallet. Il regolamento mette in moto l’infrastruttura. Tuttavia, disponibilità non significa automaticamente adozione diffusa.

L’Europa ha già visto questa dinamica in passato.

Si consideri lo SPID (Sistema Pubblico di Identità Digitale) in Italia. Introdotto nel 2016, lo SPID ha richiesto quasi un decennio per raggiungere una percentuale significativa della popolazione (oggi quasi il 100% considerando le generazioni più giovani). L’adozione è accelerata solo quando casi d’uso concreti sono diventati indispensabili: dichiarazioni fiscali, servizi legati alla pandemia, benefici pubblici e servizi digitali della pubblica amministrazione. L’infrastruttura da sola non ha guidato la crescita, ma è stata l’utilità a farlo.

La Commissione Europea ha fissato un obiettivo ambizioso: l’80% dei cittadini dell’UE che usano una soluzione di identità digitale entro il 2030. Raggiungere questo obiettivo richiede più delle sole scadenze normative. Richiede un ecosistema convincente di servizi che renda il wallet indispensabile.

L’EUDIW conterrà attributi di identità, credenziali e attestazioni che possono essere condivisi selettivamente. Tuttavia, il suo potenziale trasformativo risiede nella capacità di ridurre le frizioni nei processi di onboarding e autenticazione transfrontalieri. Se implementato correttamente, potrebbe eliminare procedure KYC ripetitive, consentire una fiducia portabile e semplificare le transazioni cross-border.

La maggior parte dei casi d’uso realmente nuovi che stanno emergendo attorno al wallet non si basa sulla semplice prova dell’identità, ma sullo scambio controllato di specifici attributi: qualifiche professionali, residenza, ruolo aziendale, titolarità effettiva, fasce o soglie di reddito, credenziali assicurative, attestazioni IBAN. Gli attributi sono la vera rivoluzione dell’EUDIW. Consentono divulgazione selettiva, minimizzazione dei dati e verifiche specifiche per scopo, ridefinendo radicalmente il modo in cui vengono progettati i processi di onboarding e compliance.

Affinché questa rivoluzione possa scalare, tuttavia, l’emissione e la verifica degli attributi devono essere economicamente sostenibili. Per questo motivo è essenziale progettare modelli transazionali per la verifica degli attributi che creino incentivi chiari per emittenti, verificatori e relying party.

Come Namirial, siamo in prima linea nella definizione degli abilitatori che rendono sostenibili su larga scala questi modelli transazionali basati sugli attributi, esattamente il tipo di modello che ha già dimostrato di funzionare in schemi di identità digitale adottati a livello nazionale come SPID in Italia, itsme in Belgio, BankID nei Paesi nordici o Evrotrust in Bulgaria. Questi ecosistemi dimostrano che quando la verifica è supportata da framework economici sostenibili, l’adozione arriva e le infrastrutture di fiducia diventano durature.

Tuttavia, l’adozione dipende da tre fattori critici:

1. Casi d’uso convincenti nel settore privato.
2. Esperienze utente fluide.
3. Fiducia nella sicurezza e nella protezione dei dati.

Senza questi elementi, il wallet rischia di diventare uno strumento formale di compliance piuttosto che un compagno digitale quotidiano.

Dicembre 2027: il momento dell’accettazione obbligatoria

Se il 2026 riguarda l’emissione, il 2027 riguarda l’obbligo.

Da dicembre 2027, ai sensi dell’Articolo 5f del regolamento eIDAS rivisto (eIDAS 2.0), le pubbliche amministrazioni dovranno accettare l’Eudi Wallet. Ancora più significativamente, la stessa disposizione estende l’obbligo alle grandi piattaforme online designate ai sensi del diritto europeo e alle entità private regolamentate come banche, operatori telecom e utility, che saranno anch’esse tenute ad accettarlo per l’autenticazione e l’identificazione.

Questo cambierà radicalmente il panorama competitivo.

Le grandi piattaforme – Google, Amazon, Meta – dovranno integrare gli standard europei di identità nei propri flussi di autenticazione. Le industrie regolamentate dovranno riprogettare i percorsi di onboarding per incorporare la verifica dell’identità basata su wallet.

La domanda non sarà più se accettare il wallet, ma come integrarlo in modo da migliorare l’esperienza del cliente mantenendo al contempo la conformità normativa.

Per le banche, ciò potrebbe significare che il processo di onboarding di un nuovo cliente passi dal caricamento di documenti e dalla cattura biometrica al recupero di credenziali e alla divulgazione selettiva. Per gli operatori telecom, la registrazione SIM e l’attivazione dei clienti potrebbero diventare processi nativi del wallet. Per le utility, sottoscrizione e firma dei contratti potrebbero diventare quasi istantanee.

Tutto questo significa minori costi di acquisizione dei clienti, tassi di conversione più elevati, maggiore sicurezza e migliori customer journey. E lo abbiamo già visto con le eID esistenti, dove il tempo di onboarding è passato da minuti a secondi, con un significativo aumento del tasso di conversione nel funnel.

Quindi, grazie Babbo Natale!

L’obbligo di accettare il wallet creerà di fatto un livello continentale di interoperabilità dell’identità. Tuttavia, questo nuovo livello non sarà statico: nei prossimi cinque-dieci anni le organizzazioni avranno bisogno di processi di onboarding e autenticazione flessibili e modulari, in grado di gestire diversi tipi di flussi – dalla semplice prova di identità a verifiche multi-attributo complesse – adattandosi alle diverse preferenze degli utenti su come condividere credenziali e gestire il consenso.

I vincitori saranno coloro che sapranno progettare architetture adattive capaci di orchestrare dinamicamente dati di identità, attributi e divulgazioni controllate dall’utente, sfruttando wallet e KYC in modo strategico anziché trattarli come una semplice casella di compliance.

AMLR e AMLA: la compliance ora a livello europeo

Allo stesso tempo, il 2027 segnerà l’applicabilità del nuovo Anti-Money Laundering Regulation (AMLR), direttamente applicabile negli Stati membri a partire da luglio 2027 e supervisionato dalla nuova Autorità europea antiriciclaggio (AMLA).

Non si tratta di un aggiornamento minore. È un’armonizzazione sistemica degli obblighi antiriciclaggio in tutta Europa.

Gli Standard Tecnici di Regolamentazione (RTS), attualmente in consultazione, indicano un passaggio verso valutazioni del rischio più granulari, una due diligence armonizzata e obblighi di segnalazione rafforzati. In particolare, l’Articolo 22 dell’AMLR rafforza il quadro relativo alla customer due diligence (CDD), chiarendo i requisiti per l’identificazione e la verifica dei clienti e dei titolari effettivi, mentre il corrispondente Articolo 7 del progetto di CDD RTS specifica ulteriormente gli standard operativi e tecnici che i soggetti obbligati devono seguire quando si affidano a mezzi di identificazione digitale e servizi fiduciari.

Il passaggio da direttive da recepire a regolamenti direttamente applicabili riduce la frammentazione e aumenta la convergenza della supervisione. In definitiva, lo sforzo del legislatore è quello di creare processi di identificazione e compliance utilizzabili in tutta l’Unione Europea, riducendo la necessità di interpretazioni nazionali frammentate o di localizzazioni della supervisione – come storicamente avvenuto con autorità come BaFin in Germania (si veda anche l’articolo dello studio Bird & Bird “Germany: Video identification only as a fallback: EBA is shifting to eIDAS” article from Bird&Bird firm) o SEPBLAC in Spagna – e favorendo un vero mercato unico per l’identità digitale e la compliance AML.

Per i processi di onboarding, ciò significa che le entità obbligate dovranno adottare un approccio basato sul rischio e guidato dal contesto, combinando diversi mezzi di identificazione a seconda del caso d’uso specifico, del profilo di rischio e del percorso del cliente.

In alcuni scenari può essere appropriato fare affidamento sull’EUDI Wallet e sulle attestazioni elettroniche qualificate; in altri, gli schemi eID notificati a livello nazionale o i sistemi di identità digitale domestici esistenti possono rimanere preferibili; in altre situazioni ancora potrebbero essere necessari verifiche biometriche, rilevazione della liveness o misure di due diligence rafforzata, nel rispetto dei requisiti aggiornati derivanti dai futuri CDD RTS.

Quindi, anche per l’AMLR, Babbo Natale sta arrivando e persino durante l’estate del 2027.

Fondamentalmente, le istituzioni dovranno documentare e giustificare queste scelte alle proprie autorità competenti, dimostrando che il flusso di identificazione selezionato è proporzionato, conforme all’Articolo 22 dell’AMLR e ai relativi RTS, e allineato con il proprio framework interno di valutazione del rischio:

• maggiore scrutinio sull’affidabilità della verifica dell’identità
• requisiti più chiari per il monitoraggio continuo
• aspettative più forti riguardo alle tracce di audit digitali
• maggiore responsabilità per i settori ad alto rischio

L’interazione tra AMLR e European Digital Identity Wallet è il punto in cui la rivoluzione diventa evidente. Se i wallet forniscono attributi di identità ad alta affidabilità e credenziali verificabili, possono fungere da input standardizzati nei processi AML. Tuttavia, le istituzioni rimarranno responsabili della valutazione del rischio.

In altre parole, i wallet possono semplificare l’acquisizione dei dati, ma non eliminano la responsabilità di compliance.

Le organizzazioni che sapranno combinare onboarding basato su wallet con analisi del rischio guidata dall’intelligenza artificiale, rilevamento delle frodi e monitoraggio continuo definiranno la prossima generazione di ecosistemi di onboarding conformi, capaci non solo di soddisfare i requisiti regolatori, ma anche di vincere la battaglia dell’esperienza cliente.

Il campo di battaglia delle frodi: AI contro AI

L’identità digitale è sotto assedio.

L’intelligenza artificiale generativa ha reso le identità sintetiche, i video deepfake e le campagne di phishing automatizzate più sofisticati e scalabili che mai. I truffatori operano oggi con strumenti che rivaleggiano con tecnologie di livello enterprise.

Ma la stessa rivoluzione dell’AI fornisce anche contromisure.

Tecnologie avanzate di liveness detection, biometria comportamentale, rilevamento degli injection attack e dei presentation attack e sistemi di risk scoring in tempo reale sono sempre più capaci di identificare manipolazioni sintetiche. Il campo di battaglia sta diventando AI contro AI.

In questo contesto, l’onboarding deve bilanciare tre obiettivi concorrenti:

1. Sicurezza contro frodi avanzate.
2. Conformità normativa.
3. Esperienza cliente senza frizioni.

Storicamente, aumentare la sicurezza significava aumentare le frizioni. La promessa dell’identità basata su wallet è ridurre le frizioni mantenendo al contempo livelli elevati di affidabilità. Invece di catturare dati biometrici ripetutamente, le istituzioni possono fare affidamento su credenziali già verificate archiviate nel wallet.

Tuttavia, la frode non scompare, si sposta. Gli attaccanti potrebbero prendere di mira i processi di emissione dei wallet, il furto di credenziali o l’ingegneria sociale.

In questo contesto, l’uso di tecnologie biometriche avanzate diventa sempre più indispensabile per garantire un’identificazione remota ad alta affidabilità e contrastare attacchi sofisticati guidati dall’intelligenza artificiale come deepfake e identità sintetiche.

Per questo motivo, la conformità a standard tecnici rigorosi e certificazioni indipendenti sta diventando un fattore critico di fiducia per l’intero ecosistema. Framework come ETSI TS 119 461 v2.1.1, che definisce requisiti aggiornati per servizi affidabili di identificazione remota, sono essenziali per garantire affidabilità, sicurezza e accettazione normativa in tutta Europa.

Questo è anche il motivo per cui in Namirial abbiamo investito significativamente per ottenere la certificazione ETSI 119 461, rafforzando il nostro impegno a fornire tecnologie di verifica dell’identità che soddisfino i più elevati standard europei e supportino onboarding digitali scalabili e sicuri.

Oltre gli individui: KYB e l’ascesa del Business Wallet

La rivoluzione non riguarda solo gli individui.

I processi Know Your Business (KYB) restano notoriamente complessi, soprattutto nelle operazioni transfrontaliere. Strutture societarie, titolarità effettiva e requisiti documentali generano attriti e ritardi.

Il concetto emergente di Business Wallet – in grado di archiviare credenziali aziendali verificabili, certificati di registrazione, attestazioni di titolarità effettiva e documentazione di compliance – potrebbe semplificare drasticamente l’onboarding B2B.

Un framework europeo standardizzato per l’identità aziendale consentirebbe:

• Onboarding dei fornitori più rapido.
• Accesso più semplice ai servizi finanziari per le PMI.
• Autenticazione aziendale transfrontaliera.

In un mercato unico che punta alla sovranità digitale e alla competitività, ridurre le frizioni KYB potrebbe sbloccare un valore economico significativo.

In Namirial crediamo fortemente che il Business Wallet non sia semplicemente un’evoluzione tecnica dei processi KYB, ma un pilastro strategico per il futuro dell’Europa, capace di abilitare commercio transfrontaliero affidabile, rafforzare la sovranità digitale e fornire a PMI e grandi imprese un’infrastruttura di identità scalabile e interoperabile adatta al prossimo decennio di integrazione economica.

KYA: identificare gli agenti nell’economia agentica

L’ascesa degli agenti autonomi basati su AI introduce una nuova dimensione: Know Your Agent (KYA).

Man mano che i sistemi di intelligenza artificiale agiscono sempre più per conto di individui e aziende — eseguendo transazioni, negoziando contratti, avviando pagamenti — la domanda diventa: come identifichiamo, autentichiamo e autorizziamo attori non umani?

Le discussioni nel settore stanno già esplorando identità affidabili per gli agenti AI. Il concetto prevede l’assegnazione di credenziali verificabili agli agenti, il loro collegamento a entità legali responsabili e la garanzia di tracciabilità.

Senza un robusto framework di fiducia, l’economia agentica rischia di diventare un terreno fertile per automazione incontrollata e frodi.

Il framework europeo di identità digitale offre un’opportunità unica per definire precocemente standard per l’identità degli agenti. Se business wallet e digital identity wallet potranno interagire con credenziali degli agenti, l’Europa potrebbe contribuire a definire norme globali per transazioni AI responsabili.

Identità e pagamenti: una convergenza strategica

Storicamente, verifica dell’identità e pagamenti hanno operato in parallelo. Ma la convergenza sta accelerando.

I wallet digitali in grado di conservare credenziali di identità insieme a strumenti di pagamento creano opportunità per flussi di onboarding e di transazioni senza soluzione di continuità. Strong Customer Authentication (SCA), conformità AML e autorizzazione dei pagamenti possono diventare parti di un’esperienza unificata.

È proprio per questo che, all’interno dell’Architecture and Reference Framework (ARF) dell’EUDI Wallet, stiamo iniziando a vedere riferimenti espliciti ai meccanismi di SCA e alla capacità di gestire transaction token in modo sicuro e interoperabile. All’orizzonte normativo, ci aspettiamo che la stessa apertura e neutralità tecnologica si riflettano nel futuro quadro della Payment Services Regulation (PSR) e della PSD3, consentendo ai wallet di identità di interagire in modo nativo con gli ecosistemi di pagamento e di supportare flussi transazionali conformi e centrati sull’utente in tutta Europa.

Le recenti discussioni globali sottolineano l’importanza di collegare i sistemi di identità digitale con le infrastrutture di pagamento per migliorare l’inclusione finanziaria e ridurre le frodi. Questa prospettiva è fortemente riflessa nel recente rapporto della World Bank (ID Meets Instant: Enabling Trusted, Inclusive Fast Payments through Digital ID, febbraio 2026) sulla convergenza tra identità digitale e pagamenti, che evidenzia come sistemi di identità interoperabili possano sbloccare ecosistemi finanziari più sicuri e inclusivi, così come nel non-paper del Webuild Consortium, “Trusted Identities for AI Agents – An Opportunity for Europe”, che invita a un allineamento strategico tra identità digitali affidabili, capacità transazionali e competitività dell’Europa.

Quando l’identità è affidabile e portabile, i servizi finanziari possono essere erogati più rapidamente e a costi inferiori.

Tuttavia, combinare identità e pagamenti solleva anche questioni di governance, privacy e responsabilità. Una chiara separazione delle funzioni, il consenso dell’utente e la minimizzazione dei dati devono rimanere centrali. Inoltre, l’allocazione delle responsabilità tra emittenti di wallet, fornitori di servizi di pagamento, relying parties ed emittenti di attributi deve essere chiaramente definita: chi è responsabile in caso di uso fraudolento delle credenziali, token di transazione compromessi, attributi errati o flussi di autenticazione falliti?

Man mano che i livelli di identità e pagamento convergono, la certezza giuridica sui quadri di responsabilità diventerà importante quanto l’interoperabilità tecnica, assicurando che l’innovazione non superi la responsabilità. È proprio nei dettagli tecnici – all’interno dell’evoluzione dell’Architecture and Reference Framework e, soprattutto, nella progettazione finale e nelle interpretazioni di PSR e PSD3 – che questa allocazione delle responsabilità e l’interazione pratica tra i livelli di identità e pagamento diventeranno più chiare, definendo il reale equilibrio operativo tra innovazione, rischio e responsabilità.

La scala come fattore decisivo

Le infrastrutture di fiducia richiedono investimenti elevati.

Costruire sistemi di identità conformi, mantenere difese di cybersecurity, integrare sistemi di rilevamento delle frodi basati su AI e garantire interoperabilità transfrontaliera richiede investimenti significativi.

La scala non è opzionale, è fondamentale.

I grandi trust service provider, i Qualified Trust Service Provider (QTSP) e gli operatori affermati nel campo dell’identità sono in una posizione unica per supportare l’ecosistema. Combinano competenze normative, capacità tecnologiche e resilienza operativa.

In un mercato frammentato, gli attori più piccoli potrebbero avere difficoltà a sostenere il ritmo del cambiamento normativo e dell’innovazione tecnologica. Consolidamento e partnership strategiche sono quindi probabili.

Il ruolo dei leader della fiducia nel nuovo ecosistema

Mentre l’Europa entra in questa fase trasformativa, i trust service provider svolgono un ruolo fondamentale.

Essi agiscono come:

• emittenti di certificati qualificati e credenziali;
• fornitori di soluzioni di identificazione remota;
• integratori delle infrastrutture wallet;
• abilitatori di compliance per industrie regolamentate.

La loro missione si espande oltre la semplice fornitura di servizi tecnici. Diventano architetti degli ecosistemi di fiducia digitale.

In questo contesto, l’innovazione deve coesistere con l’affidabilità. La conformità normativa non può essere un ripensamento; deve essere incorporata fin dalla progettazione. In Namirial stiamo investendo fortemente in questi nuovi flussi di identità e pagamenti, sviluppando soluzioni KYC e onboarding che consentano ai nostri clienti più grandi di gestire la complessità normativa, tecnica e operativa che li attende nel prossimo decennio.

Crediamo che solo piattaforme flessibili, interoperabili e progettate secondo il principio della compliance-by-design possano realmente supportare istituzioni che si trovano ad affrontare obblighi convergenti legati a eIDAS, AMLR e pagamenti.

Siamo orgogliosi che la nostra piattaforma Namirial Onboarding ci abbia già posizionati come leader riconosciuti nei mercati di identificazione regolamentata, dimostrando la nostra capacità di combinare identificazione ad alta affidabilità, verifica biometrica avanzata, supporto agli schemi eID, ai futuri wallet e capacità di orchestrazione scalabile in contesti in cui compliance ed esperienza cliente devono procedere di pari passo.

Il punto di svolta del 2026–2027

Quando gli storici della trasformazione digitale guarderanno indietro, il periodo 2026–2027 potrebbe apparire come il momento in cui l’Europa è passata da iniziative frammentate di identità digitale a un’architettura unificata di fiducia.

L’emissione obbligatoria dei wallet, l’obbligo di accettarli, l’applicazione dell’AMLR sotto la supervisione di AMLA, la maturazione delle difese contro le frodi basate su AI, l’emergere dei business wallet e i primi passi verso l’identità degli agenti creano una convergenza raramente vista nella storia normativa.

Per le organizzazioni, l’immobilismo non è un’opzione, ma l’obiettivo finale è trasformare le normative in vantaggi competitivi.

La preparazione richiede:

• allineamento strategico delle roadmap;
• investimenti tecnologici e architetture adattive;
• coordinamento trasversale tra compliance, IT e unità di business.

Chi si muoverà per primo modellerà l’ecosistema. Chi ritarderà dovrà adattarsi ad esso.

Conclusione: cavalcare lo tsunami

Uno tsunami rimodella le coste.

La rivoluzione dell’identità digitale e dell’onboarding del 2026–2027 rimodellerà le infrastrutture di fiducia, la compliance normativa e l’esperienza cliente in tutta Europa.

Per le organizzazioni, il messaggio è chiaro: la preparazione deve iniziare ora. Le istituzioni dovrebbero iniziare mappando le future architetture di onboarding, valutando come flussi basati su EUDI Wallet, schemi eID nazionali e identificazione biometrica possano coesistere all’interno di piattaforme di orchestrazione flessibili. Dovrebbero rivalutare i propri modelli di rischio alla luce dell’Articolo 22 dell’AMLR e degli RTS emergenti, investire in sistemi di rilevamento delle frodi basati su AI e in tecnologie biometriche certificate, e assicurarsi che i propri sistemi siano pronti a gestire verifiche basate su attributi e autenticazione tramite wallet. Altrettanto importante, devono allineare i team di compliance, IT, prodotto ed esperienza cliente per riprogettare percorsi di onboarding che siano allo stesso tempo pronti per i regolatori e centrati sull’utente.

Al centro di questa trasformazione c’è una verità semplice: la fiducia deve essere scalabile.

Le organizzazioni capaci di combinare rigore normativo, eccellenza tecnologica e scala continentale non si limiteranno a sopravvivere allo tsunami; definiranno la nuova linea costiera dell’Europa digitale.

Come Namirial, siamo pronti a supportare i nostri clienti nei passi strategici che li attendono, accompagnandoli nella navigazione della complessità normativa, della trasformazione tecnologica e dei nuovi paradigmi di fiducia che definiranno il futuro digitale dell’Europa.