Premessa
In Namirial collaboriamo da anni con clienti del settore finanziario, dalle banche e dai fornitori di servizi di pagamento, fino alle fintech emergenti e ai provider di servizi legati agli asset crittografici.
In questi contesti, una sfida costante è rappresentata dall’allineamento dei processi di onboarding e KYC con un quadro normativo sempre più complesso e articolato.
Abbiamo quindi ritenuto utile chiarire lo scenario regolamentare attuale, evidenziando la coesistenza di eIDAS 2.0, AMLR, AMLD6, PSD3, PSR e MiCAR, e spiegare perché investire in processi di onboarding scalabili rappresenti oggi un imperativo strategico, soprattutto in vista dell’imminente diffusione dell’European Digital Identity Wallet (EUDIWallet).
Lo stato attuale del KYC nei settori regolamentati
1. AMLR e AMLD6
Il Regolamento Antiriciclaggio (AMLR, UE 2024/1624) rafforza l’approccio basato sul rischio per tutti i soggetti obbligati nell’Unione Europea. Sarà pienamente applicabile da luglio 2027, prevedendo un periodo di transizione per l’adeguamento.
Il suo obiettivo è armonizzare i requisiti di adeguata verifica della clientela tra gli Stati membri, assicurando che banche, istituti di pagamento, compagnie assicurative e fornitori di servizi su cripto-asset possano operare su una base comune.
Un elemento chiave è il riconoscimento esplicito del ruolo dei Qualified Trust Service Providers (QTSPs), che crea un primo collegamento con il quadro eIDAS, tema che approfondiremo più avanti.
In qualità di QTSP leader, Namirial aggiorna costantemente i propri servizi per rispondere alle esigenze dei clienti del settore finanziario.
È inoltre importante ricordare la recente istituzione dell’Anti-Money Laundering Authority (AMLA), attualmente in fase di avvio operativo. L’Autorità supervisionerà la compliance a livello europeo, in linea con il mandato di vigilanza stabilito dall’AMLR e dal relativo regolamento di attuazione (AMLAR).
La Sesta Direttiva Antiriciclaggio (AMLD6) integra l’AMLR, ampliando la responsabilità penale e colmando le lacune delle implementazioni nazionali. Insieme, queste norme innalzano gli standard dei processi di KYC, richiedendo infrastrutture solide per identificazione, monitoraggio e segnalazione.
2. PSD3 e PSR
La Payment Services Directive 3 (PSD3) e il Payment Services Regulation (PSR) mirano a modernizzare la supervisione dei pagamenti e a rafforzare l’armonizzazione a livello europeo.
Entrambi entreranno in vigore a partire dal 2026, ridefinendo il modo in cui i Payment Service Providers (PSP) strutturano i controlli di KYC e di prevenzione delle frodi.
Questi strumenti normativi rafforzeranno gli obblighi relativi alla verifica dell’identità, alla prevenzione delle appropriazioni indebite di account e all’allineamento con i requisiti AMLR.
3. MiCAR
Il Regolamento sui mercati delle cripto-attività (MiCAR) è entrato in vigore nel giugno 2023, con applicazione graduale.
Dal dicembre 2024, le regole per le stablecoin (EMT e ART) sono pienamente operative, mentre gli obblighi più ampi per i fornitori di servizi su cripto-asset si applicheranno da giugno 2026.
MiCAR richiede processi KYC equivalenti a quelli previsti da AMLR e PSD3/PSR, stabilendo così un quadro normativo integrato per gli asset digitali.
Il ruolo dell’eIDAS 2.0 e dell’European Digital Identity Wallet
Dall’eIDAS all’eIDAS 2.0
Il Regolamento eIDAS (2014) ha gettato le basi per l’interoperabilità transfrontaliera nell’identificazione elettronica.
Il nuovo eIDAS 2.0 (Regolamento UE 2024/1183), entrato in vigore nel maggio 2024, introduce l’European Digital Identity Wallet (EUDIWallet) come strumento cardine per un’identità digitale sicura e interoperabile in tutta l’Unione Europea.
Scadenze chiave e Articolo 5f
In base all’Articolo 5f, gli Stati membri e i principali soggetti privati dei settori regolamentati saranno obbligati ad accettare l’EUDIWallet per la Strong Authentication (o autenticazione forte) entro e non oltre il 24 dicembre 2027 (grazie Babbo Natale!).
La disposizione si applica a settori come bancario, finanziario, energetico, dei trasporti e delle telecomunicazioni.
Inoltre, gli Stati membri dovranno garantire che almeno un wallet per Paese sia disponibile per tutti i cittadini entro dicembre 2026.
Queste scadenze rappresentano tappe decisive verso una diffusione universale, accompagnate da step intermedi come l’adozione degli atti di esecuzione (avviata da novembre 2024) e le preparazioni nazionali per i quadri di certificazione e vigilanza.
Privacy e controllo dell’utente
Il wallet è progettato secondo i principi di privacy-by-design, garantendo minimizzazione dei dati, trasparenza e controllo all’utente.
Grazie all’uso delle Qualified Electronic Attestations of Attributes (QEAA), l’EUDIWallet consente di semplificare l’onboarding mantenendo la piena conformità al GDPR e alle normative in materia di protezione dei dati personali.
L’interazione tra le normative
Comprendere la complessità
Comprendere le relazioni tra le diverse normative, e i rispettivi atti delegati o di esecuzione, è fondamentale.
Il volume di regole e standard coinvolti è considerevole: il solo regolamento eIDAS prevede 36 atti di esecuzione che fanno riferimento a oltre 70 standard tecnici, mentre anche l’AMLR sarà accompagnato da propri atti delegati.
Questo ecosistema normativo in continua espansione rende sempre più necessario progettare approcci integrati al KYC e all’onboarding.
Di seguito presentiamo una panoramica ad alto livello, evidenziando alcune delle principali correlazioni osservate.
1. eIDAS 2.0 + AMLR/AMLD6
Un confronto interessante emerge tra l’Articolo 24 di eIDAS e l’Articolo 22 di AMLR.
Il primo definisce i requisiti per i fornitori di servizi fiduciari e di identificazione elettronica, stabilendo un quadro per i processi di verifica dell’identità e, con l’ultimo atto di esecuzione, facendo diretto riferimento al nuovo standard ETSI 119 461, che dettaglia requisiti e casi d’uso per diversi scenari.
Parallelamente, l’Articolo 22 di AMLR stabilisce gli obblighi di adeguata verifica della clientela per i soggetti obbligati, specificando le condizioni in cui l’identificazione e la verifica devono essere eseguite.
Insieme, queste disposizioni illustrano la complementarità tra i servizi fiduciari, focalizzati sull’integrità e l’affidabilità di identità e firme, e gli obblighi antiriciclaggio, orientati alla prevenzione del riciclaggio e del finanziamento del terrorismo.
L’integrazione dell’identità digitale fiduciaria con i quadri AML apre nuove opportunità per semplificare l’onboarding e rafforzare la compliance.
Attraverso le credenziali EUDIWallet, le istituzioni possono ridurre le frizioni nei processi di verifica, garantendo standard uniformi nelle diverse giurisdizioni.
2. PSD3/PSR + AMLR/AMLD6
Le istituzioni di pagamento devono implementare processi KYC che siano al tempo stesso risk-based (in linea con AMLR) e tecnicamente interoperabili (come previsto da PSD3/PSR).
Questa convergenza richiede piattaforme di onboarding scalabili e flessibili, capaci di adattarsi alle sovrapposizioni normative, con percorsi differenziati a seconda del livello di rischio.
3. MiCAR + PSD3/PSR
Con la crescente convergenza tra cripto e pagamenti, diventerà essenziale un onboarding unificato.
I requisiti di identificazione del cliente previsti da MiCAR rispecchiano quelli di PSD3/PSR, segnando un passo verso una armonizzazione cross-settoriale.
4. eIDAS 2.0 + PSD3/MiCAR
L’EUDIWallet può fungere da ancora fiduciaria unica per i servizi finanziari, abilitando la compliance sia nell’ecosistema fiat che in quello crypto.
Architettura di un onboarding scalabile
Perché le architetture scalabili contano
Le istituzioni si confrontano con requisiti regolamentari eterogenei e profili di rischio dei clienti molto diversi.
Diventa quindi essenziale implementare architetture KYC scalabili e flessibili, in grado di supportare flussi di onboarding differenziati in base al livello di rischio valutato, garantendo coerenza con il principio di proporzionalità dell’AMLR e con i livelli di garanzia di eIDAS.
Scalando i processi in base al volume delle transazioni e alla categoria di clientela, le organizzazioni possono raggiungere la compliance senza sacrificare efficienza ed esperienza utente.
Principi chiave
- Standardizzazione: sfruttare EUDIWallet e i servizi fiduciari qualificati.
- Flessibilità risk-based: allinearsi all’approccio proporzionale dell’AMLR.
- Interoperabilità cross-settoriale: garantire compatibilità tra Paesi e wallet.
- Centralità dell’utente: ridurre al minimo le frizioni garantendo la conformità.
Vantaggi strategici
- Efficienza: processi scalabili e automatizzati riducono i costi.
- Resilienza normativa: piattaforme agili si adattano a regole in evoluzione.
- Scalabilità transfrontaliera: l’interoperabilità favorisce l’espansione.
- Fiducia del cliente: esperienze sicure e fluide aumentano l’adozione.
Conclusione
Il panorama regolamentare europeo sta convergendo verso un quadro armonizzato per il KYC.
Con l’AMLR in vigore da luglio 2027, l’eIDAS 2.0 che prevede il dispiegamento universale dei wallet entro dicembre 2026 e la loro adozione obbligatoria nei servizi finanziari entro dicembre 2027, e con PSD3, PSR e MiCAR applicabili dal 2026, le istituzioni si trovano di fronte sia a sfide di compliance, sia a opportunità di trasformazione.
In Namirial, crediamo che l’European Digital Identity Wallet, combinato con soluzioni di onboarding scalabili, rappresenterà la pietra angolare dei servizi finanziari del prossimo decennio: conformi, efficienti e centrati sull’utente.
È proprio in questa direzione che abbiamo sviluppato la nostra piattaforma KYC e di onboarding, che ci ha portato a essere riconosciuti dagli analisti del settore come Leader nelle piattaforme KYC per i servizi finanziari.