Il futuro del KYC e dell’AML nei settori regolamentati: navigare la compliance con un onboarding scalabile nell’era dell’European Digital Identity Wallet

Avatar Matteo Panfilo
Product Strategy Director

Premessa 

In Namirial collaboriamo da anni con clienti del settore finanziario, dalle banche e dai fornitori di servizi di pagamento, fino alle fintech emergenti e ai provider di servizi legati agli asset crittografici. 
In questi contesti, una sfida costante è rappresentata dall’allineamento dei processi di onboarding e KYC con un quadro normativo sempre più complesso e articolato. 

Abbiamo quindi ritenuto utile chiarire lo scenario regolamentare attuale, evidenziando la coesistenza di eIDAS 2.0, AMLR, AMLD6, PSD3, PSR e MiCAR, e spiegare perché investire in processi di onboarding scalabili rappresenti oggi un imperativo strategico, soprattutto in vista dell’imminente diffusione dell’European Digital Identity Wallet (EUDIWallet)

Lo stato attuale del KYC nei settori regolamentati 

1. AMLR e AMLD6 

Il Regolamento Antiriciclaggio (AMLR, UE 2024/1624) rafforza l’approccio basato sul rischio per tutti i soggetti obbligati nell’Unione Europea. Sarà pienamente applicabile da luglio 2027, prevedendo un periodo di transizione per l’adeguamento. 
Il suo obiettivo è armonizzare i requisiti di adeguata verifica della clientela tra gli Stati membri, assicurando che banche, istituti di pagamento, compagnie assicurative e fornitori di servizi su cripto-asset possano operare su una base comune. 

Un elemento chiave è il riconoscimento esplicito del ruolo dei Qualified Trust Service Providers (QTSPs), che crea un primo collegamento con il quadro eIDAS, tema che approfondiremo più avanti. 
In qualità di QTSP leader, Namirial aggiorna costantemente i propri servizi per rispondere alle esigenze dei clienti del settore finanziario. 

È inoltre importante ricordare la recente istituzione dell’Anti-Money Laundering Authority (AMLA), attualmente in fase di avvio operativo. L’Autorità supervisionerà la compliance a livello europeo, in linea con il mandato di vigilanza stabilito dall’AMLR e dal relativo regolamento di attuazione (AMLAR). 

La Sesta Direttiva Antiriciclaggio (AMLD6) integra l’AMLR, ampliando la responsabilità penale e colmando le lacune delle implementazioni nazionali. Insieme, queste norme innalzano gli standard dei processi di KYC, richiedendo infrastrutture solide per identificazione, monitoraggio e segnalazione. 

2. PSD3 e PSR 

La Payment Services Directive 3 (PSD3) e il Payment Services Regulation (PSR) mirano a modernizzare la supervisione dei pagamenti e a rafforzare l’armonizzazione a livello europeo. 
Entrambi entreranno in vigore a partire dal 2026, ridefinendo il modo in cui i Payment Service Providers (PSP) strutturano i controlli di KYC e di prevenzione delle frodi. 

Questi strumenti normativi rafforzeranno gli obblighi relativi alla verifica dell’identità, alla prevenzione delle appropriazioni indebite di account e all’allineamento con i requisiti AMLR. 

3. MiCAR 

Il Regolamento sui mercati delle cripto-attività (MiCAR) è entrato in vigore nel giugno 2023, con applicazione graduale. 
Dal dicembre 2024, le regole per le stablecoin (EMT e ART) sono pienamente operative, mentre gli obblighi più ampi per i fornitori di servizi su cripto-asset si applicheranno da giugno 2026

MiCAR richiede processi KYC equivalenti a quelli previsti da AMLR e PSD3/PSR, stabilendo così un quadro normativo integrato per gli asset digitali. 

Il ruolo dell’eIDAS 2.0 e dell’European Digital Identity Wallet 

Dall’eIDAS all’eIDAS 2.0 

Il Regolamento eIDAS (2014) ha gettato le basi per l’interoperabilità transfrontaliera nell’identificazione elettronica. 
Il nuovo eIDAS 2.0 (Regolamento UE 2024/1183), entrato in vigore nel maggio 2024, introduce l’European Digital Identity Wallet (EUDIWallet) come strumento cardine per un’identità digitale sicura e interoperabile in tutta l’Unione Europea. 

Scadenze chiave e Articolo 5f 

In base all’Articolo 5f, gli Stati membri e i principali soggetti privati dei settori regolamentati saranno obbligati ad accettare l’EUDIWallet per la Strong Authentication (o autenticazione forte) entro e non oltre il 24 dicembre 2027 (grazie Babbo Natale!). 

La disposizione si applica a settori come bancario, finanziario, energetico, dei trasporti e delle telecomunicazioni
Inoltre, gli Stati membri dovranno garantire che almeno un wallet per Paese sia disponibile per tutti i cittadini entro dicembre 2026

Queste scadenze rappresentano tappe decisive verso una diffusione universale, accompagnate da step intermedi come l’adozione degli atti di esecuzione (avviata da novembre 2024) e le preparazioni nazionali per i quadri di certificazione e vigilanza. 

Privacy e controllo dell’utente 

Il wallet è progettato secondo i principi di privacy-by-design, garantendo minimizzazione dei dati, trasparenza e controllo all’utente
Grazie all’uso delle Qualified Electronic Attestations of Attributes (QEAA), l’EUDIWallet consente di semplificare l’onboarding mantenendo la piena conformità al GDPR e alle normative in materia di protezione dei dati personali. 

L’interazione tra le normative 

Comprendere la complessità 

Comprendere le relazioni tra le diverse normative, e i rispettivi atti delegati o di esecuzione, è fondamentale. 
Il volume di regole e standard coinvolti è considerevole: il solo regolamento eIDAS prevede 36 atti di esecuzione che fanno riferimento a oltre 70 standard tecnici, mentre anche l’AMLR sarà accompagnato da propri atti delegati. 

Questo ecosistema normativo in continua espansione rende sempre più necessario progettare approcci integrati al KYC e all’onboarding
Di seguito presentiamo una panoramica ad alto livello, evidenziando alcune delle principali correlazioni osservate. 

1. eIDAS 2.0 + AMLR/AMLD6 

Un confronto interessante emerge tra l’Articolo 24 di eIDAS e l’Articolo 22 di AMLR

Il primo definisce i requisiti per i fornitori di servizi fiduciari e di identificazione elettronica, stabilendo un quadro per i processi di verifica dell’identità e, con l’ultimo atto di esecuzione, facendo diretto riferimento al nuovo standard ETSI 119 461, che dettaglia requisiti e casi d’uso per diversi scenari. 

Parallelamente, l’Articolo 22 di AMLR stabilisce gli obblighi di adeguata verifica della clientela per i soggetti obbligati, specificando le condizioni in cui l’identificazione e la verifica devono essere eseguite. 

Insieme, queste disposizioni illustrano la complementarità tra i servizi fiduciari, focalizzati sull’integrità e l’affidabilità di identità e firme, e gli obblighi antiriciclaggio, orientati alla prevenzione del riciclaggio e del finanziamento del terrorismo. 

L’integrazione dell’identità digitale fiduciaria con i quadri AML apre nuove opportunità per semplificare l’onboarding e rafforzare la compliance. 
Attraverso le credenziali EUDIWallet, le istituzioni possono ridurre le frizioni nei processi di verifica, garantendo standard uniformi nelle diverse giurisdizioni. 

2. PSD3/PSR + AMLR/AMLD6 

Le istituzioni di pagamento devono implementare processi KYC che siano al tempo stesso risk-based (in linea con AMLR) e tecnicamente interoperabili (come previsto da PSD3/PSR). 
Questa convergenza richiede piattaforme di onboarding scalabili e flessibili, capaci di adattarsi alle sovrapposizioni normative, con percorsi differenziati a seconda del livello di rischio. 

3. MiCAR + PSD3/PSR 

Con la crescente convergenza tra cripto e pagamenti, diventerà essenziale un onboarding unificato
I requisiti di identificazione del cliente previsti da MiCAR rispecchiano quelli di PSD3/PSR, segnando un passo verso una armonizzazione cross-settoriale

4. eIDAS 2.0 + PSD3/MiCAR 

L’EUDIWallet può fungere da ancora fiduciaria unica per i servizi finanziari, abilitando la compliance sia nell’ecosistema fiat che in quello crypto. 

Architettura di un onboarding scalabile 

Perché le architetture scalabili contano 

Le istituzioni si confrontano con requisiti regolamentari eterogenei e profili di rischio dei clienti molto diversi. 
Diventa quindi essenziale implementare architetture KYC scalabili e flessibili, in grado di supportare flussi di onboarding differenziati in base al livello di rischio valutato, garantendo coerenza con il principio di proporzionalità dell’AMLR e con i livelli di garanzia di eIDAS

Scalando i processi in base al volume delle transazioni e alla categoria di clientela, le organizzazioni possono raggiungere la compliance senza sacrificare efficienza ed esperienza utente. 

Principi chiave 

  • Standardizzazione: sfruttare EUDIWallet e i servizi fiduciari qualificati. 
  • Flessibilità risk-based: allinearsi all’approccio proporzionale dell’AMLR. 
  • Interoperabilità cross-settoriale: garantire compatibilità tra Paesi e wallet. 
  • Centralità dell’utente: ridurre al minimo le frizioni garantendo la conformità. 

Vantaggi strategici 

  • Efficienza: processi scalabili e automatizzati riducono i costi. 
  • Resilienza normativa: piattaforme agili si adattano a regole in evoluzione. 
  • Scalabilità transfrontaliera: l’interoperabilità favorisce l’espansione. 
  • Fiducia del cliente: esperienze sicure e fluide aumentano l’adozione. 

Conclusione 

Il panorama regolamentare europeo sta convergendo verso un quadro armonizzato per il KYC
Con l’AMLR in vigore da luglio 2027, l’eIDAS 2.0 che prevede il dispiegamento universale dei wallet entro dicembre 2026 e la loro adozione obbligatoria nei servizi finanziari entro dicembre 2027, e con PSD3, PSR e MiCAR applicabili dal 2026, le istituzioni si trovano di fronte sia a sfide di compliance, sia a opportunità di trasformazione

In Namirial, crediamo che l’European Digital Identity Wallet, combinato con soluzioni di onboarding scalabili, rappresenterà la pietra angolare dei servizi finanziari del prossimo decennio: conformi, efficienti e centrati sull’utente. 
È proprio in questa direzione che abbiamo sviluppato la nostra piattaforma KYC e di onboarding, che ci ha portato a essere riconosciuti dagli analisti del settore come Leader nelle piattaforme KYC per i servizi finanziari

Avatar Matteo Panfilo
Product Strategy Director