Il Regolamento antiriciclaggio europeo (Regolamento 2024/1624, noto come AMLR) è stato formalmente adottato nel 2024 e si applicherà integralmente dal 1° luglio 2027. A maggio 2026, l'European Crypto Initiative (EUCI) ha pubblicato l'AML Handbook operativo, confermando che il framework legislativo è definitivo e che i crypto-asset service provider (CASP) europei dovranno conformarsi a standard di trasparenza equivalenti a quelli del settore bancario tradizionale. Il pacchetto normativo comprende anche la creazione di una nuova autorità di supervisione dedicata e l'estensione delle regole antiriciclaggio a tutte le categorie di servizi su asset digitali.
🔒 Il divieto di privacy coin e account anonimi
L'articolo 79 del Regolamento introduce un divieto esplicito e generalizzato, rivolto a banche, istituti finanziari e CASP, che copre tre ambiti distinti. In primo luogo, è vietato mantenere o offrire account anonimi oppure qualsiasi strumento che consenta l'offuscamento delle transazioni. In secondo luogo, è proibito trattare criptovalute dotate di funzionalità di anonimizzazione integrata: rientrano in questa categoria Monero (XMR), Zcash (ZEC) e Dash, le tre principali privacy coin attualmente in circolazione. In terzo luogo, gli account anonimi già esistenti non potranno più essere utilizzati senza il completamento preventivo della customer due diligence.
Il divieto non si estende ai produttori di hardware wallet o software wallet, né ai self-hosted wallet in quanto tali. La condizione è che il fornitore non detenga accesso o controllo diretto sui fondi dell'utente. L'impostazione normativa distingue quindi tra chi custodisce e chi produce lo strumento di custodia: solo il primo è soggetto agli obblighi antiriciclaggio.
🔍 I controlli "intrusivi" sui self-hosted wallet
Per ogni trasferimento di importo superiore a 1.000 euro che coinvolga un indirizzo self-hosted, i CASP saranno tenuti a verificare l'identità sia del mittente sia del destinatario, raccogliere informazioni documentate sull'origine e la destinazione dei fondi, e applicare un monitoraggio continuo sulle transazioni collegate a quegli indirizzi. La EUCI ha definito queste misure "intrusive checks", evidenziando come il livello di sorveglianza previsto avvicini i wallet personali alle regole già applicate ai conti correnti bancari.
Il Regolamento riconosce che i self-hosted wallet presentano un rischio elevato sotto il profilo antiriciclaggio. Il considerando 29 e il considerando 30 del Regolamento stesso specificano che le politiche, le procedure e i controlli interni dei CASP devono rispondere ai rischi posti dalle transazioni con indirizzi self-hosted, imponendo una valutazione caso per caso che tenga conto delle caratteristiche del cliente, dell'area geografica coinvolta e dei canali di distribuzione utilizzati.
🏛️ AMLA: supervisione diretta su 40 exchange
A rafforzare l'architettura di enforcement, il Regolamento istituisce l'Anti-Money Laundering Authority (AMLA), che entro il 1° luglio 2027 selezionerà fino a 40 CASP per la supervisione diretta. I criteri di selezione prevedono l'operatività in almeno sei Stati membri, un numero minimo di 20.000 clienti registrati oppure un volume annuo di transazioni superiore a 50 milioni di euro. Si tratta della prima tornata di selezione: il Regolamento prevede espressamente che ne seguiranno altre, progressivamente estendendo il perimetro di vigilanza diretta dell'autorità europea.
L'AMLA avrà poteri di monitoraggio, audit e verifica della compliance. Per i CASP che operano in più giurisdizioni, la supervisione centralizzata elimina la frammentazione attuale, in cui ogni Stato membro applica standard differenti. Il modello si avvicina a quello della vigilanza bancaria unica della BCE, adattato al settore degli asset digitali.
⚡ La tensione tra antiriciclaggio e protezione dei dati
L'applicazione congiunta del Regolamento AMLR e della Travel Rule (Regolamento 2023/1113) impone ai CASP di scambiarsi reciprocamente i dati personali completi di mittente e destinatario per ogni trasferimento crypto. Come evidenziato da analisi specialistiche, questo obbligo di condivisione può entrare in conflitto con i principi fondamentali del GDPR: minimizzazione dei dati, limitazione delle finalità e proporzionalità del trattamento.
Parallelamente, l'EDPB ha adottato nell'aprile 2025 le Guidelines 02/2025 sul trattamento dei dati personali tramite tecnologie blockchain. Il Board ha chiarito che gli indirizzi wallet costituiscono dati personali pseudonimizzati a tutti gli effetti, soggetti integralmente al GDPR. Le linee guida raccomandano di evitare la memorizzazione di dati personali su blockchain quando ciò confligge con i principi di protezione dei dati, di eseguire una DPIA obbligatoria prima di avviare trattamenti tramite registri distribuiti e di garantire il rispetto del diritto alla cancellazione e alla rettifica nonostante l'immutabilità della catena.
Il risultato è un doppio binario normativo: da un lato, la massima trasparenza richiesta dalla normativa antiriciclaggio; dall'altro, la tutela dei dati personali imposta dal GDPR. I CASP si trovano a dover soddisfare simultaneamente obblighi potenzialmente contraddittori, senza che il legislatore europeo abbia ancora fornito un meccanismo esplicito di coordinamento tra i due regimi.
📊 Reazioni del mercato e stato di attuazione
Il mercato ha già iniziato ad adeguarsi. Kraken ha delistato Monero (XMR) per gli utenti europei nel giugno 2024, anticipando l'entrata in vigore del divieto. L'episodio del furto da 330 milioni di dollari in Bitcoin, riciclati istantaneamente tramite conversione in Monero nell'aprile 2025 con un conseguente spike del prezzo di XMR del 50% in un solo giorno, ha fornito ai regolatori un argomento concreto a sostegno della propria posizione.
Sul fronte opposto, privacy advocates e sviluppatori – tra cui Riccardo Spagni di Monero – avvertono che il ban spingerà le aziende verso giurisdizioni più permissive come Dubai e gli Emirati Arabi, senza eliminare la domanda di anonimato ma spostandola fuori dal perimetro europeo. Vitalik Buterin ha proposto soluzioni intermedie come le privacy pools e il protocollo Railgun su Ethereum, progettate per offrire privacy on-chain senza impedire la compliance normativa.
Le norme sono definitive a livello legislativo. Restano da finalizzare solo gli implementing e delegated acts dell'EBA, ma la senior policy lead dell'EUCI, Vyara Savova, ha confermato che "the broader framework is final" e che i CASP devono già integrare queste regole nelle proprie procedure interne. La direzione è univoca: nell'Unione Europea la privacy finanziaria crypto non sarà più una scelta dell'utente, ma un perimetro definito e presidiato per legge.
#privacycoin #antiriciclaggio #amlr
