Con l’obiettivo dichiarato di rendere più solide le difese del sistema finanziario, soprattutto in relazione ai rischi di finanziamento della proliferazione di armi di distruzione di massa (CFPS), oltre che sul DLgs. 109/2007 (si veda “Da adeguare i presidi degli ETS contro riciclaggio e finanziamento del terrorismo” del 6 settembre 2025) l’art. 11 del DL 95/2025, conv. L. 118/2025, interviene in modo significativo anche sul DLgs. 231/2007. La volontà del legislatore è chiara: consolidare il sistema nazionale di prevenzione, in linea con le raccomandazioni più recenti del GAFI e con le evoluzioni europee in materia di cripto-attività e sanzioni mirate.

A tal fine il DLgs. 231/2007 viene aggiornato sia nelle definizioni sia negli ambiti operativi. Una delle novità principali è l’introduzione del concetto di “finanziamento della proliferazione di armi di distruzione di massa”, che diventa espressamente una delle nozioni giuridiche di riferimento (art. 1 comma 2 lett. p-bis) e, di conseguenza, un rischio da presidiare (art. 11 comma 2). Ciò significa che il fenomeno – già osservato a livello internazionale – entra a pieno titolo nel perimetro del risk assessment nazionale e nei sistemi di controllo antiriciclaggio.

A tal fine, il nuovo art. 16-ter del DLgs. 231/2007 introduce un obbligo specifico: ogni tre anni il Comitato di sicurezza finanziaria (CSF) dovrà svolgere un’analisi del rischio di proliferazione, i cui risultati saranno messi a disposizione di soggetti obbligati e organismi di autoregolamentazione. Questi ultimi dovranno quindi adottare misure di mitigazione proporzionate e adeguate rispetto al rischio individuato; tale analisi potrà integrarsi con la valutazione già prevista per il rischio di riciclaggio e di finanziamento del terrorismo ai sensi dell’art. 15 del DLgs. 231/2007.

Per i professionisti l’inclusione del rischio di proliferazione comporta conseguenze pratiche non trascurabili: sarà infatti necessario rivedere i presidi organizzativi e le procedure di adeguata verifica, con particolare attenzione alle relazioni con clienti o controparti che operano in giurisdizioni considerate sensibili o sottoposte a restrizioni internazionali.
Un’altra modifica significativa riguarda la definizione di “Paesi terzi ad alto rischio”. In precedenza, la lista veniva elaborata unicamente sulla base delle indicazioni della Commissione europea; ora invece l’individuazione potrà avvenire anche attraverso decreto del MEF, previo parere del CSF (art. 1 comma 2 lett. bb).
Questa doppia fonte di designazione conferisce al sistema maggiore flessibilità, rendendolo più reattivo rispetto agli aggiornamenti del GAFI e alle dinamiche geopolitiche in rapida evoluzione.

Particolare attenzione è dedicata anche agli operatori del settore delle cripto-attività. L’introduzione dell’art. 45-bis nel DLgs. 231/2007 prevede infatti che i prestatori di tali servizi, se stabiliti in altri Stati membri dell’Unione ma operanti in Italia senza una succursale, siano obbligati a nominare un punto di contatto centrale. Tale presidio si rivela essenziale per garantire il rispetto degli obblighi antiriciclaggio sul territorio nazionale ed è perfettamente coerente con le nuove regole europee dettate dal Regolamento MiCA (Ue 2023/1114) e dal Regolamento TFR (Ue 2023/1113), dedicato all’identificazione dei trasferimenti di cripto-attività. Per i professionisti ciò richiede una maggiore attenzione alla compliance normativa, ma anche un ripensamento organizzativo per assicurare il rispetto degli obblighi di adeguata verifica, conservazione dei dati e segnalazione.
Da sottolineare, inoltre, l’estensione degli obblighi per i gruppi multinazionali, che ora devono presidiare i rischi geografici con un’attenzione specifica verso i Paesi ad alto rischio (art. 27 comma 5-bis lett. c-bis).

Nel complesso, il nuovo impianto normativo si configura come un’evoluzione strutturale del sistema nazionale di prevenzione, grazie all’inserimento sistematico del rischio di finanziamento della proliferazione in tutto l’assetto del DLgs. 231/2007. L’approccio è multilivello: integra norme europee, raccomandazioni internazionali e prassi nazionali.

Molte delle novità hanno natura tecnica, ma il segnale di fondo è chiaro: il sistema si muove verso una struttura più integrata, digitale e fondata sulla responsabilità preventiva dei soggetti obbligati. Per banche, intermediari, studi professionali e operatori del fintech diventa quindi imprescindibile rivedere i propri presidi organizzativi per gestire in maniera efficace i nuovi obblighi.

Le modifiche descritte, peraltro, precedono il recepimento della VI Direttiva europea AML e l’entrata in vigore del Regolamento “Single Rule Book”, destinati a ridisegnare in maniera organica l’intera disciplina antiriciclaggio. Sotto questo aspetto, è lecito chiedersi se questo anticipo di riforma non rischi di generare misure di breve durata, compromettendo la coerenza e la stabilità della normativa, a breve chiamata ad armonizzarsi ancora una volta con le nuove regole europee.