La digitalizzazione dei servizi finanziari ha accelerato profondamente il dibattito intorno alle modalità con cui gli intermediari vigilati possono garantire il rispetto degli obblighi di antiriciclaggio e contrasto al finanziamento del terrorismo.
Le esigenze di rapidità e fruibilità da parte della clientela si intrecciano con la necessità di rafforzare i presidi di sicurezza e i controlli sull’identità digitale.
Questo scenario è stato recentemente al centro dell’attenzione della Banca d’Italia, che con la pubblicazione dell’Indagine qualitativa sull’adozione di strumenti innovativi per l’adempimento degli obblighi AML/CFT del 2 settembre 2025, ha analizzato come le nuove tecnologie possano essere impiegate a supporto delle funzioni di controllo.
Dall’indagine di Banca d’Italia: rischi, proporzionalità e integrazione tecnologica
Dall’indagine emerge un quadro complesso e che conferma il costante contesto di contrapposizione che le funzioni di controllo devono fronteggiare, tra conformità alla normativa, presidi di sicurezza e sviluppo del business. Infatti,
- se un lato, cresce l’interesse verso soluzioni digitali capaci di migliorare i processi di onboarding e di monitoraggio nel continuo,
- dall’altro, permangono le difficoltà legate all’assenza di strategie di medio-lungo periodo, spesso associate alla tendenza a introdurre strumenti non sempre calibrati sulle specificità dei modelli di business e della clientela di riferimento.
L’approccio basato sul rischio, così come l’adozione di principi di proporzionalità, se mal interpretati, rischiano di contrapporre gli interessi degli intermediari proiettandoli nell’adozione di misure particolarmente forti, tali da limitare fortemente la loro crescita, oppure, al contrario, sottovalutare gli elementi di rischio, costituendo presidi poco efficaci, nonostante i costi comunemente applicati. La Banca d’Italia ha infatti sottolineato come l’adozione di innovazioni tecnologiche richieda una piena integrazione nei framework di controllo, evitando approcci meramente reattivi o sperimentali che rischiano di generare nuove vulnerabilità, in particolare sul fronte legato alla sicurezza informatica.
Parallelamente, l’evoluzione del rischio impone nuove riflessioni che spingono ad ampliare l’utilizzo di strumenti innovativi, a condizione che il bilanciamento tra rischi e opportunità ne dimostri la sostenibilità, senza introdurre impatti significativi sull’esperienza degli utenti finali e sempre nel rispetto dei limiti fissati dal quadro normativo vigente. Le tecniche fraudolente basate su intelligenza artificiale generativa, deepfake e manipolazioni digitali hanno reso sempre più semplice creare documenti contraffatti, identità sintetiche e prove di liveness apparentemente credibili. Strumenti che fino a pochi anni fa richiedevano competenze avanzate e costi elevati sono oggi alla portata di un numero sempre crescente di attori malevoli, con conseguente abbassamento della soglia tecnica per commettere frodi sofisticate. In questo contesto, i presidi maggiormente consolidati, anche quando basati su tecnologie moderne, quali il riconoscimento biometrico, sembrano non essere più sufficienti.
Le impronte digitali e l’intelligence come nuovo presidio AML
Diventa dunque centrale un approccio multilivello, capace di considerare non solo i documenti e i dati forniti dal cliente, ma anche di ricorrere alle forti potenzialità associabili alle cosiddette “impronte digitali”, lasciate online dagli utilizzatori della rete. Numeri di telefono, indirizzi email, indirizzi IP, valutazioni sulle tipologie di dispositivi utilizzati, configurazioni del browser e controlli sui domini web, sono elementi che, se analizzati in modo integrato, e associati ai maggiormente diffusi strumenti di analisi – incluso il controllo documentale – consentono di ricostruire un quadro molto più accurato del profilo digitale di un individuo o di un’impresa nell’ambito dei processi di know your customer (KYC) o know your business (KYB).
Non si tratta di sostituire i controlli tradizionali, ma di affiancare un’analisi olistica che metta in evidenza incoerenze, anomalie e segnali di rischio difficilmente rilevabili con i soli strumenti documentali o gli elementi di controllo sulla presenza del potenziale cliente, specie durante i processi di acquisizione a distanza.
L’analisi di un numero di telefono, ad esempio, può rivelare se esso sia associato a operatori di servizi mobili virtuali (vSIM), inclini a utilizzare limitati presidi di controllo(1) e pertanto maggiormente prediletti dalla criminalità organizzata e spesso connessi a servizi di numerazione temporanea. Un indirizzo email può essere valutato in termini di storicità, associazione a servizi online e coerenza con altri dati dichiarati. L’indirizzo IP, oltre a fornire elementi di localizzazione, permette di rilevare l’utilizzo di VPN o proxy finalizzati a celare l’origine del traffico, elementi questi che seppur connotabili anche in leciti contesti di riservatezza, sono statisticamente maggiormente utilizzati da utenti caratterizzati da intenzioni malevoli. Anche i dati sulla tipologia del dispositivo utilizzato e sul browser offrono segnali importanti: configurazioni insolite, uso di estensioni anti-fingerprinting(2) o dinamiche di digitazione atipiche possono suggerire comportamenti anomali, fino a distinguere utenti reali da bot sofisticati, permettendo di fornire ulteriori elementi di supporto relativamente ai controlli.
Un ulteriore livello di analisi è rappresentato dalla domain intelligence, che assume un ruolo centrale nei processi di due diligence KYB condotte nei confronti di persone giuridiche, laddove l’aumentare dell’offerta di soluzioni bancarie digitali, un tempo rivolte quasi esclusivamente ai consumatori, rende necessario un rafforzamento dei presidi e dei controlli. Attraverso la valutazione combinata di diversi fattori (ad esempio, certificati SSL, registri WHOIS(3), configurazioni DNS, etc.) è possibile delineare una effettiva presenza online dell’azienda, valutandone pertanto la reputazione digitale e verificare così la solidità e l’autenticità di un’impresa, distinguendo realtà legittime da entità fittizie, neocostituite o riconducibili a schemi fraudolenti. A ciò si affianca la possibilità di individuare tempestivamente siti clone o attività di phishing, che costituiscono indicatori significativi per stimare l’affidabilità delle controparti e prevenire rischi reputazionali e operativi.
Tra i principali fornitori(4) di tali strumenti innovativi, particolare attenzione verrà riservata a coloro che associano queste tecnologie alla capacità di combinare i segnali derivanti ad un sistema di scoring trasparente, basato su regole verificabili e corredato da elementi di valutazione chiari ed esplicativi permettendo agli intermediari di comprendere i fattori che hanno influenzato la valutazione, così da integrarli nei propri processi decisionali. Quest’ultimo aspetto è particolarmente rilevante in un settore come quello bancario e finanziario, dove trasparenza, tracciabilità e possibilità di audit costituiscono requisiti imprescindibili ma soprattutto dove l’elemento che più di tutto contraddistingue il processo di adeguata verifica, ovvero l’accettazione o il rigetto di un potenziale cliente, rimanga nelle facoltà esclusive dell’intermediario, senza che pertanto vi siano delle intromissioni o deviazioni sugli obblighi previsti dalla normativa.
Verso un nuovo standard di due diligence digitale
Ripercorrendo quanto fin qui espresso sembrerebbe pertanto che l’integrazione di tali strumenti nel quadro regolamentare italiano troverebbe un naturale punto di riferimento nelle “Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo, emanate dalla Banca d’Italia nel 2019. La Sezione VIII, dedicata all’operatività a distanza, che già contemplava nella sua primissima edizione il ricorso a soluzioni innovative, verrebbe sensibilmente corredata di nuovi elementi, in sostituzione – magari – di quelli di altro tipo che trovano ormai scarsa applicazione nei contesti attuali; un esempio: la c.d. welcome call su numero di rete fissa, utenza quest’ultima che sta progressivamente riducendosi anche tra le generazioni un pò meno Z, quale risposta adottata per difendersi dall’aggressione del telemarketing selvaggio, che nemmeno l’istituzione del registro delle opposizioni sembrerebbe aver arginato. Come per la liveness detection, introdotta in origine come strumento sperimentale e oggi ampiamente accettata nonostante l’assenza di linee guida, anche l’analisi delle “impronte digitali” qui descritte potrebbe essere riconosciuta come presidio tecnologico idoneo, integrabile nei processi di identificazione a distanza.
I benefici per gli intermediari sarebbero molteplici: da un lato, vi sarebbe un rafforzamento dell’efficacia dei controlli, con una riduzione sensibile del rischio di onboarding fraudolento e di fenomeni di money muling. Dall’altro, la possibilità di elaborare in tempo reale grandi volumi di dati garantirebbe efficienza operativa e capacità di risposta immediata anche in contesti di crescita repentina, come accade oggi in alcuni segmenti di mercato caratterizzati dall’embedded finance. Vi sarebbe inoltre un impatto positivo sui costi: la disponibilità di strumenti scalabili e automatizzabili consentirebbe di ottimizzare le spese legate alle attività di pre-KYC e di monitoraggio nel continuo, favorendo la sostenibilità anche per le startup fintech in fase di avvio.
Non meno rilevante è la coerenza con i principi di sicurezza e resilienza digitale introdotti a livello europeo dal Regolamento DORA. L’adozione di analisi basate su OSINT(5) e dati pubblici si integra con i presidi già previsti per mitigare il rischio informatico, offrendo un ulteriore livello di protezione senza aggravare i processi né compromettere l’esperienza dell’utente finale. Infine, nel contesto della sicurezza e della prevenzione di fenomeni illeciti, l’elaborazione dei dati si basa esclusivamente sulle informazioni fornite dall’utente durante la relazione con l’intermediario, nel pieno rispetto dei principi di necessità, proporzionalità e minimizzazione previsti dal GDPR.
Conclusioni
In conclusione, l’introduzione e il consolidamento d’utilizzo di queste tecnologie rappresenterebbe un passo significativo verso un nuovo standard di due diligence a distanza. Così come il progressivo ammodernamento di strumenti più statici ha dimostrato di poter rafforzare il framework dei controlli riducendo i costi operativi, l’analisi delle impronte digitali e dei segnali contestuali permetterebbe di colmare le lacune lasciate dalle sole verifiche documentali, aumentando la resilienza del sistema finanziario alle frodi digitali.
In questo caso, l’innovazione qui proposta non dovrebbe essere vista come un’alternativa, ma come un complemento necessario dei metodi tradizionali, permettendo di affiancare con strumenti che, senza impattare negativamente sull’esperienza dell’utente, possono consentire agli intermediari di acquisire una visione più completa e accurata del rischio. L’adozione di tecnologie di analisi digitale, in questo senso, può rappresentare l’elemento mancante per rendere i controlli di sicurezza realmente robusti, sostenibili e in grado di affrontare le sfide di un contesto criminale in rapida evoluzione.
Intervento di Lorenzo BIZZI | Autore per Risk & Compliance Platform Europe – Consulente esperto in Conformità e Fintech – Founder
Per approfondimenti, consultare i seguenti link e/o riferimenti:
Banca d’Italia (2025) – Indagine qualitativa sull’adozione di strumenti innovativi per l’adempimento degli obblighi AML/CFT del 2 settembre 2025.
Banca d’Italia (Testo Vigente) – Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo (Testo Vigente)
Comitato Sicurezza Finanziaria del MEF (2024) – Analisi Nazionale dei rischi di riciclaggio di denaro e di finanziamento del terrorismo 2024
Merchant Risk Council (2025) – Fake retailers are damaging e-Commerce. Here’s how to push back
Agenzia per l’Italia Digitale (2025) – Campagna di phishing a tema PagoPA
S. Cosimi, (2022) Telefono fisso, quanti ce l’hanno ancora e cosa ci fanno
(1) Cfr. Art. 98 undetricies del codice delle comunicazioni elettroniche, il d.lgs. 1° agosto 2003, n. 259, oppure D.L. 27 luglio 2005, n. 144 (cosiddetto “Decreto Pisanu”), convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
(2) L’anti-fingerprinting comprende tecniche volte a tutelare la privacy degli utenti online, contrastando il browser fingerprinting, ossia un metodo che crea un profilo unico dell’utente raccogliendo dati come dimensioni dello schermo, fuso orario e impostazioni del browser.
(3) I registri WHOIS sono database pubblici che contengono informazioni sui titolari dei domini Internet, sui contatti amministrativi e tecnici, sulle date di registrazione e sui registrar. Il protocollo WHOIS permette di interrogare questi dati per identificare il proprietario di un dominio o di un indirizzo IP.
(4) Tra queste, meritano menzione startup innovative che stanno rivoluzionando il settore dei controlli dei segnali digitali, trasformandoli in strumenti valutativi basati su principi di explainability.
(5) Open Source Intelligence, in acronimo OSINT (lett. “Intelligence su fonti aperte”), è quella disciplina dell’intelligence che si occupa della ricerca, raccolta e analisi di dati e di notizie d’interesse pubblico tratte da fonti aperte e pubbliche.
