KYC digitale per fintech: i requisiti minimi di conformità per un’adesione a distanza secondo AMLD5 e Banca d’Italia
Una fintech che lancia un'app di pagamenti nasce con un vincolo che le banche tradizionali non hanno: il cliente non entra mai in filiale. L'intera adesione avviene da uno schermo, in pochi minuti, spesso di sera dal divano. Per il team di prodotto questo è il vantaggio competitivo: più la procedura è veloce, più alta è la conversione. Per il team legale è il punto di massima esposizione: ogni cliente verificato male è un rischio di riciclaggio che ricade sull'impresa.
Il conflitto si materializza quasi sempre nello stesso modo. Il primo MVP privilegia l'esperienza: documento fotografato, controllo rapido, accesso immediato. Funziona finché non arriva una contestazione, un'ispezione o una segnalazione, e a quel punto le lacune di conformità costano sanzioni e richieste di chiarimento alla UIF. La domanda che ogni CTO e CCO di una fintech europea si pone, prima o poi, è una sola: qual è lo stack minimo di KYC digitale che soddisfa AMLD5 e le linee guida EBA senza uccidere la conversione?
La risposta breve è che nessun fornitore singolo rende conforme un'adesione a distanza. Serve comporre cinque strati distinti: riconoscimento del documento con verifica di vitalità, screening PEP e liste sanzioni, identità digitale, archiviazione verbalizzata dell'acquisizione e monitoraggio delle transazioni. Finché manca anche solo uno di questi, il processo regge sul piano della conversione ma cede su quello probatorio. E lo strato che le fintech sottovalutano quasi sempre, l'archiviazione verbalizzata, è proprio il primo che viene chiesto quando le cose finiscono davanti a un giudice.
Perché l'adeguata verifica a distanza è il punto critico per una fintech
L'adeguata verifica a distanza è il punto critico perché concentra in un solo momento, asincrono e non presidiato, l'intero onere di provare chi sia il cliente. In filiale l'operatore vede la persona, tocca il documento, raccoglie una firma. Una fintech deve ricostruire la stessa certezza da uno schermo, e poi deve poterla dimostrare a distanza di anni. È qui che la conformità tiene o crolla.
Il legislatore europeo ha riconosciuto esplicitamente questa modalità. La quinta direttiva antiriciclaggio, AMLD5 (Direttiva UE 2018/843, recepita in Italia il 10 gennaio 2020), ha legittimato l'identificazione elettronica e i mezzi di identificazione a distanza conformi a eIDAS per assolvere l'adeguata verifica. Da quel momento l'onboarding remoto non è più una tolleranza, ma una procedura prevista, a condizione che sia costruita correttamente.
Il quadro normativo: dalle direttive AML al regolamento unico e alle linee guida EBA
Oggi il quadro normativo dell'adeguata verifica a distanza poggia su tre livelli che vanno letti insieme: le direttive AML recepite, il nuovo regolamento europeo e le linee guida tecniche dell'EBA. Leggerne uno solo porta fuori strada.
In Italia l'adeguata verifica della clientela è disciplinata agli articoli da 17 a 30 del D.Lgs. 231/2007, secondo un approccio basato sul rischio: più alto è il rischio del cliente o dell'operazione, più rafforzati devono essere i controlli. Su questo impianto si innestano le Linee guida EBA sull'onboarding remoto (EBA/GL/2022/15), in applicazione dal 2 ottobre 2023, che dettano i requisiti tecnici e organizzativi delle soluzioni di adesione a distanza.
Sul piano europeo è arrivato poi il pacchetto AML del 2024. Il Regolamento UE 2024/1624, il cosiddetto single rulebook, sarà direttamente applicabile dal 10 luglio 2027 e armonizza le regole oggi frammentate tra i diversi recepimenti nazionali, abbassando tra l'altro la soglia di adeguata verifica per le operazioni occasionali da 15.000 a 10.000 euro. A vigilare ci sarà l'AMLA, la nuova Autorità antiriciclaggio europea con sede a Francoforte, operativa dal 1 luglio 2025. Per una fintech che progetta lo stack oggi, costruire già sul livello di armonizzazione del regolamento evita di rifare tutto tra due anni.
Il costo delle lacune: sanzioni e frode da identità sintetica
Un'adeguata verifica lacunosa costa su due fronti che si alimentano a vicenda: le sanzioni delle autorità e le perdite dirette da frode. Crescono entrambi, e colpiscono in modo sproporzionato le imprese giovani, quelle con i processi ancora immaturi.
Sul fronte sanzionatorio, secondo analisi di settore le multe AML a livello globale hanno raggiunto circa 3,8 miliardi di dollari nel 2025, e un singolo caso può pesare in modo pesante sul bilancio di una fintech in crescita: la FCA britannica ha sanzionato Starling Bank con circa 28,96 milioni di sterline nel 2024 proprio per carenze nei controlli sul financial crime. Sul fronte della frode, secondo report di settore la frode da identità sintetica è diventata la prima categoria di first-party fraud, con un'incidenza intorno al 21%, mentre i deepfake sono passati da circa il 7% dei tentativi di frode nel 2024 a una traiettoria verso l'11% all'inizio del 2026. La stessa FATF, nel suo Horizon Scan di dicembre 2025, riconosce i deepfake come strumento concreto di aggiramento dei controlli di customer due diligence. Una verifica che si limita a confrontare una foto con un documento, senza prova di vitalità e senza tracciato di controllo, è esattamente il varco che queste tecniche cercano.
Lo stack minimo di conformità KYC in cinque componenti
Lo stack minimo di conformità KYC per una fintech si compone di cinque componenti: riconoscimento del documento con verifica di vitalità, screening PEP e liste sanzioni, identità digitale, archiviazione verbalizzata dell'acquisizione e monitoraggio delle transazioni. Ciascuno copre un rischio diverso, e se ne togli uno gli altri quattro non lo compensano.
La logica è additiva, non alternativa. Ogni componente risponde a una domanda precisa: il documento prova che il cliente esiste, la vitalità che davanti alla camera c'è una persona reale e presente, lo screening che non è un soggetto a rischio, l'identità digitale che il dato dichiarato corrisponde a un'identità accertata, l'archiviazione che tutto questo è davvero accaduto in un certo modo e in un certo istante, il monitoraggio che il comportamento successivo resta coerente. La tabella riassume funzione, output e rischio di ciascuno.
| Componente | Funzione | Output chiave | Chi lo fornisce tipicamente | Rischio se manca |
|---|---|---|---|---|
| 1. Riconoscimento documento + liveness | Estrae i dati del documento e verifica che davanti alla camera ci sia una persona reale | Dati anagrafici strutturati, esito vitalità, match volto-documento | Fornitori KYC con OCR e liveness certificato | Documento contraffatto o deepfake accettato all'ingresso |
| 2. Screening PEP e sanzioni | Confronta il cliente con liste di persone politicamente esposte e soggetti sanzionati | Esito screening, livello di rischio, alert per EDD | Fornitori di dati AML e watchlist | Apertura rapporto con soggetto sanzionato o PEP non gestito |
| 3. Identità digitale | Verifica l'identità tramite schemi affidabili (SPID, CIE, videoidentificazione) | Identità accertata con livello di affidabilità | Gestori di identità digitale e fornitori di identificazione a distanza | Identità dichiarata ma non realmente accertata |
| 4. Archiviazione verbalizzata | Acquisisce e certifica la sessione di onboarding con hash, marca temporale e catena di custodia | Pacchetto probatorio opponibile: hash, marca temporale, tracciato | Data Authenticity Platform integrata via API (TrueScreen) | Impossibilità di dimostrare integrità e momento dell'acquisizione in giudizio |
| 5. Monitoraggio transazioni | Sorveglia l'operatività successiva all'apertura e genera alert tracciabili | Alert, soglie, segnalazioni alla UIF | Fornitori di transaction monitoring | Operazioni sospette non rilevate dopo l'onboarding |
1. Riconoscimento del documento: OCR e verifica di vitalità (liveness)
Il primo componente verifica che il documento sia autentico e che a presentarlo sia una persona reale e presente, non una foto o un video. L'OCR estrae e struttura i dati anagrafici; il liveness, la prova di vitalità, distingue un volto vivo da un tentativo di presentazione fraudolenta.
La qualità del liveness fa la differenza. Lo standard di riferimento è la ISO/IEC 30107-3, che definisce il rilevamento degli attacchi di presentazione (PAD) e le sue metriche, APCER e BPCER: la prima misura la quota di attacchi accettati per errore, la seconda la quota di utenti legittimi respinti. Un liveness serio lo dimostra un test indipendente accreditato su questo standard, non la brochure del fornitore. Quando i deepfake passano attraverso i controlli deboli, è proprio qui che si decide se l'identità del cliente nasce su basi solide o fragili.
2. Screening PEP e liste sanzioni
Il secondo componente confronta il cliente con le liste dei soggetti a rischio: persone politicamente esposte e soggetti colpiti da sanzioni. Va fatto all'ingresso e poi in continuo, perché lo status di una persona cambia nel tempo.
Le fonti minime sono la EU Consolidated Sanctions List e la lista OFAC SDN statunitense, da interrogare sia al momento dell'adesione sia con screening periodico sulla base clienti. Le persone politicamente esposte non si limitano a generare un alert: richiedono adeguata verifica rafforzata, la EDD, con controlli più stringenti su origine dei fondi e finalità del rapporto. Trascurare questo strato significa rischiare di aprire un rapporto con un soggetto sanzionato, una delle violazioni che le autorità sanzionano con maggiore severità.
3. Identità digitale: SPID, CIE e videoidentificazione
Il terzo componente accerta che l'identità dichiarata corrisponda a un'identità reale verificata, attraverso schemi di identità digitale affidabili. In Italia gli strumenti principali sono SPID e CIE, ammessi per l'identificazione a distanza dal D.L. 76/2020, affiancati dalla videoidentificazione quando ricorrono le condizioni previste.
Qui si nasconde un punto controintuitivo che molte fintech ignorano. Con il decreto di Banca d'Italia del 13 giugno 2023, di recepimento delle Linee guida EBA, la procedura di video-identificazione dell'Allegato 3 delle vecchie Disposizioni è stata abrogata a partire dal 2 ottobre 2023. L'onboarding remoto non va più inquadrato nella vecchia videoidentificazione stand-alone, ma nelle Linee guida EBA e nelle Disposizioni aggiornate sull'adeguata verifica. Guardando avanti, eIDAS 2.0 (Regolamento UE 2024/1183, in vigore dal 20 maggio 2024) introduce l'EUDI Wallet: ogni Stato membro dovrà offrire un wallet di identità digitale entro la fine del 2026, uno strumento destinato a diventare centrale per l'onboarding ad alta affidabilità.
4. Archiviazione verbalizzata: hash, marca temporale e catena di custodia
Il quarto componente conserva l'intera sessione di adesione in una forma che ne dimostri integrità e momento esatto: hash del contenuto acquisito, marca temporale e catena di custodia documentata. È lo strato che trasforma un onboarding andato a buon fine in una prova utilizzabile quando, anni dopo, qualcuno lo contesta.
Lo standard di riferimento è la ISO/IEC 27037, che descrive identificazione, raccolta, acquisizione e conservazione delle prove digitali, e definisce la catena di custodia nelle dimensioni fisica, logica e documentale. Senza questo strato una fintech possiede i dati del cliente ma non la prova di come e quando li ha acquisiti, e in una disputa dei dati privi di catena di custodia pesano molto poco. È la lacuna che gli altri quattro componenti, per quanto curati, non possono tappare al posto suo.
5. Monitoraggio delle transazioni con alert tracciabili
Il quinto componente sorveglia ciò che accade dopo l'apertura del rapporto, generando alert su operazioni anomale e producendo le segnalazioni di operazioni sospette dirette alla UIF, presso la Banca d'Italia. L'adeguata verifica non finisce all'onboarding: prosegue per tutta la durata del rapporto.
Il transaction monitoring confronta l'operatività reale del cliente con il profilo dichiarato in fase di adesione, e ogni scostamento rilevante diventa un alert da valutare. Perché regga in sede ispettiva, ogni alert deve essere tracciabile: chi lo ha generato, quando, con quale soglia, come è stato gestito. Un monitoraggio che sforna alert non documentati è quasi peggio del non averne, perché dimostra di aver visto senza poter provare di aver agito.
Come si certifica l'acquisizione dell'onboarding con valore probatorio?
L'acquisizione di un onboarding si certifica registrandone la sessione con metodologia forense e restituendo, per ogni adesione, un pacchetto probatorio composto da hash del contenuto, marca temporale e catena di custodia documentata. È quello che fa TrueScreen come quarto componente dello stack: una Data Authenticity Platform che si integra via API a valle dei fornitori KYC e certifica il momento e l'integrità dell'acquisizione. A ogni sessione TrueScreen associa un hash univoco e una marca temporale opponibili, applicati tramite marca temporale e sigillo elettronico erogati da prestatori di servizi fiduciari qualificati integrati nella piattaforma. La conservazione segue criteri tracciabili coerenti con la ISO/IEC 27037, così che il pacchetto resti verificabile e con valore probatorio nel tempo. Il punto è dimostrabilità: TrueScreen non sostituisce OCR, liveness o screening, ma rende difendibile l'intera adesione quando viene messa in discussione.
Questo strato si fa sentire nel momento peggiore. Arriva la contestazione di un cliente che giura di non aver mai aperto quel rapporto, oppure un'ispezione chiede di provare come è avvenuta una specifica adesione di due anni prima. Senza certificazione l'impresa può esibire i dati raccolti, ma non può dimostrare che non siano stati toccati né attestare l'istante esatto in cui li ha acquisiti. Con la certificazione di TrueScreen, l'hash e la marca temporale generati in quella sessione provano l'integrità del contenuto e fissano il momento dell'acquisizione in modo opponibile, mentre la catena di custodia ricostruisce ogni passaggio. Per chi costruisce uno stack KYC, è la distanza che separa un archivio da una prova.
Come comporre lo stack per fase di crescita della fintech
Lo stack non si adotta tutto in una volta con la stessa intensità: si compone per livelli, calibrando ogni componente sulla fase di crescita e sul profilo di rischio della fintech. I cinque strati restano sempre tutti presenti. Quel che cambia è quanto ciascuno viene irrobustito.
In fase seed, con volumi bassi e prodotto in validazione, l'obiettivo è coprire tutti e cinque i componenti in modo essenziale ma corretto: documento con liveness conforme, screening sulle liste fondamentali, identità digitale tramite gli schemi disponibili, certificazione dell'acquisizione fin da subito, monitoraggio sulle soglie di base. Certificare presto costa poco e mette al riparo proprio le adesioni dei primi clienti, quelle che più facilmente verranno contestate anni dopo. In fase scale-up, con volumi e attenzione delle autorità in crescita, ogni strato si rafforza: liveness testato su standard, screening continuo, EDD strutturata per i clienti a rischio, transaction monitoring con regole più fini. In fase di soggetto regolato, lo stack diventa parte dell'impianto di conformità sottoposto a vigilanza, con audit trail completo su ogni componente.
A differenza di una suite single-vendor che impacchetta tutto in un'unica soluzione, uno stack a livelli ti lascia cambiare il singolo componente quando un fornitore smette di reggere, senza dover rifare l'intera adesione. E soprattutto tiene la certificazione dell'acquisizione separata da chi esegue OCR, liveness o screening: la prova di integrità e di momento resta un livello trasversale, neutro rispetto ai fornitori. Proprio perché non è parte interessata della verifica, è più difficile da contestare.
