Obbligo di verifica dell'identità cliente: le regole antiriciclaggio in Italia 2025

• di Lorenzo De Santis
• nov, 23 2025

L’obbligo di verifica dell’identità cliente non è una pratica burocratica da sbrigare in fretta: è un pilastro della legge italiana contro il riciclaggio di denaro e il finanziamento del terrorismo. Dal 2008, con il Decreto Legislativo 231/2007, ogni professionista, banca, agente immobiliare, commercialista o notario che entra in contatto con un cliente deve sapere chi è veramente. Non basta chiedere il nome. Devi verificare, documentare, capire chi controlla davvero l’operazione. E questo vale anche se il cliente è un’azienda straniera con tre società intermedie. Nel 2025, le regole sono più chiare, più tecniche e più difficili da ignorare.

Cosa dice la legge? Il Decreto 231/2007 e le sue evoluzioni

La base di tutto è il Decreto Legislativo 231 del 21 novembre 2007, che ha introdotto in Italia le norme antiriciclaggio previste dall’Unione Europea. Da allora, è stato aggiornato più volte, l’ultimo grande cambiamento è arrivato nel 2017 con il Decreto 90/2017, che ha recepito la IV Direttiva UE. Ma la vera svolta del 2025 è arrivata con il Provvedimento della Banca d’Italia del 16 giugno, che ha dettagliato per la prima volta come funziona l’identificazione tramite identità digitale. Non è più un’eccezione: è un metodo ufficiale, con regole tecniche precise.

L’obbligo di verifica non è solo per le banche. Lo devono applicare anche avvocati, notai, commercialisti, agenti di assicurazione, operatori del gioco d’azzardo, e persino i professionisti che vendono beni di lusso sopra i 10.000 euro. In totale, in Italia, ci sono circa 1,2 milioni di soggetti obbligati. Se lavori con denaro o beni di valore, sei dentro il sistema.

Come si verifica l’identità? Documenti validi e dati obbligatori

Non puoi accettare qualsiasi documento. L’articolo 18 del Decreto 231/2007 dice chiaro: devi usare un documento d’identità non scaduto. E quali sono quelli ammessi? Il DPR 445/2000 li elenca: carta d’identità, passaporto, patente di guida, permesso di soggiorno per stranieri. Non va bene una fotocopia di un documento scaduto, né un certificato di residenza. Devi vedere l’originale, o una copia certificata.

Per una persona fisica, i dati che devi raccogliere sono: nome e cognome, luogo e data di nascita, indirizzo, codice fiscale e gli estremi del documento (numero, rilasciato da, scadenza). Per un’azienda, devi chiedere: denominazione, sede legale, partita IVA, forma giuridica (Srl, Spa, ecc.), attività svolta, e i dati di iscrizione al Registro delle Imprese. Tutto questo deve essere scritto, conservato, e aggiornato.

Il titolare effettivo: la sfida più grande

Qui arriva il punto più difficile. Non basta identificare il cliente che ti viene a trovare. Devi scoprire chi è il titolare effettivo: la persona fisica che controlla davvero l’operazione, anche se non è quella che firma i documenti. È il vero padrone, nascosto dietro una società, un fondo, o un trust. E questo è il problema più grande per i professionisti italiani.

Secondo il Garante per la Protezione dei Dati Personali, il 78% delle violazioni antiriciclaggio nel 2024 riguardava proprio la mancata identificazione del titolare effettivo. Perché? Perché molte aziende straniere, specialmente da paradisi fiscali, hanno strutture complesse. Un cliente ti dice che è un’impresa di Lussemburgo, ma chi controlla quella impresa? Chi ne ha il potere di decisione? E se i documenti sono in inglese, in francese, o in una lingua che non conosci? Non puoi accontentarti di una dichiarazione scritta. Devi verificare, cercare, chiedere prove. E non sempre è facile.

Verifica ordinaria o semplificata? L’approccio basato sul rischio

La legge non ti obbliga a trattare tutti i clienti allo stesso modo. Esiste un sistema di verifica differenziata basato sul rischio. Se il cliente è un dipendente pubblico italiano con un conto in banca, puoi applicare misure semplificate. Se è un imprenditore di un paese con bassa trasparenza, devi fare una verifica approfondita.

Le Disposizioni della Banca d’Italia del giugno 2025 chiariscono che la verifica semplificata può essere usata solo in casi specifici: clienti pubblici, società quotate in borsa, enti di beneficenza riconosciuti. Per tutti gli altri, devi applicare la verifica ordinaria. Ma attenzione: non puoi decidere a caso. Devi avere un metodo per valutare il rischio. Se non lo hai, rischi sanzioni. E non sono poche: fino a 50.000 euro per omissioni o falsità.

L’identità digitale: il futuro è qui

Nel 2025, l’identificazione non richiede più la presenza fisica del cliente. Grazie alla identità digitale certificata (SPID o CIE), puoi verificare l’identità da remoto. La Banca d’Italia ha detto chiaramente: se il cliente usa la CIE o SPID, l’identificazione è valida anche senza essere in studio. E non basta fare uno screenshot: devi leggere il dato digitale nel formato originale, con i certificati di autenticità.

Secondo un’indagine del Consiglio Nazionale dei Dottori Commercialisti, il 67% dei professionisti ha visto una riduzione del 56% dei tempi di accettazione dei clienti grazie all’identità digitale. E il 70% ha smesso di ricevere documenti scaduti o falsi. Ma non è tutto perfetto. Alcuni clienti non hanno SPID, o non lo usano. E in quei casi, devi ancora tornare al vecchio sistema: documento originale, fotocopia, firma, e controllo manuale.

Le sanzioni e i rischi per i professionisti

Se non fai la verifica, non è solo un errore. È un reato. L’Unità di Informazione Finanziaria (UIF) controlla tutti i soggetti obbligati. Nel 2024, sono state segnalate oltre 100.000 operazioni sospette. Di queste, il 22% proveniva da professionisti. E le sanzioni? Possono arrivare a 50.000 euro per ogni violazione. Ma non è solo il denaro. Se ti beccano, perdi la reputazione. I clienti si fidano di chi è trasparente. E se un cliente scopre che hai accettato un documento falso, non tornerà mai.

Un professionista anonimo ha scritto su un forum nel 2025: “Ho rifiutato un cliente che veniva da un paese con poche regole. Mi hanno detto che era un “affare grosso”. Ho perso il cliente, ma ho evitato un problema che mi avrebbe costato molto di più”. Questo è il vero senso della normativa: non protegge lo Stato. Protegge te.

Quanto tempo ci vuole? La pratica quotidiana

Per un nuovo cliente, il processo completo di identificazione richiede in media 45-60 minuti. Questo include: raccolta dei dati, verifica dei documenti, controllo del titolare effettivo, e creazione del profilo di rischio. Per un cliente già noto, con un rapporto in corso, puoi ridurre il tempo a 10-15 minuti. Ma solo se hai già archiviato tutto correttamente.

Le aziende grandi hanno team dedicati. I piccoli professionisti no. Ecco perché molti usano software di compliance: per automatizzare la raccolta dei dati, ricordare le scadenze, e generare report automatici. Non è un lusso. È una necessità. Il costo di un errore è molto più alto di quello di un software.

Cosa cambierà nei prossimi anni?

La prossima grande mossa è la VI Direttiva Antiriciclaggio dell’UE, proposta nel marzo 2025. L’obiettivo: armonizzare le regole in tutti i paesi. Significa che tra due anni, le norme italiane potrebbero diventare più simili a quelle tedesche o olandesi. Ma c’è anche un’altra rivoluzione in arrivo: la blockchain per la condivisione sicura delle identità. Uno studio McKinsey del gennaio 2025 stima che entro il 2030, questa tecnologia potrebbe ridurre i costi di compliance del 30-40%. Immagina: un cliente carica una volta la sua identità, e tutti i professionisti che ne hanno bisogno la vedono, verificata e sicura. Nessuna doppia verifica. Nessun documento perso.

Non è fantascienza. È già in prova in alcuni paesi europei. L’Italia, con il suo sistema SPID e CIE, è tra i più pronti ad adottarla. Il futuro non è più la carta. È il dato sicuro, condiviso, e controllato.

Le 3 regole d’oro per i professionisti

1. Non accontentarti mai della parola del cliente. Chiedi sempre documenti ufficiali e verificabili.
2. Identifica sempre il titolare effettivo. Anche se sembra complicato. È la chiave per evitare sanzioni.
3. Usa l’identità digitale quando puoi. È più veloce, più sicura, e ti protegge dai documenti falsi.

La normativa antiriciclaggio non è un ostacolo. È un sistema che ti protegge. Se la fai bene, non solo sei in regola. Sei più professionale. E i clienti lo sanno.