L'ispettore della Guardia di Finanza ti chiama il giovedì pomeriggio. "Domani mattina passiamo per un controllo antiriciclaggio." Tu metti giù la cornetta e pensi a quei tre fascicoli AML che non hai mai aggiornato dal 2022. Sudi freddo. Apri il cassetto, tiri fuori la cartella "AML da sistemare", e ti rendi conto che dentro c'è un foglio bianco e una penna.
L'antiriciclaggio fa paura perché è una cosa che tutti rimandano. È noioso, è ripetitivo, è una procedura. Ed è esattamente per questo che l'IA generativa ti salva la vita: trasforma il lavoro noioso in una check-list standardizzata che fai sempre uguale, sempre veloce.
Il problema: tutti rimandano l'adeguata verifica
Il D.Lgs 231/2007 ti obbliga a fare adeguata verifica della clientela. In pratica: identifichi il cliente, identifichi il titolare effettivo se è una società, valuti il rischio di riciclaggio, conservi il fascicolo per 10 anni. Sembra semplice. Non lo è quando hai 200 clienti attivi e nessuno te lo ha mai chiesto.
Il problema vero: la valutazione del rischio richiede pensiero. Non è copia-incolla. Devi guardare il settore, il volume operazioni, l'area geografica, la complessità della catena societaria. E qui l'IA ti aiuta a sistematizzare il ragionamento, non a sostituirlo.
Come si fa davvero: il prompt per la valutazione del rischio
Premessa fondamentale: nel prompt NON metti il nome del cliente, NON metti il CF, NON metti la P.IVA reale. Metti SOLO il profilo anonimizzato. Esempio:
Ruolo: Sei un esperto antiriciclaggio per studi commercialistici italiani, conoscenza approfondita D.Lgs 231/2007 e successive modifiche.
Compito: Aiutami a strutturare la valutazione del rischio AML per un cliente con il seguente profilo anonimizzato.
Profilo cliente (anonimizzato):
- Forma giuridica: SRL
- Settore: import-export componenti elettronici
- Paesi controparte: principalmente Cina, Emirati Arabi
- Volume operazioni annuo: circa 4 milioni
- Numero soci: 2 persone fisiche italiane
- Titolare effettivo: identificato, socio al 51%
- Operazioni cash: nessuna
- Anzianità: società costituita nel 2019
Output richiesto:
1. Classificazione rischio (basso/medio/alto) con motivazione
2. Fattori di rischio specifici da approfondire
3. Misure di adeguata verifica raccomandate (semplificata/ordinaria/rafforzata)
4. Frequenza aggiornamento fascicolo consigliata
5. Eventuali alert da monitorare nel tempo
Formato: Schema strutturato, italiano professionale.
Output che ti tira fuori in 30 secondi un'analisi che a mano ti porta via 40 minuti. Tu la rileggi, la adatti al caso concreto, la firmi tu. La responsabilità resta tua: l'IA è un assistente, non il responsabile AML dello studio.
I 5 errori che fai sicuramente in materia AML
- Fai il fascicolo solo al primo incarico e mai più. L'adeguata verifica va aggiornata periodicamente, soprattutto se cambia il profilo di rischio.
- Identifichi solo il legale rappresentante e non il titolare effettivo. Sono cose diverse. Il titolare effettivo è chi controlla davvero, anche tramite catene societarie.
- Salti la valutazione del rischio perché "tanto è cliente storico". Sbagliato. Anche il cliente storico va valutato.
- Conservi il fascicolo in formato cartaceo in un cassetto. Vai in conservazione digitale a norma. Dieci anni sono lunghi.
- Carichi documenti reali del cliente su ChatGPT pubblico per farti aiutare. Violazione GDPR + violazione segreto professionale + violazione 231 stessa. Tre per uno.
Privacy: la regola che non puoi rompere
Lo ripeto perché lo vedo fare ogni settimana: mai incollare visure camerali, statuti, documenti d'identità o estratti conto dei clienti su ChatGPT versione consumer. Quando ti serve far ragionare l'IA su un caso concreto, anonimizzi tutto: sostituisci nomi con "Cliente A", CF con stringhe finte, importi mantieni l'ordine di grandezza ma non i numeri esatti.
Per lavorare con dati reali serve ChatGPT Enterprise con DPA, Claude Team o Enterprise (anche con residenza UE), oppure soluzioni on-premise. Sotto questa soglia, anonimizzazione obbligatoria. Approfondisci in GDPR e privacy dello studio.
Riferimenti normativi che devi conoscere a memoria
- D.Lgs 231/2007 e successive modifiche (D.Lgs 90/2017, D.Lgs 125/2019): normativa antiriciclaggio italiana di derivazione UE. Obblighi di adeguata verifica, conservazione, segnalazione operazioni sospette (SOS) alla UIF.
- Reg. UE 679/2016 (GDPR): trattamento dei dati raccolti per finalità AML ha base giuridica nell'obbligo legale. Vanno comunque informativa, registro trattamenti, misure di sicurezza.
- Regole tecniche CNDCEC del 16 gennaio 2019: linee guida operative per i commercialisti, includono il modello di autovalutazione del rischio dello studio (rischio inerente x vulnerabilità).
Per la parte di conservazione documentale digitale del fascicolo AML vedi anche la gestione PEC massiva, dove parliamo di archiviazione a norma.
Domande frequenti
Posso usare l'IA per redigere la mia autovalutazione del rischio di studio?
Sì, e ti consiglio di farlo. Le metriche del modello CNDCEC (rischio inerente, vulnerabilità, rischio residuo) si prestano bene a essere strutturate con un prompt ben fatto. Tu fornisci i numeri dello studio (anonimizzati o aggregati), l'IA ti restituisce lo schema. Tu firmi.
L'IA può fare la segnalazione operazione sospetta (SOS) alla UIF?
No, la SOS la fai tu. L'IA può aiutarti a scrivere la motivazione in modo chiaro e completo, ma il giudizio sull'opportunità della segnalazione è umano e professionale. È una responsabilità personale del soggetto obbligato.
Quante volte va aggiornato il fascicolo di adeguata verifica?
Dipende dal rischio. Rischio basso: aggiornamento ogni 3 anni minimo. Rischio medio: ogni 2 anni. Rischio alto: annuale e ogni volta che cambia il profilo. Vale anche il principio dell'aggiornamento al verificarsi di eventi rilevanti.
Se vuoi parlare di antiriciclaggio con altri colleghi che lo stanno strutturando con l'IA, ti aspetto su Squalogruppo Telegram. Confronto vero, niente venditori di fumo.