supersqualo
Notai

KYC clienti esteri e paesi a rischio: lista FATF, prompt IA per la due diligence rafforzata

Cliente residente in Iran, società con sede in Panama, fondi da banca turca. La verifica rafforzata è obbligatoria. Ti spiego le liste FATF, UE e i prompt per non saltare nessun controllo.

Di Super Squalo·4 min lettura·

Cliente nuovo, primo contatto la settimana scorsa. Cittadino emiratino, residente a Dubai, vuole costituire una SRL italiana con socio unico, capitale 100mila euro versati tramite bonifico in arrivo da banca degli Emirati. Oggetto sociale dichiarato: gestione immobiliare e holding partecipazioni. Ti dice che il prossimo passo, dopo la costituzione, sarà comprare quattro appartamenti a Milano in zona Brera nel giro di sei mesi.

Niente di illegale a priori. Ma il rischio AML è oggettivamente alto. Devi attivare la verifica rafforzata obbligatoria. Cosa controlli concretamente, quali fonti consulti, come documenti il lavoro fatto, come motivi la valutazione? Vediamo passo per passo, con privacy garantita.

Cliente estero non significa cliente sospetto, ma...

Cittadinanza e residenza estera non sono sinonimi di rischio elevato di per sé. Ma alcuni paesi sono classificati ad alto rischio dalle autorità internazionali specializzate, e l'AML richiede attenzione documentale e procedurale maggiore proprio per la difficoltà oggettiva di verifica delle informazioni in giurisdizioni meno trasparenti.

Tre liste fondamentali che devi consultare regolarmente:

  • FATF (Financial Action Task Force, GAFI in italiano) Black list e Grey list: pubblicate e aggiornate periodicamente (febbraio, giugno, ottobre). Black list = paesi non cooperativi soggetti a contromisure (es. Iran, Corea del Nord). Grey list = paesi sotto monitoraggio rafforzato (l'elenco cambia di volta in volta).
  • Lista UE paesi terzi ad alto rischio: regolamento delegato della Commissione UE 2016/1675 e successivi aggiornamenti, allineato (ma non sempre identico) alla FATF.
  • Sanzioni UE e ONU: persone fisiche e entità giuridiche soggette a misure restrittive (terrorismo, conflitti, regimi sanzionati). Database EU Sanctions Map consolidato.

Come l'IA ti aiuta a costruire la due diligence

L'IA è utile in tre fasi distinte: 1) generare la checklist documentale specifica per quel paese di provenienza, 2) ricostruire informazioni pubbliche sul cliente tramite open source intelligence senza esporre i dati su strumenti pubblici, 3) tradurre documenti esteri in lingue meno comuni mantenendo precisione tecnica.

Limite critico da rispettare sempre: nessun dato personale del cliente su ChatGPT o Claude pubblici. Documenti d'identità esteri, certificati di residenza, dichiarazioni patrimoniali, estratti conto: tutto materiale che deve restare nel tuo ambiente protetto. Usa versione enterprise con DPA o anonimizza ogni elemento identificativo.

PROMPT — Checklist due diligence rafforzata cliente estero

Sei consulente AML per studi notarili italiani. Devo predisporre la checklist di adeguata verifica rafforzata ex art. 24 D.Lgs 231/2007 per un cliente proveniente da [PAESE] che richiede [TIPO OPERAZIONE].

Considerazioni preliminari: 1) il paese è/non è in lista FATF grey/black, 2) il paese è/non è in lista UE ad alto rischio, 3) operazione di importo fascia [IMPORTO ANONIMIZZATO], 4) cliente persona fisica/giuridica.

Output richiesto: a) elenco documenti aggiuntivi da richiedere con motivazione tecnica, b) verifiche da effettuare su liste sanzioni, PEP, registri pubblici accessibili dall'Italia, c) elementi della fonte dei fondi da approfondire con evidenze documentali, d) red flag specifici tipici per il paese di provenienza, e) suggerimenti di mitigazione del rischio compatibili con la prosecuzione del rapporto.

Tono: tecnico, citare normativa quando rilevante. Non inventare nomi di registri o autorità che non conosci con certezza.

Il prompt non contiene il nome del cliente, solo il paese di provenienza e parametri astratti: si può usare anche su strumenti pubblici senza rischio privacy. Il risultato lo personalizzi nel tuo ambiente protetto.

4 controlli che spesso si saltano

  1. Verifica documento d'identità estero. Un passaporto rilasciato da paese non UE va verificato anche per autenticità formale. Alcuni paesi rilasciano passaporti che sono facilmente falsificabili o che hanno standard di sicurezza inferiori. Esistono database internazionali (PRADO della Commissione UE) per la verifica dei documenti.
  2. Origine dei fondi documentata. Non basta mai la sola dichiarazione del cliente. Servono evidenze documentali: estratti conto periodici, dichiarazione dei redditi del paese di residenza, atto di vendita di altro bene che giustifica la liquidità, contratto di lavoro con remunerazione coerente.
  3. Controllo liste sanzioni in tempo reale. Le liste UE/ONU si aggiornano con frequenza. La consultazione del giorno stesso dell'atto è obbligatoria, non basta quella di una settimana prima.
  4. Verifica banca ordinante del bonifico. Se il bonifico arriva da banca di paese a rischio o da banca non identificata con SWIFT chiaro, considera richiesta di documenti aggiuntivi sulla provenienza dei fondi e sulla relazione bancaria.

Riferimenti normativi

  • D.Lgs 231/2007 art. 24: adeguata verifica rafforzata, obbligatoria per clienti da paesi terzi ad alto rischio.
  • Reg. UE 2024/1624 (AMLR) artt. 28-34: misure rafforzate armonizzate a livello europeo.
  • Regolamento delegato UE 2016/1675 e successivi aggiornamenti: lista paesi terzi ad alto rischio identificati dalla Commissione.
  • Raccomandazioni FATF e aggiornamenti periodici (le quattro plenarie annuali).
  • Reg. UE su misure restrittive consolidate: database EU Sanctions Map per consultazione.

Vedi anche: titolare effettivo, PEP, livelli di verifica.

Domande frequenti

Cliente UE non comunitario (es. svizzero): è automaticamente rafforzata?

No, non automaticamente. La rafforzata scatta per i paesi nelle liste UE/FATF ad alto rischio. La Svizzera non è in tali liste e ha standard AML molto allineati a quelli UE. Tuttavia cliente residente all'estero comporta comunque attenzioni aggiuntive (verifica autenticità documenti esteri, fonte fondi con evidenze) anche se non formalmente verifica rafforzata.

Posso usare l'IA per tradurre il passaporto di un cliente straniero?

Se è strumento enterprise sicuro con DPA o modello locale isolato, sì. Su strumenti pubblici no: stai trasmettendo dato di identità a server extra-UE senza base giuridica. Usa traduttori giurati per uso ufficiale o strumenti professionali con DPA per uso interno.

Quanto spesso devo riaggiornare le verifiche su cliente continuativo estero?

Periodicamente, in base al livello di rischio assegnato. Per cliente classificato alto rischio almeno annualmente; ad ogni nuova operazione rilevante a prescindere dall'intervallo; ogni volta che ci sono novità note (cambio residenza, nuova posizione PEP, cambiamenti societari).

Confronto con notai che lavorano spesso con esteri

Sul canale Squalogruppo ci sono notai delle piazze internazionali (Milano, Roma, Como, Trieste) che condividono regolarmente esperienze e prompt sulla due diligence rafforzata su clienti esteri. Entra, ascolta, chiedi.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza