L’era delle multe miliardarie: cosa hanno sbagliato OKX, KuCoin e Paxful e come il DOJ punisce i fallimenti AML nel 2026

Tra il 2024 e il 2025 il Dipartimento di Giustizia degli Stati Uniti ha irrogato sanzioni per oltre 900 milioni di dollari ai principali exchange crypto che hanno operato senza registrazione come money transmitting business e senza implementare programmi adeguati di Anti-Money Laundering (AML). OKX ha pagato 505 milioni di USD e accettato un guilty plea per violazioni della Bank Secrecy Act (31 U.S.C. § 5318); KuCoin ha concordato circa 300 milioni di USD per le medesime violazioni; Paxful ha ricevuto una multa di 3,5 milioni di USD da FinCEN. Questi casi segnano una svolta: il DOJ ora applica responsabilità penale agli operatori e impone compliance monitor esterni per tre anni, creando una nuova logica sanzionatoria che combina multe miliardarie, ammissioni di colpevolezza e controlli strutturali di lungo periodo.

Quali sono i fallimenti AML che hanno innescato sanzioni per oltre 500 milioni contro OKX?

Aux Cayes FinTech Co. Ltd., operatore di OKX, ha ammesso davanti al tribunale federale statunitense di aver gestito dal 2018 al 2024 un'attività di trasmissione di denaro per clienti americani senza registrazione FinCEN e senza alcun programma scritto di AML. L'accusa documentava l'assenza completa di Customer Due Diligence (CDD): gli utenti potevano depositare, convertire e prelevare fondi digitali senza verifiche di identità reali, consentendo miliardi di dollari in transazioni ad alto rischio riciclaggio.

Secondo il Dipartimento di Giustizia, OKX non ha mai implementato sistemi automatizzati per identificare operazioni sospette e non ha mai inviato Suspicious Activity Reports (SAR) come previsto dal 31 CFR § 1022.320, che obbliga i money transmitters a segnalare entro 30 giorni transazioni sospette superiori a 5.000 USD. La piattaforma ha inoltre facilitato accessi da giurisdizioni sanzionate senza geofencing e senza controlli OFAC (Office of Foreign Assets Control), accettando depositi da utenti in paesi ad alto rischio terrorismo e proliferazione.

La sentenza ha imposto 505 milioni di dollari complessivi, suddivisi in sanzioni penali, civili e confische patrimoniali, più l'obbligo di un compliance monitor esterno fino a febbraio 2027 con reporting trimestrale agli organi federali. Il monitor dovrà supervisionare direttamente il redesign completo dei sistemi di onboarding KYC, transaction monitoring e risk assessment, con obblighi di audit indipendenti documentati ogni 12 mesi.

Come KuCoin e Paxful hanno violato la Bank Secrecy Act e quanto hanno pagato?

Peken Global Ltd., operatore di KuCoin, ha accettato una sanzione di circa 300 milioni di USD per aver consentito miliardi di dollari in transazioni dal 2017 al 2023 senza mai registrarsi presso il FinCEN come Money Services Business (MSB). Il DOJ ha contestato che KuCoin operasse de facto come custodian e money transmitter per clienti statunitensi, offrendo servizi di conversione fiat-crypto e trasferimenti internazionali senza rispettare l'obbligo di identificare i clienti secondo il Patriot Act (31 U.S.C. § 5318(l)).

L'accordo di deferred prosecution con KuCoin include il guilty plea per violazione della BSA, la nomina di un Chief Compliance Officer residente negli USA, e un piano triennale di remediation che richiede investimenti tecnologici in piattaforme di blockchain analytics (Chainalysis, TRM Labs, Elliptic) per tracciare flussi illeciti in tempo reale e bloccare automaticamente indirizzi sanzionati OFAC.

Paxful, piattaforma peer-to-peer che facilitava scambi diretti tra utenti, ha ricevuto da FinCEN una sanzione di 3,5 milioni di dollari per aver consentito oltre 2,2 miliardi di dollari in transazioni anonime senza implementare Enhanced Due Diligence (EDD) per operazioni ad alto rischio. Il FinCEN ha rilevato che Paxful non ha mai testato il proprio sistema AML, non ha mai condotto internal audit con consulenti terzi, e non ha mai sottoposto nemmeno un singolo cliente alla procedura PEP (Politically Exposed Persons) pur operando in oltre 170 giurisdizioni.

Quali norme AML il settore crypto aveva ignorato e ora costano sanzioni miliardarie?

I tre casi hanno evidenziato che gli exchange sottovalutavano due obblighi fondamentali della BSA: la registrazione preventiva obbligatoria presso FinCEN (31 CFR § 1022.380) e l'implementazione di un programma scritto di AML verificabile (31 U.S.C. § 5318(h)). La registrazione MSB non è discrezionale: secondo la guidance FinCEN del 2019 (aggiornata nel 2023), qualsiasi piattaforma che accetta depositi in criptovaluta da residenti USA, anche temporaneamente, deve registrarsi prima di iniziare l'operatività.

Il programma AML deve includere quattro componenti obbligatori:

1. Risk assessment documentato per categoria di clienti, giurisdizioni, prodotti e canali di transazione
2. Independent testing annuale da parte di auditor qualificato esterno con report formale al board
3. AML Officer nominato con ruolo a tempo pieno e dotato di staff dedicato, indipendente dal business
4. Ongoing training per tutti i dipendenti a contatto con clienti, con attestazione documentata

Il tribunale ha stabilito che OKX non aveva mai nominato un AML Officer, mentre KuCoin e Paxful avevano ruoli nominali senza risorse effettive. La legge richiede inoltre la conservazione per cinque anni di tutti i record transazionali superiori a 3.000 USD equivalenti (31 CFR § 1022.410), e l'invio di Currency Transaction Reports (CTR) per transazioni superiori a 10.000 USD in una giornata (31 U.S.C. § 5313), obbligo che tutte e tre le piattaforme avevano ignorato.

La distinzione giuridica tra wallet custody e money transmission è ormai chiarita dall'OCC guidance: anche le piattaforme che offrono solo interfacce di trading o accesso a smart contract decentralizzati sono responsabili se consentono onramp fiat o se esercitano controllo sugli asset dei clienti in qualsiasi fase del ciclo di transazione. La sola presenza di un hot wallet gestito dall'operatore costituisce custodia e trigger l'obbligo MSB.

Quali nuove responsabilità personali stanno colpendo i top manager delle piattaforme crypto?

Il DOJ ha introdotto dal 2024 una politica di personal accountability per CEO, CFO e Compliance Officer delle crypto company. Nel caso OKX, il DOJ ha richiesto l'identificazione nominale dei dirigenti responsabili delle decisioni AML e ha imposto che il futuro Chief Compliance Officer sia residente negli Stati Uniti, con reporting diretto al board e potere di veto sulle decisioni commerciali che aumentino il rischio AML.

La sentenza prevede che i manager coinvolti nelle violazioni possano essere personalmente perseguiti anche dopo il patteggiamento aziendale, secondo il principio della Yates Memo (2015, riaffermata nel 2024): il Dipartimento di Giustizia ricerca responsabilità individuali anche quando l'azienda collabora. Nel primo semestre 2025 sono stati incriminati singolarmente almeno tre C-level executive di exchange minori per willful failure to maintain AML program (31 U.S.C. § 5322), con pene fino a 5 anni di carcere federale per ciascuna violazione.

Per i direttori italiani o europei che operano in exchange con clientela USA, questo crea un rischio concreto di extradition request statunitense in caso di indagini DOJ. L'Italia ha ratificato il Trattato di estradizione bilaterale USA-Italia (1983), che copre i reati finanziari inclusa la violazione della BSA, e il Trattato non richiede doppia incriminazione per i reati AML dato che l'Italia ha recepito la Direttiva (UE) 2015/849 e successive modifiche (Direttiva (UE) 2018/843).

Quali conseguenze operative concrete stanno implementando gli exchange per conformarsi?

Nel 2026 tutte le principali piattaforme crypto che vogliono mantenere accesso ai circuiti bancari USA ed europei hanno adottato quattro misure difensive:

Geofencing obbligatorio per giurisdizioni FATF grey-list e black-list: blocco automatico alla registrazione di utenti da Corea del Nord, Iran, Siria, Myanmar, e jurisdizioni non-cooperative secondo la Financial Action Task Force. La maggior parte delle piattaforme ha esteso il blocco anche a paesi ad alto rischio come Afghanistan, Yemen, e alcune regioni russe sotto sanzioni settoriali.

Enhanced Due Diligence (EDD) per transazioni sopra 50.000 USD equivalenti: verifica del source of funds con documentazione bancaria o fiscale, screening contro database PEP/sanzioni globali, e richiesta di dichiarazioni notarili per somme superiori a 100.000 USD. Questa soglia è inferiore al requisito legale (normalmente 150.000 USD per CDD estesa secondo 31 CFR § 1010.610), ma le piattaforme temono enforcement discrezionale e abbassano preventivamente le soglie.

Integrazione obbligatoria di blockchain analytics: contratti con fornitori specializzati (Chainalysis, TRM Labs, Elliptic) per screening in tempo reale di ogni deposito e prelievo contro database di indirizzi sanzionati, wallet di darknet market, mixer, e indirizzi coinvolti in ransomware. Gli strumenti assegnano un risk score da 0 a 100 a ogni transazione; quelle sopra soglia critica (generalmente 70/100) vengono bloccate automaticamente e sottoposte a review manuale.

Creazione di Compliance team indipendenti con budget dedicato: separazione funzionale completa tra business development e compliance, con Chief Compliance Officer che riporta al board o al CEO e ha potere di bloccare nuovi prodotti fino a completamento del risk assessment. Le piattaforme post-sanzione hanno triplicato le risorse compliance: OKX ha dichiarato di aver assunto oltre 200 specialisti AML tra 2024 e 2025 e di aver investito 50 milioni di dollari in sistemi di monitoraggio.

Come è cambiata la strategia punitiva del DOJ rispetto alle precedenti azioni di enforcement crypto?

Prima del 2024, le azioni DOJ contro operatori crypto si concentravano su frode diretta (casi Ponzi, false promesse di rendimento, appropriazione indebita) o su violazioni consapevoli di sanzioni (transazioni con entità OFAC-listed). Gli importi erano generalmente contenuti sotto i 50 milioni di dollari e raramente includevano procedimenti penali; le autorità preferivano civil money penalties gestite da FinCEN o SEC senza ammissione di colpevolezza.

Il nuovo standard DOJ si basa su tre pilastri:

Negligence sistemica nel design AML come reato autonomo: non è più necessario dimostrare che l'exchange ha consapevolmente favorito il riciclaggio; è sufficiente provare che ha operato senza registrazione o senza programma AML adeguato. Il DOJ considera questa omissione come willful blindness, dottrina penale che equipara la negligenza intenzionale al dolo.

Sanzioni combinate civili + penali + confische: OKX ha subito tre procedimenti paralleli: penale federale con guilty plea (sanzione penale diretta), procedimento FinCEN per civil money penalty, e confisca patrimoniale di asset crypto collegati alle violazioni. Il totale di 505 milioni rappresenta il cumulo di tutti e tre i canali, creando un precedente dove ogni dollaro movimentato illegalmente genera una responsabilità multipla.

Monitoraggio esterno forzato per anni: il DOJ impone un independent compliance monitor nominato dal tribunale, pagato dall'exchange, con accesso illimitato a sistemi e documenti interni. Il monitor deve certificare trimestralmente che la piattaforma ha implementato "effective AML controls" secondo gli standard federali. Se il monitor rileva carenze gravi, il DOJ può revocare il patteggiamento e riprendere il procedimento penale con richieste di condanna più severe.

Secondo statistiche del FinCEN, le sanzioni AML complessive nel settore finanziario (incluso crypto) hanno superato i 900 milioni di dollari solo nel primo semestre 2025, con un aumento del 767% rispetto allo stesso periodo 2024 per le sole sanzioni europee. Questo trend indica che l'enforcement miliardario non è limitato agli USA ma si sta coordinando con autorità UE, UK e Asia-Pacifico.

Quali obblighi immediati hanno oggi i provider crypto italiani ed europei dopo questi precedenti?

Ogni operatore crypto che offre servizi a residenti UE deve conformarsi alla Direttiva (UE) 2018/843 (quinta direttiva antiriciclaggio), che ha incluso dal 2020 gli exchange di valute virtuali e i custodian wallet provider tra i soggetti obbligati AML. L'Italia ha recepito la direttiva con il Decreto Legislativo 125/2019, che impone alle piattaforme di registrarsi presso l'Organismo Agenti e Mediatori (OAM) e di adottare procedure AML equivalenti a quelle delle banche.

Dal 2023, il Regolamento (UE) 2023/1113 estende gli obblighi di information accompanying transfers of funds anche ai trasferimenti di cripto-attività: ogni trasferimento superiore a 1.000 EUR deve includere dati completi di ordinante e beneficiario, con verifica dell'identità reale. Questo regolamento chiude l'era delle transazioni pseudo-anonime e obbliga gli exchange UE a raccogliere identità anche per withdrawal verso wallet personali.

Il nuovo pacchetto AML 2024 della Commissione Europea (applicazione progressiva 2025-2027) introduce:

1. Autorità AML europea unica (AMLA) con sede a Francoforte, che avrà poteri di vigilanza diretta su operatori crypto considerati high-risk
2. Soglia unica UE per CDD rafforzata: 10.000 EUR per operazioni occasionali, abbassata da soglie nazionali variabili
3. Central registry europeo di beneficial ownership delle crypto company, con obbligo di disclosure pubblica dei proprietari effettivi con quote superiori al 25%

Per evitare sanzioni DOJ e multe europee, i provider italiani devono immediatamente:

Audit compliance indipendente entro 90 giorni: ingaggio di consulente esterno certificato (big four, boutique specializzata in financial crime) per gap analysis rispetto a 31 U.S.C. § 5318(h) e Direttiva (UE) 2015/849. L'audit deve produrre un report formale con elenco carenze, piano di remediation con tempi e responsabili, e risk assessment documentato per categoria di servizio.

Segregazione organizzativa del team compliance: creazione di unità indipendente con riporto diretto al CdA, senza subordinazione al CEO o al CFO. Il responsabile AML deve avere accesso diretto ai sistemi IT, budget autonomo per consulenze esterne, e potere di bloccare temporaneamente operazioni sospette senza autorizzazione business.

Cooperazione preventiva con autorità: risposta entro i termini richiesti (generalmente 10 giorni lavorativi) a richieste informative di UIF (Unità di Informazione Finanziaria), OAM, Guardia di Finanza, e risposte a subpoena esteri tramite canali di mutua assistenza giudiziaria. La piattaforma non può invocare privacy dei clienti come motivo di rifiuto quando l'autorità procede per indagini AML, secondo giurisprudenza consolidata della Corte di Giustizia UE in materia di Direttiva PIF (Direttiva (UE) 2017/1371).

Se la piattaforma riceve clienti USA anche indirettamente (tramite VPN o servizi di terzi), deve registrarsi come MSB presso FinCEN entro 180 giorni dall'inizio operatività USA o cessare immediatamente il servizio verso quella giurisdizione. L'argomento "non sapevamo che fossero americani" è stato esplicitamente respinto dal tribunale nel caso OKX: gli exchange hanno l'onere di implementare strumenti tecnici di IP geolocation, device fingerprinting e document verification per escludere utenti USA se non registrati.

This article is published by an independent law firm for informational purposes only and does not represent or claim affiliation with any government body, international organization, or official authority.

Domande frequenti sulle multe miliardarie AML e la nuova strategia DOJ contro le crypto

Quali sono le principali violazioni AML contestate dal DOJ a OKX e KuCoin?

Il DOJ ha contestato a entrambe le piattaforme l'operatività come money transmitting business senza licenza federale, in violazione della Bank Secrecy Act (31 U.S.C. § 5318). OKX ha ammesso di aver facilitato transazioni per clienti USA dal 2018 al 2024 senza implementare programmi AML, registrazione FinCEN, o sistemi KYC. KuCoin ha consentito miliardi di dollari in transazioni senza mai verificare l'identità dei clienti. Le violazioni includono omessa segnalazione di attività sospette (SAR) e mancata conservazione dei record transazionali obbligatori per cinque anni secondo 31 CFR § 1022.410.

Come si calcolano le sanzioni DOJ per fallimenti AML e perché superano i 500 milioni?

Il DOJ calcola le sanzioni sulla base del volume totale di transazioni non conformi elaborate durante il periodo di violazione, dei profitti derivanti dall'operatività illegale, e del livello di cooperazione dell'exchange durante le indagini. OKX ha concordato 505 milioni di dollari includendo sanzioni penali, civil money penalty FinCEN, e confische patrimoniali. Il calcolo riflette circa il 2-5% del volume transazionale movimentato illegalmente nel periodo 2018-2024. Le sanzioni multiple (penale + civile + confisca) creano importi complessivi che superano la capacità operativa di molte piattaforme medie.

Il DOJ applica lo stesso standard AML anche agli exchange piccoli o regionali?

Sì, secondo le linee guida FinCEN del 2019 (aggiornate 2023), il test di applicabilità degli obblighi AML è basato su natura dell'attività e rischio, non su dimensioni o fatturato. Anche un exchange che gestisce meno di 10 milioni di dollari annui ma offre servizi di conversione fiat-crypto a residenti USA deve registrarsi come MSB e implementare un programma AML scritto con independent testing annuale. Diversi exchange regionali europei e asiatici hanno ricevuto subpoena DOJ nel 2025 per operazioni che coinvolgevano anche solo poche centinaia di clienti americani.

Un exchange decentralizzato (DEX) può evitare gli obblighi AML secondo la giurisprudenza recente?

No. Il DOJ e FinCEN considerano che se l'interfaccia DEX consente depositi o prelievi in valuta fiat, o se i fondatori/sviluppatori esercitano controllo effettivo sugli smart contract (possibilità di upgrade, pause, blacklist), la piattaforma è classificata come money transmitter. Nel 2024 due fondatori di DEX sono stati incriminati federalmente per aver offerto frontend che facilitavano onramp fiat senza KYC. L'argomento "è solo codice, noi non custodiamo" è stato respinto: la custodia temporanea in pool automatici o il controllo di chiavi admin trigger responsabilità AML.

Quanto tempo ha un exchange per correggere carenze AML prima che il DOJ proceda con sanzioni?

Non esiste un grace period formale. Se il DOJ o FinCEN rilevano violazioni durante un'indagine o a seguito di SAR inviati da banche corrispondenti, l'autorità può procedere immediatamente con freeze degli account, subpoena per documenti interni, e incriminazione penale dei dirigenti. Nel caso OKX, l'indagine è durata circa 18 mesi prima del guilty plea, ma durante quel periodo la piattaforma ha dovuto sospendere servizi USA e congelare asset. La strategia consigliata è audit preventivo annuale con consulente esterno, in modo da identificare gap prima che l'autorità apra un procedimento.

Quali responsabilità personali rischiano i manager italiani di crypto company con clienti USA?

I CEO, CFO e Compliance Officer possono essere personalmente incriminati negli USA per willful failure to maintain AML program (31 U.S.C. § 5322), con pene fino a 5 anni di carcere federale per ciascun conteggio. L'Italia ha un trattato di estradizione bilaterale con gli USA (1983) che copre i reati finanziari, inclusi quelli AML; l'estradizione è possibile anche se il manager non è mai stato fisicamente negli Stati Uniti, purché la condotta abbia avuto effetti sul territorio USA (teoria degli effects). I dirigenti italiani devono documentare per iscritto ogni decisione AML e assicurarsi che la piattaforma abbia una D&O insurance con copertura per procedimenti penali esteri.

Come posso verificare se la mia piattaforma crypto rispetta gli standard DOJ e UE oggi vigenti?

Richiedi un audit AML indipendente a uno studio legale specializzato in financial crime o a una big four con practice crypto. L'audit deve coprire: verifica della registrazione MSB presso FinCEN (se hai clienti USA anche indiretti), conformità del programma AML scritto ai quattro pillar obbligatori (risk assessment, independent testing, designated officer, training), test dei sistemi KYC contro standard FATF, e screening delle transazioni degli ultimi 12 mesi contro database sanzioni OFAC. Il report di audit serve come due diligence documentata in caso di future contestazioni e riduce significativamente il rischio di sanzioni penali personali per i manager.