4 min
L'India stringe ulteriormente le maglie sulla regolamentazione del settore crypto con protocolli AML e KYC che introducono requisiti tecnologici avanzati come la liveness detection obbligatoria e il tracciamento geografico preciso durante la fase di registrazione degli utenti. La Financial Intelligence Unit (FIU), l'autorità che opera sotto il Ministero delle Finanze indiano, ha pubblicato l'8 gennaio nuove direttive che classificano gli exchange di criptovalute come fornitori di servizi VDA (Virtual Digital Asset) e impongono standard di identificazione che vanno ben oltre la semplice verifica documentale. La mossa rappresenta uno dei framework normativi più stringenti a livello globale per il settore delle criptovalute, con implicazioni potenzialmente rilevanti per milioni di utenti indiani e per le piattaforme che operano nel secondo mercato crypto asiatico per dimensioni.
Le nuove regole eliminano definitivamente la possibilità di registrarsi sugli exchange utilizzando semplici upload di documenti statici. Ogni utente deve ora completare un processo di verifica che include un selfie in tempo reale analizzato da software di liveness detection, capace di rilevare movimenti oculari o della testa per escludere l'uso di fotografie statiche o deepfake. Il sistema deve inoltre registrare con precisione le coordinate geografiche (latitudine e longitudine), il timestamp completo, l'indirizzo IP e la data esatta da cui l'utente avvia il processo di apertura dell'account.
Il framework introduce anche il metodo "penny-drop", una procedura che prevede l'elaborazione di una transazione simbolica da 1 rupia per verificare che il conto bancario sia attivo e intestato effettivamente al registrante. Oltre al numero PAN (Permanent Account Number), documento fiscale indispensabile, gli utenti devono fornire un documento secondario tra Passport, Aadhaar o Voter ID, accompagnato da verifiche OTP sia per l'email che per il numero di telefono. L'obiettivo dichiarato è impedire l'apertura di account fraudolenti o l'utilizzo di identità sintetiche.
La FIU non si limita a inasprire i controlli iniziali ma impone anche aggiornamenti periodici del KYC: ogni sei mesi per i clienti classificati come "high-risk" e annualmente per tutti gli altri. Per le categorie ad alto rischio – persone politicamente esposte (PEP), organizzazioni non profit, soggetti collegati a giurisdizioni inserite nelle liste grigia o nera del FATF o a paradisi fiscali – gli exchange devono implementare un'enhanced due diligence che include la consultazione di database indipendenti e fonti aperte.
Particolarmente significativa è la posizione della FIU sulle Initial Coin Offerings (ICO) e Initial Token Offerings (ITO), attività che le nuove linee guida definiscono come prive di razionale economico giustificato e caratterizzate da rischi elevati di riciclaggio e finanziamento del terrorismo. Le direttive mirano esplicitamente a "scoraggiare fortemente" queste pratiche, segnalando un approccio restrittivo verso meccanismi di raccolta fondi che hanno caratterizzato le fasi iniziali del boom crypto.
La stretta si estende anche agli strumenti di anonimizzazione: crypto mixer, tumbler e token privacy-enhancing vengono classificati come tecnologie progettate per oscurare origine, proprietà e valore delle transazioni. Le nuove regole vietano esplicitamente agli exchange di facilitare operazioni che coinvolgono questi strumenti, che devono invece attivare immediate misure di mitigazione del rischio. I mixer, che combinano coin provenienti da fonti diverse per rendere difficoltoso il tracciamento, sono nel mirino delle autorità globali dopo i casi Tornado Cash e altri protocolli simili.
Il contesto normativo indiano rimane peculiare: le criptovalute non sono riconosciute come valuta legale (legal tender) ma sono comunque soggette a tassazione secondo la legge sull'Income Tax, con una flat tax del 30% sui capital gain e un TDS (Tax Deducted at Source) dell'1% su ogni transazione. Tutti gli exchange che operano nel paese devono registrarsi presso la FIU come reporting entities sotto le disposizioni del Prevention of Money Laundering Act (PMLA) e presentare regolarmente report su transazioni sospette.
L'approccio indiano contrasta con quello di altre giurisdizioni asiatiche: mentre Singapore e Hong Kong tentano di attrarre l'industria crypto con framework chiari ma permissivi, e il Giappone mantiene un equilibrio tra innovazione e controllo, l'India sembra orientarsi verso una regolamentazione che privilegia nettamente gli aspetti di compliance e contrasto al crimine finanziario. La conservazione dei dati per almeno cinque anni – o fino alla conclusione di eventuali investigazioni – rappresenta un obbligo di record-keeping tra i più estesi del settore a livello globale.
Per gli exchange internazionali che operano nel mercato indiano, le nuove regole implicano investimenti significativi in tecnologie di verifica biometrica e sistemi di geolocalizzazione, oltre all'implementazione di procedure di due diligence che richiedono personale specializzato e database aggiornati. L'impatto operativo potrebbe risultare particolarmente gravoso per le piattaforme più piccole o per quelle che finora hanno operato con standard di compliance meno rigorosi, potenzialmente accelerando un processo di consolidamento del mercato verso operatori di maggiori dimensioni con capacità tecnologiche e di compliance più avanzate.