Travel Rule GAFI e soglia no-KYC crypto nel 2026
Travel Rule del GAFI e la soglia no-KYC per le crypto nel 2026
Nell'aprile 2026 il Gruppo d'Azione Finanziaria Internazionale (GAFI, in inglese FATF) ha pubblicato il sesto rapporto di attuazione sulla Raccomandazione 16 — la cosiddetta Travel Rule per le criptovalute — e la conclusione principale è risultata scomoda per i responsabili compliance: il 73% delle 138 giurisdizioni che hanno comunicato dati applica ancora soglie di trasferimento differenti, definizioni divergenti di "prestatore di servizi per le attività finanziarie virtuali" (in Italia inquadrato come VASP/CASP iscritto al registro OAM) e regole non uniformi per i wallet non custoditi. Per l'utente comune questo mosaico normativo ha una conseguenza molto concreta. Non esiste un tetto globale unico sotto il quale i trasferimenti di crypto siano esenti dalla raccolta dei dati identificativi, e la soglia che si incontra dipende dal fatto di operare tramite un exchange di Singapore, una banca tedesca, un money transmitter statunitense o uno swap peer-to-peer. MoneroSwapper si imbatte ogni giorno in questa confusione, nelle domande che riceve da nuovi utenti che chiedono quale importo di Monero si possa comprare o vendere prima di far scattare una procedura di adeguata verifica della clientela (know-your-customer, KYC).
Questa guida spiega in modo puntuale cosa imponga davvero la Travel Rule del GAFI, come funzioni la soglia de minimis nella pratica delle principali aree geografiche nel 2026, perché la fungibilità di Monero renda la questione della soglia strutturalmente diversa rispetto a Bitcoin, e cosa l'utente attento alla compliance e alla privacy debba effettivamente sapere prima di inviare una transazione.
Cosa richiede davvero la Travel Rule del GAFI
La Travel Rule è il soprannome diffuso di una nota interpretativa aggiunta alla Raccomandazione 16 del GAFI nel giugno 2019 e aggiornata quattro volte da allora — l'ultima nel febbraio 2025. Estende alle attività finanziarie virtuali lo stesso obbligo di corrispondenza bancaria applicato ai bonifici fin dal 1990: quando un soggetto vigilato movimenta valore per conto di un cliente, determinati dati dell'ordinante e del beneficiario devono "viaggiare" insieme al pagamento.
In concreto, quando un VASP elabora un trasferimento di attività virtuali oltre la soglia applicabile, deve raccogliere, verificare, conservare e trasmettere al VASP successivo della catena i seguenti dati:
- Nome dell'ordinante: denominazione legale completa di chi invia.
- Riferimento del conto o del wallet dell'ordinante: numero di conto o identificativo univoco della transazione che ne consenta la tracciabilità.
- Indirizzo fisico dell'ordinante, codice fiscale, numero di documento identificativo oppure data e luogo di nascita: almeno uno di questi dati deve essere trasmesso.
- Nome del beneficiario: denominazione legale del destinatario come dichiarata dall'ordinante.
- Riferimento del conto o del wallet del beneficiario: l'indirizzo di destinazione utilizzato nella transazione on-chain.
Quest'ultimo requisito — il wallet di destinazione — è ciò che rende la Travel Rule controversa nel mondo crypto. Una banca corrispondente deve identificare soltanto un'altra banca. Un VASP deve invece identificare un altro VASP e il cliente sottostante, il che in pratica significa controllare l'indirizzo di destinazione rispetto alle liste di sanzioni, verificare se appartenga a una controparte vigilata e, nelle giurisdizioni più severe, eseguire una "wallet verification" prima che il trasferimento lasci la piattaforma.
La soglia de minimis: da dove parte il "no-KYC"?
La stessa raccomandazione GAFI fissa una soglia de minimis di 1.000 USD/EUR. Al di sotto di tale importo gli Stati possono applicare un'adeguata verifica semplificata — di norma il VASP deve comunque registrare nome e wallet di ordinante e beneficiario, ma non è tenuto a verificare l'informazione tramite prove documentali. Sopra la soglia scatta invece l'adeguata verifica rafforzata con documentazione completa.
Da qui nasce il concetto di "soglia no-KYC crypto", ed è qui che la maggior parte degli utenti si fa un'idea sbagliata. La soglia GAFI è un pavimento, non un tetto — le giurisdizioni possono espressamente applicare regole più stringenti, e in molte lo fanno. Nel 2026 il quadro pratico è il seguente:
| Giurisdizione | Soglia de minimis (2026) | Cosa significa nella pratica |
|---|---|---|
| Italia (Banca d'Italia, OAM, D.Lgs. 231/2007) | EUR 0 (in regime MiCA/TFR) | Dal 30 dicembre 2024 tutti i trasferimenti CASP-to-CASP viaggiano con dati completi, indipendentemente dall'importo. |
| Unione Europea (MiCA + TFR) | EUR 0 — nessuna de minimis | Regola direttamente applicabile in Italia; OAM e Banca d'Italia vigilano sull'iscrizione e sulla condotta. |
| Stati Uniti (FinCEN, BSA) | USD 3.000 (trasferimenti); USD 10.000 (CTR) | I VASP raccolgono KYC all'apertura conto comunque; la soglia incide solo sulla tenuta dei registri Travel Rule. |
| Regno Unito (FCA / MLR 2022) | Equivalente in sterline di EUR 1.000 | Travel Rule completa sopra; dati semplificati sotto; per i wallet non custoditi serve verifica risk-based. |
| Singapore (MAS, PSA) | SGD 1.500 (~USD 1.100) | Si avvicina al pavimento GAFI; regole di aggregazione per trasferimenti collegati entro 24 ore. |
| Svizzera (FINMA) | CHF 1.000 (~USD 1.130) | Identificazione rigorosa sopra la soglia; norma "Pseudo-VASP" applicabile ai broker. |
| Giappone (FSA, JVCEA) | JPY 100.000 (~USD 670) | Inferiore al pavimento GAFI; inasprita ad aprile 2024. |
Dalla tabella emergono due tendenze. In primo luogo, l'Unione Europea ha sostanzialmente eliminato la soglia per i prestatori di servizi per le cripto-attività (CASP) ai sensi del Regolamento sui trasferimenti di fondi (TFR), entrato in vigore insieme al MiCA a fine 2024 e direttamente applicabile in Italia. In secondo luogo, anche nelle giurisdizioni che ancora applicano nominalmente il pavimento GAFI di 1.000 EUR, la soglia disciplina solo quanti dati debbano viaggiare tra VASP — non esonera dall'obbligo di identificare il cliente all'apertura del conto, che è poi la parte che la maggior parte degli utenti intende quando dice "no-KYC".
Regole di aggregazione: il moltiplicatore nascosto
Quasi tutte le giurisdizioni aggiungono una disposizione di aggregazione: più trasferimenti dallo stesso ordinante allo stesso beneficiario all'interno di una finestra temporale definita (24 ore a Singapore, 7 giorni negli Stati Uniti, 30 giorni in alcuni Stati membri UE, inclusa la lettura prevalente in Italia) vengono sommati e trattati come un'unica operazione ai fini della soglia. L'utente che prova a spezzare uno swap da 5.000 EUR in cinque transazioni da 999 EUR per restare sotto il pavimento GAFI sta, per definizione, eseguendo frazionamento — una fattispecie sospetta autonomamente segnalabile ai sensi del D.Lgs. 231/2007 e dei provvedimenti della UIF presso Banca d'Italia. I responsabili compliance monitorano proprio questi pattern, e le euristiche di pattern-recognition li segnalano prima ancora che un essere umano riveda l'attività.
Wallet self-hosted e il problema dei "wallet non custoditi"
L'interazione più delicata nello scenario Travel Rule 2026 è quella tra VASP vigilati e wallet self-hosted (o "unhosted") — software che si controlla in proprio, senza un custode terzo. Le linee guida GAFI dell'ottobre 2021, riconfermate nel febbraio 2025, sostengono che i VASP debbano applicare un'adeguata verifica rafforzata ai trasferimenti da o verso wallet non custoditi sopra la soglia, senza però richiedere che il wallet non custodito sia esso stesso incluso nel perimetro regolamentato.
Il Regolamento UE sui trasferimenti di fondi va oltre: sopra i 1.000 EUR cumulativi nell'arco di 12 mesi, il CASP deve eseguire la "verifica dell'identità" del titolare del wallet non custodito, di norma attraverso una signed-message proof o un'attestazione tecnica. Sotto la soglia è sufficiente la registrazione di base di origine e destinazione. La proposta del FinCEN statunitense di imporre KYC completo per ogni interazione con wallet non custoditi sopra i 3.000 USD è stata ritirata nel maggio 2025 dopo lunghe osservazioni del settore, mentre alcuni Stati (in particolare New York con il regime BitLicense) impongono regole locali più severe.
La Travel Rule si applica ai VASP, non ai wallet. Un wallet Monero in self-custody che non tocca mai una controparte vigilata è fuori dal perimetro della Raccomandazione 16 — ma nel momento in cui quel wallet invia a o riceve da un VASP registrato, gli obblighi del VASP si attaccano alla tua transazione.
Perché Monero cambia il calcolo della soglia
La maggior parte dei discorsi sulla Travel Rule presuppone che il regolatore possa vedere il grafo on-chain della transazione. Per Bitcoin, Ethereum e gran parte delle altre blockchain pubbliche questa ipotesi regge — fornitori di chain analysis come Chainalysis, Elliptic e TRM Labs vendono strumenti che permettono a un VASP di ricostruire la pista source-of-funds e applicare regole di screening prima di accreditare un conto cliente.
Lo stack di privacy di Monero rompe questa ipotesi su tre fronti distinti. RingCT nasconde l'importo della transazione dentro un commitment crittografico. Lo schema di ring signature — attualmente CLSAG a 16 decoy, con FCMP++ previsto per l'hardfork Carrot/Jamtis del 2026 — nasconde quale output passato sia effettivamente speso. Gli stealth address fanno sì che due destinazioni on-chain non siano mai direttamente collegabili allo stesso beneficiario. L'effetto combinato è che un VASP che riceve Monero non può, in linea generale, determinare la provenienza dei fondi dalla sola blockchain — può soltanto controllare l'indirizzo di deposito rispetto al proprio database clienti e a eventuali indirizzi segnalati nelle liste sanzioni di settore.
È per questo che Monero viene trattato come una categoria a sé dalla maggior parte dei VASP che ancora lo supportano. Alcuni exchange applicano una soglia interna più bassa per i depositi XMR rispetto a quelli BTC. Altri hanno delistato Monero del tutto (come fatto da Binance a febbraio 2024, Kraken per i clienti SEE a ottobre 2024 e OKX a gennaio 2024) piuttosto che costruire l'infrastruttura di compliance necessaria per gestire una privacy coin sotto MiCA. Per gli utenti italiani questo significa che la "soglia no-KYC" pratica per Monero è determinata meno dal GAFI e più da quali piattaforme lo accettino ancora senza account.
Passo per passo: restare conformi alle regole del 2026
Che il tuo interesse per la Travel Rule sia puramente pratico (vuoi solo sapere quale importo si possa scambiare senza caricare un documento) o di compliance (gestisci una piccola impresa e devi conoscere i tuoi obblighi), il flusso di lavoro che segue è valido nel 2026:
- Identifica la giurisdizione di riferimento della controparte. Un CASP licenziato in Lituania, un exchange con licenza MAS a Singapore e una piattaforma offshore registrata alle Seychelles affrontano soglie molto diverse. Controlla il footer dell'entità legale o il registro del regolatore competente (in Italia: registro OAM, oggi confluito nel quadro MiCA presso Banca d'Italia) prima di stimare dove cada la linea KYC.
- Verifica i limiti per fascia utente, non solo il pavimento normativo. Quasi tutti gli exchange sovrappongono i propri tier commerciali di KYC al limite legale. Una piattaforma può accettare legalmente operazioni da 1.000 EUR con verifica minima ma chiedere commercialmente verifica email + telefono prima di qualunque deposito.
- Tieni conto dell'aggregazione. I limiti cumulativi su finestre mobili (24 ore, 7 giorni, 30 giorni) sono la regola, non l'eccezione. Somma la tua attività nella finestra prima di decidere se la prossima transazione supera la linea.
- Per i trasferimenti da self-custody a VASP, predisponi la prova. Sopra le soglie UE ti sarà chiesto di firmare un messaggio dal wallet ordinante o di fornire uno screenshot dell'unspent output. Tieni la prova pronta prima di avviare il trasferimento.
- Usa un servizio di swap senza account per importi piccoli e occasionali. Piattaforme come MoneroSwapper aggregano la liquidità di provider di instant-swap senza richiedere la creazione di un account; per le transazioni sotto la soglia de minimis del GAFI questo è spesso il percorso utente più semplice restando del tutto dentro le regole.
- Documenta l'origine dei fondi. Per importi sopra la soglia il VASP la chiederà. Conserva ricevute d'acquisto, registri di payout da mining o estratti conto di piattaforme di trading — ricostruire la source-of-funds a posteriori è molto più difficile che catturarla strada facendo. Per la fiscalità italiana, ricorda inoltre il quadro RW e l'imposta sostitutiva al 26% sui redditi diversi cripto previsti dalla Legge di Bilancio 2023 e successive modifiche.
- Ri-verifica le ipotesi ogni sei mesi. Gli emendamenti del 2026 al MiCA Level 3, le norme attuative del CLARITY Act statunitense e i cambiamenti in arrivo dalle regole FCA britanniche stanno tutti spostando le soglie. Ciò che a gennaio era sotto la linea, a luglio potrebbe essere sopra.
Un esempio concreto: uno swap da 4.500 EUR dall'Italia
Considera un utente di Milano che a maggio 2026 voglia convertire 4.500 EUR di Bitcoin in Monero. Tre percorsi plausibili mostrano come le regole sulla soglia mordano davvero.
Percorso A — Exchange centralizzato. L'utente deposita BTC presso un CASP italiano iscritto al registro OAM (oggi sotto vigilanza congiunta di Banca d'Italia e Consob nel quadro MiCA), scambia per XMR, preleva su un wallet self-hosted. Poiché l'utente è già verificato in KYC all'apertura del conto, lo scambio in sé non è influenzato dalla Travel Rule. Il prelievo, però, supera la soglia di 1.000 EUR per wallet non custoditi, quindi il CASP richiede un messaggio firmato dall'indirizzo Monero di destinazione prima di processare l'operazione. Tempi totali: 24-72 ore a seconda della coda di revisione.
Percorso B — Peer-to-peer. L'utente trova una controparte su un marketplace peer-to-peer e conduce uno scambio in contanti di persona. Nessun VASP è coinvolto, nessun dato Travel Rule viene trasmesso. Il rischio si sposta interamente sul rischio controparte e sugli obblighi di dichiarazione fiscale ai sensi dell'art. 67 TUIR e del quadro RW, con l'imposta sostitutiva del 26% sulle plusvalenze oltre soglia, da gestire tramite Modello Redditi PF presso l'Agenzia delle Entrate.
Percorso C — Swap istantaneo non custodial. L'utente instrada la transazione attraverso un servizio come MoneroSwapper, che inoltra lo swap a uno dei vari provider di instant-exchange. Ogni provider applica la propria soglia interna; per transazioni da 4.500 EUR molti chiederanno informazioni di base sull'origine (email e talvolta un selfie) ai sensi dell'art. 18 MiCA, ma non documentazione identitaria completa. Il regolamento si conclude di norma entro 30 minuti. Se a quest'importo serva o meno KYC dipende da quale provider sottostante riceva l'ordine — un dettaglio che l'aggregatore mostra prima che l'utente confermi.
La morale non è che un percorso sia universalmente migliore. È che la soglia normativa è uno degli input, non l'unico — velocità di regolamento, rischio controparte, preferenze di custodia e adempimenti fiscali interagiscono con essa. Gli utenti che si limitano a chiedere "qual è la soglia no-KYC?" scoprono spesso a posteriori che l'esperienza pratica di restare sotto la soglia era molto più semplice, o molto più complicata, di quanto suggerisse il numero in copertina.
Domande frequenti
Esiste davvero una soglia no-KYC crypto secondo le regole GAFI?
Sì e no. La Raccomandazione 16 del GAFI fissa una soglia de minimis di 1.000 USD/EUR, al di sotto della quale sono sufficienti dati semplificati per i trasferimenti VASP-to-VASP. Ma questo disciplina solo i dati che "viaggiano" tra istituzioni vigilate — non esenta i clienti dall'essere identificati all'apertura del conto, e diverse giurisdizioni (in primis l'UE, e quindi anche l'Italia, sotto il Regolamento sui trasferimenti di fondi) hanno rimosso la soglia del tutto. L'idea diffusa che qualsiasi transazione sotto i 1.000 EUR sia "no-KYC" è una lettura errata di come funzioni davvero la regola.
La Travel Rule del GAFI si applica alle transazioni Monero?
Si applica a qualunque trasferimento di attività virtuali processato da un VASP, indipendentemente dall'asset coinvolto. Nella pratica molti exchange hanno delistato Monero o applicato soglie interne più basse per i depositi XMR, perché le proprietà di privacy di RingCT e degli stealth address rendono molto più difficile lo screening della source-of-funds. Le transazioni tra due wallet Monero in self-custody, senza alcun VASP nella catena, sono fuori dal perimetro della Raccomandazione 16 per definizione.
Qual è la differenza tra KYC e Travel Rule?
Il KYC (know-your-customer) è il processo che un VASP svolge nell'onboarding del cliente — raccolta dei documenti identificativi, verifica dell'indirizzo, controllo sulle liste sanzioni. La Travel Rule è un obbligo distinto che scatta quando il cliente già onboardato avvia un trasferimento sopra la soglia, imponendo che le informazioni di ordinante e beneficiario accompagnino il valore mentre si muove tra istituzioni. Una piattaforma può tecnicamente operare con KYC stringente e senza infrastruttura Travel Rule, o viceversa, anche se la quasi totalità dei VASP vigilati implementa entrambi.
Se uso un wallet non custodial sono soggetto alla Travel Rule?
Il wallet di per sé non lo è — la Raccomandazione 16 vincola i VASP, non il software sottostante. Ma nel momento in cui il tuo wallet non custodito invia a o riceve da un VASP, gli obblighi di quel VASP si applicano alla tua transazione. Sopra le soglie UE ti sarà chiesto di dimostrare il controllo del wallet non custodito, di norma tramite verifica con messaggio firmato. Sotto la soglia, è di solito sufficiente la registrazione di base.
La soglia cambierà nel 2026?
Diverse giurisdizioni stanno rivedendo i propri numeri. Le norme attuative del CLARITY Act statunitense dovrebbero chiarire l'ambito Travel Rule del FinCEN entro il terzo trimestre 2026, il Regno Unito sta consultando sull'allineamento all'approccio "zero soglia" dell'UE, e la sessione plenaria del GAFI di febbraio 2026 dovrebbe affrontare il tema dell'eventuale abbassamento della de minimis globale. Per l'Italia, le linee guida congiunte di Banca d'Italia, Consob e UIF sull'attuazione del MiCA saranno aggiornate nel corso dell'anno. Chi pianifica intorno alle soglie attuali deve aspettarsi un loro inasprimento, non un allentamento, nei prossimi 18 mesi.
Conclusione
La Travel Rule del GAFI e la sua "soglia no-KYC" si collocano all'intersezione tra standard internazionali antiriciclaggio, attuazioni regionali e realtà tecniche di come ciascuna criptovaluta regola davvero. Il numero in copertina — 1.000 USD o EUR — è un utile punto di riferimento ma una pessima guida a ciò che gli utenti sperimentano davvero, perché la soglia governa solo lo scambio dati tra VASP e non l'onboarding del cliente, perché le regole di aggregazione comprimono più trasferimenti piccoli in un unico evento-soglia, e perché l'UE ha di fatto azzerato il pavimento per tutta l'attività CASP-to-CASP. Per gli utenti che danno valore alla privacy finanziaria, la domanda pratica è raramente "quanto posso inviare senza KYC" ma "quale percorso nel panorama normativo si adatta meglio alla mia situazione". Quando questo percorso porta a uno swap Monero, MoneroSwapper offre un aggregatore senza account che mostra le regole di soglia di ciascun provider sottostante prima della conferma — così da restare conformi per scelta e non per caso. Verifica sempre le ultime indicazioni del tuo regolatore di riferimento prima di un trasferimento significativo, e considera le soglie del 2026 come una fotografia di un regime ancora in movimento.
🌍 Leggi in