Con il regolamento (UE) 2025/2033, adottato nell’ambito del diciannovesimo pacchetto di sanzioni, l’UE ha ampliato il quadro restrittivo di cui all’articolo 5 ter, paragrafo 2, del regolamento (UE) n. 833/2014, estendendolo oltre i servizi relativi alle criptovalute a una serie definita di servizi di pagamento e di moneta elettronica.
Come chiarito dalla Commissione europea nelle sue Domande frequenti (“FAQ”) aggiornate il 13 marzo 2026, la disposizione modificata vieta la fornitura di tali servizi a tre specifiche categorie di destinatari: cittadini russi, persone fisiche residenti in Russia e persone giuridiche, entità o organismi stabiliti in Russia. L’importanza del nuovo quadro normativo risiede proprio nella sua struttura. Esso non impone un divieto generale sulle attività di pagamento che coinvolgono soggetti legati alla Russia, ma costruisce un divieto mirato incentrato su specifici servizi regolamentati identificati con riferimento alla legislazione finanziaria dell’UE esistente, in particolare la Direttiva (UE) 2015/2366 (“PSD2”) e la Direttiva 2009/110/CE (“EMD2”). L’esercizio interpretativo è quindi altamente operativo: per i fornitori, la conformità non dipende più da una valutazione generica dell’esposizione al rischio di sanzioni, ma dalla precisa classificazione giuridica del servizio offerto, dallo status del cliente e dal ruolo funzionale svolto dal fornitore all’interno della catena di transazioni pertinente.
Ambito oggettivo dei servizi vietati
L’articolo 5 ter, paragrafo 2, stabilisce un elenco chiuso ed esaustivo dei servizi vietati, strutturato in tre categorie distinte.
- In primo luogo, la lettera a) riguarda i servizi relativi alle cripto-attività, senza ulteriori differenziazioni interne all’interno di tale disposizione, ma chiaramente intesa a coprire la gamma di attività già disciplinate dal quadro normativo dell’UE in materia.
- In secondo luogo, la lettera b) riguarda servizi di pagamento specifici, che devono essere interpretati in stretta conformità con l’articolo 4 della PSD2. In particolare, il divieto si applica a:
- l’emissione di strumenti di pagamento ai sensi dell’articolo 4, paragrafo 45, vale a dire la fornitura di strumenti che consentono a un pagatore di avviare ed elaborare operazioni di pagamento;
- l’acquisizione di operazioni di pagamento ai sensi dell’articolo 4, paragrafo 44, consistente nell’accettazione e nell’elaborazione di operazioni di pagamento per conto di un beneficiario che comportano il trasferimento di fondi;
- e alla fornitura di servizi di avvio di pagamento ai sensi dell’articolo 4, paragrafo 15, definiti come servizi che avviano un ordine di pagamento su richiesta dell’utente in relazione a un conto detenuto presso un altro fornitore.
- In terzo luogo, la lettera c) estende il divieto all’emissione di moneta elettronica, come definita all’articolo 2 della direttiva EMD2, includendo così il valore monetario memorizzato elettronicamente emesso a fronte di fondi e accettato da terzi a fini di pagamento.
La Commissione chiarisce inoltre (FAQ 10) che il divieto di cui alla lettera b) non si estende a tutti i servizi di pagamento elencati nell’allegato I alla PSD2, ma solo a quelli corrispondenti ai punti 5 e 7 di tale allegato. Di conseguenza, altri servizi di pagamento, come l’esecuzione di bonifici o il prelievo di contante, rimangono al di fuori dell’ambito di applicazione dell’articolo 5 ter, paragrafo 2. Questo chiarimento è fondamentale nella pratica, poiché conferma che la misura non è volta a limitare il movimento di fondi in quanto tale, ma piuttosto a impedire l’accesso a specifiche infrastrutture di pagamento e servizi di intermediazione che consentono il funzionamento più ampio dei sistemi di pagamento.
Ambito di applicazione soggettivo ed esenzioni
L’ambito di applicazione personale dell’articolo 5 ter, paragrafo 2, è definito attraverso una serie di criteri oggettivi e formalmente identificabili. Come chiarito nella FAQ 1, il divieto si applica esclusivamente a tre categorie di soggetti:
- cittadini russi,
- persone fisiche residenti in Russia,
- e persone giuridiche, entità o organismi stabiliti in Russia.
Tale delimitazione è particolarmente rilevante, in quanto esclude qualsiasi estensione automatica del divieto basata su strutture di proprietà o di controllo. Infatti, la Commissione afferma espressamente nella FAQ 3 che le entità costituite nell’UE o in paesi terzi rimangono al di fuori dell’ambito di applicazione della restrizione anche qualora siano di proprietà o sotto il controllo di persone russe, a meno che tali strutture non siano utilizzate per eludere il regime sanzionatorio. Tale precisazione deve essere letta in combinato disposto con l’articolo 12 del regolamento (UE) n. 833/2014, che vieta la partecipazione consapevole e intenzionale ad accordi volti ad aggirare le misure restrittive. Di conseguenza, sebbene la proprietà societaria non sia di per sé determinante, essa diventa rilevante laddove sia strumentale all’accesso indiretto a servizi vietati.
Accanto a questo ambito di applicazione mirato, l’articolo 5 ter, paragrafo 3, introduce esenzioni esplicite basate sulla nazionalità e sulla residenza. In particolare, il divieto non si applica a:
- cittadini degli Stati membri dell’UE,
- dei paesi del SEE o della Svizzera,
- né alle persone fisiche titolari di un permesso di soggiorno temporaneo o permanente in tali giurisdizioni.
- Inoltre, la Commissione chiarisce ulteriormente nella FAQ 2 che, a seconda della legislazione nazionale, tale esenzione può estendersi ai titolari di visti per soggiorni di lunga durata (come i visti di tipo D) che hanno espletato le relative formalità di registrazione e sono quindi considerati residenti legali.
Quest’ultimo elemento introduce una dimensione dinamica alla conformità, poiché l’applicabilità del divieto può cambiare nel tempo alla luce dell’evoluzione dello status di residenza dell’individuo. I fornitori sono quindi tenuti a monitorare non solo la qualifica iniziale del cliente, ma anche qualsiasi cambiamento successivo, come la perdita della residenza nell’UE, che possa far rientrare il cliente nell’ambito di applicazione dell’articolo 5b, paragrafo 2.
Implicazioni operative e modello di conformità
Da un punto di vista operativo, la Commissione adotta nella FAQ 5 un modello di conformità strettamente funzionale e basato sui servizi. L’articolo 5 ter, paragrafo 2, non impone ai prestatori di servizi di pagamento (“PSP”) di rescindere i rapporti contrattuali esistenti o di chiudere i conti detenuti da clienti che rientrano nell’ambito di applicazione. I PSP possono continuare a mantenere tali rapporti e a fornire servizi non vietati. Tuttavia, il divieto si applica in egual misura ai clienti nuovi ed esistenti, con la conseguenza che i fornitori devono cessare immediatamente la fornitura di qualsiasi servizio rientrante nelle categorie vietate non appena un cliente rientra o viene a rientrare nell’ambito di applicazione. Ciò include situazioni in cui un cliente rientra nell’ambito di applicazione in una fase successiva, ad esempio quando un cittadino russo cessa di essere legalmente residente nell’UE. In tali casi, l’obbligo di interrompere i servizi vietati sorge non appena il fornitore viene a conoscenza del cambiamento di status.
L’attribuzione delle responsabilità di conformità all’interno della catena di pagamento è chiarita con riferimento al ruolo funzionale di ciascun attore.
- Ai sensi del considerando 19 del regolamento (UE) 2025/2033 e come confermato nella FAQ 6, la responsabilità primaria della conformità alle sanzioni in relazione alle operazioni di pagamento spetta al prestatore di servizi di pagamento che gestisce il conto (“ASPSP”).
- Al contrario, i prestatori di servizi di avvio di pagamento (“PISP”) e gli acquirenti non sono tenuti a effettuare un controllo completo delle singole transazioni al momento dell’esecuzione; il loro obbligo si limita a garantire che non forniscano servizi vietati ai sensi dell’articolo 5 ter, paragrafo 2. Tale distinzione è particolarmente rilevante negli ambienti di open banking, in cui più soggetti intervengono nella stessa catena di transazioni.
La Commissione introduce inoltre una chiara distinzione tra l’emissione di strumenti di pagamento e il loro successivo utilizzo.
Sebbene l’articolo 5 ter, paragrafo 2, lettera b), vieti l’emissione, il rinnovo o la sostituzione di strumenti di pagamento a favore di persone rientranti nell’ambito di applicazione, esso non vieta l’uso continuato di strumenti già in circolazione, come ricordato nella FAQ 7. Tuttavia, tale distinzione non neutralizza l’effetto del divieto a livello dei servizi sottostanti. Laddove l’esecuzione di una transazione tramite uno strumento esistente richieda un servizio che è di per sé vietato – come l’acquisizione di operazioni di pagamento – la transazione deve essere bloccata. In questo contesto, l’attenzione normativa si sposta dallo strumento al servizio che rende possibile la transazione. Ciò è particolarmente evidente negli ambienti digitali, inclusi i portafogli elettronici e le soluzioni di pagamento tokenizzate, dove le transazioni si basano tipicamente su servizi di acquisizione.
- Questa logica si estende a casi d’uso specifici che riguardano l’emissione di carte. Il divieto si applica a qualsiasi strumento di pagamento emesso a nome di una persona fisica che rientri nell’ambito di applicazione, indipendentemente dalla struttura del rapporto contrattuale sottostante. Come chiarito nella FAQ 11, ciò include le carte aggiuntive emesse a favore di familiari o dipendenti: anche qualora il titolare principale del conto sia una persona fisica o una società con sede nell’UE, è vietata l’emissione (compreso il rinnovo o la sostituzione) di una carta a nome di un cittadino russo o di una persona residente in Russia.
- Lo stesso principio si applica alle carte commerciali (FAQ 12), definite come strumenti basati su carta emessi a favore di imprese o enti del settore pubblico per spese aziendali. Anche in questi casi, il criterio rilevante è la personalizzazione dello strumento: se la carta è emessa a nome di, o personalizzata per, una persona fisica rientrante nell’ambito di applicazione, la sua emissione è vietata, indipendentemente dall’identità o dall’ubicazione dell’entità contraente. Per contro, l’uso continuato di strumenti già emessi per servizi non vietati rimane consentito, fatte salve le stesse limitazioni relative ai servizi sottostanti.
Infine, la Commissione fornisce importanti chiarimenti sulla qualificazione dei servizi di avvio di pagamento in ambienti digitali. In particolare, il cosiddetto modello “bank-link” – in cui l’utente viene reindirizzato all’interfaccia della propria banca per avviare un pagamento – non è considerato un servizio di avvio di pagamento ai sensi dell’articolo 4, paragrafo 15, della PSD2, a condizione che non intervenga alcun fornitore terzo e che l’utente avvii il pagamento direttamente con la propria banca (FAQ 13). Al contrario, quando un PSP terzo avvia il pagamento per conto dell’utente, ad esempio tramite API di open banking, il servizio si qualifica come servizio di avvio di pagamento ed è quindi vietato se fornito a soggetti che rientrano nell’ambito di applicazione. Questa distinzione è fondamentale nella pratica, poiché determina se una data soluzione tecnologica rientri o meno nell’ambito di applicazione dell’articolo 5 ter, paragrafo 2.
Cripto-asset e rischi di elusione
Nell’ambito dell’architettura dell’articolo 5 ter, paragrafo 2, i servizi relativi alle cripto-attività, formalmente contemplati alla lettera a), devono essere interpretati alla luce del più ampio quadro antielusione istituito dal regolamento (UE) n. 833/2014.
In particolare, la FAQ 4 chiarisce che la nozione di prestazione vietata non può essere limitata ai rapporti diretti, ma si estende ai casi di prestazione indiretta, che devono essere valutati in combinato disposto con l’articolo 12 del regolamento. Ai sensi di tale disposizione, è di per sé vietata qualsiasi partecipazione consapevole e intenzionale ad accordi volti a eludere i divieti. Questa chiave di lettura è particolarmente significativa nel contesto delle cripto-attività, dove le strutture delle transazioni sono spesso mediate da intermediari, entità di paesi terzi o infrastrutture decentralizzate che possono oscurare sia l’identità delle controparti sia la natura funzionale del servizio fornito.
In termini pratici, ciò significa che i servizi relativi alle cripto-attività possono rientrare nell’ambito di applicazione dell’articolo 5 ter, paragrafo 2, non solo quando sono forniti direttamente a soggetti rientranti nell’ambito di applicazione, ma anche quando sono utilizzati nell’ambito di un accordo di ” ” più ampio che consente l’accesso a funzionalità di pagamento soggette a restrizioni. Ciò è particolarmente rilevante in contesti ibridi o tokenizzati, in cui le infrastrutture di cripto-attività si intersecano con i servizi di pagamento regolamentati.
Ad esempio, qualora una transazione che coinvolge cripto-asset si avvalga, in qualsiasi fase, di un servizio di pagamento vietato – come l’acquisizione ai sensi dell’articolo 4, paragrafo 44, della PSD2 – il divieto si applica al servizio che rende possibile la transazione piuttosto che alla forma tecnologica dell’asset. La stessa logica si applica quando i servizi relativi ai cripto-asset sono convogliati attraverso intermediari stabiliti al di fuori dell’UE al fine di fornire di fatto l’accesso a servizi soggetti a restrizioni.
L’approccio della Commissione riflette quindi una chiara scelta normativa. Le cripto-attività non sono trattate come una categoria autonoma che richiede una logica sanzionatoria separata, ma come canali funzionalmente equivalenti di trasferimento di valore soggetti agli stessi vincoli applicabili alle infrastrutture di pagamento tradizionali. L’elemento decisivo non è la qualificazione dell’attività ma, ancora una volta, il ruolo svolto dal servizio all’interno della catena di transazione. In questo senso, l’articolo 5 ter, paragrafo 2, letto congiuntamente all’articolo 12, sposta l’attenzione dalla classificazione formale alla sostanza economica. Ciò solleva una questione più ampia per il futuro dell’applicazione delle sanzioni: se un quadro basato su fornitori di servizi identificabili e su funzioni di pagamento chiaramente delineate possa rimanere efficace in contesti sempre più decentralizzati, in cui sia l’intermediazione che il controllo possono essere strutturalmente frammentati.
Autori: Andrea Pantaleo e Giulio Napolitano
About the Author: Andrea Pantaleo
