Negli Stati Uniti, le principali autorità di vigilanza bancaria — FDIC, NCUA e OCC — hanno pubblicato congiuntamente ad aprile 2026 una proposta normativa che ridefinisce i requisiti dei programmi antiriciclaggio (AML) e di contrasto al finanziamento del terrorismo (CFT) per banche e cooperative di credito. La misura interessa circa 8.100 istituzioni finanziarie e recepisce le disposizioni dell'Anti-Money Laundering Act del 2020, allineandosi al parallelo processo regolatorio avviato dalla Financial Crimes Enforcement Network (FinCEN) del Dipartimento del Tesoro.
La proposta non sovverte l'impianto normativo esistente, ma ne muta profondamente la logica operativa. L'obbligo di dotarsi di controlli interni, un responsabile della conformità, verifiche indipendenti e formazione continua rimane invariato. Ciò che cambia è il paradigma valutativo: i programmi AML non saranno più giudicati in base alla loro mera esistenza formale, ma alla loro capacità di produrre risultati concreti per le autorità di contrasto. I regolatori verificheranno se i sistemi generano informazioni effettivamente utilizzabili dalle forze dell'ordine.
Sul piano operativo, il cambio di registro è netto. I controlli interni dovranno essere calibrati sul rischio effettivo — per tipologia di cliente, prodotto e area geografica — e aggiornati ogni volta che l'istituzione introduce un nuovo prodotto, entra in un nuovo mercato o acquisisce un nuovo segmento di clientela. Il monitoraggio diventa un processo continuo, non più un adempimento periodico. Le istituzioni con profili di rischio più elevati dovranno concentrare risorse proporzionalmente, mentre le aree a basso rischio possono essere gestite con minore intensità.
Per le banche tradizionali, l'impatto si traduce in una revisione strutturale dei modelli di allocazione delle risorse compliance. Per le FinTech, le implicazioni sono altrettanto dirette: queste società dovranno integrare le proprie piattaforme con i sistemi di conformità bancari, garantendo accesso ai dati per il monitoraggio delle transazioni, la verifica dell'identità dei clienti e la reportistica regolamentare. La tecnologia entra a far parte dell'infrastruttura di compliance, non come opzione, ma come requisito funzionale.
La proposta prevede un periodo di consultazione pubblica di 60 giorni, durante il quale i regolatori raccoglieranno contributi su come misurare l'efficacia dei programmi e come distinguere tra l'istituzione e il mantenimento dei controlli. Una volta finalizzata la norma, le istituzioni avranno fino a 12 mesi per adeguarsi. I quesiti posti all'industria riguardano questioni concrete: criteri di allocazione delle risorse, soglie di efficacia, metodologie di valutazione del rischio.
Dal punto di vista del mercato, la proposta accelera una trasformazione già in atto nel settore dei servizi finanziari digitali. Le FinTech che operano come partner o fornitori di banche saranno valutate anche in funzione della loro capacità di supportare i requisiti AML/CFT delle istituzioni con cui collaborano. Chi non sarà in grado di garantire visibilità sulle transazioni e qualità dei dati si troverà strutturalmente escluso dai circuiti bancari regolamentati.
Un punto critico rimane aperto: la proposta non definisce in modo preciso cosa costituisca un programma "efficace", delegando alla fase di consultazione la costruzione di metriche condivise. Questo margine di ambiguità potrebbe tradursi in incertezza applicativa, soprattutto per le istituzioni di medie dimensioni che non dispongono di strutture compliance elaborate. La direzione regolatoria è chiara, ma il perimetro esatto delle aspettative — e le conseguenze supervisive per chi non si adegua — rimane ancora da definire, con tutto ciò che questo comporta in termini di costi e pianificazione strategica per migliaia di operatori del settore.