Dal 24 gennaio 2026 è entrato in vigore in Italia il D.lgs. 30 dicembre 2025, n. 211, pubblicato sulla Gazzetta Ufficiale del 9 gennaio 2026. Si tratta dell’attuazione della Direttiva UE 2024/1226 (24 aprile 2024) sulle “misure restrittive” (sanzioni internazionali). A differenza del passato, le violazioni delle sanzioni europee non saranno più solo illecito amministrativo, ma costituiranno veri e propri reati, con pesanti conseguenze sia per le persone fisiche sia per le società. In particolare, l’art. 3 del decreto introduce nel Codice penale un nuovo “Capo I-bis” dedicato ai delitti contro la politica estera e la sicurezza comune dell’UE. Ciò significa che il quadro sanzionatorio per le banche e gli intermediari finanziari e non solo sta cambiando, passando dalla compliance amministrativa alla governance aziendale e responsabilità penale dell’ente.

Le nuove fattispecie penali introdotte

Il Decreto delinea una serie di nuovi reati strettamente collegati alle restrizioni UE, molte delle quali toccano direttamente le attività quotidiane di banche e finanziarie. Tra le condotte penalmente rilevanti troviamo ad esempio:

• Violazione delle misure restrittive UE (art. 275-bis c.p.): chiunque metta a disposizione (direttamente o indirettamente) fondi o risorse a soggetti sanzionati, ometta di congelare i beni destinatati a tali soggetti, o effettui operazioni (transazioni economiche, import-export, intermediazione, prestazioni di servizi, ecc.) vietate dalle sanzioni. In questo ambito rientra anche l’elusione delle misure con trasferimenti fittizi o documenti falsi. Pena: reclusione da 2 a 6 anni e la multa da 25.000 a 250.000 euro;

• Violazione di obblighi informativi (art. 275-ter c.p.): per la persona designata o il legale rappresentante dell’ente che omette di segnalare alle autorità (MEF, UIF, ecc.) i fondi e le risorse soggetti a congelamento. Pena: reclusione da 6 mesi a 2 anni e multa da 15.000 a 50.000 euro;

• Violazione delle condizioni di autorizzazione (art. 275-quater c.p.): ad esempio chi non rispetta le prescrizioni di un’autorizzazione (concessa in deroga alle restrizioni). Pena: da 2 a 5 anni di reclusione e multa da 25.000 a 150.000 euro;

• Violazione colposa del regime (art. 275-quinquies c.p.): riguarda soprattutto il trasferimento colposo di beni militari o dual-use. Pena: 6 mesi-3 anni e multa da 15.000 a 90.000 euro.

In tutti i casi, se il valore delle operazioni vietate è inferiore a 10.000 € al momento del fatto, la sanzione penale non si applica e rimane una multa amministrativa (compresa tra 15.000 e 90.000 € a seconda della fattispecie).

Responsabilità degli enti e sanzioni economiche

La vera rivoluzione riguarda però la responsabilità amministrativa degli enti (D.lgs. 231/2001). Con il nuovo decreto viene introdotto l’art. 25-octies.2 nel 231/2001: i reati previsti dal Capo I-bis (artt. 275-bis e seguenti) diventano reati presupposto per l’ente. Di conseguenza, le multe pecuniarie si calcolano in percentuale sul fatturato globale anziché in quote fisse. Nello specifico:

• Reati gravi (art. 275-bis, 275-quater) – sanzione dall’1% al 5% del fatturato annuo della società;

• Violazioni di obblighi informativi (art. 275-ter) – dallo 0,5% all’1% del fatturato;

• Se il fatturato non è determinabile, si applicano sanzioni forfettarie: da 3 a 40 milioni di euro (per reati gravi) e da 1 a 8 milioni (per altri reati).

Linee Guida EBA e adeguamenti interni

Sul fronte della compliance bancaria, la European Banking Authority (EBA) ha pubblicato nuove linee guida in materia di sanzioni (EBA/GL/2024/14 e GL/2024/15). Tale regolamentazione è entrata in vigore lo scorso semestre, il 30 dicembre 2025, e si applica in particolare a banche, imprese di investimento, IP, IMEL, e alle ulteriori categorie di intermediari previste dalla normativa di settore. Tali linee guida impongono un approccio strutturato e documentabile al rischio sanzionatorio. Tra le misure richieste figurano:

• Procedure di screening e verifica sui clienti, sui titolari effettivi e sulle controparti, da aggiornare costantemente in base alle liste UE;

• Monitoraggio continuo (anche giornaliero) di tutte le operazioni internazionali e dei trasferimenti di fondi, incluse criptovalute;

• Implementazione di un sistema di controllo interno che evidenzi immediatamente eventuali operazioni sospette (definendo tempistiche, ruoli e responsabilità);

• Nomina di un Senior Staff Member (SSF) dedicato alle politiche di compliance sanzionatorie;

• Formazione periodica del personale tracciata (ad. esempio tramite registri e questionari).

In sostanza, le banche devono avere regole formalizzate e controlli rafforzati (inclusi flussi di escalation interni chiari, con coinvolgimento diretto del top management) per prevenire violazioni anche involontarie.

Ruolo di UIF e autorità centrali
Nel nuovo schema assume rilievo anche l’UIF (Unità di Informazione Finanziaria) che con la Comunicazione del 7 maggio 2026 ha aggiornato gli operatori sui nuovi profili di rischio legati alle sanzioni UE.

Il documento richiama in particolare l’attenzione su schemi operativi elusivi già emersi nelle SOS 2024: ad esempio, triangolazioni di fondi tramite Paesi terzi non cooperativi o utilizzo di criptovalute (stablecoin) con conti virtuali (vIBAN) per occultare trasferimenti. Tali fattispecie possono celare violazioni delle restrizioni e, per questo, la UIF invita gli intermediari ad applicare “nuovi indicatori di rischio” nel proprio monitoraggio e a segnalare tempestivamente qualsiasi sospetto ai sensi delle norme AML.

La comunicazione introduce anche un codice analitico “V01 – Operatività connessa a violazione di misure restrittive UE” da utilizzare nelle segnalazioni SOS, nel portale Infostatat. In pratica, ogni banca o intermediario dovrà evidenziare separatamente le operazioni sospette in cui riconosce i profili di anomalia descritti (come triangolazioni, uso di stablecoin, vIBAN, ecc.) e fornire nella segnalazione dati completi sia soggettivi che oggettivi. Si evince, pertanto, che un medesimo episodio può attivare un duplice livello di attenzione investigativa: da un lato, una segnalazione SOS ai fini antiriciclaggio, dall’altro, una possibile contestazione per violazione delle misure restrittive dell’UE, con il conseguente coinvolgimento delle autorità competenti.

Il MEF resta invece l’autorità centrale nell’applicazione delle sanzioni UE, specialmente per quanto riguarda i congelamenti di fondi e risorse. Secondo la normativa italiana (d.lgs. 109/2007) il Comitato di Sicurezza Finanziaria (CSF), istituito presso il MEF, cura l’adozione di tutti i provvedimenti necessari per attuare le misure di congelamento disposte dall’ONU e dall’UE. Con il nuovo decreto legislativo di attuazione della direttiva UE, ogni violazione grave delle restrizioni finanziarie riscontrata in controlli bancari o amministrativi deve ora essere segnalata alle Procure competenti se può configurare un reato.

Impatti operativi e adeguamenti richiesti
Alla luce di quanto sopra, le organizzazioni devono intraprendere un chiaro percorso di cambiamento, che includa:

• un’analisi dei rischi (risk assessment) aggiornata alle nuove fattispecie sanzionatorie; la revisione e l’aggiornamento del Modello 231/2001 (inserendo le nuove fattispecie dell’art. 25-octies.2);

• la revisione dei protocolli di controllo e dei processi interni. È essenziale rafforzare la due diligence su clienti e fornitori (screening di liste sanzioni, verifica del beneficiario effettivo), nonché i controlli alle attività di import-export (consultazione delle disposizioni doganali UE e delle eventuali autorizzazioni necessarie);

• la sistematica tracciabilità delle verifiche effettuate ed un piano strutturato di formazione per il personale coinvolto.

Inoltre, le procedure di whistleblowing devono essere adeguate, poiché il D.lgs. 24/2023 estende le tutele anche alle segnalazioni di violazioni delle misure restrittive UE. In questo senso il Modello 231 deve prevedere canali interni di segnalazione conformi alla normativa (anonimato, riservatezza, anti-ritorsioni). Fondamentale è il coinvolgimento continuo della funzione compliance (o dell’Organismo di Vigilanza) nell’implementazione di questi controlli, nonché il supporto di consulenti esperti di diritto UE per validare le scelte operative.

Infine, sarà opportuno effettuare una gap analysis dei processi esistenti rispetto ai nuovi obblighi normativi, al fine di individuare tempestivamente eventuali aree critiche e definire i necessari interventi correttivi, anche con il supporto di consulenti esperti in materia di diritto UE e compliance sanzionatoria.