ANTI MONEY LAUNDERING AND COUNTER TERRORIST FINANCING POLICY

RUBENS LUCIANO S.P.A.
Version 8.11.2022

ITALIAN VERSION

INTRODUCTION

Rubens Luciano S.p.A. (hereinafter “RUBENS LUCIANO” or the “Company”), is a company operating in the design, fashion and creativity sector. The Company has launched a product and service tokenisation project which it intends to develop and market through a digital platform managed by the latter, as better described in the website onlyever.club (“OnlyEver”). The project consists in the development of an exclusive club that intends to merge physical and digital experiences and products in order to bring the users of a particular brand closer to its production company and its production processes. User engagement operates on several levels. Among these, a level connected to physical products provides for the involvement of users in the creation of collections of fashion, art and design products, limited in number, giving the same users the possibility, through the acquisition of tokens, based on the blockchain, to Ethereum, uniquely connected to these specific physical products (the “NFTs”) to acquire ownership of one or more of these collectibles, through a redemption process (“redeem”) from the digital token to the physical product. In addition to the above, the purchase of tokens may grant the user a various set of rights, diversified in consideration of the level of the token purchased. In particular, there are a series of access rights to experiences and events dedicated to those who buy brand tokens, as well as access to different memberships which grant different rights depending on the level of the token purchased

RUBENS LUCIANO offers its users the possibility to purchase NFTs both through legal tender currency (FIAT), through traditional payment methods (Paypal, VISA, Mastercard, etc.), and through cryptocurrency.

However, in no way does RUBENS LUCIANO store, exchange or sell cryptocurrency.

Any purchase of NFTs via cryptocurrency by users will take place solely and exclusively via an external third-party provider, duly authorized for the Crypto/FIAT currency exchange service in compliance with the relevant Italian legislation and registered in the special section of the exchange register kept by the Organism of Agents and Mediators (“OAM”), as provided for in art. 17-bis of Legislative Decree 13 August 2010, n. 141, and by the subsequent Decree of the Ministry of Economy and Finance of 13 January 2022.

Therefore RUBENS LUCIANO, within the scope of OnlyEver’s operations, does not in any way carry out virtual currency exchange activities and in any case does not carry out cryptocurrency conservation activities or facilitate the sale of the same.

Any and all responsibilities relating to the storage, sale, exchange of cryptocurrencies, including the obligations to identify the customer (KYC), the transaction (KYT) and the subsequent monitoring and reporting activity, shall be exclusively borne by the external party who carries out this activity, without any responsibility of RUBENS LUCIANO.

However RUBENS LUCIANO, in order to give complete and transparent information to the end user and in any case carrying out NFT sales activities which, although not in any way comparable to cryptocurrency, can be considered in all respects virtual assets that can be purchased through third parties also in cryptocurrency as described above, deems it appropriate to correctly inform the user, with this “AML POLICY”, regarding the risks and responsibilities resulting from the use of cryptocurrency in compliance with current anti-money laundering regulations.

The third party provider used by RUBENS LUCIANO for the sale through cryptocurrencies (hereinafter “VASP”) must identify, evaluate and understand the risks associated with money laundering and terrorist financing. Furthermore, the Company, beyond the legal obligations, reviews and examines each of its activities and applies measures to mitigate these risks.

The measures applied are proportionate to the degree of risk identified. During a risk-based approach, the VASP assesses the likelihood of risks becoming real and the consequences of such an event.

In assessing the likelihood, consideration must be given to the possibility of the relevant circumstances occurring, including the possibility of potential risks which could affect the businesses of both the client and the Company, and the possibilities that the occurrence of such events and risks would increase .

The VASP is required to prepare a risk assessment in order to identify, evaluate and analyze the risks associated with the activities of its clients relating to money laundering and terrorist financing and financial sanctions.

This model for the identification and management of risks relating to the customer and his activities is designed for the application of the obligations deriving from the Italian legislation (Legislative Decree 21 November 2007, n. 231 “Implementation of directive 2005/60/EC concerning the prevention of the use of the financial system for the purpose of money laundering and terrorist financing” and its updates) and in compliance with Directive (EU) 2018/1673 of the European Parliament and of the Council and includes:

• The model for the identification and management of risks deriving from the client and his activities and the determination of the client’s risk profile;
• The model for identifying and managing risks arising from VASP activities, including the process of identifying and managing risks related to new and available technologies and services and products, including new or non-traditional sales channels and new or technologies developing.

RISK CATEGORIES

The VASP examines and categorizes its customers according to the following three categories:

A – Low risk (1 risk point)

There are no influential risk factors in any risk category, the client itself and the client’s activities are transparent and do not deviate from the usual activities, i.e. the activities of a reasonable and average person, in that field of activity, and there is no any suspicion that the risk factors taken together could lead to the realization of the risk of money laundering or terrorist financing.

B – Usual risk (2 risk points)

In the risk category there are one or more risk factors which deviate from the usual activities of a person acting in that field of activity, but the activity is still transparent and there is no suspicion that the risk factors taken together could lead to the realization of risk of money laundering or terrorist financing.

C – High risk (3 risk points)

There are one or more risk factors that can lead to a reduction in transparency in relation to the customer and its activities and in general to corporate transparency, which causes the customer to deviate from the people who normally act in that field of activity and it is at least possible that there is money laundering or terrorist financing going on. As part of the continuous monitoring activity, the VASP carries out all the due diligence measures required by the Italian regulatory authorities. The extent to which the measures are implemented depends on the nature of the specific business relationship or transaction or the level of risk of the person or client participating in the transaction or act, i.e. the principle “know your client “. In determining and defining the risk levels of the client or a person who participates in the transaction, the VASP must take into account, among others, the following risk categories:

1. CUSTOMER RISKS

1.1 RISKS ASSOCIATED WITH THE LEGAL NATURE OF THE CUSTOMER AND THE IDENTIFICATION OF THE BENEFICIARIES AND BENEFICIAL OWNERSHIP

A. Low risk is when the client is:

• Company listed on a regulated market, subject to disclosure obligations which establish requirements aimed at guaranteeing sufficient transparency towards the beneficial owner;
• A legal person governed by public law established in the EU/EEA;
• A governmental authority or other authority performing public functions in a contracting state of the European Economic Area;
• An institution of the European Union;
• A credit institution or financial institution acting on its own behalf or a credit institution or financial institution located in a contracting state of the European Economic Area or in a third country, which in its country of location is subject to requirements equal to those established in Directive (EU) 2015/849 of the European Parliament and of the Council and subject to state supervision;

B. Risk is ordinary is when the client is:

• A natural person;
• Company with solid and transparent structure and data of administrative bodies and beneficial owners not listed on a market;
• A non-profit association;

C. High risk is when:

• The beneficial owner of the physical person is a third person;
• The client is a legal entity of any form whose structure of management bodies and/or beneficial owners is confused and the relevant data is verified on the basis of the declaration of the client’s representative and/or internal or non-public documents provided by the client ;
• The client company, or company related to the client, has shareholders who act as bearer shares;
• The ownership structure of the client company appears, if one considers the company’s activities, unusual or too complicated;
• The client is a foundation, civil law company, trust or mutual fund;
• The customer is a person registered in a low tax territory. The list of countries not considered a low tax territory will be defined in the FATF Recommendations.
• The client is subject to sanctions from the European Union or the UN, the list of which can be consulted on the home page of a Financial Intelligence Unit.

1.2 RISK RELATED TO THE COUNTRIES OR GEOGRAPHIC TERRITORIES OR JURISDICTIONS

A. Low risk is when:

• The customer is from or their place of residence or location (hereinafter location);
• The location of the customer is in another country of the European Union or the European Economic Area;
• The location of the customer is in a third equivalent country which is provided by the common position adopted by the European Union, which include Australia, Brazil, Canada, Hong Kong, India, Japan, South Korea, Mexico, Singapore, Switzerland, the Republic of South Africa, USA;

B. Usual risk is when the location of the customer is in a third country not listed above, excluding a third high-risk country;

C. High risk is considered in circumstances where the risk is primarily increased in such an event where the customer, person participating in a transaction or the transaction itself is related to a country or jurisdiction which, based on the trustworthy sources in the country like mutual assessments, detailed assessment reports or published follow-up reports, has no valid and efficient systems of the prevention of money laundering and terrorist financing. According to the Commission Delegated Regulation (EU) 2016/1675 (Appendix 13), the third high-risk countries include Afghanistan, Bosnia and Herzegovina, Guyana, Iraq, Lao PDR, Syria, Uganda, Vanuatu, Yemen, Iran, and DPR Korea. The list of countries as determined by the FATF belonging to third high-risk countries is disclosed on the following webpage: http://www.fatf-gafi.org/countries/#high-risk. Additionally, the following countries or jurisdictions indicate of a high risk customer, person participating in a transaction or transaction itself:

• That, according to credible sources, have significant levels of corruption or other criminal activity. To assess this, the data of annual Corruption Perceptions Index (CPI), published by the Transparency International (TI), is used and high risk is indicated by the CPI result of 39 or lower.
• That are subject to sanctions, embargos or similar measures issued by, for example, the European Union or the United Nations. The list of EU sanctions for countries is available online: https://sanctionsmap.eu; the list of UN sanctions is available online https://www.un.org/sc/suborg/en/sanctions/un-sc-consolidated-list;
• That provide funding or support for terrorist activities. These countries include DPR Korea, Syria, Sudan and Iran and they are primarily defined by the data of the United States State Department which is available online https://www.state.gov/j/ct/list/c14151.htm;
• That have designated terrorist organizations operating within their territory, as identified by the European Union or the United Nations. These countries primarily include Syria, Iraq, Libya, Sudan, Somalia, Nigeria, Pakistan, India, Lebanon, Palestine, Sri Lanka, Philippines, Tajikistan, Uzbekistan, Yemen.

1.3 RISK RELATED TO CUSTOMER’S ACTIVITY AND TO PROVIDED PRODUCTS OR SERVICES

A. Low risk is when the customer is a person performing usual and normal economic and professional activities and the turnover of the financial instruments of the customer, or the planned turnover of the financial instruments, is significantly small and does not exceed 40.000 euros per one year;

B. Usual risk is when the customer is a person performing usual and normal economic and professional activities and the turnover of the financial instruments of the customer, or the planned turnover of the financial instruments, exceeds 40.000 euros per one year;

C. High risk is when the business relationship takes place under unusual circumstances, including when the transactions are complicated and have unusually large scale, when the transaction patterns are unusual, or when the customer is a legal entity or another association of persons that does not have the status of a legal entity, if their economic activity does not have a reasonable and clear economic or lawful objective or it is not characteristic of a specific business field or if the customer’s activity includes any of the following, regardless of the amount of the turnover:

• Private or personal banking;
• Providing or intermediating a product or service which may promote anonymity;
• Personal asset holding;
• Undertaking handling large amounts of cash;
• Currency exchange, conversion transactions;
• Providing a service of exchanging a virtual currency against a fiat currency or a virtual currency wallet service;
• Providing gambling services (in a casino, on the internet or at sports events);
• Purchasing and selling gold (incl. scrap gold), other precious metals or gemstones;
• Purchasing and selling luxury goods;
• Providing internet advertising;
• Providing innovative services;
• Establishing, selling and managing companies;
• Other activities with a higher than usual risk of money laundering or terrorist financing;
• Customer is providing services via untraditional sales channels;
• There is a constant change of customers;
• The person’s customer base has grown rapidly;

1.4 RISK RELATED TO BILLING AND TRANSACTIONS

A. Low risk is when:

• A long-term contract is entered into with the customer that is in a written or electronic format or in a format that can be reproduced in writing;
• The client receives payments within the scope of the business relationship only via an account located in a credit institution entered in the Commercial Register in his domiciled state (EU/EEA) or in a branch of a foreign credit institution or in a credit institution that has been established or whose place of business is in a contracting state of the European Economic Area or in a state where requirements equal to those established in the Directive (ELU) 2015/849 of the European Parliament and of the Council are implemented;
• The total value of the incoming or outgoing payments of transactions made in the business relationship does not exceed 15.000 euros per year.

B. Usual risk is when the customer uses the following during transactions with the Company

• A limited amount of cash that does not exceed 32.000 euros or the equal amount in another currency, regardless of whether the transaction is made as one payment or as several connected payments within a period of up to one year;
• A credit institution, financial institution, payment institution or a payment system that is not located in a high-risk third country or promoting anonymity and that is, according to its own experience or independent sources, reliable, and performs controls against money laundering and terrorist financing;

C. High risk is when the customer uses the following during transactions with the Company:

• Credit institution, financial institution, paying institution or tax system that promotes anonymity;
• Credit institution, financial institution, paying institution or tax system that is located in a high-risk third country;
• Settlement channels and accounts belonging to unknown or unrelated third persons;
• Settlement channels and accounts belonging to third persons who are unknown or unrelated;
• Large amounts of cash that exceeds 32.000 euros or the equivalent sum in another currency, regardless of whether the transaction is made as one payment or as several connected payments within a period of up to one year;

1.5 RISK ARISING FROM POLITICALLY EXPOSED PERSON

A. Low risk is when the customer is not a politically exposed person, the family member of the politically exposed person or a person known to be the close associate of the customer who is a politically exposed person;

B. Usual risk is when the customer is a politically exposed person, the family member of the politically exposed person or a person known to be the close associate of the customer. In such a case, the due diligence measures provided for in Italian Regulations are applied in addition to the usual due diligence measures. The background of the customer is verified primarily by:

• The customer providing the information and their statement;
• Using the Google search engine, searching by the Latin name of the customer with their birth date;

C. High risk is when the customer is a politically exposed person, the family member of the politically exposed person or a person known to be the close associate of the customer. In such a case, the due diligence measures provided for in Italian Regulations are applied in addition to the usual due diligence measures. The background of the customer is verified primarily by:

• The information and statements received from the customer;
• Using the NameScan database at: https://namescan.io/FreePEPCheck.aspx, which is open access, and, if possible, any of the paid databases (e.g. Thomson Reuters, MemberCheck etc.);
• Using Google and the local search engine of the customer’s country of origin, if any, by entering the customer’s name in both Latin and local alphabet with the customer’s date of birth.
• Using the local politically exposed persons database, if it exists.

1.6 RISK RELATED TO IDENTIFICATION OF CUSTOMER

A. Low risk is when:

• The natural person who is the resident of the EU/ EEA is identified face-to-face on the basis of documents provided for in Italian Regulations.
• The customer who is a legal entity entered in the commercial register of a state of the EU/ EEA, or the register of non-profit associations and foundations, is identified on the basis of original documents provided for in Italian Regulations or on the basis of the public information of the commercial register, or the register of non-profit associations and foundations face-to-face with the customer or the representative of the customer by identifying the representative on the basis of documents provided for in Italian Regulations, and in the case of an authorized person, on the basis of a notarized or equivalent document certifying their authority, which has been legalized or certified by a certificate (apostille) replacing legalization, unless otherwise provided for in an international agreement.

B. Usual risk is when:

• The foreign natural person customer is identified face-to-face on the basis of documents provided.
• The foreign customer who is a legal entity is identified on the basis of original documents provided or on the basis of the public information of the commercial register, or the register of non-profit associations and foundations face-to-face with the customer or the representative of the customer by identifying the representative on the basis of documents.
• The identity of a natural person or legal entity is verified by a notarised or officially certified copy of the documents.

C. High risk is when:

• During establishing the identity or verifying the information provided, suspicion has arisen as to the reality of the information provided or the authenticity of the documents or the identification of the beneficial owner;
• A business relationship or transaction that is established or initiated in a manner whereby the customer, the customer’s representative or party to the transaction is not met physically in the same place.
• The person is identified on the basis of other information originating from a credible and independent source, including means of electronic identification and trust services for electronic transactions, thereby using at least two different sources for verification of data in such an event.
• The representative of the customer is a legal entity.

1.7 RISK RELATED TO CHANNELS OF COMMUNICATION OR TRANSMISSION BETWEEN THE COMPANY AND THE CUSTOMER

A. Low risk is when:

• The customer is communicated through a communication or mediation channel that is agreed upon at the start of the business relationship or transaction or reliably changed during the course of the business relationship;
• Products or services are delivered to the customer through a reliably modified delivery channel during the business relationship or at the initiative of the transaction.

B. Usual risk is when:

• At the start of the business relationship or transaction, the customer is communicated with through a temporary communication or mediation channel;
• The products or services are delivered to the customer through another temporary product or service delivery channel transmitted through an agreed communication or intermediation channel initiated by the business relationship or transaction.

C. High risk is when:

• The customer is communicated through an accidental, unreliable or unusual communication or mediation channel;
• Products or services are delivered to the customer through an accidental, unreliable or unusual delivery channel;
• The existence and nature of a risk factor associated with the service provider used to deliver the service or product being sold;
• The distance between the location of the customer and the service provided or product offered is significantly high;

Taking into account the above risk categories, VASP determines the risk level of the person involved in the transaction or the customer, for example whether the customer’s money laundering or terrorist financing risk is low, normal or high or corresponds to other risk levels specified and used by the Company.

In order to determine the impact of each risk category, VASP assesses the probability of the occurrence of risk factors in that risk category. To determine the impact of a particular risk category, a qualifying amount of the presence of risk factors that characterize it can be used to consider a particular risk factor as having “impact” or “no impact” for a given person when a certain threshold is exceeded.

Instructions for defining low level of risk:

• Generally, the customer’s level of risk is low if there is no influential risk factor in any of the risk categories so it can be concluded that the customer and their activities do not have different characteristics from normal and transparent activities, and there is no doubt that the customer’s activities may increase money laundering and terrorism financing.
• In the situations where due diligence is required by legal acts, and the information about the customer and its beneficial owner is publicly available, where the person’s activities and transactions are consistent with their usual economic activity and do not differ from other similar customers’ payments practices and behavior, or where there are quantitative or other absolute restrictions, the Company may consider the customer ‘s expected risk of money laundering or terrorist financing to be low.
• In the situation where at least one risk category qualifies as high, the risk of money laundering or terrorist financing cannot generally be low. On the contrary, low risk does not necessarily mean that the customer’s activities cannot be linked to money laundering or terrorist financing.
• If the risk arising from the business relationship, the customer or the party to the transaction or the transaction is low, based on the risk levels assigned to the party or customer and other conditions provided for in AML EU and Italian Regulations are met, the Company may apply simplified due diligence measures.

Instructions for defining high level of risk:

• Generally, the customer’s risk level can be considered high if, when assessing the risk categories as a whole, there is a suspicion that the customer’s activities are not usual or transparent, incl. there are influential risk factors and it can be assumed the risk of money laundering or terrorist financing is high or significantly increased. The customer’s risk level is also high if it is indicated by some separate feature of the risk factor. However, high risk does not necessarily mean that the customer is engaged in money laundering or terrorist financing.
• If the Company considers the risk of the customer or the person involved in the transaction to be high, the Company must apply enhanced due diligence measures in order to properly manage the respective risks. The due diligence measures must be applied in accordance with the provisions of the Italian Regulations.

The VASP shall document, update and disclose the determination of the level of risk to the competent authorities if necessary.

Company’s services are primarily related to the handling and storage of currencies ​​presented in a digital form. The provision of a service of exchanging a virtual currency against a different virtual currency and a virtual currency wallet service primarily requires the use of new and evolving technologies, which may involve the implementation of new or non-traditional sales channels within the economic activities of the Company.

The vast majority of virtual currencies are comprised of different cryptocurrencies and related tokens, built on a new and rapidly evolving blockchain technology and a distributed database that is updated through a mathematical consensus algorithm.

This assessment is mainly the result of the following factors:

1. Blockchain technology is new and evolving, so the mechanisms and algorithms for its occurrence, existence, transfer and trading are not constant and may be too complex to understand. This encourages the involvement and use of virtual currencies, including cryptocurrency, in various fraudulent schemes and scams;
2. Blockchain technology promotes anonymity (cryptocurrency wallet addresses are not personalized and exist usually in large quantities), which may involve the use of virtual currencies, including cryptocurrency, in money laundering, tax evasion, terrorist financing or criminal schemes;
3. Blockchain technology is based on a P2P network and is not regulated by any central organizations which may facilitate the manipulation of the value of virtual currencies, including cryptocurrency.

This risk analysis, risk mitigation method and the definition of risk appetite defined by VASP as a provider of service of exchanging a crypto-asset against a fiat or crypto currency and a virtual currency wallet service have been prepared in order to fulfil the obligation arising from the Italian Regulations in view of the general risk associated with the Company’s activities.

The VASP is obliged to inform the employees of the company on an ongoing basis about changes in the risk assessment arising from the Company’s activities and changes in the company’s long-term and short-term doctrine and separate viewpoints and instructions (according to the market situation, the political and economic situation, the arrangements of the supervisory authorities, etc) in order to comply with the provisions of EU and Italian Regulations. This information and these notices do not necessarily have to be in the form of appendices to these guidelines and may be provided at meetings, through the heads of structural units, via e-mail or orally, but regardless of the method of transmission, it is mandatory to comply with and follow this information and these notices.

2. RISK RELATED TO ACTIVITIES OF THE COMPANY AND NATURE OF SERVICES PROVIDED

The following lists the risk factors and circumstances related to the customer’s degree of risk arising from the nature and volume of services provided by VASP to the customer.

A. Low risk is when:

• VASP sells any crypto-asset to the customer and the customer pays for it through a payment account located in a credit institution, electronic money institution or payment institution established in the EU.
• VASP provides the customer with a crypto-asset wallet service and the customer keeps in VASP’s crypto-asset wallet his/her own crypto-assets, which was purchased from the Company does not transfer these virtual currencies to third parties or receive virtual currency transfers from third parties;
• The total value of incoming or outgoing payments for business transactions does not exceed 15.000 euros per year.

B. Usual risk is when:

• VASP sells any virtual currency to the customer and the customer pays for it through a payment account located in a credit institution, electronic money institution or payment institution established in in a contractual state of the European Economic Area.
• VASP provides the customer with a crypto-asset wallet service and the customer keeps their crypto-assets in the crypto-asset wallet and makes crypto-assets transfers to external crypto-asset wallets opened in an institution subject to requirements equivalent to Italian Regulations;
• The total amount of incoming or outgoing payments related to business transactions or service contract in one calendar month does not exceed 15.000 euros for a natural person and 25.000 euros for a legal entity.

C. High risk is when:

• VASP sells any crypto-asset to the customer and the customer pays for it through a payment account located in a credit institution, electronic money institution or payment institution established outside of a contractual state of the European Economic Area.
• VASP provides the customer with a crypto-asset wallet service and the customer keeps their crypto-assets in the wallet and transfers virtual currencies to crypto-asset wallets opened in an institution for which no requirements equivalent to Italian Regulations have been established;
• VASP provides the customer with a crypto-asset wallet service and the customer keeps the crypto-asset of third parties in the crypto-assets wallet;
• The total amount of incoming or outgoing payments related to business transactions or service contract in one calendar month exceeds 15.000 euros for a natural person and 25.000 euros for a legal entity.

 3. MITIGATION OF RISKS

Given that money laundering, terrorist financing and support for criminal activities generally has a cause and is effective when dealing with larger amounts of money than usual, VASP shall, in addition to the due diligence measures set out in these guidelines, impose the following restrictions on the volume of business transactions:

• If the results of a customer risk analysis allows for the application of simplified customer due diligence measures, they may be applied to a customer whose total value of incoming or outgoing payments does not exceed 1.000 euros per year, and the value of monthly payments does not exceed 500 euros;
• If the results of a customer risk analysis allows for the application of usual customer due diligence measures, they may be applied to a customer whose total value of incoming or outgoing payments does not exceed 15.000 euros per year, and the value of monthly payments does not exceed 5.000 euros;
• If the total value of incoming or outgoing payments in the course of a customer’s business relationship exceeds 15.000 euros per year, that customer shall always be subject to enhanced due diligence measures.
• If the total value of incoming or outgoing payments in the course of a customer’s business relationship exceeds 100.000 euros per year, VASP’s compliance officer shall decide on the establishment or continuation of this customer’s business relationship.

4. RISK APPETITE

VASP shall not enter into business relations with persons who are prohibited by these guidelines and its appendices or laws and/or who are suspected by the Company of using the its services for money laundering, tax evasion, terrorist financing or criminal schemes, but shall not create additional barriers to the use of services by customers for whom there are no such doubts.

VASP shall avoid business relations in particular with the following categories of customers:

• It is not possible to identify the customer;
• It is not possible to apply the due diligence measures arising from Italian Regulations to the customer for any reason;
• The customer is located in a high-risk third country as referred to in Directive (EU) 2018/1673 of the European Parliament and of the Council;
• The customer is a subject of the European Union or UN sanctions;
• The customer is a legal entity of any form whose structure of the management bodies and/or beneficial owners is confusing and the relevant data cannot be verified, including on the basis of the statement of the customer’s representative and/or internal or non-public documents provided by the customer;
• The customer has previously been convicted of money laundering, tax evasion, terrorist financing or criminal activities that may be directly or indirectly linked to virtual currencies or is under criminal proceedings and the Company has information in this regard.

5. CUSTOMER IDENTIFICATION SPECIFICATIONS

VASP has established numerous measures in order to identify the identity of a customer, in addition to the provisions provided for in Italian Regulations which require meeting the customer face-to-face, in such a way that enables identification of the customer without being in the same place. In such a case, the customer shall deliver the original identity document to VASP in the form that is authenticated by a notary or certified by a notary or officially.

Alternatively, the possibility provided for Italian Regulations shall be used to identify the customer on the basis of other information originating from a credible and independent source, including means of electronic identification and trust services for electronic transactions, thereby using at least two different sources for verification of data in such an event.

VASP shall mainly use two sources from the following list:

• The customer shall be interviewed by means of an information technology device established and implemented by the Company or a third part supplier which is secure and does not allow data processing and which allows the transmission of a synchronized audio and video stream, in which the customer demonstrates their identity document and face in such a way that all the data is legible and a high quality photograph of the customer’s document and face can be taken. The aforementioned interview and the photos taken are recorded and kept under the conditions set forth by the provisions of EU and Italian Regulations;
• The customer makes a trial payment (for example in the amount of 1 euro) to the Company’s account from an account located in a credit institution registered in the EU/ EEA or a branch of a foreign credit institution that is established or the seat of which is in a contracting state of the European Economic Area or in a country applying requirements equivalent to the Directive (EU) 2018/1673 of the European Parliament and of the Council;
• The customer shall transmit to the Company, through an information technology device established and put into use by it which is secure and does not allow data processing, images of their identity document and face in such a way that all the data is legible and a high quality photograph of the customer’s document and face can be taken. The aforementioned photos taken are recorded and kept under the conditions set forth by the provisions of EU and Italian Regulations;
• The customer delivers to the Company in a digital form a picture of the customer’s rent, utilities, gas, electricity, telephone or internet bill that has been paid for, through which it is possible to identify the customer’s personal data along with the address of residence;
• The customer delivers to the Company in a digital form a statement of their bank account, which is confirmed by the bank and from which the customer’s personal data with the address of residence can be seen;

The procedures containing additional details for the customer identification based on the information from other reliable and independent sources shall be established in the rules of procedure.

---

POLICY IN MATERIA DI ANTI-RICICLAGGIO E CONTRO IL FINANZIAMENTO PER FINALITA’ TERRORISTICHE

RUBENS LUCIANO S.P.A.
Versione 8.11.2022

VERSIONE INGLESE

INTRODUZIONE

Rubens Luciano S.p.A. (qui di seguito “RUBENS LUCIANO” o la “Società“), è una società operativa nel settore del design, della moda e della creatività. La Società ha avviato un progetto di tokenizzazione di prodotti e servizi che intende sviluppare e commercializzare attraverso una piattaforma digitale da quest’ultima gestita di cui al sito internet onlyever.club (“OnlyEver”). Il progetto consiste nello sviluppo di un club esclusivo che intende fondere esperienze e prodotti fisici e digitali al fine di avvicinare gli utenti di un determinato brand alla sua casa di produzione ed ai suoi processi produttivi. Il coinvolgimento degli utenti opera su diversi livelli. Tra questi, un livello connesso ai prodotti fisici, prevede il coinvolgimento degli utenti nella creazione di collezioni di prodotti di moda, arte e design, limitati nel numero, conferendo agli stessi utenti la possibilità, tramite l’acquisizione di token, basati sulla blockchain di Ethereum, univocamente connessi a tali specifici prodotti fisici (gli “NFT”) di acquisire la titolarità di uno o più di tali collezionabili, attraverso un processo di riscatto (“redeem”) dal token digitale al prodotto fisico. Oltre a quanto sopra, l’acquisto dei token potrà conferire all’utente una svariata serie di diritti, diversificati in considerazione del livello del token acquistato. Sono previsti, in particolare, una serie di diritti di accesso ad esperienze ed eventi dedicati a coloro che acquistano i token del brand, nonché l’accesso a differenti membership che conferiscono diversi diritti a seconda del livello del token acquistato

RUBENS LUCIANO offre ai suoi utenti la possibilità di acquistare gli NFT sia tramite valuta avente corso legale (FIAT), tramite i tradizionali metodi di pagamento (Paypal, VISA, Mastercard, ecc.), sia tramite criptovaluta.

Tuttavia in alcun modo RUBENS LUCIANO conserva, scambia o vende criptovaluta.

L’eventuale acquisto degli NFT tramite criptovaluta da parte degli utenti avverrà solo ed esclusivamente tramite provider terzo esterno, abilitato regolarmente al servizio di scambio valuta Cripto/FIAT nel rispetto della normativa italiana in materia e iscritto alla sezione speciale del registro dei cambiavalute tenuto dall’Organismo Agenti e Mediatori (“OAM”), così come previsto all’art. 17-bis del D. Lgs. 13 agosto 2010, n. 141, e dal successivo Decreto del Ministero dell’Economia e delle Finanze del 13 gennaio 2022.

Pertanto RUBENS LUCIANO, nell’ambito della operatività di OnlyEver non svolge in alcun modo attività di cambiavalute virtuali e comunque non svolge attività di conservazione di criptovalute o agevola la vendita delle stesse.

Ogni e qualunque responsabilità inerente la conservazione, vendita, scambio di criptovalute, inclusi gli obblighi di identificazione del cliente (KYC), della transazione (KYT) e di conseguente monitoraggio e segnalazione, incombono pertanto sul soggetto esterno che svolge tale attività, senza che possa essere addebitata alcuna responsabilità in capo a RUBENS LUCIANO.

Tuttavia RUBENS LUCIANO, al fine di dare una completa informativa all’utente finale e effettuando comunque attività di vendita di NFT che, pur non essendo in alcun modo equiparabili a criptovaluta, possono essere considerati a tutti gli effetti asset virtuali acquistabili tramite terzi anche in criptovaluta come sopra descritto, ritiene comunque opportuno, informare correttamente l’utente, con la presente “AML POLICY”, in merito ai rischi e alle responsabilità conseguenti l’utilizzo di criptovaluta nel rispetto delle normative vigenti in materia di anti-riciclaggio.

Il provider terzo di cui si avvale RUBENS LUCIANO per la vendita tramite criptovalute (di seguito “VASP”) deve identificare, valutare e comprendere i rischi legati al riciclaggio di denaro e al finanziamento del terrorismo. Inoltre, la Società, al di là degli obblighi di legge, riesamina ed esamina ciascuna delle sue attività e applica misure per mitigare tali rischi.

Le misure applicate sono proporzionate al grado di rischio individuato. Nel corso di un approccio basato sul rischio, il VASP valuta la probabilità che i rischi diventino reali e le conseguenze di un tale evento.

Nel valutare la probabilità, deve essere presa in considerazione la possibilità che si verifichino le circostanze rilevanti, inclusa la possibilità di potenziali rischi che possono incidere sulle attività sia del cliente che della Società, e le possibilità che l’avverarsi di tali eventi e rischi aumentino.

Il VASP è tenuto a predisporre una valutazione dei rischi al fine di identificare, valutare e analizzare i rischi connessi all’attività dei propri clienti in materia di riciclaggio di denaro e finanziamento del terrorismo e sanzioni finanziarie.

Questo modello per l’identificazione e la gestione dei rischi relativi al cliente e alle sue attività è predisposto per l’applicazione degli obblighi derivanti dalla normativa italiana (D.lgs 21 novembre 2007, n. 231 “Attuazione della direttiva 2005/60/CE concernente la prevenzione dell’ utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo” e suoi aggiornamenti) e in conformità alla Direttiva (UE) 2018/1673 del Parlamento Europeo e del Consiglio e comprende:

• Il modello per l’identificazione e la gestione dei rischi derivanti dal cliente e dalle sue attività e la determinazione del profilo di rischio del cliente;
• Il modello per l’identificazione e la gestione dei rischi derivanti dalle attività del VASP, inclusa la procedura di identificazione e gestione dei rischi relativi a tecnologie e servizi e prodotti nuovi e disponibili, inclusi canali di vendita nuovi o non tradizionali e nuovi o tecnologie in via di sviluppo.

CATEGORIE DI RISCHIO

Il VASP esamina e classifica i propri clienti in base alle seguenti tre categorie:

A – Basso rischio (1 punto di rischio)

Non esistono fattori di rischio influenti in nessuna categoria di rischio, il cliente stesso e le attività del cliente sono trasparenti e non si discostano dalle attività abituali, ovvero le attività di una persona ragionevole e media, in quel campo di attività, e non vi è alcun sospetto che i fattori di rischio nel loro insieme potrebbero portare alla realizzazione del rischio di riciclaggio o finanziamento del terrorismo.

B – Rischio usuale (2 punti di rischio)

Nella categoria di rischio esistono uno o più fattori di rischio che si discostano dalle attività abituali di una persona che agisce in quel campo di attività, ma l’attività è ancora trasparente e non vi è alcun sospetto che i fattori di rischio nel loro insieme possano portare alla realizzazione di rischio di riciclaggio di denaro o finanziamento del terrorismo.

C – Alto rischio (3 punti di rischio)

Esistono uno o più fattori di rischio che possono determinare una riduzione della trasparenza in relazione al cliente e alle sue attività e in generale alla trasparenza aziendale, il che fa sì che il cliente si possa discostare dalle persone che normalmente agiscono in quel campo di attività ed è almeno possibile che sia in corso il riciclaggio di denaro o il finanziamento del terrorismo. Nell’ambito della continua attività di monitoraggio, il VASP svolge tutte le misure di due diligence richieste dalle autorità di regolamentazione italiane. L’entità dell’attuazione delle misure dipende dalla natura della specifica relazione commerciale o transazione o dal livello di rischio della persona o del cliente che partecipa alla transazione o all’atto, vale a dire che deve essere seguito il principio “conosci il tuo cliente”. Nel determinare e definire i livelli di rischio del cliente o di una persona che partecipa all’operazione, il VASP deve tenere conto, tra l’altro, delle seguenti categorie di rischio:

1. RISCHI RELATIVI AL CLIENTE

1.1 RISCHI CONNESSI ALLE CARATTERISTICHE LEGALI DEL CLIENTE E ALL’IDENTIFICAZIONE DEI BENEFICIARI ED EFFETTIVI TITOLARI

A. Il rischio basso è quando il cliente è:

• Società quotata in un mercato regolamentato, soggetta ad obblighi di informativa che stabiliscono requisiti atti a garantire una sufficiente trasparenza nei confronti del titolare effettivo;
• Una persona giuridica di diritto pubblico con sede nell’UE/SEE;
• Un’autorità governativa o un’altra autorità che svolge funzioni pubbliche in uno stato contraente dello Spazio economico europeo;
• Un’istituzione dell’Unione Europea;
• Un istituto di credito o un istituto finanziario che agisce per proprio conto o un istituto di credito o un istituto finanziario situato in uno stato contraente dello Spazio economico europeo o in un paese terzo, che nel suo paese di ubicazione è soggetto a requisiti pari a quelli stabiliti nella Direttiva (UE) 2015/849 del Parlamento Europeo e del Consiglio e soggetti a vigilanza statale;

B. Il rischio è ordinario è quando il cliente è:

• Una persona fisica;
• Società con struttura e dati solidi e trasparenti degli organi di amministrazione e dei titolari effettivi non quotati in un mercato;
• Un’associazione senza scopo di lucro;

C. Alto rischio è quando:

• Il titolare effettivo della persona fisica è una terza persona;
• Il cliente è una persona giuridica di qualsiasi forma la cui struttura degli organi di gestione e/o dei titolari effettivi è confusa e i dati rilevanti sono verificati sulla base della dichiarazione del rappresentante del cliente e/o di documenti interni o non pubblici forniti dalla cliente;
• La società cliente, o la società collegata al cliente, ha azionisti che agiscono come azioni al portatore;
• L’assetto proprietario dell’azienda cliente appare, se si considerano le attività dell’azienda, insolito o troppo complicato;
• Il cliente è una fondazione, una società di diritto civile, un trust o un fondo comune;
• Il cliente è una persona registrata in un territorio a tassazione ridotta. L’elenco dei paesi non considerati un territorio a tassazione ridotta sarà definito nelle Raccomandazioni del GAFI.
• Il cliente è soggetto a sanzioni dell’Unione Europea o dell’ONU, il cui elenco è consultabile nella home page di un’Unità di Informazione Finanziaria.

1.2 RISCHI RELATIVI AI PAESI O TERRITORI O GIURISDIZIONI

A. Basso rischio è quando:

• Il cliente è originario o suo luogo di residenza o ubicazione (di seguito località); La sede del cliente è in un altro paese dell’Unione Europea o dello Spazio Economico Europeo;
• La sede del cliente è in un Paese terzo equivalente, come previsto dalla posizione comune adottata dall’Unione Europea, che comprende Australia, Brasile, Canada, Hong Kong, India, Giappone, Corea del Sud, Messico, Singapore, Svizzera, Repubblica del Sud Africa, USA

B. Il rischio abituale è quando la sede del cliente si trova in un paese terzo non elencato sopra, escluso un paese terzo ad alto rischio.

C. L’alto rischio è considerato in circostanze in cui il rischio è incrementato in maniera rilevante, in conseguenza del fatto che il cliente, la persona che partecipa a una transazione o la transazione stessa sia correlato a un paese o giurisdizione che, sulla base di fonti affidabili nel paese, come attenta e prudente valutazione, anche sulla base dei rapporti di valutazione dettagliati o di follow-up pubblici, non dispone di sistemi validi ed efficienti di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo.

Secondo il regolamento delegato (UE) 2016/1675 della Commissione (appendice 13), i terzi paesi ad alto rischio includono Afghanistan, Bosnia ed Erzegovina, Guyana, Iraq, Laos, Siria, Uganda, Vanuatu, Yemen, Iran e DPR Korea .

L’elenco dei paesi come determinato dal GAFI appartenenti a paesi terzi ad alto rischio è pubblicato alla seguente pagina web: http://www.fatf-gafi.org/countries/#high-risk.

Inoltre, i seguenti paesi o giurisdizioni indicano un cliente ad alto rischio, una persona che partecipa a una transazione o transazione stessa:

• Che, secondo fonti attendibili, presentino livelli significativi di corruzione o altra attività criminale. Per valutare ciò, vengono utilizzati i dati del Corruption Perceptions Index (CPI) annuale pubblicato da Transparency International (TI) e il rischio elevato è indicato dal risultato CPI pari a 39 o inferiore.
• Che siano soggetti a sanzioni, embarghi o misure simili emanate, ad esempio, dall’Unione Europea o dalle Nazioni Unite. L’elenco delle sanzioni dell’UE per i paesi è disponibile online: https://sanctionsmap.eu; l’elenco delle sanzioni ONU è disponibile online https://www.un.org/sc/suborg/en/sanctions/un-sc-consolidated-list;
• Che forniscono finanziamenti o supporto per attività terroristiche. Questi paesi includono DPR Korea, Siria, Sudan e Iran e sono definiti principalmente dai dati del Dipartimento di Stato degli Stati Uniti, disponibili online https://www.state.gov/j/ct/list/c14151.htm;
• Che abbiano designato organizzazioni terroristiche operanti nel loro territorio, come individuate dall’Unione Europea o dalle Nazioni Unite. Questi paesi includono principalmente Siria, Iraq, Libia, Sudan, Somalia, Nigeria, Pakistan, India, Libano, Palestina, Sri Lanka, Filippine, Tagikistan, Uzbekistan, Yemen.

1.3 RISCHI RELATIVI AD ATTIVITA’ DI CLIENTI E A PRODOTTI E SERVIZI FORNITI

A. Basso rischio si ha quando il cliente è una persona che svolge attività economiche e professionali abituali e normali e il fatturato degli strumenti finanziari del cliente, o il fatturato previsto degli strumenti finanziari, è significativamente ridotto e non supera i 40.000 euro l’uno anno;

B. Il rischio abituale è quando il cliente è una persona che svolge attività economiche e professionali abituali e normali e il fatturato degli strumenti finanziari del cliente, o il fatturato previsto degli strumenti finanziari, supera i 40.000 euro annui;

C. Alto rischio è quando il rapporto d’affari ha luogo in circostanze insolite, anche quando le operazioni sono complicate e hanno dimensioni insolitamente grandi, quando i modelli di transazione sono insoliti o quando il cliente è una persona giuridica o un’altra associazione di persone che non hanno lo status di persona giuridica, se la loro attività economica non ha un obiettivo economico o legittimo ragionevole e chiaro o non è caratteristica di uno specifico settore di attività o se l’attività del cliente include uno dei seguenti, indipendentemente dall’importo del turnover:

• Private banking o personal banking;
• Fornire o intermediare un prodotto o servizio che possa favorire l’anonimato;
• Detenzione di beni personali;
• Impegno a movimentare ingenti somme di denaro contante;
• Cambio valuta, operazioni di conversione;
• Fornire un servizio di cambio di una valuta virtuale contro una valuta fiat o un servizio di portafoglio di valuta virtuale;
• Fornire servizi di gioco d’azzardo (in un casinò, su Internet o in occasione di eventi sportivi);
• acquisto e vendita di oro (incluso oro di scarto), altri metalli preziosi o pietre preziose;
• acquisto e vendita di beni di lusso;
• Fornitura di pubblicità su Internet;
• Fornire servizi innovativi;
• Costituzione, vendita e gestione di società;
• Altre attività a rischio di riciclaggio o finanziamento del terrorismo superiore al normale;
• Il cliente fornisce servizi tramite canali di vendita non tradizionali;
• C’è un continuo cambiamento di clienti;
• La base clienti è cresciuta rapidamente.

1.4 RISK RELATED TO BILLING AND TRANSACTIONS

A. Il basso rischio si verifica quando:

• Con il cliente viene stipulato un contratto a lungo termine in formato scritto o elettronico o riproducibile per iscritto;
• Il cliente riceve i pagamenti nell’ambito del rapporto d’affari solo tramite un conto situato presso un istituto di credito iscritto nel Registro delle imprese nel suo stato di domicilio (UE/SEE) o presso una succursale di un istituto di credito estero o presso un istituto di credito che è stabilito o a sede in uno stato contraente dello Spazio Economico Europeo o in uno stato in cui sono implementati requisiti pari a quelli stabiliti nella Direttiva (ELU) 2015/849 del Parlamento Europeo e del Consiglio;
• Il valore totale dei pagamenti in entrata o in uscita delle transazioni effettuate nel rapporto d’affari non supera i 15.000 euro annui.

B. Il rischio abituale è quando il cliente usufruisce di quanto segue durante le transazioni con il VASP:

• Un importo limitato di denaro contante non superiore a 32.000 euro o importo equivalente in altra valuta, indipendentemente dal fatto che l’operazione avvenga come pagamento unico o come più pagamenti collegati nell’arco di un periodo massimo di un anno;
• Un istituto di credito, un istituto finanziario, un istituto di pagamento o un sistema di pagamento che non si trova in un paese terzo ad alto rischio o promuove l’anonimato e che è, secondo la propria esperienza o fonti indipendenti, affidabile, e svolge controlli contro il riciclaggio di denaro e finanziamento del terrorismo;

C. Il rischio elevato è quando il cliente utilizza quanto segue durante le transazioni con il VASP:

• istituto di credito, istituto finanziario, istituto di pagamento o sistema fiscale che promuove l’anonimato;
• istituto di credito, istituto finanziario, istituto di pagamento o sistema fiscale situato in un paese terzo ad alto rischio;
• Canali di regolamento e conti appartenenti a soggetti terzi sconosciuti o estranei;
• Canali di regolamento e conti di terzi sconosciuti o estranei;
• Ingenti somme di denaro contante che superano i 32.000 euro o l’equivalente in altra valuta, indipendentemente dal fatto che l’operazione sia effettuata come pagamento unico o come più pagamenti collegati nell’arco di un periodo massimo di un anno;

1.5 RISCHI CONNESSI A PERSONE ESPOSTE POLITICAMENTE

A. Il rischio è basso quando il cliente non è una persona politicamente esposta, o non è il familiare di una persona politicamente esposta, o non è una persona nota per essere lo stretto associato di una persona politicamente esposta;

B. Il rischio abituale è quando il cliente è una persona politicamente esposta, è il familiare di una persona politicamente esposta o è una persona nota per essere lo stretto associato di una persona politicamente esposta. In tal caso, oltre alle consuete misure di due diligence, si applicano le misure di due diligence previste dalla normativa italiana. Il background del cliente è verificato principalmente come segue:

• Il cliente rilascia le relative informazioni e la sua dichiarazione;
• Si utilizza il motore di ricerca Google, ricercando il nome del cliente con la sua data di nascita;

C. Il rischio elevato è quando il cliente è una persona politicamente esposta, è il familiare della persona politicamente esposta o è una persona nota per essere lo stretto associato di una persona politicamente esposta. In tal caso, oltre alle consuete misure di due diligence, si applicano le misure di due diligence previste dalla normativa italiana. Il background del cliente è verificato principalmente da:

• Le informazioni e le dichiarazioni ricevute dal cliente;
• Utilizzando il database NameScan all’indirizzo: https://namescan.io/FreePEPCheck.aspx, che è ad accesso aperto, e, se possibile, qualsiasi database a pagamento (es. Thomson Reuters, MemberCheck ecc.);
• Utilizzo di Google e del motore di ricerca locale del Paese di origine del cliente, se presente, inserendo il nome del cliente in alfabeto latino e locale con la data di nascita del cliente.
• Utilizzando il database locale delle persone politicamente esposte, se esistente.

1.6 RISCHI RELATIVI ALL’IDENTIFICAZIONE DEL CLIENTE

A. Il rischio è Basso quando:

• La persona fisica residente nell’UE/SEE è individuata faccia a faccia sulla base dei documenti previsti dalla normativa italiana.
• Il cliente che sia una persona giuridica iscritta al registro delle imprese di uno stato dell’UE/SEE, o al registro delle associazioni e fondazioni senza scopo di lucro, è individuato sulla base di documenti originali previsti dalla normativa italiana o sulla base dell’informazione pubblica del registro di commercio, o del registro delle associazioni e fondazioni senza scopo di lucro, faccia a faccia con il cliente o il rappresentante del cliente, individuando il rappresentante sulla base degli atti previsti dalla normativa italiana, e in caso di persona autorizzata, sulla base di un atto notarile o equivalente attestante la sua autorità, legalizzato o certificato da un certificato (apostille) sostitutivo della legalizzazione, se non diversamente previsto da un accordo internazionale.

B. Il rischio abituale è quando:

• Il cliente persona fisica straniera viene identificato faccia a faccia sulla base dei documenti forniti.
• Il cliente estero che è persona giuridica è individuato sulla base di documenti originali forniti o sulla base delle informazioni pubbliche del registro di commercio, o del registro delle associazioni e fondazioni senza scopo di lucro faccia a faccia con il cliente o il rappresentante del cliente identificando il rappresentante sulla base di documenti.
• L’identità di una persona fisica o giuridica è verificata mediante copia autenticata o autenticata degli atti.

C. Alto rischio è quando:

• In sede di accertamento dell’identità o di verifica delle informazioni fornite, è sorto il sospetto circa la realtà delle informazioni fornite o l’autenticità dei documenti o l’identificazione del beneficiario effettivo;
• Un rapporto d’affari o una transazione instaurata o avviata in modo tale che il cliente, il rappresentante del cliente o la parte della transazione non si incontri fisicamente nello stesso luogo.
• La persona è identificata sulla base di altre informazioni provenienti da fonte credibile e indipendente, compresi i mezzi di identificazione elettronica dei servizi fiduciari per le transazioni elettroniche, utilizzando quindi almeno due diverse fonti per la verifica dei dati in tale evenienza.
• Il rappresentante del cliente è una persona giuridica.

1.7 RISCHIO RELATIVO AI CANALI DI COMUNICAZIONE O ALLA TRASMISSIONE TRA LA SOCIETA’ E IL CLIENTE

A. Il basso rischio si verifica quando:

• Il cliente riceve le notifiche attraverso un canale di comunicazione o mezzo concordato all’inizio del rapporto d’affari o transazione o modificato in modo attendibile nel corso del rapporto d’affari;
• Prodotti o servizi sono consegnati al cliente attraverso un canale di consegna modificato in modo affidabile durante il rapporto commerciale o su iniziativa della transazione.

B. Il rischio abituale è quando:

• All’inizio del rapporto commerciale o della transazione, il cliente riceve le notifiche attraverso un canale di comunicazione o mezzo temporaneo;
• I prodotti o servizi sono consegnati al cliente attraverso un altro canale di fornitura temporanea di prodotti o servizi trasmesso attraverso un canale di comunicazione o mezzo concordato, avviato dal rapporto commerciale o dalla transazione.

C. Alto rischio è quando:

• Il cliente riceve le notifiche attraverso un canale di comunicazione o mediazione accidentale, inaffidabile o inusuale;
• Prodotti o servizi sono consegnati al cliente attraverso un canale di consegna accidentale, inaffidabile o insolito;
• L’esistenza e la natura di un fattore di rischio associato al fornitore di servizi utilizzato per fornire il servizio o il prodotto venduto;
• La distanza tra l’ubicazione del cliente e il servizio fornito o prodotto offerto è notevolmente elevata;

Tenendo conto delle suddette categorie di rischio, il VASP determina il livello di rischio della persona coinvolta nella transazione o del cliente, ad esempio se il rischio di riciclaggio o finanziamento del terrorismo del cliente è basso, normale o elevato o corrisponde ad altri livelli di rischio specificati e utilizzati dal VASP.

Al fine di determinare l’impatto di ciascuna categoria di rischio, il VASP valuta la probabilità che si verifichino fattori di rischio in quella categoria di rischio. Per determinare l’impatto di una particolare categoria di rischio, un importo qualificante della presenza di fattori di rischio che la caratterizzano può essere utilizzato per considerare un particolare fattore di rischio come avente “impatto” o “nessun impatto” per una determinata persona quando una determinata soglia è superato.

Istruzioni per definire il basso livello di rischio:

• In generale, il livello di rischio del cliente è basso se non vi è alcun fattore di rischio influente in nessuna delle categorie di rischio, quindi si può concludere che il cliente e le sue attività non hanno caratteristiche diverse dalle attività normali e trasparenti, e non ci sono ragionevoli dubbi che le attività del cliente possano comportare un incremento del rischio di riciclaggio di denaro e di finanziamento del terrorismo.
• Nelle situazioni in cui la due diligence è richiesta da atti legali e le informazioni sul cliente e sul suo titolare effettivo sono disponibili al pubblico, in cui le attività e le transazioni della persona sono coerenti con la loro normale attività economica e non differiscono dai pagamenti di altri clienti simili pratiche e comportamenti, o laddove sussistano restrizioni quantitative o altre restrizioni assolute, il VASP può ritenere basso il rischio atteso dal cliente di riciclaggio di denaro o finanziamento del terrorismo.
• Nella situazione in cui almeno una categoria di rischio si qualifica come alta, il rischio di riciclaggio di denaro o finanziamento del terrorismo non può generalmente essere basso. Al contrario, basso rischio non significa necessariamente che le attività del cliente non possano essere collegate al riciclaggio di denaro o al finanziamento del terrorismo.
• Se il rischio derivante dal rapporto d’affari, dal cliente o dalla parte dell’operazione o dell’operazione è basso, in base ai livelli di rischio assegnati al soggetto o al cliente e alle altre condizioni previste dalla normativa antiriciclaggio UE e italiana, il VASP può applicare misure semplificate di due diligence.

Istruzioni per la definizione di alto livello di rischio:

• In generale, il livello di rischio del cliente può essere considerato elevato se, nella valutazione delle categorie di rischio nel loro insieme, si sospetta che le attività del cliente non siano normali o trasparenti, o esistono fattori di rischio influenti e si può presumere che il rischio di riciclaggio di denaro o finanziamento del terrorismo sia elevato o notevolmente aumentato. Anche il livello di rischio del cliente è elevato se è indicato da qualche caratteristica separata del fattore di rischio. Tuttavia, un rischio elevato non significa necessariamente che il cliente sia coinvolto in riciclaggio di denaro o finanziamento del terrorismo.
• Se il VASP ritiene elevato il rischio del cliente o della persona coinvolta nella transazione, il VASP deve applicare misure di due diligence rafforzate al fine di gestire correttamente i rispettivi rischi. Le misure di due diligence devono essere applicate secondo quanto previsto dalla Normativa Italiana.

Il VASP documenta, aggiorna e, se necessario, comunica alle autorità competenti la determinazione del livello di rischio.

I servizi del VASP riguardano principalmente la gestione e la conservazione di valute presentate in forma digitale. La fornitura di un servizio di cambio di una valuta virtuale con una valuta virtuale diversa e un servizio di portafoglio di valuta virtuale richiede principalmente l’uso di tecnologie nuove e in evoluzione, che possono comportare l’implementazione di canali di vendita nuovi o non tradizionali nell’ambito delle attività economiche del VASP.

La stragrande maggioranza delle valute virtuali è composta da diverse criptovalute e relativi token, costruiti su una nuova tecnologia blockchain in rapida evoluzione e un database distribuito che viene aggiornato tramite un algoritmo di consenso matematico.

Questa valutazione è principalmente il risultato dei seguenti fattori:

1. La tecnologia Blockchain è nuova e in evoluzione, quindi i meccanismi e gli algoritmi per il suo verificarsi, esistenza, trasferimento e trading non sono costanti e potrebbero essere troppo complessi da comprendere. Ciò incoraggia il coinvolgimento e l’uso di valute virtuali, inclusa la criptovaluta, in vari schemi fraudolenti e truffe;
2. La tecnologia blockchain promuove l’anonimato (gli indirizzi dei portafogli di criptovaluta non sono personalizzati e di solito esistono in grandi quantità), che può comportare l’uso di valute virtuali, inclusa la criptovaluta, nel riciclaggio di denaro, nell’evasione fiscale, nel finanziamento del terrorismo o in schemi criminali;
3. La tecnologia Blockchain si basa su una rete P2P e non è regolata da alcuna organizzazione centrale che possa facilitare la manipolazione del valore delle valute virtuali, compresa la criptovaluta.
4. Questa analisi del rischio, il metodo di mitigazione del rischio e la definizione di propensione al rischio definita dal VASP come fornitore del servizio di scambio di un cripto-asset contro una valuta fiat o cripto e un servizio di portafoglio di valuta virtuale sono stati predisposti al fine di adempiere all’obbligo derivante dalla Normativa Italiana in considerazione del rischio generale connesso all’attività del VASP.
5. Il VASP ha l’obbligo di informare costantemente i dipendenti dell’azienda in merito ai cambiamenti nella valutazione dei rischi derivanti dalle attività del VASP e ai cambiamenti nella dottrina aziendale di lungo e di breve termine e punti di vista e istruzioni separati (a seconda della situazione di mercato, la situazione politica ed economica, le disposizioni delle autorità di vigilanza, ecc.) al fine di ottemperare a quanto previsto dalla normativa comunitaria e italiana. Queste informazioni e questi avvisi non devono necessariamente essere sotto forma di appendici alle presenti linee guida e possono essere forniti in occasione di riunioni, tramite i responsabili delle unità strutturali, via e-mail o oralmente, ma indipendentemente dalla modalità di trasmissione, è obbligatorio rispettare e seguire questa informativa e questi avvisi.

2. RISCHI CONNESSI ALLE ATTIVITA’ DELLA SOCIETA’ E ALLA NATURA DEI SERVIZI FORNITI

Di seguito sono elencati i fattori di rischio e le circostanze relative al grado di rischio del cliente derivante dalla natura e dal volume dei servizi forniti dal VASP al cliente.

A. Il rischio è basso quando:

• Il VASP vende qualsiasi cripto-asset al cliente e il cliente lo paga tramite un conto di pagamento situato presso un istituto di credito, un istituto di moneta elettronica o un istituto di pagamento stabilito nell’UE.
• Il VASP fornisce al cliente un servizio di portafoglio di criptovalute e il cliente conserva nel portafoglio di criptovalute del VASP le proprie criptovalute, che è stato acquistato dal VASP, non trasferisce queste valute virtuali a terzi né riceve trasferimenti di valuta virtuale da terzi;
• Il valore totale dei pagamenti in entrata o in uscita per le transazioni commerciali non supera i 15.000 euro all’anno.

B. Il rischio ordinario è quando:

• Il VASP vende al cliente qualsiasi valuta virtuale e il cliente la paga tramite un conto di pagamento situato presso un istituto di credito, istituto di moneta elettronica o istituto di pagamento stabilito in uno stato contrattuale dello Spazio Economico Europeo.
• Il VASP fornisce al cliente un servizio di portafoglio di criptovalute e il cliente conserva le proprie criptovalute nel portafoglio di criptovalute ed effettua trasferimenti di criptovalute su portafogli di criptovalute esterni aperti in un istituto soggetto a requisiti equivalenti alla Normativa Italiana;
• L’importo totale dei pagamenti in entrata o in uscita relativi a transazioni commerciali o contratti di servizi in un mese solare non supera 15.000 euro per una persona fisica e 25.000 euro per una persona giuridica.

C. Alto rischio è quando:

• Il VASP vende qualsiasi cripto-asset al cliente e il cliente lo paga tramite un conto di pagamento situato presso un istituto di credito, un istituto di moneta elettronica o un istituto di pagamento stabilito al di fuori di uno stato contrattuale dello Spazio Economico Europeo.
• Il VASP fornisce al cliente un servizio di portafoglio di criptovalute e il cliente conserva le proprie criptovalute nel portafoglio e trasferisce valute virtuali a portafogli di criptovalute aperti in un istituto per il quale non sono stati stabiliti requisiti equivalenti alla normativa italiana;
• Il VASP fornisce al cliente un servizio di portafoglio di criptovalute e il cliente mantiene le criptovalute di terze parti nel portafoglio di criptovalute;
• L’importo totale dei pagamenti in entrata o in uscita relativi a transazioni commerciali o contratti di servizi in un mese solare supera 15.000 euro per una persona fisica e 25.000 euro per una persona giuridica.

3. MITIGAZIONE DEL RISCHIO

Dato che il riciclaggio di denaro, il finanziamento del terrorismo e il sostegno ad attività criminali hanno generalmente un senso ed una efficacia quando si tratta di importi di denaro maggiori del solito, il VASP, oltre alle misure di due diligence stabilite nelle presenti linee guida, impone le seguenti restrizioni il volume delle transazioni commerciali:

• Se i risultati di un’analisi del rischio del cliente consentono l’applicazione di misure semplificate di adeguata verifica della clientela, possono essere applicati a un cliente il cui valore totale dei pagamenti in entrata o in uscita non supera 1.000 euro all’anno e il valore dei pagamenti mensili non supera i 500 euro;
• Se i risultati di un’analisi del rischio del cliente consentono l’applicazione delle consuete misure di adeguata verifica della clientela, possono essere applicati a un cliente il cui valore totale dei pagamenti in entrata o in uscita non supera i 15.000 euro all’anno e il valore dei pagamenti mensili non supera non superare i 5.000 euro;
• Se il valore totale dei pagamenti in entrata o in uscita nel corso del rapporto commerciale di un cliente supera i 15.000 euro all’anno, quel cliente sarà sempre soggetto a misure rafforzate di due diligence.
• Se il valore totale dei pagamenti in entrata o in uscita nel corso del rapporto commerciale di un cliente supera i 100.000 euro all’anno, il responsabile della conformità del VASP deciderà in merito all’instaurazione o alla continuazione del rapporto commerciale di questo cliente.

4. PROPENSIONE AL RISCHIO

Il VASP non intraprende rapporti d’affari con soggetti con cui non può intrattenere rapporti sulla base delle presenti linee guida e dei suoi allegati o sulla base delle leggi applicabili, secondo i ragionevoli dubbi del VASP in relazione all’effettivo utilizzo dei prodotti e servizi del VASP per finalità, da parte di tali soggetti, legate al riciclaggio, all’evasione fiscale, al finanziamento del terrorismo o a schemi criminali, senza tuttavia creare ulteriori barriere alla fruizione dei servizi da parte di clienti per i quali non sussistono tali dubbi.

Il VASP evita rapporti commerciali in particolare con le seguenti categorie di clienti:

• Non è possibile identificare il cliente;
• Non è possibile per nessun motivo applicare al cliente le misure di due diligence derivanti dalla Normativa Italiana;
• Il cliente si trova in un Paese terzo ad alto rischio di cui alla Direttiva (UE) 2018/1673 del Parlamento Europeo e del Consiglio;
• Il cliente è soggetto a sanzioni dell’Unione Europea o dell’ONU;
• Il cliente è una persona giuridica di qualsiasi forma la cui struttura degli organi di gestione e/o dei titolari effettivi è confusa e i dati rilevanti non possono essere verificati, anche sulla base della dichiarazione del rappresentante del cliente e/o interno o non pubblico documenti forniti dal cliente;
• Il cliente è stato precedentemente condannato per riciclaggio di denaro, evasione fiscale, finanziamento del terrorismo o attività criminali che possono essere direttamente o indirettamente collegate a valute virtuali o è sottoposto a procedimento penale e il VASP è in possesso di informazioni al riguardo.

5. CRITERI PER L’IDENTIFICAZIONE DEL CLIENTE

Il VASP ha stabilito numerose misure al fine di identificare l’identità di un cliente, oltre a quanto previsto dalla normativa italiana che prevede un incontro faccia a faccia con il cliente, in modo tale da consentire l’identificazione del cliente senza trovarsi nella stesso luogo. In tal caso, il cliente è tenuto a consegnare al VASP il documento di identità in originale nella forma autenticata da un notaio o certificata da un notaio o d’ufficio.

In alternativa, si ricorre alla possibilità prevista dalla normativa italiana per identificare il cliente sulla base di altre informazioni provenienti da fonte credibile e indipendente, compresi i mezzi di identificazione elettronica e i servizi fiduciari per le transazioni elettroniche, utilizzando quindi almeno due diverse fonti di verifica di dati in tale evenienza.

Il VASP utilizzerà principalmente due fonti dal seguente elenco:

• Il colloquio del cliente deve essere effettuato mediante un dispositivo informatico predisposto e implementato dal VASP o da un fornitore terzo, sicuro e non consente l’elaborazione dei dati e che consente la trasmissione di un flusso audio e video sincronizzato, in cui il cliente dimostra il proprio documento di identità e il volto in modo tale che tutti i dati siano leggibili e possa essere scattata una fotografia di alta qualità del documento e del volto del cliente. Il suddetto colloquio e le foto scattate sono registrate e conservate nelle condizioni previste dalle disposizioni dei Regolamenti UE e Italiani;
• Il cliente effettua un pagamento di prova (ad esempio per l’importo di 1 euro) sul conto del VASP da un conto situato presso un istituto di credito registrato nell’UE/SEE o una filiale di un istituto di credito estero che ha sede o sede di che si trova in uno Stato contraente dello Spazio Economico Europeo o in un Paese che applica requisiti equivalenti alla Direttiva (UE) 2018/1673 del Parlamento Europeo e del Consiglio;
• Il cliente trasmette al VASP, attraverso un dispositivo informatico da essa predisposto e operativo, sicuro e non consente l’elaborazione di dati, immagini del proprio documento di identità e del proprio volto in modo che tutti i dati siano leggibili ed è possibile scattare fotografie di alta qualità del documento e del viso del cliente. Le suddette foto scattate sono registrate e conservate alle condizioni previste dalle disposizioni dei Regolamenti UE e Italiani;
• Il cliente consegna al VASP in forma digitale un’immagine della bolletta pagata dal cliente per canone, utenze, gas, luce, telefono o internet, attraverso la quale è possibile identificare i dati anagrafici del cliente insieme all’indirizzo di residenza;
• Il cliente consegna al VASP in forma digitale l’estratto conto del proprio conto corrente bancario, che è confermato dalla banca e dal quale è possibile leggere i dati anagrafici del cliente con l’indirizzo di residenza.

Le procedure contenenti ulteriori dettagli per l’identificazione del cliente sulla base di informazioni provenienti da altre fonti affidabili e indipendenti sono stabilite nel regolamento interno.