Nel settore bancario, la conservazione dei documenti informatici, specie se contrattuali, è essenziale per assolvere gli obblighi normativi nei confronti della clientela e per ridurre i rischi di invalidità probatoria dei documenti relativi al rapporto contrattuale sottostante, nonché di sanzioni regolamentari e di rilievi da parte delle Autorità di vigilanza.
Si ricorda che, sul tema, la nostra rivista ha organizzato un webinar il giorno 09 giugno 2026 “Documenti informatici: archiviazione, conservazione e consegna – Fra sistemi di conservazione e responsabilità di soggetti vigilati“.
In particolare, si ricorda che l’art. 119 TUB, al comma 4, chiarisce che il cliente ha diritto di ottenere entro un congruo termine e comunque non oltre 90 giorni, copia della documentazione inerente a singole operazioni poste in essere negli ultimi dieci anni.
Il comma 1, inoltre, specifica che, nei contratti di durata, le comunicazioni periodiche sullo svolgimento del rapporto devono essere fornite al cliente, in forma scritta o mediante altro supporto durevole preventivamente accettato dal cliente stesso: come specificato nella lettera l) del comma 1 dell’art. 121 del TUB, per “supporto durevole” deve intendersi “ogni strumento che permetta al consumatore di conservare le informazioni che gli sono personalmente indirizzate in modo da potervi accedere in futuro per un periodo di tempo adeguato alle finalità cui esse sono destinate e che permetta la riproduzione identica delle informazioni memorizzate“.
Lo stesso concetto è altresì ripreso dall’art. 45, lett. l) del Codice del Consumo.
Per rispettare la normativa vigente, la conservazione “a norma” della documentazione afferente il rapporto bancario può avvenire:
- conservando elettronicamente documenti già digitali, tramite la conservazione digitale
- convertendo in digitale documenti cartacei, tramite processo di demateralizzazione e conservazione sostitutiva
Anche se archiviazione e conservazione vengono spesso utilizzati come sinonimi, le finalità (e la metodologia ad essi sottesa) sono diverse:
- archiviare un documento digitale significa salvarlo o memorizzarlo su un supporto per poterlo poi reperire facilmente in caso di necessità
- conservarlo (a norma) implica una serie di procedure di classificazione, protocollazione e sicurezza che devono essere concepite sin dalla fase di creazione del documento stesso.
Il processo di conservazione deve essere supportato in sostanza da un sistema informatico in grado di garantire l’integrità, la sicurezza e l’indicizzazione dei dati, e di generare i c.d. “pacchetti”, ove vengono inclusi i documenti da conservare, i metadati, la firma digitale e la marcatura temporale, in grado di garantirne autenticità, integrità e immodificabilità.
La politica dell’ente in materia di conservazione a norma, tuttavia, non è limitata alla compliance al multiforme quadro normativo vigente in tema di documenti informatici, rappresentato dal Codice dell’Amministrazione Digitale (CAD), dal Regolamento e-IDAS (come aggiornato da e-IDAS 2), nonché dalle Linee guida AgID.
E’ necessario infatti tenere in debita considerazione il necessario rispetto della disciplina in materia di protezione dei dati personali, che, in alcuni casi, può entrare in conflitto con gli interessi primari sottesi alla conservazione dei documenti informatici, ovvero l’integrità e la sicurezza dei dati stessi.
La conformità al GDPR delle policy in materia di conservazione dei dati dell’ente impone infatti un bilanciamento rigoroso tra obblighi di legge e principi di minimizzazione, integrità e limitazione della conservazione: ciò richiede politiche di retention interne formalizzate, differenziate per tipologia documentale e fondate su basi giuridiche solide, come nel caso dei contratti di conto corrente, degli estratti conto, delle registrazioni delle operazioni rilevanti ai fini antiriciclaggio e della documentazione afferente l’adeguata verifica della clientela, in relazione ai quali gli obblighi di conservazione derivano da diverse normative settoriali (tra cui il TUB, la Circolare 285 di Banca d’Italia ed il decreto antiriciclaggio).
I limiti temporali alla conservazione dei dati personali rappresentano un elemento centrale della compliance, poiché impongono la definizione di tempi certi e verificabili, con procedure automatizzate di cancellazione o anonimizzazione allo spirare dei termini.
In particolare, è necessario evitare prassi indefinite o eccessive che espongono l’ente a responsabilità sanzionatoria, specie in presenza di archivi digitali stratificati e sistemi legacy che rendono complessa la tracciabilità del ciclo di vita documentale.
In tale contesto, il rapporto tra DPO e Responsabile della Conservazione assume rilievo strategico, in quanto il primo presidia la conformità complessiva al GDPR e svolge funzioni di controllo e consulenza, mentre il secondo garantisce l’integrità, autenticità, leggibilità e reperibilità dei documenti nel tempo, rendendo necessario un coordinamento operativo continuo, soprattutto nella definizione delle policy di conservazione, nelle valutazioni di impatto e nella gestione degli audit interni ed esterni.
Particolare attenzione deve essere riservata al bilanciamento tra diritto all’oblio e obblighi di conservazione: il diritto all’oblio, quale declinazione del diritto alla cancellazione previsto dall’art. 17 GDPR, incontra limiti strutturali derivanti da obblighi legali di conservazione imposti dalla normativa civilistica, fiscale e di vigilanza, imponendo un bilanciamento fondato sul principio di prevalenza dell’obbligo normativo rispetto alla richiesta dell’interessato, come avviene, ad esempio, per contratti di conto corrente, evidenze antiriciclaggio e registrazioni nell’ambito dell’adeguata verifica, la cui conservazione è necessaria per periodi determinati e non derogabili.
Tale bilanciamento non si esaurisce in un diniego automatico della cancellazione, ma richiede procedure interne formalizzate che consentano di valutare, caso per caso, la sussistenza della base giuridica che giustifica la prosecuzione della conservazione, distinguendo tra dati effettivamente necessari per adempiere a obblighi di legge o difendere un diritto in giudizio e dati ulteriori o accessori che, invece, devono essere cancellati o resi anonimi, in conformità ai principi di proporzionalità e minimizzazione.
Sul piano operativo, i soggetti vigilati devono essere in grado di documentare le ragioni del rigetto, totale o parziale, delle richieste di cancellazione, garantendo tracciabilità delle decisioni, segregazione logica dei dati ancora soggetti a conservazione obbligatoria e, ove possibile, limitazione del trattamento, ad esempio mediante tecniche di pseudonimizzazione o restrizione degli accessi, così da ridurre l’impatto sui diritti dell’interessato pur nel rispetto degli obblighi normativi.
L’adozione di tecniche di crittografia e anonimizzazione rappresenta infatti una misura essenziale per ridurre i rischi connessi al trattamento dei dati, in particolare nei sistemi di archiviazione a lungo termine, nei backup e nei flussi documentali condivisi, consentendo di limitare l’accessibilità ai soli soggetti autorizzati e di mitigare l’impatto di eventuali violazioni, in linea con il principio di sicurezza by design e by default.
