WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Attualità

Adeguata verifica a distanza: novità in materia di remote onboarding

5 Dicembre 2022

Francesco Donadei, Zitiello Associati

Di cosa si parla in questo articolo

In data 22 novembre 2022, l’Autorità Bancaria Auropea (EBA) ha pubblicato la versione definitiva delle Linee Guida sull’utilizzo di soluzioni di adeguata verifica a distanza della clientela (Guidelines on the use of Remote Customer Onboarding Solutions) ai sensi dell’art. 13, par. 1, della Direttiva (UE) 2015/849 (IV Direttiva Antiriciclaggio).

Il documento rappresenta il coronamento di un percorso iniziato il 24 settembre 2020 con la Comunicazione della Commissione Europea relativa alla strategia in materia di finanza digitale per l’UE e il relativo invito rivolto all’EBA affinché individuasse soluzioni in grado di garantire ai nuovi clienti che interagiscono a distanza con gli intermediari la possibilità di accedere ai servizi finanziari in modo rapido e semplice, assicurando al contempo il rispetto degli obblighi di adeguata verifica della clientela da parte degli intermediari.

Il percorso era poi proseguito con la pubblica consultazione del testo provvisorio delle Linee Guida nel periodo tra il 10 dicembre 2021 e il 10 marzo 2022 e culmina ora, come detto, con la pubblicazione del testo definitivo del documento, per il momento in sola lingua inglese.

Entro due mesi dalla data di pubblicazione delle traduzioni ufficiali delle Linee Guida, le Autorità di Vigilanza dei vari Stati Membri dovranno comunicare all’EBA se intendono conformarsi al contenuto delle Linee Guida stesse, le quali entreranno in vigore decorsi sei mesi dalla pubblicazione delle traduzioni suddette.

Su un piano generale, nel dettare le proprie prescrizioni l’EBA ha adottato un approccio tecnologicamente neutro, ritenuto importante dall’Autorità ai fini di incentivare il processo di innovazione tecnologica in corso nel settore bancario.

Le Linee Guida si applicano ai processi di adeguata verifica a distanza standard, mentre nei casi di adeguata verifica semplificata previsti dalla normativa i soggetti obbligati potranno interpretare le prescrizioni relative alla natura e al tipo di dati e di documentazione necessari per l’adeguata verifica sulla base di un approccio basato sul rischio.

Su un piano di maggior dettaglio, il contenuto delle Linee Guida vere e proprie è articolato in sette capitoli (da 4.1. a 4.7), dedicati rispettivamente a: (i) procedure e policy interne, (ii) acquisizione delle informazioni, (iii) autenticità e integrità dei documenti, (iv) verifica della corrispondenza dell’identità visibile del cliente rispetto alla documentazione fornita, (v) identificazione tramite terzi ed esternalizzazione, (vi) gestione del rischio informatico, (vii) utilizzo di servizi fiduciari e servizi di identificazione nazionali.

I soggetti obbligati dovranno adottare procedure interne specificamente dedicate all’assolvimento degli obblighi di adeguata verifica nelle situazioni in cui l’onboarding del cliente avviene a distanza. Tali documenti dovranno contenere informazioni riguardo a:

  • le caratteristiche e il funzionamento della soluzione adottata per raccogliere, verificare e registrare le informazioni durante il processo di onboarding del cliente da remoto;
  • le situazioni in cui tale soluzione può essere utilizzata, tenendo conto dei fattori di rischio individuati e valutati, anche a livello aziendale, in relazione alle diverse categorie di clientela e ai diversi prodotti e servizi offerti;
  • i passaggi completamente automatizzati e quelli che richiedono l’intervento umano;
  • i controlli volti a garantire che la prima operazione con un cliente di nuova acquisizione sia eseguita solo dopo che tutte le misure iniziali di adeguata verifica della clientela siano state applicate;
  • la descrizione dei programmi di formazione periodica del personale in merito al funzionamento, ai rischi e ai relativi presìdi della soluzione di remote onboarding.

L’adozione di ogni nuova soluzione di remote onboarding dovrà sempre essere preceduta da una valutazione preliminare della soluzione il cui svolgimento dovrà avvenire in conformità con quanto previsto nelle procedure interne e potrà essere oggetto di indagine ex post da parte dell’Autorità nazionale competente.

In ogni caso, la soluzione di remote onboarding dovrà essere integrata nel più ampio sistema di controlli interni, consentendo in tal modo all’intermediario di gestire adeguatamente i rischi AML che possono derivare dall’utilizzo della soluzione stessa.

Con riferimento all’acquisizione delle informazioni, le Linee Guida prevedono che i soggetti obbligati stabiliscano nelle proprie procedure interne le informazioni necessarie per identificare il cliente, le tipologie di documenti, dati o informazioni che saranno utilizzati per verificarne l’identità e le modalità con cui tali informazioni saranno verificate.

Gli intermediari dovranno garantire che:

  1. le informazioni ottenute siano aggiornate e adeguate a soddisfare i requisiti legali e regolamentari;
  2. eventuali immagini, video, suoni e dati siano acquisiti in un formato leggibile e con qualità sufficiente a rendere il cliente univocamente riconoscibile;
  3. il processo di identificazione non prosegua in caso di problemi tecnici o interruzioni impreviste della connessione.

I requisiti sopra menzionati si intenderanno rispettati nel caso in cui la soluzione utilizzi alcuni particolari servizi di identificazione elettronica previsti dal Regolamento (UE) n. 910/2014 (c.d. eIDAS).

Per quanto riguarda autenticità e integrità dei documenti, eventuali riproduzioni di un documento originale acquisite senza visionare il documento originale potranno essere ritenute attendibili unicamente in presenza di determinati presìdi informatici e tecnici indicati nel paragrafo 33 della Sezione 4.3 delle Linee Guida.

Laddove il dispositivo utilizzato dal cliente per dimostrare la propria identità consenta la raccolta di dati rilevanti, come nel caso dei dati contenuti nel chip di una carta d’identità elettronica, i soggetti obbligati dovranno prendere in considerazione l’utilizzo di queste informazioni per verificarne la coerenza rispetto alle informazioni ottenute attraverso altre fonti.

Le soluzioni di remote onboarding dovranno, inoltre, consentire di verificare sempre la corrispondenza tra le informazioni della persona fisica visibili e la documentazione fornita nonché, in caso di cliente persona giuridica, i poteri della persona fisica che agisce in qualità di rappresentante.

In caso di utilizzo di dati biometrici per verificare l’identità del cliente, dovrà essere possibile collegare in maniera univoca tali dati a una singola persona fisica e tale corrispondenza dovrà essere verificata tramite appositi algoritmi o, in alternativa, tramite controlli aggiuntivi.

Il processo di remote onboarding dovrà essere interrotto ogni volta che le informazioni o la documentazione fornite siano insufficienti o tali da generare ambiguità o incertezze, e il cliente dovrà essere reindirizzato verso una identificazione tradizionale in presenza.

Ai paragrafi 41 e seguenti della Sezione 4.4., le Linee Guida prevedono poi alcune specifiche prescrizioni in relazione ai processi di adeguata verifica svolti con o senza l’intervento diretto del personale del soggetto obbligato e alcuni specifici presìdi da utilizzare per aumentare il grado di affidabilità della soluzione di remote onboarding utilizzata.

Le procedure interne già menzionate dovranno specificare quali attività di adeguata verifica a distanza saranno svolte internamente e quali eventualmente per il tramite di soggetti terzi o in outsourcing.

A tale riguardo, i soggetti obbligati dovranno assicurarsi che le procedure di adeguata verifica della terza parte siano conformi alle Linee Guida e che dati e informazioni raccolte siano sufficienti e coerenti.

In caso di esternalizzazione, i soggetti obbligati dovranno applicare anche alcune parti delle Linee Guida dell’EBA sui fattori di rischio e, laddove applicabili, le Linee Guida dell’EBA in materia di outsourcing al fine di:

  1. assicurarsi che il fornitore di servizi rispetti le politiche e le procedure di remote onboarding del committente, attraverso relazioni periodiche, monitoraggio continuo, visite in loco o test a campione;
  2. assicurarsi che il fornitore di servizi abbia i requisiti tecnici e organizzativi per svolgere le attività affidategli;
  3. predisporre adeguati flussi informativi tra il fornitore di servizi e il committente in relazione a qualsiasi modifica o proposta di modifica del processo di adeguata verifica a distanza.

In ogni caso, qualora il fornitore di servizi memorizzi i dati dei clienti nello svolgimento della propria attività, il committente dovrà garantire che:

  • vengano raccolti e archiviati solo i dati strettamente necessari, per un periodo di tempo chiaramente definito;
  • l’accesso ai dati sia strettamente limitato e registrato;
  • siano implementate adeguate misure di sicurezza per garantire la protezione dei dati conservati.

Per quanto riguarda, invece, la gestione dei rischi legati alla sicurezza informatica, i soggetti obbligati dovranno identificare e gestire i propri rischi in relazione al processo di adeguata verifica a distanza, anche in caso di utilizzo di soggetti terzi o di esternalizzazione (anche infra gruppo).

Inoltre, fermo il rispetto delle specifiche Linee guida dell’EBA in materia, i soggetti obbligati dovranno fornire al cliente un punto di accesso sicuro per avviare il processo di remote onboarding e utilizzare strumenti e canali di comunicazione sicuri per interagire con il cliente durante il processo stesso, ivi compresi algoritmi crittografici secondo lo stato dell’arte del settore al fine di salvaguardare la riservatezza, l’autenticità e l’integrità dei dati scambiati.

Per conformarsi al contenuto delle Linee Guida, i soggetti obbligati potranno utilizzare i servizi fiduciari e i processi di identificazione elettronica regolamentati, riconosciuti, approvati o accettati dalle autorità nazionali competenti. In tali casi, i soggetti obbligati dovranno comunque valutare la conformità della soluzione alle Linee Guida e applicare le misure necessarie per mitigare eventuali rischi rilevanti derivanti dall’utilizzo di tali soluzioni, con particolare attenzione a eventuali frodi e furti di identità.

Alla luce dei numerosi spunti di novità contenuti nelle Linee Guida, nelle more dell’effettiva entrata in vigore del provvedimento sarà interessante verificare come la Banca d’Italia valuterà di implementarne il contenuto nel framework regolamentare nazionale e, in seguito, analizzare le varie soluzioni tecnologiche adottate dal mercato per adeguarsi alle nuove regole.

Di cosa si parla in questo articolo
Vuoi leggere la versione PDF?

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter