L’Unità di Informazione Finanziaria per l’Italia (UIF) ha pubblicato l’audizione del 3 aprile 2024 del Dott. Enzo Serata, Direttore dell’UIF, alla Commissione Affari Costituzionali e Giustizia della Camera dei Deputati, recante un esame del disegno di legge AC 1717 in materia di rafforzamento della cybersicurezza nazionale e di reati informatici Audizione (DDL Cybersicurezza).
Nell’audizione, il Direttore dell’UIF illustra le funzioni dell’Unità di Informazione Finanziaria per l’Italia (UIF), costituita presso la Banca d’Italia in posizione di autonomia e di indipendenza operativa, come prescritto dagli standard internazionali e dalla normativa europea.
Ricorda inoltre che è la Banca d’Italia a disciplinare con regolamento l’organizzazione e il funzionamento della UIF, ivi compresa la riservatezza delle informazioni acquisite, attribuendole i mezzi finanziari e le risorse idonei ad assicurare l’efficace perseguimento dei suoi fini istituzionali.
Le vicende emerse nelle scorse settimane in materia di accessi abusivi e di indebita diffusione di informazioni confidenziali e di segnalazioni di operazioni sospette (SOS), secondo il Direttore, hanno posto in luce il tema della tutela della riservatezza delle informazioni gestite dalle autorità preposte alla prevenzione e contrasto dei fenomeni di riciclaggio e di finanziamento del terrorismo.
In tale contesto, pertanto, nell’audizione pubblicata, dopo una descrizione dell’assetto regolamentare e di controllo predisposto a tutela della sicurezza delle informazioni dell’UIF, sono indicati dei possibili interventi normativi idonei a rafforzare la riservatezza delle segnalazioni di operazioni sospette e degli altri dati gestiti dall’UIF.
In particolare, sotto quest’ultimo profilo, viene ricordato che le soluzioni informatiche non possono prevenire del tutto casi di infedeltà di singoli dipendenti: pertanto, apparirebbe opportuno che il DDL in discussione preveda un sistema sanzionatorio penale che scoraggi tali comportamenti.
Le segnalazioni di operazioni sospette e i flussi informativi a esse collegati sono assoggettati a un rigoroso regime di riservatezza, presidiato anche da sanzioni penali, ai sensi degli artt. 38, commi 3 e 3-bis, 39, comma 1, e 55, comma 4, del D.lgs. 231/2007.
Con la riforma operata dalla L. 15/2022, salvo che il fatto costituisca reato più grave, chiunque rivela indebitamente l’identità del segnalante è punito con la reclusione da due a sei anni; la stessa pena si applica a chi rivela indebitamente notizie riguardanti l’invio della segnalazione e delle informazioni trasmesse dalle FIU o il contenuto delle medesime, se le notizie rivelate sono idonee a consentire l’identificazione del segnalante.
Nonostante l’ampliamento dell’ambito oggettivo delle informazioni coperte da riservatezza operato nel 2022, il Direttore ricorda che la sanzione penale prevista per la violazione di tali prescrizioni è subordinata all’eventualità che venga disvelata l’identità del segnalante.
Ma, come testimoniato dai diversi recenti casi di pubblicazione di notizie tratte dalle SOS, tale tutela non è sufficiente ad assicurare la riservatezza delle informazioni antiriciclaggio.
Ad avviso del Direttore sarebbe quindi necessario un ulteriore affinamento del quadro normativo, idoneo sanzionare adeguatamente l’uso e la pubblicazione, in qualunque forma, anche del contenuto delle SOS e più in generale di tutte le informazioni provenienti dalla UIF e dalle FIU estere.
In particolare, andrebbe superata l’attuale differenziazione di fattispecie penali presenti nel D.lgs. 231/2007 tese a sanzionare, rispettivamente, la rivelazione indebita di notizie idonee a individuare l’identità del segnalante (delitto previsto dall’art. 38, comma 3-bis, punito con la reclusione da due a sei anni) e il divieto di comunicazione dell’avvenuta segnalazione di operazioni sospette ovvero del flusso di ritorno previsto in materia (fattispecie contravvenzionale prevista dall’art. 55, comma 4, punita con l’arresto da sei mesi a un anno e con un’ammenda da 5.000 a 30.000 euro).
Viene quindi proposto di prevedere un’unica fattispecie di reato, adeguatamente punita, per tutelare la riservatezza in sé delle informazioni antiriciclaggio, assicurando quindi una piena tutela ai diritti dei vari soggetti coinvolti e la preservazione dell’identità del segnalante, semmai con una aggravante per quest’ultima fattispecie.
L’aumento delle sanzioni penali previsto dalle modifiche all’art. 615-ter c.p. introdotte dal disegno di legge in discussione non appare infatti sufficiente ad avviso dell’UIF, in quanto punisce gli accessi abusivi alle basi dati e non l’uso o la rilevazione indebita di informazioni tratte dal sistema medesimo, che può avvenire anche a seguito di accessi non abusivi.
Il Direttore dell’UIF conclude affermando che, qualora le Commissioni lo ritenessero opportuno, la UIF è disponibile a fornire il proprio contributo per la formulazione di una proposta in materia da inserire nel DDL sulla cybersicurezza in esame.