WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

L’esternalizzazione degli obblighi di adeguata verifica della clientela da parte di intermediari bancari e finanziari

26 Gennaio 2018

Avv. Matteo Catenacci, Managing Associate, Studio Craca Di Carlo Guffanti Pisapia Tatozzi & Associati

Di cosa si parla in questo articolo

Gli artt. da 26 a 30 del d.lgs. 231/2007 – come modificato dal d.lgs. 90/2017, che ha recepito nel nostro ordinamento la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio e finanziamento del terrorismo (c.d. “Quarta Direttiva”) – contengono la disciplina relativa all’esecuzione (di una parte) degli obblighi di adeguata verifica della clientela da parte di soggetti «terzi» [1].

In forza di tali disposizioni – che, invero, ricalcano quanto già era previsto nell’ordinamento europeo ed italiano [2] – al ricorrere di determinate condizioni, i soggetti obbligati possono avvalersi dell’identificazione del cliente (dell’esecutore e del titolare effettivo) e dell’acquisizione delle informazioni sullo scopo e sulla natura del rapporto effettuate da «terzi» soggetti, e ciò in forza dell’istituto giuridico dell’esternalizzazione (outsourcing) di attività e funzioni.

1. Inquadramento normativo

Normativa europea

La disciplina nazionale, come detto, implementa la Quarta Direttiva e, in particolare, gli artt. da 25 a 29.

Al fine di evitare il ripetersi delle procedure d’identificazione dei clienti, fonte di ritardi e di inefficienze nelle attività economiche, il considerando 35 della Quarta Direttiva prevede – in coerenza con il considerando 27 della Terza Direttiva – l’opportunità di consentire che i clienti la cui identificazione sia già stata effettuata altrove vengano accettati dai soggetti obbligati, fatti salvi i seguenti presidi:

  1. la responsabilità finale della procedura di adeguata verifica della clientela dovrebbe rimanere in capo al soggetto obbligato che accetta il cliente;
  2. anche il terzo o la persona che ha presentato il cliente dovrebbero mantenere la propria responsabilità in relazione al rispetto della Quarta Direttiva, compreso l’obbligo di segnalare le operazioni sospette e quello di conservare i documenti, nella misura in cui ha con il cliente un rapporto che rientra nell’ambito di applicazione della Direttiva stessa.

Su tali presupposti, la regolamentazione europea fissa i seguenti principi:

  1. la possibilità per i soggetti obbligati di ricorrere a «terzi» per l’assolvimento di alcuni degli obblighi di adeguata verifica della clientela, ferma la responsabilità finale dell’assolvimento di tali obblighi in capo al soggetto obbligato che ricorre ai «terzi» (art. 25);
  2. il divieto per i soggetti obbligati di ricorrere a «terzi» aventi sede in paesi terzi ad alto rischio (art. 26, par. 2), salvo che gli Stati membri esonerino da tale divieto le succursali e le filiazioni controllate a maggioranza di soggetti obbligati aventi sede nell’Unione qualora dette succursali e filiazioni controllate a maggioranza si conformino pienamente alle politiche e procedure a livello di gruppo a norma dell’art. 45 della Quarta Direttiva [3];
  3. l’obbligo per i soggetti obbligati di ottenere dai «terzi» le necessarie informazioni relative agli obblighi di adeguata verifica della clientela (art. 27, par. 1) nonché di adottare misure adeguate per assicurare che il «terzo» fornisca immediatamente, su richiesta, le pertinenti copie dei dati d’identificazione e di verifica e qualsiasi altro documento pertinente all’identità del cliente o del titolare effettivo (art. 27, par. 2);
  4. la possibilità per l’autorità competente dello Stato membro d’origine (per politiche e procedure a livello di gruppo) e l’autorità competente del paese ospitante (per succursali e filiazioni) di considerare che un soggetto obbligato rispetti, mediante il programma di gruppo, le disposizioni adottate ai sensi degli artt. 26 e 27 della Quarta Direttiva laddove risultino soddisfatte tutte le seguenti condizioni: a) il soggetto obbligato ricorre a informazioni fornite da terzi appartenenti allo stesso gruppo; b) detto gruppo applica misure di adeguata verifica della clientela, norme sulla conservazione dei documenti e programmi di lotta al riciclaggio e al finanziamento del terrorismo conformi alla Direttiva o a norme equivalenti; c) un’autorità competente dello Stato membro ospitante o del paese terzo vigila a livello di gruppo sull’effettiva applicazione dei requisiti di cui alla lettera b) (art. 28);
  5. l’esclusione dell’applicazione della disciplina ai rapporti di esternalizzazione o di agenzia nel cui ambito il prestatore del servizio esternalizzato o l’agente devono essere considerati, ai sensi del contratto, parte integrante del soggetto obbligato (art. 29).

Normativa italiana di rango primario

A livello nazionale, l’art. 15 della L. 12 agosto 2016, n. 170 (Legge di delegazione europea 2015) relativo al conferimento della delega al Governo per l’attuazione della Quarta Direttiva, ha previsto che “al fine di assicurare la razionalizzazione e la semplificazione degli adempimenti richiesti in attuazione della direttiva (UE) 2015/849, consentire che i soggetti obbligati si avvalgano dell’identificazione del cliente effettuata da terzi purché: la responsabilità finale della procedura di adeguata verifica della clientela rimanga, in ultima istanza, ascrivibile al soggetto destinatario degli obblighi di cui alla direttiva (UE) 2015/849; sia comunque garantita la responsabilità dei terzi in ordine al rispetto della direttiva (UE) 2015/849, compreso l’obbligo di segnalazione delle operazioni sospette e di conservazione dei documenti, qualora intrattengano con il cliente un rapporto rientrante nell’ambito di applicazione della direttiva medesima” [4].

Con il d.lgs. 90/2017, il Governo italiano ha recepito la delega, dedicando, come detto, alla disciplina in argomento gli artt. da 26 a 30 del d.lgs. 231/2007:

  1. l’art. 26 (rubricato “Esecuzione degli obblighi di adeguata verifica da parte di terzi”) individua i «terzi» legittimati all’effettuazione degli adempimenti di verifica del cliente in luogo del soggetto direttamente parte del rapporto;
  2. l’art. 27 (“Modalità di esecuzione degli obblighi di adeguata verifica della clientela da parte di terzi”) definisce le modalità che assicurano il carattere dell’adeguatezza alla verifica effettuata da «terzi» al rapporto;
  3. l’art. 28 (“Responsabilità dei soggetti obbligati”) fissa il principio della responsabilità, in ultima istanza, dei soggetti obbligati, parte del rapporto, in ordine all’esaustività e completezza della verifica effettuata da «terzi»;
  4. l’art. 29 (“Esecuzione da parte di terzi aventi sede in paesi ad alto rischio”) stabilisce il divieto di avvalersi di «terzi» aventi sede in paesi terzi ad alto rischio;
  5. l’art. 30 (“Esclusioni”) chiarisce che non può essere considerato «terzo» il soggetto che, sebbene formalmente distinto dal soggetto obbligato parte del rapporto, sia comunque riconducibile a quest’ultimo in forza di rapporti di dipendenza o di stabile inquadramento nella relativa struttura organizzativa.

Nel prosieguo si vedrà in dettaglio la disciplina dettata dalle richiamate norme del d.lgs. 231/2007.

Normativa italiana di rango secondario

Come noto – con riguardo ai soggetti obbligati vigilati (quali banche, intermediari finanziari, imprese di assicurazione, etc.) – le regole di attuazione della disciplina relativa all’adeguata verifica della clientela sono state declinate dalla Banca d’Italia – nel provvedimento del 3 aprile 2013 (e successive modifiche) – e dall’IVASS – nell’analogo regolamento n. 5 del 21 luglio 2014 (e successive modifiche). In particolare, la disciplina specifica relativa all’esecuzione da parte di «terzi» degli obblighi di adeguata verifica è contenuta nella Parte Quinta del provvedimento della Banca d’Italia e nella Sezione V del regolamento dell’IVASS.

Al riguardo, si ricorda che, ai sensi delle disposizioni finali contenute nell’art. 9 del d.lgs. 90/2017, le disposizioni emanate dalle autorità di vigilanza di settore, ai sensi di norme abrogate o sostituite per effetto del d.lgs. medesimo, continuano a trovare applicazione fino al 31 marzo 2018.

Ancorché, rispetto alla precedente versione dell’art. 66 del d.lgs. 231/2007 – contenente le disposizioni transitorie e finali – il richiamato art. 9 non precisa che le disposizioni di rango secondario continuano ad applicarsi “in quanto compatibili”, si ritiene che tale lettura sia la più corretta [5]. Pertanto, in attesa dei nuovi provvedimenti delle autorità di vigilanza di settore, le attuali disposizioni di rango secondario continueranno ad applicarsi, sempreché compatibili con le nuove disposizioni introdotte in recepimento della Quarta Direttiva: al riguardo, si possono ritenere implicitamente abrogate le norme regolamentari della Banca d’Italia e dell’IVASS laddove prevedevano una disciplina relativa al novero dei soggetti «terzi» che, ad oggi, risultano diversamente definiti dal nuovo art. 26 del d.lgs. 231/2007 (v. par. 2), nonché quelle riguardanti il principio di responsabilità del soggetto obbligato, attualmente regolato direttamente nell’art. 28 del d.lgs. 231/2007 (v. par. 4).

2. Soggetti «terzi»

Con la Quarta Direttiva, viene ampliato il novero dei soggetti «terzi».

Ai sensi del nuovo art. 26 del d.lgs. 231/2007, continuano a rientrare nel perimetro dei soggetti «terzi»:

  1. le banche;
  2. Poste italiane S.p.A.;
  3. gli IMEL;
  4. gli istituti di pagamento;
  5. le SIM;
  6. le SGR;
  7. le SICAV;
  8. gli agenti di cambio;
  9. gli intermediari iscritti nell’albo ex art. 106 TUB;
  10. Cassa depositi e prestiti S.p.A.;
  11. le imprese di assicurazione che operano nei rami vita [6];
  12. le società fiduciarie iscritte nell’albo ex art. 106 TUB (ossia vigilate dalla Banca d’Italia per quanto attiene ai profili antiriciclaggio) [7];
  13. le succursali insediate degli intermediari bancari e finanziari e di imprese assicurative, aventi sede legale in un altro Stato membro o in uno Stato terzo.

Inoltre, rispetto alla disciplina previgente, rientrano tra i soggetti «terzi» anche:

  1. le SICAF;
  2. gli intermediari assicurativi che operano nei rami vita [8];
  3. i soggetti eroganti micro-credito ex art. 111 TUB;
  4. i confidi ed altri soggetti ex art. 112 TUB;
  5. i soggetti di cui all’art. 2, c. 6, L. n. 130/1999 [9];
  6. gli intermediari bancari e finanziari e le imprese di assicurazione aventi sede legale in un altro Stato membro stabiliti senza succursale in Italia;
  7. i consulenti finanziari e società di consulenza finanziaria, di cui agli artt. 18-bis e 18-ter TUF (una volta che sarà implementata la relativa disciplina);
  8. gli “intermediari bancari e finanziari” [10] aventi sede in un altro Paese terzo, che: (i) sono tenuti ad applicare analoghe misure di adeguata verifica della clientela e di conservazione dei documenti; (ii) sono sottoposti a controlli di vigilanza in linea con il diritto dell’Unione europea;
  9. gli agenti in attività finanziaria, limitatamente alle operazioni di importo inferiore a 15.000 euro, relative alle prestazioni di servizi di pagamento e all’emissione e distribuzione di moneta elettronica [11]. Peraltro, con riguardo ai clienti il cui contatto è avvenuto attraverso l’intervento di mediatori creditizi o agenti in attività finanziaria, l’intermediario può procedere all’identificazione acquisendo da tali soggetti obbligati le informazioni necessarie, anche senza la presenza contestuale del cliente.

Non rientrano invece più nel novero dei soggetti «terzi» le succursali degli intermediari insediate in Stati extracomunitari che applicano misure equivalenti a quelle della Direttiva (fattispecie in precedenza prevista dall’art. 30, c. 1, lett. a), del d.lgs. 231/2007, così come integrato, a suo tempo, dal d.lgs. 25 settembre 2009, n. 151) nonché le società che svolgono il servizio di riscossione di tributi [12].

Infine, nel caso di rapporti continuativi relativi all’erogazione di credito al consumo, di leasing o di altre tipologie operative indicate dalla Banca d’Italia [13], l’identificazione può essere effettuata da collaboratori esterni legati all’intermediario da apposita convenzione, nella quale siano specificati gli obblighi previsti dal d.lgs. 231/2007 e ne siano conformemente regolate le modalità di adempimento.

3. Modalità di adempimento degli obblighi

Ai sensi dell’art. 27 del nuovo d.lgs. 231/2007, gli obblighi di adeguata verifica della clientela si considerano assolti, previo rilascio di idonea attestazione da parte del «terzo» che abbia provveduto ad adempiervi nell’ambito di un rapporto continuativo (o dell’esecuzione di una prestazione professionale) nonché, rispetto alla precedente disciplina, in occasione del compimento di un’operazione occasionale (i.e. operazione non riconducibile ad un rapporto continuativo in essere).

L’attestazione:

  • deve essere univocamente riconducibile al «terzo» e
  • deve essere trasmessa dal «terzo» medesimo al soggetto obbligato che se ne avvale.

Ancorché nel d.lgs. 231/2007 non si rinvengano le disposizioni – presenti nell’art. 30 ante novella – secondo cui l’attestazione può consistere in un bonifico eseguito a valere sul conto per il quale il cliente è stato identificato di persona ovvero nell’invio, per mezzo di sistemi informatici, dei dati identificativi del cliente (ad esempio, utilizzo di una carta di pagamento), si ritiene che possano continuare comunque ad applicarsi (almeno sino al 31 marzo 2018) in forza delle norme regolamentari emanate da Banca d’Italia e IVASS che, ai sensi dell’art. 9 del d.lgs. 90/2017, non si ritengono incompatibili con le nuove disposizioni del d.lgs. n. 231/2007.

Nella medesima attestazione deve essere espressamente confermato il corretto adempimento degli obblighi da parte dell’attestante in relazione alle attività di verifica effettuate nonché la coincidenza tra il cliente verificato dal «terzo» e il soggetto a cui l’attestazione si riferisce [14].

I «terzi» mettono a disposizione dei soggetti obbligati le informazioni richieste in occasione dell’adempimento degli obblighi di cui all’art. 18, c. 1, lett. a) (identificazione del cliente e verifica della sua identità), b) (identificazione del titolare effettivo e verifica della sua identità) e c) (acquisizione di informazioni sullo scopo e la natura del rapporto continuativo o della prestazione professionale). Inoltre, le copie dei documenti acquisiti dai «terzi» in sede di adeguata verifica del cliente devono essere trasmesse, senza ritardo, dai medesimi ai soggetti obbligati che ne facciano richiesta.

Al riguardo:

  1. si pone il problema dell’integrazione delle informazioni fornite dal «terzo» con le altre necessarie per l’adeguata verifica non contenute nell’attestazione (ad es., informazioni sulla natura e sullo scopo del nuovo rapporto continuativo), riguardo al quale il soggetto obbligato e il «terzo» devono disciplinare all’interno dell’accordo di esternalizzazione le modalità di attestazione delle informazioni raccolte da quest’ultimo, stante la responsabilità del soggetto obbligato, e ciò al fine di assicurarne la coerenza;
  2. potrebbe sorgere altresì il problema di gestire lo scambio di informazioni sul cliente tra soggetto obbligato e «terzo» (ad es., innalzamento del profilo di rischio a seguito di una segnalazione di operazione sospetta). A tale proposito, è necessario distinguere l’ipotesi in cui il soggetto «terzo» appartenga al gruppo o meno: nel primo caso, infatti, il Garante per la protezione dei dati personali in data 10 settembre 2009 [15] aveva ritenuto che ricorressero gli estremi per dare attuazione al c.d. “bilanciamento degli interessi” [16] disciplinato dall’art. 24, c. 1, lett. g), del d.lgs. 30 giugno 2003, n. 196 (Codice privacy) e, conseguentemente, che potessero formare oggetto di comunicazione infragruppo i dati personali concernenti le segnalazioni previste dalla disciplina in materia antiriciclaggio, senza che a tal fine fosse quindi necessario acquisire il consenso dell’interessato; maggiore è l’attenzione al rispetto della normativa in materia di privacy con riguardo alla possibilità che le informazioni siano condivise tra intermediari non appartenenti al medesimo gruppo, laddove trova applicazione la fattispecie di cui all’art. 39, c. 5, del d.lgs. 231/2007 [17].

4. Principio di responsabilità

L’art. 26, c. 1, del d.lgs. 231/2007 fissa il principio di responsabilità dei soggetti obbligati in ordine agli adempimenti in materia di adeguata verifica della clientela, e ciò a prescindere dal ricorso o meno a soggetti «terzi».

Il principio si ritrova peraltro anche nell’art. 28, ai sensi del quale i soggetti obbligati:

  1. valutano se gli elementi raccolti e le verifiche effettuate dai «terzi» siano idonei e sufficienti ai fini dell’assolvimento degli obblighi previsti dal D.lgs.;
  2. verificano, nei limiti della diligenza professionale, la veridicità dei documenti ricevuti.

In caso di dubbi sull’identità del cliente, dell’esecutore e del titolare effettivo, i soggetti obbligati provvedono, in proprio, a compierne l’identificazione e ad adempiere, in via diretta, agli obblighi di adeguata verifica.

Rispetto alla previgente disciplina, in cui si sanciva soltanto il principio di responsabilità del soggetto obbligato, rimandando alla normativa regolamentare l’attuazione dello stesso (art. 29), il d.lgs. 231/2007 è ora maggiormente dettagliato.

Secondo parte della dottrina [18], forme di responsabilità possono generarsi a carico del soggetto «terzo» per il mancato o inesatto adempimento, ma assumono essenzialmente natura contrattuale, dal momento che non sussiste un obbligo regolamentare del «terzo» di prestare la propria collaborazione, che viene quindi resa a titolo convenzionale; sul punto vi è conferma anche nel considerando 36 della Quarta Direttiva [19]; dovrebbe però restare possibile il coinvolgimento del «terzo» nella responsabilità propria del soggetto obbligato a titolo di concorso, secondo le previsioni generali dell’ordinamento.

Da quanto sopra delineato, l’esecuzione da parte del «terzo» dell’adeguata verifica ricade nella fattispecie dell’outsourcing di attività e funzioni.

Peraltro, l’esternalizzazione degli obblighi di adeguata verifica non è l’unico caso previsto nell’ambito della disciplina antiriciclaggio. Si pensi all’outsourcing degli obblighi di conservazione dei documenti, dei dati e delle informazioni, previsto dall’art. 32, c. 3, del d.lgs. 231/2007, nel quale viene ribadita la responsabilità del soggetto obbligato o, ancora, all’esternalizzazione dello svolgimento dei compiti propri della funzione antiriciclaggio, ai sensi del Provvedimento della Banca d’Italia del 10 marzo 2011, in cui la “responsabilità per la corretta gestione dei rischi in discorso resta, in ogni caso, in capo all’impresa destinataria delle presenti disposizioni”.

Al riguardo, pertanto, rileva la disciplina specialistica applicabile ai soggetti obbligati vigilati in tema di esternalizzazione di “funzione operativa importante” (“FOI”), con conseguente applicazione della relativa procedura di controllo della Banca d’Italia [20], della Consob [21] e dell’IVASS [22], da un lato, e presidi di controllo ex ante ed ex post, dall’altro lato: come ha avuto modo di chiarire la Banca d’Italia con comunicazione del marzo 2012 [23], (1) sul piano generale, l’attribuzione di parti dell’attività a soggetti terzi richiede agli intermediari di mantenere la conoscenza e il controllo sull’operatività e sulle funzioni esternalizzate, in modo da assicurarsi il necessario governo dei processi aziendali; (2) delle attività affidate ai terzi gli intermediari stessi conservano la piena responsabilità; (3) il ricorso all’outsourcing deve prevedere l’affidamento delle attività esternalizzate a soggetti dotati di idonei requisiti tecnici e professionali, la cui permanenza va periodicamente verificata; la chiara e appropriata definizione, in sede contrattuale, dei servizi esternalizzati, delle modalità di svolgimento, degli standard di qualità, dei livelli di servizio assicurati in caso di emergenza nonché delle soluzioni da adottare per garantire la continuità del servizio reso, delle conseguenze in caso di inadempimento, degli adempimenti a carico dell’outsourcer per assicurare una ordinata transizione nei casi di conclusione del rapporto; il monitoraggio dell’operato dell’outsourcer; l’adozione di interventi adeguati in caso di livelli insoddisfacenti delle prestazioni rese, ivi compresa l’applicazione di misure pecuniarie (es. penali) e la risoluzione del rapporto con l’outsourcer.

5. Soggetti di Paesi terzi ad alto rischio

La previgente disciplina (art. 30, c. 4, del d.lgs. 231/2007) stabiliva che in nessun caso gli obblighi di adeguata verifica potevano essere demandati a soggetti che non hanno insediamenti fisici in alcun paese [24]. Nell’attuale disciplina non si rinviene analoga disposizione.

La nuova formulazione del d.lgs. 231/2007 (art. 29) prevede che è fatto divieto ai soggetti obbligati di avvalersi di «terzi» aventi sede in Paesi terzi ad alto rischio, ossia quei Paesi non appartenenti all’Unione Europea i cui ordinamenti presentano carenze strategiche nei rispettivi regimi nazionali di prevenzione del riciclaggio e del finanziamento al terrorismo per come individuati dalla Commissione europea [25].

6. Esclusioni

L’art. 30 del d.lgs. 231/2007 prevede una specifica esclusione di applicazione della normativa relativa agli obblighi di adeguate verifica da parte dei «terzi» per i rapporti di esternalizzazione o di agenzia.

In particolare, la normativa non si applica nei casi in cui, ai sensi del contratto o della convenzione comunque denominata, il fornitore del servizio esternalizzato o l’agente siano equiparabili ai dipendenti o, comunque, a soggetti stabilmente incardinati nell’organizzazione dei soggetti obbligati per i quali svolgono la propria attività.

Sul punto, il GAFI aveva chiarito che “the third party will usually have an existing business relationship with the customer, which is independent from the relationship to be formed by the customer with the relying institution, and would apply its own procedures to perform the CDD measures. This can be contrasted with an outsourcing/agency scenario, in which the outsourced entity applies the CDD measures on behalf of the delegating financial institution, in accordance with its procedures, and is subject to the delegating financial institution’s control of the effective implementation of those procedures by the outsourced entity” [26].

Rilevante, infine, è l’inclusione nella definizione di “personale” di cui all’art. 1, c. 2, lett. ac) del nuovo d.lgs. 231/2007 (ovvero “i dipendenti e coloro che comunque operano sulla base di rapporti che ne determinano l’inserimento nell’organizzazione del soggetto obbligato, anche in forma diversa dal rapporto di lavoro subordinato”) dei consulenti finanziari abilitati all’offerta fuori sede di cui all’art. 31, c. 2, del TUF (già promotori finanziari) [27]: tali soggetti non sono più considerati «terzi» e, pertanto, beneficiano dell’esclusione dall’applicazione della relativa disciplina. In altri termini, il soggetto obbligato che si avvale del consulente finanziario abilitato all’offerta fuori sede per l’adeguata verifica della clientela non sarà soggetto agli obblighi previsti dalle norme sopra richiamate sull’esternalizzazione a soggetti «terzi».

 

[1] Sostanzialmente in linea con quanto già previsto dal d.lgs. 231/2007 ante novella, il ricorso a «terzi» continua ad essere precluso per la fase di controllo costante dell’operatività, di cui all’art. 18, c. 1, lett. d).

[2] Nella previgente disciplina, le norme rilevanti contenute negli artt. da 29 a 35 del d.lgs. 231/2007 ante novella e negli artt. da 14 a 19 della Direttiva 2005/60/CE (c.d. “Terza Direttiva”).

[3] L’Italia, ad oggi, non ha esercitato tale opzione (v. par. 5).

[4] L’art. 22 della l. 25 gennaio 2006, n. 29 (Legge comunitaria 2005), relativo alla delega per l’attuazione della Terza Direttiva, conteneva un principio più generico, secondo cui occorreva “evitare, per quanto possibile, il ripetersi delle procedure di identificazione del cliente, prevedendo in quali casi gli enti e le persone soggetti alla direttiva possono ricorrere a terzi per l’assolvimento degli obblighi di adeguata verifica della clientela”.

[5] Tale interpretazione è peraltro coerente con quella fornita dall’UIF nel comunicato del 4 luglio 2017: con riguardo al regime transitorio di cui all’art. 9 del D.lgs. n. 231/2007, l’Autorità ha chiarito che “al fine di evitare incertezze interpretative e fornire una linea di orientamento per i soggetti obbligati, si elencano di seguito i provvedimenti concernenti profili di competenza della UIF da considerare ancora efficaci e/o applicabili in via transitoria. I rinvii contenuti in detti provvedimenti a norme abrogate, sostituite o modificate per effetto del decreto devono intendersi effettuati, in quanto compatibili, alle disposizioni del d.lgs. 231/2007 come modificate dal d.lgs. 90/2017”.

[6] Da notare che nella precedente versione del D.lgs. n. 231/2007 era previsto che fossero incluse le imprese di assicurazione operanti “in Italia” nei rami vita.

[7] Con specifico riguardo alle fiduciarie, si rileva che i soggetti obbligati non possono avvalersi delle società non iscritte nell’albo ex art. 106 TUB (che, tuttavia, ad oggi, rappresentano circa l’85% della società fiduciarie in possesso di autorizzazione ministeriale).

[8] In attesa della modifica organica della disciplina sull’intermediazione assicurativa (con il recepimento della Direttiva 2016/97/UE, c.d. IDD), ai sensi della normativa vigente si tratta di agenti di assicurazione, mediatori di assicurazione o di riassicurazione, altresì denominati broker, ed altri soggetti autorizzati. Nell’attuale disciplina regolamentare della Banca d’Italia e dell’IVASS, tali soggetti possono effettuare solo l’identificazione (con esclusione della verifica dell’identità) del cliente, dell’esecutore e del titolare effettivo e l’acquisizione di copia dei documenti di identità originali.

[9] Si tratta dei soggetti incaricati della riscossione dei crediti ceduti e dei servizi di cassa e di pagamento.

[10] Nella precedente disciplina si parlava soltanto di “banche”.

[11] Nell’attuale disciplina regolamentare della Banca d’Italia e dell’IVASS, gli agenti in attività finanziaria possono effettuare solo l’identificazione (con esclusione della verifica dell’identità) del cliente, dell’esecutore e del titolare effettivo e l’acquisizione di copia dei documenti di identità originali.

[12] Con la nuova disciplina, le società di riscossione tributi sono ora parificate (ai fini della normativa antiriciclaggio) alle Pubbliche Amministrazioni, quindi con oneri limitati alle comunicazioni ed alle segnalazioni di operazioni sospette.

[13] Ad oggi sono previste dalla Banca d’Italia anche le fattispecie del factoring o dell’emissione di moneta elettronica che, in quanto compatibili, sono da considerarsi ancora applicabili.

[14] Sul punto permane la facoltà per le autorità di vigilanza di settore, nell’esercizio delle rispettive attribuzioni, di individuare idonee forme e modalità di attestazione, tenendo conto dell’evoluzione delle tecniche di comunicazione e trasferimento a distanza.

[15] Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio– 10 settembre 2009 (G.U. n. 267, 16.11.2009). Il quesito, di portata generale, posto all’attenzione del Garante, riguardava il coordinamento tra la normativa di protezione dei dati personali e la disciplina di settore in materia di antiriciclaggio (in ordine alla quale il Garante si era già espresso con parere del 25 luglio 2007, doc. web. n. 1431012).

[16] Che, a parere del Garante, “consente di non ritenere prevalenti … i diritti degli interessati rispetto al legittimo interesse del titolare del trattamento e del terzo destinatario dei dati (nel caso di specie, altro intermediario finanziario appartenente al medesimo gruppo) alla comunicazione e al conseguente trattamento dei dati personali oggetto della segnalazione. Tale comunicazione potrà essere effettuata … per perseguire le sole finalità connesse all’applicazione della disciplina antiriciclaggio da parte dei soli incaricati (operanti nell’ambito dei diversi intermediari finanziari) deputati ad assolvere compiti relativi all’adempimento delle misure poste a contrasto del riciclaggio di denaro”.

[17] Nei casi relativi allo stesso cliente o alla stessa operazione, che coinvolgano due o più intermediari bancari o finanziari ovvero due o più professionisti, il divieto di comunicare al cliente o a terzi l’avvenuta segnalazione di operazione sospetta (o l’invio di ulteriori informazioni richieste dalla UIF o dell’esistenza ovvero della probabilità di indagini o approfondimenti) non impedisce la comunicazione tra gli intermediari o tra i professionisti in questione, a condizione che appartengano ad uno Stato membro o siano situati in un Paese terzo che impone obblighi equivalenti a quelli previsti dal d.lgs. 231/2007, ferme restando le disposizioni privacy in materia di trasferimento di dati all’estero.

[18] Cfr. Giovanni Castaldi, Giampaolo Conforti (a cura di), Manuale Antiriciclaggio – adeguata verifica della clientela, segnalazione di operazioni sospette, archivio unico informatico, Bancaria Editrice, 2013, p. 177.

[19] Del pari del considerando 28 della Direttiva 2005/60/CE, in caso di rapporti d’agenzia o di esternalizzazione su base contrattuale fra soggetti obbligati e persone esterne che non rientrano nell’ambito di applicazione della presente direttiva, gli obblighi AML/CFT applicabili a tali agenti o prestatori dei servizi esternalizzati in quanto spettanti ai soggetti obbligati, potrebbero derivare unicamente dal contratto tra le parti, e non dalla presente direttiva. È pertanto opportuno che la responsabilità in merito alla conformità alla presente direttiva spetti in primo luogo al soggetto obbligato.

[20] v. Circolare n. 285/2013 della Banca d’Italia.

[21] v. Regolamento congiunto Banca d’Italia/Consob del 29 ottobre 2007.

[22] v. Regolamento IVASS n. 20 del 26 marzo 2008.

[23] Comunicazione del titolo “Esternalizzazione degli adempimenti antiriciclaggio: obblighi per gli operatori”, in cui l’Autorità si era focalizzata essenzialmente sulla tenuta dell’AUI.

[24] Inteso quale luogo destinato allo svolgimento dell’attività istituzionale, con stabile indirizzo, diverso da un semplice indirizzo elettronico, dove il soggetto è autorizzato a svolgere la propria attività.

[25] Il Regolamento delegato (UE) 2016/675 della Commissione ha individuato quali paesi terzi ad alto rischio (ovvero paesi terzi con carenze strategiche nei rispettivi regimi nazionali di AML/CFT che pongono minacce significative al sistema finanziario dell’Unione): l’Afghanistan, la Bosnia-Erzegovina, la Guyana, l’Iraq, la Repubblica democratica popolare del Laos, la Siria, l’Uganda, Vanuatu e lo Yemen; l’Iran; la Repubblica popolare democratica di Corea.

[26] v. FATF Recommendation February 2012, International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation, p. 79.

[27] Nonché dei produttori diretti (si tratta di soggetti che, anche in via sussidiaria rispetto all’attività svolta a titolo principale, esercitano l’intermediazione assicurativa nei rami vita e nei rami infortuni e malattia per conto e sotto la piena responsabilità di un’impresa di assicurazione e che operano senza obblighi di orario o di risultato esclusivamente per l’impresa medesima) e dei soggetti addetti all’intermediazione assicurativa (si tratta dei dipendenti, collaboratori, produttori e altri incaricati degli intermediari iscritti alle sezioni di cui alle lettere a), b) e d) per l’attività di intermediazione svolta al di fuori dei locali dove l’intermediario opera).

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter