Lo scorso 11 febbraio 2019 il MEF ha posto in pubblica consultazione lo schema di decreto ministeriale recante il Regolamento per la prevenzione sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al c.d. “furto d’identità”.
Il decreto – all’esito della consultazione – apporterà in particolare modifiche al decreto ministeriale 19 maggio 2014, n. 95, con cui sono disciplinati i termini, le modalità e le condizioni per la gestione del sistema pubblico di prevenzione sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto di identità (SCIPAFI), istituito con il Titolo V-bis del decreto legislativo 13 agosto 2010, n. 141, come introdotto dal decreto legislativo 11 aprile 2011, n. 64.
L’intervento scaturisce dalla necessità di provvedere all’aggiornamento e conseguente allineamento alle novità normative che hanno interessato rispettivamente la disciplina della tutela dei dati personali, con l’entrata in vigore del Regolamento UE 2016/679, nonché con il recepimento della quarta direttiva antiriciclaggio mediante il d.lgs. 25 maggio 2017 n. 90.
Più in dettaglio, sotto il profilo soggettivo, provvede a modificare l’art. 1, comma 1 lett. a) del d.m. 95/2014 in ragione dell’intervenuto ampliamento della platea di soggetti partecipanti al sistema. Infatti, vengono ora qualificati come “aderenti diretti” allo SCIPAFI “tutti i soggetti menzionati nell’art 30 ter, comma 5 del d.lgs., 141/2010 (…)”, ivi includendo la nuova categoria dei soggetti di cui alla lettera b-ter) del predetto art. 30, costituita dai “soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente”.
Al contempo la successiva lett. b) dell’art. 1 del d.m. 95/2014, non oggetto di modifica da parte dello schema di decreto posto in consultazione, continua ad identificare gli aderenti “indiretti” nei soggetti di cui all’art. 30-ter, comma 5, lett. d) ovvero i gestori di sistemi di informazioni creditizie e le imprese che offrono a banche, intermediari finanziari e fornitori di servizi di comunicazione elettronica, di servizi interattivi, servizi assimilabili alla prevenzione, sul piano amministrativo, delle frodi, in base ad apposita convenzione con il Mef.
Per quanto concerne, invece, l’ambito oggettivo, lo schema di decreto – in assoluta coerenza con l’ampliamento dei soggetti aderenti al sistema – provvede ad estendere la nozione di “operazione” in ordine alla quale, appunto, il soggetto aderente ha la possibilità di accedere all’archivio SCIPAFI. Infatti, l’art. 1 comma 1, lett. l) viene modificato al fine di ricomprendere all’interno della definizione di operazione, oltre alle operazioni tipicamente bancarie e/o finanziarie anche“ogni altra operazione svolta dagli aderenti”.
Anche l’art. 3 del d.m. 95/2014 viene modificato nel comma 1 mediante una sua riformulazione finalizzata a meglio precisare che il trattamento dei dati personali sia da parte del titolare dell’archivio, dell’ente gestore e degli aderenti diretti e indiretti “è autorizzato esclusivamente per le finalità specificamente individuate dalla legge”.
Dette finalità vengono poi individuate dall’art. 2, comma 2 del d.m. 95/2014 (peraltro non interessato da modifiche) ovvero la verifica dell’autenticità o meno dei dati contenuti nella documentazione fornita dalle persone fisiche nei casi in cui ricorra una delle fattispecie di cui all’articolo 30 ter commi 7 e 7-bis del d.lgs. 141/2010. Più precisamente, l’art. 30-ter, comma 7 del d.lgs., n. 141/2010 individua quale unico presupposto legittimante l’accesso a detta banca dati la fattispecie della “prevenzione del“furto di identità” cosi come definito nell’art. 30-bis del d.lgs. 141/2010 nell’ipotesi di richiesta di concessione di una dilazione o di un differimento di pagamento, di un finanziamento o di altra analoga facilitazione finanziaria o un servizio a pagamento differito. Peraltro, la natura “obbligatoria” delle preventiva consultazione è stato poi stemperato dalla successiva Circolare Mef del 17/07/2014 laddove ha avuto cura di precisare che detto obbligo di consultazione deve essere interpretato alla luce del criterio di approccio basato sul rischio (proprio della disciplina antiriciclaggio).
Si tratta, evidentemente, di finalità di interesse pubblico rispetto alle quali tanto il codice della privacy quanto il Regolamento UE 679/2916 espressamente escludono la necessità di un preventivo consenso da parte del soggetto interessato.
Nel contempo, il successivo comma 7 bis, provvede – in maniera sostanzialmente condivisibile– ad estendere le finalità perseguibili mediante l’utilizzo dell’archivio SCIPAFI, prevedendo che i soggetti aderenti possono inviare all’ente gestore richieste di verifica dell’autenticità dei dati forniti dalle persone fisiche nei casi in cui ritengano “(…) utile, sulla base della valutazione degli elementi acquisiti, accertare l’identità delle medesime”.
Ne consegue che tutti soggetti aderenti all’archivio SCIPAFI, con particolare riguardo alle banche ed agli intermediari finanziari, potranno – al di là della specifica ipotesi del furto d’identità – continuare ad utilizzare detto strumento, ciascuno nell’ambito della propria attività specifica, anche ai fini degli obblighi di identificazione ed adeguata verifica della clientela di cui alla disciplina antiriciclaggio e prevenzione del terrorismo.
Infine, lo schema di decreto provvede ad abrogare tutte le successive disposizioni del d.m. 95/2014, ivi inclusi gli allegati tecnici, e conseguentemente assegna al MEF il compito di definire i nuovi requisiti di funzionamento dell’archivio.