Introduzione
Lo schema di decreto in esame recepisce la direttiva UE 2015/849 (quarta direttiva antiriciclaggio) per ottimizzare in tutti gli Stati membri l’utilizzo degli strumenti di lotta contro il riciclaggio dei proventi di attività criminose e il finanziamento del terrorismo.
Il decreto riscrive il D.Lgs. n. 231 del 2007 introducendo diverse innovazioni che riguardano i soggetti destinatari, le misure di adeguata verifica della clientela, incluse quella semplificata e rafforzata, la valutazione del rischio, le segnalazioni di operazioni sospette, l’attività di registrazione e le sanzioni. La seconda parte del decreto provvede inoltre a riscrivere il D.Lgs. n. 109 del 2007 (antiterrorismo) e altre disposizioni in materia valutaria e finanziaria.
Le principali novità del D.Lgs. n.231 antiriciclaggio
Il punto focale della direttiva è l’ampliamento e la razionalizzazione del principio dell’approccio basato sul rischio in base al quale le misure volte a prevenire o mitigare il riciclaggio e il finanziamento del terrorismo devono essere proporzionali ai rischi effettivamente individuati.
La nuova disciplina antiriciclaggio, in attuazione della direttiva europea, estende i soggetti destinatari degli obblighi (money transfer, attività di compravendita di oro, settore giochi), introduce nuovi obblighi in materia di autovalutazione del rischio da parte dei soggetti obbligati e modifica le disposizioni in materia di segnalazione di operazioni sospette. Sono previste anche norme semplificate in materia di conservazione e di registrazione ma sarà necessario attendere i provvedimenti attuativi per verificare se effettivamente sarà attuata una semplificazione.
Coerentemente a quanto prescritto dalla direttiva, viene disegnato un sistema sanzionatorio basato su misure effettive, proporzionate e dissuasive, da applicare alle persone giuridiche e fisiche responsabili della violazione. La Direttiva ha lo scopo di considerare residuale e marginale la responsabilità delle persone fisiche che operano per conto del soggetto obbligato. Sotto tale profilo tuttavia non pare che il Decreto abbia tenuto conto degli scopi della normativa comunitaria.
Le nuove regole in materia di adeguata verifica
Le norme in materia di adeguata verifica sono distinte fra disposizioni di carattere generale, modalità di adempimento, criteri per la determinazione della titolarità effettiva e obblighi della clientela.
Disposizioni generali
L’adeguata verifica del cliente e del titolare effettivo deve essere eseguita dai soggetti obbligati sia all’atto dell’instaurazione di un rapporto continuativo che in occasione dell’esecuzione di un’operazione occasionale che comporti la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro. La soglia può essere superata sia con l’esecuzione di un’operazione unica sia con più operazioni che appaiono collegate per realizzare un ‘operazione frazionata. Il collegamento volto a definire la realizzazione di un’operazione frazionata lascia il dubbio che si voglia estendere l’operazione occasionale a somme inferiori alla soglia dei 15.000 euro ovvero a quella di 5.000 euro attualmente prevista per il cumulo delle operazioni frazionate. La norma pare di difficile attuazione in quanto l’operazione occasionale è svolta da un soggetto che non è cliente della Banca. Pertanto la verifica del collegamento fra le operazioni e del cumulo delle frazionate dovrebbe essere applicato a soggetti che, benché non abbiano un rapporto continuativo con la Banca, si presentano costantemente agli sportelli. Oltre a capire le motivazioni di tale comportamento pare evidente che la predetta operatività non dovrebbe essere consentita dalle Banche in quanto chi opera costantemente dovrebbe essere indirizzato ad aprire un rapporto continuativo.
L’adeguata verifica deve essere eseguita qualora venga disposto un trasferimento di fondi di importo superiore a 1.000 euro. In base alla formulazione della norma si ritiene che, in aderenza alle disposizioni del Regolamento 847/2015/UE, l’adeguata verifica debba essere effettuata esclusivamente alle operazioni occasionali ovvero alle disposizioni eseguite al di fuori di un rapporto continuativo. Tale disposizione tuttavia contrasta con le prescrizioni del Regolamento 847/2015/UE il quale riserva solo ed esclusivamente ai trasferimenti elettronici di fondi eseguiti al di fuori del sistema SEPA e quindi dell’Unione Europea disposizioni più stringenti vigendo solo in tali fattispecie l’obbligo di integrare tutti i dati informativi dell’ordinante e del beneficiario (nome e cognome, numero di conto e dati della residenza). Nel caso in cui alcuni dati che corredano il trasferimento di fondi siano assenti la Banca deve richiederne l’integrazione alla controparte e, in mancanza, deve respingerli. Per i trasferimenti elettronici di fondi regolati tramite il sistema dei pagamenti SEPA è previsto l’obbligo di valorizzare esclusivamente l’IBAN e non vi sono altre formalità salvi i casi di sospetto. Pertanto gli obblighi di adeguata verifica si dovrebbero applicare ai trasferimenti di fondi superiori a 1.000 euro solo nel caso in cui vengano eseguiti attraverso sistemi di pagamento diversi da SEPA.
Un’altra novità è costituita dall’applicazione delle norme sull’adeguata verifica nell’ambito della prestazione di servizi di pagamento e di emissione e distribuzione di moneta elettronica anche per operazioni di importo inferiore a 15.000 euro, anche se effettuate tramite soggetti convenzionati e agenti. Tale prescrizione pare non prevedere alcuna soglia con riferimento alle prestazioni di servizi di pagamento e all’utilizzo della moneta elettronica. Tuttavia i trasferimenti elettronici di fondi sono già declinati nella sopra indicata disposizione pertanto tale disposto pare applicarsi unicamente all’utilizzo della moneta elettronica (carte di credito anche prepagate e carte di debito). Nei casi di emissione di moneta elettronica è già previsto l’assolvimento degli obblighi di adeguata verifica a carico dell’emittente. L’estensione degli obblighi alla fase della distribuzione pone il dubbio circa la necessità che anche il collocatore delle carte debba provvedere ad adempiere agli obblighi di adeguata verifica. Sembrerebbe inoltre che tali adempimenti non siano circoscritti alla fase del collocamento della carta ma anche a quella del loro utilizzo soprattutto in caso di carte non collegate ad un altro rapporto continuativo. Da tener presente che il collocatore – la rete distributiva – non coincide con l’emittente e svolge tutti gli adempimenti per conto dello stesso. La norma tende ad estendere tutte le responsabilità dell’emittente anche al collocatore attualmente limitate agli obblighi di identificazione e di raccolta dei dati e informazioni per conto dell’emittente. Sono previste misure di controllo e monitoraggio che devono essere adottate dagli istituti di pagamento e dagli istituti di moneta elettronica nei confronti dei soggetti convenzionati e agenti che dovranno essere annotati in apposito registro tenuto dall’Organismo degli agenti in attività finanziaria e dei mediatori creditizi.
Per quanto ovvio i predetti obblighi si dovranno applicare qualora vi sia un sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi esenzione o soglia applicabile e qualora vi siano dubbi sulla veridicità o sull’adeguatezza dei dati raccolti
Infine le misure di adeguata verifica della clientela sono applicate sia nei confronti dei nuovi clienti nonché dei clienti già acquisiti in considerazione del mutato livello di rischio associato al cliente. Tale prescrizione comporta la necessità di effettuare un aggiornamento dell’adeguata verifica e delle informazioni acquisite nell’ambito della stessa in funzione della variazione del profilo di rischio del cliente. Già attualmente le Banche provvedono ad aggiornare le informazioni della clientela nell’ambito del monitoraggio definito dalle policies interne qualora mutino alcuni elementi acquisiti in sede di adeguata verifica. La nuova norma determinerà la necessità di aggiornare l’adeguata verifica e le informazioni ivi contenute in fase di variazione del profilo di rischio, intendendosi applicabile solo nel caso di aumento del profilo di rischio, non avendo una particolare finalità nel caso contrario di diminuzione.
Modalità di adempimento degli obblighi di adeguata verifica
L’identificazione del cliente e del titolare effettivo deve essere svolta in presenza del cliente o dell’esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato. La disposizione introduce una rilevante novità: sembrerebbe che l’esecutore possa accendere rapporti continuativi per conto del cliente e tale fattispecie sembra non rientrare nelle operazioni eseguite da persona non fisicamente presente e quindi non si dovrebbero applicare le misure rafforzate di adeguata verifica. Tale possibilità si limita alla fase di identificazione.
La fase di identificazione consiste nell’acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d’identità in corso di validità o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico. Il cliente fornisce altresì, sotto la propria responsabilità, le informazioni necessarie a consentire l’identificazione del titolare effettivo.
L’obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente qualora i dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per lo generazione di una firma digitale o per i clienti in possesso di un’identità digitale certificata nell’ambito di un regime di identificazione elettronica a norma dell’art. 9 del Regolamento n. 910/2014/UE. E’ possibile avvalersi di una dichiarazione della rappresentanza e dell’autorità consolare italiana.
Non è necessario ripetere l’obbligo di identificazione per i clienti che sono già stati identificati in relazione ad un altro rapporto purché le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente e per i clienti i cui dati identificativi siano acquisiti attraverso modalità individuate dalle Autorità di vigilanza che terranno conto dell’evoluzione delle tecniche di identificazione a distanza.
La verifica dell’identità del cliente, del titolare effettivo e dell’esecutore richiede il riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all’atto dell’identificazione, laddove sussistano dubbi, incertezze o incongruenze. Il riscontro può essere effettuato attraverso la consultazione del sistema pubblico per la prevenzione del furto di identità o di altre fonti attendibili e indipendenti tra le quali rientrano le basi di dati ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione riferibili ad una pubblica amministrazione nonché a soggetti privati autorizzati ai rilascio di identità digitali (D.Lgs 82/2005 o Regolamento UE n. 910/2014). Con riferimento ai clienti diversi dalle persone fisiche e ai trust la verifica dell’identità del titolare effettivo impone l’adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprietà e di controllo del cliente. Pertanto si conferma l’obbligo di certificare l’identità del cliente attraverso un documento di identificazione e verificarne l’identità con i mezzi di identificazione elettronica. Per le società o i trust deve essere verificata tutta la catena partecipativa al fine di individuare e identificare il titolare effettivo.
La valutazione delle informazioni sullo scopo e sulla natura del rapporto continuativo va effettuata verificando la compatibilità dei dati forniti dal cliente con le informazioni acquisite autonomamente anche avuto riguardo al complesso delle operazioni compiute anche in relazione ad altri rapporti precedentemente intrattenuti col cliente. Per la verifica dello scopo del rapporto all’apertura dello stesso in assenza di una precedente conoscenza del cliente è necessario verificare le informazioni fornite dal cliente con dati acquisiti in maniera indipendente (banche dati, ecc).
Per i contratti di assicurazione vita o altre forme di assicurazione legate ad investimenti i soggetti obbligati applicano altresì misure di adeguata verifica del beneficiario del contratto di assicurazione appena individuato o designato nonché dell’effettivo percipiente della prestazione liquidata e dei rispettivi titolari effettivi. Le misure consistono nell’acquisizione del nome o della denominazione del soggetto specificamente identificato quale beneficiario e nel caso di beneficiario designato in base a particolari caratteristiche o classi, nell’acquisizione di informazioni sufficienti a consentire di verificare l’identità al momento del pagamento della prestazione.
Criteri per l’individuazione del titolare effettivo
La norma non introduce alcuna particolare novità se non per quanto riguarda le fondazioni per le quali sono cumulativamente individuati, come titolari effettivi: i fondatori, i beneficiari, quando individuati o facilmente individuabili, i titolari di funzioni di direzione e amministrazione.
Le persone giuridiche devono comunicare telematicamente ai relativi registri le informazioni attinenti la propria titolarità effettiva mentre i trust produttivi di effetti giuridici rilevanti a fini fiscali (ovvero che hanno per oggetto esclusivo o principale un’attività commerciale o meno ex art. 73 comma 1 lett. b) c) TUIR) sono tenuti all’iscrizione in una apposita sezione speciale del Registro delle imprese al quale devono essere comunicate le informazioni sulla titolarità effettiva del trust. La novità è costituita dall’obbligo di individuazione del titolare effettivo dei trust e la loro registrazione nel Registro delle Imprese. Si ricorda che in base anche alla Direttive 2015/849/UE e 2014/107/UE (che attua lo scambio di informazioni) fra i titolari effettivi devono essere inclusi tutti i soggetti coinvolti nel trust: guardiano, trustee, disponente e beneficiari sia con riferimento ai trust commerciali che a quelli che non svolgono attività di tale tipologia.
Obblighi del cliente
I clienti devono fornire per iscritto e sotto la propria responsabilità, tutte le informazioni necessarie e aggiornate per consentire ai soggetti obbligati di adempiere agli obblighi di adeguata verifica. Le persone giuridiche private ottengono e conservano, per un periodo non inferiore a cinque anni, informazioni adeguate, accurate e aggiornate sulla propria titolarità effettiva e le forniscono ai soggetti obbligati, in occasione degli adempimenti strumentali all’adeguata verifica della clientela. Le informazioni sono acquisite a cura degli amministratori, sulla base di quanto risultante dalle scritture contabili e dai bilanci, dal libro dei soci, dalle comunicazioni relative all’assetto proprietario o al controllo del cliente cui l’impresa è tenuta secondo le disposizioni vigenti. Qualora permangano dubbi in ordine alla titolarità effettiva, le informazioni sono acquisite, a cura degli amministratori, a seguito di espressa richiesta rivolta ai soci. L’inerzia o il rifiuto ingiustificati del socio nel fornire agli amministratori le informazioni da questi ritenute necessarie per l’individuazione del titolare effettivo ovvero l’indicazione di informazioni palesemente fraudolente rendono inesercitabile il relativo diritto di voto e comportano l’impugnabilità ai sensi dell’art. 2377 c.c. delle deliberazioni eventualmente assunte con l’esercizio del diritto di voto. Si applicano le norme sulla pubblicità dei patti parasociali ex art. 2341-ter cc relative alle società che ne fanno ricorso: i patti parasociali devono essere comunicati alla società e dichiarati in apertura di ogni assemblea. La dichiarazione deve essere trascritta nel verbale che deve essere depositato presso l’ufficio del registro delle imprese. In caso di mancanza della dichiarazione i possessori delle azioni cui si riferisce il patto parasociale non possono esercitare il diritto di voto e le deliberazioni assembleari adottate con il loro voto determinante sono impugnabili a norma dell’articolo 2377. Si applicano altresì le norme sui patti parasociali previste dagli artt. 120 e 122 del TUF e artt. 74 e 77 CAP.
Le informazioni relative alle fondazioni sono acquisite dal fondatore, ove in vita ovvero dagli amministratori sulla base di quanto risultante dallo statuto, dall’atto costitutivo, dalle scritture contabili e da ogni altra comunicazione o dato disponibile. I trustee di trust espressi, ottengono informazioni adeguate, accurate e aggiornate sulla titolarità effettiva del trust, ovvero sull’identità del fondatore, del trustee, del guardiano, ove esistenti, dei benefìciari o classe di beneficiari e delle altre persone fisiche che esercitano il controllo sul trust e di qualunque altra persona fisica che esercita in ultima istanza, il controllo sui beni conferiti nel trust attraverso la proprietà diretta o indiretta o attraverso altri mezzi. I trustee conservano tali informazioni per un periodo non inferiore a cinque anni dalla cessazione del loro status di trustee e le rendono prontamente accessibili alle autorità di vigilanza e se, in tale veste, instaurano un rapporto continuativo ovvero eseguono una operazione occasionale dichiarano il proprio status ai soggetti obbligati.
Altre novità introdotte dalla modifiche del testo del nuovo Decreto Lgs. 231/2007
Si segnalano gli ulteriori seguenti punti innovativi:
- è eliminato l’obbligo di tenuta dell’archivio unico informatico per gli intermediari bancari e finanziari. I sistemi di conservazione dei documenti, dei dati e delle informazioni devono consentire la ricostruzione univoca di determinati elementi essenziali e devono essere idonei a garantire il rispetto delle norme in materia di proiezione dei dati personali;
- entro il 31 dicembre 2018 devono essere estinti tutti i libretti al portatore anonimi;
- gli obblighi di comunicazione degli organi di controllo sono attenuati: devono segnalare alle autorità di vigilanza i fatti che possono integrare violazioni del decreto gravi, ripetute, sistematiche o plurime, di cui vengano a conoscenza nell’esercizio delle proprie funzioni;
- devono essere adottate procedure volte ad incentivare segnalazioni interne di violazioni, potenziali o effettive, delle disposizioni in materia di antiriciclaggio da parte del personale dipendente (c.d. whistleblowing);
- le sanzioni previste non sono a misura fissa, ma proporzionate all’inadempienza del soggetto obbligato.
L’autovalutazione del rischio da parte dei soggetti obbligati
L’art. 15 del Decreto disciplina i nuovi obblighi di valutazione del rischio da parte dei soggetti obbligati. Innanzitutto l’autorità di vigilanza dovrà dettare i criteri e le metodologie, commisurati alla natura dell’attività svolta e alle dimensioni dei soggetti obbligati, per l’analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo. Di conseguenza i soggetti obbligati dovranno adottare procedure oggettive coerenti rispetto ai suddetti criteri e metodologie tenendo conto dei fattori di rischio associati alla tipologia di clientela, all’area geografica di operatività, ai canali distributivi e ai prodotti e i servizi offerti.
E’ evidente pertanto i criteri di valutazione dei soggetti obbligati dovranno essere predisposti sulla base dell’effettiva operatività degli stessi e quindi la valutazione dovrà essere svolta in base alla tipologia di rapporti continuativi intrattenuti con la clientela e la tipologia di operazioni eseguite. Dato che la tipologia di clientela incide sulla valutazione, è evidente che i criteri di valutazione saranno differenti all’attività di business della clientela (clientela retail, private o corporate) ed all’area geografica di operatività (clienti nazionali o clienti non residenti). E essenziale valutare l’area geografica di residenza della clientela ma altresì quella con cui la propria clientela domestica opera attraverso l’analisi dei trasferimenti elettronici di fondi o operazioni con l’estero (aperture di credito documentario, finimport o finexport). E’ data una specifica attenzione ai canali distributivi ovvero all’operatività tradizionale tramite sportelli o alla contrattualizzazione a distanza o all’operatività tramite promotori o agenti o soggetti convenzionati.
La valutazione effettuata dai soggetti obbligati deve essere documentata (basata su analisi statistiche di dati) e periodicamente aggiornata a disposizione delle autorità di vigilanza.
L’esercizio dell’autovalutazione è propedeutico per far sì che i soggetti obbligati adottino presidi, controlli e procedure adeguati alla propria natura e dimensione necessari a mitigare e gestire i rischi di riciclaggio e di finanziamento del terrorismo. Inoltre anche le autorità di vigilanza individueranno i requisiti in base ai quali i soggetti obbligati dovranno adottare presidi, controlli e procedure per la valutazione e gestione del rischio.
E’ prevista l’introduzione di una funzione antiriciclaggio adeguata rispetto alle dimensioni e alla natura dell’attività nonché la nomina di un responsabile della Funzione antiriciclaggio e la previsione di una Funzione di revisione indipendente per la verifica delle politiche, dei controlli e delle procedure adottate. Da una prima lettura appare pertanto che la Funzione antiriciclaggio venga suddivisa fra:
- una Funzione antiriciclaggio operativa che potrebbe coincidere con il delegato ai sensi art. 42 D. Lgs 231/2007 per la segnalazione delle operazioni sospette
- una Funzione antiriciclaggio Compliance e Risk Management dedicata alla valutazione del rischio ed alla predisposizione dei policies, presidi, controlli e misure coerenti con le valutazioni effettuate
- infine una Funzione di revisione indipendente per la verifica delle procedure, delle policies e dei controlli che potrebbe coincidere con l’attuale funzione di revisione interna (Internal Audit).
I soggetti obbligati dovranno garantire lo svolgimento di programmi permanenti di formazione, finalizzati alla corretta applicazione delle disposizioni e delle procedure interne per il riconoscimento di operazioni connesse al riciclaggio o al finanziamento del terrorismo e l’adozione dei comportamenti stabiliti dalle procedure. Tali sistemi e procedure dovranno rispettare le prescrizioni e le garanzie stabilite dalla normativa vigente in materia di protezione di dati personali.
Procedure Sanzionatorie
Nello schema di Decreto, le sanzioni penali sono state limitate alle ipotesi di frodi con un considerevole aumento delle pene. Le sanzioni amministrative, invece, vengono aumentate e potranno essere comminate anche per mere violazioni formali anche non dolose. In assenza dell’elemento psicologico del dolo il nuovo assetto sanzionatorio amministrativo lo schema di decreto all’art. 67, ultimo comma prevede espressamente i criteri in materia di concorso formale, di continuazione e reiterazione delle violazioni per l’applicazione delle sanzioni amministrative pecuniarie (articoli 8-8bis Legge 689/1981).
Non sarà più applicabile pertanto il regime di cumulo giuridico più favorevole ai Soggetti obbligati (pena più grave aumentata del triplo) ma la regola generale sarà quella del cumulo materiale delle sanzioni, ossia dell’effettiva sommatoria delle sanzioni previste per le singole violazioni.
Nello schema di Decreto sono anche inserite ipotesi correttive che temperino parzialmente queste previsioni. L’art. 58, comma 3 prevede che ai Soggetti obbligati che, con una o più azioni od omissioni, commettano (anche in tempi diversi) una o più violazioni della stessa norma o di diverse norme previste dal Decreto in materia di Adeguata Verifica della Clientela e di conservazione da cui derivi (come conseguenza immediata e diretta) l’inosservanza dell’obbligo di segnalazione di Operazioni Sospette, si applica la sanzione prevista per la violazione più grave.
L’interpretazione letterale della norma sembrerebbe far dedurre che nei casi di prime violazioni degli obblighi di identificazione del Cliente o di conservazione dei dati che non si traducono in un’osservanza dell’obbligo di segnalazione di Operazione Sospetta (perché, in ogni caso, il Cliente o l’operazione non destano nessun allarme sotto il profilo del rischio di riciclaggio o di finanziamento al terrorismo) si dovrebbe far luogo al cumulo materiale con conseguente moltiplicarsi degli importi delle sanzioni. Rispetto invece a condotte più gravi, come quelle che conducono alla violazione dell’obbligo di segnalazione di Operazioni Sospette, si potrebbe applicare il regime più favorevole del cumulo giuridico speciale previsto dalla nuova Bozza, ossia la sanzione prevista per la violazione più grave.
Gli specialisti della materia auspicano un intervento correttivo del legislatore al fine di escludere un’applicazione generalizzato del cumulo materiale soprattutto per la violazione di obblighi meramente formali, privi di un’effettiva portata lesiva in violazione del principio comunitario di proporzionalità e forieri di un proliferarsi delle contestazioni amministrative.
Parere del Direttore dell’Unità di Informazione Finanziaria
Il Direttore dell’UIF intervenuto avanti le Commissioni riunite 2^ Giustizia e 6^ Finanze della Camera dei Deputati relativamente allo schema di decreto legislativo ha evidenziato che il provvedimento introduce molti elementi di novità utili per accrescere le potenzialità del sistema (quali il registro dei titolari effettivi, le comunicazioni oggettive, l’accesso alle informazioni investigative da parte della UIF, le norme relative alle reti dei prestatori dei servizi di pagamento e degli emittenti di moneta elettronica, la tutela della riservatezza del segnalante). Tuttavia emergono anche elementi di debolezza delle proposte normative che, se non corrette, potrebbero pregiudicare gli obiettivi di rafforzamento dell’efficacia del sistema perseguiti dalla direttiva e sull’effettivo mantenimento degli attuali livelli di prevenzione del riciclaggio e del finanziamento del terrorismo.
Si riportano di seguito in sintesi le considerazioni emerse nell’intervento.
1. Sistema sanzionatorio
L’apparato di prevenzione e contrasto si fonda sulla collaborazione degli operatori con le autorità, pertanto è necessario creare un sistema di norme che tutte le parti interessate riconoscano come improntato a equilibrio ed equità, anche in virtù di una corretta calibrazione della risposta punitiva. Le misure sanzionatorie devono essere chiare e coerenti, penalizzare in modo congruo chi si pone in una logica non collaborativa, con violazioni gravi o ripetute, efficaci, proporzionate e dissuasive e garantire il rispetto del principio di ne bis in idem. Occorre evitare che il sistema venga percepito come ingiusto perché colpisce pesantemente mancanze formali o prive di reale offensività.
Il quadro normativo che emerge dall’insieme delle disposizioni sanzionatorie è estremamente complesso e di incerta interpretazione a causa: di un intreccio di norme riguardanti i soggetti obbligati in generale e norme speciali dedicate ai soggetti vigilati trattandoli con maggiore rigore e severità (intermediari bancari e finanziari, revisori); di responsabilità in capo alle persone giuridiche, agli esponenti aziendali e pure al personale addetto; di fattispecie riguardanti violazioni gravi, ripetute, sistematiche o plurime e violazioni semplici, in quanto prive di dette qualificazioni, o di scarsa offensività o pericolosità; di competenze sanzionatorie parallele delle autorità di vigilanza e del Ministero a seconda che la responsabilità della violazione sia da riferire alla persona giuridica o alle persone fisiche che operano in essa. Il sistema, di difficile interpretazione, reca diverse previsioni di dubbia compatibilità con le indicazioni della direttiva.
Ci si riferisce al rilievo sanzionatorio che l’articolato attribuisce alle violazioni diverse da quelle qualificate come “gravi, ripetute o sistematiche ovvero plurime”, che invece sembrano essere le uniche sanzionabili. Il rilievo sotto il profilo sanzionatorio deve essere dato alle sole violazioni gravi e reiterate: sarà compito della persona giuridica e dei suoi esponenti adottare presìdi organizzativi e di governance che, in conformità delle regole dettate dalle autorità di controllo, siano in grado di intercettare eventuali comportamenti dei dipendenti in violazione degli obblighi o addirittura collusi con il criminale e, in quanto tali, passibili di sanzione penale.
Appare incerta la legittimità della disposizione che prevede la sanzionabilità del personale dei soli intermediari bancari e finanziari nel caso di omessa segnalazione delle operazioni sospette. La direttiva, infatti segna un cambio di impostazione in materia passando, con riguardo ai soggetti obbligati persone giuridiche, dalla sanzionabilità dei loro dipendenti a quella delle persone giuridiche in proprio, cui si aggiunge, al ricorrere di specifici profili di responsabilità, quella dei suoi esponenti (poteri di amministrazione, direzione e controllo), con esclusione quindi del personale. Il mantenimento della possibilità di comminare la sanzione anche ai dipendenti degli intermediari determinerebbe problemi di equità e proporzionalità, data l’entità elevata delle sanzioni (perché parametrate al valore dell’operazione sospetta non segnalata) e comunque del tutto sproporzionate rispetto alla remunerazione e alle capacità economico-patrimoniali del dipendente, nonché in contrasto col principio di ne bis in idem, quantomeno perché per lo stesso fatto la persona giuridica potrebbe rispondere sia in proprio sia come responsabile solidale dell’inosservanza del dipendente.
Le ipotesi di emendamento sono volte a rendere più proporzionato ed equo, efficace e dissuasivo l’impianto sanzionatorio antiriciclaggio anche in considerazione del fatto che il limite per le violazioni è pari al doppio dei profitti ricavati dalla violazione e comunque un importo non inferiore a un milione di euro.
2. L’assetto e la collaborazione delle autorità
Lo schema di decreto conferma il vigente assetto istituzionale e di competenze in materia. Si pongono fuori linea rispetto a questa impostazione alcune previsioni concernenti il Ministero dell’economia con l’attribuzione allo stesso del compito di promuovere la collaborazione tra le diverse autorità coinvolte nell’antiriciclaggio, realizzando il trasferimento di una prerogativa che nell’attuale legislazione spetta in proprio allo stesso quale responsabile delle politiche di prevenzione.
Anche le disposizioni concernenti l’assetto e le funzioni dell’UIF devono essere modificate per l’adeguamento ai rilievi formulati dal GAFI. Il primo aspetto riguarda l’esigenza di introdurre nel decreto una norma per indicare sinteticamente compiti, poteri e responsabilità dell’UIF la cui assenza determinerebbe una lacuna di rilievo in quanto il decreto legislativo costituisce la base giuridica e di regolamentazione fondamentale dell’UIF. La UIF andrebbe definita come la “struttura centrale nazionale con autonomi poteri di acquisizione, analisi e comunicazione delle informazioni riguardanti ipotesi di riciclaggio, di reati presupposto associati o di finanziamento del terrorismo”.
Le altre esigenze di intervento riguardanti le funzioni della UIF si collegano ai temi della collaborazione con le altre autorità e degli obblighi antiriciclaggio. In particolare non risulta chiaro, efficace e coerente con le richieste degli organismi internazionali, il mancato recepimento delle indicazioni del GAFI che ha formalmente richiesto un ampliamento dei soggetti destinatari dei risultati degli approfondimenti finanziari compiuti dalla UIF.
Molto rilevante inoltre appare la scelta di escludere dal novero dei soggetti obbligati le Pubbliche Amministrazioni, sottoposte alla disciplina antiriciclaggio fin dal l 1991. Solo talune limitate funzioni verrebbero sottoposte a forme attenuate di collaborazione. Ciò proprio quando il recente provvedimento del Ministero dell’interno sugli indicatori di anomalia e sulle procedure interne dedicate a tali enti stava cominciando ad essere applicato quantomeno in termini organizzativi con l’istituzione presso diversi enti della funzione antiriciclaggio.
3. Gli obblighi antiriciclaggio e le Segnalazioni di operazioni sospette
Lo schema di decreto conferma i pilastri su cui si fonda il sistema di prevenzione del riciclaggio e del finanziamento del terrorismo (adeguata verifica, registrazione e segnalazione delle operazioni sospette), apportandovi gli aggiornamenti richiesti dalla quarta direttiva. Tuttavia alcune previsioni in materia di segnalazione delle operazioni sospette, risultano particolarmente critiche e rischiano di produrre impatti fortemente negativi sulla collaborazione attiva antiriciclaggio. Ci si riferisce alla segnalazione che si considera tardiva ove effettuata decorsi trenta giorni dal compimento dell’operazione sospetta. La conseguenza della qualificazione della segnalazione come “tardiva” sarebbe l’irrogazione di una sanzione amministrativa nei confronti del soggetto obbligato.
L’impostazione non può essere condivisa e risulta contraria ai principi e alle prassi internazionali. Non è corretto considerare automaticamente tardiva la segnalazione di un’operazione perché effettuata dopo che sia decorso un predefinito periodo di tempo dal compimento dell’operazione. La materia della rilevazione del sospetto richiede, infatti, da parte dei segnalanti, valutazioni complesse, che spesso esulano dalla singola operazione per tener conto dell’evoluzione dell’operatività complessiva e del profilo soggettivo del cliente, e, da parte delle autorità di controllo, apprezzamenti di tipo tecnico sulla conformità agli obblighi del comportamento tenuto dai destinatari.
Gli effetti delle nuove disposizioni sarebbero dirompenti. In alcuni casi gli operatori potrebbero essere indotti ad aumentare la quantità delle segnalazioni, effettuandole con approccio cautelativo sulla base di valutazioni poco ponderate; in altri potrebbero decidere di non trasmettere alla UIF segnalazioni anche di notevole rilievo quando sia decorso il termine di 30 giorni fissato dalla legge per non incorrere in una sicura sanzione. In entrambi i casi si produrrebbe un grave depauperamento della qualità del sistema segnaletico. Le nuove previsioni, in combinazione con quelle sanzionatorie, determinerebbero l’avvio automatico di decine di migliaia di procedure sanzionatorie, difficilmente gestibili dalle autorità, prive di effettività e deterrenza, foriere anzi dei gravi effetti distorsivi richiamati. Si ritiene fondamentale eliminare dette previsioni e ripristinate le norme contenute nel documento posto in consultazione.
4. Registrazione e Conservazione dei dati
Altro punto critico che ingenera dubbi interpretativi e disfunzioni si rinviene in materia di conservazione dei dati. Occorre superare alcune ambiguità testuali della norma per chiarire che tali disposizioni sono strettamente funzionali all’adempimento degli obblighi di conservazione dei dati a fini antiriciclaggio in linea con quanto stabilito dall’attuale disciplina. In tale contesto, il riferimento agli archivi informatizzati già istituiti presso gli intermediari vigilati è importante per esigenze di continuità e conferma di uno strumento (l’Archivio Unico Informatico – AUI) da tempo utilizzato dagli operatori e dalle autorità ed essenziale per la conservazione, la tracciabilità, la verifica delle operazioni e la relativa analisi finanziaria per l’individuazione delle operazioni anomale. D’altro canto il mantenimento degli archivi esistenti, in luogo dell’istituzione di nuovi, risponde ai canoni di semplificazione ed economicità cui la norma correttamente si ispira.
5. La disciplina delle reti distributive di servizi di pagamento e moneta elettronica
Lo schema di decreto rafforza le capacità di prevenzione del comparto dei servizi di pagamento e della moneta elettronica, colmando gli attuali vuoti normativi, evitando arbitraggi regolamentari e ponendo le basi per contenere i rischi di infiltrazione criminale che caratterizzano il settore dei money transfer. I presidi consistono nel potenziamento del ruolo del punto di contatto centrale e l’omogeneizzazione delle regole riguardanti i soggetti convenzionati e gli agenti. Il punto di contatto non sarà più, come nel sistema vigente, un mero tramite per l’invio delle segnalazioni alla UIF ma avrà compiti specifici nei confronti delle reti di soggetti convenzionati e di agenti costituendo la struttura organizzativa dell’intermediario comunitario destinatario degli obblighi antiriciclaggio nazionali. L’intera rete distributiva viene assoggettata a specifici obblighi di acquisizione e conservazione di dati e di comunicazione al punto di contatto di ogni informazione rilevante ai fini della valutazione degli elementi di sospetto. Coerentemente con la qualificazione delle norme antiriciclaggio come norme di ordine pubblico, il sistema di regole estende i presìdi di prevenzione a intermediari stabiliti in Italia mediante una rete di soggetti. Viene inoltre uniformata la disciplina delle reti distributive dei servizi di pagamento e di moneta elettronica.
In relazione ai profili di vigilanza, sarebbe opportuno calibrare gli obblighi antiriciclaggio con il livello di rischio delle attività concretamente svolte, al fine di evitare inutili complicazioni burocratiche e in svantaggi competitivi per il Paese (ad es. limitare gli adempimenti in situazioni a basso rischio come i pagamenti mediante bollettini prestampati, versamenti di tributi o a enti pubblici).
Parere dell’Autorità Garante dei dati personali
Il 9 marzo 2017 l’Autorità Garante per la protezione dei dati personali ha reso noto il provvedimento n. 125 che esprime un “parere favorevole condizionato” sullo schema di decreto legislativo recante disposizioni per il recepimento della direttiva (UE) 2015/849 (c.d. “quarta direttiva”), concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Dall’analisi del documento emerge che la particolare ampiezza del novero dei soggetti tenuti ad obblighi di identificazione della clientela, di registrazione delle operazioni e di segnalazione di operazioni sospette impone un crescente impatto per i diritti delle persone e sul piano della protezione dei dati personali. Nonostante la lotta contro il riciclaggio e il finanziamento del terrorismo sia riconosciuta di interesse pubblico rilevante si riconosce a livello europeo la necessità di assicurare la protezione dei dati, in ossequio alla direttiva 95/46. La raccolta e il trattamento di dati personali da parte dei soggetti obbligati devono essere limitati a quanto necessario per conformarsi alle prescrizioni della direttiva antiriciclaggio, senza un ulteriore trattamento dei dati personali che sia incompatibile con gli scopi suddetti e con il categorico divieto di ulteriore trattamento dei dati personali a fini commerciali. E’ necessario rispettare i diritti fondamentali delle persone e i princìpi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea, il cui art. 8 garantisce ad ogni individuo il diritto alla protezione dei dati personali che lo riguardano.
Il garante ha prescritto al legislatore di procedere ad un’attuazione rigorosa in chiave di effettiva necessità, di proporzionalità e di selettività degli interventi di monitoraggio e prevenzione in materia di protezione dei dati personali anche in considerazione degli enormi flussi informativi previsti e della particolare natura del trattamento. Il garante ha espresso parere favorevole sullo schema di decreto a condizione che lo stesso sia modificato, nei seguenti termini:
a) introdurre una disposizione che preveda tra gli obblighi dell’UIF anche quelli di individuare misure idonee a garantire la protezione dei dati personali nelle comunicazioni dei dati da parte degli operatori finanziari all’UIF e sulla tenuta e gli accessi alla banca dati, da adottare sentito il Garante.
La disposizione che prevede l’adeguata verifica in caso di “sospetto” di realizzazione di operazioni tese al riciclaggio o al finanziamento del terrorismo lascia un elevato margine di discrezionalità e risulta quindi necessario individuare già nel decreto alcuni criteri generali da applicare per valutare la sussistenza di tale “sospetto”, analogamente o anche mediante rinvio a quanto previsto per la valutazione del “rischio” di riciclaggio e per l’individuazione delle operazioni sospette.
Gli obblighi di adeguata verifica della clientela consistono in alcune attività fra le quali è compresa l’identificazione del cliente e la verifica della sua identità, sulla base di documenti, dati o informazioni ottenuti da una “fonte affidabile e indipendente”. Si ritiene necessario sviluppare ulteriormente tale espressione, eventualmente anche mediante una casistica di “fonti”, chiarendo se fra di esse siano inclusi, e a quale titolo, terzi che possono contribuire alla verifica della clientela esplicitando che il trattamento dei dati da parte della “fonte” deve essere eseguito in base alla legge.
Inoltre dato che l’obbligo di identificazione da parte dei soggetti obbligati si considera assolto, anche senza la presenza fisica del cliente, per i clienti in possesso di un’identità digitale di livello massimo di sicurezza nell’ambito del Sistema di cui all’art. 64 del d.lgs. n. 82/2005, per “livello massimo di sicurezza” non si intende quello attuale, bensì quello previsto nel sistema Spid, ovvero il livello 3.
b) prevedere una nuova disposizione che rimandi ad un decreto modificativo della disciplina attuale di accesso al Sistema SCIPAFI che, previo parere del Garante, individui i presupposti, le categorie di soggetti che vi possono accedere, le procedure di abilitazione dei soggetti obbligati e i dati oggetto di riscontro per la verifica della veridicità dei dati forniti
Qualora emergano perplessità circa la veridicità dei dati identificativi forniti dal cliente per adempiere agli obblighi di adeguata verifica si prevede che il riscontro della veridicità degli stessi venga effettuato tramite la consultazione del sistema pubblico per la prevenzione del furto di identità. Al sistema di prevenzione accedono altresì i soggetti obbligati non aderenti. Al riguardo, si rende opportuno introdurre nella disposizione il rinvio a un decreto modificativo della disciplina attuale di accesso al Sistema per specificare i presupposti, le categorie di soggetti che vi possono accedere, le procedure di abilitazione dei soggetti obbligati e i dati oggetto di riscontro per la verifica della veridicità dei dati forniti.
c) inserire un rinvio ad un atto regolamentare che individui le banche dati pubbliche che dovrebbero essere consultate, ovvero tener conto che già l’accesso a SCIPAFI consente la verifica dei dati attraverso la consultazione delle banche dati pubbliche, anche ad accesso riservato, idonee a verificare l’identità
La disposizione che consente la verifica dell’identità attraverso il ricorso ad altre fonti attendibili ed indipendenti tra le quali rientrano le basi di dati ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione, riferibili a una pubblica amministrazione, è troppo generica perché non permette di individuare le banche dati pubbliche che dovrebbero essere consultate. Si ritiene opportuno che sia inserito un rinvio ad un successivo atto regolamentare che le individui.
d) ridurre, inserendo un termine certo, la durata della conservazione dei dati
Per assicurare il rispetto del principio di conservazione dei dati per il tempo strettamente necessario al raggiungimento delle finalità, si ritiene necessaria un’attenta rivalutazione sulla effettiva congruità del periodo “di almeno dieci anni” individuato nello schema per la conservazione della documentazione. Si rileva la non praticabilità dell’utilizzo del termine “almeno” che, per esigenze di certezza, va eliminata prevedendo un chiaro termine finale di conservazione. Inoltre la direttiva europea si limita a stabilire un termine di “almeno cinque anni” dalla fine del rapporto d’affari o dall’esecuzione dell’operazione e non risulta alcuna concreta dimostrazione dell’effettiva necessità di prevedere un termine maggiore. Si ritiene, poi, necessaria una rivalutazione sulla congruità del periodo “di dieci anni” per il quale è previsto che la UIF conservi in “evidenza” le segnalazioni ritenute infondate, tenuto conto anche del fatto che si tratterebbe di informazioni già valutate come non rilevanti ai fini del contrasto del riciclaggio.
e) introdurre misure di sicurezza per le comunicazioni e la conservazione dei dati inserirendo il richiamo al provvedimento che stabilisce le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali per ciò che riguarda l’utilizzo della firma digitale e a quello sulle regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici
f) richiamare le misure di sicurezza inerenti la conservazione da parte dei soggetti obbligati e di soggetti esterni
Conservazione da parte dei soggetti obbligati
Gli operatori finanziari devono “adottare sistemi di conservazione dei documenti, dati e informazioni idonei a garantire il rispetto delle norme dettate dal codice in materia di dati personali”. Si ritiene opportuno richiamare nel decreto le seguenti misure di sicurezza affinché:
a) i soggetti che trattano i dati siano scelti dagli operatori finanziari sulla base di elevati requisiti di idoneità soggettiva in termini di affidabilità e competenze, preferibilmente tra coloro che abbiano un rapporto stabile;
b) anche in considerazione delle dimensioni dell’operatore finanziario, siano adottati meccanismi di cifratura e di sicurezza, rispettivamente finalizzati a proteggere le informazioni contenute nei file e ad assicurare l’integrità del contenuto e a prevenirne alterazioni;
c) l’accesso alle informazioni in tutte le fasi del trattamento, anche dopo la cifratura, sia circoscritto ad un numero il più possibile limitato di incaricati;
d) qualora gli operatori finanziari decidano di affidare la comunicazione a soggetti esterni, designati responsabili o incaricati del trattamento, i dati siano loro forniti già cifrati.
Conservazione da parte di soggetti esterni
I soggetti obbligati possono avvalersi di un autonomo centro di servizi, ovvero di un soggetto esterno, per la conservazione di documenti, dati e informazioni, purché sia assicurato ai soggetti obbligati l’accesso diretto e immediato al sistema di conservazione. Con riferimento al ruolo assunto dal centro di servizi, rispetto al trattamento dei dati personali, occorre prescrivere che:
a) tale soggetto sia preventivamente designato quale responsabile del trattamento, che deve offrire idonee garanzie;
b) siano fornite a tale soggetto adeguate istruzioni;
c) il titolare vigili sul trattamento da effettuare, con particolare riguardo alle ipotesi in cui tale soggetto sia designato responsabile da più operatori, al fine di garantire misure di carattere tecnico organizzativo volte ad assicurare la segregazione dei flussi con ciascun operatore.
g) prevedere adeguate modalità di gestione della c.d. “lista nazionale” che riguarda la designazione di persone o entità e il conseguente congelamento dei loro fondi e risorse economiche (cfr. nuovo art. 4-bis nel d.lgs. 22 giugno 2007, n. 109)
h) adottare accorgimenti e misure a protezione dei dati personali per la notifica, mediante posta elettronica certificata, da parte del Nucleo speciale polizia valutaria della Guardia di finanza ai soggetti designati dell’avvenuto congelamento delle risorse economiche e della loro successiva assunzione da parte dell’Agenzia del demanio (cfr. nuovo art. 11 del d.lgs. 22 giugno 2007, n. 109).
Infine, per assicurare una disciplina omogenea della materia è opportuno che, qualora i diversi decreti attuativi, regole o specifiche tecniche, protocolli di intesa e convenzioni citati nello schema di decreto prevedano anche una disciplina sulla riservatezza delle informazioni, i medesimi atti vengano adottati su conforme parere del Garante.