Il Decreto Legge n. 76/2020 (c.d. “Decreto Semplificazioni”) [1] reca importanti novità con specifico riferimento alla disciplina antiriciclaggio applicabile a banche ed intermediari finanziari, nonché con riferimento alle procedure di identificazione della clientela per l’accesso ai servizi bancari.
Le novità sono rilevanti e, di per sé, funzionali a favorire i processi di onboarding digitale.
Per quanto attiene alla disciplina antiriciclaggio, il legislatore nazionale, con un intervento “chirurgico” adottato a livello di normativa primaria contenuta nel decreto legislativo 21 novembre 2007, n. 231, ha inteso rimuovere taluni ostacoli e semplificare le procedure di adeguata verifica a distanza [2].
In particolare, nell’ambito delle “misure per la semplificazione e la diffusione della firma elettronica avanzata e dell’identità digitale per l’accesso ai servizi bancari” previste dall’art. 27 del D.L. n. 76/2020, il legislatore primario ha modificato gli articoli 1, comma 2, lett. n), 18 e 19 del decreto legislativo 21 novembre 2007, n. 231.
In primo luogo – attraverso la modifica dell’art. 1, comma 2, lett. n) e dell’art. 18, comma 1, lett. a) – è venuta meno la necessità in capo ai destinatari della normativa antiriciclaggio di acquisire copia e riscontrare in ogni caso il documento d’identità del cliente in sede di assolvimento degli obblighi di adeguata verifica a distanza, sulla base di documenti, dati ed informazioni ottenuti da una fonte affidabile ed indipendente, compresi gli strumenti di verifica dell’identità digitale, idonei e sicuri, previsti dalla normativa europea [3]. Non sarà pertanto più necessario, in caso di adeguata verifica a distanza, trasmettere da parte della clientela ed acquisire e riscontrare da parte degli intermediari, copia del documento di identità del cliente [4]. Tale semplificazione, pare doveroso evidenziarlo, riguarda i casi di adeguata verifica a distanza e non si estende anche ai casi di adeguata verifica svolta in presenza del cliente [5].
Sempre in ambito di adeguata verifica della clientela a distanza è stata valorizzata l’ipotesi in cui il cliente possiede un’identità digitale con specifiche caratteristiche, i cui dati sono tratti da una fonte attendibile, indipendente ed elettronica.
A tal proposito è stato riformulato l’art. 19, comma 1, lettera a), n. 2 del D.lgs. n. 231/2007 il quale disciplina le modalità di adempimento dell’obbligo di adeguata verifica a distanza [6], prevedendo oggi che tale obbligo sia considerato assolto attraverso l’utilizzo di strumenti di identificazione digitali quando:
- il cliente possiedeun’identità digitale di livello di garanzia “almeno significativo” [7] rilasciata nell’ambito del Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni (c.d. SPID), così come previsto dall’art. 64 del D.lgs. n. 82/2005 (c.d. “CAD”) e dalla relativa normativa regolamentare di attuazione;
- il cliente possiedeun’identità digitale con livello di garanzia “almeno significativo” rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’art. 9 del Regolamento (UE) n. 910/2014 (c.d. Regolamento eIDAS);
- il cliente possiede un certificato per la generazione della firma elettronica qualificata (c.d. FEQ);
- il cliente è identificato per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale.
Pertanto, mentre la normativa precedente richiedeva il possesso di un’identità digitale “di livello massimo di sicurezza”, in ragione delle novità introdotte, ai fini dell’adempimento degli obblighi di adeguata verifica a distanza, è sufficiente oggi che il cliente sia in possesso di un’identità digitale con livello di garanzia “almeno significativo”, intendendosi ricompresi in tal senso i livelli di garanzia “significativo” ed “elevato” indicati ai sensi dell’8 del Regolamento (UE) n. 910/2014 (c.d. eIDas) [8]. In secondo luogo, superando i dubbi interpretativi del passato, il Decreto Semplificazioni ha specificato che, oltre al possesso di un’identità digitale di livello di garanzia “almeno significativo” rilasciata nell’ambito di un regime di identificazione elettronica (notificato) compreso nell’elenco ai sensi dell’art. 9 del Regolamento eIDAS (ad es: CIE), è consentita l’identificazione a distanza anche del cliente in possesso di un certificato per la generazione di firma elettronica qualificata (c.d. FEQ) incluso nel novero dei servizi fiduciari del medesimo Regolamento eIDAS.
Rilevanti novità sono poi previste per l’adeguata verifica a distanza per il comparto delle carte di pagamento e dispositivi analoghi.
Il novellato art. 19, comma 1, lett. a) n. 4 –bis) del D.lgs. n. 231/2007 prevede oggi che, in caso di instaurazione di rapporti continuativi relativi a carte di pagamento e dispositivi analoghi, nonché a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, l’identificazione del cliente a distanza possa avvenire tramite l’esecuzione di un bonifico disposto dal cliente stesso verso un conto di pagamento intestato al soggetto destinatario della normativa antiriciclaggio – tenuto quindi ad adempiere all’adeguata verifica del cliente – a condizione che il bonifico sia stato disposto previa identificazione elettronica basata su credenziali che assicurano i requisiti di autenticazione forte previsti dal Regolamento delegato (UE) 2018/389 della Commissione del 27 novembre 2017 [9]. In tale ipotesi infatti, l’idonea e valida identificazione digitale del cliente risulta già essere stata svolta dal prestatore del servizio di radicamento del conto di provenienza del bonifico.
È stato infine precisato che la verifica dell’identità del cliente – ai sensi dell’art. 19, comma 1, lett. b) del D.lgs. n. 231/2007 – richiede il riscontro della veridicità dei dati identificativi contenuti nei documenti e nelle informazioni acquisiti all’atto di identificazione “solo” laddove sussistano dubbi, incertezze o incongruenze.
Per quanto attiene alle misure atte a semplificare e diffondere la firma elettronica avanzata (cd. FEA), rileva il disposto del primo comma dell’art. 27 del Decreto Semplificazioni. Il legislatore nazionale difatti amplia le modalità di identificazione dell’utente, ai fini del rilascio della FEA, grazie alla previsione di tre soluzioni, prevedendo in ogni caso il continuo rispetto sia delle regole tecniche di cui all’articolo 20, comma 3, del CAD in materia di generazione, apposizione e verifica della stessa firma, sia della disciplina europea, ossia del regolamento eIDAS.
È quindi ora possibile, per il rilascio della firma elettronica avanzata, procedere alla verifica dell’identità dell’utente anche tramite:
- una procedura di identificazione elettronica e di autenticazione informatica basata su credenziali, in grado di soddisfare i requisiti di sicurezza previsti dall’articolo 4 del Regolamento delegato (UE) 2018/389 di integrazione della direttiva PSD2 [10], attribuite dal soggetto che eroga la firma elettronica avanzata all’utente che la richiede già identificato dall’intermediario bancario e finanziario, ai sensi articolo 19 del d. lgs. n. 231/2007;
- una procedura di identificazione elettronica e di autenticazione informatica, basata su credenziali già rilasciate all’utente nell’ambito dello SPID di secondo livello di sicurezza di autenticazione informatica [11];
- una procedura di identificazione elettronica e di autenticazione informatica basata su credenziali di livello almeno «significativo», nell’ambito di un regime di identificazione elettronica notificato, con esito positivo, ai sensi dell’articolo 9 del Regolamento eIDAS [12].
[1] In data 16 luglio 2020 è stato pubblicato sulla Gazzetta Ufficiale n. 178 il decreto-legge n. 76, recante misure urgenti per la semplificazione e l’innovazione digitale; il predetto decreto legge è stato convertito in legge con modificazioni apportate dalla Legge 11 settembre 2020, n. 120 entrata in vigore in data 15 settembre 2020 a seguito della sua pubblicazione sulla Gazzetta Ufficiale n. 228 del 14 settembre 2020.
[2] Nella Relazione Illustrativa del Decreto Semplificazioni si legge che “L’obiettivo, in attesa di un più ampio e necessario adeguamento al diritto UE della disciplina nazionale, è quello di eliminare quegli oneri ulteriori e non necessari, di goldplating, imposti dal diritto nazionale, semplificando e rendendo meno oneroso l’adempimento degli obblighi di adeguata verifica dei clienti nel caso di instaurazione di rapporti contrattuali a distanza, mediante l’utilizzo di strumenti di pagamento digitali, fermo restando l’assoluto rispetto degli standard e delle regole imposte dal diritto europeo. La semplificazione proposta consente un rilevante snellimento e maggiore sicurezza dei procedimenti di onboarding dei clienti per ottenere strumenti di pagamento digitali, favorendo l’operatività a distanza, particolarmente importante anche a seguito della recente pandemia di COVID-19, con contestuale rafforzamento dei relativi presidii di sicurezza e dei controlli antiriciclaggio”.
[3] Si noti inoltre che ai sensi dell’art. 24 del Decreto Semplificazioni, è stato introdotto il comma 2- duodecies all’art. 64 del D.lgs. n. 82/2005, il quale ora sancisce che “La verifica dell’identità digitale con livello di garanzia almeno significativo, ai sensi dell’articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente, di cui all’articolo 35 del. decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. L’identità digitale, verificata ai sensi del presente articolo e con livello di sicurezza almeno significativo, attesta gli attributi qualificati dell’utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo le modalita’ stabilite da AgID con Linee guida”.
[4] Tale riscontro non è richiesto dall’art. 13 della Direttiva (UE) 2015/849 (c.d. IV Direttiva AML), così come modificato dalla Direttiva (UE) 2018/843 (c.d. V Direttiva AML).
[5] Si evidenzia infatti come l’art. 19, primo comma lettera a) del D.lgs. n. 231/2007, nel determinare le modalità con cui adempiere agli obblighi di adeguata verifica della clientela – anche a seguito dell’emanazione del D.L. n. 76/2020 – richiede che l’identificazione del cliente svolta in presenza contempli ancora l’”esibizione di un documento d’identità in corso di validità o altro documento di riconoscimento equipollente ai sensi della normativa vigente”.
[6] L’art. 19, comma 1, lett. a), n. 2 del D.lgs. n. 23172007, così come modificato dall’art. 27, terzo comma del D.L. n. 76/2020, prevede oggi che l’obbligo di adeguata verifica del cliente “a distanza”, si considera assolto nel caso in cui il cliente sia “in possesso di un’identità digitale, con livello di garanzia almeno significativo, nell’ambito del Sistema di cui all’articolo 64 del predetto decreto legislativo n. 82 del 2005, e della relativa normativa regolamentare di attuazione, nonché di un’identità digitale con livello di garanzia almeno significativo, rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale”.
[7] In particolare, secondo la previsione dell’articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari nelle transazioni elettroniche nel mercato interno, l’identità digitale deve essere verificata e la verifica può essere graduata secondo i livelli di garanzia basso, significativo, elevato. Nel caso di specie quindi, l’identità digitale del cliente da identificare deve avere un livello di garanzia “significativo” o “elevato”. Cfr. sul punto altresì il Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell’8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
[8] Sul punto, la Commissione, mediante il Regolamento di esecuzione (UE) 2015/1502, ha definito le specifiche norme e procedure tecniche minime in riferimento alle quali sono individuati i livelli di garanzia basso, significativo ed elevato dei mezzi di identificazione elettronica.
[9] Il nuovo art. 19, primo comma, lett. a), n. 4-bis del D.lgs. n. 231/2007 prevede che l’adeguata verifica a distanza si considera assolta anche nel caso di clienti che “previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall’articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all’obbligo di identificazione. Tale modalità di identificazione e verifica dell’identità può essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonché a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l’informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento”.
[10] Il suddetto Regolamento Delegato, integrativo della direttiva PSD2, individua le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.
[11] Il DPCM del 24 ottobre 2014 individua tre livelli di sicurezza di autenticazione informatica dello SPID: (i) primo livello, in cui il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a un solo fattore (ad es. la password); (ii) secondo livello, in cui il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali; (iii) terzo livello, in cui il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali.
[12] Con questa procedura, sarà possibile identificare l’utente ed erogare la firma elettronica avanzata tramite la Carta di identità elettronica, così rafforzando la diffusione e l’utilizzo di tale strumento.