Il presente contributo analizza gli effetti delle Linee guida EBA sul remote onboarding rispetto alla disciplina semplificata degli obblighi di adeguata verifica attuabile in presenza di fattispecie a basso rischio di riciclaggio e connessa alla possibilità di completare il processo di customer due diligence successivamente all’apertura e all’esecuzione del rapporto continuativo.
E’ noto che nell’ultimo trimestre dell’anno 2022 l’articolato framework normativo in materia antiriciclaggio si è arricchito con la pubblicazione, da parte dell’EBA, degli “Orientamenti sull’utilizzo di soluzioni di onboarding a distanza del cliente per le finalità di cui all’articolo 13, paragrafo 1, della direttiva (UE) 2015/849” (la “AMLD”), orientamenti che si inscrivono nell’ambito del significativo ampliamento delle competenze normative demandate all’EBA ai sensi del Regolamento (UE) 1093/2010[1] e che sono entrati in vigore lo scorso 2 ottobre (le “Remote Onboarding Guidelines”).
L’adozione delle Remote Onboarding Guidelines è stata sollecitata, in particolare, dalla Commissione Europea con la pubblicazione in data 24 settembre 2020 della “Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni relativa a una strategia in materia di finanza digitale per l’UE”[2]: in assenza di puntuali regole europee con riguardo alle modalità di svolgimento dell’adeguata verifica a distanza dei clienti e preso atto della frammentazione della regolamentazione e delle prassi in uso nei diversi Stati Membri, la Commissione Europea ha invitato l’EBA a elaborare orientamenti che garantissero una maggiore convergenza degli ordinamenti nazionali sugli elementi necessari all’adeguata verifica della clientela nei casi di remote onboarding.
La Banca d’Italia ha dichiarato all’EBA l’intenzione di conformarsi alle Remote Onboarding Guidelines e, con nota n. 32 del 13 giugno 2023, ha attribuito a tali guidelines lo status di orientamenti di vigilanza[3].
In data 15 giugno 2023 la Banca d’Italia ha, inoltre, avviato una pubblica consultazione avente a oggetto, da un lato, l’applicabilità delle Remote Onboarding Guidelines anche agli intermediari finanziari iscritti all’albo di cui all’art. 106 TUB (incluse le fiduciarie), ai soggetti eroganti micro-credito, a Cassa Depositi e Prestiti e a Poste Italiane per l’attività di bancoposta e, dall’altro lato, l’individuazione di un termine entro cui gli intermediari dovranno adeguarsi agli Orientamenti EBA[4].
Nell’enunciare le misure che gli enti finanziari sono chiamati ad assumere al momento di adottare o rivedere soluzioni per adempiere a distanza agli obblighi di adeguata verifica previsti dall’articolo 13, paragrafo 1, lettere a), b) e c), della AMLD, suscita interesse la previsione secondo la quale le policy e le procedure interne debbono includere “i controlli in essere per assicurare che la prima operazione con un nuovo cliente sia eseguita solo dopo l’applicazione di tutte le misure di adeguata verifica iniziale della clientela”.
La formulazione della linea guida sopra trascritta, non accompagnata da deroghe o limitazioni, merita qualche breve riflessione alla luce del quadro normativo nel quale le Remote Onboarding Guidelines si collocano, avendo in mente i possibili impatti sui processi di remote onboarding sviluppati dagli operatori creditizi.
In particolare, nei settori tradizionalmente considerati a contenuto rischio di riciclaggio (ad esempio, il settore del credito al consumo, quello dei prestiti finalizzati e, tra gli altri, il recente segmento del c.d. buy-now-pay-later) si sono diffuse soluzioni di onboarding digitale ove una parte non irrilevante del processo di identificazione della clientela è successivo alla stipulazione e all’esecuzione del contratto: ci si riferisce, a titolo esemplificativo, ai controlli ulteriori sui dati identificativi dei clienti previsti dalla Sezione VIII delle “Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo” adottate dalla Banca d’Italia in data 30 luglio 2019 (le “Disposizioni sull’Adeguata Verifica”), il cui adempimento prima dell’instaurazione del rapporto impedirebbe di soddisfare le esigenze finanziarie della clientela nei tempi assai ristretti imposti dalla natura del prodotto o servizio.
Invero, tali soluzioni tecnologiche trovano solido fondamento normativo nell’art. 18, comma 3, del d.lgs. n. 231/2007, attuativo dell’art. 14, paragrafo 2, della AMLD, che consente agli operatori di posticipare alcuni processi di controllo a un momento successivo all’instaurazione del rapporto, beninteso nei casi di basso rischio di riciclaggio e di finanziamento del terrorismo [5].
Occorre quindi domandarsi se, con le richiamate Remote Onboarding Guidelines, l’EBA abbia inteso rimettere in discussione la facoltà di semplificazione degli obblighi di adeguata verifica in presenza di fattispecie a basso rischio di riciclaggio, prospettando quale soluzione virtuosa quella che include sempre il completamento della customer due diligence prima di instaurare un rapporto continuativo con un nuovo cliente[6].
La risposta a tale interrogativo parrebbe negativa, alla luce del framework normativo sopra tratteggiato, avuto particolare riguardo all’evoluzione delle norme comunitarie in materia di contrasto al riciclaggio e di finanziamento del terrorismo.
Sino al 26 giugno 2017 (data di entrata in vigore della AMLD), l’art. 13, paragrafo 2, della previgente direttiva 2005/60/CE consentiva ai soggetti obbligati di utilizzare tecniche di comunicazione a distanza per l’identificazione dei clienti solo applicando misure rafforzate di adeguata verifica. La ragione di tale previsione era da ricercarsi nella maggiore rischiosità attribuita al tempo alle soluzioni di onboarding digitale, in considerazione dell’assenza di contatto tra l’operatore e il cliente. Di contro, la vigente AMLD ha inteso favorire l’utilizzo delle nuove opportunità offerte dall’evoluzione tecnologica ai fini dell’adempimento degli obblighi antiriciclaggio. Da un lato, infatti, il testo dell’art. 18 della AMLD (recepito in Italia dall’art. 24 del d.lgs. n. 231/2007) non prevede più l’applicabilità di misure rafforzate di adeguata verifica nell’ipotesi in cui l’identificazione del cliente avvenga da remoto. Dall’altro lato, l’art. 15 della AMLD (recepito in Italia dall’art. 23 del d.lgs. n. 231/2007) non stabilisce limiti all’utilizzo di misure di identificazione a distanza laddove, in presenza di un basso rischio di riciclaggio, gli intermediari scelgano di strutturare processi di adeguata verifica semplificata.
Il radicale mutamento di approccio è testimoniato, tra l’altro, dalle guidelines “Anti-Money Laundering and Terrorist Financing Measures and Financial Inclusion” pubblicate dal GAFI nel novembre 2017 al fine di integrare le “Guidance on AML/CFT Measures and Financial Inclusion” del 2013 e le “Recommendations” del 2012[7]. Diversamente dalle precedenti guidelines sulla “Customer due diligence for banks” pubblicate dal Comitato di Basilea nell’ottobre 2001 – in cui si rilevava che l’utilizzo di tecniche di identificazione a distanza di per sé comportava un maggior rischio per gli operatori[8] – il GAFI affermava che l’utilizzo di nuove tecnologie per lo sviluppo di operatività a distanza “does not […] call for additional CDD measures in all cases”.
Anche la Banca d’Italia, nell’ambito della consultazione svoltasi nel 2018 per l’aggiornamento delle Disposizioni sull’Adeguata Verifica a seguito del recepimento in Italia della AMLD, aveva confermato la diversa direzione impressa dal legislatore comunitario con l’emanazione della nuova direttiva, ivi affermando che, “in coerenza con l’evoluzione della tecnologia […] le ipotesi di operatività a distanza non sono più qualificate come ad alto rischio automatico”[9].
Peraltro, la stessa EBA aveva già escluso che i processi di adeguata verifica a distanza comportassero di per sé la necessità di approntare misure rafforzate di adeguata verifica. Ci si riferisce, da un lato, agli “Orientamenti ai sensi dell’articolo 17 e dell’articolo 18, paragrafo 4, della direttiva (UE) 2015/849 sulle misure di adeguata verifica della clientela e sui fattori che gli enti creditizi e gli istituti finanziari dovrebbero prendere in considerazione nel valutare i rischi di riciclaggio e finanziamento del terrorismo associati ai singoli rapporti continuativi e alle operazioni occasionali” emanati in data 1° marzo 2021 ed emendati lo scorso 31 marzo 2023 (le “Risk Factors Guidelines”), laddove l’Autorità ha affermato che gli enti creditizi dovrebbero valutare se l’instaurazione di un rapporto senza la presenza fisica del cliente determini un maggior rischio di riciclaggio e di finanziamento al terrorismo e, solo laddove tale rischio risulti elevato, applicare misure rafforzate di adeguata verifica[10]. Dall’altro lato, giova richiamare quanto affermato dall’EBA nel final report delle Remote Onboarding Guidelines, laddove si enuncia che “these guidelines apply to standard remote customer onboarding journeys. Nevertheless, in situations where simplified due diligence could be applied, credit and financial institutions may adjust the elements of these guidelines that relate to the nature and type of verification data and documentation in line with a risk-based approach. Paragraphs 4.40 to 4.44 of the EBA ML/TF Risk Factors Guidelines set out what simplified due diligence might entail”.
Da qui pare quindi di poter concludere che le Remote Onboarding Guidelines non dovrebbero limitare la facoltà degli intermediari vigilati di completare la customer due diligence successivamente all’apertura e all’esecuzione del rapporto continuativo, in presenza di fattispecie a basso rischio di riciclaggio, in linea peraltro con il basilare principio di proporzionalità nell’adozione dei presidi per il contrasto al riciclaggio scolpito nell’art. 2, paragrafo 2, del d.lgs. n. 231/2007.
Nel contempo, appare opportuno che le procedure interne degli intermediari, anche in ottica di adeguamento alle Remote Onboarding Guidelines, prevedano, tra l’altro: (i) le tipologie di prodotti e di clienti a cui troveranno applicazione i processi di remote onboarding che consentiranno di concludere le attività di identificazione della clientela in un momento successivo alla concessione del finanziamento; (ii) la tempistica entro la quale le attività di identificazione del cliente dovranno necessariamente essere concluse, tenendo presente che l’art. 18, comma 3, del d.lgs. n. 231/2007 e le Disposizioni sull’Adeguata Verifica impongono di terminare tali attività entro trenta giorni dall’instaurazione del rapporto; (iii) i rimedi da adottare in caso di impossibilità a concludere il processo di identificazione della clientela [11].
[1] Le competenze dell’EBA in ambito di contrasto al riciclaggio e al finanziamento del terrorismo sono state introdotte ad opera del Regolamento (UE) 2019/2175 che ha modificato il citato Regolamento (UE) 1093/2010, attribuendo all’EBA, tra l’altro, il compito di elaborare “orientamenti e norme comuni per prevenire e contrastare il riciclaggio e il finanziamento del terrorismo nel settore finanziario e promuoverne l’applicazione uniforme, in particolare elaborando […] orientamenti, raccomandazioni e altre misure”.
[2] Cfr. eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020DC0591
[3] Cfr. Nota-n.32-del-13-giugno-2023.pdf (bancaditalia.it)
[4] La consultazione si è conclusa lo scorso 14 settembre e si è in attesa della pubblicazione da parte della Banca d’Italia dell’esito della consultazione.
[5] L’art. 18, comma 3, del d.lgs. n. 231/2007 stabilisce che “in presenza di un basso rischio di riciclaggio o di finanziamento del terrorismo, la verifica dell’identità del cliente, … può essere posticipata ad un momento successivo all’instaurazione del rapporto …, qualora ciò sia necessario a consentire l’ordinaria gestione dell’attività oggetto del rapporto”. In tali casi, i soggetti obbligati devono acquisiscono i “dati identificativi del cliente … e dei dati relativi alla tipologia e all’importo dell’operazione e completano le procedure di verifica dell’identità dei medesimi al più presto e, comunque, entro trenta giorni dall’instaurazione del rapporto o dal conferimento dell’incarico”.
[6] La formulazione in esame delle Remote Onboarding Guidelines ha destato alcuni dubbi anche nel corso del processo di pubblica consultazione per la loro adozione.
[7] Le raccomandazioni del GAFI sono state considerate dal legislatore comunitario nella redazione della AMLD; si veda in proposito il Considerando n. 4 della citata direttiva, che prevede che “l’azione dell’Unione dovrebbe continuare ad avere particolare considerazione delle raccomandazioni del GAFI e degli strumenti di altri organismi internazionali attivi nella lotta contro il riciclaggio e il finanziamento del terrorismo…”.
[8] Le guidelines del Comitato di Basilea sancivano, infatti, che “in accepting business from non-face-to-face customers:
- banks should apply equally effective customer identification procedures for non- face-to-face customers as for those available for interview; and
- there must be specific and adequate measures to mitigate the higher risk”.
[9] Cfr. documento_consultazione_adeguata_verifica.pdf (bancaditalia.it)
[10] Le Risk Factors Guidelines, dopo aver richiesto agli enti creditizi di “valutare se la natura a distanza del rapporto continuativo o dell’operazione occasionale determina un maggiore rischio di ML/TF”, stabiliscono che “laddove il rischio associato a un rapporto continuativo o a un’operazione occasionale a distanza risulti elevato, le imprese dovrebbero applicare misure rafforzate di adeguata verifica della clientela in linea con gli orientamenti 4.46”.
[11] Con riguardo a quest’ultimo aspetto, si rammenta che il combinato disposto degli artt. 18, comma 3, e 42 del d.lgs. n. 231/2007 prevede che, nel caso di impossibilità oggettiva a completare la verifica dell’identità del cliente entro trenta giorni successivi all’instaurazione del rapporto, i soggetti obbligati “si astengono dall’instaurare, eseguire ovvero proseguire il rapporto […]”, ma non disciplina gli effetti di tale obbligo sui rapporti contrattuali già validamente instaurati.