Il sistema di contrasto al riciclaggio ed al finanziamento del terrorismo ha diversi punti cardine inalienabili, tra i quali l’assoluta riservatezza garantita alle segnalazioni di operazioni sospette (SOS), a qualsiasi informazione a queste collegate, nonché l’imprescindibile tutela del segnalante, sia esso il soggetto obbligato ovvero la persona fisica che materialmente ha segnalato l’operazione all’Autorità di Controllo.
Tuttavia, recentemente, si sta assistendo nel nostro Paese ad una patologica divulgazione – sugli organi di stampa – di informazioni relative a segnalazioni di operazioni sospette, se non addirittura alla pubblicazione di elementi che consentono l’individuazione delle persone che le hanno effettuate.
Senza voler commentare ed entrare nel dettaglio dei singoli casi, appare opportuno richiamare quanto previsto dal D. Lgs. 231/2007 che, con gli artt. 38 e 39, disegna un assetto estremamente rigido in termini sia di tutela dell’identità di colui il quale effettua la SOS che per quanto concerne il divieto di comunicare a soggetti estranei alle Autorità di Controllo qualsiasi tipo di informazione comunque collegata alla segnalazione. La riservatezza garantita a tutela del segnalante impone anche all’Autorità Giudiziaria, oltre che alle Autorità di Controllo, di non inserire “il nominativo del segnalante nel fascicolo del Pubblico Ministero”, prevedendo – residualmente – la possibilità per la stessa A.G. di conoscere chi ha fatto la segnalazione solo se “lo ritenga indispensabile ai fini dell’accertamento dei reati per i quali si procede”, previa emissione di apposito “decreto motivato”. A conferma del fatto che il Legislatore ritenga adamantino il principio che tutela il segnalante, la sua identità non può essere “menzionata” neanche nel caso in cui, da una segnalazione di operazione sospetta, derivi una comunicazione di notizia di reato da parte della polizia giudiziaria.
La sanzione[1], in caso di violazione agli obblighi di riservatezza dei dati relativi alle SOS, prevede, salvo che il fatto costituisca più grave reato, l’arresto da sei mesi a un anno e l’ammenda da € 5.000 a € 30.000.
In relazione alla riservatezza che un adeguato sistema AML dovrebbe garantire alle segnalazioni di operazioni sospette, è interessante richiamare la dichiarazione rilasciata negli Stati Uniti dal Financial Crimes Enforcement Network[2] (FinCEN) il 1 settembre 2020[3], anche al fine di effettuare un confronto su come il sistema antiriciclaggio americano si pone rispetto alla tutela delle informazioni relative alle SOS.
Nella dichiarazione, il FinCEN evidenzia di essere a conoscenza che organi di stampa intendono pubblicare illegalmente articoli basati su alcune segnalazioni di operazioni sospette (“Suspicious Activity Report – SAR”), nonché altre infornazioni sensibili e, a tal proposito, rammenta che la divulgazione non autorizzata di una SAR è un reato che può avere un impatto sulla sicurezza nazionale degli Stati Uniti, compromettere le indagini delle forze di polizia e minacciare la sicurezza del sistema AML nonché quella delle istituzioni e dei soggetti che trasmetto le segnalazioni. FinCEN specifica, inoltre, di aver già informato di tale circostanza i Dipartimenti di Giustizia e del Tesoro degli Stati Uniti.
L’orientamento che si evidenzia è quello di una estrema intransigenza al fine di proteggere la riservatezza alla base del sistema AML, improntato sulla collaborazione attiva dei soggetti obbligati, che si esplicita nella trasmissione delle segnalazioni di operazioni “in odore di riciclaggio”. Infatti, la segretezza delle SARs è regolamentata da appositi provvedimenti del FinCEN[4] con cui si obbligano le agenzie federali e le forze di polizia, gli organismi di autoregolamentazione e le istituzioni finanziarie a garantirne ed a preservarne la segretezza[5].
La necessità di mantenere l’integrità di qualsiasi informazione collegata alle SARs deriva dal fatto che la divulgazione non autorizzata di qualsiasi elemento potrebbe danneggiare indagini in corso o future, dissuadere le istituzioni finanziarie a inoltrare le segnalazioni nonché compromettere la sicurezza delle istituzioni stesse e delle persone che trasmettono tali segnalazioni. Eventuali divulgazioni di una SAR possono pregiudicare il ruolo essenziale nella protezione del sistema finanziario e nella prevenzione e individuazione di crimini finanziari e finanziamento del terrorismo; infatti, la FIU americana evidenzia come il successo del sistema di segnalazione dipenda proprio dalla fiducia del settore finanziario che tali segnalazioni siano adeguatamente “protette” dalle Autorità di Controllo.
Per raggiungere tali obiettivi, sia le Autorità governative che i soggetti obbligati sono fortemente incoraggiati a strutturare le proprie organizzazioni interne al fine di garantire che la riservatezza delle SARs venga mantenuta[6], anche assicurando che tutti i soggetti a conoscenza della segnalazione o di qualsiasi informazione che ne rivelerebbe l’esistenza siano adeguatamente formati, anche in merito alle sanzioni – civili e penali – previste per il mancato rispetto degli obblighi di riservatezza.
La divulgazione non autorizzata di informazioni relative ad una SAR è una violazione di carattere federale, punita in maniera sicuramente più severa se confrontata con la normativa italiana. Infatti, possono essere applicate sanzioni civili[7] fino a $ 100.000 per ogni violazione, nonché sanzioni penali[8] con pene pecuniarie fino a $ 250.000 e/o con la reclusione non superiore a cinque anni. A differenza della clausola prevista nell’ordinamento italiano (“salvo che il fatto costituisca più grave reato”), nella legislazione statunitense viene specificato che le sanzioni penali previste per la violazione agli obblighi di riservatezza delle SARs possono aumentare se, oltre allo specifico illecito, siano commessi altri reati ovvero qualora la violazione della riservatezza sia parte di una più complessa attività illecita. Inoltre, le istituzioni finanziarie possono essere sanzionate nell’ipotesi in cui si riscontrino carenze (es. controlli interni, formazione, ecc.) che hanno portato alla divulgazione impropria della SAR con pene fino a $ 25.000 al giorno, per ogni giorno in cui la violazione/carenza viene accertata.
Più volte le Autorità americane hanno perseguito funzionari di Agenzie federali o di istituzioni finanziarie colpevoli di aver divulgato informazioni relative a segnalazioni antiriciclaggio. È il caso – ad esempio – di un consigliere senior del FinCEN processata quest’anno per aver fornito notizie ad un giornalista in merito a transazioni sospette collegate a diplomatici russi; nel 2019, poi, un analista dell’Internal Revenue Service (IRS)[9] ha patteggiato una pena di 5 anni di libertà vigilata ed una multa di $ 5.000per una fuga di notizie relative ad una SAR sull’ex avvocato personale del Presidente Trump, Michael Cohen, coinvolto nell’inchiesta Russiagate.
Infine, giova richiamare un differente approccio in termini di “dialogo” tra FinCEN ed i soggetti obbligati rispetto a quanto avviene in Italia; infatti, le istituzioni che vengono a conoscenza di una possibile divulgazione non autorizzata di una SAR ovvero sono convocate da un’Autorità per riferire in ordine ad una segnalazione, sono invitate ad informare immediatamente FinCEN. Inoltre, la stessa Autorità di Controllo ha istituito un apposito ufficio di assistenza (Regulatory Helpline) a supporto dei soggetti obbligati per fornire chiarimenti interpretativi sull’applicazione delle direttive in materia di riservatezza delle SARs.
[1] Prevista dall’art. 55 comma 4 D. Lgs. 231/2007.
[2] Il Financial Crimes Enforcement Network (FinCEN) è integrato nel Dipartimento del Tesoro degli Stati Uniti e il suo direttore è nominato dal Segretario del Tesoro. La missione istituzionale di FinCEN è proteggere da attività illecite il sistema finanziario e combattere il riciclaggio di denaro sporco e promuovere la sicurezza nazionale attraverso la raccolta, l’analisi e la diffusione di informazioni finanziarie e l’uso strategico delle autorità finanziarie. FinCEN svolge la sua missione ricevendo e conservando i dati delle transazioni finanziarie; inoltre analizza e diffonde tali dati a fini di contrasto e coopera a livello globale con le organizzazioni omologhe degli altri Stati (FIU) e con gli organismi internazionali (GAFI, Gruppo Egmont). FinCEN esercita funzioni regolatorie principalmente ai sensi del Currency and Transaction Reporting Act del 1970 (il cui quadro legislativo viene comunemente definito “Bank Secrecy Act” – “BSA”). Per adempiere alle proprie responsabilità di vigilanza e contrasto ai crimini finanziari, FinCEN: emana e interpreta le normative autorizzate dallo statuto; supporta e impone il rispetto dei regolamenti; supporta, coordina e analizza i dati relativi alle funzioni di compliance rispetto alla loro conformità con le altre norme emanate dai Regolatori Federali; gestisce la raccolta, l’elaborazione, l’archiviazione, la diffusione e la protezione dei dati raccolti nell’ambito delle proprie funzioni; mantiene un servizio di accesso a livello governativo ai dati in proprio possesso; supporta le indagini e i procedimenti giudiziari; sintetizza i dati per emanare raccomandazioni su come allocare le risorse nelle aree a maggior rischio di criminalità finanziaria; condivide le informazioni e si coordina con le controparti delle FIU estere; conduce analisi a supporto dell’Autorità politica, delle Agenzie Federali, delle FIU estere ed in generale del settore finanziario.
[3] “Statement by FinCEN Regarding Unlawfully Disclosed Suspicious Activity Reports”, https://www.fincen.gov/news/news-releases/statement-fincen-regarding-unlawfully-disclosed-suspicious-activity-reports – 1 Settembre 2020.
[4] “Confidentiality of Suspicious Activity Reports”, https://www.govinfo.gov/content/pkg/FR-2010-12-03/pdf/2010-29869.pdf – 22 Novembre 2010; “Maintaining the Confidentiality of Suspicious Activity Reports”, https://www.fincen.gov/sites/default/files/advisory/FIN-2010-A014.pdf– 23 Novembre 2010.
[5] Le disposizioni sulla riservatezza della SARs chiariscono che sia la segnalazione che qualsiasi informazione che potrebbe rivelarne l’esistenza sono riservate e non devono essere divulgate se non previa specifica autorizzazione.
[6] FinCEN suggerisce, sia ai soggetti obbligati che alle Autorità di Controllo ed alle forze dell’ordine, alcune misure risk-based, tra cui un accesso limitato in base alla “necessità di sapere” (“need-to-know”), aree riservate per la gestione delle SARs, registrazione dell’accesso alle SARs, o avvisi elettronici in ordine agli accessi effettuati all’archivio delle segnalazioni.
[7] 31 U.S.C. § 5321 and 31 CFR § 103.57.
[8] 31 U.S.C. § 5322 and 31 CFR §103.59.
[9] Judgment, United States v. Fry, No. 3:19-cr-00102-EMC (N.D. Cal. Jan. 16, 2020), Dkt. No. 43.