ANTIRICICLAGGIO: disposizioni specifiche in materia di operatività a distanza
AntiriciclaggioRiflessioni

ANTIRICICLAGGIO: disposizioni specifiche in materia di operatività a distanza

By 18 Marzo 2021No Comments

Il Decreto Semplificazioni (art. 27 Decreto Legge 76/2020) apporta alcune modifiche alla normativa Antiriciclaggio, soprattutto in riferimento alle procedure di adeguata verifica della clientela e al concetto di “dati identificativi”.

In relazione alla definizione di “dati identificativi”, il decreto Semplificazione, all’art. 1, comma 2, lettera n) rimuove le parole “gli estremi del documento di identificazione”, individuando come dati identificativi “il nome, il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza anagrafica e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale”.

Tale variazione è strettamente collegata all’eliminazione all’art. 18 del riferimento al documento di identità. La lettera a) del neo art. 18, D.Lgs. n. 231/2007 prevede infatti che l’identificazione del cliente e la verifica della sua identità avvenga sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Non è, quindi, più richiesto il riscontro di un documento d’identità o di altro documento di riconoscimento equipollente. Tale semplificazione riguarda però solo i casi di adeguata verifica a distanza e non si estende anche ai casi di adeguata verifica svolta in presenza del cliente.

Importante inoltre sottolineare come questa possibilità di identificazione si applica anche nei confronti dell’esecutore, anche in relazione alla verifica dell’esistenza e dell’ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente.

La modifica più rilevante è però quella relativa alle modalità di adempimento degli obblighi di adeguata verifica. Tre sono infatti le modifiche/integrazioni apportate all’art. 19 del D.Lgs. n. 231/2007.

  1. Il previgente art. 19 prevedeva – al comma 1, lettera a), n. 2) – la possibilità di procedere all’adeguata verifica, senza la presenza del cliente, nel caso in cui questo fosse dotato di un’identità digitale, di livello massimo di sicurezza, rilasciata nell’ambito del Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni (c.d. SPID), così come previsto dall’ 64, D.Lgs. n. 82/2005[1], nonché di un’identità digitale di livello massimo di sicurezza o di un certificato per la generazione di firma digitale, rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’art. 9 del regolamento UE n. 910/2014 o identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale.Con le modifiche apportate dal decreto Semplificazioni, il livello massimo di sicurezza previsto per l’identità digitale del cliente si abbassa ad “almeno significativo”, sempre però rispettando le disposizioni di cui all’art. 64 del D.Lgs. n. 82/2005.In particolare, secondo la previsione dell’articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, l’identità digitale deve essere verificata e la verifica può essere graduata secondo i livelli di garanzia basso, significativo, elevato. Nel caso di specie, quindi, l’identità digitale del cliente da identificare deve avere un livello di garanzia “significativo” o “elevato”. A tal proposito, si deve far riferimento al Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell’8 settembre 2015 (https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015R1502&from=EN), relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica.Sarà quindi più semplice poter ricorrere a un’adeguata verifica a distanza, laddove ovviamente i clienti siano in possesso almeno di una identità digitale con tali caratteristiche.
  1. Sempre in riferimento alle modalità di adeguata verifica, l’art. 27 del D.L. n. 76/2020 introduce alla lettera a) dell’art. 19 il n. 4-bis), di esclusivo interesse per gli intermediari finanziari, in particolar modo del settore bancario.L’obbligo di identificazione si considererà assolto, anche senza la presenza fisica del cliente, per tutti quei clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall’art. 4 del Regolamento Delegato (UE) n. 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all’obbligo di identificazione. Tale modalità di identificazione e verifica dell’identità può essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonché a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l’informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento.Si ribadisce quindi come tale integrazione alle modalità di adeguata verifica a distanza siano applicabili esclusivamente ai casi menzionati dalla normativa stessa, quindi al settore finanziario-creditizio.
  1. In ultimo, sempre circa le modalità di svolgimento dell’adeguata verifica, e più in particolare alle procedure di verifica dell’identità del cliente, del titolare effettivo e dell’esecutore, alla lettera b) dell’art. 19 è richiesto oggi il riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all’atto dell’identificazione, esclusivamente in caso sussistanodubbi, incertezze o incongruenze.Prima della parola “laddove” è stata inserita la parola “solo”; i soggetti obbligati dovranno quindi verificare la veridicità dei dati raccolti solo ed esclusivamente nel caso abbiano dei dubbi o incertezze a riguardo.

In conformità al Decreto Antiriciclaggio, il provvedimento emanato da Banca d’Italia nel luglio 2019 (https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/disposizioni/20190730-dispo/Disposizioni.pdf) dispone che l’obbligo di identificazione si considera assolto, anche se la presenza fisica del cliente, quando:

  • i dati identificativi del cliente risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici;
  • il cliente è in possesso di un’identità digitale o di un certificato per la generazione di firma digitale;
  • i dati identificativi risultino da dichiarazione della rappresentanza diplomatica e dell’autorità consolare italiana;
  • il cliente è già stato identificato dal destinatario in relazione ad un altro rapporto continuativo in essere, purché le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente e alle caratteristiche del nuovo rapporto che si intende avviare;
  • i dati identificativi del cliente siano acquisiti secondo le modalità individuate nella Sezione VIII per l’operatività a distanza.

La sezione VIII del provvedimento di Banca d’Italia intende per “operatività a distanza” quella svolta senza la compresenza fisica, presso il destinatario, del cliente, dei dipendenti del destinatario o di altro personale incaricato dal destinatario (es., attraverso i sistemi di comunicazione telefonica o informatica); quando il cliente è un soggetto diverso da una persona fisica, esso si considera presente quando lo è l’esecutore.

I destinatari pongono particolare attenzione all’operatività a distanza, in considerazione dell’assenza di un contatto diretto con il cliente o con l’esecutore. I destinatari tengono conto del rischio di frodi connesse al furto di identità. Nei casi di operatività a distanza, i destinatari:

  1. acquisiscono i dati identificativi del cliente e dell’esecutore e ne effettuano il riscontro su una copia – ottenuta tramite fax, posta, in formato elettronico o con modalità analoghe – di un valido documento di identità, ai sensi della normativa vigente;
  2. effettuano riscontri ulteriori rispetto a quelli previsti dalla Sezione V sui dati acquisiti, secondo le modalità più opportune in relazione al rischio specifico. A titolo esemplificativo, si indicano le seguenti modalità: contatto telefonico su utenza fissa (welcome call); invio di comunicazioni a un domicilio fisico con ricevuta di ritorno; bonifico effettuato dal cliente attraverso un intermediario bancario e finanziario con sede in Italia o in un paese comunitario; richiesta di invio di documentazione controfirmata; verifica su residenza, domicilio, attività svolta, tramite richieste di informazioni ai competenti uffici ovvero mediante incontri in loco, effettuati avvalendosi di personale proprio o di terzi.

Nel rispetto dell’approccio basato sul rischio, i destinatari possono utilizzare meccanismi di riscontro basati su soluzioni tecnologiche innovative e affidabili (es., quelle che prevedono forme di riconoscimento biometrico), purché assistite da robusti presidi di sicurezza;

  1. individuano, nel documento di policy antiriciclaggio, gli specifici meccanismi di cui intendono avvalersi per effettuare le attività di riscontro sub b) ed illustrano le valutazioni condotte dalla funzione antiriciclaggio sui profili di rischio che caratterizzano ciascuno di questi strumenti e sui relativi presidi di sicurezza.

In alternativa a quanto previsto sub a), b), c), l’identificazione del cliente-persona fisica può essere effettuata dai destinatari in digitale da remoto secondo la procedura di registrazione audio/video disciplinata nell’Allegato 3, “Procedura di video-identificazione”, di seguito riportato:

«I destinatari realizzano un sistema che garantisca, preliminarmente all’instaurazione della sessione audio/video, la cifratura del canale di comunicazione mediante l’adozione di meccanismi standard, applicativi e protocolli aggiornati. Essi, inoltre, garantiscono l’utilizzo di applicativi orientati all’usabilità e all’accessibilità da parte del cliente.

I destinatari assicurano che l’identificazione da remoto effettuata da parte dell’operatore addetto alla video-identificazione (di seguito, “operatore”), rispetti le seguenti condizioni:

  1. le immagini video sono a colori e consentono una visualizzazione chiara dell’interlocutore in termini di luminosità, nitidezza, contrasto, fluidità delle immagini;
  2. l’audio è chiaramente udibile, privo di distorsioni o disturbi evidenti;
  3. la sessione audio/video, che ha a oggetto le immagini video e l’audio del cliente e dell’operatore, è effettuata in ambienti privi di particolari elementi di disturbo.

I destinatari assicurano che l’operatore preposto all’attività si astenga dall’avviare il processo di identificazione o lo sospenda quando la qualità audio/video è scarsa o ritenuta non adeguata a consentire l’identificazione del cliente.

L’operatore che effettua l’identificazione:

  1. acquisisce i dati identificativi forniti dal cliente;
  2. richiede l’esibizione di un documento d’identità valido, munito di fotografia recente e riconoscibile e di firma autografa del richiedente, rilasciato da un’amministrazione pubblica; e
  3. verifica il codice fiscale tramite la tessera sanitaria in corso di validità. Del documento viene acquisita copia in formato elettronico.

L’operatore che effettua l’identificazione può escludere l’ammissibilità della sessione audio/video per qualunque ragione, inclusa l’eventuale inadeguatezza del documento presentato dal cliente.

La sessione audio/video è interamente registrata e conservata.

I destinatari richiedono il consenso al trattamento dei dati personali contenuti nelle riprese audio-video, specificando tale aspetto nell’informativa da rendere all’interessato ai sensi delle disposizioni in materia di protezione dei dati personali.

La sessione audio/video è condotta seguendo una procedura scritta e formalizzata dai destinatari, al quale prevede almeno le seguenti attività:

  1. l’operatore acquisisce il consenso alla videoregistrazione e alla sua conservazione e informa che la videoregistrazione sarà conservata in modalità protetta;
  2. l’operatore dichiara le proprie generalità;
  3. il cliente conferma i propri dati identificativi;
  4. il cliente conferma la data e l’ora della registrazione;
  5. il cliente conferma di voler instaurare il rapporto continuativo e conferma i dati identificativi e gli altri dati inseriti nella modulistica on-line in fase di pre-registrazione;
  6. il cliente conferma il proprio numero di telefonia mobile e l’indirizzo mail;
  7. l’operatore invia un messaggio che il cliente espone al dispositivo di ripresa o il cui contenuto è comunicato all’operatore e una mail all’indirizzo di posta elettronica dichiarato dal cliente, con un link ad una URL appositamente predisposta per la verifica;
  8. l’operatore chiede al cliente di inquadrare, fronte e retro, il documento di riconoscimento utilizzato, e si assicura che sia possibile visualizzare chiaramente la fotografia e leggere tutte le informazioni ivi contenute (dati anagrafici, numero del documento, data di rilascio e di scadenza, amministrazione rilasciante). Del documento viene acquisita copia elettronica;
  9. l’operatore chiede di mostrare, fronte e retro, la tessera sanitaria su cui è riportato il codice fiscale del cliente;
  10. l’operatore chiede al cliente di compiere una o più azioni casuali per rafforzare l’autenticità della interlocuzione;
  11. l’operatore riassume sinteticamente la volontà espressa dal cliente di voler instaurare il rapporto continuativo e ne raccoglie conferma.

Quando emergano dubbi, incertezze o incongruenze nell’identificazione del cliente, i destinatari effettuano ulteriori riscontri. A titolo esemplificativo, essi possono consultare il sistema pubblico per la prevenzione del furto di identità previsto dal decreto legislativo 11 aprile 2011, n. 64.

La documentazione da conservare include le informazioni e i documenti che sono stati raccolti nel corso dell’attività di registrazione.

I destinatari conservano, con modalità conformi alle previsioni in materia di conservazione del decreto antiriciclaggio, i dati di registrazione, nonché l’esplicita volontà del cliente di instaurare il rapporto continuativo, memorizzati in file audio-video, immagini e metadati strutturati in formato elettronico».

[1] https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82

Articoli correlati:

Non ci sono articoli correlati.

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.