La normativa

Antiriciclaggio e GDPR, il ruolo delle tecnologie innovative

Tutte le regole per utilizzare le tecnologie innovative nell’ambito delle regole in materia di lotta al riciclaggio: disposizioni dettate dalla Banca d’Italia con un provvedimento di fine luglio 2019 sul legame tra il tema e la protezione del dato come previsto dal GDPR

22 Ott 2019
Marco Cassaro

Senior Advisory Risk & Compliance presso BDO Italia S.p.A.

Marcello Fumagalli

Partner Advisory Risk & Compliance presso BDO Italia S.p.A.


Le tecnologie innovative si fanno strada non solo nella protezione del dato ma anche in materia di lotta al riciclaggio, soprattutto relativamente alla verifica della clientela. Adottare tuttavia, sistemi che siano affidabili e che garantiscano una conformità alle nuove disposizioni contenute all’interno del Provvedimento emanato dalla Banca d’Italia del 30 luglio 2019 in materia di adeguata verifica e alla normativa pro tempore vigente in materia di tutela e protezione del dato (i.e. Regolamento Ue 679/2016 cd. GDPR e del D.Lgs 101/2018 che contiene disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento) non è così agevole e facile come sembri. Ecco alcuni osservazione e spunti di riflessione.

Il dettato normativo

Banca d’Italia ha emanato il 30 luglio 2019 le nuove e attesissime disposizioni in materia di “adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo” con un incisivo intervento verso l’utilizzo e l’adozione di nuove tecnologie al fine del riconoscimento della clientela. Le Disposizioni si susseguono a seguito della fase di pubblica consultazione e danno attuazione alle norme di primo livello contenute nel D.Lgs. n. 231/2007 come modificato dal D.lgs. 25 maggio 2017, n.90 (in attuazione della Direttiva UE 2015/849), nonché agli Orientamenti di vigilanza europea sulle misure di adeguata verifica semplificata e rafforzata e sui fattori indispensabili alla valutazione dei rischi di riciclaggio e finanziamento del terrorismo.

Secondo le stesse disposizioni sarà possibile per:

  • Banche;
  • Società di intermediazione mobiliare (SIM);
  • le società di gestione del risparmio (SGR);
  • le società di investimento a capitale variabile (SICAV);
  • le società di investimento a capitale fisso, mobiliare e immobiliare (SICAF);
  • gli intermediari iscritti nell’albo previsto dall’art. 106 del TUB;
  • gli istituti di moneta elettronica;
  • gli istituti di pagamento

acquisire i dati identificativi della clientela, oltre che tramite i canonici canali previsti all’interno della Parte II Sez. VIII del Provvedimento (per i quali si raccomanda un trattamento conforme alla normativa in materia di tutela e protezione del dato), tramite l’utilizzo di meccanismi di riscontro basati su soluzioni tecnologiche innovative e affidabili (es. quelle che prevedono forme di riconoscimento biometrico), purché:

  • gli stessi siano assistiti da robusti presidi di sicurezza;
  • vi sia una loro corretta individuazione all’interno del documento di policy antiriciclaggio;
  • vengano illustrate le valutazioni condotte dalla funzione antiriciclaggio sui profili di rischio che caratterizzano ciascuno di questi strumenti e sui relativi presidi di sicurezza.

L’identificazione da remoto

Si aggiunge ovviamente, così come previsto da Allegato 3 al Provvedimento, l’identificazione del cliente-persona fisica tramite procedure da remoto tramite registrazione audio/video. In relazione a queste specifiche modalità di operatività a distanza è parere di chi scrive che vi sia una forte commistione in relazione alla tutela e protezione del dato. Infatti, benché non si rinvengano espressi rimandi al GDPR (oltre i richiami che si ritrovano in modo generico al rispetto della disciplina in materia di tutela e protezione del dato all’interno del D.Lgs 21 novembre 2007, n.231 come modificato dal D.lgs. 25 maggio 2017, n.90) parliamo pur sempre di dati identificativi (e.g. il nome, il cognome, il codice fiscale) e pertanto, dati personali che inevitabilmente per loro natura ricadono all’interno delle disposizioni in materia di tutela e protezione del dato, senza contare l’eventuale trattamento di categorie di dati particolari a norma dell’art. 9 del GDPR.

Infatti, si ritiene che, in un’ottica di valutazione dei presidi e nelle valutazioni sull’implementazione ed utilizzo o meno di meccanismi basati su tecnologie innovative, il Responsabile della Protezione dei dati (cd. DPO) vada coinvolto al fine del corretto supporto in merito all’esigenza o meno di svolgere la Valutazione d’Impatto (cd. DPIA) nonché per verificare il rispetto dei principi di adeguatezza, pertinenza e non eccedenza dei dati richiesti ed infine per valutare le corrette basi di liceità ex art. 6 del GDPR, tenuto anche conto dell’eventuale utilizzo dei cd. “dati particolari” ex art. 9 del GDPR.

Tale coinvolgimento dovrà essere valutato da ciascun soggetto in relazione al proprio contesto normativo ed operativo di riferimento tuttavia è auspicabile che il DPO della società esprima un giudizio di adeguatezza sulle policy/regolamenti che dovranno essere necessariamente predisposti per conformarsi alle previsioni contenute nella normativa antiriciclaggio. Non si ritiene condizione sufficiente, per garantire il pieno rispetto delle normative ut supra citate, nascondersi dietro il più generale dettato normativo secondo cui il trattamento è lecito se necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (cfr. art. 6 comma 1 lett c)) senza una corretta valutazione dei presidi adottati per la tutela privacy o una generica attestazione della qualità dei dati per garantire il rispetto della normativa in materia di antiriciclaggio.

L’opinione sulle soluzioni tecnologiche innovative

Di particolare interesse risulta poi il richiamo da parte dell’Autorità delle indicazioni contenute nell’Opinione sull’utilizzo di soluzioni tecnologiche innovative da parte degli intermediari bancari e finanziari nel processo di adeguata verifica della clientela (“Opinion on the use of innovative solutions by credit and financial institutions in the customer due diligence process”) adottata dall’Autorità Bancaria Europea il 23 gennaio 2018 che agilmente si possono confrontare con Linee-guida emanate dal WP ex art. 29 n. 248 concernenti “la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del regolamento 2016/679” alle quali è tanto caro il concetto di tecnologie innovative e di valutazione del rischio.

Volendo a titolo esemplificativo ma non esaustivo fornire alcuni spunti di riflessione si ricorda che l’Autorità Bancaria Europea rispondendo a specifiche domande di contenuto, specifica che:

  • nella due diligence della clientela gli istituti di credito potranno implementare soluzioni innovative sviluppate: a) in-house; b) tramite un provider esterno; e c) altre modalità specificatamente indicate. In tal caso supponendo l’utilizzo di un provider esterno e quindi la soluzione b) vi sarà inevitabilmente la necessità di effettuare oltre le relative “valutazioni di rischio” anche i doverosi ragionamenti in relazione al rapporto che verrà ad istaurarsi tra l’istituto di credito (Titolare del trattamento) ed il provider che a seconda dell’attività e del servizio prestato dovrà essere nominato Responsabile al trattamento dei dati a norma dell’art. 28 del GDPR;
  • prima di introdurre meccanismi di riscontro basati su soluzioni tecnologiche innovative gli istituti di credito dovranno correttamente effettuare i relativi assessment volti a verificare tra i molti: il rischio connesso al loro utilizzo, eventuali punti di debolezza nell’identificazione della clientela, il livello di affidabilità nonché in un’ottica di commistione con la tutela e protezione del dato il periodo di data retention e la verifica degli archivi sui quali i dati sono stati raccolti;
  • porre in essere controlli, dice la normativa per prevenire […] data security and privacy breaches […] con tutte le relative implicazioni sulla verificabilità da parte del Titolare del trattamento di aver adottato misure tecniche ed organizzative idonee per soddisfare il principio di accountability, ex art. 24 del GDPR, nonché le specifiche disposizioni rivolte agli istituti di credito;
  • verificare le implicazioni in materia di “data protection”.
WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Anche in questa circostanza l’Autorità di Vigilanza richiede espressamente che ciascuna società provveda a formalizzare apposite policy interne descrittive dei meccanismi di cui intendono avvalersi per effettuare le attività di riscontro dei dati acquisiti in sede di identificazione della clientela. Indispensabile che tutte le professionalità, sia interne che esterne alla società, forniscano il proprio contributo per individuare la soluzione ottimale tenuto conto della complessità operativa e delle dimensioni della società. Infine, si ricorda che l’adozione di misure adeguate e pertinenti nonché la corretta valutazione del rischio, sia dal punto di vista della tutela e protezione del dato sia in materia antiriciclaggio, permette di evitare la possibilità che durante la trasmissione di suddetti dati gli stessi vengano alterati, contraffatti e/o riciclati esponendo gli istituti di credito alle inevitabili implicazioni civili e penali.

La profilatura della clientela

Ultimo punto che si ritiene utile affrontare in tale sede, auspicando in futuro una ricongiunzione espressa tra le normative in materia di tutela e protezione del dato e quelle in materia antiriciclaggio (fate salve alcune disposizioni contenute all’interno del D.Lgs 101/2018 tra le quali: l’art. 2-undecies lett a) e 2-octies comma 3 lett. m)), riguarda il concetto di Profilatura che anche in questo caso è validamente ed ampiamente utilizzato mutatis mutandis nel Provvedimento di Banca d’Italia nonché all’interno del GDPR.

Quando parliamo di profilazione l’art. 4 comma 4) del GDPR la definisce come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” in relazione alla quale l’art. 22 del GDPR sancisce un generale divieto salvo che il trattamento sia:

  • necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  • autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  • si basi sul consenso esplicito dell’interessato.

Ciò posto, e ricordando che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che:

  • produca effetti giuridici che lo riguardano; o
  • incida in modo analogo significativamente sulla sua persona;

si ritiene che la profilatura così come intesa ex GDPR e quella contenuta all’interno del Provvedimento in materia di adeguata verifica vadano ricondotte sotto il corretto cappello di analisi. Infatti, anche facendo ricadere la profilazione della clientela all’interno della legittima base giustificativa quale può essere l’esistenza di un obbligo legale a cui è soggetto il Titolare così come anche l’interesse legittimo, in ogni caso il corretto assolvimento degli obblighi di adeguata verifica e della relativa profilazione presuppone un “approccio basato sul rischio”, che tenga conto, nell’ adozione di idonei e appropriati sistemi e procedure, delle garanzie e delle prescrizioni stabilite dalla normativa in materia di protezione dei dati personali, soprattutto in materia di informativa, e che siano “proporzionate” al rischio di riciclaggio.

Conclusioni

Per concludere si ricorda che la lotta al riciclaggio resta una priorità ed un dovere per i soggetti obbligati agli adempimenti della normativa in materia e la componente di tutela e protezione del dato così come anche la figura del Responsabile della Protezione del dato (DPO) non sono ostacoli all’operatività quotidiana bensì validi supporti per analizzare la questione da tutti i punti di vista.

Un corretto coinvolgimento di tutti i soggetti nel processo di valutazione dei rischi potrà assicurare, se svolto correttamente, un buon grado di responsabilizzazione e di verificabilità dei presidi adottati dall’Istituto di credito in ottemperanza alle normative di riferimento al più generale principio di accountability.

@RIPRODUZIONE RISERVATA

Articoli correlati