Il Coronavirus e la quarantena hanno determinato un incremento notevole dell’offerta di servizi professionali sul web e, conseguentemente, messo in evidenza alcuni limiti esistenti nelle modalità di adeguata verifica della clientela (AVC o KYC nel mondo anglosassone) ai fini di antiriciclaggio e contrasto al finanziamento al terrorismo ex D.Lgs. n. 231-2007.
Cerchiamo di comprendere anche le possibili soluzioni, alla luce dell’orientamento espresso dalla Banca d’Italia.
SOMMARIO
1. AVC – Quadro della materia
2. AVC ONLINE – Cosa prevede la legge
3. BANCA D’ITALIA – Disposizioni specifiche in materia di operatività a distanza
CONCLUSIONE
1. AVC – Quadro della materia
L’adeguata verifica della clientela consiste nelle seguenti attività:
a) identificazione del cliente e dell’eventuale esecutore;
b) identificazione dell’eventuale titolare effettivo;
c) verifica dell’identità del cliente, dell’eventuale esecutore e dell’eventuale titolare effettivo sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente;
d) acquisizione e valutazione di informazioni sullo scopo e sulla natura del rapporto;
e) esercizio di un controllo costante nel corso del rapporto continuativo.
2. AVC ONLINE – Cosa prevede la legge
In particolare, in un rapporto professionale da instaurare a distanza, incidono gli aspetti da lett. a) a c).
Attualmente, l’art. 19 del predetto D.Lgs.n. 231-2007 prevede che l’obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente, nei seguenti casi :
1) per i clienti i cui dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici, ai sensi dell’art. 24 del d. lgs. 7 marzo 2005, n. 82;
2) per i clienti in possesso di un’identità’ digitale, di livello massimo di sicurezza, nell’ambito del Sistema di cui all’art. 64 del predetto d.lgs. n. 82 del 2005 e succ. modif., e della relativa normativa regolamentare di attuazione, nonché di un’identità’ digitale (di livello massimo di sicurezza) o di un certificato per la generazione di firma digitale, rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’art, 9 del regolamento (UE n. 910/2014 o identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale);
3) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza e dell’autorità’ consolare italiana, come indicata nell’art. 6 del d.lgs. 26 maggio 1997, n. 153;
4) per i clienti che siano già stati identificati dal soggetto obbligato in relazione ad un altro rapporto o prestazione professionale in essere, purché le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente;
5) per i clienti i cui dati identificativi siano acquisiti attraverso idonee forme e modalità, individuate dalle Autorità di vigilanza di settore, nell’esercizio delle attribuzioni di cui all’art. 7, c.1, lett. a), tenendo conto dell’evoluzione delle tecniche di identificazione a distanza.
Eccoci quindi al punto cruciale.
Se il cliente non dovesse rispecchiare alcuna delle prime tre condizioni di cui sopra (cosa invero piuttosto frequente), sarà possibile accedere alla quinta ma solo su preventiva individuazione da parte dell’Autorità di vigilanza del settore.
Per Commercialisti e Avvocati, tuttavia, i rispettivi Consigli nazionali non svolgono il ruolo di Autorità di vigilanza del settore.
Ai sensi dell’art. 11 del D.Lgs. n. 231.2007, infatti, essi sono considerati “ Organismi di Autoregolamentazione“ e in quanto tali privi della potestà prevista:
- dall’art. 7 c. 1 lett. a) del predetto D.Lgs. n. 231-2007, che invece attribuisce alla Banca d’Italia il potere di emanare disposizioni in materia di adeguata verifica della clientela nei confronti degli intermediari finanziari in genere;
- dall’art. 19 c.1 lett. a) n. 5 del predetto D.Lgs. n. 231-2007, che invece attribuisce alla Banca d’Italia il compito di individuare forme e modalità idonee di acquisizione a distanza dei dati identificativi della clientela ai fini dell’assolvimento dell’obbligo di identificazione, tenendo conto dell’evoluzione delle tecniche di identificazione a distanza.
3. BANCA D’ITALIA – Disposizioni specifiche in materia di operatività a distanza
Considerato ciò, come possono procedere i professionisti?
La Banca d’Italia, in data 30 luglio 2019, ha già provveduto a dare appropriate risposte.
Ci si riferisce alle Disposizioni emanate in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo e precisamente nella:
Sezione VIII. Disposizioni specifiche in materia di operatività a distanza
“Per operatività a distanza si intende quella svolta senza la compresenza fisica, presso il destinatario, del cliente, dei dipendenti del destinatario o di altro personale incaricato dal destinatario (es., attraverso i sistemi di comunicazione telefonica o informatica); quando il cliente è un soggetto diverso da una persona fisica, esso si considera presente quando lo è l’esecutore.
I destinatari pongono particolare attenzione all’operatività a distanza, in considerazione dell’assenza di un contatto diretto con il cliente o con l’esecutore. I destinatari tengono conto del rischio di frodi connesse al furto di identità. Nei casi di operatività a distanza, i destinatari:
a) acquisiscono i dati identificativi del cliente e dell’esecutore e ne effettuano il riscontro su una copia – ottenuta tramite fax, posta, in formato elettronico o con modalità analoghe – di un valido documento di identità, ai sensi della normativa vigente;
b) effettuano riscontri ulteriori rispetto a quelli previsti dalla Sezione V sui dati acquisiti, secondo le modalità più opportune in relazione al rischio specifico.
A titolo esemplificativo si indicano le seguenti modalità:
– contatto telefonico su utenza fissa (welcome call);
– invio di comunicazioni a un domicilio fisico con ricevuta di ritorno;
– bonifico effettuato dal cliente attraverso un intermediario bancario e finanziario con sede in Italia o in un paese comunitario;
– richiesta di invio di documentazione controfirmata;
– verifica su residenza, domicilio, attività svolta, tramite richieste di informazioni ai competenti uffici ovvero mediante incontri in loco, effettuati avvalendosi di personale proprio o di terzi.
Nel rispetto dell’approccio basato sul rischio, i destinatari possono utilizzare meccanismi di riscontro basati su soluzioni tecnologiche innovative e affidabili (es., quelle che prevedono forme di riconoscimento biometrico), purché assistite da robusti presidi di sicurezza;
c) individuano, nel documento di policy antiriciclaggio, gli specifici meccanismi di cui intendono avvalersi per effettuare le attività di riscontro sub b) ed illustrano le valutazioni condotte dalla funzione antiriciclaggio sui profili di rischio che caratterizzano ciascuno di questi strumenti e sui relativi presidi di sicurezza.
In alternativa a quanto previsto sub a), b), c), l’identificazione del cliente-persona fisica può essere effettuata dai destinatari in digitale da remoto secondo la procedura di registrazione audio/video disciplinata nell’allegato 3.
ALLEGATO 3 – Procedura di video-identificazione
I destinatari realizzano un sistema che garantisca, preliminarmente all’instaurazione della sessione audio/video, la cifratura del canale di comunicazione mediante l’adozione di meccanismi standard, applicativi e protocolli aggiornati. Essi, inoltre, garantiscono l’utilizzo di applicativi orientati all’usabilità e all’accessibilità da parte del cliente.
I destinatari assicurano che l’identificazione da remoto effettuata da parte dell’operatore addetto alla video-identificazione, rispetti le seguenti condizioni:
a) le immagini video sono a colori e consentono una visualizzazione chiara dell’interlocutore in termini di luminosità, nitidezza, contrasto, fluidità delle immagini;
b) l’audio è chiaramente udibile, privo di distorsioni o disturbi evidenti;
c) la sessione audio/video, che ha a oggetto le immagini video e l’audio del cliente e dell’operatore, è effettuata in ambienti privi di particolari elementi di disturbo.
I destinatari assicurano che l’operatore preposto all’attività si astenga dall’avviare il processo di identificazione o lo sospenda quando la qualità audio/video è scarsa o ritenuta non adeguata a consentire l’identificazione del cliente.
L’operatore che effettua identificazione:
i) acquisisce i dati identificativi forniti dal cliente;
ii) richiede l’esibizione di un documento d’identità valido, munito di fotografia recente e riconoscibile e di firma autografa del richiedente, rilasciato da un’amministrazione pubblica;
iii) verifica il codice fiscale tramite la tessera sanitaria in corso di validità. Del documento viene acquisita copia in formato elettronico.
L’operatore che effettua l’identificazione può escludere l’ammissibilità della sessione audio/video per qualunque ragione, inclusa l’eventuale inadeguatezza del documento presentato dal cliente.
La sessione audio/video è interamente registrata e conservata.
I destinatari richiedono il consenso al trattamento dei dati personali contenuti nelle riprese audio-video, specificando tale aspetto nell’informativa da rendere all’interessato ai sensi delle disposizioni in materia di protezione dei dati personali.
La sessione audio/video è condotta seguendo una procedura scritta e formalizzata dai destinatari, al quale prevede almeno le seguenti attività:
a) l’operatore acquisisce il consenso alla videoregistrazione e alla sua conservazione e informa che la videoregistrazione sarà conservata in modalità protetta;
b) l’operatore dichiara le proprie generalità;
c) il cliente conferma i propri dati identificativi;
d) il cliente conferma la data e l’ora della registrazione;
e) il cliente conferma di voler instaurare il rapporto continuativo e conferma i dati identificativi e gli altri dati inseriti nella modulistica on-line in fase di pre-registrazione;
f) il cliente conferma il proprio numero di telefonia mobile e l’indirizzo mail;
g) l’operatore invia un messaggio che il cliente espone al dispositivo di ripresa o il cui contenuto è comunicato all’operatore e una mail all’indirizzo di posta elettronica dichiarato dal cliente, con un link ad una URL appositamente predisposta per la verifica;
h) l’operatore chiede al cliente di inquadrare, fronte e retro, il documento di riconoscimento utilizzato, e si assicura che sia possibile visualizzare chiaramente la fotografia e leggere tutte le informazioni ivi contenute (dati anagrafici, numero del documento, data di rilascio e di scadenza, amministrazione rilasciante). Del documento viene acquisita copia elettronica;
i) l’operatore chiede di mostrare, fronte e retro, la tessera sanitaria su cui è riportato il codice fiscale del cliente;
j) l’operatore chiede al cliente di compiere una o più azioni casuali per rafforzare l’autenticità della interlocuzione;
k) l’operatore riassume sinteticamente la volontà espressa dal cliente di voler instaurare il rapporto continuativo e ne raccoglie conferma.
Quando emergano dubbi, incertezze o incongruenze nell’identificazione del cliente, i destinatari effettuano ulteriori riscontri.
A titolo esemplificativo, essi possono consultare il sistema pubblico per la prevenzione del furto di identità previsto dal decreto legislativo 11 aprile 2011, n. 64.
La documentazione da conservare include le informazioni e i documenti che sono stati raccolti nel corso dell’attività di registrazione.
I destinatari conservano, con modalità conformi alle previsioni in materia di conservazione del decreto antiriciclaggio, i dati di registrazione nonché l’esplicita volontà del cliente di instaurare il rapporto continuativo, memorizzati in file audio-video, immagini e metadati strutturati in formato elettronico.
CONCLUSIONE
Il rapido mutamento delle relazioni a causa dell’emergenza sanitaria e più in generale l’incremento delle attività online, impongono nuovi e più flessibili riferimenti normativi in materia di dientificazione del cliente.
Le suddette modalità, riservate agli intermediari finanziari, ben potrebbero estese ai professionisti, almeno in tutti i casi di “basso rischio”, fermo restando le misure da intraprendere nei casi in cui sussistano dubbi, incertezze o incongruenze in relazione ai dati identificativi e alle informazioni acquisite in sede di identificazione del cliente, dell’esecutore ovvero del titolare effettivo, ovvero sussista il sospetto di riciclaggio o di finanziamento del terrorismo.
I professionisti, infatti, grazie alla formazione obbligatoria in materia, non avrebbero grandi difficoltà ad adempiere al meglio alle prescrizioni.
Tuttavia, non potendo intervenire autonomamente in materia, i Consigli nazionali dovranno evidenziare tali esigenze nelle sedi opportune e con la massima celerità.