Con il d.l. 16 luglio 2020, n.76 (c.d. decreto semplificazioni), convertito nella legge n.120 dall’11 settembre 2020 sono state apportate alcune modifiche al decreto legislativo 21 novembre 2007, n. 231 (decreto antiriciclaggio), soprattutto in tema di modalità di adeguata verifica a distanza.
Gli interventi, contenuti nel comma 3 dell’art. 27 (Misure per la semplificazione e la diffusione della firma elettronica avanzata e dell’identità digitale per l’accesso ai servizi bancari), riguardano tutti i soggetti obbligati ed i relativi clienti e vanno a:
- modificare l’art. 1, comma 2, lettera n), del d.lgs. 231/2007, che contiene la definizione di dati identificativi. In particolare vengono soppresse le parole “gli estremi del documento di identificazione” per cui ora vengono considerati dati identificativi solo il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza anagrafica, e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale;
- modificare l’art.18, comma 1 del d.lgs. 231 /2007, che riporta il Contenuto degli obblighi di adeguata verifica. In particolare la lettera a) viene sostituita dalla seguente: “a) l’identificazione del cliente e la verifica della sua identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Le medesime misure si attuano nei confronti dell’esecutore, anche in relazione alla verifica dell’esistenza e dell’ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente”. L’eliminazione del riferimento al documento d’identità comporta che l’adeguata verifica potrà effettuarsi sulla base di una fonte affidabile ed indipendente.
In merito va, comunque, osservato che non è stato modificato l’art. 19, comma 1, lett. a) dello stesso decreto il quale prevede che “l’identificazione del cliente e del titolare effettivo è svolta in presenza del medesimo cliente ovvero dell’esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato e consiste nell’acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d’identità in corso di validità o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico”; - modificare l’articolo 19, comma 1, lettera a), numero 2) del d.lgs. 231 /2007. In particolare il numero 2) è stato sostituito dal seguente: “2) per i clienti in possesso di un’identità digitale, con livello di garanzia almeno significativo, nell’ambito del Sistema di cui all’articolo 64 del predetto decreto legislativo n. 82 del 2005, e della relativa normativa regolamentare di attuazione, nonché’ di un’identità digitale con livello di garanzia almeno significativo, rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale”. In sintesi ai clienti in possesso di una delle identità digitali previste non viene più richiesto che esse abbiano il requisito del livello di garanzia massimo, ma sarà sufficiente un livello di garanzia almeno significativo;
- modificare l’articolo 19, comma 1, lettera b), prevedendo l’inserimento nel primo periodo della parola “solo” prima di “laddove”, con la conseguenza che i soggetti obbligati dovranno verificare la veridicità dei dati identificativi del cliente solo ed esclusivamente nel caso si abbiano dei dubbi o incertezze in proposito;
- aggiungere all’art. 19 alla lettera a), dopo il numero 4), il numero 4-bis), una nuova modalità di identificazione a disposizione degli intermediari finanziari. In particolare il numero 4-bis) prevede: “per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall’articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all’obbligo di identificazione. Tale modalità di identificazione e verifica dell’identità può essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonché a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l’informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento”.
Alfredo Sanfelice – Consulente privacy e antiriciclaggio, DPO
