La Legge di bilancio 2024, all’esame del Parlamento, si propone di inserire un nuovo art. 34-bis al D.Lgs. 231/2007 (d’ora in avanti: “Legge Antiriciclaggio” o “L.A.”), rubricato “Banche dati informatiche presso gli organismi di autoregolamentazione”.
La centralità della disposizione emerge anche nella relazione illustrativa(come desumibile dal parere del Garante per la protezione dei dati personali del 7 luglio 2022).
Da un lato, infatti, la costituenda banca dati costituirebbe “un patrimonio informativo di rilievo” suscettibile di accesso da parte delle autorità competenti in ambito antiriciclaggio (Ministero dell’economia e delle finanze, Unità di informazione finanziaria per l’Italia, Nucleo speciale di polizia valutaria della Guardia di Finanza, Direzione investigativa antimafia e Direzione nazionale antimafia e antiterrorismo), per lo svolgimento delle proprie funzioni e secondo le rispettive attribuzioni istituzionali, in particolare per l’effettuazione di analisi ed indagini su operazioni di riciclaggio o di finanziamento del terrorismo.
Dall’altro, per quanto di interesse per le professioni, la relazione sottolinea come la banca dati centralizzata possa rappresentare “un efficace strumento di ausilio per i singoli professionisti nell’adempimento dell’obbligo di segnalazione di operazioni sospette” alle autorità competenti, cui essi stessi sono tenuti ai sensi dell’articolo 35 L.A.
L’avviso prodotto dal sistema al ricorrere di determinati presupposti, espressivi di una potenziale rischiosità dell’operazione, consentirebbe infatti di garantire maggiore uniformità, da parte dei professionisti, nelle modalità di adempimento degli obblighi antiriciclaggio.
Va subito evidenziato che, nonostante la novella vada ad impattare in maniera importante sugli organismi di autoregolamentazione e sui professionisti, non risulta ci siano state interlocuzioni preliminari tra le Autorità preposte – MEF in primis – e gli organismi citati.
Ad ogni modo, il testo dell’art 34-bis è piuttosto ponderoso, essendo composto da 18 commi: nel presente commento si prenderanno in considerazione soltanto alcune delle disposizioni ivi contenute.
1. La prima funzione della banca dati: acquisizione dati da adeguata verifica dei professionisti
Questo il testo del comma 1:
Al fine di prevenire eventuali attività di riciclaggio o di finanziamento del terrorismo, gli organismi di autoregolamentazione possono istituire, previo parere favorevole del Garante per la protezione dei dati personali, una banca dati informatica centralizzata dei documenti, dei dati e delle informazioni acquisiti dai professionisti nello svolgimento della propria attività professionale che sono tenuti a conservare ai sensi dell’articolo 31.
La disposizione non introduce un obbligo di istituzione della banca dati a carico degli organismi di autoregolamentazione ma una facoltà in tal senso.
Sembra di capire che, se la banca dati viene istituita, allora il conferimento dei dati previsti da parte dei professionisti diventa, invece, obbligatorio (cfr. comma 2).
I dati che andranno trasmessi alla banca dati sono quelli indicati dall’art 31 L.A., il quale sancisce l’obbligo di conservazione dei dati e informazioni raccolti in sede di adeguata verifica della clientela per un periodo di 10 anni dalla cessazione della prestazione professionale.
Lo stesso periodo di conservazione è previsto per la nuova banca dati, sia con riguardo ai dati registrati ai sensi del comma 1 sia per quelli di cui al comma 3 (v. infra).
Più in dettaglio, i soggetti obbligati devono conservare copia dei documenti acquisiti in occasione dell’adeguata verifica della clientela e l’originale ovvero copia avente efficacia probatoria ai sensi della normativa vigente, delle scritture e registrazioni inerenti la prestazione professionale richiesta dal cliente.
La documentazione conservata deve consentire, quanto meno, di ricostruire univocamente:
a) la data di instaurazione del rapporto continuativo o del conferimento dell’incarico;
b) i dati identificativi, ivi compresi, ove disponibili, i dati ottenuti mediante i mezzi di identificazione elettronica e i pertinenti servizi fiduciari di cui al regolamento UE n. 910/2014 o mediante procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale, del cliente, del titolare effettivo e dell’esecutore e le informazioni sullo scopo e la natura del rapporto o della prestazione;
b-bis) la consultazione, ove effettuata, del registro dei titolari effettivi;
c) la data, l’importo e la causale dell’operazione;
d) i mezzi di pagamento utilizzati.
Come anticipato, dal disposto del comma 2 (I professionisti trasmettono senza ritardo alla banca dati i documenti, i dati e le informazioni di cui al comma 1) si desume l’obbligo di trasmissione a carico dei professionisti se la banca dati è stata istituita dall’organismo di autoregolamentazione.
1.1 La duplicazione dell’obbligo di conservazione
Secondo il comma 6:
La trasmissione telematica alla banca dati effettuata dal professionista ai sensi dei commi 2 e 3 non sostituisce gli obblighi di cui agli articoli 31 e 32.
Questa è la prima vera criticità sostanziale della novella legislativa: la trasmissione alla banca dati dei documenti acquisiti in sede di adeguata verifica costituisce, senza dubbio, una duplicazione per i professionisti, i quali devono comunque conservare in proprio quegli stessi documenti.
Resta ferma, infatti la loro responsabilità in relazione agli obblighi di cui all’art 31 e all’art 32, quest’ultimo concernente le modalità di conservazione dei dati e delle informazioni.
Si tratta di due “archivi” diversi per titolarità soggettiva (uno dell’organo di autoregolamentazione, l’altro del singolo professionista), ma identici quanto a contenuto, finalità e termine di conservazione.
Tale ultimo profilo è stato evidenziato pure dal Garante per la protezione dei dati personali nel menzionato parere del luglio 2022:
Si potrebbe, tuttavia, valutare ulteriormente l’opportunità (giustificandone la scelta, almeno in Relazione) di novellare l’articolo 31, comma 3, d. lgs. 231 del 2007, imponendo la conservazione nella banca dati centralizzata quale esclusiva modalità di assolvimento dell’obbligo conservativo, così da evitare duplicazioni di archivi (cfr. art. 34-bis, comma 5).
Si potrebbe, in particolare, prevedere che per i professionisti i cui organismi di autoregolamentazione abbiano deciso d’istituire l’archivio, l’obbligo di conservazione di cui all’articolo 31 s’intenda assolto con la modalità centralizzata, legittimando in quest’ultimo caso il professionista a consultare, ove necessario, i documenti dallo stesso versati, con la previsione di adeguate garanzie di selettività nell’accesso…
Alla ragionevole proposta del Garante possiamo aggiungere una considerazione a titolo personale: quale organo di autoregolamentazione si assumerà la responsabilità di imporre una duplicazione così rilevante di adempimenti ai propri iscritti?
1.2 L’inadempimento dell’obbligo di trasmissione alla banca dati
Quid iuris in caso di inadempimento?
Il nuovo art 34-bis non prevede sanzioni amministrative a carico dei professionisti che omettano di inviare le informazioni alla banca dati istituita.
Viene, invece, riproposto il meccanismo di cui all’art 11 comma 3 L.A.:
18. L’organismo di autoregolamentazione promuove e controlla l’osservanza degli obblighi previsti dal presente articolo da parte dei professionisti. In caso di violazioni gravi, ripetute o sistematiche ovvero plurime si applica l’articolo 11, comma 3.
Secondo il richiamato art 11 comma 3, gli organismi di autoregolamentazione applicano sanzioni disciplinari a fronte di violazioni gravi, ripetute o sistematiche ovvero plurime degli obblighi cui i propri iscritti sono assoggettati e comunicano annualmente al Ministero dell’economia e delle finanze e al Ministero della giustizia i dati attinenti il numero dei procedimenti disciplinari avviati o conclusi dagli ordini territoriali.
L’organismo potrebbe certamente promuovere la conoscenza e l’utilizzo della banca dati ma come (in quali occasioni e con quali poteri) potrebbe controllare che il singolo professionista adempia all’obbligo di trasmissione?
Ci sembra una prospettiva sostanzialmente velleitaria.
Ad ogni modo, il Consiglio nazionale forense ha, da tempo, espresso la sua posizione sulla possibilità di controllo sull’osservanza degli obblighi antiriciclaggio: essa è ammissibile esclusivamente nell’esercizio della potestà disciplinare prevista dalla legge professionale e al di fuori di ulteriori poteri ispettivi o informativi (cfr. nota 15 ottobre 2009):
Se, nell’ambito dei propri poteri di cognizione esercitati nel quadro del controllo disciplinare, emerge a carico di un iscritto una violazione di un obbligo previsto dalla normativa antiriciclaggio, l’ordine dovrà tenerne conto nella comminazione di eventuali sanzioni, atteso che la responsabilità disciplinare è collegata dall’ordinamento alla violazione di ogni dovere professionale, abbia esso fonte nella legge o nel codice deontologico.
Altra domanda sorge a questo punto: quale organo di autoregolamentazione aprirebbe alla possibilità di ulteriori profili sanzionatori nei confronti dei propri iscritti, possibilità derivante dalla decisione di istituire la banca dati in esame?
2. La seconda funzione della banca-dati: alert a supporto delle SOS dei professionisti
Veniamo al distinto tema della rilevanza della banca dati ai fini dell’adempimento dell’obbligo di segnalazione di operazioni sospette.
Innanzitutto, il comma 3 così recita:
Al fine di acquisire informazioni rilevanti per le valutazioni di cui all’articolo 35, prima di prestare la propria opera professionale o compiere le operazioni inerenti allo svolgimento della propria attività professionale, ovvero prima dell’invio della segnalazione di operazione sospetta nell’ipotesi prevista dall’articolo 35, comma 2, i professionisti possono trasmettere alla banca dati, per via telematica, i documenti, i dati e le informazioni acquisiti nell’adempimento degli obblighi di adeguata verifica della clientela di cui al presente decreto.
Ci sembra che tale disposizione sia in contrasto con il comma precedente: secondo il comma 3, i dati acquisiti nell’adempimento degli obblighi di adeguata verifica della clientela “possono” essere trasmessi dai professionisti al fine di acquisire informazioni rilevanti per le valutazioni necessarie all’invio di SOS.
Tuttavia, se esiste già – nel comma 2 – un obbligo generale di trasmettere i documenti acquisiti in sede di adeguata verifica, tout court, è del tutto inutile prevedere la facoltà di tale invio per lo specifico fine SOS.
Arriviamo finalmente all’”alert antiriciclaggio” di cui al comma 4:
Nei casi di cui al comma 3, ovvero a seguito dell’invio di cui al comma 2, qualora dalla banca dati, tenuto conto anche degli indicatori e schemi di anomalia elaborati dalla Unità di informazione finanziaria per l’Italia ai sensi del presente decreto, emergano operatività anomale basate sui parametri quantitativi e qualitativi di cui al comma 5, il professionista riceve un avviso a supporto delle valutazioni di cui all’articolo 35. In ogni caso, resta ferma la responsabilità del professionista per l’adempimento dell’obbligo di segnalazione delle operazioni sospette, anche nel caso di mancata ricezione dell’avviso.
Questo comma solleva diverse questioni.
La prima attiene alla tipologia di banca dati che gli organi di autoregolamentazione dovrebbero istituire a loro spese.
La banca dati non dovrebbe essere un mero repository delle informazioni trasmesse ma uno strumento evoluto che riesca ad estrapolare profili di rischio dai documenti trasmessi (“Qualora dalla banca dati …emergano operatività anomale…”).
Trattasi di adempimento affatto banale e non a buon mercato.
La seconda questione concerne il tipo e il grado di collaborazione degli organismi di autoregolamentazione.
Fino ad oggi, il ruolo dell’organismo di autoregolamentazione non ha riguardato l’adeguata verifica del professionista bensì è stato limitato (nei casi in cui si è scelta questa soluzione: ad esempio, Notariato e CNDCEC) alla (mera) ricezione e (mero) inoltro delle SOS: con questa novella si vuole introdurre, nella sostanza, un ruolo ulteriore e più incisivo di valutazione nel merito delle informazioni ricevute ai fini dell’eventuale invio dell’alert per rischio di riciclaggio.
Il terzo tema riguarda il patrimonio informativo posto a disposizione delle Autorità preposte:
9. Il Ministero dell’economia e delle finanze, l’Unità di informazione finanziaria per l’Italia, il Nucleo speciale di polizia valutaria della Guardia di Finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo accedono alla banca dati di cui al comma 1 per lo svolgimento delle rispettive attribuzioni istituzionali come individuate dal presente decreto. L’accesso alla medesima banca dati non è consentito ai singoli professionisti.
Con tutta evidenza, diventerebbe diverso il grado di conoscenza delle Autorità preposte sull’osservanza della L.A. da parte dei professionisti: non – generale/generico (cfr. art 11 comma 4-bis) – sulla categoria ma – dettagliato – sulle singole prestazioni “day by day” del professionista che ha inviato i documenti alla banca dati.
Va aggiunto che dall’esame della banca dati da parte delle Autorità preposte potrebbero pure emergere elementi a carico del professionista, in relazione alla correttezza e alla tempestività dell’adeguata verifica. Tali elementi potrebbero poi essere utilizzati in un successivo procedimento di accertamento e contestazione.
La quarta ed ultima considerazione riguarda la rilevanza dell’alert che può essere emesso dalla banca dati e che merita una distinta trattazione.
2.1 L’alert della banca dati
La disposizione del comma 4 è netta:
qualora dalla banca dati, tenuto conto anche degli indicatori e schemi di anomalia elaborati dalla Unità di informazione finanziaria per l’Italia ai sensi del presente decreto, emergano operatività anomale basate sui parametri quantitativi e qualitativi di cui al comma 5, il professionista riceve un avviso a supporto delle valutazioni di cui all’articolo 35.
In breve: se sussiste un rischio di riciclaggio, la banca dati invia un alert al professionista il quale potrà effettuare una SOS.
Secondo il comma 5, l’avviso
è generato dalla banca dati sulla base di elementi informativi associati ad una determinata persona fisica o giuridica quali la tipologia di cliente, la capacità economica, la situazione economico patrimoniale, l’attività svolta, la residenza o sede in Paesi terzi ad alto rischio secondo i criteri del presente decreto, le caratteristiche, l’importo, la frequenza, la natura delle prestazioni professionali o operazioni instaurate o eseguite, il loro collegamento o frazionamento.
Al fine di elaborare l’avviso, l’organismo di autoregolamentazione può avvalersi di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni.
Si noti che la legge in esame integra pure l’art 37 L.A., inserendovi un comma 2-bis:
Fermo restando quanto previsto ai commi 1 e 2, i professionisti, ai fini della valutazione delle operazioni ai sensi dell’articolo 35, possono avvalersi della banca dati informatica centralizzata di cui all’articolo 34-bis istituita presso il proprio organismo di autoregolamentazione, per poter ricevere, ricorrendone i presupposti, l’avviso di cui al comma 4 del medesimo articolo. Resta ferma in ogni caso la responsabilità del professionista per l’inadempimento dell’obbligo di segnalazione delle operazioni sospette.
È una formulazione singolare quella del “possono avvalersi” della banca dati “per poter ricevere” l’avviso: se la banca dati viene istituita, il professionista ha l’obbligo di inviare certi dati – come si è visto – e, in questo modo, attiva il meccanismo potenziale di alert antiriciclaggio.
Occorre, infine, chiedersi, ragionando a contrario: se non riceve alcun avviso di anomalia relativamente ad un determinata prestazione professionale comunicata alla banca dati, il professionista potrà fare affidamento su tale circostanza ed omettere la SOS?
La risposta è negativa: secondo l’art 4, resta ferma la responsabilità del professionista per l’adempimento dell’obbligo di segnalazione delle operazioni sospette, anche nel caso di mancata ricezione dell’avviso.
Altro tema, per nulla peregrino: in caso venisse sanzionato per omessa SOS relativa ad una prestazione professionale comunicata alla banca dati, il professionista potrebbe citare in giudizio l’organismo di autoregolamentazione per il danno subito (id est: la sanzione amministrativa) in conseguenza dell’omesso invio dell’alert?
Si tratta di problemi in parte analoghi a quelli sollevati dall’applicazione di GIANOS, già più volte giunti all’attenzione della giurisprudenza civile in sede di impugnazione dei decreti sanzionatori; nel caso che ci occupa, peraltro, la banca dati sarebbe istituita da un ente pubblico, distinto dal soggetto obbligato.
Riteniamo che la circostanza di non aver ricevuto l’alert di rischio di riciclaggio possa, comunque, contribuire alla linea difensiva in sede di opposizione al decreto sanzionatorio.