Banche e normativa antiriciclaggio: nell’ambito delle procedure di adeguata verifica della clientela il Decreto semplificazioni (d.l. n. 76/2020, convertito nella l. n. 120/2020) ha previsto una novità: la possibilità di utilizzare identità digitali con un livello di sicurezza diverso rispetto a quello in precedenza stabilito (“almeno significativo” e non più “massimo”). Vediamo che cosa cambia in concreto a seguito di tale modifica.
Banche antiriciclaggio e gli obblighi di verifica della clientela
Al fine di prevenire e contrastare l’uso del sistema economico e finanziario per finalità di riciclaggio e finanziamento del terrorismo, il d. lgs. 231/2007 prevede specifici obblighi di adeguata verifica della clientela da parte delle banche.
In sostanza, in occasione delle operazioni indicate all’art. 17 del d. lgs. 231/2007 (ossia: instaurazione di un rapporto continuativo o del conferimento dell’incarico per lo svolgimento di una prestazione professionale; esecuzione di un un’operazione occasionale o un trasferimento di fondi di importo pari o superiore ai limiti di legge) e, in ogni caso, quando vi sia il sospetto di riciclaggio di denaro o finanziamento del terrorismo, ovvero vi siano dubbi sui dati acquisiti dal cliente, gli intermediari finanziari devono procedere a identificare il cliente, verificare la sua identità, acquisire informazioni sull’operazione richiesta e a monitorare periodicamente il rapporto instaurato.
L’identificazione, dunque, rientra tra i contenuti degli obblighi di adeguata verifica e consente di acquisire i dati identificativi del cliente e di accertarsi della sua identità.
Le modalità consentite per l’identificazione della clientela
L’attività di identificazione è generalmente svolta in presenza del cliente. Tuttavia, talvolta il legislatore considera assolto l’obbligo di identificazione anche senza la sua presenza fisica (si pensi, a titolo esemplificativo, alla procedura di video-identificazione a distanza).
Rientrano in tale ultima casistica anche le due ipotesi, l’una introdotta ex novo, l’altra modificata dal d.l. n.76/2020, che ammette la possibilità di ritenere identificati:
- i clienti che dispongono un bonifico verso un conto di pagamento intestato al soggetto che esegue l’identificazione (ma solo con riferimento ai rapporti relativi a carte di pagamento e dispositivi analoghi, nonché a strumenti di pagamento basati su dispositivi di telecomunicazione);
- i clienti in possesso di un’identità digitale, “con livello di garanzia almeno significativo rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco di cui all’art. 9 del Regolamento eIDAS o del certificato per la generazione di una firma elettronica qualificata o di quelli che siano identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate, ovvero autorizzate o riconosciute dall’AgID” (art.19, c.1, lett. a), d. lgs. n. 231/2007).
“Livello di garanzia almeno significativo”. Che cosa cambia
Il Decreto semplificazioni, anche in considerazione della crescita esponenziale della domanda di servizi digitali registratasi con il diffondersi della pandemia da Covid-19, ha riformulato i requisiti richiesti per le identità digitali ai fini dell’assolvimento dell’obbligo di identificazione della clientela. Per le banche e le misure antiriciclaggio, il decreto ha ritenuto sufficiente il possesso di un’identità digitale con livello di garanzia almeno significativo e non più con livello di massima sicurezza, come richiesto invece dalla precedente formulazione (Fermo restando il rispetto delle disposizioni di cui all’art. 64 del d. lgs. 82/2005, CAD).
Tale modifica non è irrilevante, anzi incide significativamente sul grado di affidabilità e di sicurezza degli strumenti digitali in questione.
Difatti, il livello di garanzia significativo, ai sensi dell’art. 8 par. 2 del Regolamento eIDAS, si riferisce a mezzi di identificazione elettronica che consentono di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità, non anche di escludere tale profilo di rischio.
Al contrario, il livello di garanzia elevato (in linea di massima equiparabile al livello massimo di sicurezza di cui al d.l. 76/2020) si riferisce a un mezzo di identificazione elettronica che si caratterizza per specifiche, norme e procedure tecniche a esso pertinenti, inclusi i controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità.
Banche antiriciclaggio e autenticazione a due fattori: novità
Inoltre, dal punto di vista strettamente tecnico, nell’ambito del livello di garanzia significativo il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori non necessariamente basati su certificati digitali (al contrario di quanto accade nel livello di garanzia elevato).
Ciò comporta che, sul piano operativo, l’accesso ai servizi tramite identità digitale di livello significativo avviene generalmente con l’inserimento di un nome utente ed una password scelti dall’utente, più la generazione di una OTP, inviato all’utente tramite SMS o con l’uso di un’app fruibile attraverso un dispositivo.
Nel caso di livello massimo, invece, sono previste ulteriori misure di sicurezza; infatti, oltre al nome utente e alla password, è richiesto un supporto fisico che gestisca le chiavi crittografiche (ad esempio una smart card o un dispositivo HSM; Helpdesk.spid.gov.it).
Le conseguenze della modifica e le questioni aperte
Alla luce delle considerazioni che precedono si comprende bene come le nuove misure intendano agevolare la diffusione di procedure di identificazione remotizzate nell’ambito dei rapporti contrattuali che si perfezionano senza la presenza fisica del cliente, sempre che questi disponga di un’identità digitale con i requisiti richiesti dalla legge.
Dare per identificato un soggetto in possesso di un’identità digitale con livello di garanzia significativo, infatti, certamente amplia la platea di coloro i quali, per avere accesso ai servizi bancari, non dovranno essere nuovamente identificati dall’intermediario finanziario che procede all’instaurazione del rapporto.
È necessario, però, considerare i potenziali rischi sulla sicurezza connessi all’implementazione in concreto di tale modello nel contesto bancario. Questo è infatti caratterizzato da molteplici profili di rischio, anche rilevanti (si pensi, a titolo esemplificativo, alle conseguenze che potrebbero discendere da un errore di autenticazione o da un uso improprio, illegittimo e/o non autorizzato delle credenziali di accesso ai servizi bancari, nonché alle ipotesi di furto di identità e ai pregiudizi economici e morali che ne discendono). La scelta del livello di sicurezza per le identità digitali ai fini delle procedure di identificazione dovrà essere sempre attentamente valutata.
Spinta alla digitalizzazione, ma serve un risk management
Le novità e le modifiche introdotte dal legislatore manifestano indubbiamente la volontà di intraprendere un percorso volto sempre più alla digitalizzazione delle procedure, anche nell’ambito dell’attività di identificazione della clientela bancaria, ai fini dell’adempimento degli obblighi di adeguata verifica.
È auspicabile, tuttavia, che tale percorso sia accompagnato dall’adozione virtuosa degli strumenti resi legittimi dalla normativa, attraverso un’attenta analisi dei rischi potenzialmente verificabili e delle misure di sicurezza necessarie per mitigarli.