Antiriciclaggio: il difficile equilibrio tra adeguata verifica della clientela, SOS e GDPR

Nell’ambito della prevenzione e contrasto dell’uso del sistema economico e finanziario a scopo di riciclaggio e finanziamento del terrorismo, un ruolo attivo e di primo piano è svolto dai cc.dd. “soggetti obbligati” in termini di obblighi di adeguata verifica della clientela e segnalazione delle operazioni sospette (SOS).

Rientrano in tale categoria, tra l’altro, gli intermediari bancari e finanziari e – tra i professionisti - i dottori commercialisti e gli esperti contabili, nonché consulenti del lavoro, notai e avvocati nell’ambito di alcune prestazioni specificate dalla legge, i revisori legali e le società di revisione. Sono soggetti obbligati anche coloro che esercitano attività di commercio di cose antiche nonché i soggetti che esercitano l’attività di case d’asta o galleria d’arte.

Gli adempimenti ai quali tali soggetti sono tenuti debbono tuttavia necessariamente confrontarsi con la disciplina in materia di protezione dei dati personali dettata dal GDPR e dal d. lgs. 196/03, come novellato dal D.lgs. 101/2018, come più volte rilevato dallo stesso Garante privacy.[1]

Nello specifico, con riferimento agli obblighi di adeguata verifica della clientela, occorre in primo luogo domandarsi quale sia la base giuridica del trattamento da parte del soggetto obbligato, in veste di “titolare”: la risposta a tale quesito può agevolmente rinvenirsi nell’ art. 6 comma 1 lett. c) GDPR ovvero nell’assolvimento di un obbligo di legge.

I dati personali potranno dunque essere trattati senza che sia necessario il consenso degli interessati, fermo restando l’obbligo di fornire adeguata informativa ai sensi dell’art. 13 GDPR, nel rispetto dei principi di correttezza e trasparenza.

E tuttavia se, in linea di principio, il trattamento dei dati personali necessario all’adempimento degli obblighi di adeguata verifica della clientela deve dunque ritenersi legittimo, il Titolare, in assenza di specifiche indicazioni normative su quali informazioni debbano essere effettivamente raccolte, dovrà porre particolare attenzione al rispetto del principio di minimizzazione di cui all’art. 5 GDPR, in modo da trattare i soli dati essenziali per il raggiungimento delle finalità preventive perseguite dalla normativa AML, sia – come precisato dal Garante – con riferimento all’identificazione del cliente o del titolare effettivo (beneficial owner), sia in relazione alla valutazione del rischio di riciclaggio.

Con riferimento a tale ultimo profilo occorre infatti tenere presente che l’assolvimento degli obblighi di adeguata verifica del cliente si traduce, dal punto di vista del trattamento dei dati personali, in una operazione di profilazione che - sulla scorta degli elementi individuati dall’UIF – ne consentirà la stratificazione in relazione al profilo di rischio stimato. Si tratta di un’operazione di trattamento che presenta – evidentemente – un rischio elevato per i diritti e le libertà degli interessati e che pertanto dovrebbe comportare – come indicato dal Garante – l’effettuazione di una valutazione d’impatto ai sensi dell’art. 35 GDPR per individuare garanzie idonee a tutela degli interessati stessi e, in ogni caso, l’adozione di misure tecnico organizzative adeguate secondo quanto previsto dall’art. 32 GDPR.

Quanto poi alle cosiddette SOS, a norma dell’art. 35 del D. Lgs. n. 231/2007, i soggetti obbligati, prima di compiere l’operazione, inviano senza ritardo alla UIF, una segnalazione di operazione sospetta quando sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo o che comunque i fondi, indipendentemente dalla loro entità, provengano da attività criminosa.

Con riferimento a tale attività si pone tuttavia il problema di garantire la riservatezza del segnalante.

Il d. lgs. n. 231/2007 già prevedeva, all’articolo 38, che l’identità del segnalante fosse mantenuta riservata, cionondimeno il legislatore è intervenuto sul tema in occasione con il D.L. n.228/2021 (c.d. decreto milleproroghe” convertito in Legge n.15/2022 , modificando il comma 3 ed aggiungendo il comma 3 bis dell’art. 38 del D. Lgs. n. 231 citato.

L’indicata norma oggi recita pertanto: “fuori dai casi previsti dal presente decreto, è fatto divieto ai soggetti tenuti alla segnalazione di un'operazione sospetta e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell'avvenuta segnalazione, dell'invio di ulteriori informazioni richieste dalla UIF o dell'esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo. In relazione al trattamento di dati personali connesso alle attività di segnalazione e comunicazione di cui al presente comma, i diritti di cui agli articoli da 15 a 18 e da 20 a 22 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, si esercitano nei limiti previsti dall'articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni” (…), 3-bis. Salvo che il fatto costituisca più grave reato, chiunque rivela indebitamente l’identità del segnalante è punito con la reclusione da due a sei anni. La stessa pena si applica a chi rivela indebitamente notizie riguardanti l'invio della segnalazione e delle informazioni trasmesse dalle FIU o il contenuto delle medesime, se le notizie rivelate sono idonee a consentire l'identificazione del segnalante)

In buona sostanza, il legislatore ha inteso rafforzare la tutela dell’identità del segnalante, per un verso precisando – come suggerito a suo tempo dal Garante - la portata delle limitazioni dei diritti degli interessati (i.e. i soggetti segnalati) che, come previsto espressamente dall’art. 2 undecies d. lgs. 196/03, si applicano qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto, tra l’altro, agli interessi tutelati in base alle disposizioni in materia di riciclaggio e, per altro verso, inasprendo le sanzioni penali connesse alla violazione dell’obbligo di riservatezza in merito all’identità del segnalante.

[1] Cf. da ultimo Parere sullo schema di decreto legislativo recante modifiche ed integrazioni ai d. lgs. 25 maggio 2017 n. 90 e 92 concernenti la prevenzione dell’utilizzo del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo.