Site icon Commercialista Verona, Studio Consulenza Finanziaria e Amministrativa

Antiriciclaggio: stralciata la norma sull’istituzione (facoltativa) di banche dati informatiche presso gli organismi di autoregolamentazione

Studio Pozzan
Antiriciclaggio: Stralciata La Norma Sull’istituzione (facoltativa) Di Banche Dati Informatiche Presso Gli Organismi Di Autoregolamentazione

La legge di Bilancio per il 2024, approvata in bozza in seno alla riunione del Consiglio dei Ministri del 16 ottobre, prevedeva al suo interno (art. 22 del testo bollinato – Modifiche al decreto legislativo 21 novembre 2007, n. 231) l’istituzione di banche dati informatiche presso gli organismi di autoregolamentazione.

Si trattava, stando alla versione del testo bollinato, di una facoltà rimessa alla discrezionalità degli organismi di autoregolamentazione che, appunto, avrebbero potuto istituire – ma previo nulla osta del Garante per la protezione dei dati personali – una “banca dati informatica centralizzata dei documenti, dei dati e delle informazioni acquisiti dai professionisti nello svolgimento della propria attività professionale che sono tenuti a conservare ai sensi dell’art. 31” del D.Lgs. n. 231/2007.

La norma da ultimo richiamata fa riferimento alla “copia dei documenti acquisiti in occasione dell’adeguata verifica della clientela e l’originale ovvero copia avente efficacia probatoria ai sensi della normativa vigente, delle scritture e registrazioni inerenti alle operazioni”.

Lo scongiurato art. 34-bis, in un chiaro – si fa per dire – anelito di semplificazione, lasciava agli organi di autoregolamentazione la scelta circa i dati e le informazioni da trasmettere, sulla base della (evidente) consapevolezza del legislatore circa le difficoltà di rendere compliant in chiave GDPR praticamente tutti i fascicoli cliente (ivi inclusi quelli profilati a rischio basso, sic…) quanto meno sotto il profilo della minimizzazione ed anonimizzazione del dato.

Le criticità e i profili di legittimità della norma

La grande bellezza della proposta si coglieva già dall’obbligo in capo ai professionisti di inviare senza ritardo i documenti necessari all’alimentazione della banca dati, lasciando detto adempimento privo di un trattamento sanzionatorio specifico a meno di non volerlo ricavare applicando estensivamente il comma 18 dello stesso art. 34-bis (“l’organismo di autoregolamentazione promuove e controlla l’osservanza degli obblighi previsti dal presente articolo”).

Ma il meglio era altrove, perché i commi 3 e 4 avrebbero sancito la piena legittimazione dell’organismo di vigilanza a sostituirsi al professionista nello svolgimento del processo valutativo richiesto dall’art. 35 del D.Lgs. n. 231/2007, bypassando magari rapporti pluriennali con la clientela e ritraendo, grazie a sistemi automatizzati e algoritmi verificati, elementi di sospetto da allegazioni documentali lette alla luce dei consueti parametri di riscontro delle anomalie.

Più nel dettaglio, i professionisti, “prima di prestare la propria opera professionale o compiere le operazioni inerenti allo svolgimento della propria attività professionale, ovvero prima dell’invio della segnalazione di operazione sospetta”, avrebbero potuto trasmettere i documenti acquisiti in sede di adeguata verifica.

Da questo punto in poi la norma in commento assumeva connotati degni dei romanzi di Asimov: dai documenti inviati dai professionisti, quale adempimento dell’obbligo di alimentazione senza ritardo della banca dati o, su (ulteriore, si presumeva ma non era dato capirlo) base volontaria, quale richiesta di vaticinio a sostegno delle scelte in chiave segnaletica, la logica algoritmica verificata che avrebbe governato la banca dati avrebbe potuto generare un avviso a supporto delle valutazioni ex art. 35 del D.Lgs. n. 231/2007.
Una simile impostazione sembrava negare di fatto, pur richiamandoli espressamente, i termini d’uso degli indicatori di anomalia, a mente del provvedimento del 12 maggio 2023, nel quale il ricorso a strumenti di rilevazione automatica degli schemi anomali è salutato con favore ma non deve mai sterilizzare il giudizio valutativo del soggetto obbligato o, peggio, sostituirvisi, in un contesto in cui il supporto offerto dagli indicatori è dedicato al destinatario della disciplina e non all’organismo di autoregolamentazione.

Leggi anche

Del resto, la segnalazione di operazione sospetta è l’apicale manifestazione della collaborazione attiva fondata sul principio “know your customer”.

Per fortuna, a parere di chi scrive, lo stralcio ha eliminato il riconoscimento di capacità alla summenzionata logica algoritmica di sostituirsi al professionista, non tanto sotto il profilo quantitativo dell’anomalia, quanto in termini qualitativi, perché gli organismi di autoregolamentazione non possono conoscere la clientela dei propri iscritti attraverso l’esame di un fascicolo informatico e l’interpolazione automatizzata con altri parametri standard.

A tacere poi del fatto che, se appariva astrattamente GDPR compliant l’invio di un flusso anonimo per un supporto in chiave “SOS”, come insegna la recente attivazione della piattaforma ARSOS da parte del CNDEC, sarebbe rimasto un mistero come e da chi far gestire l’emersione di un’anomalia dall’esame di documentazione inviata in adempimento di un obbligo che non aveva titolo diretto nell’art. 35 del D.Lgs. n. 231/2007.

Copyright © – Riproduzione riservata

Fonte

Exit mobile version