Normativa anti–riciclaggio e riservatezza: alcune osservazioni

Dal 2007 la responsabilità da reato degli enti è stata estesa anche ai delitti di ricettazione, riciclaggio ed impiego di denari, beni o utilità di provenienza illecita (art. 25-opties d.lgs 231/2001). Nello stesso anno è stato adottato il decreto legislativo n. 231 del 2007 (in attuazione della direttiva 2005/60/CE) che contiene l’attuale normativa antiriciclaggio.

Una parte rilevante della disciplina prevista nel d.lgs 231/07 è la prevenzione della commissione dei reati appena menzionati tramite l’imposizione in capo all’ente di una serie di doveri, quali ad esempio la customer due diligence e le attività di segnalazione di operazioni sospette di riciclaggio.

I due modelli (compliance programs) hanno diversi profili di intersezione ma preme ricordare che l’ambito applicativo del d.lsgs 231/07 si estende solamente ad una categoria determinata di enti, mentre il d.lgs. 231/01 è applicabile a tutti i tipi di enti. Pertanto si può dire che i reati di ricettazione, riciclaggio ed impiego di denari, beni o utilità di provenienza illecita siano dotati di un sistema di prevenzione “rafforzato”.

La disciplina antiriciclaggio è articolata: ci concentreremo oggi su due aspetti relativi alla riservatezza e al trattamento dei dati.

• L’istituzione del registro dei titolari effettivi

Il 23 dicembre 2019 MEF, di concerto con il MISE, ha predisposto uno schema di Regolamento ministeriale relativo all’istituzione del Registro della titolarità effettiva delle imprese dotate di personalità giuridica, delle persone giuridiche private, dei trust e degli istituti e soggetti giuridici affini ai sensi art. 21, comma 5, d.lgs. n. 231/07.

Il decreto istituisce il c.d. “registro dei titolari effettivi” presso la Camera di commercio (individuata quale Titolare del trattamento) ed ha lo scopo di facilitare la verifica del dato di chi è il titolare effettivo di una determinata società anche da parte di soggetti “interessati” (ossia che presentano un legittimo interesse ad accedere a quel dato) e non soltanto quindi da quelli obbligati al rispetto della normativa antiriciclaggio (ad es. gli intermediari finanziari).

Obbligati all’iscrizione nel registro, e alla comunicazione quindi dei propri dati, sono le imprese dotate di personalità giuridica, le persone giuridiche private tenute all'iscrizione nel Registro delle persone giuridiche private nonché i trust produttivi di effetti giuridici rilevanti a fini fiscali ed istituti affini.

La definizione di “titolare effettivo” viene data dall’articolo 1, comma 2, lett. u), del decreto legislativo n. 231 del 2007: è “la persona o le persone fisiche che, in ultima istanza, possiedono o controllano il cliente nonché la persona fisica per conto della quale è realizzata un’operazione o un’attività”.

Lo schema menzionato sopra è stato trasmesso al Garante della Privacy per ottenere il parere di sua competenza, che si è espresso a favore del decreto con un provvedimento di metà gennaio 2021.

Il Garante nel provvedimento dà atto del fatto che lo schema di decreto è stato il risultato di diverse interlocuzioni avvenute tra il MEF e l’Ufficio del Garante.

Gli aspetti più importanti sui quali si è soffermato il Garante sono, a nostro parere, due:

1. l’accesso da parte del pubblico o di portatori di interessi giuridici rilevanti e differenziati ai dati dei titolari effettivi;
2. la protezione dell’anonimato del soggetto che effettua una segnalazione di difformità.

Per quanto riguarda il primo aspetto, ai sensi dell’articolo 7 dello schema viene sancito che le informazioni sulla titolarità effettiva saranno accessibili al pubblico, dietro pagamento dei diritti di segreteria, e i dati accessibili comprenderanno il nome, il cognome, il mese e l'anno di nascita, il Paese di residenza e la cittadinanza del titolare effettivo, oltre alle condizioni da cui deriva lo status di titolare effettivo. A riguardo il Garante ha ottenuto l’introduzione nel decreto di una procedura ad hoc secondo la quale – in seguito ad una prima valutazione positiva – verranno coinvolti anche i controinteressati nel procedimento di valutazione relativo all’ostensione o meno dei dati richiesti (art.7, comma 4 dello schema). È stata inoltre eliminata la possibilità di un accesso massivo alle informazioni conservate nel Registro.

Per quanto riguarda il secondo aspetto, attiene all’articolo 6 comma 4 dello schema: i soggetti obbligati, infatti, devono comunicare tempestivamente al gestore del Registro le eventuali difformità tra le informazioni sulla titolarità effettiva ottenute per effetto della consultazione del registro e quelle acquisite in sede di adeguata verifica della clientela. Dovrà perciò essere sempre garantito l’anonimato del soggetto che ha effettuato tale segnalazione.

• Le segnalazioni di operazioni sospette (SoS)

Le segnalazioni di operazioni sospette sono regolate dall’art. 35 del d. lgs. 231/2007.

Queste sono obbligatorie per una serie di soggetti c.d. “soggetti obbligati” (tra i quali rientrano gli intermediari finanziari e bancari, altri operatori finanziari, professionisti nell'esercizio della professione in forma individuale, associata o societaria, altri operatori non finanziari, prestatori di servizi di gioco, società di gestione accentrata di strumenti finanziari e di gestione dei mercati regolamentati di strumenti finanziari):

• quando vi è la certezza della commissione di operazioni di riciclaggio finanziario;
• quando vi è sospetto o un motivo ragionevole motivo di sospetto relativo a tali operazioni;
• quando vi siano delle anomalie ricorrenti.

Le segnalazioni vengono trasmesse in modalità telematica all’UIF - Unità di Informazione Finanziaria per l'Italia.

Anche qui vige un divieto assoluto di comunicazione (articolo 39 d.lgs. 231/2007) relativamente a tutte le fasi del procedimento della SoS.

Infatti:

• i soggetti obbligati e gli ordini professionali che ricevono le segnalazioni dai propri iscritti sono obbligati ad adottare misure volte ad assicurare la massima riservatezza dell'identità delle persone che effettuano la segnalazione (art. 38, commi 1 e 2);
• la segnalazione inoltrata deve essere priva di qualsiasi riferimento al nominativo della persona fisica segnalante (art. 36, comma 6 e art. 37 commi 2 e 3);
• gli Organi Investigativi sono tenuti ad omettere, nelle denunce eventualmente trasmesse all'Autorità Giudiziaria, l'identità delle persone fisiche e degli altri soggetti obbligati che hanno inviato la segnalazione (art. 38, comma 4);
• l'Autorità Giudiziaria può richiedere l'identità del segnalante solo con decreto motivato, quando lo ritenga indispensabile ai fini dell'accertamento dei reati per i quali si procede (art. 38, comma 3) 

E nel caso in cui vengano diffusi illecitamente dati relativi alla SoS, in tal modo violando la riservatezza delle stesse, si può incorrere in una sanzione penale (art. 55 c. 4 d.lgs. 231/2007 ) che prevede, salvo che il fatto costituisca più grave reato, l'arresto da sei mesi a un anno e l'ammenda da € 5.000 a € 30.000.

Questi sono gli aspetti più importanti relativi alla riservatezza delle operazioni antiriciclaggio, che rappresenta un valore chiave che ispira tutta la normativa in materia.