Di Emanuela Montanari – Compliance Officer, Responsabile Antiriciclaggio, Delegato Sos In data 1° aprile 2020 il Presidente del GAFI ha dichiarato che i Paesi membri del GAFI, sia a livello nazionale che multilaterale, stanno applicando tutte le risorse disponibili per combattere la pandemia di COVID-19. Al fine di contrastare efficacemente il riciclaggio di denaro (ML) e il finanziamento del terrorismo (TF) e della proliferazione connessi con il COVID-19, il GAFI ha incoraggiato i governi a lavorare con le istituzioni finanziarie per sfruttare la flessibilità dell’approccio basato sul rischio rimanendo vigili sui rischi di finanziamento illecito emergenti. Il GAFI incoraggia a sfruttare appieno ed in modo responsabile l’onboarding digitale della clientela e la fornitura di servizi finanziari digitali alla luce delle misure di allontanamento sociale. Un’efficace attuazione degli standard GAFI favorisce una maggiore trasparenza nelle transazioni finanziarie, il che dà ai Governi ed alle istituzioni finanziarie una maggiore fiducia che il loro sostegno stia raggiungendo i reali beneficiari. La continua attuazione degli standard GAFI facilita l’integrità e la sicurezza del sistema di pagamenti globale attraverso canali legittimi e trasparenti con livelli adeguati di due diligence. Affrontare i rischi di criminalità finanziaria legati a COVID-19 I criminali stanno approfittando della pandemia per effettuare frodi finanziarie e truffe, compreso il traffico di medicinali contraffatti, offrendo opportunità di investimento fraudolente e impegnandosi in schemi di phishing a danno di persone deboli. Crimini informatici, frodi, raccolta fondi per organizzazioni no profit false, truffe legati a presidi medici contraffatti aumentano, con i criminali che tentano di trarre profitto sfruttando le persone che hanno urgente bisogno di cure. Le autorità nazionali e gli organismi internazionali hanno evidenziato queste tipologie di reati, tra cui truffe, schemi di investimenti e di prodotti, nonché insider trading in relazione a COVID-19. Anche i terroristi possono sfruttare queste opportunità per raccogliere fondi. Le autorità di vigilanza, le unità di informazione finanziaria e le autorità di contrasto dovrebbero continuare a condividere informazioni con il settore privato per stabilire le priorità e affrontare i principali rischi di ML, in particolare quelli relativi alle frodi, e i rischi di TF collegati a COVID-19. Inoltre, i criminali e i terroristi possono cercare di sfruttare le lacune e le debolezze nei sistemi nazionali di antiriciclaggio e di contrasto del finanziamento del terrorismo, rendendo l’attività di supervisione più critica. Le istituzioni finanziarie dovrebbero rimanere attente in relazione ai rischi emergenti di ML e TF e mitigare efficacemente gli stessi rilevando e segnalando le attività sospette. Onboarding digitale e due diligence semplificata Le persone affrontano misure di allontanamento sociale rigorose, pertanto le operazioni bancarie eseguite di persona, l’accesso ai servizi finanziari sono difficili ed espongono inutilmente le persone al rischio di infezione. L’uso di pagamenti digitali senza contatto e l’onboarding digitale riducono il rischio di diffusione del virus. Come tale, l’uso della tecnologia finanziaria (Fintech) offre significative opportunità per gestire alcuni dei problemi presentati da COVID-19. In linea con gli standard GAFI, lo stesso incoraggia l’uso della tecnologia, inclusi Fintech, Regtech e Suptech (cfr. Guida all’ID digitale), che evidenzia i vantaggi dell’identità digitale affidabile per migliorare la sicurezza, la privacy e la convenienza di identificare le persone da remoto sia per l’onboarding che per lo svolgimento delle transazioni, mitigando al contempo i rischi di ML / TF. Il GAFI invita i paesi ad usare l’identità digitale, per sviluppare le transazioni finanziarie gestendo i rischi di ML / TF. Quando gli istituti finanziari identificano minori rischi di ML / TF, gli standard GAFI consentono loro di adottare misure semplificate di CDD. Incoraggia i paesi e i fornitori di servizi finanziari a utilizzare in modo appropriato di misure semplificate per facilitare l’erogazione di finanziamenti pubblici in risposta alla pandemia. Fornitura di aiuti attraverso organizzazioni senza scopo di lucro Questa emergenza globale per la salute pubblica ha messo in luce il lavoro vitale delle organizzazioni non profit (NPO) per combattere COVID-19. Il GAFI ha da tempo riconosciuto l’importanza vitale delle NPO nel fornire servizi di beneficenza, nonché le difficoltà nel fornire tale assistenza ai bisognosi. Il GAFI ha collaborato a stretto contatto con le NPO nel corso degli anni per perfezionare gli standard GAFI al fine di fornire flessibilità per garantire che le donazioni e le attività di beneficenza possano procedere rapidamente attraverso canali legittimi e trasparenti. È importante riconoscere che gli standard GAFI non richiedono che tutti gli NPO siano considerati ad alto rischio e che la maggior parte degli NPO comporta un rischio di TF basso o nullo. Lo scopo degli standard GAFI non è impedire tutte le transazioni finanziarie con giurisdizioni in cui potrebbero esserci elevati rischi di ML / TF, ma piuttosto garantire che queste vengano effettuate attraverso canali legittimi e trasparenti e che il denaro raggiunga il legittimo destinatario. Le autorità nazionali e le istituzioni finanziarie dovrebbero applicare un approccio basato sul rischio per garantire che l’attività legittima della NPO non venga scoraggiata. Il GAFI incoraggia i paesi a collaborare con le pertinenti NPO per garantire che gli aiuti necessari arrivino ai destinatari in modo trasparente Sensibilizzazione e assistenza Regolatori, unità di informazione finanziaria, autorità di contrasto e altre agenzie competenti possono fornire supporto, orientamento e assistenza al settore privato su come le leggi e i regolamenti nazionali AML/CFT verranno applicati durante l’attuale crisi. I meccanismi attraverso i quali vittime, istituzioni finanziarie e altre imprese possono denunciare frodi connesse a COVID-19 possono essere particolarmente utili. A livello internazionale, il GAFI collabora con il Committee on Payment and Market Infrastructures e World Bank per contribuire a garantire risposte coordinate per la fornitura di servizi di pagamento sullo sfondo della crisi COVID-19. GAFI, Fondo monetario internazionale, World Bank e Nazioni Unite stanno collaborando con i loro membri per mitigare gli impatti della crisi COVID-19, anche attraverso l’uso di misure AML/CFT. Inoltre, il GAFI sta lavorando con i suoi membri per identificare e condividere le buone pratiche in risposta a problemi comuni affrontati in molti paesi colpiti. Rischi di riciclaggio di denaro e finanziamento del terrorismo connessi a COVID-19 In data 4 maggio 2020 il GAFI ha pubblicato un nuovo documento sui rischi di riciclaggio e di finanziamento del terrorismo correlati con la pandemia di COVID-19 che ha portato a un aumento dei reati, tra cui frodi, criminalità informatica, sfruttamento di fondi governativi o assistenza finanziaria internazionale, che sta creando nuove fonti di proventi per attori illeciti. Il documento identifica le sfide, le buone pratiche e le risposte politiche alle nuove minacce e vulnerabilità di riciclaggio e finanziamento del terrorismo derivanti dalla crisi COVID-19. La pandemia sta incidendo sulla capacità del governo e del settore privato di attuare gli obblighi di lotta al riciclaggio di denaro e al finanziamento del terrorismo (AML/CFT) riducendo la capacità di supervisione, regolamentazione, segnalazione delle transazioni sospette e cooperazione internazionale. Ciò potrebbe comportare rischi e vulnerabilità emergenti che potrebbero indurre i criminali a trovare modi per:
- bypassare le misure di adeguata verifica della clientela;
- aumentare l’uso improprio di servizi finanziari online e risorse virtuali per spostare e nascondere fondi illeciti;
- sfruttare le misure di incentivazione economica e i sistemi di insolvenza come mezzo per nascondere alle persone fisiche e giuridiche e riciclare i proventi illeciti;
- aumentare l’uso del settore finanziario non regolamentato, creando ulteriori opportunità per i criminali di riciclare fondi illeciti;
- uso improprio e appropriazione indebita di aiuti finanziari nazionali e internazionali e finanziamenti di emergenza;
- sfruttare la recessione economica associata per passare a nuove linee di business ad alta intensità di liquidità.
Le politiche AML/CFT possono aiutare a supportare l’implementazione rapida ed efficace delle misure per rispondere a COVID-19, gestendo al contempo nuovi rischi e vulnerabilità. Il documento fornisce esempi che includono:
- coordinamento nazionale per valutare l’impatto di COVID-19 su rischi e sistemi AML / CFT;
- comunicazione rafforzata con il settore privato;
- incoraggiare il pieno utilizzo di un approccio basato sul rischio nelle procedure di adeguata verifica del cliente;
- supporto delle opzioni di pagamento elettronico e digitale.
Guida sull’Identità digitale “Digital Identity” Il GAFI il 6 marzo 2020 ha pubblicato una Guida sull’Identificazione digitale in cui sono indicati gli standard GAFI per l’esecuzione delle procedure di customer due diligence (in seguito “CDD”) con sistemi digitali. Sono evidenziati i rischi ed i vantaggi che i sistemi di identificazione digitale comportano in conformità alle disposizioni in materia di antiriciclaggio e contrasto del finanziamento del terrorismo (“AML/CFT”) e sono riportate le valutazioni circa l’affidabilità e l’indipendenza dei sistemi di identificazione digitale secondo un approccio basato sul rischio ai fini di adeguata verifica della clientela. I contenuti della Guida sull’identità digitale Il GAFI evidenzia che i pagamenti digitali stanno crescendo di circa il 12,7% annuo e si prevede che raggiungeranno 726 miliardi di transazioni all’anno entro il 2020. Entro il 2022, il 60% circa del PIL mondiale sarà digitalizzato. Per il GAFI, la crescita delle transazioni finanziarie digitali richiede una migliore comprensione di come gli individui vengono identificati e verificati nel mondo dei servizi finanziari digitali. Le tecnologie dell’identità digitale (ID) si stanno evolvendo rapidamente, dando origine a una varietà di sistemi di identificazione digitale. La Guida ha lo scopo di aiutare i governi, le istituzioni finanziarie e altre parti interessate a determinare come i sistemi di identificazione digitale possono essere utilizzati per condurre determinati profili della adeguata verifica della clientela ai sensi della Raccomandazione 10. La comprensione di come funzionano i sistemi di identificazione digitale è essenziale per applicare l’approccio basato sul rischio raccomandato anche nella presente Guida La Sezione III analizza uno dei principali aspetti ovvero identificare e verificare l’identità dei clienti utilizzando documenti, dati o informazioni “affidabili, indipendenti” (Raccomandazione 10 (a). Nel contesto dell’ID digitale, il requisito dipende dal sistema di identificazione digitale utilizzato per condurre le procedure di CDD basate su tecnologia, governance adeguata, processi e procedure che forniscono livelli adeguati di sicurezza. L’identificazione del cliente “a distanza” e le transazioni eseguite a distanza che si basano su sistemi di identificazione digitale affidabili e indipendenti con adeguate misure di mitigazione del rischio, possono presentare un livello di rischio non alto o persino inferiore. L’approccio basato sul rischio raccomandato è costituito da sistemi di identificazione digitale basati sul consenso e su un frameworks e standard tecnici che ne garantiscano l’affidabilità. L’Organizzazione internazionale per la standardizzazione (ISO), insieme alla Commissione elettrotecnica internazionale (IEC), sta aggiornando una serie di standard tecnici ISO/IEC relativi all’identità, alla sicurezza delle tecnologie dell’informazione e alla privacy per sviluppare uno standard globale per i sistemi di identificazione digitale. Il frameworks per verificare l’identità del cliente richiede diversi “livelli di affidabilità”. I livelli di affidabilità misurano il livello di affidabilità e indipendenza di un sistema di identificazione digitale. La Guida si riferisce principalmente alla regolamentazione e agli standard tecnici dell’ID digitale del National Institute of Standards and Technology (NIST) e del regolamento e-IDAS dell’UE n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche. Le giurisdizioni dovrebbero considerare l’approccio del GAFI nella propria regolamentazione nazionale. Il frameworks e gli standard di garanzia dell’identità digitale sono interrelati con le normative AML/CFT. La guida traccia il collegamento con i requisiti della adeguata verifica stabiliti dal GAFI. I componenti chiave dei sistemi di identificazione digitale devono soddisfare i requisiti specifici di identificazione e verifica dell’identità della clientela ai sensi della Raccomandazione 10 (a). Di conseguenza, la regolamentazione che disciplina l’identificazione digitale e gli standard tecnici definiscono i requisiti per ciascun livello di garanzia, e sono gli strumenti necessari per valutare l’affidabilità e l’indipendenza dei sistemi di identificazione digitale ai fini AML/CFT. In un contesto di finanza digitale, un’efficace autenticazione digitale dell’identità del cliente per autorizzare l’apertura del conto può supportare gli sforzi AML/CFT ai sensi della Raccomandazione 10 (a) (credenziali di identificazione digitale preesistenti, una soluzione di identificazione digitale esterna). Le componenti chiave dei sistemi di identificazione digitale ai fini della CDD sono:
- identificazione e verifica dell’identità ai sensi della Raccomandazione 10 (a): occorre ottenere attributi (quali nome, data di nascita, numero del documento, ecc.) e prove di tali attributi, attraverso la verifica dei documenti di identità e ricercando la corrispondenza ad un’unica persona (prova di identità);
- è vincolante rilasciare credenziali che collegano la persona in possesso o controllo delle credenziali stesse all’individuo;
- Occorre stabilire che il richiedente abbia il possesso e il controllo delle credenziali vincolanti. L’autenticazione si effettua se l’istituzione finanziaria effettua l’identificazione / verifica confermando il possesso da parte del potenziale cliente di credenziali di identificazione digitale preesistenti.
La sezione IV evidenzia alcuni vantaggi dei sistemi di identificazione digitale, nonché i rischi che comportano. Tuttavia, il controllo dell’identità e/o l’autenticazione di persone su una rete di comunicazione aperta (Internet) crea rischi specifici in relazione agli attacchi informatici e al potenziale furto di identità. D’altro canto, i sistemi di identificazione digitale che mitigano questi rischi in conformità con i frameworks e gli standard di garanzia dell’ID digitale sono molto promettenti anche per rafforzare i controlli eseguiti a fini di adeguata verifica e AML/CFT, aumentare l’inclusione finanziaria, migliorare l’esperienza del cliente e ridurre i costi. La sezione V è il punto cruciale della Guida e fornisce indicazioni per le autorità governative, le entità finanziarie e le altre parti interessate su come applicare un approccio basato sul rischio nell’uso dei sistemi di identificazione digitale per l’identificazione e la verifica dell’identità dei clienti con documenti di fonte affidabile e indipendente in linea con la Raccomandazione 10 (a) e per supportare le procedure di controllo costante della relazione per assicurare che le transazioni siano coerenti con la conoscenza del cliente, la sua attività, il suo profilo di rischio inclusa l’origine dei fondi come indicato nella Raccomandazione 10 (d) L’approccio raccomandato è neutro dal punto di vista tecnologico (ovvero non predilige alcun tipo particolare di sistema di identificazione digitale). Esistono due elementi di questo approccio:
- comprensione dei livelli di garanzia dei componenti principali del sistema di identificazione digitale (compresa la sua tecnologia, architettura e governance) per determinare che sia una fonte di informazioni affidabile e indipendente;
- ampliare l’utilizzo dell’approccio basato sul rischio se, dati i suoi livelli di garanzia, il sistema di identificazione digitale fornisca una soluzione adeguata per il livello di affidabilità e indipendenza alla luce dei potenziali rischi di ML, TF, frode, finanziamenti illeciti, ecc.
Il GAFI indica come sfruttare i frameworks e gli standard di garanzia dell’identità digitale per valutarne l’affidabilità e indipendenza. Stabilisce per le istituzioni finanziarie un processo decisionale per guidare le decisioni sull’opportunità di utilizzare l’ID digitale e soddisfare i requisiti richiesti per la CDD ai sensi della Raccomandazione GAFI 10, adattandolo alle norme della giurisdizione di insediamento. A seconda del sistema di identificazione digitale e del quadro normativo di una giurisdizione, i governi e le entità regolamentate possono avere ruoli e responsabilità diversi nella valutazione dei livelli di affidabilità di un sistema di identità e della sua adeguatezza per le procedure di CDD. I sistemi di identificazione digitale possono consentire un approccio più flessibile nello stabilire i processi richiesti per dimostrare l’identità, anche al fine di condurre l’identificazione e la verifica dell’identità dei clienti in apertura del rapporto in modo da facilitare l’inclusione finanziaria. Inoltre anche i frameworks e gli standard tecnici di garanzia dell’ID digitale forniscono una certa flessibilità nel processo che può essere utilizzata per provare identità e autenticare le persone, che può essere personalizzata per soddisfare gli obiettivi di inclusione finanziaria. Infine, gli intermediari finanziari devono adottare un approccio basato sul rischio in sede di adeguata verifica sostenendo l’inclusione finanziaria, anche attraverso l’uso di sistemi di identificazione digitale, in linea con l’approccio del supplemento GAFI del 2017 su CDD e inclusione finanziaria[1]. Raccomandazioni per le istituzioni finanziarie Il GAFI ha fornito una serie di raccomandazioni per i Governi, le istituzioni finanziarie ed i fornitori di servizi digitali. Le raccomandazioni rilasciate alle istituzioni finanziarie sono le seguenti:
- Raccomandazione 22: comprendere le componenti di base dei sistemi di identificazione digitale, in particolare le prove di identità e autenticazione, e come si applicano alle procedure di CDD (Sezione II e Appendice A).
- Raccomandazione 23: adottare un approccio informato basato sul rischio per fare affidamento su sistemi di identificazione digitale ai fini CDD che includa la comprensione del livello di garanzia del sistema di identificazione digitale, in particolare per la verifica e l’autenticazione dell’identità e che il livello di garanzia sia appropriato per la gestione dei rischi ML/TF associati al cliente, al prodotto, giurisdizione, all’area geografica, ecc.
- Raccomandazione 24: valutare se i sistemi di identificazione digitale con livelli di garanzia inferiori possono essere sufficienti per una due diligence semplificata in caso di basso rischio di ML/TF. Ad esempio, ove consentito, adottando un approccio CDD a più livelli che sfrutta i sistemi di identificazione digitale con vari livelli di garanzia per supportare l’inclusione finanziaria.
- Raccomandazione 25: se, per motivi di policy interna, i rapporti aperti a distanza sono sempre stati classificati ad alto rischio, revisionare tali politiche per tener conto delle misure di identificazione e verifica dell’identità dei clienti basate su sistemi di identificazione digitale affidabili e indipendenti, con adeguate misure di mitigazione del rischio, può essere valutato un rischio inferiore.
- Raccomandazione 26: utilizzare i processi antifrode e di cyber-security per supportare la verifica dell’identità digitale e l’autenticazione ai fini AML/CFT. L’identificazione e la verifica dell’identità del cliente va effettuata al momento dell’onboarding in sede di adeguata verifica e nell’ambito del monitoraggio delle transazioni effettuato nel corso del rapporto (ad esempio, utilizzando garanzie integrate nei sistemi di identificazione digitale per prevenire le frodi monitorando gli eventi di autenticazione per rilevare un uso improprio sistematico di ID digitali per accedere agli account, anche attraverso credenziali / autenticatori di ID digitali persi, rubati) anche per rilevare e segnalare transazioni sospette alle autorità.
- Raccomandazione 27: avere accesso o disporre di un processo che consenta di ottenere le informazioni sull’identità e le prove sottostanti o le informazioni digitali necessarie per l’identificazione e la verifica delle persone.
Le entità finanziarie devono interagire con i regolatori, nonché con i fornitori di servizi di identificazione digitale, per realizzare ciò in modo efficiente ed efficace. Procedure di adeguata verifica della clientela secondo gli standards GAFI Requisiti di identificazione e verifica dell’identità del cliente Le istituzioni finanziarie quando instaurano rapporti con un cliente devono identificare lo stesso e verificarne l’identità, utilizzando documenti, dati o informazioni “affidabili e indipendenti“(Raccomandazione 10(a)). Processi di identificazione La raccomandazione 10 (a) è neutrale sotto il profilo tecnologico, consentendo agli istituti finanziari di utilizzare “documenti, informazioni o dati” quando conducono l’identificazione e la verifica dell’identità dei clienti. La Raccomandazione 10 (a) non impone alcuna restrizione alla modalità di identificazione (documentale/fisica o digitale) o limitazioni per quanto riguarda l’uso dei sistemi di identificazione digitale. Gli standards GAFI lasciano la questione a ciascuna giurisdizione, come parte del suo quadro giuridico nazionale per dimostrare l’identità ufficiale durante lo svolgimento delle procedure di CDD. Inoltre, sebbene la Raccomandazione 10 (a) imponga agli istituti finanziari di collegare l’identità verificata di un cliente all’individuo in un modo “affidabile”, nulla negli standards GAFI stabilisce requisiti per il modo in cui un’identità verificata del cliente dovrebbe essere collegata a un unico individuo reale nell’ambito dell’identificazione. Prova di identità “affidabile, indipendente” Per determinare in che modo è possibile utilizzare i sistemi di identificazione digitale per l’identificazione e la verifica dell’identità dei clienti è essenziale comprendere il significato del requisito della Raccomandazione 10 “utilizzare documenti, dati o informazioni affidabili e indipendenti” nel contesto digitale. La solidità dei sistemi e i livelli di affidabilità sono utili per determinare se un sistema di identificazione digitale è “affidabile, indipendente” ai fini AML/CFT. La Raccomandazione 12 imponeva alle istituzioni finanziarie di identificare i propri clienti “sulla base di un documento di identificazione ufficiale o di altro tipo affidabile”. Attraverso le revisioni nel 2012, il GAFI ha aggiunto il requisito di “verifica dell’identità” secondo cui le prove dell’identità devono essere “indipendenti” oltre ad “affidabili” e ha adottato un approccio più flessibile ed espansivo ai tipi di prove dell’identità comprendendo anche dati o informazioni digitali che potrebbero essere utilizzati per l’identificazione e la verifica dei clienti. Ha inoltre eliminato il riferimento esplicito ai “documenti di identificazione ufficiali”. Nel contesto dell’identificazione digitale, il requisito secondo cui i “documenti, dati o informazioni” digitali devono essere “affidabili, indipendenti” significa che il sistema di identificazione digitale utilizzato per condurre le procedure di CDD si basa su tecnologia, governance adeguata, processi e procedure che consentono al sistema di produrre risultati accurati, mettendo in atto misure di mitigazione per prevenire gli eventuali tipi di rischi. Adeguata verifica della clientela: approccio basato sul rischio La raccomandazione 10 impone alle istituzioni finanziarie di utilizzare un approccio basato sul rischio per determinare l’estensione delle misure di adeguata verifica da applicare. Esse sono tenute a identificare, valutare e intraprendere azioni efficaci per mitigare i rischi di ML/TF in base alle tipologie di clienti, aree geografiche, prodotti, servizi, transazioni o canali di distribuzione. Sono necessarie misure rafforzate in situazioni di rischio più elevato e misure semplificate possono essere appropriate in situazioni in cui è stabilito un rischio basso anche per sostenere gli obiettivi di inclusione finanziaria. Rapporti e transazioni a distanza La nota interpretativa della raccomandazione 10 include “rapporti o transazioni a distanza” come esempi di una situazione potenzialmente a rischio più elevato nelle procedure di adeguata verifica. Tuttavia, la Guida non richiede che le istituzioni finanziarie classifichino sempre i rapporti aperti a distanza a rischio più elevato ai fini di ML e TF. Devono essere considerate circostanze in cui il rischio di ML o TF potrebbe essere potenzialmente più elevato. Considerata l’evoluzione della tecnologia, dei processi e l’emergere di standards tecnici di identificazione digitale basati sul consenso, è importante chiarire che l’identificazione del cliente a distanza e le transazioni che si basano su sistemi di identificazione digitale affidabili e indipendenti con adeguate misure di mitigazione del rischio, possono presentare un livello di rischio medio o basso, come ad esempio quando vengono implementati livelli di garanzia più elevati e/o appropriate misure di controllo del rischio ML/TF, come limiti alla funzionalità del prodotto. Monitoraggio costante e adeguata verifica in corso di rapporto Ai sensi della Raccomandazione 10 (d), le istituzioni finanziarie devono condurre il controllo delle transazioni effettuate nel corso della relazione per garantire che siano coerenti con la conoscenza del cliente, in relazione alla sua attività, al profilo di rischio, compresa l’origine dei fondi. L’autenticazione mediante un sistema di identificazione digitale determina la fiducia che un individuo è la persona della quale è stata dimostrata l’identità e rilasciata con le relative credenziali. Le istituzioni finanziarie che utilizzano sistemi di identificazione digitale per autenticare l’identità dei loro clienti in fase di apertura di rapporto, sono incoraggiate a sfruttare i dati generati dall’autenticazione a supporto del monitoraggio delle transazioni, allo scopo di mitigare i rischi di frodi. L’accelerazione della transizione verso i sistemi finanziari digitali e la conseguente dipendenza dall’uso dell’autenticazione con ID digitale per autorizzare l’accesso all’account, può essere rilevante anche ai fini AML/CFT. Infatti l’autenticazione in corso di rapporto di un cliente fornisce una ragionevole garanzia basata sul rischio che la persona che afferma l’identità oggi è la stessa persona che ha precedentemente aperto il conto sottoposta a identificazione e verifica “affidabili, indipendenti” al momento dell’onboarding. L’autenticazione digitale continua dell’identità del cliente collega tale individuo con la propria attività finanziaria e può facilitare il rafforzamento della capacità di condurre una significativa due diligence in corso di rapporto e il monitoraggio delle transazioni. Disposizioni di Banca d’Italia del 30/07/2019 in materia di adeguata verifica della clientela nell’operatività a distanza Banca d’Italia ha attuato le Linee Guida del GAFI nella Sezione VIII delle Disposizioni in materia di adeguata verifica emanate il 30/7/2019 prevedendo Disposizioni specifiche in materia di operatività a distanza. Per operatività a distanza si intende quella svolta senza la compresenza fisica, presso il destinatario, del cliente (o per i soggetti diversi dalle persone fisiche l’esecutore), dei dipendenti del destinatario o di altro personale incaricato dal destinatario (es., attraverso i sistemi di comunicazione telefonica o informatica). L’Autorità di Vigilanza richiede agli intermediari finanziati di porre particolare attenzione all’operatività a distanza, in considerazione dell’assenza di un contatto diretto con il cliente o con l’esecutore e del rischio di frodi connesse al furto di identità. Nei casi di operatività a distanza, prevede l’obbligo per gli intermediari finanziari di: a) acquisire i dati identificativi del cliente e dell’esecutore effettuandone il riscontro su una copia – ottenuta tramite fax, posta, in formato elettronico o con modalità analoghe – di un valido documento di identità; b) effettuare riscontri ulteriori rispetto a quelli previsti in caso di adeguata verifica “ordinaria” sui dati acquisiti, secondo le modalità più opportune in relazione al rischio specifico. A titolo esemplificativo, si indicano il contatto telefonico su utenza fissa, invio di comunicazioni a un domicilio fisico con ricevuta di ritorno, bonifico effettuato dal cliente attraverso un intermediario bancario e finanziario con sede in Italia o in un paese comunitario, richiesta di invio di documentazione controfirmata; verifica su residenza, domicilio, attività svolta, tramite richieste di informazioni ai competenti uffici ovvero mediante incontri in loco, effettuati avvalendosi di personale proprio o di terzi. Si precisa che, in base all’approccio basato sul rischio, è possibile utilizzare meccanismi di riscontro basati su soluzioni tecnologiche innovative e affidabili (es., quelle che prevedono forme di riconoscimento biometrico), purché assistite da robusti presidi di sicurezza. c) individuare, nel documento di policy antiriciclaggio, i meccanismi di cui intendono avvalersi per effettuare le attività di riscontro illustrando le valutazioni condotte dalla funzione antiriciclaggio sui profili di rischio che caratterizzano ciascuno di questi strumenti e sui relativi presidi di sicurezza. In alternativa a quanto previsto sub a), b), c), l’identificazione del cliente-persona fisica può essere effettuata dai destinatari in digitale da remoto secondo la procedura di registrazione audio/video disciplinata nell’Allegato 3. Disposizioni dell’Agenzia di Informazione Finanziaria della Repubblica di San Marino L’Agenzia di Informazione Finanziaria ha attuato le Linee Guida del GAFI all’art. 5 dell’Istruzione AIF 2018/01 rubricato Modalità di identificazione della clientela. AIF ha stabilito che il processo di identificazione del cliente avviene di regola alla presenza fisica dello stesso, da cui il soggetto designato acquisisce dati ed informazioni richiesti ai fini dell’identificazione. Tuttavia l’identificazione può anche avvenire a distanza. In questo caso l’identificazione va effettuata con una delle seguenti modalità: a) videoconferenza registrata e conservata ai sensi dell’art. 34 della legge; b) utilizzo delle procedure di adeguata verifica tramite terzi; c) procedure informatiche idonee ad acquisire dati, informazioni e documenti accompagnate da un primo bonifico disposto da un rapporto d’affari intestato al medesimo cliente radicato presso una banca dell’Area SEPA o di un paese membro GAFI/FATF. Si conclude pertanto che l’utilizzo di procedure informatiche idonee all’acquisizione dei dati e il bonifico di identificazione consentano l’identificazione e la verifica dell’identità del cliente anche in fase di apertura di rapporti a distanza e di associare un rischio in funzione della tipologia di cliente, prodotto, area geografica senza necessità di applicare misure rafforzate. Infatti nella circolare AIF 1/2018 in cui sono riportati i fattori di rischio per canali di distribuzione è richiesta l’applicazione di misure rafforzate unicamente ai rapporti d’affari od operazioni occasionali a distanza eseguiti senza determinate salvaguardie, come la videoconferenza registrata, l’utilizzo delle procedure di adeguata verifica tramite terzi di cui all’art. 29 della legge 92/2008, le procedure informatiche idonee ad acquisire dati, informazioni e documenti o le firme elettroniche. Note: [1] L’inclusione finanziaria digitale implica l’utilizzo di mezzi digitali per raggiungere popolazioni finanziariamente escluse con una gamma di servizi finanziari regolamentati su misura per le loro esigenze, erogati in modo responsabile a un costo accessibile per i clienti e sostenibile per i fornitori. I “servizi finanziari digitali” comprendono prodotti e servizi finanziari, pagamenti, trasferimenti, risparmi, credito, assicurazioni, titoli, pianificazione finanziaria ed estratti conto. Vengono erogati tramite tecnologia digitale / elettronica come moneta elettronica (avviata online o su un telefono cellulare), carte di pagamento e conti bancari. L’uso e l’applicazione delle soluzioni digitali richiede che sia disponibile l’infrastruttura necessaria per consentire ai clienti in aree remote per poter accedere al denaro. Sempre di più, l’inclusione finanziaria digitale include anche l’uso di prodotti e servizi di identità digitale per fornire alle persone una prova dell’identità a fini di CDD (sebbene possano essere utilizzati anche mezzi convenzionali e alternativi per identificare i clienti e verificare l’identità). Inoltre, coinvolge sempre più soluzioni tecnologiche utilizzate dagli istituti finanziari per adempiere ai propri obblighi di conformità, ad esempio mediante l’uso di big data raccolti tramite l’utilizzo del telefono cellulare, per monitorare le transazioni dei clienti in modo conveniente. Questo è un fattore importante per quanto riguarda la sostenibilità dei modelli di business sviluppati dagli istituti finanziari per raggiungere gruppi a basso reddito, non serviti e svantaggiati. I prodotti e i servizi finanziari digitali e le soluzioni di identità digitale hanno un grande potenziale per facilitare l’accesso ai servizi di base. Numerosi regolatori hanno cercato di creare ambienti per i servizi finanziari digitali, anche per quanto riguarda i requisiti AML / CFT. In questo contesto, la valutazione e mitigazione del rischio e il processo di due diligence del cliente coinvolgono gli strumenti digitali. Si applica il principio generale secondo cui i regimi AML/CFT dovrebbero essere definiti in base alla natura e al livello dei rischi di ML/TF e ai prodotti/canali utilizzati. In numerosi paesi, l’espansione dei servizi finanziari digitali è stata supportata dall’attuazione di un approccio a più livelli alla CDD.
Rivista di Diritto Bancario Tidona - Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.