Un «banca dati informatica centralizzata» nelle mani degli Ordini Professionali (Notai, Avvocati, Consulenti del Lavoro, Commercialisti), finalizzata a prevenire eventuali attività di riciclaggio o di finanziamento del terrorismo. È la novità in materia di antiriciclaggio contenuta nella bozza della Manovra approvata il 16 ottobre in Consiglio dei ministri.
Si tratta di un progetto del Consiglio Nazionale del Notariato datato 2019, ispirato al modello dei notai spagnoli creato nel 2004 (considerato assoluta eccellenza dagli ispettori del Fondo Monetario Internazionale), che prevede la creazione di una datawarehouse - gestita da un organismo centralizzato di prevenzione - in cui far confluire tutti i dati dei Notai del Paese incrociando – anche grazie ad un sistema di intelligenza artificiale - informazioni rilevanti al fine di individuare anomalie e disegni criminosi che potrebbero non essere rilevati dal singolo notaio, con lo scopo di fornire supporto ai notai stessi nella analisi, valutazione del rischio e inoltro delle segnalazioni in materia di antiriciclaggio, pur nell'assoluto rispetto della responsabilità del soggetto direttamente obbligato.
Il progetto era già stato presentato al MEF e convogliato in uno schema di articolato, sottoposto nel 2022 dal MEF stesso al parere del Autorità garante per la protezione dei dati personali, che prevedeva l'introduzione, all'interno del D.Lgs. 231/2007, dell'art. 34-bis, rubricato appunto "Banche dati informatiche presso gli organismi di autoregolamentazione", nonché la modifica dell'art. 37 (“Modalità di segnalazione da parte dei professionisti”).
Orbene, il testo inserito nella Legge di Bilancio sembra ricalcare quasi nella totalità lo schema già proposto in precedenza e, incomprensibilmente, appare ignorare le prescrizioni contenute nel parere del Garante pubblicato il 1° settembre 2022.
La Manovra 2024
L'art. 22 della Legge di Bilancio 2024, nell'ultima bozza in circolazione, introduce, all'interno del Capo II, Sezione III, Titolo II del D.Lgs. 231/2007, relativo agli obblighi di conservazione, l'art. 34-bis, rubricato “Banche dati informatiche presso gli organismi di autoregolamentazione”. Composta da ben 18 commi, la nuova disposizione disciplina la facoltà per gli organismi di autoregolamentazione (ordini professionali) di istituire, previo parere favorevole del Garante Privacy, «una banca dati informatica centralizzata dei documenti, dei dati e delle informazioni acquisiti dai professionisti nello svolgimento della propria attività professionale che sono tenuti a conservare ai sensi dell'articolo 31 [del D.Lgs. 231/2007]», determinando quali documenti, dati e informazioni debbano essere trasmessi a tale banca dati.
Non chiarissima, quantomeno sotto il profilo testuale, la differenza tra l'obbligo di trasmissione senza ritardo di cui al secondo comma del summenzionato articolo e la facoltà di cui al terzo comma, considerando che entrambi richiamano (nel primo caso, indirettamente) i documenti, i dati e le informazioni acquisiti nell'adempimento degli obblighi di adeguata verifica della clientela di cui al D.Lgs. 231/2007.
Dalla lettura dell'intero articolo sembra intendersi che, nel primo caso, il professionista sia tenuto a trasmettere documenti, dati e informazioni “standard”, ossia predeterminati dall'Ordine in sede di istituzione della banca dati, mentre nel secondo caso si tratti di informazioni “libere”, frutto di valutazioni effettuate dal professionista (sussistenza di indicatori di anomalia, per esempio), sulla scorta di tutti gli elementi in suo possesso, legate al possibile sospetto di operazioni di riciclaggio e finanziamento del terrorismo.
A destare le maggiori perplessità è il comma 4 del nuovo art. 34-bis, ai sensi del quale, con lo scopo di fornire un supporto nell'adempimento dell'obbligo di segnalazione di operazioni sospette, è previsto l'invio al professionista che abbia trasmesso i dati, da parte del database, di un avviso della rischiosità dell'operazione «a supporto delle valutazioni di cui all'articolo 35», ferma restando la responsabilità del professionista stesso per l'adempimento dell'obbligo di SOS, anche nel caso di mancata ricezione dell'avviso.
Tale avviso dovrebbe essere generato «sulla base di elementi informativi associati ad una determinata persona fisica o giuridica quali la tipologia di cliente, la capacità economica, la situazione economico patrimoniale, l'attività svolta, la residenza o sede in Paesi terzi ad alto rischio secondo i criteri del presente decreto, le caratteristiche, l'importo, la frequenza, la natura delle prestazioni professionali o operazioni instaurate o eseguite, il loro collegamento o frazionamento» con l'ausilio in tal senso di «sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni» (art. 34-bis, co. 5).
Infine, l'art 22 della legge di bilancio introduce al capo III, della sezione III, del titolo II del D.Lgs. 231/2007, nell'art. 37, il comma 2-bis, legittimando i professionisti ad avvalersi del database centralizzato istituito dal proprio Ordine di appartenenza per poter ricevere, ricorrendone i presupposti, l'avviso di cui al co. 4 dell'art. 34-bis.
Alcune considerazioni critiche
L'iniziativa, che attende adesso il passaggio parlamentare entro metà dicembre (secondo le intenzioni espresse dal Governo), è in via di principio apprezzabile in un'ottica di incremento degli strumenti di prevenzione e lotta al riciclaggio e al finanziamento del terrorismo.
La facoltà prevista dalla norma, peraltro, potrebbe essere esercitata solo da alcuni Ordini professionali, generando un'evidente disparità tra i diversi professionisti. Gli iscritti agli Ordini che decideranno di attivare la banca dati, infatti, da un lato, avranno a loro disposizione un ulteriore strumento ai fini dell'assolvimento dell'obbligo di cui all'art. 35 ma, dall'altro, subiranno un onere ulteriore.
È, infatti, innegabile l'introduzione di ulteriori potenziali adempimenti a carico dei professionisti. La scelta di prevedere un obbligo (qualora l'Ordine decida di istituire la banca dati) di trasmettere i dati e le informazioni conservate ai sensi dell'art. 31 appare in evidente controtendenza rispetto alla scelta operata dal legislatore con la novella del 2017 (introduzione della IV Direttiva Antiriciclaggio a opera del D.Lgs. 90/2017) di eliminare l'obbligo di registrazione dei dati. I professionisti rivedono all'orizzonte, seppur in modalità centralizzata, lo spettro del “registro antiriciclaggio” (o, meglio, dell'“archivio unico informatico”), la cui eliminazione nel 2017 era stata accolta con assoluto favore.
Sul punto, in occasione del già citato parere del 2022 sullo schema di articolato proposto dal MEF, lo stesso Garante aveva suggerito di «valutare ulteriormente l'opportunità di novellare l'art. 31, c. 3, D.Lgs. 231/2007, imponendo la conservazione nella banca dati centralizzata quale esclusiva modalità di assolvimento dell'obbligo conservativo, così da evitare duplicazioni di archivi».
L'opportunità di introdurre un utile strumento di supporto per i professionisti che allo stesso tempo semplifichi gli adempimenti “burocratici” per gli stessi, evidentemente, non è stata colta.
Altro elemento di forte impatto è la citata previsione dell'«avviso a supporto delle valutazioni di cui all'art. 35» trasmesso dalla banca dati al professionista in presenza di operatività anomale. In questo caso, al professionista stesso non resta che effettuare la SOS, non potendo evidentemente ignorare l'alert ricevuto, venendo meno, in tal modo, anche la discrezionalità valutativa richiamata dal MEF nel provvedimento contenente gli indicatori di anomalia.
L'avviso, peraltro, potrebbe essere generato mediante sistemi automatizzati la cui logica algoritmica sia periodicamente verificata: inevitabili i rischi connessi all'uso dell'intelligenza artificiale in relazione a valori giuridici e diritti fondamentali quali protezione dei dati personali e non discriminazione.
E invero, l'Autorità Garante, nel più volte citato parere del settembre 2022 – richiamando le disposizioni normative in merito ai processi decisionali automatizzati relativi alle persone fisiche (art. 22, co. 2, lett. b), GDPR e art. 8d.lgs. n. 51/2018), tenuto conto del probabile impatto dell'avviso in merito al trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti a condanne penali o reati, a contenuto altamente profilativo –aveva posto quale condizione necessaria al fine del rilascio del proprio parere favorevole l'esigenza di demandare ad una fonte, di natura almeno regolamentare, la descrizione delle modalità di elaborazione dell'avviso, con la previsione delle relative garanzie per gli interessati.
Incomprensibilmente, il legislatore ha ignorato tale “veto”, riproponendo la medesima previsione presentata dal MEF e censurata dall'Autorità.
Infine, sotto il profilo privacy, occorre domandarsi quale ruolo rivestano i professionisti che alimentano la banca dati. Infatti, il legislatore ha prontamente e correttamente qualificato l'Ordine Professionale (che decida di istituire la banca dati) quale Titolare del trattamento; tuttavia, resta di capire quale veste assumano i professionisti che trasmettono dati e informazioni ai sensi dei commi 2 e 3 dell'art. 34-bis, questione di evidente rilevanza giuridica se si considera, tra gli altri, l'onere di rispettare il principio di esattezza dei dati sancito dall'art. 5 del GDPR, in relazione ad un sistema che prevede di fatto un esercizio valutativo personale del professionista il quale ha la facoltà, ai sensi del comma 3 del nuovo art 34-bis, di inviare o meno informazioni ritenute rilevanti ai sensi dell'art. 35 della normativa antiriciclaggio.