Oggi i mezzi di tele-audio-video comunicazione consentono e agevolano gli scambi e le operazioni. Vediamo come funziona l’identificazione a distanza nel rispetto dell’attuale normativa antiriciclaggio 2020.
LA GUIDA ALL’IDENTITÀ’ DIGITALE DEL GAFI
Il distanziamento sociale imposto dalle misure di contenimento dell’epidemia COVID-19, ha portato negli ultimi mesi ad un sempre crescente utilizzo di mezzi di comunicazione a distanza che, se correttamente utilizzati, consentono di agevolare l’esecuzione di molte operazioni finanziarie e non, senza ricorrere alla presenza fisica.
Parallelamente sono aumentate anche i casi di frodi e di improprio utilizzo di questi strumenti. Ciò ha spinto il GAFI (Groupe d’action financière) – organizzazione intergovernativa avente scopo di stabilire standard e promuovere un’efficace attuazione delle misure legali, regolamentari e operative per combattere il riciclaggio di denaro, il finanziamento del terrorismo e altre minacce connesse all’integrità del sistema finanziario internazionale – ad emanare nel mese di marzo 2020 una Guida all’identità digitale.
La guida ha lo scopo di supportare e chiarire l’utilizzo di forme di identificazione digitale affidabili ed imparziali, che garantiscano la sicurezza e il rispetto della protezione dei dati personali, nelle transazioni finanziarie o altre operazioni, senza la necessaria presenza degli interessati.
Il termine di “Identità Digitale” oggi, infatti, sta ad indicare “l‘uso della tecnologia per affermare e dimostrare la propria identità personale, così come essa risulta dai dati anagrafici pubblici relativi al soggetto interessato, avente la stessa valenza identificativa di un documento di identità tradizionale” (cfr. Studio 2_2020 B Commissione Antiriciclaggio – approvato dal CNN in data 26.6.2020).
DIFFERENZE TRA IDENTIFICAZIONE NOTARILE E QUELLA PREVISTA DALLA LEGISLAZIONE SPECIALE DI CUI ALL’ART.19, COMMA 1, LETT. A), DEL D.LGS. N. 231/2007.
In questa prospettiva bisogna premettere che l’identificazione prevista dalla legislazione antiriciclaggio è diversa da quella notarile, in quanto diversi sono i presupposti.
L’accertamento dell’identità disciplinato dalla legge notarile (Legge n.89/1913) fa, infatti, parte di un più complesso ed articolato procedimento, basato su una serie di circostanze, sia fattuali che documentali, che porta il notaio, in qualità di pubblico ufficiale, a garantire l’identità di un soggetto nei confronti dell’ordinamento mediante un’attestazione fidefaciente (cfr. art. 49 Legge notarile). L’accertamento dell’identità personale notarile è finalizzato, infatti, al ricevimento stesso dell’atto.
L’identificazione ai soli fini antiriciclaggio 2020, invece, consiste in un mero accertamento documentale, basato sull’acquisizione dei dati identificativi indicati dall’art.1, comma 2, lett. n) D. Lgs. 231/2007 (come modificato dal D.Lgs. n.90/2017 c.d. Decreto di Recepimento della IV Direttiva UE e, da ultimo, dal D.Lgs. n.125/2019 c.d. Decreto di recepimento della V Direttiva UE), che può essere svolto anche a mezzo di dipendenti e/o collaboratori (v. art. 19, lett. a, D.Lgs. 231/2007).
In secondo luogo, mentre l’identificazione del cliente ai fini della normativa antiriciclaggio 2020 va compiuta preliminarmente rispetto all’incarico, l’accertamento dell’identità personale in sede notarile è molto spesso successiva all’identificazione iniziale, ben potendo eventualmente colmare qualche lacuna documentale verificatasi nella preliminare fase istruttoria.
Infine, nel caso di intervento in atto a mezzo di un procuratore o un esecutore, l’identificazione notarile è dovuta esclusivamente nei confronti di quest’ultimo, in quanto comparente nell’atto, mentre quella richiesta dalla normativa antiriciclaggio ordinaria si estende ai soggetti rappresentati, secondo le specifiche regole dell’identificazione in presenza o a distanza dettate dall’art. 19 del menzionato D. Lgs. 231/2007.
Le conseguenze di ciò non sono di poco conto.
Si pensi, ad esempio, ad una prestazione notarile richiesta da un soggetto, noto o già identificato da tempo da parte del notaio per conoscenza personale, che o sia privo di un documento di identità o abbia un documento scaduto. Ai fini dell’accertamento dell’identità personale notarile la situazione non costituirà un problema, mentre, ai sensi della normativa di cui al D. Lgs. 231 citato, il soggetto obbligato dovrebbe rifiutare la prestazione o addirittura procedere ad eseguire una Segnalazione di Operazione Sospetta (cd. SOS).
IDENTIFICAZIONE A DISTANZA (o NON IN PRESENZA) DEL CLIENTE
L’attuale legislazione italiana in materia di antiriciclaggio ha già previsto alcune ipotesi in cui sia possibile svolgere l’identificazione a distanza del cliente sulla base delle prescrizioni di cui all’art. 19, comma 1, lett. a) del menzionato D. Lgs. 231/2007, che, specialmente in questi ultimi mesi di emergenza COVI-19, sono diventate di particolare attualità.
In particolare, nella normativa antiriciclaggio 2020 è possibile l’identificazione a distanza:
- quando i dati identificativi risultino da atti notarili, scritture private firmate digitalmente o dichiarazioni dell’Autorità consolare e dunque i predetti dati risultano già validati prima della stipula, in quanto ricavabili, ad esempio, dall’atto di provenienza (se atto pubblico o scrittura privata autenticata), oppure da una procura notarile o consolare, in via analoga, da un precedente documento informatico firmato digitalmente (ad esempio, un documento con la sottoscrizione digitale ex art. 24 D. Lgs. 82/2005 o CAD).
- in presenza dei seguenti presupposti di tipo informatico:
a. identità digitale ex art. 64 CAD, ovvero lo SPID di massimo livello (c.d. livello 3, che richiede un “token” fisico, quale, ad esempio, smart card, chiavetta usb, ed altro, per attestare l’identità digitale).
b. identità digitale di massima sicurezza rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento UE n. 910/2014 (come, ad esempio, la Carta d’Identità Elettronica (CIE) o il passaporto elettronico).
c. certificato qualificato associato ad una firma elettronica qualificata (firma digitale) emesso da Autorità di Certificazione Qualificate a norma del menzionato articolo 9.
d. procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale. In particolare si sottolinea come la CIE è stata notificata secondo la procedura di cui al menzionato art. 9 ed è divenuta pienamente operativa come strumento per attestare l’identità digitale di massima sicurezza in tutti gli Stati dell’Unione Europea. - in caso di conoscenza pregressa: ossia nel caso in cui il soggetto era già stato preventivamente identificato per un pregresso rapporto, tutt’ora in essere, e le informazioni risultino aggiornate.
LA VERIFICA DELLE INFORMAZIONI
Normalmente la verifica delle informazioni ricevute dal cliente è solo eventuale e va compiuta in caso di dubbi o incongruenze sui dati forniti.
L’art. 19, comma 1 lett. b) individua alcune modalità di riscontro dei dati che, per le identità digitali sopra esaminate al n.2, possono avvenire solo in modalità telematica, in quanto dotati di elementi di autenticità che, se riprodotti in forma cartacea, si perderebbe irrimediabilmente. In questi casi sarà possibile procedere ad una identificazione a distanza ed eventualmente ad una verifica dei dati connessi.
Inoltre l’obbligo di identificazione, senza la presenza fisica del cliente, può essere assolto, anche attraverso una verifica dell’identità digitale nell’ambito di una videoconferenza con l’ausilio di un operatore remoto, ciò che assicura un grado ulteriore di sicurezza e di mitigazione del rischio raccomandato dalla Guida GAFI.
I casi di utilizzo non verificato da alcun operatore delle identità digitali (si pensi, ad esempio, al caso di costituzione telematica di una startup innovativa senza notaio) possono essere possibili fonti di aumento del rischio, considerato che il GAFI richiama l’attenzione non solo al momento del rilascio dell’identità digitale, ma soprattutto al momento del suo concreto utilizzo.
L’ADEGUATA VERIFICA DEL CLIENTE
La successiva eventuale fase dell’adeguata verifica del cliente ricomprende un complesso di operazioni da modulare differentemente in funzione del rischio e comprende, oltre l’identificazione del cliente e la verifica della sua identità, anche l’identificazione del titolare effettivo e la verifica della sua identità, l’acquisizione e valutazione dello scopo e della natura del rapporto o della prestazione professionale ed il controllo costante nel tempo, ed infine l’accertamento se il cliente ricopra o meno la qualifica di Persona Politicamente Esposta (PEP).
LA FORMA
Stante l’assenza di prescrizioni da parte del menzionato Decreto 231/2007 sulle modalità di acquisizione di tali dati ed informazioni, la forma è da considerarsi libera, sia in presenza che a distanza, a meno che non sia necessario acquisire le dichiarazioni ex art. 22 D.Lgs. 231 cit. In questo caso è necessaria la forma scritta in tutte le modalità consentite dall’ordinamento giuridico, sia cartacee che elettroniche, purché queste ultime integrino il requisito della forma scritta.
In caso di colloquio a distanza mediante strumenti informatici, pertanto, sarà necessaria – nel rispetto della normativa di cui al Regolamento UE 910/2019 e al D. Lgs. 82/2005 – la sottoscrizione elettronica avente valore di forma scritta, non liberamente valutabile in giudizio, ossia, in alternativa la firma qualificata/digitale (v. Regolamento UE n.910/2014 – eIDAS) o la firma avanzata (v. art. 20 comma 1 bis: 1-bis e art. 21 comma 2-bis del CAD).
In conclusione, nel caso di identificazione a distanza con sottoscrizione dei documenti relativi all’adeguata verifica, saranno possibili le seguenti modalità, in via alternativa o cumulativa:
– acquisizione di documenti autentici (atti notarili, documenti firmati digitalmente, dichiarazioni dell’autorità consolare) + sottoscrizione dichiarazioni ex art. 22;
– identificazione a distanza tramite il certificato qualificato + sottoscrizione dichiarazioni ex art. 22;
– identificazione a distanza tramite i documenti di identità elettronici (CIE o passaporto elettronico) o tramite SPID di massimo livello (livello 3 con token fisico) + sottoscrizione dichiarazioni ex art. 22.
– conoscenza pregressa + sottoscrizione dichiarazioni ex art. 22.
Non dimenticare di leggere anche la nostra rubrica sui c.d. “Dubbi legali informatici”.
DISCLAIMER
Gentile utente,
gli articoli e i contenuti del sito illustrano sinteticamente tematiche giuridiche, economiche e fiscali. Le informazioni contenute nel sito hanno solo carattere esemplificativo, informativo e non hanno carattere esaustivo, né possono essere intese come espressione di un parere legale. Nessuna responsabilità derivante da un utilizzo improprio dei contenuti del sito, da eventuali modifiche intervenute nella normativa o da possibili imprecisioni, potrà essere pertanto imputata al Notaio Edoardo Del Monte o agli estensori delle pubblicazioni medesime.
Anti-Money Laundering 2020 – Remote Identification
Today, tele-audio-video communication tools enable and facilitate exchanges and transactions. Let’s see how remote identification works in compliance with the current 2020 anti-money laundering regulations.
FATF’S GUIDE TO DIGITAL IDENTITY
The social distancing imposed by the measures to contain the COVID-19 epidemic has led in recent months to an ever-increasing use of remote communication tools which, if used correctly, facilitate the execution of many financial and non-financial transactions, without resorting to physical presence.
At the same time, cases of fraud and improper use of these tools have also increased. This has prompted the FATF (Groupe d’action financière) – an intergovernmental organization with the aim of establishing standards and promoting effective implementation of legal, regulatory and operational measures to combat money laundering, terrorist financing and other threats to the integrity of the international financial system – to issue a Guide to Digital Identity in March 2020.
The guide aims to support and clarify the use of reliable and impartial forms of digital identification, which guarantee the security and compliance with the protection of personal data, in financial transactions or other operations, without the necessary presence of the interested parties.
The term “Digital Identity” today, in fact, indicates “the use of technology to affirm and demonstrate one’s personal identity, as it results from the public personal data relating to the interested party, having the same identifying value as a traditional identity document” (see Study 2_2020 B Anti-Money Laundering Commission – approved by the CNN on 26.6.2020).
DIFFERENCES BETWEEN NOTARIAL IDENTIFICATION AND THAT PROVIDED FOR BY THE SPECIAL LEGISLATION REFERRED TO IN ART.19, PARAGRAPH 1, LETTER A), OF LEGISLATIVE DECREE NO. 231/2007.
From this perspective, it must be noted that the identification provided for by the anti-money laundering legislation is different from the notarial one, as the prerequisites are different.
The identification procedure regulated by the notarial law (Law no. 89/1913) is, in fact, part of a more complex and articulated procedure, based on a series of circumstances, both factual and documentary, which leads the notary, in his capacity as public official, to guarantee the identity of a subject towards the legal system through a guarantor certification (see art. 49 Notarial Law). The notarial identification procedure is, in fact, aimed at the receipt of the deed itself.
The identification for anti-money laundering purposes only 2020, on the other hand, consists of a mere documentary verification, based on the acquisition of the identification data indicated in art.1, paragraph 2, letter. n) Legislative Decree 231/2007 (as amended by Legislative Decree no. 90/2017, the so-called Decree for the Implementation of the IV EU Directive, and, most recently, by Legislative Decree no. 125/2019, the so-called Decree for the Implementation of the V EU Directive), which can also be carried out by employees and/or collaborators (see art. 19, letter a, Legislative Decree 231/2007).
Secondly, while the identification of the client for the purposes of the 2020 anti-money laundering legislation must be carried out prior to the assignment, the verification of personal identity at a notarial office is very often subsequent to the initial identification, and can possibly fill any documentary gaps that may have occurred in the preliminary investigation phase.
Finally, in the case of intervention in progress by means of a proxy or an executor, notarial identification is due exclusively towards the latter, as appearing in the deed, while that required by the ordinary anti-money laundering legislation extends to the subjects represented, according to the specific rules of identification in person or at a distance dictated by art. 19 of the aforementioned Legislative Decree 231/2007.
The consequences of this are not insignificant.
Consider, for example, a notarial service requested by a subject, known or already identified for some time by the notary through personal knowledge, who either does not have an identity document or has an expired document. For the purposes of ascertaining the notarial personal identity, the situation will not constitute a problem, while, pursuant to the legislation referred to in the aforementioned Legislative Decree 231, the obliged subject should refuse the service or even proceed to execute a Suspicious Transaction Report (so-called SOS).
REMOTE (OR NOT IN PERSON) IDENTIFICATION OF THE CUSTOMER
The current Italian legislation on anti-money laundering has already provided for some cases in which it is possible to carry out remote identification of the customer on the basis of the provisions of art. 19, paragraph 1, letter a) of the aforementioned Legislative Decree 231/2007, which, especially in these last months of the COVID-19 emergency, have become particularly topical.
In particular, in the 2020 anti-money laundering legislation, remote identification is possible:
- when the identification data result from notarial deeds, digitally signed private documents or declarations from the consular authority and therefore the aforementioned data are already validated before the stipulation, as they can be obtained, for example, from the deed of origin (if public deed or authenticated private document), or from a notarial or consular power of attorney, similarly, from a previous digitally signed electronic document (for example, a document with a digital signature pursuant to art. 24 Legislative Decree 82/2005 or CAD).
- in the presence of the following IT requirements:
a. digital identity pursuant to art. 64 CAD, or the highest level SPID (so-called level 3, which requires a physical “token”, such as, for example, a smart card, USB stick, and other, to certify the digital identity).
b. maximum security digital identity issued under an electronic identification scheme included in the list published by the European Commission pursuant to Article 9 of EU Regulation No. 910/2014 (such as, for example, the Electronic Identity Card (CIE) or the electronic passport).
c. qualified certificate associated with a qualified electronic signature (digital signature) issued by Qualified Certification Authorities pursuant to the aforementioned Article 9.
d. secure and regulated electronic identification procedures or authorized or recognized by the Agency for Digital Italy. In particular, it is emphasized that the CIE was notified according to the procedure referred to in the aforementioned Article 9 and has become fully operational as a tool for certifying the maximum security digital identity in all Member States of the European Union. - in the case of prior knowledge: that is, in the case in which the subject had already been previously identified for a previous relationship, still in existence, and the information is updated.
VERIFICATION OF INFORMATION
Normally, verification of information received from the customer is only optional and must be carried out in the event of doubts or inconsistencies in the data provided.
Art. 19, paragraph 1, letter b) identifies some methods of data verification that, for the digital identities examined above in no. 2, can only take place electronically, as they are equipped with elements of authenticity that, if reproduced in paper form, would be irretrievably lost. In these cases, it will be possible to proceed with remote identification and possibly verification of the connected data.
Furthermore, the identification obligation, without the physical presence of the customer, can also be fulfilled through a verification of the digital identity in the context of a video conference with the help of a remote operator, which ensures an additional degree of security and risk mitigation recommended by the FATF Guide.
Cases of use not verified by any operator of digital identities (think, for example, of the case of electronic incorporation of an innovative startup without a notary) may be possible sources of increased risk, considering that the FATF draws attention not only to the moment of issuing the digital identity, but above all to the moment of its actual use.
CUSTOMER DUE DILIGENCE
The subsequent possible phase of customer due diligence includes a set of operations to be modulated differently depending on the risk and includes, in addition to the identification of the customer and the verification of his identity, also the identification of the beneficial owner and the verification of his identity, the acquisition and evaluation of the purpose and nature of the relationship or professional service and constant monitoring over time, and finally the verification of whether or not the customer holds the qualification of Politically Exposed Person (PEP).
THE FORM
Given the absence of provisions by the aforementioned Decree 231/2007 on the methods of acquiring such data and information, the form is to be considered free, both in person and remotely, unless it is necessary to acquire the declarations pursuant to art. 22 Legislative Decree 231 cit. In this case, the written form is required in all the ways permitted by the legal system, both paper and electronic, provided that the latter integrate the requirement of the written form.
In the case of a remote interview using IT tools, therefore, it will be necessary – in compliance with the provisions of EU Regulation 910/2019 and Legislative Decree 82/2005 – an electronic signature having the value of a written form, not freely assessable in court, i.e., alternatively the qualified/digital signature (see EU Regulation no. 910/2014 – eIDAS) or the advanced signature (see art. 20 paragraph 1 bis: 1-bis and art. 21 paragraph 2-bis of the CAD).
In conclusion, in the case of remote identification with signature of documents relating to adequate verification, the following methods will be possible, alternatively or cumulatively:
– acquisition of authentic documents (notarial deeds, digitally signed documents, declarations from the consular authority) + signature of declarations pursuant to art. 22;
– remote identification via the qualified certificate + signature of declarations pursuant to art. 22;
– remote identification via electronic identity documents (CIE or electronic passport) or via maximum level SPID (level 3 with physical token) + signing declarations pursuant to art. 22.
– previous knowledge + signing declarations pursuant to art. 22.
Don’t forget to also read our column on the so-called “IT legal doubts”.
DISCLAIMER
Dear user,
the articles and contents of the site briefly illustrate legal, economic and fiscal issues. The information contained in the site is for illustrative and informative purposes only and is not exhaustive, nor can it be understood as the expression of a legal opinion. No liability arising from improper use of the contents of the site, from any changes in the legislation or from possible inaccuracies, can therefore be attributed to Notary Edoardo Del Monte or to the authors of the publications themselves.
