Titolo: “Antiriciclaggio e GDPR: sinergie, obblighi e rischi per i professionisti”

Intervista alla Dott.ssa Anna Rita Costa
Dottore commercialista, iscritta all’ODCEC di Perugia, Revisore Legale e consulente in materia di antiriciclaggio

1. Quali sono le principali novità introdotte dal recente pacchetto normativo europeo in materia di antiriciclaggio? Come impattano concretamente sull’attività dei professionisti?

È bene precisare che correntemente si parla di normativa antiriciclaggio, ma realmente la normativa disciplina due fattispecie criminali diverse tra loro ma che hanno entrambe come strumento l’utilizzo del sistema finanziario.

Ricordiamo che per la prima volta la normativa antiriciclaggio si compone di una Direttiva e di due regolamenti, e precisamente:

• La VI Direttiva antiriciclaggio (Direttiva UE 2024/1640)

• Il Regolamento UE “single rulebook” (Reg. 2024/1624) che armonizza le norme in tutta l’UE

• Il Regolamento UE (2024/1620)

I professionisti che la normativa individua quali soggetti obbligati – commercialisti, avvocati, notai e consulenti del lavoro – dovranno applicare norme più stringenti, rafforzare i presidi relativi all’adeguata verifica, alla identificazione dei titolari effettivi e all’utilizzo del registro dei titolari effettivi.

La normativa antiriciclaggio e di contrasto al finanziamento del terrorismo è armonizzata negli Stati Membri in materia di adeguata verifica, segnalazione di operazioni sospette, conservazione dei dati e controlli interni.

Viene ampliata la platea dei soggetti obbligati, inserendo il settore delle cripto-attività, i soggetti che commerciano beni di lusso e le società e gli agenti nel settore del calcio professionistico.

Il limite all’uso del contante viene fissato a 10.000 EUR, con possibilità per gli Stati Membri di stabilire limiti inferiori.

2. In che modo gli obblighi antiriciclaggio possono entrare in conflitto con quelli previsti dal GDPR?

In realtà, non esiste un conflitto, bensì una complementarità. La normativa sulla privacy detta le regole per il trattamento dei dati sulla base del principio di privacy by design e by default, nel rispetto della tutela del soggetto interessato. La stessa normativa antiriciclaggio prevede che il trattamento dei dati deve avvenire nel rispetto della privacy.

Intanto precisiamo che l’art. 4 del GDPR definisce “trattamento” come qualsiasi operazione o insieme di operazioni applicate a dati personali, anche senza processi automatizzati.

Possiamo ben comprendere che il trattamento è molto più complesso di quanto si possa ritenere, e per ogni fase deve essere attentamente valutato l’impatto sull’interessato.

Nel GDPR si parla di minimizzazione del trattamento, ma anche l’antiriciclaggio richiede che si raccolgano solo i dati necessari. La base giuridica per il trattamento dei dati ai fini AML è l’art. 6, lett. c) del GDPR, ovvero l’obbligo legale, pertanto non necessita il consenso dell’interessato. Tuttavia, il professionista deve garantire che il trattamento rispetti i principi di riservatezza, integrità e conservazione corretta.

3. Come possono i professionisti assicurarsi di raccogliere solo i dati strettamente necessari ai fini dell’adeguata verifica della clientela?

Attraverso una valutazione contestualizzata dell’incarico. L’approccio basato sul rischio (risk-based approach) consente di proporzionare la raccolta dei dati alla complessità e al livello di rischio attribuito al cliente.

È essenziale distinguere i dati acquisiti per motivi contrattuali da quelli richiesti ai fini antiriciclaggio, ciascuno con la sua base giuridica.

4. La conservazione dei dati per 10 anni può generare problematiche dal punto di vista privacy. Quali cautele devono adottare gli studi professionali?

La conservazione decennale è prevista dalla normativa AML vigente, e non è in contrasto con la privacy, purché siano rispettate le regole e i principi.

Il professionista, soggetto obbligato agli adempimenti antiriciclaggio, al fine di effettuare una corretta conservazione dei dati, nella sua veste di titolare del trattamento, deve:

• nominare i responsabili interni o esterni del trattamento;

• individuare i soggetti che possono accedere ai fascicoli e il loro livello di accesso.

In conformità all’art. 32 del GDPR, deve mettere in atto misure tecniche e organizzative adeguate, tra cui: pseudonimizzazione e cifratura dei dati, capacità di assicurare riservatezza e integrità, procedure di ripristino e test periodici.

5. Il Registro dei titolari effettivi è stato al centro di importanti decisioni europee. Qual è la situazione attuale?

La situazione è in stallo. Il registro è obbligatorio per società di capitali ed enti privati, ma è stato contestato per motivi di riservatezza. Dopo ricorsi al TAR, il Consiglio di Stato ha rinviato la questione alla Corte di Giustizia UE. Le comunicazioni possono essere inviate, ma l’accesso è sospeso.

6. Come ci si deve comportare in caso di richiesta di accesso ai dati da parte dell’autorità giudiziaria o di vigilanza?

Le SOS (Segnalazioni di Operazioni Sospette) sono tutelate: l’autorità giudiziaria può accedere ai dati solo con decreto motivato.

L’organismo di vigilanza – identificato nel Consiglio Nazionale – non ha poteri ispettivi: le ispezioni competono esclusivamente alla Guardia di Finanza.

7. In uno studio professionale, chi è il soggetto che dovrebbe vigilare sulla corretta gestione dei dati raccolti per fini AML? Il DPO è sempre necessario?

Il professionista, titolare del trattamento, è responsabile della corretta applicazione del GDPR.

Il DPO è obbligatorio solo in caso di trattamenti su larga scala o di dati sensibili. Tuttavia, in studi medio-grandi è consigliabile nominare un responsabile privacy e uno antiriciclaggio con competenze adeguate.

8. Quali sono le misure tecniche e organizzative più efficaci per garantire la compliance sia alle norme AML sia al GDPR?

Non esiste una misura universale. Alcune buone prassi includono:

• Crittografia dei dati

• Accessi profilati e audit trail

• Backup sicuri e possibilità di ripristino

• Formazione del personale

• Adozione del principio di privacy by design e by default

La sensibilizzazione del personale è fondamentale: la maggior parte delle violazioni deriva da errori umani.

9. Guardando avanti, quali sviluppi normativi o prassi operative i professionisti dovrebbero monitorare?

È essenziale monitorare l’evoluzione del pacchetto normativo europeo e le regole tecniche emanate dagli ordini professionali.

Ogni professionista deve applicare le regole tecniche del proprio ordine: non è possibile invocare quelle di un altro ordine in caso di controllo.