In occasione del primo intervento in materia di antiriciclaggio si è avuto modo di mettere in evidenza l’importanza che il legislatore attribuisce agli adempimenti richiesti ai soggetti chiamati a collaborare per il contrasto al riciclaggio ricordando le sanzioni imposte, la responsabilizzazione indiretta della filiera chiamata a collaborare, nonché altri concetti chiave quali il centrale principio cosiddetto di collaborazione attiva degli operatori coinvolti ai quali è espressamente richiesto di adottare “idonei e appropriati sistemi e procedure in materia” (art. 3, comma 1, D.Lgs. 231/2007). Tanta attenzione va riservata alla verifica della conformità dei processi e delle procedure aziendali se anche solo si considera che diverse sono le autorità e gli organi di controllo cui rendere conto all’esterno ed all’interno di ciascuna azienda per le ragioni che ci occupano. E in particolare all’esterno di ciascuna azienda il confronto può avvenire, per ragioni differenti, con: Ministero dell’economia e delle finanze (Mef); Comitato di sicurezza finanziaria (Csf); Banca d’Italia; Unità di informazione finanziaria (Uif); Autorità di vigilanza di settore: Banca d’Italia, Consob, Isvap; Collegi e Ordini professionali; Forze di polizia; Direzione Investigativa Antimafia (Dia); il Nucleo speciale di polizia valutaria della Guardia di finanza (art. 47). All’interno di ciascuna azienda, le funzioni coinvolte sono: consiglio amministrazione (per la sua vocazione di controllo, oltre che di gestione); amministratore delegato (per la medesima vocazione); collegio sindacale; organismo di vigilanza ex L. 231; Internal Auditing; Risk Management; Compliance; responsabile antiriciclaggio; responsabile delle segnalazioni delle operazioni sospette; nonché le altre funzioni, di servizio e operative, per i controlli alle medesime richiesti di cosiddetto primo livello, o di linea. In questo secondo articolo si mettono in evidenza ancora alcuni principi generali, in materia di archivio informatico e identificazione della clientela, cominciando dall’individuazione di alcune delle disposizioni specificamente stabilite per gli operatori del gioco.
Tra esse, vanno ricordate le seguenti: ai soli operatori cosiddetti dell’online è richiesto di dotarsi dell’archivio unico informatico nella sua versione completa di cui all’articolo 1, comma 1, lett. (b) (“un archivio, formato e gestito a mezzo di sistemi informatici, nel quale sono conservate in modo accentrato tutte le informazioni acquisite nell'adempimento degli obblighi di identificazione e registrazione, secondo i principi previsti nel presente decreto”), mentre agli operatori degli altri settori del gioco interessati dalla normativa antiriciclaggio che qui interessano (Vlt, bingo, scommesse su punti fisici) resta consentito di avvalersi anche dei sistemi informatici di cui sono già dotati (artt. 37 e 38); gli operatori del gioco non sarebbero destinatari degli obblighi relativi alle comunicazioni aggregate (l’art. 2 del provvedimento Uif del 23.12.2013); la segnalazione delle operazioni deve avvenire indipendentemente dall’importo ogni volta che l’azienda ritenga tale operazione sospetta (art. 41); per le operazioni pari o superiori a 15mila euro è prevista la registrazione indipendentemente dal fatto che si tratti di un’operazione unica o da più operazioni che appaiano tra di loro collegate per realizzare un’operazione frazionata (art. 36). Riguardo all’archivio unico informatico è importante mettere in luce la richiamata precisazione che solo per “gli altri soggetti indicati nell'articolo 14, comma 1, lettera e)” (gli operatori che erogano il gioco on line) è specificamente prevista la tenuta del cosiddetto Aui nella sua forma integrale e ritualizzata dalle specifiche tecniche per la tenuta del medesimo come declinato nell’articolo 37.
Si ricorda che riguardo a detta forma di Aui il legislatore spende importanti precisazioni, quali: l’Aui è formato e gestito in modo tale da assicurare chiarezza, completezza e immediatezza delle informazioni, la loro conservazione secondo criteri uniformi, il mantenimento della storicità delle informazioni, la possibilità di desumere evidenze integrate, la facilità di consultazione. Esso deve essere strutturato in modo tale da contenere gli oneri gravanti sui diversi destinatari, tenere conto delle peculiarità operative dei diversi destinatari e semplificare le registrazioni; l'istituzione dell'archivio unico informatico è obbligatoria solo qualora vi siano dati o informazioni da registrare; per l'istituzione, la tenuta e la gestione dell'archivio unico informatico è possibile avvalersi di un autonomo centro di servizio, ferme restando le specifiche responsabilità previste dalla legge a carico del soggetto obbligato e purché sia assicurato a quest'ultimo l'accesso diretto e immediato all'archivio stesso; i soggetti facenti parte di un medesimo gruppo possono avvalersi, per la tenuta e gestione dei propri archivi, di un unico centro di servizio affinché un delegato possa trarre evidenze integrate a livello di gruppo. Deve essere comunque garantita la distinzione logica e la separazione delle registrazioni relative a ciascun intermediario; i dati identificativi e le altre informazioni relative ai rapporti continuativi, alle prestazioni professionali e alle operazioni, possono anche essere contenuti in archivi informatici, diversi dall'archivio unico, a condizione che sia comunque assicurata la possibilità di trarre, con un'unica interrogazione, informazioni integrate e l'ordine cronologico delle stesse e dei dati; la Banca d'Italia, d'intesa con le altre Autorità di vigilanza e sentita la Uif, emana disposizioni sulla tenuta dell'archivio unico informatico. La precisazione è importante perché agli altri operatori del gioco chiamati ad adempiere agli obblighi antiriciclaggio che qui interessano (del settore delle Vlt, del settore del bingo e del settore delle scommesse su rete fisica) è di fatto consentito di utilizzare i sistemi informatici di cui dispongono, che assicurino gli standard richiesti. Ad ogni buon conto, se si dimostra che rientrano nella fattispecie dei rapporti continuativi, anche ai rapporti degli operatori cosiddetti online troverebbe applicazione la possibilità che i dati possano essere contenuti in archivi informatici diversi dall’archivio unico (art. 37, comma 6). Tuttavia, ammesso che ciò possa essere dimostrato, occorre che sia comunque assicurata la possibilità di trarre, con un'unica interrogazione, informazioni integrate e l'ordine cronologico delle stesse e dei dati. Peraltro, anche nella nota del 2013 della Banca d’Italia si specifica che “4. L’archivio unico informatico può non essere istituito qualora siano presenti esclusivamente rapporti continuativi registrati ai sensi del comma 5 ovvero operazioni di cui all’art. 10. 5. I dati identificativi e le altre informazioni relative ai rapporti continuativi possono essere contenuti in archivi informatici diversi dall’archivio unico a condizione che siano previste modalità tecniche che garantiscano l’ordine cronologico, l’inalterabilità e la conservazione dei dati registrati. L’interrogazione di tali archivi deve garantire la possibilità di ottenere informazioni ed evidenze integrate. Eventuali rettifiche devono essere registrate in modo da consentire la tracciabilità delle registrazioni prima della modifica”.
Quanto agli aspetti relativi alla identificazione della clientela, per gli operatori del gioco è stabilito che: essi non sono destinatari degli obblighi semplificati di verifica della clientela di cui all’art. 25, mentre sono destinatari degli obblighi rafforzati di cui all’art. 28; i gestori di case da gioco identificano il cliente solo se compiono operazioni per un importo pari o superiori a duemila euro; gli operatori del gioco la cui attività e offerta di giochi o scommesse su rete fisica con vincite in denaro identificano il cliente solo per operazioni di importo superiore a mille euro con le modalità indicate per le case da gioco (dati identificativi, data operazione valore operazione e mezzi di pagamento); gli operatori di gioco online identificano il cliente solo se compiono operazioni per un importo superiore a mille euro e consentono operazioni di ricarica dei conti di gioco, di acquisto e di cambio dei mezzi di gioco, esclusivamente attraverso mezzi di pagamento per i quali è possibile assolvere gli obblighi di identificazione, inoltre devono conservare per due anni dalla data della comunicazione i dati di cui all’art. 24 comma 4 lettera d (indirizzo Ip, data, ora e durata delle connessioni telematiche).
Tale precisazione è rilevante, soprattutto se si considera che l’identificazione della clientela rappresenta sostanzialmente il cuore delle attività richieste agli operatori, laddove, per i principi generali, viene specificato che l’identificazione e l’adeguata verifica sono dovute quando: l’operatore instaura un rapporto di carattere continuativo; l’operatore esegue operazioni (cioè prestazioni) occasionali, che comportino la trasmissione o la movimentazione di mezzi di pagamento (es. denaro, assegni, eccetera) di importo pari o superiore a 15mila euro indipendentemente dal fatto che siano effettuate con una operazione unica o con più operazioni che appaiono tra di loro collegate per realizzare una operazione frazionata; nel cliente o nell’operazione chiesta vi sia il sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente dal valore economico dell’operazione stessa (quindi anche se di importo inferiore a 15mila euro; vi siano dubbi sulla veridicità o sull’adeguatezza dei dati precedentemente raccolti dall’operatore, ai fini dell’identificazione del cliente. Quando ricorrono i presupposti, secondo i principi generali l’adeguata verifica del cliente presuppone che si proceda con le seguenti azioni: identificare il cliente e verificarne l'identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente; identificare l'eventuale titolare effettivo e verificarne l'identità; ottenere informazioni sullo scopo e sulla natura prevista del rapporto continuativo o della prestazione professionale; svolgere un controllo costante nel corso del rapporto continuativo o della prestazione professionale (art. 18). Altro aspetto di interesse attiene alla tempistica, sulla quale la norma fornisce un principio di carattere generale: gli obblighi di adeguata verifica della clientela si attuano nei confronti di tutti i nuovi clienti; per la clientela già acquisita i suddetti obblighi si applicano al primo contatto utile, fatta salva la valutazione del rischio presente (art. 28). I dati del cliente da identificare che devono essere raccolti sono essenzialmente il nome e il cognome, il luogo e la data di nascita, l'indirizzo, il codice fiscale e gli estremi del documento di identificazione o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e il codice fiscale o, per le persone giuridiche, la partita Iva. E le modalità di raccolta dei dati possono avvenire secondo i seguenti principi: l'identificazione e la verifica dell'identità del cliente e del titolare effettivo sono svolte, in presenza del cliente, anche attraverso propri dipendenti o collaboratori, mediante un documento d'identità non scaduto, prima dell'instaurazione del rapporto continuativo o al momento in cui è conferito l'incarico di svolgere una prestazione professionale o dell'esecuzione dell'operazione; qualora il cliente sia una società o un ente è verificata l'effettiva esistenza del potere di rappresentanza e sono acquisite le informazioni necessarie per individuare e verificare l'identità dei relativi rappresentanti delegati alla firma per l'operazione da svolgere (art. 19 comma 1).
Per i documenti di identità si precisa, tra l’altro, che sono considerati validi per l'identificazione i documenti d'identità e di riconoscimento di cui agli articoli 1 e 35 del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, mentre, per l'identificazione di soggetti non comunitari e di soggetti minori d'età si applicano le disposizioni vigenti; con riferimento a nascituri e concepiti, l'identificazione è effettuata nei confronti del rappresentante legale. Tra i principi generali posti dalla normativa di riferimento si trova, poi, quello secondo cui “i sistemi e le procedure adottati (…) rispettano le prescrizioni e garanzie stabilite dal (…) decreto [231] e dalla normativa in materia di protezione dei dati personali” (art.3, comma 2, Dlgs 231/2007). In fase di redazione ed approvazione dei processi e delle procedure aziendali degli operatori occorrerà tenere conto di tutti questi principi generali e di quelli di cui ci si occuperà nel prosieguo.