- L’identificazione del cliente avviene di regola in presenza, mediante esibizione e acquisizione di copia di un documento di riconoscimento in corso di validità.
- L’identificazione a distanza è ammessa in presenza di SPID, CIE, firma elettronica qualificata, atti pubblici o pregressa identificazione presso il medesimo soggetto obbligato.
- La verifica dei dati identificativi va effettuata mediante fonti attendibili e indipendenti solo in caso di dubbi, incertezze o incongruenze.
- L’acquisizione di informazioni su scopo e natura del rapporto e il controllo costante sono modulati in funzione del livello di rischio rilevato.
- Per beneficiari di prestazioni assicurative vita, l’adeguata verifica si estende al beneficiario e all’effettivo percipiente non appena individuati.
Art. 19 D.Lgs. 231/2007 (Antiriciclaggio) – Modalità di adempimento degli obblighi di adeguata verifica (1)
In vigore dal 29/12/2007
1. I soggetti obbligati assolvono agli obblighi di adeguata verifica della clientela secondo le seguenti modalità: a) l’identificazione del cliente e del titolare effettivo è svolta in presenza del medesimo cliente ovvero dell’esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato e consiste nell’acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d’identità in corso di validità o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico. Il cliente fornisce altresì, sotto la propria responsabilità, le informazioni necessarie a consentire l’identificazione del titolare effettivo. L’obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente, nei seguenti casi: 1) per i clienti i cui dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici, ai sensi dell’articolo 24 del decreto legislativo 7 marzo 2005, n. 82; 2) per i clienti in possesso di un’identità digitale, con livello di garanzia almeno significativo, nell’ambito del Sistema di cui all’articolo 64 del predetto decreto legislativo n. 82 del 2005, e della relativa normativa regolamentare di attuazione, nonchè di un’identità digitale con livello di garanzia almeno significativo, rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale; (2) 3) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza e dell’autorità consolare italiana, come indicata nell’articolo 6 del decreto legislativo 26 maggio 1997, n. 153; 4) per i clienti che siano già stati identificati dal soggetto obbligato in relazione ad un altro rapporto o prestazione professionale in essere, purchè le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente; 4-bis) per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall’articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all’obbligo di identificazione. Tale modalità di identificazione e verifica dell’identità può essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonchè a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l’informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento; 4-ter) per i clienti già identificati da un soggetto obbligato, i quali, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall’articolo 4 del regolamento delegato (UE) 2018/389 della Commissione, del 27 novembre 2017, consentono al soggetto tenuto all’obbligo di identificazione di accedere alle informazioni relative agli estremi del conto di pagamento intestato al medesimo cliente presso il citato soggetto obbligato in uno Stato membro dell’Unione europea. Tale modalità di identificazione e verifica dell’identità può essere utilizzata solo con riferimento a rapporti relativi a servizi di disposizione di ordini di pagamento e a servizi di informazione sui conti previsti dall’articolo 1, comma 2, lettera h-septies.1), numeri 7) e 8), del testo unico di cui al decreto legislativo 1° settembre 1993, n. 385. Il soggetto tenuto all’obbligo di identificazione acquisisce in ogni caso il nome e il cognome del cliente; (3) 5) per i clienti i cui dati identificativi siano acquisiti attraverso idonee forme e modalità, individuate dalle Autorità di vigilanza di settore, nell’esercizio delle attribuzioni di cui all’articolo 7, comm (4)a 1, DLgs. 21.11.2007 n. 231 – Art. 19 43 lettera a), tenendo conto dell’evoluzione delle tecniche di identificazione a distanza; b) la verifica dell’identità del cliente, del titolare effettivo e dell’esecutore richiede il riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all’atto dell’identificazione, solo (5) laddove, in relazione ad essi, sussistano dubbi, incertezze o incongruenze. Il riscontro può essere effettuato attraverso la consultazione del sistema pubblico per la prevenzione del furto di identità di cui decreto legislativo 11 aprile 2011, n. 64. La verifica dell’identità può essere effettuata anche attraverso il ricorso ad altre fonti attendibili e indipendenti tra le quali rientrano le basi di dati, ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione, riferibili ad una pubblica amministrazione nonchè quelle riferibili a soggetti privati autorizzati al rilascio di identità digitali nell’ambito del sistema previsto dall’articolo 64 del decreto legislativo n. 82 del 2005 ovvero di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento EU n. 910/2014. Con riferimento ai clienti diversi dalle persone fisiche e ai fiduciari di trust espressi e alle persone che esercitano diritti, poteri e facoltà equivalenti in istituti giuridici affini (6), la verifica dell’identità del titolare effettivo impone l’adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprietà e di controllo del cliente; c) l’acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, verificando la compatibilità dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dai soggetti obbligati, anche avuto riguardo al complesso delle operazioni compiute in costanza del rapporto o di altri rapporti precedentemente intrattenuti nonchè all’instaurazione di ulteriori rapporti; d) il controllo costante nel corso del rapporto continuativo o della prestazione professionale si attua attraverso l’analisi delle operazioni effettuate e delle attività svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche riguardo, se necessario, all’origine dei fondi. 2. L’estensione delle verifiche, della valutazione e del controllo di cui al comma 1 è commisurata al livello di rischio rilevato. 3. […] (7) I soggetti obbligati (8) di cui all’articolo 3, comma 2, applicano altresì misure di adeguata verifica del beneficiario della prestazione assicurativa (9), non appena individuato o designato nonchè dell’effettivo percipiente della prestazione liquidata e dei rispettivi titolari effettivi. Tali misure, consistono: a) nell’acquisizione del nome o della denominazione del soggetto specificamente individuato o designato quale beneficiario; b) nei casi di beneficiario designato in base a particolari caratteristiche o classi, nell’acquisizione di informazioni sufficienti a consentire al soggetto obbligato di stabilirne l’identità al momento del pagamento della prestazione. Note: (1) Articolo sostituito dall’art. 2, comma 1, DLgs. 25.5.2017 n. 90, pubblicato in G.U. 19.6.2017 n. 140, S.O. n. 28. Testo precedente: “Art. 19 – (Modalità di adempimento degli obblighi) – 1. L’adempimento degli obblighi di adeguata verifica della clientela, di cui all’articolo 18, avviene sulla base delle modalità di seguito descritte: a) l’identificazione e la verifica dell’identità del cliente e del titolare effettivo è svolta, in presenza del cliente, anche attraverso propri dipendenti o collaboratori, mediante un documento d’identità non scaduto, tra quelli di cui all’allegato tecnico, prima dell’instaurazione del rapporto continuativo o al momento in cui è conferito l’incarico di svolgere una prestazione professionale o dell’esecuzione dell’operazione. Qualora il cliente sia una società o un ente è verificata l’effettiva esistenza del potere di rappresentanza e sono acquisite le informazioni necessarie per individuare e verificare l’identità dei relativi rappresentanti delegati alla firma per l’operazione da svolgere; b) l’identificazione e la verifica dell’identità del titolare effettivo è effettuata contestualmente all’identificazione del cliente e impone, per le persone giuridiche, i trust e soggetti giuridici analoghi, l’adozione di misure adeguate e commisurate alla situazione di rischio per comprendere la struttura di proprietà e di controllo del cliente. Per identificare e verificare l’identità del titolare effettivo i soggetti destinatari di tale obbligo possono decidere di fare ricorso a pubblici registri, elenchi, atti o documenti conoscibili da chiunque contenenti informazioni sui titolari effettivi, chiedere ai propri clienti i dati pertinenti ovvero ottenere le informazioni in altro modo; c) il controllo costante nel corso del rapporto continuativo o della prestazione professionale si attua analizzando le transazioni concluse durante tutta la durata di tale rapporto in modo da verificare che tali transazioni siano compatibili con la conoscenza che l’ente o la persona tenuta all’identificazione hanno del proprio cliente, delle sue attività commerciali e del suo profilo di rischio, avendo riguardo, se necessario, all’origine dei fondi e tenendo aggiornati i documenti, i dati o le informazioni detenute. 2. Il Ministro dell’economia e delle finanze, sentito il Comitato di sicurezza finanziaria, può adottare, con proprio decreto, disposizioni attuative per l’esecuzione degli adempimenti di cui al comma 1.“. (2) Numero sostituito dall’art. 27, comma 3, lett. c), n. 1), DL 16.7.2020 n. 76, convertito, con modificazioni, dalla L. 11.9.2020 n. 120. Per le precedenti modifiche si veda l’art. 2, comma 1, lett. b), n. 1), DLgs. 21.11.2007 n. 231 – Art. 20 DLgs. 4.10.2019 n. 125, pubblicato in G.U. 26.10.2019 n. 252. Testo precedente: “2) per i clienti in possesso di un’identità digitale, di livello massimo di sicurezza, nell’ambito del Sistema di cui all’articolo 64 del predetto decreto legislativo n. 82 del 2005 e successive modificazioni, e della relativa normativa regolamentare di attuazione, nonchè di un’identità digitale di livello massimo di sicurezza o di un certificato per la generazione di firma digitale, rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento UE n. 910/2014 o identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale;“. (3) Numero inserito dall’art. 3, comma 1, lett. a), DL 30.12.2021 n. 228, convertito, con modificazioni, dalla L. 25.2.2022 n. 15. (4) Numero inserito dall’art. 27, comma 3, lett. c), n. 2), DL 16.7.2020 n. 76, convertito, con modificazioni, dalla L. 11.9.2020 n. 120. (5) La parola “solo” è stata inserita dall’art. 27, comma 3, lett. c), n. 3), DL 16.7.2020 n. 76, convertito, con modificazioni, dalla L. 11.9.2020 n. 120. (6) Le parole “e alle persone che esercitano diritti, poteri e facoltà equivalenti in istituti giuridici affini” sono state inserite dall’art. 2, comma 1, lett. b), n. 2), DLgs. 4.10.2019 n. 125, pubblicato in G.U. 26.10.2019 n. 252. (7) Le parole “Per le attività di assicurazione vita o altre forme di assicurazione legate ad investimenti,“ sono state soppresse dall’art. 2, comma 1, lett. c), DLgs. 4.10.2019 n. 125, pubblicato in G.U. 26.10.2019 n. 252. (8) Le parole “I soggetti obbligati” sono state sostituite alle precedenti “i soggetti obbligati” dall’art. 2, comma 1, lett. c), DLgs. 4.10.2019 n. 125, pubblicato in G.U. 26.10.2019 n. 252. (9) Le parole “della prestazione assicurativa” sono state sostituite alle precedenti “del contratto di assicurazione vita o di altra assicurazione legata ad investimenti” dall’art. 2, comma 1, lett. c), DLgs. 4.10.2019 n. 125, pubblicato in G.U. 26.10.2019 n. 252.
Stesso numero, altri codici
La cassetta degli attrezzi dell’adeguata verifica
L’art. 19 del D.Lgs. 231/2007, completamente riscritto dal D.Lgs. 90/2017 di recepimento della IV Direttiva antiriciclaggio e ulteriormente novellato dal D.Lgs. 125/2019, dal DL 76/2020 (decreto Semplificazioni) e dal DL 228/2021, declina sul piano operativo gli obblighi di adeguata verifica della clientela enunciati in linea generale dall’art. 18. Mentre quest'ultimo individua le quattro misure di cui si compone la due diligence (identificazione del cliente, identificazione del titolare effettivo, acquisizione di informazioni su scopo e natura del rapporto, controllo costante), l’art. 19 chiarisce come ciascuna di tali misure debba essere concretamente eseguita: quali dati raccogliere, attraverso quali documenti, con quali modalità di verifica e in quali casi sia ammessa l’identificazione a distanza. La disposizione costituisce dunque la mappa procedurale che ogni soggetto obbligato (intermediari finanziari, professionisti, operatori non finanziari) deve seguire nell’onboarding del cliente e nella gestione del rapporto.
Identificazione del cliente: regola generale della presenza fisica
La lettera a) del comma 1 fissa il principio della identificazione in presenza: l’identificazione del cliente, dell’esecutore e del titolare effettivo è di regola svolta in presenza del cliente, anche tramite dipendenti o collaboratori del soggetto obbligato. L’identificazione consiste nell’acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento di identità in corso di validità o di altro documento di riconoscimento equipollente ai sensi della normativa vigente. Il soggetto obbligato deve acquisire copia, cartacea o elettronica, del documento. Quanto ai dati identificativi, la prassi di Banca d'Italia e degli Organismi di vigilanza (richiamabile in via interpretativa anche per i professionisti) individua il contenuto minimo: nome e cognome, luogo e data di nascita, residenza e domicilio se diverso, codice fiscale, estremi del documento di riconoscimento (tipologia, numero, autorità di rilascio e data). Per i clienti diversi dalle persone fisiche vanno acquisiti denominazione, sede legale e, ove diverso, sede amministrativa, codice fiscale o partita IVA e, per le società, gli estremi di iscrizione al Registro delle imprese.
Documenti di riconoscimento ammessi
La norma rinvia alla nozione generale di documento di identità o di riconoscimento equipollente di cui all’art. 35 del DPR 445/2000. Rientrano quindi tra i documenti utili: la carta d'identità cartacea o elettronica (CIE), il passaporto, la patente di guida, la patente nautica, il libretto di pensione, il porto d'armi e le tessere di riconoscimento munite di fotografia rilasciate da amministrazioni dello Stato. Il documento deve essere in corso di validità; la carta d'identità scaduta è ammessa solo se accompagnata dal timbro di rinnovo del Comune. Per il cliente straniero non comunitario, l’identificazione è accompagnata dall’acquisizione del permesso di soggiorno.
Identificazione senza presenza fisica: i cinque casi tipizzati
La novità sistematica più rilevante dell’art. 19 nella formulazione vigente è la tipizzazione dei casi in cui l’obbligo di identificazione si considera assolto anche senza la presenza fisica del cliente. La norma elenca cinque ipotesi (numeri da 1 a 5, con i sottocasi 4-bis e 4-ter introdotti nel 2020 e 2022) che riflettono l’evoluzione dell’identità digitale.
1) Atti pubblici, scritture private autenticate, firma digitale qualificata. L’identificazione si considera assolta se i dati identificativi del cliente risultano da atti pubblici, da scritture private autenticate ovvero da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici ex art. 24 CAD (D.Lgs. 82/2005). È il caso, ad esempio, del cliente che sottoscrive il mandato professionale con firma digitale qualificata: l’autenticazione del certificato sostituisce la verifica fisica del documento.
2) Identità digitale di livello significativo (SPID, CIE, eIDAS). Il numero 2), nella versione novellata dal DL 76/2020, ammette l’identificazione del cliente in possesso di un’identità digitale con livello di garanzia almeno significativo nell’ambito del Sistema SPID di cui all’art. 64 CAD, ovvero di un’identità elettronica notificata nell’elenco eIDAS pubblicato dalla Commissione europea ai sensi dell’art. 9 del Regolamento UE 910/2014, ovvero ancora di un certificato per la generazione di firma elettronica qualificata o di procedure di identificazione elettronica autorizzate o riconosciute dall’AgID. L’innalzamento dal livello massimo al livello significativo, intervenuto nel 2020, ha esteso significativamente la platea: anche lo SPID di livello 2 (e non solo il livello 3) consente l’identificazione antiriciclaggio.
3) Dichiarazione consolare italiana. Per i clienti i cui dati risultino da dichiarazione della rappresentanza e dell’autorità consolare italiana ex art. 6 del D.Lgs. 153/1997: ipotesi residuale ma utile per clienti residenti all’estero.
4) Clienti già identificati per altro rapporto in essere. L’identificazione si considera assolta per i clienti già identificati dal medesimo soggetto obbligato in relazione ad altro rapporto o prestazione professionale in essere, purché le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio. È il caso ordinario dello studio professionale che acquisisce un nuovo incarico da un cliente già acquisito: non occorre ripetere ex novo l’identificazione, ma è necessario verificare l’attualità dei dati.
4-bis) Bonifico previa identificazione elettronica forte. Introdotto dal DL 76/2020, riguarda i clienti che, previa identificazione elettronica basata su credenziali conformi all’art. 4 del Regolamento Delegato UE 2018/389 (strong customer authentication), dispongono un bonifico verso un conto di pagamento intestato al soggetto obbligato. La modalità è limitata ai rapporti relativi a carte di pagamento e a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici.
4-ter) Open banking e PSD2. Introdotto dal DL 228/2021, copre i clienti già identificati da un altro soggetto obbligato che, previa identificazione elettronica forte, consentono l’accesso alle informazioni del conto di pagamento intestato al cliente presso altro soggetto obbligato in uno Stato membro UE. La previsione consente di sfruttare i servizi di disposizione ordini di pagamento e di informazione sui conti previsti dall’art. 1, comma 2, lett. h-septies.1) TUB, in piena coerenza con la PSD2 (D.Lgs. 11/2010).
5) Altre modalità individuate dalle Autorità di vigilanza. Clausola di chiusura aperta all’evoluzione tecnologica: le Autorità di vigilanza di settore (Banca d'Italia, IVASS, Consob, MEF) possono individuare ulteriori forme idonee. Il Provvedimento Banca d'Italia del 30 luglio 2019 ha disciplinato la videoidentificazione e altre tecniche di onboarding remoto, divenute centrali nel periodo pandemico e oggi parte integrante della prassi degli intermediari.
Verifica dell’identità: il principio del riscontro mirato
La lettera b) del comma 1 disciplina la verifica dell’identità, distinguendola dalla mera identificazione. Mentre l’identificazione consiste nell’acquisizione dei dati, la verifica consiste nel riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisite. Il DL 76/2020 ha inserito l’avverbio solo, chiarendo che il riscontro è dovuto soltanto laddove sussistano dubbi, incertezze o incongruenze sui dati identificativi. Si tratta di un approccio risk-based che evita di gravare il soggetto obbligato di verifiche sistematiche e ridondanti su ogni cliente, concentrando l’attenzione sui casi anomali.
Quando il riscontro è dovuto, la verifica può essere effettuata attraverso la consultazione del Sistema pubblico per la prevenzione del furto di identità (SCIPAFI) di cui al D.Lgs. 64/2011, ovvero attraverso il ricorso ad altre fonti attendibili e indipendenti. La norma include espressamente tra le fonti utilizzabili le banche dati ad accesso pubblico o condizionato riferibili a una pubblica amministrazione (ad esempio, l’archivio ANPR, il Registro delle imprese tenuto dalla CCIAA, l’archivio dei rapporti finanziari dell’Anagrafe tributaria, la banca dati patenti del Ministero delle infrastrutture), nonché le banche dati riferibili a soggetti privati autorizzati al rilascio di identità digitali nell’ambito di SPID o di regimi eIDAS.
Verifica del titolare effettivo per clienti non persone fisiche
Sempre la lettera b) precisa che, per i clienti diversi dalle persone fisiche e per i fiduciari di trust espressi (nonché per le persone che esercitano diritti, poteri e facoltà equivalenti in istituti giuridici affini), la verifica dell’identità del titolare effettivo impone l’adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprietà e di controllo del cliente. Per i criteri di individuazione del titolare effettivo si rinvia all’art. 20; per la consultazione del Registro dei titolari effettivi all’art. 21. La norma tipizza dunque l’obbligo di look-through: il soggetto obbligato non può fermarsi alla persona giuridica formalmente cliente, ma deve risalire alla persona fisica che ne detiene il controllo ultimo, anche attraverso catene partecipative complesse, trust o veicoli fiduciari.
Acquisizione di informazioni su scopo e natura del rapporto
La lettera c) del comma 1 disciplina la terza misura di adeguata verifica, già delineata in via generale dall’art. 18: l’acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale. L’art. 19 aggiunge un elemento qualificante: la verifica della compatibilità dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dai soggetti obbligati, anche con riguardo al complesso delle operazioni compiute in costanza del rapporto, di altri rapporti precedentemente intrattenuti, nonché dell’instaurazione di ulteriori rapporti. Per il commercialista, ad esempio, ciò significa raccogliere dichiarazioni del cliente sull’oggetto dell’incarico (tenuta della contabilità, consulenza fiscale, costituzione di società, etc.) e confrontare tali dichiarazioni con quanto emerge nella relazione professionale: un cliente che dichiara di affidare la sola tenuta contabile ma poi richiede operazioni straordinarie ricorrenti dovrà essere sottoposto a nuova valutazione del profilo di rischio.
Controllo costante e analisi delle operazioni
La lettera d) del comma 1 traduce in pratica il principio della on-going due diligence: il controllo costante nel corso del rapporto si attua attraverso l’analisi delle operazioni effettuate e delle attività svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche con riguardo, se necessario, all’origine dei fondi. L’adeguata verifica non si esaurisce nell’onboarding ma è un processo dinamico che impone monitoraggio continuativo, aggiornamento dei dati (di regola almeno triennale, ma più frequente in presenza di operatività anomale) e rivalutazione del profilo di rischio quando emergano variazioni significative (cambio di residenza, mutamento dell’assetto proprietario per le persone giuridiche, modifica dell’attività esercitata, operazioni inattese rispetto al profilo dichiarato).
Proporzionalità al rischio
Il comma 2 sancisce il principio di proporzionalità: l’estensione delle verifiche, della valutazione e del controllo di cui al comma 1 è commisurata al livello di rischio rilevato. Cliente a basso rischio significa adeguata verifica semplificata ex art. 23 (riscontri ridotti, frequenza di aggiornamento ampliata); cliente ad alto rischio (PEP, residenti in paesi terzi ad alto rischio, settori sensibili) significa adeguata verifica rafforzata ex art. 24 (riscontri sistematici sulla provenienza dei fondi, autorizzazione di un livello gerarchico superiore, monitoraggio rafforzato). Il risk-based approach permea l’intero impianto della disposizione e impone al soggetto obbligato di calibrare i singoli adempimenti, quanti documenti raccogliere, quali fonti consultare, con quale frequenza aggiornare, in funzione della profilatura.
Adeguata verifica del beneficiario di prestazione assicurativa
Il comma 3 detta una disciplina speciale per i soggetti obbligati di cui all’art. 3, comma 2 (compagnie di assicurazione sul ramo vita e intermediari assicurativi che operano nel ramo vita). Essi devono applicare misure di adeguata verifica anche al beneficiario della prestazione assicurativa, non appena individuato o designato, nonché all’effettivo percipiente della prestazione liquidata e ai rispettivi titolari effettivi. Le misure consistono nell’acquisizione del nome o della denominazione del beneficiario specificamente individuato; quando invece il beneficiario è designato in base a particolari caratteristiche o classi (ad esempio gli eredi legittimi del contraente), va acquisita informazione sufficiente a stabilirne l’identità al momento della liquidazione. La norma riflette la specificità del ramo vita, dove la prestazione può essere goduta da un soggetto diverso dal contraente, e mira a prevenire l’uso di polizze come veicolo di riciclaggio attraverso designazioni opache o beneficiari fittizi.
Sanzioni e conservazione documentale
Le violazioni degli obblighi di adeguata verifica sono sanzionate ai sensi dell’art. 56: sanzione amministrativa base di 2.000 euro, da 2.500 a 50.000 euro nei casi gravi, ripetuti, sistematici o plurimi; per gli enti, in presenza di vantaggio significativo, sanzione fino al 10% del fatturato annuo. L’autorità competente è il MEF, su istruttoria delle Autorità di vigilanza o della Guardia di Finanza. L’art. 31, complementare all’art. 19, impone la conservazione della documentazione acquisita (copia documenti di riconoscimento, dichiarazione sul titolare effettivo, informazioni su scopo del rapporto, registrazione delle operazioni) per dieci anni dalla cessazione del rapporto o dall’esecuzione dell’operazione occasionale, in formato cartaceo o elettronico, con garanzia di integrità e non alterabilità.
Casi pratici
Caso 1, Onboarding tradizionale presso studio commercialista. Tizio, imprenditore individuale, si rivolge per la prima volta allo studio del Dott. Caio per la tenuta della contabilità ordinaria della propria ditta. In sede di primo incontro, Caio acquisisce copia della carta d'identità in corso di validità di Tizio, compila una scheda con dati anagrafici, residenza, codice fiscale, partita IVA, attività esercitata (codice ATECO), e fa sottoscrivere a Tizio una dichiarazione sull’oggetto dell’incarico e sulla titolarità effettiva (Tizio, persona fisica, è egli stesso titolare effettivo). Caio classifica il rapporto come basso rischio e archivia la documentazione nel fascicolo elettronico antiriciclaggio. Non è necessario procedere a riscontro sui dati, in assenza di incongruenze.
Caso 2, Persona giuridica estera con trust nella catena. La Caia Holding S.A., società di diritto lussemburghese, si rivolge allo studio per consulenza fiscale su un investimento immobiliare in Italia. Il professionista acquisisce visura del Registre de Commerce lussemburghese, statuto e dichiarazione sul titolare effettivo (due persone fisiche residenti in Belgio, ciascuna con il 40% delle quote; il restante 20% detenuto da un trust). Sul trust, è richiesta copia dell’atto istitutivo per identificare disponente, trustee, guardiano e beneficiari. Trattandosi di soggetto estero con catena articolata, il rapporto è classificato ad alto rischio e si applicano le misure rafforzate ex art. 24, incluso il riscontro sulla provenienza dei fondi.
Caso 3, Identificazione a distanza via SPID. Sempronio, dipendente con partita IVA per attività occasionale di consulenza, contatta lo studio via mail per ottenere assistenza dichiarativa. Trovandosi in altra regione, chiede di completare l’onboarding integralmente da remoto. Lo studio utilizza una piattaforma di firma elettronica qualificata che richiede a Sempronio l’autenticazione tramite SPID di livello 2: il sistema acquisisce nome, cognome, codice fiscale, data e luogo di nascita certificati dall’Identity Provider, e Sempronio sottoscrive con firma elettronica qualificata il mandato professionale e la dichiarazione sul titolare effettivo. L’identificazione è completata ai sensi dell’art. 19, comma 1, lett. a), n. 2). La copia del documento di identità non è obbligatoria in questa modalità, ma lo studio ne richiede comunque acquisizione come buona prassi di conservazione.
Prassi dell'Agenzia delle Entrate
Circolare MEF Dipartimento del Tesoro prot. DT 54071 del 6 luglio 2017
Agenzia delle Entrate
Istruzioni operative del MEF sulle modalita di adempimento degli obblighi di adeguata verifica della clientela introdotti dal recepimento della IV Direttiva antiriciclaggio. Chiarisce identificazione, verifica dell'identita e raccolta delle informazioni sullo scopo e natura del rapporto.
Leggi il documento su www.dt.mef.gov.itCircolare Comando Generale Guardia di Finanza prot. 210557 del 7 luglio 2017
Agenzia delle Entrate
Direttive operative della GdF sui controlli relativi agli obblighi di adeguata verifica. Fornisce indicazioni alle unita operative su criteri di selezione e verifica documentale presso i soggetti obbligati non vigilati da Autorita di settore.
Leggi il documento su www.gdf.gov.itDomande frequenti
Come si esegue concretamente l’adeguata verifica antiriciclaggio del cliente?
L’art. 19 del D.Lgs. 231/2007 prevede quattro adempimenti operativi: identificazione del cliente in presenza (con esibizione e copia di documento di riconoscimento in corso di validità), identificazione del titolare effettivo per le persone giuridiche, acquisizione di informazioni su scopo e natura del rapporto e controllo costante delle operazioni per tutta la durata del rapporto. L’estensione delle verifiche è commisurata al livello di rischio rilevato.
Quali documenti di riconoscimento sono validi per l’adeguata verifica?
Sono validi i documenti di identità o equipollenti ai sensi dell’art. 35 del DPR 445/2000: carta d'identità (anche elettronica), passaporto, patente di guida, patente nautica, libretto di pensione, porto d'armi e tessere di riconoscimento con fotografia rilasciate da amministrazioni dello Stato. Il documento deve essere in corso di validità; per i cittadini extra-UE è richiesto anche il permesso di soggiorno.
Si può fare l’adeguata verifica antiriciclaggio online senza incontrare il cliente?
Sì. L’art. 19, comma 1, lett. a) ammette l’identificazione a distanza in cinque ipotesi tipizzate: clienti con identità digitale SPID o eIDAS di livello almeno significativo, firma digitale qualificata, atti pubblici o scritture private autenticate, clienti già identificati per altri rapporti in essere presso il medesimo soggetto obbligato, modalità di pagamento con strong customer authentication (numeri 4-bis e 4-ter) e altre forme individuate dalle Autorità di vigilanza, tra cui la videoidentificazione disciplinata dal Provvedimento Banca d'Italia 30 luglio 2019.
Ogni quanto va aggiornata l’adeguata verifica della clientela?
L’art. 19 non fissa una scadenza rigida ma impone il controllo costante per tutta la durata del rapporto. La prassi delle Autorità di vigilanza individua aggiornamenti almeno triennali per i clienti a basso rischio, biennali o annuali per quelli a rischio medio-alto. L’aggiornamento è comunque dovuto ogni volta che emergono variazioni significative (cambio di residenza, mutamento dell’assetto proprietario per le società, modifica dell’attività, operazioni anomale rispetto al profilo).
Per quanto tempo vanno conservati i documenti dell’adeguata verifica antiriciclaggio?
Ai sensi dell’art. 31 del D.Lgs. 231/2007, la documentazione acquisita per l’adeguata verifica (copia documenti di riconoscimento, dichiarazione titolare effettivo, informazioni su scopo del rapporto, registrazione operazioni) deve essere conservata per dieci anni dalla cessazione del rapporto continuativo o della prestazione professionale, ovvero dall’esecuzione dell’operazione occasionale. La conservazione può essere cartacea o elettronica, purché siano garantite integrità e non alterabilità.