- Gli organismi di autoregolamentazione possono istituire banche dati centralizzate dei documenti AML acquisiti dai professionisti, previo parere favorevole del Garante per la protezione dei dati personali.
- I professionisti trasmettono i dati alla banca dati prima di prestare l’opera o di inviare una SOS, per ricevere avvisi di supporto alla valutazione del rischio.
- La banca dati genera avvisi automatici basati su parametri quantitativi e qualitativi (tipologia cliente, capacità economica, operazioni anomale, Paesi a rischio).
- La responsabilità finale della segnalazione di operazione sospetta resta sempre in capo al professionista, anche in assenza di avviso dalla banca dati.
- L’accesso alla banca dati è riservato; il trattamento dei dati è disciplinato in coordinamento con il GDPR e il Garante della privacy.
Art. 34 bis D.Lgs. 231/2007 (Antiriciclaggio) – Banche dati informatiche presso gli organismi di autoregolamentazione (1)
In vigore dal 29/12/2007
1. Al fine di prevenire eventuali attività di riciclaggio o di finanziamento del terrorismo, gli organismi di autoregolamentazione possono istituire, previo parere favorevole del Garante per la protezione dei dati personali, una banca dati informatica centralizzata dei documenti, dei dati e delle informazioni acquisiti dai professionisti nello svolgimento della propria attività professionale che questi sono tenuti a conservare ai sensi dell’articolo 31. La banca dati è istituita e gestita in proprio dagli organismi di autoregolamentazione, che determinano quali documenti, dati e informazioni di cui all’articolo 31 devono essere trasmessi alla banca dati informatica. 2. I professionisti trasmettono senza ritardo alla banca dati i documenti, i dati e le informazioni di cui al comma 1. 3. Al fine di acquisire informazioni rilevanti per le valutazioni di cui all’articolo 35, prima di prestare la propria opera professionale o compiere le operazioni inerenti allo svolgimento della propria attività professionale, ovvero prima dell’invio della segnalazione di operazione sospetta nell’ipotesi prevista dall’articolo 35, comma 2, i professionisti possono trasmettere alla banca dati, per via telematica, i documenti, i dati e le informazioni acquisiti nell’adempimento degli obblighi di adeguata verifica della clientela di cui al presente decreto. 4. Nei casi di cui al comma 3, ovvero a seguito dell’invio di cui al comma 2, qualora dalla banca dati, tenuto conto anche degli indicatori e schemi di anomalia elaborati dalla UIF ai sensi del presente decreto, emergano operatività anomale basate sui parametri quantitativi e qualitativi di cui al comma 5, il professionista riceve un avviso a supporto delle valutazioni di cui all’articolo 35. In ogni caso, resta ferma la responsabilità del professionista per l’adempimento dell’obbligo di segnalazione delle operazioni sospette, anche nel caso di mancata ricezione dell’avviso. 5. L’avviso è generato dalla banca dati sulla base di elementi informativi associati a una determinata persona fisica o giuridica quali la tipologia di cliente, la capacità economica, la situazione DLgs. 21.11.2007 n. 231 – Art. 34 bis 62 economico-patrimoniale, l’attività svolta, la residenza o sede in Paesi terzi ad alto rischio secondo i criteri del presente decreto, le caratteristiche, l’importo, la frequenza e la natura delle prestazioni professionali rese o delle operazioni eseguite nonchè il loro collegamento o frazionamento. Al fine di elaborare l’avviso, l’organismo di autoregolamentazione può avvalersi di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni. 6. La trasmissione telematica alla banca dati effettuata dal professionista ai sensi dei commi 2 e 3 non sostituisce gli obblighi di cui agli articoli 31 e 32. 7. I documenti, i dati e le informazioni contenuti nella banca dati sono valutati dagli organismi di autoregolamentazione ai fini dell’informativa alla UIF ai sensi dell’articolo 11, comma 4, ultimo periodo. 8. Gli organismi di autoregolamentazione non possono utilizzare i documenti, i dati e le informazioni contenuti nella banca dati per finalità diverse da quelle di cui al presente articolo. 9. Il Ministero dell’economia e delle finanze, la UIF, il Nucleo speciale di polizia valutaria della Guardia di finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo accedono alla banca dati per lo svolgimento delle rispettive attribuzioni istituzionali come individuate dal presente decreto. L’accesso alla medesima banca dati non è consentito ai singoli professionisti. 10. Le modalità tecniche e operative dell’accesso di cui al comma 9 sono disciplinate con apposita convenzione sottoscritta da ciascuna autorità di cui al medesimo comma 9 con l’organismo di autoregolamentazione, su conforme parere del Garante per la protezione dei dati personali. Tali convenzioni regolano le modalità uniformi di attivazione del collegamento via web o tramite cooperazione applicativa alla banca dati dell’organismo di autoregolamentazione, nonchè le modalità di identificazione, modifica e revoca da parte dell’autorità dei propri operatori abilitati all’accesso, stabilendo le modalità dei collegamenti e degli accessi anche al fine di assicurare l’accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui al comma 1. La banca dati consente, attraverso gli strumenti definiti dal codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, la verifica dell’identità digitale dei soggetti abilitati all’accesso. 11. I documenti, i dati e le informazioni contenuti nella banca dati ai sensi dei commi 1 e 3 sono trattati per le finalità di cui al presente articolo e secondo quanto in esso previsto, nel rispetto del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e della vigente normativa nazionale in materia di protezione dei dati personali, restando escluso ogni ulteriore utilizzo. 12. Titolare del trattamento dei dati personali, ai sensi e per gli effetti della normativa vigente, è l’organismo di autoregolamentazione che istituisce la banca dati e provvede a detto trattamento secondo quanto previsto al comma 11. L’organismo di autoregolamentazione può anche avvalersi di apposite strutture decentralizzate, in qualità di responsabili del trattamento ai sensi dell’articolo 28 del regolamento (UE) 2016/679. 13. L’organismo di autoregolamentazione adotta, prima del trattamento e previo parere favorevole del Garante per la protezione dei dati personali, misure tecniche e organizzative adeguate al rischio dirette a: a) garantire l’integrità e la non alterabilità dei documenti, dei dati e delle informazioni contenuti nella banca dati, la riservatezza dei medesimi nel rispetto della normativa in materia di protezione dei dati personali, anche mediante l’utilizzo di tecniche di crittografia, nonchè la tracciabilità degli accessi, secondo criteri selettivi, da parte dei soli soggetti autorizzati dagli organismi di autoregolamentazione, anche in base alle convenzioni di cui al comma 10; b) individuare le specifiche modalità tecniche di elaborazione, trasmissione e comunicazione al professionista dell’avviso generato dalla banca dati nei limiti di quanto stabilito dal comma 5. 14. Prima del trattamento, l’organismo di autoregolamentazione effettua la valutazione di impatto sulla protezione dei dati personali e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali. Nella valutazione di impatto sono indicate, tra l’altro, le misure tecni- DLgs. 21.11.2007 n. 231 – Art. 35 63 che e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonchè a tutela dei diritti e delle libertà degli interessati. Nella valutazione di impatto sono altresì disciplinati i tempi e le modalità di cancellazione dei dati. 15. I documenti, i dati e le informazioni acquisiti ai sensi dei commi 1 e 3 sono conservati nella banca dati per un periodo di dieci anni. 16. In relazione al trattamento dei dati personali contenuti nella banca dati informatica, i diritti dell’interessato di cui agli articoli da 15 a 18 e da 20 a 22 del regolamento (UE) 2016/679 si esercitano nei limiti previsti dall’articolo 2-undecies del Codice in materia di protezione dei dati personali. 17. Nel rispetto di quanto previsto dal presente articolo, l’organismo di autoregolamentazione che istituisce la banca dati adotta, ai sensi dell’articolo 11, comma 2, regole tecniche con le quali sono individuati: a) i documenti, i dati e le informazioni di cui all’articolo 31 che ai sensi del comma 1 del presente articolo devono essere trasmessi alla banca dati informatica; b) le modalità tecniche di alimentazione della medesima banca dati da parte dei professionisti; c) le modalità tecniche di controllo, da parte dell’organismo di autoregolamentazione, riguardo alla corretta trasmissione dei documenti, dei dati e delle informazioni di cui ai commi 1 e 3 da parte dei professionisti, al fine del corretto funzionamento della banca dati. 18. L’organismo di autoregolamentazione promuove e controlla l’osservanza degli obblighi previsti dal presente articolo da parte dei professionisti. In caso di violazioni gravi, ripetute o sistematiche ovvero plurime si applica l’articolo 11, comma 3. Note: (1) Articolo inserito dall’art. 2-bis, comma 1, DL 18.10.2023 n. 145, convertito, con modificazioni, dalla L. 15.12.2023 n. 191. CAPO III – Obblighi di segnalazione
Stesso numero, altri codici
Ratio e genesi della norma
L’art. 34-bis del D.Lgs. 21 novembre 2007, n. 231 introduce uno strumento innovativo e ancora poco diffuso nella prassi: la possibilità per gli organismi di autoregolamentazione (OA) di istituire banche dati centralizzate dei documenti, dei dati e delle informazioni acquisiti dai professionisti iscritti nell’adempimento degli obblighi di adeguata verifica e conservazione. La norma risponde a una duplice esigenza: da un lato, valorizzare il patrimonio informativo che i professionisti accumulano nel tempo sui propri clienti, rendendolo disponibile a supporto di altri colleghi dello stesso ordine; dall’altro, costruire un sistema di early warning che integri e arricchisca la valutazione individuale del professionista con una prospettiva di sistema più ampia. L’art. 34-bis è stato introdotto dal D.Lgs. 90/2017 e risponde a una delle raccomandazioni della IV Direttiva AML (Dir. UE 2015/849) in materia di potenziamento degli strumenti di prevenzione a disposizione degli organismi di supervisione professionale.
L’istituzione della banca dati: condizioni e governance
Il comma 1 stabilisce che la banca dati è istituita dall’OA in modo facoltativo (non è un obbligo ma una facoltà), subordinatamente al parere favorevole del Garante per la protezione dei dati personali. Il parere del Garante è condizione di efficacia dell’istituzione: l’OA non può avviare la banca dati senza aver ricevuto il via libera dell’autorità di controllo sulla protezione dei dati. La banca dati è istituita e gestita in proprio dall’OA, che determina anche quali documenti, dati e informazioni di cui all’art. 31 del decreto (obblighi di conservazione) devono essere trasmessi. La norma attribuisce quindi all’OA piena autonomia nella definizione del perimetro informativo della banca dati, nel rispetto dei limiti imposti dal Garante. Il CNDCEC, che è il principale OA destinatario della norma insieme al CNF e al Consiglio nazionale del Notariato, non ha ancora attivato una banca dati di questo tipo, ma la norma offre un quadro giuridico completo per farlo.
Gli obblighi di trasmissione dei professionisti
Il comma 2 stabilisce l’obbligo dei professionisti di trasmettere senza ritardo alla banca dati i documenti, i dati e le informazioni individuati dall’OA ai sensi del comma 1. Si tratta di un obbligo di legge che scatta automaticamente una volta che l’OA ha istituito la banca dati e comunicato le categorie di informazioni da trasmettere. La trasmissione avviene in modo continuativo nel tempo, ogni volta che il professionista acquisisce nuovi documenti o informazioni nel corso del rapporto professionale. Il comma 3 prevede una trasmissione aggiuntiva e facoltativa: prima di prestare la propria opera professionale o di effettuare un’operazione, ovvero prima dell’invio di una SOS (nei casi previsti dall’art. 35, comma 2), il professionista può trasmettere alla banca dati per via telematica i documenti e le informazioni acquisiti nell’adeguata verifica. Questa trasmissione preventiva consente di ricevere un avviso dalla banca dati prima di decidere se procedere con l’operazione o con la segnalazione.
Il meccanismo degli avvisi
Il comma 4 disciplina il meccanismo chiave della banca dati: il sistema di avvisi. La banca dati, tenendo conto anche degli indicatori e degli schemi di anomalia elaborati dalla UIF, genera un avviso al professionista quando emergono operatività anomale basate sui parametri del comma 5. L’avviso è strumento di supporto alla valutazione del professionista ai fini dell’art. 35 (segnalazione di operazione sospetta): non è una notifica di illecito, ma un alert che invita il professionista ad approfondire la propria valutazione. La norma è esplicita nel stabilire che la responsabilità del professionista per l’adempimento dell’obbligo di segnalazione resta ferma anche in caso di mancata ricezione dell’avviso: la banca dati è un ausilio, non un sostituto del giudizio professionale. Il professionista che omette la SOS pur in presenza di elementi di sospetto risponde della violazione dell’art. 35, indipendentemente dal fatto che la banca dati abbia o meno generato un avviso.
I parametri degli avvisi
Il comma 5 elenca i parametri informativi sulla base dei quali la banca dati genera gli avvisi:
La norma precisa che l’elenco è esemplificativo e l’OA può aggiungere ulteriori parametri nella disciplina attuativa della banca dati. Gli indicatori e gli schemi di anomalia della UIF costituiscono il substrato di riferimento per la calibrazione degli algoritmi di alert.
Protezione dei dati personali e riservatezza
L’istituzione della banca dati solleva significative questioni di protezione dei dati personali, poiché comporta la concentrazione in un unico archivio di informazioni su clienti di tutti i professionisti iscritti all’ordine. Il parere preventivo del Garante è lo strumento principale di tutela: il Garante verifica che il trattamento rispetti i principi del Reg. UE 2016/679 (GDPR), in particolare i principi di minimizzazione dei dati, limitazione della finalità e sicurezza del trattamento. Il fondamento giuridico del trattamento è l’adempimento di un obbligo legale e il trattamento di interesse pubblico (art. 6, par. 1, lettere c ed e GDPR). L’accesso alla banca dati deve essere riservato ai professionisti iscritti e all’OA, con misure di sicurezza adeguate al livello di sensibilità dei dati trattati. La norma non prevede un diritto di accesso del cliente alla banca dati, in linea con le limitazioni del diritto di accesso previste dall’art. 23 GDPR per le finalità di prevenzione del riciclaggio.
Prospettive applicative e rilevanza pratica
La banca dati dell’art. 34-bis è uno strumento potenzialmente molto utile per i professionisti, che spesso operano con informazioni frammentate sui propri clienti e faticano a costruire un profilo di rischio completo. La possibilità di ricevere un avviso che aggrega le informazioni di sistema prima di decidere se effettuare una SOS ridurrebbe il rischio di mancate segnalazioni (per difetto di informazioni) e di segnalazioni infondate (per eccesso di cautela). Tuttavia, l’attivazione della banca dati richiede investimenti tecnologici significativi da parte degli OA e un adeguato presidio della sicurezza informatica. La norma è rimasta finora inattuata dai principali OA, ma la crescente digitalizzazione dei processi di adeguata verifica (con l’avvento dei sistemi di identificazione elettronica e dei software AML) potrebbe rendere concretamente praticabile la sua attuazione nel prossimo futuro.
Domande frequenti
Cos'è la banca dati prevista dall’art. 34-bis del D.Lgs. 231/2007?
È un archivio centralizzato che gli organismi di autoregolamentazione (CNDCEC, CNF, ecc.) possono istituire per raccogliere i documenti AML dei professionisti iscritti. La banca dati genera avvisi automatici per supportare la valutazione del rischio del singolo professionista prima di una prestazione o di una SOS.
È obbligatorio per il professionista trasmettere dati alla banca dati dell’OA?
La trasmissione periodica è obbligatoria una volta che l’OA ha istituito la banca dati (comma 2). La trasmissione preventiva prima di ogni operazione o SOS è invece facoltativa (comma 3) e serve a ricevere un avviso dalla banca dati prima di decidere come procedere.
Se la banca dati non invia un avviso, il professionista è esonerato dall’obbligo di SOS?
No. L’art. 34-bis, comma 4 precisa espressamente che la responsabilità del professionista per l’adempimento dell’obbligo di segnalazione di operazione sospetta resta ferma anche in caso di mancata ricezione dell’avviso. La banca dati è uno strumento di supporto, non di esonero.
Perché è necessario il parere del Garante della privacy per istituire la banca dati?
Perché la banca dati concentra in un unico archivio dati personali di clienti di tutti i professionisti iscritti all’ordine. Il parere preventivo favorevole del Garante è condizione di efficacia dell’istituzione e garantisce il rispetto dei principi GDPR di minimizzazione, sicurezza e limitazione della finalità.
Quali parametri usa la banca dati per generare gli avvisi?
Il comma 5 elenca: tipologia e capacità economica del cliente, attività svolta, residenza in Paesi ad alto rischio, caratteristiche e importo delle operazioni, collegamento o frazionamento delle stesse. Gli indicatori di anomalia della UIF sono integrati come riferimento per la calibrazione degli alert.