Nuove norme antiriciclaggio: e’ davvero venuto meno l’obbligo di tenuta dell’archivio unico informatico (AUI) e del registro della clientela?
di Matteo De Paolis Scarica in PDFIl testo del d.lgs. 231/2007, in vigore a partire dal 4 luglio 2017, non prevede più l’obbligo di tenuta dell’Archivio Unico Informatico (AUI) e del Registro della Clientela. Tuttavia, mentre con riguardo alle banche e agli altri intermediari finanziari, è logicamente prevedibile che, date le dimensioni delle rispettive attività, gli stessi non abbandoneranno mai tali presidi informatici, con riguardo ai professionisti, se da un lato si semplificano formalmente le attività di tenuta e di gestione della documentazione relativa alla clientela, dall’altro si rischia di privarli di uno strumento di lavoro che, a ben vedere, è forse quello più sicuro per verificare l’adempimento degli obblighi antiriciclaggio i quali, oltre a essere rimasti praticamente identici rispetto al passato, sono ora sanzionati persino più gravemente.
*****
Con l’entrata in vigore, lo scorso 4 luglio 2017, delle nuove norme antiriciclaggio a opera del d.lgs. 90/2017, sono stati aboliti gli obblighi di registrazione presenti nel decreto antiriciclaggio, previsti dai vecchi artt. da 36 a 41 del d.lgs. 231/2007, e al loro posto sono stati introdotti i nuovi, e solo in parte diversi, obblighi di conservazione di cui ai novellati articoli da 31 a 34 stesso decreto.
Di conseguenza, a far data dal 4 luglio 2017, si è verificata l’abolizione di una serie di illeciti amministrativi non più previsti come tali dalla nuova normativa, che avrà come effetto la conseguente archiviazione dei procedimenti pendenti, con particolare riferimento alle seguenti ipotesi:
- illeciti per violazione degli artt. 37, 38 e 39 del previgente d.lgs. 231/2007 (omessa o irregolare istituzione o tenuta dell’Archivio Unico Informatico e del Registro della clientela, sanzionati dagli artt. 57, commi 2 e 3), non essendo più previsto l’obbligo di istituzione dei suddetti registri;
- illeciti per violazione degli obblighi di registrazione di cui all’art. 36 del previgente d.lgs. 231/2007, non essendo più previsto l’obbligo di istituzione dei suddetti registri.
Nel vigore delle vecchie norme gli avvocati, i notai, i commercialisti e gli altri “professionisti” destinatari degli obblighi antiriciclaggio, i quali omettevano di dotarsi di un archivio informatico o di un registro della clientela, rischiavano una sanzione amministrativa pecuniaria da 5.000 a 50.000 euro[1] .
Il d.lgs. 90/2017, nell’introdurre le nuove modalità di conservazione dei dati da parte dei soggetti obbligati (i novellati artt. da 31 a 34 del d.lgs. 231/2007), ha eliminato qualsiasi riferimento alla tenuta dell’Archivio Unico Informatico e del Registro della Clientela, sia per gli avvocati, commercialisti, notai e gli altri professionisti individuati dal decreto, sia anche con riguardo alle banche e agli altri intermediari finanziari.
Da più parti, dunque, si sono sollevate grida di felicità alla notizia del venir meno di un (fastidioso e sanzionato) obbligo organizzativo, imposto ad alcune categorie di soggetti tenuti, nel vigore delle vecchie norme antiriciclaggio, a dotarsi di strumentazione digitale per sostituire i registri cartacei, considerati sempre validi e legittimi ma oramai obsoleti (per lo meno, in realtà professionali di dimensioni medio-grandi).
Tuttavia, anche a seguito delle nuove norme entrate in vigore a luglio scorso, l’adozione e l’utilizzo di un archivio informatico, e non solo cartaceo, a supporto delle attività e procedure antiriciclaggio del professionista sono, a ben vedere, ancora esigibili, almeno sul piano strettamente pratico.
Invero, gli articoli da 31 a 34 del decreto antiriciclaggio – che oggi descrivono i contenuti degli obblighi di conservazione e le relative modalità di adempimento – prevedono, a carico dei destinatari:
- l’obbligo di conservazione delle informazioni per un minimo di 10 anni;
- l’obbligo di indicare: (i) la data di instaurazione del rapporto continuativo o del conferimento dell’incarico; (ii) i dati identificativi del cliente, del titolare effettivo e dell’esecutore e le informazioni sullo scopo e la natura del rapporto o della prestazione; (iii) la data, l’importo e la causale dell’operazione; (iv) i mezzi di pagamento utilizzati;
- l’obbligo di rendere noti i soggetti legittimati ad alimentare il sistema di conservazione e accedere ai dati e alle informazioni ivi conservati;
- l’obbligo di assicurare: (i) l’accessibilità completa e tempestiva ai dati e alle informazioni da parte delle Autorità; (ii) la tempestiva acquisizione, da parte del soggetto obbligato, dei documenti, dei dati e delle informazioni, con indicazione della relativa data (entro 30 giorni decorrenti: dall’instaurazione del rapporto continuativo o dal conferimento dell’incarico; dall’esecuzione dell’operazione o della prestazione professionale; dalla variazione e dalla chiusura del rapporto continuativo o della prestazione professionale); (iii) l’integrità dei dati e delle informazioni e la non alterabilità dei medesimi successivamente alla loro acquisizione; (iv) la trasparenza, la completezza e la chiarezza dei dati e delle informazioni nonché il mantenimento della storicità dei medesimi;
- l’obbligo di trasmissione dei dati aggregati (previsto solo per banche e operatori finanziari).
Il nuovo testo dell’art. 57, d.lgs. 231/2007 prevede, poi, che la violazione di tali norme comporti una sanzione amministrativa pecuniaria pari a €2.000 mentre, nel caso di violazioni gravi, ripetute o sistematiche ovvero plurime, la sanzione amministrativa pecuniaria può arrivare fino a € 50.000.
A ben vedere, quindi, è vero che è stato eliminato l’espresso obbligo di tenuta sia dell’Archivio Unico Informatico (per le banche e gli altri intermediari finanziari) sia del Registro della Clientela in alternativa all’archivio informatico (per i professionisti); tuttavia, sostanzialmente identici rispetto al passato, risultano gli obblighi antiriciclaggio con riguardo al contenuto delle informazioni da acquisire o trasmettere, e le finalità delle modalità di conservazione dei dati. In pratica, si richiede ai destinatari delle norme antiriciclaggio di assicurare, in particolare:
- l’ordine cronologico delle registrazioni;
- l’inalterabilità delle registrazioni;
- l’acquisizione di informazioni relative al cliente, al titolare effettivo, alla prestazione professionale resa;
- la conservazione dei dati registrati;
- la comunicazione delle informazioni e dei dati integrati (per banche, finanziarie, ecc.);
e gli si dice che possono fare tutto ciò anche senza sistemi di archiviazione e registrazione informatici, avvertendoli però che, in caso di errori o mancanze, le sanzioni saranno più gravi rispetto a quelle in vigore prima del 4 luglio 2017.
Nel concreto, ci si domanda come un soggetto possa adempiere a tali rinnovati obblighi di conservazione dei dati antiriciclaggio senza l’utilizzo (ancora, e forse più di prima) di un archivio informatico, appositamente programmato per fungere da ausilio all’attività di notai, avvocati, commercialisti, ovvero banche, intermediari o case da gioco.
Mentre le banche e gli altri intermediari bancari e finanziari, soggetti alle autorità di vigilanza, è logicamente prevedibile che continueranno, a livello sia teorico che pratico, a utilizzare gli AUI già implementati con la vecchia disciplina[2], per gli avvocati e gli altri professionisti destinatari della normativa antiriciclaggio, a fronte degli stessi obblighi del passato, si è deciso di razionalizzare “il complesso degli adempimenti posti a carico degli attori del sistema, eliminando formalità e tecnicismi in ordine alle modalità di conservazione dei dati e dei documenti, ritenuti eccessivi rispetto alle esigenze di uniforme ed omogenea applicazione del diritto comunitario e, come tali, potenzialmente anticompetitivi”[3].
In linea con tale indirizzo, l’art. 34, comma 2, d.lgs. 231/2007 ha adesso previsto che il fascicolo del cliente, formato a norma degli artt. 31 e 32, costituisce idonea modalità di conservazione dei dati e delle informazioni.
Ma davvero, a fini antiriciclaggio, la tenuta del semplice fascicolo della clientela e l’abbandono dei registri o archivi informatici permetterà – soprattutto agli studi medio-grandi – di continuare ad adempiere, con diligenza, ai rinnovati obblighi antiriciclaggio?
In estrema sintesi, tali obblighi si sostanziano nei seguenti:
- l’obbligo di identificazione del cliente e del c.d. “titolare effettivo”;
- l’obbligo di conservazione dei dati relativi al cliente e all’operazione;
- l’obbligo di effettuare l’adeguata verifica del cliente e del titolare effettivo;
- l’obbligo di astenersi dall’effettuare l’operazione in presenza di impossibilità di effettuare l’adeguata verifica del cliente o del titolare effettivo;
- l’obbligo di effettuare una segnalazione all’Unità di Informazione Finanziaria (“UIF”) istituita presso la Banca di Italia, qualora l’Avvocato sappia, sospetti o abbia motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo;
- l’obbligo di formazione del personale e dei collaboratori;
- l’obbligo di segnalare al Ministero dell’Economia i trasferimenti di denaro contante effettuati a qualsiasi titolo tra soggetti diversi per importi pari o superiori a €3.000;
- l’obbligo di adottare presidi ei procedure, adeguati alla natura e alla dimensione dello Studio, al fine di mitigare e gestire i rischi di riciclaggio e di finanziamento del terrorismo.
Non sono obblighi da poco, e la Guardia di Finanza, fin dall’introduzione del d.lgs. 231/2007, è stata molto attenta non solo a verificare la sostanziale conformità delle attività dei professionisti, ma anche la loro formale rispondenza al dettato normativo.
Le due tipiche “armi” di cui è dotata la Guardia di Finanza – come emerge anche dalla Circolare n. 83607/2012 del Comando Generale della Guardia di Finanza sull’attività di controllo a tutela del mercato dei capitali – sono le ispezioni e i controlli per verificare il rispetto degli adempimenti antiriciclaggio da parte dei professionisti. Mentre le ispezioni antiriciclaggio consistono “nell’approfondito ed esteso esame degli aspetti salienti e più significativi della posizione del soggetto vigilato ai fini del rispetto degli obblighi antiriciclaggio ed antiterrorismo ex decreto 231/2007”, i controlli antiriciclaggio fanno riferimento a un’attività limitata e mirata al riscontro di uno o più atti di gestione, come la verifica del rispetto degli adempimenti di carattere meramente formale, legati all’osservanza di presidi antiriciclaggio. In questo caso, ad esempio, il personale della Guardia di Finanza poteva verificare la mera istituzione dell’archivio unico informatico o del registro della clientela o di altro archivio informatizzato, ovvero accertare le sole modalità di tenuta del registro della clientela ai sensi dell’art. 38, comma 3, del decreto legislativo n. 231/2007.
Ora, se è venuta meno la possibilità, per i professionisti, di essere sanzionati per la mancata o irregolare tenuta dell’archivio/registro della clientela, ciò non vuol dire che l’archivio informatico non sia più utile e costituisca solo un peso per il professionista, in quanto egli è, e sempre rimarrà obbligato – almeno fino a una futura modifica legislativa – a raccogliere e conservare gli stessi identici dati e informazioni di prima, pena le nuove e più pesanti sanzioni, che a livello economico possono arrivare fino a €50.000 per i casi più gravi, ripetuti e sistematici.
È stata anche inserita una nuova previsione, a carattere penale, che punisce chiunque si avvalga “di mezzi fraudolenti al fine di pregiudicare la corretta conservazione dei predetti dati e informazioni”; in questo caso, l’utilizzo di metodologie organizzative poco chiare, incostanti, non uniformate a tutti i clienti dello studio professionale, e in più non in grado di assicurare gli obblighi e le modalità di conservazione dei dati previsti dagli artt. 31 e 32 del decreto e descritte sopra, può comportare per il professionista la condanna alla reclusione per un periodo da sei mesi a tre anni e la multa da €10.000 a €30.000.
Al fine, quindi, di evitare di introdurre metodologie amministrative e di gestione delle pratiche non adatte ad adempiere alle disposizioni di legge, rimane quasi obbligata per il professionista (soprattutto se appartiene a studi di dimensioni medio-grandi) la scelta di mantenere (o di dotarsi ex novo di) programmi software gestionali appositamente calibrati sui presidi antiriciclaggio ex d.lgs. 231/2007.
Da ultimo, si noti come lo stesso legislatore non si sia dimenticato della possibilità, per i professionisti, di continuare a usare l’archivio informatico e/o il registro della clientela. Si consideri, infatti, che nel nuovo allegato tecnico al d.lgs. 231/2007, l’art. 3 relativo ai Documenti validi per l’identificazione chiarisce come “L’identificazione può essere svolta anche da un pubblico ufficiale a ciò abilitato ovvero a mezzo di una foto autenticata; in quest’ultimo caso sono acquisiti e riportati nell’archivio unico informatico, ovvero nel registro della clientela, gli estremi dell’atto di nascita dell’interessato”.
Ebbene, le nuove norme antiriciclaggio hanno eliminato gli obblighi di registrazione, così come quelli di tenuta dell’archivio unico informatico e del registro della clientela, la cui adozione non viene più espressamente prevista. Ma sarà adesso, più che in passato, che il singolo professionista, appartenente a uno studio associato, a una società di professionisti, o costituito in forma individuale, sarà tenuto a dimostrare che la propria struttura organizzativa è idonea a prevenire i rischi antiriciclaggio e di finanziamento del terrorismo, dimostrando di avere implementato tutte le procedure interne richieste per adempiere al dettato degli artt. 31 e 32.
In pratica, il legislatore ha stabilito che i presidi informatici, o il registro della clientela, non sono più obbligatori perché previsti dalla IV direttiva comunitaria antiriciclaggio[4]; visto, quindi, che l’art. 32, comma 1, lett. c), Legge n. 234 del 24.12.2012, nel recare principi e criteri direttivi generali di delega per l’attuazione del diritto dell’Unione europea afferma, in particolare, che “gli atti di recepimento di direttive dell’Unione europea non possono prevedere l’introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse (…)”, il nostro legislatore si è visto costretto a non prevedere più come obbligatori l’archivio unico informatico e il registro della clientela.
Ma ciò, si ritiene, è sfociato solamente nella mancata previsione di uno degli obblighi formali previsti per il rispetto sostanziale dei presidi antiriciclaggio. La sua mancata previsione, dunque, non potrà essere legittimamente sfruttata dal professionista per giustificare il mancato rispetto degli altri obblighi di valutazione del rischio, identificazione, conservazione, adeguata verifica, segnalazione che, è il caso di dirlo, proprio i software antiriciclaggio facilitano.
[1] Il comma 3 dell’art. 57, d.lgs. 231/2007 nel testo in vigore prima delle modifiche apportate dal d.lgs. 90/2017, stabiliva che “L’omessa istituzione del registro della clientela di cui all’articolo 38 ovvero la mancata adozione delle modalità di registrazione di cui all’articolo 39 è punita con una sanzione amministrativa pecuniaria da 5.000 a 50.000 euro”.
[2] Il nuovo testo dell’art. 34, comma 3, afferma infatti che: “Fermo quanto stabilito dalle disposizioni di cui al presente decreto per le finalità di prevenzione del riciclaggio e di finanziamento del terrorismo, nel rispetto dei principi di semplificazione, economicità ed efficienza, le Autorità di vigilanza di settore, a supporto delle rispettive funzioni, possono adottare disposizioni specifiche per la conservazione e l’utilizzo dei dati e delle informazioni relativi ai clienti, contenuti in archivi informatizzati, ivi compresi quelli già istituiti presso i soggetti rispettivamente vigilati, alla data di entrata in vigore del presente articolo”.
[3] Si veda il Comunicato stampa n. 31 diffuso dal Consiglio dei Ministri il 24.5.2017, consultabile al seguente link: http://www.governo.it/articolo/comunicato-stampa-del-consiglio-dei-ministri-n-31/7447.
[4] Direttiva (UE) 2015/849 del Parlamento Europeo e del Consiglio del 20 maggio 2015, Capo V, articoli da 40 a 44.