di Roberto Garavaglia
21/6/2017 – L’attesa attuazione della direttiva (UE) 2015/849 (la c.d. “AMLD4”), ha dato segni di sé.
Lunedì 19 giugno 2017, è stato pubblicato in Gazzetta Ufficiale [1] il Decreto legislativo 25 maggio 2017, n. 90, che recepisce nel nostro ordinamento quanto il legislatore comunitario aveva disposto – due anni fa – in merito alla prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Su questo delicato tema, PagamentiDigitali si era già espresso con un paio di articoli a mia firma nel luglio 2015, all’indomani della promulgazione del dispositivo Europeo [2], analizzando l’impatto che si sarebbe prodotto sull’impiego di strumenti prepagati non nominativi – la c.d. moneta elettronica “anonima” – e, in particolare, sui servizi di P2P Payment basati su conti di moneta elettronica.
In queste brevi battute, scritte a ridosso di una prima lettura del decreto di recepimento, si vuole offrire al lettore una rapida presa di coscienza sui cambiamenti che, di qui ad un anno (questo l’arco di tempo in cui le autorità di vigilanza di settore dovranno adottare la maggior parte delle misure attuative [3]) il comparto dei sistemi di pagamento innovativi dovrà saper affrontare.
In particolare, si vuole presentare una sintetica disamina delle novità che il D.Lgs. 25 maggio 2017, n. 90, appena pubblicato, introduce nel contesto delle valute virtuali e della moneta elettronica c.d “anonima”, evidenziando alcuni vincoli ed opportunità che, in special modo per le soluzioni di pagamento basate sul trasferimento di fondi in moneta elettronica e sui trasferimenti P2P in mobilità, potranno emergere.
Virtual Currency Exchange Platform diventano “entità obbligate”
Iniziamo, dunque, con il tema di maggiore attualità, ossia quello riferito alle valute virtuali, fra cui, è bene dirlo subito, sono ricomprese le cc.dd. “cryptovalute” come i Bitcoin.
Il decreto di recepimento definisce innanzitutto cosa sia la “valuta virtuale”, disponendo che la stessa debba intendersi come un “rappresentazione digitale di valore, non emessa da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi e trasferita, archiviata e negoziata elettronicamente”[4].
Una definizione che non lascia alcun’ombra di dubbio e che dovrebbe far comprendere una volta per tutte, laddove ce ne fosse stato il bisogno, la sostanziale differenza con la moneta elettronica, quest’ultima descritta dal TUB (Testo Unico Bancario) come “il valore monetario memorizzato elettronicamente, ivi inclusa la memorizzazione magnetica, rappresentato da un credito nei confronti dell’emittente che sia emesso per effettuare operazioni di pagamento […] e che sia accettato da persone fisiche e giuridiche diverse dall’emittente”.
In relazione alle valute virtuali viene altresì precisato cosa siano – e quali attività svolgano – i prestatori di servizi relativi all’utilizzo di valuta virtuale, ossia “ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale”[5].
Il lettore più accorto avrà di certo compreso che, con tale definizione, si può intendere ciò che più comunemente, nel mondo delle cryptovalute, viene indicato come un’“exchange platform”. Orbene, è proprio sull’attività esercitata da questi soggetti, che il decreto di recepimento della AMLD4 si sofferma, facendone rientrare l’esercizio sotto vigilanza delle autorità competenti di settore, ossia obbligando il prestatore a conformarsi alla disciplina prevista dalla nuova direttiva (si dice, in questo caso, che l’exchange platform dovrà essere – anch’esso – un “soggetto obbligato”).
L’Italia, dunque, anticipa alcune previsioni di quanto, a livello comunitario, è tuttora in discussione, con riferimento alla proposta di emendamento alla AMLD4 [6], il cui iter legis prevede una lettura in discussione plenaria per ottobre 2017, con la quale si dispone (ad oggi) che, oltre alle exchange platform, anche i prestatori di servizi di portafoglio digitale – i cc.dd. “wallet provider” – che offrono servizi di custodia delle credenziali necessarie per accedere alle valute virtuali, divengano “soggetti obbligati”.
Per l’attività di cambia-valute virtuali, quindi, il D. Lgs. 25 maggio 2017, n. 90 introduce l’obbligo di iscrizione in una sezione speciale del registro dei cambiavalute (intervenendo sulla normativa prevista dal D.lgs 13 agosto 2010, n. 141, articolo 17-bis [7]) registro tenuto dall’OAM come previsto dal TUB (Testo Unico Bancario) [8].
In quanto “soggetto obbligato”, l’exchange platform dovrà pertanto conformarsi agli obblighi di adeguata verifica della clientela (di cui trovate un approfondimento in un mio precedente articolo di giugno 2015), in occasione dell’instaurazione di un rapporto continuativo o, anche, in occorrenza dell’esecuzione di un’operazione occasionale, disposta dal cliente, che comporti la trasmissione o la movimentazione di mezzi di pagamento di importo pari o superiore a 15.000 euro.
Le nuove regole di adeguata verifica della clientela
Con il decreto di recepimento della AMLD4, i soggetti obbligati adottano misure di adeguata verifica della clientela proporzionali all’entità dei rischi di riciclaggio e di finanziamento del terrorismo e dimostrano alle autorità competenti che le misure adottate sono adeguate al rischio rilevato.
Ciò premesso, è utile riprendere quanto avevo scritto nei miei succitati due precedenti articoli di giugno e luglio di un paio di anni fa, al riguardo di ciò che sono gli Obblighi Semplificati di Adeguata Verifica (o SCDD – Simplified Customer Due Diligence) per i prodotti di moneta elettronica, che i più conoscono con la vulgata “moneta elettronica anonima”.
Procediamo con ordine.
Per moneta elettronica si intendono prodotti di natura prepagata, anche ricaricabili, come ad esempio le carte prepagate a spendibilità generalizzata, appartenenti a circuiti internazionali come MasterCard o Visa. Prescindendo dal form factor dello strumento, sono inclusi anche i conti di moneta elettronica privi di una carta plastica ad essi associata, come ad esempio quelli emessi da alcuni intermediari abilitati, per consentire un servizio di P2P Payment in mobilità.
È corretto, dunque, assimilare alla moneta elettronica, la natura dei fondi memorizzati in alcune tipologie di wallet, più precisamente quelli basati su “SVA” o Stored Value Account, emessi sia da banche sia da IMEL [9].
Con moneta elettronica “anonima”, ci si riferisce a quei prodotti che possono essere commercializzati sfruttando le deroghe previste in materia di adeguata verifica della clientela. Per capirsi, siamo nel perimetro di dispensa previsto dalla direttiva (UE) 2015/849 (la c.d. “AMLD4” di cui il il D.Lgs. 25 maggio 2017, n. 90, costituisce il recepimento in Italia) che prevede l’applicazione della SCDD – Simplified Customer Due Diligence. Tali prodotti, caratterizzati per essere a basso rischio di rischio di riciclaggio o di finanziamento del terrorismo, ove limitati ad importi massimi di avvaloramento e ricarica, permettono all’intermediario che li vende, sia esso una banca che un IMEL, quella maggiore semplificazione nel processo di vendita, di cui ho dianzi accennato.
Il decreto di recepimento pubblicato lunedì, coerentemente con il dispositivo comunitario, prevede che i soggetti obbligati, in presenza di un basso rischio di riciclaggio o di finanziamento del terrorismo, possano applicare misure di adeguata verifica della clientela semplificate sotto il profilo dell’estensione e della frequenza degli adempimenti prescritti.
Ai fini dell’applicazione di misure semplificate di adeguata verifica della clientela e fermo l’obbligo di commisurarne l’estensione al rischio rilevato in concreta effettività, i soggetti obbligati tengono conto, tra l’altro, dei seguenti indici di basso rischio: a) indici di rischio relativi a tipologie di clienti, b) indici di rischio relativi a tipologie di prodotti, servizi, operazioni o canali di distribuzione, c) indici di rischio relativi ad aree geografiche.
Le autorità di vigilanza di settore [10] e gli organismi di autoregolamentazione [11] possono individuare ulteriori fattori di rischio da prendere in considerazione al fine di integrare o modificare l’elenco degli indici di rischio dianzi rubricati e stabiliscono misure semplificate di adeguata verifica della clientela da adottare in situazioni di basso rischio.
Nell’esercizio di queste stesse attribuzioni
“le autorità di vigilanza di settore individuano la tipologia delle misure di adeguata verifica semplificata che le banche e gli istituti di moneta elettronica sono autorizzati ad applicare in relazione a prodotti di moneta elettronica, ricorrendo, cumulativamente, le seguenti condizioni:
a) lo strumento di pagamento non è ricaricabile ovvero è previsto un limite mensile massimo di utilizzo di 250 euro che può essere speso solo nel territorio della Repubblica;
b) l’importo massimo memorizzato sul dispositivo non supera i 250 euro;
c) lo strumento di pagamento è utilizzato esclusivamente per l’acquisto di beni o servizi;
d) lo strumento di pagamento non è alimentato con moneta elettronica anonima;
e) l’emittente effettua un controllo sulle operazioni effettuate idoneo a consentire la rilevazione di operazioni anomale o sospette;
f) qualora l’importo memorizzato sul dispositivo sia superiore a 100 euro, tale importo non sia rimborsato o ritirato in contanti.”[12]
Da una prima analisi della norma, una novità che sembrerebbe emergere (l’uso del condizionale è d’obbligo, dovendosi attendere, per queste ed altre disposizioni, misure attuative e regole tecniche) è relativa alla restrizione d’uso dello strumento in moneta elettronica, emesso nel regime di deroga in discussione. Il decreto di recepimento della AMLD4 testé pubblicato, limita l’impiego del dispositivo (sia esso una carta sia esso un wallet impiegato per transazioni di Mobile Payment) al solo acquisto di beni e servizi, con ciò parendosi dover escludere l’impiego del medesimo per operazioni di trasferimento person-to-person (ad esempio il trasferimento di fondi fra due amici o tra genitore e figli). Ove così fosse, non sarebbe più possibile per i soggetti che vendono strumenti di P2P Payment basati su SVA, sfruttare le deroghe precedentemente in vigore. Appare, dunque, necessario riflettere su quali possano essere gli impatti di tali modifiche concernenti l’applicabilità della SCDD, in relazione al processo di onboarding (ad esempio per la registrazione di un wallet) che avviene in absentia.
Come noto, l’impiego della moneta elettronica ha, sino ad oggi, consentito una certa rapidità di registrazione e attivazione per uno strumento di P2P Payment basato su conti SVA, particolarmente apprezzata da quei provider che ne operano la commercializzazione via internet o, addirittura, direttamente dallo smartphone.
Al di sotto dei limiti di soglia previsti con la precedente direttiva antiriciclaggio, la registrazione ed attivazione del wallet era pressoché immediata e, laddove in un secondo momento l’utente avesse voluto ampliare le possibilità d’uso dello strumento, superando i limiti concessi a fronte dell’applicazione della sola SCDD, avrebbe potuto procedere con la corretta identificazione e verifica, rispondendo alle richieste aggiuntive che il provider del servizio di P2P Payment, gli avrebbe richiesto. Con l’applicazione delle misure semplificate di adeguata verifica della clientela, il fornitore del servizio poteva, dunque, mettere in condizione il proprio -nuovo – cliente di effettuare trasferimenti immediati di fondi fra conti in moneta elettronica, subito dopo la procedura di onboarding, portata a termine correttamente nel rispetto del perimetro di deroga concesso.
Con le nuove regole previste dal D.Lgs. 25 maggio 2017, n. 90, venendo meno la possibilità di adottare la SCDD, laddove lo strumento di pagamento non sia utilizzato esclusivamente per l’acquisto di beni o servizi, appare ridursi drasticamente il beneficio offerto a un wallet provider, di procedere con la stessa rapidità nel processo di registrazione ed attivazione del servizio basato su moneta elettronica, sino ad ora offerta. A meno, infatti, di escludere la sola declinazione P2B, dove il trasferimento di fondi attivato dal wallet pagatore è destinato a un wallet beneficiario intestato a un esercizio commerciale ed è finalizzato all’acquisto di un bene, gli altri casi d’impiego (ad esempio un trasferimento di fondi fra amici o parenti) dovrebbero essere preclusi, sino a che non siano applicate le regole di adeguata verifica.
L’assoluzione degli obblighi d’identificazione e l’opportunità offerta da SPID e eIDAS
Il novellato D.lgs 231/2007, prevede che l’obbligo di identificazione si consideri assolto, anche senza la presenza fisica del cliente, in alcuni casi fra cui figura quello previsto per i clienti in possesso di un’identità digitale, di “livello massimo di sicurezza”, nell’ambito del sistema pubblico per la gestione dell’identità digitale (SPID), nonché di un’identità digitale o di un certificato per la generazione di firma digitale, rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento EU n. 910/2014 (c.d. “regolamento eIDAS”) [13].
Purtroppo la norma primaria è priva di ulteriori indicazioni, che diano maggior contezza del “livello massimo di sicurezza” per cui un’identità digitale SPID concessa a un cittadino o a un’impresa, possa bastare, al fine di ritenersi assolto l’obbligo d’identificazione per il prestatore di un servizio di pagamento (o anche, per riprendere quanto oggetto della prima parte di questo articolo, per i prestatori di servizi relativi all’utilizzo di valuta virtuale).
Giova ricordare che in SPID sono definiti tre livelli di sicurezza, corrispondenti ad altrettanti livelli specificati nella ISO-IEC 29115:
a) livello 1 (corrispondente al LoA2 dell’ISO-IEC 29115), che garantisce un buon grado di affidabilità dell’identità accertata nel corso dell’attività di autenticazione. A questo primo livello viene associato un rischio moderato, compatibile con l’impiego di un sistema autenticazione a singolo fattore quale, ad esempio, una password;
b) livello 2 (corrispondente al LoA3 dell’ISO-IEC 29115), che garantisce un alto grado di affidabilità dell’identità accertata durante il processo di autenticazione. A questo secondo livello è associata una tipologia di rischi ragguardevole e compatibile con l’impiego di un sistema di autenticazione a due fattori, non necessariamente basato su certificati digitali;
c) livello 3 (corrispondente al LoA4 dell’ISO-IEC 29115), che garantisce un altissimo grado di affidabilità dell’identità accertata nel corso dell’attività di autenticazione. A questo terzo livello è associata una gamma di rischi altissimi e compatibili con l’impiego di un sistema di autenticazione a due fattori basato su certificati digitali.
Leggendo “in punta di legge” il novellato D.lgs 231/2007 (e non senza astenersi da un briciolo d’interpretazione basata sull’esperienza), potrebbe ritenersi che solo un utente (cittadino o impresa) dotato di un’identità SPID corrispondente al LoA4 dell’ISO-IEC 29115, possa consentire al prestatore di servizi che lo avesse acquisito come cliente (o fosse in corso di farlo) di considerare assolto l’obbligo di identificazione anche senza la presenza fisica del cliente stesso.
Come dire: a livello europeo (anche oltre, quindi, i confini nazionali) si ampia il mercato dell’Identità Digitale e il soggetto obbligato ai sensi della nuova direttiva antiriciclaggio, che potesse fruire dei servizi di broker offerti da un Identity Provider eIDAS compliant, potrebbe ritrovare quella rapidità di un processo di onboarding in absentia, laddove il cliente fosse già dotato di credenziali digitali LoA4, magari basate sul riconoscimento biometrico (… ma questo è un tema che, per chi mi conosce, sa essere un mio vecchio cavallo di battaglia).
Il ricorso a terzi per l’assolvimento degli obblighi di adeguata verifica
Concludo questo primo articolo dedicato ai nuovi obblighi di adeguata verifica disposti con il recepimento della AMLD4, soffermandomi sulla possibilità (ancora prevista …) consentita ai soggetti obbligati di ricorrere a terzi per l’assolvimento degli obblighi in questione.
Definiamo innanzitutto chi sono “i terzi” cui è possibile ricorrere: le banche, Poste italiane S.p.a., gli Istituti di moneta elettronica, gli Istituti di pagamento e gli agenti in attività finanziaria [14] a cui si aggiungono gli intermediari bancari e finanziari aventi sede in altri Stati membri, gli intermediari bancari e finanziari aventi sede in un Paese terzo [15], i professionisti nei confronti di altri professionisti.
Ciò premesso, l’articolo 27 del novellato D.lgs 231/2007 prevede che gli obblighi di adeguata verifica della clientela si considerino assolti, “previo rilascio di idonea attestazione da parte del terzo che abbia provveduto ad adempiervi direttamente, nell’ambito di un rapporto continuativo o dell’esecuzione di una prestazione professionale ovvero in occasione del compimento di un’operazione occasionale”.
È importante precisare che l’attestazione rilasciata dal terzo, deve essere univocamente riconducibile al terzo medesimo e trasmessa dallo stesso al soggetto obbligato che se ne avvale. Inoltre, nell’attestazione deve essere espressamente confermato l’avvenuto corretto adempimento degli obblighi da parte del terzo attestante, per quanto attiene le attività di verifica effettuate e la coincidenza tra il cliente verificato dal terzo e il soggetto a cui l’attestazione è riferita.
Le Autorità di vigilanza di settore possono altresì individuare forme idonee e modalità di attestazione, tenuto conto dell’evoluzione delle tecniche di comunicazione e trasferimento a distanza.
Anche in questo caso, nell’attesa delle misure attuative del decreto di recepimento della AMLD4, si può solo osservare che, ad oggi, le modalità di ricorso a terzi più comunemente impiegate (per esempio il bonifico richiesto dal soggetto obbligato al cliente, proveniente da una banca presso cui il cliente stesso ha in essere un rapporto) non prevedono la specificità richiesta nell’attestazione e, soprattutto, non danno al soggetto obbligato che si avvale del terzo, conferma espressiva dell’avvenuto corretto adempimento degli obblighi da parte del terzo attestante medesimo.
Note
[1] Supplemento ordinario n. 28/L alla GAZZETTA UFFICIALE Serie generale – n. 140 del 19 giugno 2017
[2] La direttiva (UE) 2015/849 è stata pubblicata sull’Official Journal (la Gazzetta Ufficiale dell’Unione Europea) L 141/73 il 5/6/2015; la direttiva vige dal 25/6/2015 e gli Stati membri la recepiscono entro il 26 giugno 2017
[3] Le disposizioni emanate dalle autorità di vigilanza di settore, ai sensi di norme abrogate o sostituite per effetto del
Decreto di recepimento della AMLD4, continuano a trovare applicazione fino al 31 marzo 2018
[4] Articolo 1, comma 2 lettera qq), del decreto legislativo 21 novembre 2007, n. 231, come modificato dal presente decreto di recepimento della AMLD4
[5] Articolo 1, comma 2 lettera ff), del decreto legislativo 21 novembre 2007, n. 231, come modificato dal presente decreto di recepimento della AMLD4
[6] 2016/0208(COD); si veda anche al riguardo “P2P Payment e Blockchain: gli scenari normativi” di R. Garavaglia – 3 ottobre 2016 – Workshop dell’Osservatorio Mobile Payment & Commerce – School of Management Politecnico di Milano
[7] Articolo 8, comma 1 del D.Lgs. 25 maggio 2017, n. 90
[8] Decreto legislativo 1 novembre 1993, n. 385, art. 128-undecies
[9] IMEL: Istituto di Moneta Elettronica: si tratta di un intermediario non bancario abilitato e vigilato, previsto dalla Direttiva 2009/110/EC, trasposta in Italia con il D.lgs 45/2012, che può emettere moneta elettronica e prestare servizi di pagamento
[10] Nell’esercizio delle attribuzioni di cui all’articolo 7, comma 1, lettera c) del D.Lgs. 25 maggio 2017, n. 90
[11] In conformità delle regole tecniche di cui all’articolo 11, comma 2 del D.Lgs. 25 maggio 2017, n. 90
[12] Articolo 23, comma 3 del D.lgs 231/2007, come novellato dal decreto di recepimento della AMLD4
[13] Articolo 19, comma 1, lettera a), punto 2 del D.lgs 231/2007, come novellato dal decreto di recepimento della AMLD4
[14] Gli agenti in attività finanziaria iscritti nell’elenco previsto dall’articolo 128 -quater, commi 2 e 6, TUB, ma solo limitatamente alle operazioni di importo inferiore a 15.000 euro, relative alle prestazioni di servizi di pagamento e all’emissione e distribuzione di moneta elettronica
[15] A patto che tali intermediari siano: 1) tenuti ad applicare misure di adeguata verifica della clientela e di conservazione dei documenti di livello analogo a quelle previste AMLD4; 2) sottoposti a controlli di vigilanza in linea con quelli previsti dal diritto dell’Unione europea