Il decreto Semplificazioni, all’articolo 27, introduce “Misure per la semplificazione e la diffusione della firma elettronica avanzata e dell’identità digitale per l’accesso ai servizi bancari”.
Nel seguito vengono descritte sinteticamente le novità legislative e operative, che contribuiscono a migliorare la sicurezza del mondo virtuale e a ridurre il rischio di furto di identità derivante dall’incontrollabile circolazione delle copie digitali dei documenti di identità.
Lo scopo del Semplificazioni per l’accesso ai servizi bancari via FEA
Il primo elemento da sottolineare è che non vengono modificate le regole tecniche stabilite nel Titolo V del DPCM 22 febbraio 2013 e i requisiti della firma elettronica avanzata (FEA) stabiliti nell’articolo 56, comma 1 del citato DPCM.
Lo scopo del legislatore è quello di ampliare le modalità di identificazione dell’utente, ricorrendo a ulteriori soluzioni, sicure e affidabili, già riconosciute nell’ordinamento nazionale.
La modifica attuata con il comma 1, lettera a) consente una procedura di identificazione elettronica basata su credenziali che soddisfano i requisiti di sicurezza previsti nell’articolo 4 della cosiddetta direttiva PSD2 relativa ai servizi di pagamento nel mercato interno (Regolamento delegato (UE) 2018/389 di integrazione della Direttiva (UE) 2015/2366). Queste credenziali sono assegnate dal soggetto che eroga la firma elettronica avanzata all’utente richiedente. Quest’ultimo è già identificato dall’intermediario bancario o finanziario, in conformità all’articolo 19 del D.Lgs. 21 novembre 2007, n. 231 che agisce per ottemperare all’obbligo di adeguata verifica della clientela.
Il comma 1, lettera b) autorizza la possibilità di identificare l’utente che richiede la firma elettronica avanzata mediante SPID. In questo caso si deve utilizzare almeno il secondo livello di sicurezza informatica denominato comunemente “SPID di livello 2”.
Il comma 1, lettera c) introduce la possibilità di identificare l’utente che richiede la firma elettronica avanzata mediante un sistema stabilito ai sensi dell’articolo 9 del regolamento europeo 910/2014 (eIDAS). Il chiaro riferimento è agli schemi/regimi di identificazione elettronica che gli Stati membri hanno attivato attraverso il cosiddetto processo di notifica. Questo processo ha, tra l’altro, lo scopo di garantire l’interoperabilità tra le diverse identità digitali comunitarie.
L’Italia ha notificato lo SPID e la CIE, essendo entrambi questi strumenti di operare in modo sicuro per l’identificazione dell’utente nell’erogazione della FEA.
Il comma 2 obbliga il soggetto che eroga soluzioni di firma elettronica avanzata alla conservazione per venti anni delle registrazioni informatiche (i log) che si riferiscono al processo di identificazione mediante il quale è stata rilasciata la FEA. Questa norma primaria amplia quanto stabilito nell’articolo 57, comma 1, lettera b) del DPCM 22 febbraio 2013.
Il comma 3 modifica alcune previsioni del D.Lgs. 21 novembre 2007, n. 231 recante “Attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopi di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione”.
Le novità per firma elettronica avanzata in banca e identità digitale del correntista
Le modifiche sono riportate nel seguito. Le abrogazioni sono indicate con carattere barrato, le modifiche con carattere grassetto.
articolo 1, comma 2, lettera n)
n) dati identificativi: il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza anagrafica, gli estremi del documento di identificazione e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale;
articolo 18, comma 1, lettera a)
a) l’identificazione del cliente e la verifica della sua identità attraverso riscontro di un documento d’identità o di altro documento di riconoscimento equipollente ai sensi della normativa vigente nonché sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Le medesime misure si attuano nei confronti dell’esecutore, anche in relazione alla verifica dell’esistenza e dell’ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente;
l’identificazione del cliente e la verifica della sua identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Le medesime misure si attuano nei confronti dell’esecutore, anche in relazione alla verifica dell’esistenza e dell’ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente;
articolo 19, comma 1, lettera a), punto 2)
2) per i clienti in possesso di un’identità digitale, di livello massimo di sicurezza, nell’ambito del Sistema di cui all’articolo 64 del predetto decreto legislativo n. 82 del 2005 e successive modificazioni, e della relativa normativa regolamentare di attuazione, nonché di un’identità digitale o di un certificato per la generazione di firma digitale, rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento EU n. 910/2014;
per i clienti in possesso di un’identità digitale, con livello di garanzia almeno significativo, nell’ambito del Sistema di cui all’articolo 64 del predetto decreto legislativo n. 82 del 2005 e successive modificazioni, e della relativa normativa regolamentare di attuazione, nonché di un’identità digitale con livello di garanzia almeno significativo, rilasciata nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall’Agenzia per l’Italia digitale;
articolo 19, comma 1, lettera a), dopo il numero 4)
4-bis) per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall’articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all’obbligo di identificazione. Tale modalità di identificazione e verifica dell’identità può essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonché a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l’informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento;
articolo 19, comma 1, lettera b)
b) la verifica dell’identità del cliente, del titolare effettivo e dell’esecutore richiede il riscontro della veridicità dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all’atto dell’identificazione, solo laddove, in relazione ad essi, sussistano dubbi, incertezze o incongruenze. Il riscontro può essere effettuato attraverso la consultazione del sistema pubblico per la prevenzione del furto di identità di cui decreto legislativo 11 aprile 2011, n. 64. La verifica dell’identità può essere effettuata anche attraverso il ricorso ad altre fonti attendibili e indipendenti tra le quali rientrano le basi di dati, ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione, riferibili ad una pubblica amministrazione nonché quelle riferibili a soggetti privati autorizzati al rilascio di identità digitali nell’ambito del sistema previsto dall’articolo 64 del decreto legislativo n. 82 del 2005 ovvero di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea a norma dell’articolo 9 del regolamento EU n. 910/2014. Con riferimento ai clienti diversi dalle persone fisiche e ai fiduciari di trust espressi, la verifica dell’identità del titolare effettivo impone l’adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprietà e di controllo del cliente;
Queste ultime modifiche hanno l’obiettivo di snellire, con una maggiore sicurezza del procedimento, il cosiddetto onboarding dei clienti che vogliono disporre di strumenti di pagamento digitali. Queste nuove regole operative favoriscono le azioni “ a distanza”, divenute fondamentali con la pandemia ancora in corso, ma senza ridurre i presidi di sicurezza e i controlli antiriciclaggio.
Dalla lettura delle modifiche si rileva in modo chiaro che non è più necessario riscontrare il documento di identità e i suoi estremi, questo senza contravvenire agli obblighi di settore.
Le altre modifiche sopra descritte aggiornano le regole introducendo fattispecie operative conformi al regolamento eIDAS e alle regole dell’antiriciclaggio. Viene esplicitato il principio, già adottato dai prestatori di servizi fiduciari qualificati ai sensi del regolamento eIDAS che una identificazione effettuata per il tramite dell’effettuazione di un bonifico è valida se sono soddisfatti i requisiti richiesti nelle modifiche normative.
Conclusioni
Le conclusioni possono essere quelle del Legislatore che nella relazione illustrativa commenta, in chiusura della descrizione dei principi dell’articolo 27 del DL 76/2020: “In definitiva, le modifiche introdotte permettono di adempiere agli obblighi di adeguata verifica anche sfruttando le potenzialità del FINTECH riducendo, così, notevolmente i rischi di collusione, induzione o costrizione dei soggetti preposti alla identificazione e verifica dell’identità dei clienti, nonché quelli connessi all’archiviazione e circolazione delle immagini digitali dei documenti di identità ovvero al loro facile riutilizzo per furti di identità o interposizione di persona.”
