L’ Autorità europea per la lotta al riciclaggio e al finanziamento del terrorismo (AMLA), istituita il 26 giugno 2024 e con sede a Francoforte sul Meno, entrerà progressivamente in funzione secondo una precisa road map e sarà pienamente operativa dal 1° gennaio 2028. La nuova autorità sarà una “Super Financial Intelligence Unit (FIU)” dotata di competenze e poteri di indagine propri, oltre che di coordinamento delle Unità di informazione finanziaria degli Stati membri. Con riguardo ai profili attinenti al trattamento dei dati, l’autorità europea per la protezione dei dati personali ha prescritto, con parere n. 12 del 2021, alcune raccomandazioni.
La Commissione Europea e le Nazioni Unite stimano che ogni anno sono riciclati tra i 715 e i 1.870 miliardi di euro, corrispondenti rispettivamente al 2 e al 5% del PIL mondiale[1]. L’Unione Europea, sin dagli anni ‘90 ha adottato una normativa molto stringente per contrastare il fenomeno, che evolvendosi alla stessa velocità dell’innovazione dell’industria finanziaria, richiede, oltre ad un continuo monitoraggio, un costante aggiornamento del quadro normativo e degli strumenti di indagine a disposizione delle autorità preposte.
L’ultima azione adottata a livello europeo dal Consiglio UE per il contrasto al riciclaggio dei capitali illeciti si è realizzata con l’approvazione, lo scorso 30 maggio, di un pacchetto di misure normative (AML Package) che rafforzano e armonizzano il sistema europeo per il contrasto al riciclaggio e al finanziamento del terrorismo. Si tratta di un intervento atteso da tempo e che si articola nell’adozione:
- del Regolamento 2024/1624 del Parlamento europeo e del Consiglio che, a partire dal 10 luglio 2027, diverrà la disciplina di riferimento degli adempimenti antiriciclaggio per gli operatori finanziari e non finanziari, i cui obblighi vengono estesi a nuovi soggetti obbligati, nello specifico i service provider di criptovalute[2], i commercianti di automobili di lusso, aerei, yacht e di opere d’arte (in precedenza l’obbligo riguardava le sole case d’asta) e le società ed agenti del settore del calcio professionistico[3]. Con il Regolamento si introduce, inoltre, per la prima volta una soglia unica in tutti gli Stati membri di 10.000 euro per i pagamenti tra terzi effettuati senza strumenti tracciabili;
- della Direttiva europea 2024/1640 (Sesta Direttiva Antiriciclaggio), che abroga la direttiva 2015/849 e stabilisce la disciplina, che gli Stati membri dovranno recepire entro il 10 luglio 2027[4], per il rafforzamento della trasparenza attraverso l’implementazione del registro centrale dei titolari effettivi, del registro dei conti bancari e sistemi di pagamento elettronici comprese le informazioni dei titolari di conti di cripto attività, nonché del registro unico delle informazioni immobiliari;
- del Regolamento 2024/1620 istitutivo dell’autorità antiriciclaggio europea (Authority for Anti-Money Laundering and Countering the Financing of Terrorism – AMLA).
L’AMLA, istituita il 26 giugno 2024 e con sede a Francoforte sul Meno, entrerà progressivamente in funzione secondo una precisa road map e sarà pienamente operativa dal 1° gennaio 2028. La nuova autorità sarà una “Super FIU” dotata di competenze e poteri di indagine propri oltre che di coordinamento delle FIU (Financial Intelligence Unit) degli Stati membri. Nel chiaro intento di rafforzare il sistema europeo di contrasto al riciclaggio e di finanziamento al terrorismo, posto a tutela del mercato interno e della prevenzione all’ingresso di capitali criminali nel sistema legale, l’AMLA è dotata di poteri più ampi rispetto alle FIU nazionali. Per tale motivo il Regolamento attribuisce, oltre agli ordinari poteri di indagine e approfondimento di casi transfrontalieri svolti nell’ambito della cooperazione intraeuropea, il potere di vigilanza diretta su 40 istituzioni finanziarie con operatività in due o più Paesi UE e con un elevato rischio di riciclaggio e finanziamento del terrorismo, che saranno selezionati entro il 2027. La previsione di tale specifica competenza deriva dall’esigenza di rafforzare i poteri di indagine in capo ad un’unica autorità rispetto a quanto emerso in recenti episodi di riciclaggio che hanno interessato banche di rilevanza europea ed internazionale operanti nella UE[5]: in questi casi, le autorità nazionali hanno sanzionato gli stessi operatori bancari per operazioni considerate a rischio riciclaggio da esse svolte talora con filali situate all’estero in paesi extra-UE. In questa evenienza, quindi, gli operatori bancari sono stati interessati non già in veste di soggetto detentore del dato cui accedere ma di ente sottoposto ad indagine.
Completa il quadro delle attribuzioni dell’AMLA, cintando le più rilevanti, il potere sanzionatorio diretto previsto dall’art. 22 del Regolamento 2024/1620, di compiere ispezioni on-site presso la sede dell’ente indagato, nel rispetto delle garanzie previste dall’ordinamento del Paese di residenza tra cui, quindi, ove prevista l’autorizzazione da parte dell’autorità giudiziaria, di integrare le norme UE in materia di AML/CFT elaborando norme tecniche e orientamenti, nonché di svolgere verifiche inter pares (peer review) delle attività delle FIU al fine di rafforzarne la coerenza e l’efficacia e individuare le best practices.
Si tratta senza dubbio di un vero e proprio ruolo di impulso svolto dall’AMLA non soltanto nell’ambito del coordinamento delle indagini in sinergia con le FIU dei singoli Stati membri, bensì come ruler nella lotta all’antiriciclaggio e al finanziamento del terrorismo che le viene affidata dall’articolo 55 del Regolamento 1620/24 ove si prevede una collaborazione attiva con le istituzioni rappresentative dell’UE nella fase ascendente del processo decisionale europeo in materia di antiriciclaggio, oltre a quella orizzontale e paritaria, con le altre autorità preposte alla tutela del sistema finanziario ed economico dell’Unione. Sotto il primo aspetto, il citato articolo 55, prevede espressamente che l’AMLA possa adottare, anche di propria iniziativa, pareri rivolti al Parlamento europeo, al Consiglio e alla Commissione, oltre allo svolgimento di attività di consulenza. Con riguardo alla collaborazione con le altre istituzioni la norma di riferimento è l’articolo 94, che nello spirito di favorire la circolarità delle informazioni, la condivisione delle competenze nonché di cooperare nelle indagini, prevede la possibilità di stipulare accordi con l’OLAF, Europol, Eurojust e la Procura europea (EPPO. L’accordo di lavoro (working arrangement) tra gli enti interessati, può prevedere, eventualmente, la possibilità di distaccare ufficiali di collegamento nelle rispettive sedi di servizio.
Di rilievo è, inoltre, quanto previsto dall’articolo 54, che attribuisce all’Agenzia un ruolo di armonizzare gli aspetti applicativi della normativa europea antiriciclaggio, attraverso l’adozione di orientamenti e raccomandazioni nei confronti delle FIU nazionali, delle autorità di supervisione e dei soggetti obbligati, per assicurare “l’applicazione comune, uniforme e coerente del diritto dell’Unione”. Resta fermo che, quale regola generale prevista dall’art. 263 del TFUE, contro i provvedimenti adottati dall’autorità è sempre ammesso il ricorso alla Corte di Giustizia Europea, cui si affianca una tutela amministrativa, eventuale e non costituente condizione di procedibilità, della richiesta di revisione dell’atto alla Commissione amministrativa di riesame, composta da 5 membri e di cui non possono far parte coloro che abbiano partecipato all’adozione del provvedimento oggetto di impugnazione. Va osservato che, come specificamente previsto dall’art. 28 il controllo della Corte di Giustizia Europea si estende al merito in caso di impugnazione di sanzioni pecuniarie, prevedendo che “Essa può annullare o ridurre o aumentare l’importo della sanzione pecuniaria o della penalità di mora imposta.”
Sotto il profilo degli strumenti di indagine, oltre all’accesso al registro dei titolari effettivi è senza dubbio rilevante la facoltà di accesso alle informazioni dei registri dei conti bancari presso gli altri Stati membri, che sarà disponibile attraverso il sistema di interconnessione dei registri dei conti bancari (SIRCB), istituito dalla Sesta Direttiva antiriciclaggio (2024/1640). I registri centrali degli Stati membri contenenti informazioni sulla titolarità effettiva, già disciplinati dalla direttiva (UE) 2018/843, sono già interconnessi attraverso la piattaforma centrale europea istituita dalla direttiva (UE) 2017/1132. Per completezza, va rilevato che in Italia il registro dei titolari effettivi è stato sospeso e la questione è ad oggi pendente davanti alla Corte di Giustizia Europea su sollecitazione del Consiglio di Stato che, con ordinanza n. 8245 del 2024, ha proposto il rinvio pregiudiziale ex articolo 267 TFUE per accertare la compatibilità della normativa che consente l’accesso alle informazioni sulla titolarità effettiva di un trust o di un istituto giuridico affine con le norme della Carta dei diritti fondamentali e dell’articolo 6 della Convenzione europea dei diritti dell’uomo.
La delicatezza dei dati e delle informazioni richiederà senza dubbio maggiori cautele con riguardo all’interconnessione dei registri dei rapporti finanziari a livello centralizzato (SIRCB, che secondo le previsioni sarà operativo entro il 10 luglio 2029), registri che gli Stati membri erano tenuti ad istituire già ai sensi dell’articolo 32 bis della Direttiva 2015/849 e ai quali avranno accesso diretto soltanto le FIU nazionali e l’AMLA. Le informazioni “minime” che popoleranno i registri dei dati finanziari sono ora previste dall’articolo 16 della Direttiva 2024/1640, vale a dire i dati anagrafici degli intestatari di conti bancari, compresi quelli dotati di IBAN virtuali, di conti di pagamento, conti titoli, conti di cripto-attività e dei locatari di cassette di sicurezza.
Con riguardo ai profili attinenti al trattamento dei dati, l’autorità europea per la protezione dei dati personali ha prescritto, con parere n. 12 del 2021, alcune raccomandazioni in relazione al complessivo “AML Package” ed altre specifiche indirizzate alle FIU nazionali e all’AMLA. Tali osservazioni sono state recepite nel testo finale della Sesta Direttiva antiriciclaggio e del Regolamento 2024/1620. In particolare, il Garante europeo ribadendo i principi di carattere generale di necessità, proporzionalità e certezza delle regole, ha fissato misure organizzative e tecniche specifiche volte a prevenire il rischio di trattamenti illeciti dei dati e garantire la loro riservatezza, prima tra tutte la raccomandazione, recepita nell’art. 98 del Regolamento AMLA, di richiamare espressamente i Regolamenti (UE) 2018/1725 e l’articolo 6 del Regolamento (UE) 2016/679. Più specificamente, il Regolamento 2018/1725, recante norme “Sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati” prevede all’articolo 33 che “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare, in modo accidentale o illegale, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata di dati personali trasmessi, conservati o comunque trattati o dall’accesso agli stessi”. Tali misure, quindi, dovranno prevenire il rischio di divulgazione o propalazione non autorizzata delle informazioni. Infine, il Garante Europeo ha stabilito, inoltre, che in osservanza del principio di proporzionalità e di finalità del trattamento la configurazione più confacente dei poteri previsti in capo alle FIU è “investigation based” piuttosto che “intelligence based”.
Per quanto riguarda le misure organizzative, il Garante richiede che siano specificate le categorie di impiegati (escluso, quindi, un accesso generalizzato alle informazioni) che saranno deputati al trattamento delle informazioni attinenti alle banche dati e altre disponibili per l’Autorità (compresi quindi i registri della titolarità effettiva e dei rapporti bancari), i quali oltre a possedere elevati standard di professionalità dovranno essere sottoposti a un “integrity screening” (previsto dall’art. 16 del Reg. AMLA e dal preambolo della Sesta Direttiva).
Sotto il profilo delle misure di sicurezza, anche di natura informatica, si richiede, tra gli altri, che l’accesso avvenga sulla base del principio del “need to know”, inteso come specificazione del principio di necessità e proporzionalità, e rispetto al quale l’AMLA dovrà specificare le linee guida e le policy interne per il trattamento dei dati, che dovranno essere previamente approvate dalla Commissione Europea. Sarebbe opportuno che tali policy interne prevedano una profilazione degli accessi a seconda delle finalità (amministrative, penali o di cooperazione) e la previsione di una struttura di audit per il controllo della legittimità degli accessi. Inoltre, dovrà essere previsto un termine massimo di conservazione, da adottare anche da pare delle autorità antiriciclaggio nazionali, che tenga conto delle esigenze di indagine e dell’utilizzo delle informazioni raccolte nell’ambito dell’applicazione delle misure di adeguata verifica della clientela da parte dei soggetti obbligati.
Al di là di quelli che saranno gli sviluppi operativi del sistema di interconnessione europeo dei dati bancari, va osservato che già alcuni Paesi europei utilizzano da tempo un sistema di censimento centralizzato dei rapporti bancari e finanziari. Ad esempio, in Italia è operativo dal 2006 l’Archivio dei rapporti finanziari, nato per il contrasto all’evasione fiscale e da subito accessibile ad indagini di carattere penale, valutario, antiriciclaggio e per l’applicazione delle misure di prevenzione patrimoniale, ed esteso in tempi più recenti anche per finalità di tutela di diritti di natura privata[6], preceduto dall’inattuata anagrafe dei conti e dei depositi prevista dall’articolo 20 della legge n. 413 del 1991. Anche in Francia esiste dal 1971 il “Fichier national des comptes bancaires et assimilés” (FICOBA) a supporto delle attività fiscali e di indagine penale.
A prescindere dalle modalità tecniche di interconnessione ed accesso al sistema SIRCB, sarebbe auspicabile l’adozione a livello europeo di un sistema comune di colloquio telematico tra autorità e intermediari finanziari in relazione alla successiva fase di approfondimento e acquisizione dei dati finanziari. Una ipotesi potrebbe essere quella di riutilizzare lo schema basato sul linguaggio XML già utilizzato a livello OCSE ed Europeo (Direttiva DAC2, 2014/107/UE) per lo scambio automatico di informazioni finanziarie tra autorità fiscali e intermediari, denominato “Common Reporting Standard”. Peraltro, già le autorità fiscali italiane e, più di recente altre europee, utilizzano dal 2006 un sistema di colloquio telematico con le banche e gli altri intermediari finanziari basato su tale standard e valido ai fini legali mediante la sottoscrizione delle risposte con la firma digitale e che consente di svolgere analisi avanzate dei dati, soprattutto in caso di indagini molto complesse per numero dei soggetti coinvolti e numerosità delle informazioni da gestire[7]. Peraltro, la stessa FIU italiana utilizza il formato XML per gli approfondimenti di indagine con gli intermediari finanziari, mentre le altre autorità inquirenti della magistratura non hanno adottato ancora uno standard simile, non aderendo al momento a tale possibilità, prevista dall’articolo 11-bis del decreto-legge n. 201/2011.
Soltanto le esigenze operative dell’AMLA potranno mostrare in futuro l’opportunità di adottare un’architettura standardizzata a livello europeo per gli approfondimenti di indagine.
Luigi Stefanucci
[1] Cfr. https://www.consilium.europa.eu/it/infographics/anti-money-laundering/ consultato il 7/11/2024.
[2] Per completezza, va osservato che già nel 2023 il Consiglio ha adottato con Regolamenti 2023/1114 e 2023/1113 la disciplina europea sul mercato della criptovalute.
[3] Va osservato che per la prima volta viene adottato un regolamento anziché una direttiva quale strumento di disciplina antiriciclaggio, al fine di garantire l’uniforme applicazione delle norme in tutta la UE, eliminando possibili elusioni, lacune e frammentazioni normative nell’applicazione delle misure in caso ai soggetti obbligati.
[4] Fatta eccezione per l’articolo 74, relativamente all’accesso al registro dei titolari effettivi, da recepire entro il 10 luglio 2025, nonché gli articoli 11, 12,13 e 15 entro il 10 luglio 2026 e all’articolo 18 entro il 10 luglio 2029 con riguardo all’accesso informazioni di natura immobiliare.
[5] Tale aspetto trova menzione nel piano d’azione volto a contrastare il riciclaggio di denaro e il finanziamento del terrorismo, approvato nella seduta ECOFIN del 4 dicembre 2018.
[6] Si fa riferimento, in particolare, alla possibilità di accesso per la ricerca dei beni da pignorare ai sensi dell’art. 491-bis del c.p.c.
[7] Cfr., “Fisco Oggi”, 26 marzo 2009, https://www.fiscooggi.it/rubrica/attualita/articolo/indagini-finanziarie-piu-efficienti-lanalisi-delle-risposte . Va osservato, per completezza, che l’opportunità di utilizzare tale
