- Introduzione
In data 7 luglio 2022, l’Autorità Garante per la Protezione dei Dati Personali ha reso un parere favorevole (il n. 241/2022) su richiesta del Ministero dell’economia e delle finanze, in merito alla proposta di modifica del d.lgs. 231 del 2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, volto all’istituzione di una banca dati centralizzata, presso gli organismi di autoregolamentazione[1].
Ebbene, l’oggetto della richiesta del Ministero concerneva il Capo II, Sezione III, Titolo II del menzionato decreto, ove all’art. 34-bis, rubricato “Banche dati informatiche presso gli organismi di autoregolamentazione”, si tratteggiava l’ipotesi di poter disporre l’istituzione di archivi che avrebbero conservato atti utili ai fini della valutazione del rischio di riciclaggio. L’Autorità, dunque, una volta rammentate le tempistiche decennali di conservazione, tutt’ora in vigore, degli atti in oggetto, ha specificato la limitazione di campo quanto meno relativa all’obiettivo della modifica in discussione. Difatti, in contemperazione del principio di proporzionalità, l’Autorità ha accolto con favore la proposta limitatamente alla conservazione in banca dati «non determinandosi un obbligo di conservazione diverso per contenuto né per termine».
- L’impiego di sistemi automatizzati
Oltre ai chiarimenti concernenti le modalità di conservazione, è interessante considerare il riferimento che il Garante rivolge al tema dell’impiego di sistemi automatizzati a supporto delle valutazioni dei professionisti degli organismi di autoregolamentazione che vorranno dotarsi di dette banche dati. Difatti, l’art. 34-bis comma 4 introduce la possibilità, previe le opportune cautele, di utilizzo di sistemi automatizzati a supporto delle valutazioni umane, per evitare errori, distorsioni o discriminazioni.
Quest’ultimo aspetto merita un’ulteriore riflessione non solo relativamente all’incompletezza della fonte che regolamenterebbe una tale modalità, ma anche con riferimento all’innovatività di una tale proposta. Con riguardo al primo problema, come ha anche rammentato l’Autorità Garante, l’eventuale ricorso di sistemi automatizzati che, logicamente, tratterebbero anche categorie particolari di dati personali quali, ad esempio, dati relativi a reati, ad alto contenuto profilativo, necessiterebbe di una solida base giuridica, almeno di normazione secondaria, ex art. 9 ed ex art. 22 del Regolamento.
Inoltre, con riguardo al secondo elemento, l’esigenza di automatizzare il controllo delle transazioni si inserisce in un solco che istituti di credito e organismi internazionali stanno più o meno timidamente tracciando. Tale proposta non è assolutamente un caso isolato, in quanto negli ultimi anni sono nati nel globo diversi progetti c.d. “suptech”, ossia progetti supportati da istituiti finanziari e organismi di sorveglianza che prevedono il superamento dei modelli tradizionali di analisi delle transazioni, e l’utilizzo dei nuovi, che si basano sui dati. L’importanza di un miglioramento continuo delle modalità di monitoraggio delle transazioni finanziarie della clientela non è mai stata così cruciale come nell’era digitale. Difatti, come chiarito dall’EBA, l’Autorità Bancaria Europea, strumenti avanzati di analisi dei dati, quali algoritmi e intelligenza artificiale, possono rappresentare, se opportunamente sorvegliati, dei validi alleati nella lotta al riciclaggio[2]. Dunque, la velocità, la quantità di dati che si riesce ad analizzare in poco tempo, l’efficienza nel risultato, sono tutti elementi che debbono essere positivamente considerati nel paventare la possibilità di utilizzare sistemi automatizzati a supporto di banche dati centralizzate. In tal senso, anche il GAFI[3] – l’organismo intergovernativo che si occupa della lotta al riciclaggio e al finanziamento illecito del terrorismo – ha avuto occasione di sottolineare la necessità di un accesso da parte di organi si supervisione e degli istituti finanziari a dette tecnologie, auspicando perfino una condivisione a largo raggio di dati tra questi due soggetti, in quanto si riconosce come big data analytics permettano di integrare diverse informazioni provenienti da differenti fonti.
- Conclusione
Il tema che interessa mostra come sia necessario il legame tra la materia della protezione dei dati personali e quella del contrasto al riciclaggio, come, peraltro, è stato precedentemente evidenziato anche da diverse autorità europee quale Article 29 Working Party[4], lo European Data Protection Board (EDPB)[5], lo European Data Protection Supervisor (EDPS)[6], e la European Banking Authority[7]. Il dato comune che emerge è l’impellente bisogno di un raccordo tra i due regimi nell’ottica di garantire una cornice interpretativa comune in tutta l’Unione.
Il parere positivo dell’Autorità Garante fa tutto sommato ben sperare per la digitalizzazione di un settore come quello finanziario, dove la quantità di informazioni è enorme, così come è forte la spinta all’innovazione. Il connubio di questi due elementi, qualora tutte le garanzie in materia di dati personali vengano rispettate, pare necessario per creare un sistema finanziario virtuoso ancor più orientato alla lotta contro il riciclaggio di denaro. D’altro canto, tuttavia, la protezione dei dati personali non è l’unico aspetto che dovrà essere considerato in merito alla possibilità di impiegare sistemi automatizzati.
La scelta di campo hic et nunc considerata dovrà in futuro essere integrata con la regolazione dell’utilizzo stesso di questi sistemi: un aspetto ancora in discussione, com’è noto, dinanzi alle istituzioni europee[8]. In conclusione, due paiono, in particolare, gli aspetti da dover considerate. Se da un lato, l’impatto sui diritti fondamentali personali è un elemento tutt’altro che residuale vista la gran mole di categorie particolari di dati personali a disposizione, dovranno essere altresì adeguatamente soppesati anche gli obblighi di compliance cui gli organismi di regolamentazione e gli istituti di credito dovranno sottostare in merito all’utilizzo di tecnologie avanzate nell’analisi di fattori di rischio nelle transazioni.
Il momento attuale pare quanto meno opportuno per poter chiarire talune scelte di policy che orizzontalmente riguardano i dati personali, l’antiriciclaggio, l’intelligenza artificiale, sicché sono attualmente in discussione dinanzi alle istituzioni europee due importanti riforme che riguardano le ultime due: da un lato il c.d. AML Package[9] e l’AI Act[10]. Pertanto, oltre alle spinte di hard law da più parti sostenute, pare opportuno paventare l’ipotesi di impiego di strumenti di armonizzazione che abbiano natura di soft law. Considerando la delicatezza delle operazioni di trattamento e le caratteristiche particolari del settore finanziario altamente regolamentato, senza pregiudicare le singole competenze, un orientamento congiunto emanato da EDPB, EDPS e EBA sembra essere più auspicabile in un quadro normativo in evoluzione[11].
[1] Autorità Garante per la Protezione dei dati personali, Parere sulla proposta di modifica del d.lgs. 231 del 2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, volto all’istituzione di una banca dati, 7 luglio 2022.
[2] EBA, Opinion on the use of innovative solutions by credit and financial institutions in the customer due diligence process, 2018.
[3] FAFT, Opportunities and Challenges of New Technologies for AML/CFT, 2021.
[4] Article 29 Data Protection Working Party, Opinion 14/2011 on data protection issues related to the prevention on money laundering and terrorist financing, 13 giugno 2011.
[5] Si veda, ad esempio, la lettera di Andrea Jelinek, Chair dell’EDPB indirizzata a Ms. Mairead McGuiness, European Commissioner per Financial services, financial stability and Capital Markets Union and Mr. Didier Reynders, e
Mr. Didier Reynders, European Commissioner for Justice, del 19 maggio 2021.
[6] EDPS, Opinion 12/2021 on the anti-money laundering and countering the financing of terrorism (AML/CFT) package of legislative proposals, 22 settembre 2021.
[7] European Banking Authority, Final Report on Guidelines on the characteristics of a Risk‐based Supervision under Article 48(10) of Directive (EU) 2015/849, 2021.
[8] Sempre in questo Blog, si segnala l’analisi di F. Bagni, Il credit scoring bancario alla prova dell’AI Act: la proposta della Commissione europea e il parere della Banca centrale europea, 10 marzo 2022.
[9] Anti-money laundering and countering the financing of terrorism legislative package, pubblicato nel 2021, contiene quattro proposte di modifica che riguardano la creazione di un’unica autorità, la creazione di un nuovo sistema di contrasto del finanziamento del terrorismo, ossia la proposta di Regolamento UE 2021/0239, la riforma della Direttiva UE 2015/849, e, infine, la riforma del Regolamento UE 2015/847.
[10] Proposal for a Regulation of the European Parliament and of the Council Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts, 2021/0106.
[11] Si veda I. Kindylidi, The Data Protection Implications of the EU AML Framework: A Critical Overview & the Case of AI, in Annual Privacy Forum, 2022, 37-49.