Art. 27
Misure per la semplificazione e la diffusione della firma elettronica
avanzata e dell'identita' digitale per l'accesso ai servizi bancari
1. Ferma restando l'applicazione delle regole tecniche di cui
all'articolo 20, comma 3, del decreto legislativo 7 marzo 2005, n.
82, per il rilascio della firma elettronica avanzata, nel rispetto
della disciplina europea, si puo' procedere alla verifica
dell'identita' dell'utente anche tramite uno dei seguenti processi:
a) processi di identificazione elettronica e di autenticazione
informatica basati su credenziali che assicurano i requisiti previsti
dall'articolo 4 del Regolamento Delegato (UE) 2018/389 della
Commissione del 27 novembre 2017 gia' attribuite, dal soggetto che
eroga la firma elettronica avanzata, al medesimo utente identificato
ai sensi dell'articolo 19 del decreto legislativo 21 novembre 2007,
n. 231;
b) processi di identificazione elettronica e di autenticazione
informatica, a due fattori, basati su credenziali gia' rilasciate
all'utente nell'ambito del Sistema Pubblico per la gestione
dell'Identita' Digitale di cittadini e imprese di cui all'articolo 64
del decreto legislativo 7 marzo 2005, n. 82;
c) processi di identificazione elettronica e di autenticazione
informatica, basati su credenziali di livello almeno
«significativo»,nell'ambito di un regime di identificazione
elettronica notificato, oggetto di notifica conclusa con esito
positivo, ai sensi dell'articolo 9 del regolamento (UE) n. 910/2014
di livello almeno «significativo».
2. I soggetti che erogano soluzioni di firma elettronica avanzata
conservano per almeno venti anni le evidenze informatiche del
processo di autenticazione in base al quale e' stata attribuita la
firma elettronica avanzata.
3. Al decreto legislativo 21 novembre 2007, n. 231, sono apportate
le seguenti modificazioni:
a) all'articolo 1, comma 2, lettera n), le parole«gli estremi del
documento di identificazione»sono soppresse;
b) all'articolo 18, comma1, lalettera a) e' sostituita dalla
seguente: «a) l'identificazione del cliente ela verificadella sua
identitasulla base di documenti, dati o informazioni ottenuti da una
fonte affidabile e indipendente. Le medesime misure si attuano nei
confronti dell'esecutore, anche in relazione alla verifica
dell'esistenza e dell'ampiezza del potere di rappresentanza in forza
del quale opera in nome e per conto del cliente;»;
c) all'articolo 19, comma 1:
1) alla lettera a), il numero 2) e' sostituito dal seguente:
«2) per i clienti in possesso di un'identita' digitale, con livello
di garanzia almeno significativo, nell'ambito del Sistema di cui
all'articolo 64 del predetto decreto legislativo n. 82 del 2005, e
della relativa normativa regolamentare di attuazione, nonche' di
un'identita' digitale con livello di garanzia almeno significativo,
rilasciata nell'ambito di un regime di identificazione elettronica
compreso nell'elenco pubblicato dalla Commissione europea a norma
dell'articolo 9 del regolamento UE n. 910/2014, o di un certificato
per la generazione di firma elettronica qualificata o, infine,
identificati per mezzo di procedure di identificazione elettronica
sicure e regolamentate ovvero autorizzate o riconosciute dall'Agenzia
per l'Italia digitale;»;
2) alla lettera a), dopo il numero 4) e' inserito il seguente:
«4-bis) per i clienti che, previa identificazione elettronica basata
su credenziali che assicurano i requisiti previsti dall'articolo 4
del regolamento delegato (UE) 2018/389 della Commissione del 27
novembre 2017, dispongono un bonifico verso un conto di pagamento
intestato al soggetto tenuto all'obbligo di identificazione. Tale
modalita' di identificazione e verifica dell'identita' puo' essere
utilizzata solo con riferimento a rapporti relativi a carte di
pagamento e dispositivi analoghi, nonche' a strumenti di pagamento
basati su dispositivi di telecomunicazione, digitali o
informatici,con esclusione dei casi in cui tali carte, dispositivi o
strumenti sono utilizzabili per generare l'informazione necessaria a
effettuare direttamente un bonifico o un addebito diretto verso e da
un conto di pagamento;»;
3) alla lettera b) prima della parola «laddove» e' inserita la
seguente: «solo».
3-bis. All'articolo 1, comma 2, del decreto-legge 24 gennaio 2015,
n. 3, convertito, con modificazioni, dalla legge 24 marzo 2015, n.
33, la parola: «2020» e' sostituita dalla seguente: «2021».
Riferimenti normativi
- Si riporta il testo dell'articolo 20, comma 3, del
citato decreto legislativo 7 marzo 2005, n. 82:
«Art. 20 (Validita' ed efficacia probatoria dei
documenti informatici). - 1. - 1-quater. (Omissis).
2. abrogato.
3. Le regole tecniche per la formazione, per la
trasmissione, la conservazione, la copia, la duplicazione,
la riproduzione e la validazione dei documenti informatici,
nonche' quelle in materia di generazione, apposizione e
verifica di qualsiasi tipo di firma elettronica, sono
stabilite con le Linee guida.
4. - 5-bis. (Omissis).».
- Il Regolamento Delegato (UE) 2018/389 della
Commissione del 27 novembre 2017 che integra la direttiva
(UE) 2015/2366 del Parlamento europeo e del Consiglio per
quanto riguarda le norme tecniche di regolamentazione per
l'autenticazione forte del cliente e gli standard aperti di
comunicazione comuni e sicuri, e' pubblicato nella GUUE L
69 del 13 marzo 2018.
- Per il riferimento all'art. 64 del citato decreto
legislativo 7 marzo 2005, n. 82, si vedano i riferimenti
normativi all'art. 25.
- Il Regolamento (UE) N. 910/2014 del Parlamento
europeo e del Consiglio del 23 luglio 2014 in materia di
identificazione elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato interno e che abroga
la direttiva 1999/93/CE e' pubblicato nella GUUE L 257 del
28 agosto 2014.
- Si riporta il testo degli articoli 1, comma 2,
lettera n), 18 e 19 del decreto legislativo 21 novembre
2007, n. 231 (Attuazione della direttiva 2005/60/CE
concernente la prevenzione dell'utilizzo del sistema
finanziario a scopo di riciclaggio dei proventi di
attivita' criminose e di finanziamento del terrorismo
nonche' della direttiva 2006/70/CE che ne reca misure di
esecuzione), pubblicato nella Gazzetta Ufficiale 14
dicembre 2007, n. 290, S.O., come modificato dalla presente
legge:
«Art. 1 (Definizioni). - 1. (Omissis).
2. Nel presente decreto s'intendono per:
(Omissis).
n) dati identificativi: il nome e il cognome, il
luogo e la data di nascita, la residenza anagrafica e il
domicilio, ove diverso dalla residenza anagrafica, e, ove
assegnato, il codice fiscale o, nel caso di soggetti
diversi da persona fisica, la denominazione, la sede legale
e, ove assegnato, il codice fiscale;
(Omissis).
3. (Omissis)».
«Art. 18 (Contenuto degli obblighi di adeguata
verifica). - 1. Gli obblighi di adeguata verifica della
clientela si attuano attraverso:
a) l'identificazione del cliente e la verifica della
sua identita' sulla base di documenti, dati o informazioni
ottenuti da una fonte affidabile e indipendente. Le
medesime misure si attuano nei confronti dell'esecutore,
anche in relazione alla verifica dell'esistenza e
dell'ampiezza del potere di rappresentanza in forza del
quale opera in nome e per conto del cliente;
b) l'identificazione del titolare effettivo e la
verifica della sua identita' attraverso l'adozione di
misure proporzionate al rischio ivi comprese, con specifico
riferimento alla titolarita' effettiva di persone
giuridiche, trust e altri istituti e soggetti giuridici
affini, le misure che consentano di ricostruire, con
ragionevole attendibilita', l'assetto proprietario e di
controllo del cliente;
c) l'acquisizione e la valutazione di informazioni
sullo scopo e sulla natura del rapporto continuativo o
della prestazione professionale, per tali intendendosi,
quelle relative all'instaurazione del rapporto, alle
relazioni intercorrenti tra il cliente e l'esecutore, tra
il cliente e il titolare effettivo e quelle relative
all'attivita' lavorativa, salva la possibilita' di
acquisire, in funzione del rischio, ulteriori informazioni,
ivi comprese quelle relative alla situazione
economico-patrimoniale del cliente, acquisite o possedute
in ragione dell'esercizio dell'attivita'. In presenza di un
elevato rischio di riciclaggio e di finanziamento del
terrorismo, i soggetti obbligati applicano la procedura di
acquisizione e valutazione delle predette informazioni
anche alle prestazioni o operazioni occasionali;
d) il controllo costante del rapporto con il cliente,
per tutta la sua durata, attraverso l'esame della
complessiva operativita' del cliente medesimo, la verifica
e l'aggiornamento dei dati e delle informazioni acquisite
nello svolgimento delle attivita' di cui alle lettere a),
b) e c), anche riguardo, se necessaria in funzione del
rischio, alla verifica della provenienza dei fondi e delle
risorse nella disponibilita' del cliente, sulla base di
informazioni acquisite o possedute in ragione
dell'esercizio dell'attivita'.
2. Le attivita' di identificazione e verifica
dell'identita' del cliente, dell'esecutore e del titolare
effettivo, di cui alle lettere a) e b) del comma 1, sono
effettuate prima dell'instaurazione del rapporto
continuativo o del conferimento dell'incarico per lo
svolgimento di una prestazione professionale ovvero prima
dell'esecuzione dell'operazione occasionale.
3. In presenza di un basso rischio di riciclaggio o di
finanziamento del terrorismo, la verifica dell'identita'
del cliente, dell'esecutore e del titolare effettivo puo'
essere posticipata ad un momento successivo
all'instaurazione del rapporto o al conferimento
dell'incarico per lo svolgimento di una prestazione
professionale, qualora cio' sia necessario a consentire
l'ordinaria gestione dell'attivita' oggetto del rapporto.
In tale ipotesi, i soggetti obbligati, provvedono comunque
all'acquisizione dei dati identificativi del cliente,
dell'esecutore e del titolare effettivo e dei dati relativi
alla tipologia e all'importo dell'operazione e completano
le procedure di verifica dell'identita' dei medesimi al
piu' presto e, comunque, entro trenta giorni
dall'instaurazione del rapporto o dal conferimento
dell'incarico. Decorso tale termine, qualora riscontrino
l'impossibilita' oggettiva di completare la verifica
dell'identita' del cliente, i soggetti obbligati, si
astengono ai sensi dell'articolo 42 e valutano,
sussistendone i presupposti, se effettuare una segnalazione
di operazione sospetta ai sensi dell'articolo 35.
4. Fermi gli obblighi di identificazione, i
professionisti, limitatamente ai casi in cui esaminano la
posizione giuridica del loro cliente o espletano compiti di
difesa o di rappresentanza del cliente in un procedimento
innanzi a un'autorita' giudiziaria o in relazione a tale
procedimento, anche tramite una convenzione di negoziazione
assistita da uno o piu' avvocati ai sensi di legge,
compresa la consulenza sull'eventualita' di intentarlo o
evitarlo, sono esonerati dall'obbligo di verifica
dell'identita' del cliente e del titolare effettivo fino al
momento del conferimento dell'incarico.».
«Art. 19 (Modalita' di adempimento degli obblighi di
adeguata verifica). - 1. I soggetti obbligati assolvono
agli obblighi di adeguata verifica della clientela secondo
le seguenti modalita':
a) l'identificazione del cliente e del titolare
effettivo e' svolta in presenza del medesimo cliente ovvero
dell'esecutore, anche attraverso dipendenti o collaboratori
del soggetto obbligato e consiste nell'acquisizione dei
dati identificativi forniti dal cliente, previa esibizione
di un documento d'identita' in corso di validita' o altro
documento di riconoscimento equipollente ai sensi della
normativa vigente, del quale viene acquisita copia in
formato cartaceo o elettronico. Il cliente fornisce
altresi', sotto la propria responsabilita', le informazioni
necessarie a consentire l'identificazione del titolare
effettivo. L'obbligo di identificazione si considera
assolto, anche senza la presenza fisica del cliente, nei
seguenti casi:
1) per i clienti i cui dati identificativi
risultino da atti pubblici, da scritture private
autenticate o da certificati qualificati utilizzati per la
generazione di una firma digitale associata a documenti
informatici, ai sensi dell'articolo 24 del decreto
legislativo 7 marzo 2005, n. 82;
2) per i clienti in possesso di un'identita'
digitale, con livello di garanzia almeno significativo,
nell'ambito del Sistema di cui all'articolo 64 del predetto
decreto legislativo n. 82 del 2005, e della relativa
normativa regolamentare di attuazione, nonche' di
un'identita' digitale con livello di garanzia almeno
significativo, rilasciata nell'ambito di un regime di
identificazione elettronica compreso nell'elenco pubblicato
dalla Commissione europea a norma dell'articolo 9 del
regolamento UE n. 910/2014, o di un certificato per la
generazione di firma elettronica qualificata o, infine,
identificati per mezzo di procedure di identificazione
elettronica sicure e regolamentate ovvero autorizzate o
riconosciute dall'Agenzia per l'Italia digitale;
3) per i clienti i cui dati identificativi
risultino da dichiarazione della rappresentanza e
dell'autorita' consolare italiana, come indicata
nell'articolo 6 del decreto legislativo 26 maggio 1997, n.
153;
4) per i clienti che siano gia' stati identificati
dal soggetto obbligato in relazione ad un altro rapporto o
prestazione professionale in essere, purche' le
informazioni esistenti siano aggiornate e adeguate rispetto
allo specifico profilo di rischio del cliente;
4-bis) per i clienti che, previa identificazione
elettronica basata su credenziali che assicurano i
requisiti previsti dall'articolo 4 del Regolamento Delegato
(UE) 2018/389 della Commissione del 27 novembre 2017,
dispongono un bonifico verso un conto di pagamento
intestato al soggetto tenuto all'obbligo di
identificazione. Tale modalita' di identificazione e
verifica dell'identita' puo' essere utilizzata solo con
riferimento a rapporti relativi a carte di pagamento e
dispositivi analoghi, nonche' a strumenti di pagamento
basati su dispositivi di telecomunicazione, digitali o
informatici, con esclusione dei casi in cui tali carte,
dispositivi o strumenti sono utilizzabili per generare
l'informazione necessaria a effettuare direttamente un
bonifico o un addebito diretto verso e da un conto di
pagamento;
5) per i clienti i cui dati identificativi siano
acquisiti attraverso idonee forme e modalita', individuate
dalle Autorita' di vigilanza di settore, nell'esercizio
delle attribuzioni di cui all'articolo 7, comma 1, lettera
a), tenendo conto dell'evoluzione delle tecniche di
identificazione a distanza;
b) la verifica dell'identita' del cliente, del
titolare effettivo e dell'esecutore richiede il riscontro
della veridicita' dei dati identificativi contenuti nei
documenti e delle informazioni acquisiti all'atto
dell'identificazione, solo laddove, in relazione ad essi,
sussistano dubbi, incertezze o incongruenze. Il riscontro
puo' essere effettuato attraverso la consultazione del
sistema pubblico per la prevenzione del furto di identita'
di cui decreto legislativo 11 aprile 2011, n. 64. La
verifica dell'identita' puo' essere effettuata anche
attraverso il ricorso ad altre fonti attendibili e
indipendenti tra le quali rientrano le basi di dati, ad
accesso pubblico o condizionato al rilascio di credenziali
di autenticazione, riferibili ad una pubblica
amministrazione nonche' quelle riferibili a soggetti
privati autorizzati al rilascio di identita' digitali
nell'ambito del sistema previsto dall'articolo 64 del
decreto legislativo n. 82 del 2005 ovvero di un regime di
identificazione elettronica compreso nell'elenco pubblicato
dalla Commissione europea a norma dell'articolo 9 del
regolamento EU n. 910/2014. Con riferimento ai clienti
diversi dalle persone fisiche e ai fiduciari di trust
espressi e alle persone che esercitano diritti, poteri e
facolta' equivalenti in istituti giuridici affini, la
verifica dell'identita' del titolare effettivo impone
l'adozione di misure, commisurate alla situazione di
rischio, idonee a comprendere la struttura di proprieta' e
di controllo del cliente;
c) l'acquisizione e la valutazione di informazioni
sullo scopo e sulla natura del rapporto continuativo o
della prestazione professionale, verificando la
compatibilita' dei dati e delle informazioni fornite dal
cliente con le informazioni acquisite autonomamente dai
soggetti obbligati, anche avuto riguardo al complesso delle
operazioni compiute in costanza del rapporto o di altri
rapporti precedentemente intrattenuti nonche'
all'instaurazione di ulteriori rapporti;
d) il controllo costante nel corso del rapporto
continuativo o della prestazione professionale si attua
attraverso l'analisi delle operazioni effettuate e delle
attivita' svolte o individuate durante tutta la durata del
rapporto, in modo da verificare che esse siano coerenti con
la conoscenza che il soggetto obbligato ha del cliente e
del suo profilo di rischio, anche riguardo, se necessario,
all'origine dei fondi.
2. L'estensione delle verifiche, della valutazione e
del controllo di cui al comma 1 e' commisurata al livello
di rischio rilevato.
3. I soggetti obbligati di cui all'articolo 3, comma 2,
applicano altresi' misure di adeguata verifica del
beneficiario della prestazione assicurativa, non appena
individuato o designato nonche' dell'effettivo percipiente
della prestazione liquidata e dei rispettivi titolari
effettivi. Tali misure, consistono:
a) nell'acquisizione del nome o della denominazione
del soggetto specificamente individuato o designato quale
beneficiario;
b) nei casi di beneficiario designato in base a
particolari caratteristiche o classi, nell'acquisizione di
informazioni sufficienti a consentire al soggetto obbligato
di stabilirne l'identita' al momento del pagamento della
prestazione.
- Si riporta il testo dell'articolo 1, comma 2, del
decreto-legge 24 gennaio 2015, n. 3 (Misure urgenti per il
sistema bancario e gli investimenti), convertito, con
modificazioni, dalla legge 24 marzo 2015, n. 33, come
modificato dalla presente legge:
«Art. 1 (Banche popolari). - 1. (Omissis).
2. In sede di prima applicazione del presente decreto,
le banche popolari autorizzate al momento dell'entrata in
vigore del presente decreto si adeguano a quanto stabilito
ai sensi dell'articolo 29, commi 2-bis e 2-ter, del decreto
legislativo 1° settembre 1993, n. 385, introdotti dal
presente articolo, entro il 31 dicembre 2021.
2-bis. (Omissis).».