Art. 27 Misure per la semplificazione e la diffusione della firma elettronica avanzata e dell'identita' digitale per l'accesso ai servizi bancari 1. Ferma restando l'applicazione delle regole tecniche di cui all'articolo 20, comma 3, del decreto legislativo 7 marzo 2005, n. 82, per il rilascio della firma elettronica avanzata, nel rispetto della disciplina europea, si puo' procedere alla verifica dell'identita' dell'utente anche tramite uno dei seguenti processi: a) processi di identificazione elettronica e di autenticazione informatica basati su credenziali che assicurano i requisiti previsti dall'articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017 gia' attribuite, dal soggetto che eroga la firma elettronica avanzata, al medesimo utente identificato ai sensi dell'articolo 19 del decreto legislativo 21 novembre 2007, n. 231; b) processi di identificazione elettronica e di autenticazione informatica, a due fattori, basati su credenziali gia' rilasciate all'utente nell'ambito del Sistema Pubblico per la gestione dell'Identita' Digitale di cittadini e imprese di cui all'articolo 64 del decreto legislativo 7 marzo 2005, n. 82; c) processi di identificazione elettronica e di autenticazione informatica, basati su credenziali di livello almeno «significativo»,nell'ambito di un regime di identificazione elettronica notificato, oggetto di notifica conclusa con esito positivo, ai sensi dell'articolo 9 del regolamento (UE) n. 910/2014 di livello almeno «significativo». 2. I soggetti che erogano soluzioni di firma elettronica avanzata conservano per almeno venti anni le evidenze informatiche del processo di autenticazione in base al quale e' stata attribuita la firma elettronica avanzata. 3. Al decreto legislativo 21 novembre 2007, n. 231, sono apportate le seguenti modificazioni: a) all'articolo 1, comma 2, lettera n), le parole«gli estremi del documento di identificazione»sono soppresse; b) all'articolo 18, comma1, lalettera a) e' sostituita dalla seguente: «a) l'identificazione del cliente ela verificadella sua identitasulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Le medesime misure si attuano nei confronti dell'esecutore, anche in relazione alla verifica dell'esistenza e dell'ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente;»; c) all'articolo 19, comma 1: 1) alla lettera a), il numero 2) e' sostituito dal seguente: «2) per i clienti in possesso di un'identita' digitale, con livello di garanzia almeno significativo, nell'ambito del Sistema di cui all'articolo 64 del predetto decreto legislativo n. 82 del 2005, e della relativa normativa regolamentare di attuazione, nonche' di un'identita' digitale con livello di garanzia almeno significativo, rilasciata nell'ambito di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall'Agenzia per l'Italia digitale;»; 2) alla lettera a), dopo il numero 4) e' inserito il seguente: «4-bis) per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall'articolo 4 del regolamento delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all'obbligo di identificazione. Tale modalita' di identificazione e verifica dell'identita' puo' essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonche' a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici,con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l'informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento;»; 3) alla lettera b) prima della parola «laddove» e' inserita la seguente: «solo». 3-bis. All'articolo 1, comma 2, del decreto-legge 24 gennaio 2015, n. 3, convertito, con modificazioni, dalla legge 24 marzo 2015, n. 33, la parola: «2020» e' sostituita dalla seguente: «2021».
Riferimenti normativi - Si riporta il testo dell'articolo 20, comma 3, del citato decreto legislativo 7 marzo 2005, n. 82: «Art. 20 (Validita' ed efficacia probatoria dei documenti informatici). - 1. - 1-quater. (Omissis). 2. abrogato. 3. Le regole tecniche per la formazione, per la trasmissione, la conservazione, la copia, la duplicazione, la riproduzione e la validazione dei documenti informatici, nonche' quelle in materia di generazione, apposizione e verifica di qualsiasi tipo di firma elettronica, sono stabilite con le Linee guida. 4. - 5-bis. (Omissis).». - Il Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri, e' pubblicato nella GUUE L 69 del 13 marzo 2018. - Per il riferimento all'art. 64 del citato decreto legislativo 7 marzo 2005, n. 82, si vedano i riferimenti normativi all'art. 25. - Il Regolamento (UE) N. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE e' pubblicato nella GUUE L 257 del 28 agosto 2014. - Si riporta il testo degli articoli 1, comma 2, lettera n), 18 e 19 del decreto legislativo 21 novembre 2007, n. 231 (Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attivita' criminose e di finanziamento del terrorismo nonche' della direttiva 2006/70/CE che ne reca misure di esecuzione), pubblicato nella Gazzetta Ufficiale 14 dicembre 2007, n. 290, S.O., come modificato dalla presente legge: «Art. 1 (Definizioni). - 1. (Omissis). 2. Nel presente decreto s'intendono per: (Omissis). n) dati identificativi: il nome e il cognome, il luogo e la data di nascita, la residenza anagrafica e il domicilio, ove diverso dalla residenza anagrafica, e, ove assegnato, il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e, ove assegnato, il codice fiscale; (Omissis). 3. (Omissis)». «Art. 18 (Contenuto degli obblighi di adeguata verifica). - 1. Gli obblighi di adeguata verifica della clientela si attuano attraverso: a) l'identificazione del cliente e la verifica della sua identita' sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. Le medesime misure si attuano nei confronti dell'esecutore, anche in relazione alla verifica dell'esistenza e dell'ampiezza del potere di rappresentanza in forza del quale opera in nome e per conto del cliente; b) l'identificazione del titolare effettivo e la verifica della sua identita' attraverso l'adozione di misure proporzionate al rischio ivi comprese, con specifico riferimento alla titolarita' effettiva di persone giuridiche, trust e altri istituti e soggetti giuridici affini, le misure che consentano di ricostruire, con ragionevole attendibilita', l'assetto proprietario e di controllo del cliente; c) l'acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, per tali intendendosi, quelle relative all'instaurazione del rapporto, alle relazioni intercorrenti tra il cliente e l'esecutore, tra il cliente e il titolare effettivo e quelle relative all'attivita' lavorativa, salva la possibilita' di acquisire, in funzione del rischio, ulteriori informazioni, ivi comprese quelle relative alla situazione economico-patrimoniale del cliente, acquisite o possedute in ragione dell'esercizio dell'attivita'. In presenza di un elevato rischio di riciclaggio e di finanziamento del terrorismo, i soggetti obbligati applicano la procedura di acquisizione e valutazione delle predette informazioni anche alle prestazioni o operazioni occasionali; d) il controllo costante del rapporto con il cliente, per tutta la sua durata, attraverso l'esame della complessiva operativita' del cliente medesimo, la verifica e l'aggiornamento dei dati e delle informazioni acquisite nello svolgimento delle attivita' di cui alle lettere a), b) e c), anche riguardo, se necessaria in funzione del rischio, alla verifica della provenienza dei fondi e delle risorse nella disponibilita' del cliente, sulla base di informazioni acquisite o possedute in ragione dell'esercizio dell'attivita'. 2. Le attivita' di identificazione e verifica dell'identita' del cliente, dell'esecutore e del titolare effettivo, di cui alle lettere a) e b) del comma 1, sono effettuate prima dell'instaurazione del rapporto continuativo o del conferimento dell'incarico per lo svolgimento di una prestazione professionale ovvero prima dell'esecuzione dell'operazione occasionale. 3. In presenza di un basso rischio di riciclaggio o di finanziamento del terrorismo, la verifica dell'identita' del cliente, dell'esecutore e del titolare effettivo puo' essere posticipata ad un momento successivo all'instaurazione del rapporto o al conferimento dell'incarico per lo svolgimento di una prestazione professionale, qualora cio' sia necessario a consentire l'ordinaria gestione dell'attivita' oggetto del rapporto. In tale ipotesi, i soggetti obbligati, provvedono comunque all'acquisizione dei dati identificativi del cliente, dell'esecutore e del titolare effettivo e dei dati relativi alla tipologia e all'importo dell'operazione e completano le procedure di verifica dell'identita' dei medesimi al piu' presto e, comunque, entro trenta giorni dall'instaurazione del rapporto o dal conferimento dell'incarico. Decorso tale termine, qualora riscontrino l'impossibilita' oggettiva di completare la verifica dell'identita' del cliente, i soggetti obbligati, si astengono ai sensi dell'articolo 42 e valutano, sussistendone i presupposti, se effettuare una segnalazione di operazione sospetta ai sensi dell'articolo 35. 4. Fermi gli obblighi di identificazione, i professionisti, limitatamente ai casi in cui esaminano la posizione giuridica del loro cliente o espletano compiti di difesa o di rappresentanza del cliente in un procedimento innanzi a un'autorita' giudiziaria o in relazione a tale procedimento, anche tramite una convenzione di negoziazione assistita da uno o piu' avvocati ai sensi di legge, compresa la consulenza sull'eventualita' di intentarlo o evitarlo, sono esonerati dall'obbligo di verifica dell'identita' del cliente e del titolare effettivo fino al momento del conferimento dell'incarico.». «Art. 19 (Modalita' di adempimento degli obblighi di adeguata verifica). - 1. I soggetti obbligati assolvono agli obblighi di adeguata verifica della clientela secondo le seguenti modalita': a) l'identificazione del cliente e del titolare effettivo e' svolta in presenza del medesimo cliente ovvero dell'esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato e consiste nell'acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d'identita' in corso di validita' o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico. Il cliente fornisce altresi', sotto la propria responsabilita', le informazioni necessarie a consentire l'identificazione del titolare effettivo. L'obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente, nei seguenti casi: 1) per i clienti i cui dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici, ai sensi dell'articolo 24 del decreto legislativo 7 marzo 2005, n. 82; 2) per i clienti in possesso di un'identita' digitale, con livello di garanzia almeno significativo, nell'ambito del Sistema di cui all'articolo 64 del predetto decreto legislativo n. 82 del 2005, e della relativa normativa regolamentare di attuazione, nonche' di un'identita' digitale con livello di garanzia almeno significativo, rilasciata nell'ambito di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall'Agenzia per l'Italia digitale; 3) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza e dell'autorita' consolare italiana, come indicata nell'articolo 6 del decreto legislativo 26 maggio 1997, n. 153; 4) per i clienti che siano gia' stati identificati dal soggetto obbligato in relazione ad un altro rapporto o prestazione professionale in essere, purche' le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente; 4-bis) per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall'articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all'obbligo di identificazione. Tale modalita' di identificazione e verifica dell'identita' puo' essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonche' a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l'informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento; 5) per i clienti i cui dati identificativi siano acquisiti attraverso idonee forme e modalita', individuate dalle Autorita' di vigilanza di settore, nell'esercizio delle attribuzioni di cui all'articolo 7, comma 1, lettera a), tenendo conto dell'evoluzione delle tecniche di identificazione a distanza; b) la verifica dell'identita' del cliente, del titolare effettivo e dell'esecutore richiede il riscontro della veridicita' dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all'atto dell'identificazione, solo laddove, in relazione ad essi, sussistano dubbi, incertezze o incongruenze. Il riscontro puo' essere effettuato attraverso la consultazione del sistema pubblico per la prevenzione del furto di identita' di cui decreto legislativo 11 aprile 2011, n. 64. La verifica dell'identita' puo' essere effettuata anche attraverso il ricorso ad altre fonti attendibili e indipendenti tra le quali rientrano le basi di dati, ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione, riferibili ad una pubblica amministrazione nonche' quelle riferibili a soggetti privati autorizzati al rilascio di identita' digitali nell'ambito del sistema previsto dall'articolo 64 del decreto legislativo n. 82 del 2005 ovvero di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento EU n. 910/2014. Con riferimento ai clienti diversi dalle persone fisiche e ai fiduciari di trust espressi e alle persone che esercitano diritti, poteri e facolta' equivalenti in istituti giuridici affini, la verifica dell'identita' del titolare effettivo impone l'adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprieta' e di controllo del cliente; c) l'acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, verificando la compatibilita' dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dai soggetti obbligati, anche avuto riguardo al complesso delle operazioni compiute in costanza del rapporto o di altri rapporti precedentemente intrattenuti nonche' all'instaurazione di ulteriori rapporti; d) il controllo costante nel corso del rapporto continuativo o della prestazione professionale si attua attraverso l'analisi delle operazioni effettuate e delle attivita' svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche riguardo, se necessario, all'origine dei fondi. 2. L'estensione delle verifiche, della valutazione e del controllo di cui al comma 1 e' commisurata al livello di rischio rilevato. 3. I soggetti obbligati di cui all'articolo 3, comma 2, applicano altresi' misure di adeguata verifica del beneficiario della prestazione assicurativa, non appena individuato o designato nonche' dell'effettivo percipiente della prestazione liquidata e dei rispettivi titolari effettivi. Tali misure, consistono: a) nell'acquisizione del nome o della denominazione del soggetto specificamente individuato o designato quale beneficiario; b) nei casi di beneficiario designato in base a particolari caratteristiche o classi, nell'acquisizione di informazioni sufficienti a consentire al soggetto obbligato di stabilirne l'identita' al momento del pagamento della prestazione. - Si riporta il testo dell'articolo 1, comma 2, del decreto-legge 24 gennaio 2015, n. 3 (Misure urgenti per il sistema bancario e gli investimenti), convertito, con modificazioni, dalla legge 24 marzo 2015, n. 33, come modificato dalla presente legge: «Art. 1 (Banche popolari). - 1. (Omissis). 2. In sede di prima applicazione del presente decreto, le banche popolari autorizzate al momento dell'entrata in vigore del presente decreto si adeguano a quanto stabilito ai sensi dell'articolo 29, commi 2-bis e 2-ter, del decreto legislativo 1° settembre 1993, n. 385, introdotti dal presente articolo, entro il 31 dicembre 2021. 2-bis. (Omissis).».