Antiriciclaggio: chi sono i destinatari degli obblighi?

I destinatari degli obblighi antiriciclaggio, in presenza di alcuni segnali, devono adottare misure rafforzate ed effettuare controlli rigorosi. La normativa antiriciclaggio interessa un’ampia platea di destinatari. Tra questi incontriamo:
– intermediari bancari e finanziari;
– professionisti (commercialisti, consulenti del lavoro);
– notai e avvocati;
– revisori legali e società di revisione;
– agenti immobiliari;
– mediatori civili;
– prestatori di servizi di gioco.
Gli adempimenti richiesti a questi soggetti, la cui intensità varia in relazione alle diverse situazioni, si concretizza nell’identificazione e nella verifica dell’identità del cliente al momento del conferimento dell’incarico e poi nel controllo della sua condotta durante l’esecuzione del rapporto. Il sistema dell’antiriciclaggio, infatti, in sintesi si fonda su:
A. identificazione del cliente e verifica dell’identità in base a documenti;
B. ottenere informazioni sullo scopo e sulla natura prevista del rapporto
continuativo;
C. controllo nel corso del rapporto e segnalazione delle operazioni
sospette.
D. tracciabilità delle verifiche e delle valutazioni; l’area geografica di
residenza / sede del cliente o della controparte;
F. un comportamento coerente della struttura aziendale;
G. la dimostrabilità alle autorità del fatto che le misure identificate siano
effettivamente proporzionali al livello di rischio identificato.

Il punto A. Identificazione del cliente : Nel caso in cui avessimo a che fare con una persona fisica, è necessario identificare quest’ultima con un documento d’identità. Di questo documento bisogna conservarne una copia e la fonte di questa documentazione deve essere: ”affidabile e indipendente”
Ci sia un’identità digitale di livello massimo del cliente oppure un certificato per la generazione della firma digitale

Adeguata verifica della clientela: le misure

La verifica della clientela può essere semplificata o rafforzata al ricorrere di
particolari requisiti soggettivi o oggettivi. Infatti, nel graduare l’entità dell’indagine i soggetti obbligati devono tenere in considerazione determinati fattori. In relazione al soggetto:

• la natura giuridica del cliente;
• la principale attività svolta;
• l’area geografica di residenza.
  In relazione all’operazione posta in essere:
• la tipologia dell’operazione;
• le modalità di svolgimento dell’operazione;
• l’area geografica di destinazione del prodotto o della prestazione.

Come è facile dedurre, la verifica rafforzata della clientela viene svolta in
presenza di un elevato rischio di riciclaggio. In queste ipotesi gli intermediari bancari (e in generale tutti i professionisti obbligati) devono tener conto di diversi fattori di rischio tra cui quelli di natura geografica.

Firma Elettronica (FE)

L’Art 3 n. 10 del Regolamento Europeo eIDAS definisce la Firma Elettronica
“dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad
altri dati elettronici e utilizzati dal firmatario per firmare”
L’Articolo definisce quindi la Firma Elettronica come uno strumento esclusivo
di sottoscrizione e non più anche come mezzo di identificazione e di
autenticazione, come si assumeva prima della riforma del CAD.
La Firma Elettronica è di conseguenza la forma più debole di firma in ambito
informatico, in quanto non prevede meccanismi di autenticazione del firmatario
o di integrità del dato firmato. Per questo viene definita “semplice”.
Esempio
La scansione di una firma cartacea è l’esempio più significativo di Firma
Elettronica.

Firma Elettronica Avanzata (FEA)

L’Art 3 n. 11 del Regolamento Europeo eIDAS definisce come una Firma
Elettronica Avanzata quella che soddisfa tutti i requisiti enunciati nell’Art. 26,“Requisiti di una Firma Elettronica Avanzata”:

• è idonea a identificare il firmatario;
• è creata mediante dati per la creazione di una firma elettronica che il
  firmatario può, con un elevato livello di sicurezza, utilizzare sotto il
  proprio esclusivo controllo;
• è collegata ai dati sottoscritti in modo da consentire l’identificazione di
  ogni successiva modifica di tali dati.

Riassumendo questi punti, la Firma Elettronica Avanzata può essere definita come una Firma Elettronica che:

• permette di identificare il firmatario;
• garantisce la connessione univoca con il firmatario;
• è creata tramite l’utilizzo di dati sui quali il firmatario conserva
  un controllo esclusivo;
• è collegata a questi dati in modo che il firmatario possa rilevare eventuali modifiche successive.

Esempio:
La firma grafometrica su Tablet è un buon esempio di Firma Elettronica
Avanzata.

Firma Elettronica Qualificata (FEQ)

L’Art 3 n. 12 del Regolamento Europeo eIDAS definisce la Firma Elettronica
Qualificata:
“una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”
In aggiunta alle informazioni previste dal Regolamento Europeo eIDAS, il CAD nell’art. 28 prevede che nel certificato di firma elettronica qualificata può essere inserito il codice fiscale o un analogo codice identificativo
univoco, le qualifiche specifiche del titolare di firma elettronica (appartenenza ad ordini oppure a collegi professionali, la qualifica di
pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali e i poteri di rappresentanza), i limiti d’uso del certificato, i
limiti del valore degli atti unilaterali e dei contratti per i quali il
certificato può essere usato, uno pseudonimo.
Riassumendo questi punti, la Firma Elettronica Qualificata può essere
definita come una Firma Elettronica che:

• rappresenta un attestato elettronico che collega i dati di una firma
  elettronica ad una persona fisica;
• necessita dell’utilizzo di un apposito dispositivo contenente dati e
  certificati in grado di identificare univocamente il firmatario

Esempio
Un esempio di Firma Elettronica Qualificata è una card con chip che
contiene alcuni dati anagrafici e il codice fiscale, come la Tessera
Sanitaria.

Firma Digitale (FD)

L’Art. 1 comma 1 lettera s del CAD definisce la Firma Digitale:
“un particolare tipo di firma qualificata basata su un sistema di chiavi
crittografiche, una pubblica e una privata, correlate tra loro, che
consente al titolare di firma elettronica tramite la chiave privata e a un
soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e l’integrità di un documento
informatico o di un insieme di documenti informatici”.
Per ogni utente, le due chiavi vengono generate da un apposito
algoritmo con la garanzia che la chiave privata sia la sola in grado di
poter decifrare correttamente i messaggi cifrati con la chiave pubblica
associata e viceversa. Lo scenario in cui un mittente vuole spedire un
messaggio a un destinatario in modalità sicura è il seguente: il mittente utilizza la chiave pubblica del destinatario per la cifratura del messaggio da spedire, quindi spedisce il messaggio cifrato al destinatario; il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il messaggio “in chiaro”. Ulteriori indicazioni sulla Firma Digitale sono contenute nell’Art. 24 del CAD e in particolare il comma 2 stabilisce che:
“L’apposizione di firma digitale integra e sostituisce l’apposizione di
sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad
ogni fine previsto dalla normativa vigente.”
Riassumendo questi punti, la Firma Digitale può essere definita come
una Firma Elettronica che: è l’equivalente elettronico della firma autografa su carta, in quanto è associata al documento elettronico sulla quale è apposta; ne attesta l’integrità, l’autenticità e la non ripudiabilità;
necessita dell’utilizzo di un apposito dispositivo di firma che si presenta
sotto forma di una smart card da inserire in un apposito lettore, o di
una chiavetta USB corredato da un software di firma rilasciato da
un’Autorità di certificazione.

Esempio
Un esempio di Firma Digitale è la Carta Nazionale dei Servizi (CNS)
della Camera di Commercio.

Valore probatorio del documento sottoscritto con Firma
Elettronica “semplice” (Firma Elettronica) o “forte” (Firma
Elettronica Avanzata, Qualificata o Digitale)

A partire dal 12/01/2018 il valore giuridico del documento informatico
sottoscritto con firma elettronica “semplice” o “forte” viene disciplinato
dal nuovo comma 1-bis dell’Art. 20 del CAD, “Validità ed efficacia
probatoria dei documenti informatici”, che va a sostituire l’Art. 21.
Ecco il testo: “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.“
Riassumendo, il valore giuridico delle firme semplici e forti si distingue tra:
FIRMA ELETTRONICA (firma “semplice”) o DOCUMENTO INFORMATICO SENZA FIRMA: il valore probatorio della Firma Elettronica è a discrezione del giudice. Pur non prevedendo alcuni elementi che garantiscono l’autenticazione del firmatario e l’integrità del dato firmato quindi la Firma Elettronica è ammissibile come prova in procedimenti giudiziari ed è in grado di comportare degli effetti giuridici.
FIRMA ELETTRONICA AVANZATA, QUALIFICATA O DIGITALE
(firme “forti”): il valore probatorio delle Firme Elettroniche forti è garantito dal fatto che il documento informatico così firmato soddisfa il requisito della forma scritta ed ha l’efficacia prevista dall’art. 2702 del CC, ovvero quella di fare piena prova, fino a querela del falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta.
Sul piano del processo civile, la modifica dell’art. 21 comporta una novità clamorosa. Introduce infatti un vero e proprio stravolgimento dei concetti di “scritto” e di “prova scritta”, rilevanti nell’applicazione delle norme del codice di rito recettive di tali concetti.
Da questo momento, con la riformulazione dell’Art. 21 CAD e la
connessa introduzione del principio di non discriminazione di cui all’Art. 46
eIDAS, un qualsiasi documento informatico (ad esempio, una registrazione vocale) soddisfa il requisito della forma scritta, purché associato ad una firma elettronica.
Scarica qui la tabella riepilogativa della valenza giuridica delle varie
tipologie di firma in relazione ai documenti su cui sono applicate (aggiornata alla normativa del Regolamento UE n. 910/2014 e
modifiche al CAD).

Si può evitare di subire questi attacchi evitando di trasmettere dati di input ad API del filesystem. Pertanto l’applicazione convalida l’input dell’utente in una modalità completamente differente rispetto al passato , impiegando una metodologia che richiede l’ingresso non basata su utenza e password, ma solo attraverso un accreditamento biometrico.

My-ID ( https://bit.ly/My-ID_la_chiave_sei_tu) potrebbe essere una risposta a questo tipo di attacco.
Il sistema prevede l’uso del riconoscimento biometrico Multi fattore ( un SSO) in cui non si necessita l’uso di una password, di un pin, di un token (
https://bit.ly/My-ID_passwordless) : la formula per accedere al sistema prevede il riconoscimento di più fattori biometrici ( https://bit.ly/My-IDCheckIdentity).
Pertanto My-ID è un innovativo metodo di accesso ai sistemi che non prevede la digitazione di informazioni ( https://bit.ly/My-ID_Biometric_Login), una piattaforma applicabile ai sistemi IT per evitare il furto di identità