Dopo essere stato dibattuto sulle pagine di InterLex, il tema del rapporto tra firma digitale e identificazione antiriciclaggio approda in una sede istituzionale, grazie alla circolare n. 018527 emanata dall'Ufficio italiano cambi il 31.05.2001.
La premessa dalla quale parte l'UIC è che la disciplina del documento informatico e della firma digitale, offre una eventuale soluzione semplificativa al sistema di identificazione dettato dalla normativa antiriciclaggio.

E' sufficiente analizzare con attenzione i contenuti della circolare, per rendersi conto che, nonostante le migliori intenzioni manifestate dall'estensore, le soluzioni ipotizzate non fanno altro che appiattirsi sul dato normativo, indicando strade che la legge già lasciava aperte da circa un decennio, ma che nulla hanno a che vedere con le esigenze di snellezza connesse all'attività sulla rete.
Risolto interpretativamente un problema, ed operato un già importante passo in avanti, le soluzioni indicate appaiono però tanto intrise di "burocratica pesantezza" da risultare probabilmente, impercorribili, e da concretare, nella realtà operativa, un inevitabile..passo indietro.
Vediamo perché.

Il presupposto sul quale fonda tutta la circolare in commento, risiede nella seguente presa d'atto: la legge impone agli intermediari il "contatto fisico" con l'interessato, anche se attraverso diverse modalità.
Accanto all'ipotesi più semplice di identificazione diretta dell'utente, si pone, fin dal 1991 (!), la possibilità che all'identificazione provveda "personale incaricato", cioè a dire "soggetti legati all'intermediario da un rapporto di lavoro subordinato ovvero da un rapporto di collaborazione previsto dalla legge o da apposita convenzione, nella quale siano specificati gli obblighi rinvenienti dalla L. 197/91 e dal DM 19.12.91" (così recita il par. 1 Com. Min. Tesoro 05.06.92).
Parallelamente, è previsto (stavolta dal 1993!) un diverso meccanismo di identificazione, relativo all'utente che fosse già titolare di un rapporto continuativo presso altro intermediario abilitato: in tal caso quest'ultimo, rilasciando la ormai famosa " idonea attestazione", avrebbe garantito la possibilità di evitare all'intermediario che ne avesse la necessità l'adempimento degli obblighi antiriciclaggio, potendo questo fruire indirettamente della identificazione già operata da altro omologo ente (par. 3 D.M. 29.10.1993)

E' pertanto certamente corretto affermare che l'intero impianto normativo sia fondato sul cardine ineludibile secondo il quale è sempre e comunque necessario che vi sia una identificazione "fisica" dell'utente. Che lo faccia l'intermediario direttamente, che lo facciano i suoi incaricati, o che lo abbia precedentemente fatto un altro intermediario abilitato che attesti l'avvenuta identificazione, ciò che conta è che..qualcuno abbia preso contatto diretto con l'interessato.

Da qui i problemi, dei quali avevo parlato nei miei precedenti interventi, con riguardo al rapporto tra questa regolamentazione, e quella dettata in materia di firma digitale:
a) gli enti certificatori non rientrano nella categoria degli intermediari abilitati, ed in quanto tali, non possono, neanche indirettamente, rilasciare alcuna idonea attestazione dell'avvenuta identificazione del soggetto che abbia richiesto la validazione della firma digitale. In altri termini: il rilascio del certificato, in sé, non può assurgere al ruolo richiesto dalla legge antiriciclaggio;
b) non esiste nella normativa relativa alla firma digitale alcun obbligo a carico del certificatore, relativamente alle modalità con le quali lo stesso debba preventivamente provvedere ad identificare l'interessato richiedente. La norma parla semplicemente di "identificazione con certezza", ma nulla dice sugli strumenti attraverso i quali il certificatore possa (e debba) raggiungere tale certezza.

Se così è, l'eventuale tentativo di assimilare l'identificazione operata dal certificatori a quella necessaria ai fini antiriciclaggio si risolveva, a parere di chi scrive, in un forzato azzardo, pericolosamente sganciato dalla corretta interpretazione delle norme (su questo punto la radicale divergenza di opinioni tra il sottoscritto, ed Enrico Maccarone, vedi Norme antiriciclaggio e identificazione del contraente, Che significa "identificare con certezza"? e Ancora sulla "certezza dell'identificazione").

E' proprio su questa linea che sembra essersi posto l'UIC con la sua ultima circolare.
Nella stessa, infatti, si legge:
quanto al precedente punto a): occorre rilevare che, da un lato, l'attuale normativa non presenta alcun richiamo alla L. 197/91 e successive modifiche in termini di possibile utilizzo e semplificazione delle procedure e dall'altro, qualora si ritenesse possibile l'uso di tale strumento per l'adempimento degli obblighi previsti dalla normativa antiriciclaggio, si verrebbero a coinvolgere nell'identificazione prescritta dall'art. 2 della L. 197/91, soggetti non appartenenti al settore degli intermediari finanziari e come tali non destinatari degli obblighi antiriciclaggio;
quanto al precedente punto b): un raffronto puntuale delle norme evidenzia che l'identificazione cui è tenuto il certificatore per il rilascio della firma digitale non richiede il contatto fisico tra l'interessato ed il certificatore; l'art. 22 co. 2 DPCM 08.02.99 (ora DPR 445/00), rimette infatti al certificatore la scelta della procedura di identificazione che dovrà essere riportata nel manuale operativo.

Così inquadrato il problema, l'UIC indica le proprie soluzioni cercando di barcamenarsi in questo complesso e... blindato quadro normativo.
Ed allora, nell'ipotizzare il superamento degli ostacoli sub. a) afferma:i criteri di applicazione delle disposizioni del D.M. 19.12.91 (emanati dal Min. Tesoro e pubblicati sulla G.U.n. 131 del 05.06.92 - id est par. 1 Com. Min Tesoro 05.06.92) specificano che la espressione "personale incaricato" ricomprende ."i soggetti legati all'intermediario da apposita convenzione nella quale siano specificati gli obblighi rinvenienti dalla L. 197/91 e dal decreto di attuazione del 19.12.91" Se dunque è vero che il certificatore non è un intermediario, è anche vero che lo stesso può assurgere al ruolo di "soggetto incaricato" dall'intermediario grazie ad una "apposita convenzione";
per superare gli ostacoli sub. b), la circolare specifica come "la firma digitale può essere considerata strumento idoneo ad attestare l'avvenuta identificazione nelle operazioni a distanza, qualora sia assicurata la rispondenza della procedura di identificazione, e delle successive fasi di rinnovo, sospensione o revoca del certificato, ai principi generali in materia di antiriciclaggio. In sostanza il certificatore deve: - prevedere nel manuale operativo che il procedimento di identificazione avvenga alla presenza del cliente e nel rispetto di tutti i requisiti prescritti in materia dall'art. 2 L. 197/91; - garantire la diffusione del provvedimento di revoca o di sospensione, nonché verificare, nella fase del rinnovo del certificato, l'identità del cliente"

Alla luce di tali ragionamenti, ecco dunque la soluzione dell'UIC: l'intermediario può avvalersi della identificazione effettuata dal certificatore, previa stipula di un'apposita convenzione tra intermediario e certificatore, in cui quest'ultimo si impegni ad effettuare l'identificazione in conformità degli obblighi previsti dalla disciplina antiriciclaggio.

Un passo in avanti: avevo parlato, nei miei precedenti interventi, di un buco normativo, laddove la legislazione sul documento informatico non prevedeva alcunché in ordine alle modalità di "identificazione con certezza" dell'utente da parte del certificatore. Sotto questo profilo, l'interpretazione dell'UIC consentirebbe, in via squisitamente ermeneutica, di colmare quella falla, dando contenuto analitico agli adempimenti che devono rifluire nei manuali operativi degli enti. Seppure proveniente da istituzione non esattamente consona (atteso che il problema, in realtà, aveva ed ha un respiro ben più ampio, che riguarda la validazione della firma digitale in sé, e non soltanto la esaustività della detta validazione a fini della normativa antiriciclaggio), la soluzione ipotizzata dall'UIC rappresenta un segno importante, avendo il ruolo di una sorta di presa di coscienza dell'esistenza del problema, ed attestando, implicitamente, il fallimento delle soluzioni paventate nella discussa circolare UIC del 30.01.2000 sull'identificazione a distanza.

Un passo indietro: Come spesso accade, la strada tracciata dall'Ufficio italiano cambi non sembra però fare i conti con la realtà.
E' realmente immaginabile che tutte le singole istituzioni finanziarie (banche,SIM, società emittenti carte di credito, compagnie di assicurazione etc. etc.) stipulino delle "apposite convenzioni" con i vari enti certificatori da considerarsi valide a norma della L. 197/91?
E' veramente ipotizzabile che gli enti certificatori assumano oneri tanto pressanti quali quelli indicati dalle norme operative in materia di antiriciclaggio, rendendo "motu proprio" più gravosi i manuali operativi, e prevedendo addirittura, come chiede l'UIC, che nella fase di rinnovo del certificato vengano nuovamente effettuate le operazioni di identificazione?
Basta dare un scorsa ai detti manuali, relativamente ai certificatori già iscritti all'elenco dell'AIPA, per rendersi conto che le strade intraprese sono ben diverse, decisamente più snelle, e.poco inclini a fissare adempimenti dalla portata pratica eccessivamente articolata.

Risultato: con ogni probabilità le "apposite convenzioni" non verranno stipulate, i manuali operativi non verranno modificati e dunque l'intemediario che debba procedere all'identificazione antiriciclaggio di colui che sottoscriva on line con firma digitale (ad esempio, la richiesta di apertura di un c/c on line) si ritroverà di fronte al bivio iniziale: quella firma è valida ai fini del rispetto della legge antiriciclaggio?
Fatto un passo avanti, ed uno indietro. si ritornerà al punto di partenza.

L' apprezzabile volontà di affrontare i problemi da parte dell'UIC, si risolve, pertanto, ancora una volta, in un inane ed irrealistico (o meglio, lontano dalla realtà) tentativo di svincolarsi da quella sorta di inevitabile "imbavagliamento" operativo che trova la sua unica origine in un quadro normativo obsoleto e disorganico.

L'ho scritto in varie occasioni, e continuo a ripeterlo: il problema sta nella legge.
Basterebbe una integrazione dell'art. 28 del DPR 445/00 , che dia sostanza al concetto di "identificazione con certezza", affiancata da una specificazione esplicita della utilizzabilità della firma digitale ai fini del rispetto della legge antiriciclaggio (eventualmente con un aggiornamento della ultradecennale normativa operativa dettata dalla L. 197/91 e successive modifiche).

Senza questo ineludibile intervento a monte, continueremo a discettare (gli osservatori, le istituzioni preposte, i disorientati operatori del settore), brancolando alla ricerca di alchimie interpretative che rischiano di avvitarsi su sé stesse, allontanandosi da una soluzione del problema, che sia al contempo fattibile dal punto di vista operativo, in linea con le esigenze dell'e-business, ma anche doverosamente conforme al dettato normativo.