La vendita on line di prodotti finanziari, l'accensione di conti correnti e la attivazione di servizi di internet banking, l'offerta per via telematica di polizze assicurative: sono questi alcuni dei settori nei quali gli operatori sono chiamati alla applicazione di regole e principi spesso rigorosi, a volte ostici da adattare alla nuova realtà, in alcuni casi, forse, incompatibili con gli sviluppi connessi alla crescita della new economy.
Tra i tantissimi problemi tecnico-giuridici che le aziende del settore sono chiamate a risolvere, si pone quello dell'adempimento degli obblighi previsti dalla legge "antiriciclaggio" 197/91, per tutto quanto attiene alla identificazione del cliente.

L'art. 2 comma 1 della Legge 197/91, prevede per alcune categorie di operatori (uffici della pubblica amministrazione, compresi gli uffici postali, enti creditizi, imprese ed enti assicurativi, SIM eccetera - che di qui in poi, per comodità di esposizione, chiameremo "intermediari"), l'obbligo di identificare i soggetti che eseguono operazioni di importo superiore a L. 20.000.000 o che accendono conti, depositi o altri rapporti continuativi.
Le modalità operative per l'adempimento di tali obblighi di identificazione sono fissate nei decreti del Ministero del tesoro del 19.12.1991 (da interpretarsi alla luce dei chiarimenti forniti con Comunicazione del 05.06.92) e delle modifiche apportate dal decreto 29.10.1993.

Il principio di base, è che per l'accensione di un rapporto continuativo con l'intermediario, i dati identificativi devono essere acquisiti in presenza del titolare del rapporto o del suo mandatario (par. 4.2 prima parte).
All'uopo l'intermediario può agire per mezzo del personale incaricato, e cioè soggetti legati all'intermediario da un rapporto di lavoro subordinato - per esempio funzionari commerciali -, ovvero da apposita convenzione nella quale siano specificati gli obblighi rinvenienti dalla L. 197/91 e dal DM 19.12.91 - per esempio gli agenti (par. 1 com. Min. tesoro 05.06.92).

La possibilità di identificazione anche senza la presenza fisica del titolare del rapporto era inizialmente prevista soltanto qualora l'interessato fosse già titolare di altri rapporti presso lo stesso intermediario. Successivamente si è andata ad aggiungere, prima in via interpretativa (par.4.1 com. Min. tesoro 05.06.92), poi in virtù di una vera e propria modifica legislativa (aggiunta al par. 4.1. DM 19.12.91, prevista dal par. 3 DM 29.10.1993), un' ipotesi ulteriore: quella in cui l'interessato sia già titolare di un rapporto continuativo presso altro intermediario abilitato, e ciò sia comprovato da idonea attestazione da questi rilasciata.

Secondo la chiara lettera della norma, quindi, è possibile l'identificazione a distanza, ed a tale fine è sufficiente la "idonea attestazione" rilasciata da altro intermediario che abbia già, a sua volta, identificato l'utente.
Il problema, qui affrontato con specifico riferimento alla accensione di rapporti on line, riguarda in effetti una realtà ben più ampia: basti pensare alle vendite per corrispondenza, al telemarketing, al direct marketing e via discorrendo.
Già da qualche anno, pertanto, si è posto il problema di comprendere, in mancanza di una specificazione normativa o regolamentare, cosa potesse intendersi per "idonea attestazione" .
E' in tale contesto, che è intervenuto l'ufficio istituzionalmente preposto alla verifica della corretta applicazione della legge 197/91, e cioè il servizio antiriciclaggio dell'Ufficio italiano cambi.
Con la circolare 31.01.2000 l'UIC segnala quali debbano essere i requisiti di forma per il rilascio della cosiddetta "idonea attestazione" da parte di altro intermediario. Le strade indicate sono due:

1. Bonifico con causale identificativa - l'attestazione può essere resa in via implicita, attraverso la trasmissione di un bonifico dalla banca attestante all'intermediario che deve procedere alla identificazione a distanza, a condizione che: a) il bonifico sia eseguito a valere su un rapporto nominativo per il quale il Cliente è stato opportunamente identificato; b) l'intermediario che deve procedere a identificazione a distanza e che riceve dal Cliente comunicazione dei dati identificativi, assegni al Cliente stesso un codice identificativo che questi avrà cura di comunicare alla banca presso la quale è intrattenuto il rapporto che, a sua volta, lo dovrà riportare sul bonifico inviato all'intermediario; c) tutte le successive operazioni siano domiciliate e cioè transitino sul conto originario d'appoggio per avere la certezza che queste siano effettuate sempre dalla stessa persona, in modo tale da soddisfare l'obbligo di identificazione previsto per ogni operazione a valere su di un medesimo rapporto

L'esempio classico è quello del trading on line: sarà la mia banca che, in sede di costituzione della provvista necessaria alla attivazione del servizio, provvederà a certificare la mia identità all'intermediario finanziario che mette a disposizione le funzionalità proprie del trading on line.
La stessa CONSOB, con la comunicazione n. DI 30396 del 21.04.2000, nel dettare le regole di comportamento per la prestazione per via telematica di servizi di investimento, fa esplicito riferimento a tale soluzione.
Non pochi intermediari, peraltro, scelgono strade diverse: alcune, molto più sicure (la visita di un promotore finanziario che raccoglie la firma del cliente); altre, molto più rischiose (l'invio da parte del cliente, in uno alla sottoscrizione del form scaricato da internet, di una copia del documento di identificazione. Strada quest'ultima certamente snella, ma in nessun modo conforme al dettato normativo ed ai requisiti richiesti dall'UIC).

2. Timbro e sottoscrizione - In alternativa, secondo l'UIC, l'idonea attestazione può essere effettuata mediante compilazione di un modulo, anche predisposto dall'intermediario che deve procedere all'identificazione, contenente i dati identificativi del cliente, ivi compresi gli estremi del documento impiegato per l'identificazione, debitamente timbrato e sottoscritto dall'intermediario attestante.

Ora, nell'epoca dell'internet, affidarsi alla polverosa logica dei timbri, ha il sapore di una vera e propria distonia, e rischia di assumere il senso di un incomprensibile ritorno al passato.
Si immagini il totale svuotamento del plus commerciale consistente nella "immaterialità" e nella immediatezza della vendita on line di una polizza assicurativa, quando per la corretta identificazione del cliente si richieda un adempimento materialmente gravoso e poco invitante, come una visita in banca per farsi rilasciare un modulo timbrato e sottoscritto.

Una vera e propria svolta, rispetto a questa sorta di empasse normativa ed operativa, potrebbe derivare dal definitivo lancio della firma digitale.
Peraltro, come risulterà immediatamente evidente, anche tale passaggio non è esente da dubbi, dovendosi indagare se, dal punto di vista esegetico, esista e possa essere attivato un rapporto sinergico tra la normativa sul documento informatico e la legge antiriciclaggio.
Ma procediamo con ordine.

Non c'è dubbio sul fatto che le finalità perseguite dalle due discipline siano del tutto diverse: l'una, intesa a regolamentare l'identificazione dell'utente nel settore finanziario-creditizio, l'altra, diretta a creare uno strumento che consenta di ritenere "validi e rilevanti" i documenti sottoscritti con firma digitale.
Un'attenta analisi, però, lascia emergere dei decisivi punti di contatto:
infatti, secondo quanto previsto dall'art. 1 lett. h) del DPR 513/97 (rifluito nell'art. 22 del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, approvato dal Consiglio dei Ministri in data 04.10.00, e ad oggi non ancora pubblicato sulla Gazzetta ufficiale), deve intendersi per certificazione: il risultato della procedura informatica... mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità di detta chiave.

L'ente certificatore, pertanto, nel certificare la firma digitale, è tenuto a compiere una fondamentale operazione preliminare, consistente appunto nell' identificare con certezza la persona che fa richiesta della certificazione (art. 9 lett.a DPR 513/97, ora art. 28 lett.a) del testo unico), affinché la firma digitale, una volta apposta, consenta di rilevare gli elementi identificativi del soggetto titolare della stessa (art. 10 comma 7 del DPR 513/97, ora art. 23 comma 7 del testo unico).
Se tutto ciò è vero, se cioè l'ente certificatore di fatto identifica il titolare della firma elettronica, la domanda da porsi è la seguente: potrà considerarsi esaustiva detta identificazione, anche ai fini del rispetto della legge antiriclaggio? Facendo un esempio: la banca che offra all'utente la possibilità di sottoscrivere on line un contratto per l'apertura di un conto corrente, potrebbe o no legittimamente accontentarsi dell'apposizione della firma digitale, e quindi del fatto che il soggetto sia stato previamente identificato dall'ente certificatore?

Entrambe le tesi sembrano sostenibili: infatti, a stretto rigore formale, la categoria degli enti certificatori non coincide con quella degli "altri intermediari" che secondo il DM 19.12.91 possono attestare l'identità del soggetto, con la conseguenza che, anche in presenza della firma digitale, nell'esempio fatto, la banca... non si potrebbe accontentare.
Dall'altro lato, però, spostando il ragionamento sul piano sostanziale, deve esser dato il giusto valore al fatto che i requisiti che devono possedere gli enti certificatori per poter essere abilitati a svolgere il servizio di validazione della firma digitale siano in parte perfettamente sovrapponibili con quelli richiesti dal decreto legislativo 01.09.1993 n. 385 per l'esercizio dell'attività bancaria e creditizia (art. 8 DPR 513/97, ora art. 27 del testo unico). Tale meccanismo, così come l'iscrizione all'elenco dei certificatori tenuto dall'AIPA, sembra dare piena garanzia, in questo senso, anche ai fini della tutela dell'interesse pubblico che anima la legge antiriciclaggio.
Porre dunque un problema di attendibilità dell'ente certificatore, assumerebbe i caratteri di una vera e propria aberrazione.

Il problema è, a ben guardare, un altro, e riguarda le modalità operative che la legge prescrive per l'effettuazione della identificazione: infatti, mentre l'intermediario è vincolato ai principi fissati nella normativa prima richiamata (che, ad esempio, inibisce il riconoscimento a distanza, se non effettuato nelle forme. vessatorie imposte dall'Ufficio italiano cambi), dall'altro lato il certificatore, ad oggi, non deve far altro che identificare "con certezza" la persona che richieda la validazione della propria firma digitale. (art. 9 lett.a DPR 513/97, ora art. 28 lett.a) del testo unico).
Come si ottiene tale certezza? E' possibile per il certificatore adottare sistemi, tipo l'invio di una fotocopia del documento (modalità espressamente prevista, tra l'altro, dallo stesso testo unico sulla documentazione amministrativa, all'art. 38) non affatto esaustivi ai fini della legge antiriciclaggio?

La norma non dice nulla, e lascia aperto un pertugio interpretativo che, se non correttamente ricucito, rischia di trasformarsi in una vera e propria falla, minando alla base non solo la prospettata equiparabilità tra identificazione del certificatore e riconoscimento dell'intermediario, ma anche la stessa certezza che dovrebbe presiedere al definitivo lancio della firma digitale.
Basti pensare alle pesantissime implicazione che potrebbero derivare da una applicazione troppo elastica del concetto di "certezza del riconoscimento", nel campo dei rapporti economici (contratti) , ed in quelli ancor più delicati del processo civile (vedi l'ultimo regolamento sull'uso degli strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel procedimento innanzi alle Sezioni giurisdizionali della Corte dei conti, approvato dal Consiglio dei Ministri nella seduta del 26.01.01)

Conclusioni

L'intera questione qui affrontata, potrebbe essere risolta con alcune, piccole correzioni, alla ormai emananda normativa unificata sul documento informatico. Basterebbe prevedere espressamente, con un richiamo esplicito, la esaustività dell'apposizione della firma elettronica "anche ai fini della normativa antiriciclaggio".
Accanto a ciò, peraltro, sembra più che opportuno anche un intervento che riempia di contenuti il troppo malleabile concetto di "certezza della identificazione".
Poche, mirate modifiche, che, dando chiarezza alla materia, potrebbero risolvere alla radice un dibattito, ed un contenzioso, le cui proporzioni potrebbero, in mancanza, assumere proporzioni enormi.

* Avvocato in Roma