Intermediari e professionisti rischiano di cadere dalla padella dell’antiriciclaggio nella brace della privacy. Da un lato devono collaborare attivamente a scoprire episodi di lavaggio di denaro sporco, ma dall’altro devono fare attenzione a non esagerare, per non violare impunemente la riservatezza delle persone.

Il pendolo delle scelte si basa sull’equivoco che il professionista e l’operatore siano investigatori e non lo sono.

E se da una parte si comprende lo spirito della legge, teso a impiantare un sistema di controlli diffusi che faccia terra bruciata attorno ai criminali, dall’altra parte risulta evidente che quello stesso sistema rischia di ledere legittimi interessi delle persone per bene. Qual è il danno minore: fare un controllo in più a costo di danneggiare la privacy di una persona, che non c’entra niente con il riciclaggio, oppure lasciar scappare un delinquente per non violare la riservatezza del prestanome?

Il dilemma è stato riproposto da un recente provvedimento del Garante della privacy (n. 533/2013, reso noto dalla newsletter dell’Autorità del 16 gennaio 2014), nel quale, affrontando uno degli obblighi antiriciclaggio, l’obbligo di adeguata verifica della clientela (adempimento imposto dalla normativa antiriciclaggio, dlgs n. 231/2007), il Garante ha prescritto che l’attività deve essere sempre condotta con un approccio basato sul rischio: se si eccede, il trattamento dei dati è illecito.

Il principio è stato applicato ad un caso specifico e tutto sommato abbastanza semplice (dipendente del Comune, che acquista voucher per pagare lavoratori occasionali, ingiustamente radiografato dall’ufficio postale). Ma non sempre è così lampante e, nei casi dubbi, non è escluso che il comportamento prudenziale (per non incorrere in nessuna sanzione) faccia a pugni con la necessità di tutelare ogni interesse in gioco.

Il fatto. Un dipendente comunale, correntista delle Poste è andato all’ufficio postale per fare un’operazione, non per sé, ma per conto del comune, di valore eccedente i 5 mila euro (acquisto voucher per pagare lavoratori occasionali). L’ufficio postale, in relazione all’importo della transazione, ha attivato alcuni controlli, consistenti nell’acceso ai dati personali del dipendente. Sono stati analizzati i rapporti intrattenuti con le poste, come privato, tra cui un c/c postale cointestato con il padre per il ritiro della pensione e una tessera prepagata.

L’ufficio ha dato il via libera all’operazione per conto del comune solo dopo l’aggiornamento dei dati personali del dipendente registrati sul conto dell’incaricato comunale. Il dipendente si è lamentato delle verifiche, ritenendole una intromissione nella sua sfera di riservatezza, in quanto estranee rispetto all’operazione richiesta, inerente soltanto al comune, e considerato il fatto che l’interessato ha documentato i poteri rappresentativi conferitigli dal comune; tra l’altro la direttrice dell’ufficio postale era anche consigliere comunale e conosceva personalmente la persona. Il garante è stato chiamato a verificare la correttezza della condotta dell’ufficio postale. E ha risposto negativamente.

La difesa. Le Poste si sono difese sostenendo di avere adempiuto agli obblighi antiriciclaggio. L’ufficio ha evidenziato di aver predisposto sulla propria rete informatica un blocco procedurale a sportello per le operazioni di importo superiore a 5 mila euro, comportante la sottoposizione a controllo non solo dell’effettivo titolare del rapporto, ma anche di colui che intervenga quale mero esecutore di un’operazione anche occasionale.

Secondo le Poste la normativa antiriciclaggio giustifica il recupero, anche mediante controlli incrociati, delle informazioni necessarie sui soggetti operanti anche non in qualità di titolari o facoltizzati ad operare sul rapporto movimentato. Insomma la pervasività dei controlli è necessaria per l’efficacia del sistema della vigilanza diffusa in funzione antiriciclaggio. Nel caso specifico, l’esecutore materiale era stato individuato come cliente delle poste e l’ufficio ha acquisito gli estremi del documento di identità aggiornato.

La bacchettata del garante. Il garante non ha condiviso la linea delle Poste. Certo la normativa antiriciclaggio prevede l’obbligo di adeguata verifica della clientela, ma questo deve avvenire pur sempre nel rispetto delle garanzie a protezione dei dati personali e i sistemi predisposti dagli intermediari, anche quelli informatici, devono risultare proporzionati al rischio di riciclaggio; rischio da valutare anche in base al tipo di cliente e alle caratteristiche della concreta operazione. Si parla, infatti, di «approccio basato sul rischio». Quindi, è vero che si deve procedere alla corretta identificazione anche dei semplici esecutori materiali di operazioni occasionali effettuate per conto terzi. Tuttavia questi obblighi devono essere assolti calcolando il grado di rischiosità associato al tipo di cliente, all’operazione che si intende effettuare, al rapporto avviato o alla prestazione professionale richiesta.

Nel caso specifico l’importo basso dell’operazione, la conoscenza personale del cliente da parte della direttrice dell’ufficio postale, la natura pubblica dell’ente rappresentato e la motivazione dell’operazione rendono illegittimo il controllo a tappeto sui rapporti privatamente intrattenuti dall’interessato con la stessa società.

Alle poste è stato prescritto, di conseguenza, di adottare opportune misure formative e tecnico-organizzative idonee a prevenire abusi nell’applicazione delle disposizioni antiriciclaggio.

La prescrizione è estensibile a tutti gli intermediari e gli altri soggetti tenuti all’obbligo di adeguata verifica della clientela.