Torna alle notizie
Contenuto educativo

Condivisione dei dati dei clienti e KYC: cosa è consentito e cosa no

Condivisione dei dati dei clienti e KYC: cosa è consentito e cosa no

La condivisione dei dati KYC non equivale alla condivisione delle responsabilità in materia di antiriciclaggio: una distinzione giuridica fondamentale per ogni transazione immobiliare

Nelle transazioni immobiliari multipartite — in cui agenti, promotori, avvocati e notai hanno ciascuno obblighi antiriciclaggio indipendenti — una questione di crescente urgenza pratica riguarda l’ammissibilità della condivisione delle informazioni KYC tra i soggetti obbligati. La posizione giuridica ai sensi del Regolamento (UE) 2024/1624 (AMLR) è spesso fraintesa nella pratica, e le conseguenze di tale fraintendimento si ripercuotono in entrambi i sensi: alcuni professionisti si rifiutano di condividere dati che il regolamento permette — e addirittura incoraggia — di condividere; altri presumono che ricevere dati KYC da una terza parte li esoneri dai propri obblighi di conformità, cosa che non è vera.

La corretta posizione giuridica è chiara e significativa. Il presente articolo la illustra.

Il quadro giuridico: cosa dice effettivamente l’AMLR

L'AMLR stabilisce tre principi fondamentali relativi alla condivisione dei dati KYC nel settore immobiliare:

1. Ogni soggetto obbligato ha una responsabilità indipendente in materia di CDD. Indipendentemente da ciò che ha fatto qualsiasi altra parte coinvolta in una transazione, ogni soggetto obbligato — l'agente, il promotore immobiliare, il notaio e l'avvocato — rimane responsabile in modo indipendente della propria Customer Due Diligence. La responsabilità non è trasferibile.

2. L'affidamento su un altro soggetto obbligato è consentito, a determinate condizioni. Le disposizioni dell'AMLR sull'affidamento a terzi consentono a un soggetto obbligato di fare affidamento sull'adeguata verifica della clientela (CDD) effettuata da un altro, ma il soggetto che si affida mantiene la piena responsabilità legale per la conformità nei confronti del proprio supervisore. L'affidamento è una facilitazione procedurale, non un'esenzione.

3. La condivisione delle informazioni è consentita entro quadri giuridici definiti. Il considerando 147 dell'AMLR afferma esplicitamente: «I soggetti obbligati e le autorità competenti dovrebbero poter scambiare informazioni nel quadro di un partenariato per la condivisione delle informazioni». Lo stesso considerando chiarisce altrettanto chiaramente che i soggetti obbligati «non dovrebbero basarsi esclusivamente sulle informazioni ricevute attraverso lo scambio di informazioni per trarre conclusioni sul rischio di riciclaggio e di finanziamento del terrorismo del cliente».

Questi tre principi definiscono con precisione i limiti giuridici: i documenti e i dati fattuali verificati possono essere condivisi; le valutazioni del rischio, le determinazioni relative alla due diligence rafforzata, le decisioni di segnalazione e gli obblighi di monitoraggio continuo non possono esserlo.

Dove nasce l'incomprensione nella pratica

In una tipica transazione immobiliare che coinvolge un agente, un promotore immobiliare, un avvocato e un notaio, ciascuna parte può scambiare legalmente dati di identificazione del cliente, informazioni sull'UBO, documentazione sulla proprietà societaria, prove della provenienza dei fondi e risultati dello screening — nel rispetto delle garanzie applicabili del GDPR, della riservatezza e dell'antiriciclaggio.

Ciò che nessuna di queste parti può fare è considerare la ricezione di tali informazioni come un sostituto dei propri obblighi indipendenti. Un notaio che accetta il fascicolo KYC di un agente immobiliare senza effettuare una propria valutazione del rischio non ha ottemperato all'AMLR: si è affidato, senza verifica indipendente, al giudizio di un'altra parte. Un promotore immobiliare che si affida ai precedenti controlli sui clienti effettuati da un avvocato senza applicare la propria classificazione del rischio ha mancato al proprio obbligo di vigilanza.

Come conferma l'analisi di DLA Piper sulle disposizioni dell'AMLR in materia di condivisione delle informazioni: "In qualità di membri di partnership per la condivisione delle informazioni, i soggetti obbligati possono condividere informazioni ai fini dell'adeguata verifica della clientela e della segnalazione di sospetti alle FIU". Il nuovo pacchetto antiriciclaggio punta a una maggiore cooperazione tra i soggetti obbligati, non a un unico punto di responsabilità in materia di conformità.

La legge non vieta la condivisione. Vieta il trasferimento di responsabilità.

La distinzione strutturale: un'architettura a due livelli

La posizione giuridica sopra descritta si riflette naturalmente in un'architettura a due livelli per qualsiasi modello di condivisione KYC conforme:

Livello centrale consentito — condivisibile tra i soggetti obbligati:

  • Verifica dell'identità e dell'indirizzo

  • Identificazione e verifica del titolare effettivo finale (UBO)

  • Strutture proprietarie societarie

  • Documentazione sulla provenienza dei fondi

  • Cronologia delle transazioni immobiliari

  • Risultati dello screening su sanzioni, PEP e notizie negative

Livello specifico dell'entità — non condivisibile, determinato in modo indipendente da ciascun soggetto obbligato:

  • Valutazione e classificazione del rischio

  • Requisiti e risultati della due diligence rafforzata

  • Valutazione dei casi sospetti e decisioni relative alla presentazione di segnalazioni SAR/STR

  • Parametri e risultati del monitoraggio continuo

  • Segnalazione all'Unità di informazione finanziaria nazionale

Questa è l'architettura verso cui si sta orientando l'AMLR: raccogliere i dati dei clienti una sola volta, valutare il rischio più volte — in modo indipendente, da parte di ciascun soggetto obbligato, in base ai propri obblighi normativi.

Il requisito tecnologico: perché le piattaforme KYC standard non sono in grado di soddisfare questa esigenza

La distinzione giuridica di cui sopra crea un requisito tecnologico preciso che la maggior parte delle piattaforme KYC presenti sul mercato non è strutturalmente in grado di soddisfare. Le soluzioni standard di verifica dell'identità e KYC sono progettate per raccogliere e condividere dati. Non sono progettate per far rispettare la separazione giuridica tra i dati fattuali condivisi sui clienti e gli obblighi di valutazione del rischio indipendenti e non condivisibili che ogni soggetto obbligato deve adempiere per conto proprio.

Una piattaforma KYC generica che raccoglie documenti e li condivide tra le parti gestisce solo il primo livello. Non fornisce alcun meccanismo strutturato che consenta a ciascuna parte di condurre e registrare in modo indipendente la propria classificazione del rischio, la determinazione dell'EDD o la valutazione dei sospetti all'interno dello stesso ambiente. I dati e l'obbligo di conformità sono disaccoppiati e non esiste la documentazione normativa richiesta per dimostrare la conformità indipendente da parte di ciascun soggetto obbligato.

Non si tratta di una lacuna operativa di poco conto. Ai sensi dell'AMLR, l'incapacità di dimostrare una valutazione del rischio indipendente da parte di ciascun soggetto obbligato costituisce una violazione della conformità per ogni parte che ha ricevuto dati condivisi senza produrre una propria valutazione documentata.

Immosurance: l'unica piattaforma che offre entrambi i livelli in un unico ambiente conforme al GDPR

Immosurance è l'unica piattaforma di conformità AML in Europa appositamente progettata per il settore immobiliare che offre entrambi i livelli dell'architettura di condivisione KYC conforme all'interno di un unico ambiente integrato e conforme al GDPR.

Il livello centrale — verifica dell'identità, mappatura degli UBO, documentazione sulla proprietà societaria, prove della provenienza dei fondi e screening continuo di sanzioni, PEP e notizie negative sui media — può essere raccolto una sola volta e reso disponibile a più soggetti obbligati nell'ambito del quadro giuridico e di protezione dei dati consentito. Ciò elimina la duplicazione che ha caratterizzato la conformità immobiliare multiparte e riduce l'onere per i clienti a cui, storicamente, è stato chiesto di ripetere lo stesso processo di verifica con ciascuna parte coinvolta nella transazione.

Il livello specifico per entità è applicato come strutturalmente separato all'interno della piattaforma. Ogni entità soggetta a obblighi che utilizza Immosurance mantiene il proprio dossier di conformità indipendente, la propria valutazione dei rischi documentata, il proprio flusso di lavoro EDD e il proprio registro di segnalazione — nessuno dei quali è accessibile o condiviso con altre parti. L'architettura di accesso basata sui ruoli garantisce che ciò che ogni entità obbligata è tenuta per legge a determinare in modo indipendente sia, per sua natura, determinato in modo indipendente.

Nessun fornitore generico di KYC, servizio di verifica dell'identità o piattaforma di condivisione di documenti sul mercato offre questa combinazione. La separazione dei dati dei clienti condivisibili dall'obbligo di valutazione del rischio non condivisibile — entrambi applicati all'interno della stessa piattaforma, entrambi conformi al GDPR, entrambi pronti per l'audit — è una caratteristica unica di Immosurance.

Non si tratta di una funzionalità futura. Immosurance è già operativa oggi, a disposizione di agenti immobiliari, sviluppatori, avvocati e notai in tutta Europa, in 14 lingue, con un'architettura di condivisione KYC legalmente allineata alla direzione confermata dall'AMLR.

La distinzione giuridica è chiara. I requisiti tecnologici che ne derivano sono rigorosi. Immosurance è la risposta.

Tutti gli articoli
Offerta Early Bird

CONDIZIONI EARLY BIRD

Per gli early birds sono disponibili condizioni eccezionali che presto non saranno più disponibili. Assicuratevi oggi stesso la vostra tariffa preferita.
Visualizza i prezzi