Il Regolamento AML ha introdotto una innovativa disciplina in tema di information sharing AML (ovvero di condivisione delle informazioni a fini antiriciclaggio), tramite i c.d. “partenariati per la condivisione delle informazioni”, che possono costituirsi fra soggetti obbligati e/o autorità competenti (anche noti come partenariati pubblico-privati).
Come noto, gli schemi di riciclaggio di denaro più frequentemente accertati a livello unionale ed internazionale, sono sempre più ampi e complessi, in quanto presuppongono l’utilizzo di diversi intermediari, conti correnti, giurisdizioni, nonché canali di pagamento/ trasferimento di denaro, e tale complessità è oltremodo catalizzata dall’avvento di nuove tecnologie (come l’intelligenza artificiale) e nuovi strumenti di scambio di valori.
La possibilità, per i soggetti obbligati come banche e intermediari, di scambiarsi informazioni ai fini della lotta al riciclaggio (c.d. information sharing), moltiplica le possibilità di identificare le operazioni sospette da segnalare ed i clienti ad alto rischio: inoltre, l’inevitabile standardizzazione delle informazioni scambiate, potrebbe, a medio e lungo termine, ridurre i costi per l’intero sistema AML.
L’information sharing, tuttavia, implica altresì, al contempo, rischi da non sottovalutare per gli intermediari, come quelli legati alla privacy dei soggetti titolari dei dati oggetto di “scambio”, e di de-risking, ovvero di ostracizzazione ed esclusione di alcuni soggetti identificati ad alto rischio, sulla base di autonome valutazioni di alcuni intermediari.
Delle questioni qui richiamate, se ne discuterà ampiamente nella seconda parte del prossimo webinar organizzato dalla nostra Rivista il 23 ottobre 2025, “La Data Governance Antiriciclaggio”.
Preoccupazioni queste, fatte proprie dal Garante europeo per la protezione dei dati (EDPB), il quale, con lettera rivolta al Parlamento europeo, al Consiglio ed alla Commissione UE, lo scorso 28 marzo 2023 (in fase di elaborazione delle nuove disposizioni sui partenariati per la condivisione delle informazioni di cui al Regolamento AML), aveva richiesto in particolare di specificare chiaramente le basi giuridiche per la condivisione dei dati nell’ambito dei partenariati, nonché di garantire adeguatamente i diritti degli interessati.
Il Regolamento AML (Regolamento 2024/1624/UE), pertanto, introducendo un’innovativa disciplina sui partenariati, ha esplicitato in diverse disposizioni – a partire dai “considerando” del regolamento stesso – la necessità di trovare il giusto equilibrio fra la migliore lotta al riciclaggio di denaro, e la tutela dei diritti degli interessati.
Così, nei considerando 146-148 del Regolamento AML, viene infatti esplicitato che:
- è importante consentire ai soggetti obbligati di scambiare informazioni non soltanto tra membri di uno stesso gruppo, ma anche, in alcuni casi, tra enti creditizi e enti finanziari e altri soggetti che operano all’interno di reti, rispettando debitamente le norme in materia di protezione dei dati
- la condivisione delle informazioni dovrebbe essere soggetta a solide garanzie relative alla riservatezza, alla protezione dei dati, all’uso delle informazioni e alla procedura penale
- i soggetti obbligati non dovrebbero attenersi alle sole informazioni ricevute attraverso lo scambio di informazioni per trarre conclusioni sul rischio di riciclaggio in relazione al cliente o all’operazione o per prendere decisioni in merito all’instaurazione o alla cessazione di un rapporto d’affari o all’esecuzione di un’operazione
- i partenariati per la condivisione delle informazioni che comportano il trattamento di dati personali potrebbero presentare un rischio elevato per i diritti e le libertà delle persone fisiche: è quindi opportuno effettuare una valutazione d’impatto sulla protezione dei dati a norma del GDPR, prima dell’avvio delle attività del partenariato.
In base all’art. 75 del Regolamento AML, poi, che disciplina nel dettaglio la disciplina dei partenariati pubblico-privati, la condivisione delle informazioni deve essere gestita nel rispetto dei diritti fondamentali e delle garanzie procedurali giudiziarie.
In particolare, lo scambio delle informazioni deve essere posto in essere con gli opportuni presidi a tutela dei diritti degli interessati, così sintetizzabili:
- porre in essere una previa valutazione d’impatto (DPIA) ai sensi del GDPR
- le informazioni scambiate devono essere necessarie per l’adempimento degli obblighi di adeguata verifica (art. 19 Regolamento AML) e SOS (art. 69): conseguentemente, la condivisione di dati personali è consentita all’unico scopo AML/CTF (adeguata verifica, SOS, identificazione dei titolari effettivi e PEP)
- lo scambio delle informazioni sulle SOS può avvenire solo se la FIU (UIF in Italia), a cui è stata trasmessa la segnalazione, ha acconsentito
- i soggetti obbligati non traggono conclusioni, né adottano decisioni sulla base delle sole informazioni ricevute, senza aver prima valutato tali informazioni
- le informazioni generate dall’IA o dagli algoritmi possono essere condivise solo se i processi di generazione sono stati oggetto di un’adeguata sorveglianza umana
- i membri del partenariato garantiscono il rispetto del principio di minimizzazione di derivazione GDPR, per cui:
- l’information sharing è consentita solo per clienti il cui comportamento o attività è associato ad un alto rischio di riciclaggio o di finanziamento del terrorismo, o ai reati presupposto associati
- le informazioni che possono condividere non travalicano quelle tassativamente elencate nel comma 3 dell’art. 75 del Regolamento
Per poter avviare la condivisione delle informazioni nell’ambito di un partenariato pubblico-privato, che sia rispettoso del Regolamento AML e del GDPR, pertanto, le banche e gli intermediari finanziari sono chiamati a porre in essere adeguate misure tecniche ed organizzative, che garantiscano:
- pseudonomizzazione e cifratura
- sicurezza e riservatezza dei sistemi di trattamento e condivisione, ovvero opportune garanzie in termini di:
- riservatezza
- integrità
- disponibilità
- resilienza
- risposta e ripristino dei dati in caso di incidente
L’implementazione del sistema dei partenariati, in definitiva, in attesa che entro la fine di luglio 2026 l’AMLA elabori propri progetti di RTS sugli obblighi e requisiti minimi delle policy di gruppo (tra cui disposizioni minime per l’information sharing), pone banche ed intermediari innanzi a numerose sfide, soprattutto operative ed organizzative, che non potranno non coinvolgere le FIU, le uniche con una visione necessariamente più ampia di soggetti e transazioni.