La governance dei dati (tra i quali si annoverano quelli in materia AML) può essere definita in senso lato come l’insieme di regole e meccanismi di controllo che disciplinano la raccolta, l’accesso, l’archiviazione e l’elaborazione di dati provenienti da terze parti.
Nel contesto del crescente grado di digitalizzazione e di sempre più stringenti obblighi, per gli operatori, in materia antiriciclaggio, tale tematica si pone al contempo di importanza intuitiva e di elevata complessità: la capacità di raccogliere, unire o sfruttare set di dati, soprattutto in materia AML, può generare enormi opportunità ma anche rischi rilevanti.
Al profondo intreccio delle questioni correlate alla data governance ed alla gestione dei dati antiriciclaggio è dedicata la prima parte del prossimo webinar organizzato dalla nostra Rivista, il 23 ottobre 2025, “La Data Governance Antiriciclaggio”.
La normativa antiriciclaggio (AML), impone infatti specifici requisiti di due diligence sulla clientela e di monitoraggio delle operazioni, e ciò ancor prima dell’adozione del c.d. AML package UE.
Il D. Lgs. 231/2007 (a sua volta modificato dal D. Lgs. 90/2017 e dal D. Lgs. 125/2019, in attuazione della IV e della V Direttiva AML), in particolare, disciplina le modalità di produzione e conservazione dei documenti per l’antiriciclaggio, tra cui:
- l’obbligo di conservare documenti, dati e informazioni utili a contrastare le attività di riciclaggio o finanziamento del terrorismo (art. 31)
- le modalità di conservazione (art. 32)
A ciò si aggiungono le specifiche disposizioni di Banca d’Italia del 24 marzo 2020, per la conservazione e messa a disposizione dei documenti, dei dati e delle informazioni.
I soggetti obbligati, in particolare, sulla base del citato contesto regolamentare, sono tenuti a conservare adeguatamente:
- copia dei documenti acquisiti in occasione dell’adeguata verifica del cliente, dell’esecutore e del titolare effettivo
- informazioni specifiche:
- per i rapporti continuativi: il punto operativo di instaurazione del rapporto, la data di instaurazione e la data di chiusura del rapporto
- per le operazioni c.d. occasionali: la data di effettuazione, l’importo, il segno monetario, la causale dell’operazione e il mezzo di pagamento utilizzato.
Il sistema scelto per la governance dei dati AML deve assicurare, obbligatoriamente:
- l’accessibilità completa e immediata a tutti i documenti le informazioni
- l’acquisizione immediata di documenti, dati e informazioni da parte dei destinatari
- l’integrità dei documenti, dei dati e delle informazioni conservati
- la trasparenza, completezza e chiarezza dei dati, dei documenti e delle informazioni.
Gli operatori devono inoltre adottare idonee misure di sicurezza documentale che evitino la perdita, il danneggiamento o la manomissione delle informazioni conservate, anche in conformità alle disposizioni in materia di cybersecurity (DORA) e data protection (GDPR).
Una robusta data governance è quindi intuitivamente essenziale per la corretta applicazione della disciplina sull’antiriciclaggio, in quanto consente di gestire e conservare i dati AML in modo conforme, garantendo che le informazioni raccolte siano affidabili e tracciabili.
In tale contesto normativo e regolamentare – sempre in evoluzione, e che spesso si interseca con la disciplina posta da interventi normativo con finalità loro proprie (si pensi al contesto DORA e privacy) – si inserisce inoltre il nuovo AML package.
Il nuovo framework normativo, nella complessiva revisione della disciplina AML a livello UE, ha, per il tramite del Regolamento AML, introdotto importanti innovazioni inerenti il trattamento, l’aggiornamento e la conservazione dei dati AML:
- gli artt. 19 e ss. introducono obblighi di adeguata verifica della clientela (customer due diligence) armonizzati a livello UE, delegando quindi ad EBA la stesura di bozze di standard tecnici di regolamentazione (RTS) che specifichino le informazioni da raccogliere ai fini dell’esecuzione delle procedure standard, semplificata e rafforzata di adeguata verifica.
A tal proposito, EBA, nella bozza di RTS che presenterà alla Commissione entro il 31 ottobre 2025, ha proposto un quadro di riferimento nel quale gli istituti potranno scegliere l’approccio più appropriato, in base al principio di proporzionalità: ad esempio, EBA elenca i tipi di documenti e le fonti di informazione che gli istituti dovrebbero consultare, invece che specificare i documenti e le fonti stessi.
- l’art. 26, che introduce:
- una frequenza massima di aggiornamento dei dati dei clienti di almeno ogni 5 anni
- un aggiornamento dei dati “ad evento” (c.d. evento trigger), per cui i dati dei clienti vanno aggiornati ogni qualvolta intervenga un cambiamento, o i soggetti obbligati vengano a conoscenza di fatti pertinenti o abbiano un obbligo giuridico di contattare il cliente per riesaminare informazioni inerenti ai titolari effettivi
In tale contesto, ed in conformità alle disposizioni del nuovo Regolamento AML, si rende essenziale per i soggetti obbligati, primariamente, sviluppare politiche e procedure che consentano l’identificazione e la verifica della clientela sulla base di fonti affidabili e indipendenti, e di specifiche caratterizzazioni dei documenti e delle informazioni ricevute.
Inoltre, si rende opportuna per gli operatori l’implementazione di modelli c.d. event driven, ovvero basati sull’individuazione degli eventi trigger, che consentano l’aggiornamento nel continuo delle informazioni ottenute sulla base della customer due diligence, al fine ultimo di assicurare la miglior compliance altresì all’art. 26 del Regolamento AML.
