Servizi di pagamento c.d. PSD2: profili penalistici e possibili ricadute in tema di compliance aziendale

Negli anni recenti il mondo dei servizi di pagamento e dei servizi bancari e finanziari è stato interessato da importanti cambiamenti. In parte questi sono stati originati dall'incessante sviluppo dell'innovazione tecnologica, in parte sono stati indotti da interventi normativi. Sotto il profilo normativo, le principali cause del cambiamento sono rappresentate dalla seconda direttiva europea relativa ai servizi di pagamento nel mercato interno n. 2015/2366/UE del 25 novembre 2015 (c.d. Payment services directive 2 - PSD2), recepita nel nostro ordinamento dal decreto legislativo 15 dicembre 2017, n. 218, e dal regolamento UE 2015/751, che disciplina l'applicazione delle commissioni interbancarie ai pagamenti effettuati con strumenti basati sull'uso delle carte. Da ultimo, è stato pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 134 del 26 maggio 2020, il decreto legislativo 8 aprile 2020, n. 36 recante disposizioni correttive ed integrative del decreto legislativo di recepimento della direttiva (UE) 2015/2366, nonché di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015. Il succedersi degli interventi normativi, in un settore potenzialmente in grado di riguardare la quasi totalità della popolazione data la diffusività d questi nuovi servizi, può dunque implicare problematiche assai rilevanti in termini di compliance aziendale.

Come accennato, la PSD2 è stata recepita nel nostro Paese con il decreto legislativo n.218/2017, che ha aggiornato, da un lato, il testo unico bancario, nelle parti in cui esso disciplina gli istituti di pagamento (Titolo V-ter) e la trasparenza dei rapporti dei prestatori di servizi di pagamento con i clienti (Titolo VI), dall'altro, il decreto legislativo n. 10/2011, per i profili concernenti i rapporti contrattuali tra i prestatori di servizi di pagamento e i clienti.

Trattandosi di una direttiva di armonizzazione massima, volta a garantire un'applicazione uniforme del quadro legislativo in tutta l'Unione, sono stati pochi gli spazi di discrezionalità esercitati dal legislatore nazionale.

Una delle novità più importanti della PSD2 consiste nella individuazione di due nuovi servizi e di due intermediari abilitati a svolgerli: il servizio di disposizione di ordine di pagamento, in forza del quale si“dispone l'ordine di pagamento su richiesta dell'utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento”(PIS: payment initiation service);ed il servizio di informazione sui conti, ovvero il “servizio online che fornisce informazioni consolidate relativamente a uno o più conti di pagamento detenuti dall'utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento”(AIS: account information service).

Il prestatore di entrambi i servizi deve operare su un conto online acceso presso un altro prestatore di servizi di pagamento, al quale compete amministrare e gestire il conto per il medesimo cliente (cd. prestatore di servizi di pagamento di radicamento del conto).

È evidente la necessità che, per fornire siffatti servizi, siano potenziati, come la direttiva prevede, i presidi di sicurezza informatica dei pagamenti elettronici e il monitoraggio delle frodi, attribuendo all'European Banking Autorithy (EBA) la competenza per la definizione di standard tecnici di comunicazione sicura tra i Third Party Providers (TPPs), categoria che ascrive tanto i prestatori di servizi di disposizione di ordine di pagamento (PIS) tanto quelli di informazione sui conti (AIS), ed i prestatori di radicamento del conto (PSP).

L'attenzione prestata dalla PSD2 ai profili di sicurezza informatica a tutela della integrità e continuità operativa dell'intermediario, e nondimeno a tutela delle ragioni patrimoniali e personali

degli utenti dei servizi, opera già a partire dalla fase di valutazione dei requisiti per la concessione dell'autorizzazione all'intermediario, e successivamente nello svolgimento dell'attività di vigilanza: ciò costituisce un elemento di forte novità della seconda direttiva sui servizi di pagamento e testimonia, nonostante il tempo relativamente breve dall'emanazione della PSD1, la profonda evoluzione avvenuta nell'attività di questi intermediari i cui servizi sono stati segnati da una profonda rivoluzione tecnologica di cui occorre tener conto nello svolgimento dell'attività di controllo e vigilanza. Nella valutazione di tali profili non può escludersi l'esercizio di una discrezionalità tecnica da parte dell'Autorità di vigilanza designata anche con riferimento alla richiesta di registrazione presentata dagli AISPs.

Il rilascio dell'autorizzazione per l'esecuzione dei servizi di disposizione d'ordine dà luogo, come per gli altri servizi di pagamento, all'iscrizione dell'istituto richiedente e dei relativi agenti in un pubblico registro liberamente consultabile, accessibile on line e tempestivamente aggiornato, presso lo Stato membro di origine (art. 14, commi 1 e 2, PSD2). Medesima pubblicità viene osservata per i provvedimenti di revoca delle autorizzazioni e di revoca delle esenzioni; nello stesso registro sono separatamente iscritte anche le persone fisiche o giuridiche che sono state registrate per lo svolgimento dei soli servizi di informazione sui conti e sono pubblicizzati i provvedimenti di revoca di detta registrazione.

L'EBA detiene inoltre un proprio registro elettronico centrale, di nuova istituzione, nel quale vengono concentrate tutte le informazioni iscritte nei rispettivi registri nazionali. Il registro dell'EBA, pubblicato sul sito web dell'Autorità e consultabile gratuitamente, deve consentire al cittadino facile accesso e agevole ricerca delle informazioni.

Anche gli istituti di pagamento che svolgono il ruolo di TPPs, ivi compresi gli AISPs registrati, sono pertanto soggetti alla vigilanza informativa e ispettiva delle autorità nazionali competenti (art. 23, comma 1, par. 2, lett. a) e b)), nonché alle disposizioni di soft law (raccomandazioni e orientamenti) e ai provvedimenti amministrativi vincolanti di queste ultime (art. 23, comma 1, par. 2 lett. c)). L'autorità può adottare provvedimenti di sospensione o revoca dell'autorizzazione al ricorrere delle condizioni previste dall'art. 13 della PSD2 (art. 23, comma 1, par. 2 lett. d)) e comminare sanzioni amministrative nei confronti di detti intermediari o di coloro che di fatto controllano l'attività degli istituti di pagamento che si siano resi colpevoli di infrazioni alle disposizioni legislative, regolamentari o amministrative in materia di vigilanza o di esercizio dell'attività di servizi di pagamento, o adottare nei loro confronti provvedimenti la cui applicazione è diretta specificamente a far cessare le infrazioni accertate o a rimuoverne le cause (art. 23, comma 2).

In sede di recepimento è stata quindi ampliata la definizione normativa dei servizi di pagamento, ricomprendendovi anche il servizio di disposizione di ordini di pagamento e quello di informazione sui conti (cfr. art. 1, lett. h-septies.1, nn.7) e 8) TUB) che, al pari degli altri servizi di pagamento, sono adesso riservati ai prestatori di servizi di pagamento (art.114-sexies TUB).

Tale riserva risulta penalmente presidiata dalla fattispecie criminale già prevista dall'art. 131-ter TUB.

Non sembra ostare all'applicazione di tale fattispecie penale anche all'esercizio abusivo della prestazione di servizi di informazione sui conti il fatto che il citato art. 131-ter individui l'abusivismo nell'assenza dell'autorizzazione disciplinata dall'art. 114-novies.

Infatti, ancorché la PSD2 qualifichi il provvedimento di accesso allo svolgimento di tali servizi come una registrazione, e non come un'autorizzazione, nella disciplina di recepimento la differenziazione del regime di ingresso sul mercato degli AISPs rispetto agli altri istituti si affievolisce, essendo richiesta anche per i primi – in linea con le previsioni dell'Unione – una verifica del possesso di requisiti tecnici rimessa alla valutazione tecnico discrezionale della Banca d'Italia, quale autorità nazionale competente.

La Banca d'Italia, d'altro canto, coerentemente con l'attribuzione di un potere di verifica dei requisiti di accesso al mercato degli AISPs di carattere non meramente ricognitivo, nella propria disciplina attuativa (provvedimento del 23 luglio 2019, Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica) qualifica il proprio provvedimento come autorizzazione, e non registrazione, anche con riferimento ai prestatori che svolgono servizi di informazioni sui conti.

Nel corso del procedimento viene valutata, fra l'altro, la sussistenza del possesso da parte dei soggetti che svolgono funzioni di amministrazione, direzione e controllo nell'AISP dei requisiti di idoneità, previsti, per rinvio, dall'art. 26 del TUB in materia di esponenti aziendali delle banche.

Pertanto, al di là della diversa qualificazione nominalistica del provvedimento adottato dall'Autorità, esso resta contrassegnato dall'esercizio di una discrezionalità tecnica in merito all'accertamento dei requisiti di iscrizione che, nel nostro ordinamento, caratterizza i provvedimenti autorizzativi.

In concreto, anche per gli AISPs, l'Autorità non dovrà limitarsi ad una mera ricognizione di elementi oggettivi di cui prendere atto per far luogo alla necessaria registrazione del prestatore, piuttosto dovendo verificare il possesso in capo ai richiedenti di specifici requisiti tecnici, ancorché semplificati rispetto a quelli imposti agli altri istituti di pagamento in considerazione delle peculiari caratteristiche del servizio di informazione sui conti; essa è quindi tenuta a condurre un accertamento tecnico discrezionale utilizzando i parametri valutativi da essa individuati in linea con la disciplina primaria.

A questo proposito, si può menzionare la necessità di vagliare: il programma di attività relativo allo specifico tipo di servizi di pagamento; il piano aziendale per verificare che il richiedente sia in grado di utilizzare i sistemi, le risorse e le procedure adeguati e proporzionati ai fini di una sana gestione; la procedura di monitoraggio e gestione degli incidenti relativi alla sicurezza; la procedura di archiviazione, monitoraggio e gestione dei dati sensibili relativi ai pagamenti; la procedura che assicuri la continuità operativa; il documento relativo alla politica di sicurezza, la copertura assicurativa o la stipula di un'analoga garanzia per la responsabilità nei confronti del prestatore di servizi di pagamento di radicamento del conto o dell'utente dei servizi di pagamento derivante dall'accesso non autorizzato o fraudolento alle informazioni del conto di pagamento o dall'uso non autorizzato o fraudolento delle stesse.

Si tratta dunque di esaminare preliminarmente procedure e documenti che impongono una valutazione di merito ancorché di carattere tecnico da parte dell'Autorità, che dunque non è chiamata a registrare automaticamente il prestatore che abbia fatto richiesta di svolgere i servizi di AIS.

La disciplina nazionale ha introdotto anche dei limiti all'accesso ai conti di pagamento da parte dei terzi prestatori di servizi di pagamento (art. 6-bis d.lgs. n. 11/2010).

In particolare, il PSP di radicamento del conto può rifiutare l'accesso “per giustificate e comprovate ragioni connesse all'accesso fraudolento o non autorizzato al conto di pagamento” da parte dei prestatori di servizi di informazione sui conti o di disposizione di ordine di pagamento, “compresi i casi di ordini di pagamento fraudolenti o non autorizzati”.

In tali casi, il prestatore di radicamento del conto è tenuto ad informare i TPPs, possibilmente anche prima di formalizzare il rifiuto, comunicandone i motivi, salvo che vi ostino ragioni di ordine pubblico o di pubblica sicurezza, individuate con proprio regolamento dal Ministro dell'economia e delle finanze o altri giustificati motivi connessi con l'applicazione delle disposizioni in materia di riciclaggio e finanziamento del terrorismo.

Il rifiuto di accesso al conto e le ragioni che lo hanno determinato devono essere comunicate immediatamente anche alla Banca d'Italia, la quale “effettua le valutazioni di competenza e, ove necessario, adotta le misure ritenute opportune” (art. 6-bis, comma 2, d.lgs. n. 11/2010).

Il citato art. 6-bis assimila alle ipotesi di accesso non autorizzato al conto, che possono legittimamente determinare un rifiuto di colloquio da parte del prestatore di radicamento del conto, le ipotesi di ordini di pagamento fraudolenti o non autorizzati e l'individuazione di questi ultimi comporta un'attenta valutazione delle ipotesi in cui, in via generale, il consenso all'operazione di

pagamento correttamente prestato sia stato successivamente legittimamente revocato dall'utente.

Si tratta di circostanze che rilevano in termini di “rischio operativo”, ovvero il rischio che carenze nei sistemi informativi o procedure interne, errori umani, carenze gestionali (…) provochino la riduzione o la sospensione dei servizi forniti» dal sistema, e che comunque determinino perdite (cfr. art. 2, n. 10 del regolamentoBCE n. 795/2014)

Il rischio operativo è intrinsecamente connesso allo svolgimento di qualsiasi attività aziendale e considera le perdite inattese causate, oltre che da eventi esterni imprevisti tipicamente di natura non finanziaria (furti, atti vandalici e terroristici, terremoti…), da malfunzionamenti o inefficienze nella gestione dei sistemi interni (rischio informatico, rischio di trading), dei processi produttivi (politiche creditizie, sistemi di pagamento), delle risorse umane (comportamenti erronei o dolosi dei dipendenti).

Mentre per le imprese non finanziarie il rischio operativo rappresenta il “vero” rischio legato allo svolgimento del business, negli intermediari finanziari esso viene spesso identificato, in modo residuale rispetto al quelli di mercato e di credito.

Per altro, nei sistemi di pagamenti, il rischio operativo assume connotati peculiari: falsificazione, contraffazione e clonazione degli strumenti; frode per la loro appropriazione e indebito utilizzo, il cd. phishing che consente di ottenere, in modo ingannevole, l'accesso ai dati necessari per disporre pagamenti fraudolenti.

Al rischio operativo si accompagna quello di compliance, ovvero il rischio di non conformità alle norme: si tratta del rischio di incorrere in sanzioni giudiziarie e amministrative, perdite finanziarie rilevanti e danni di reputazione in conseguenza di violazione di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di Autoregolamentazione).

Comportamenti scorretti ed il mancato rispetto di norme e procedure, frequentemente all'origine di rischi di credito o di mercato, espongono l'intermediario a sanzioni e richieste di risarcimento danni o annullamento dei contratti e hanno, se resi di dominio pubblico, un effetto sulla reputazione.

La perdita di reputazione si traduce tipicamente in una riduzione dei volumi di attività e in un aggravio di costi (soprattutto di raccolta). Il rischio di reputazione ha, quindi, natura consequenziale, quale risultato di una trasformazione di altre forme di rischio che hanno impatto sui processi (rischio operativo e di compliance) in presenza sia di una diretta responsabilità della banca nell'adozione di scelte con effetti negativi; sia dell'attivazione di specifiche variabili reputazionali (tipologia di business ed esposizione ai processi di comunicazione).

Tuttavia, affinché gli operatori finanziari siano in grado di scongiurare il rischio di compliance, è opportuno che si chiarisca il quadro normativo complessivo, al momento composto da norme contenute in discipline diverse che comprendono, oltre alla seconda Direttiva sui servizi di pagamento (PSD2), anche il nuovo Regolamento 2016/679 (GDPR), sostituivo della Direttiva 95/46, la quarta Direttiva antiriciclaggio (AMLD4) e la Direttiva sulla cybersicurezza (NIS). Devono, in particolare, essere identificate le regole applicabili a ciascun rapporto e risolte eventuali sovrapposizioni o contraddizioni.

Il GDPR include la sicurezza tra i principi generali che presiedono all'attività di trattamento dei dati (art. 5, comma 1, lett. f); riceve poi un inquadramento generale con la Direttiva sulla cybersicurezza (NIS); emerge infine, in maniera più specifica, nell'ambito delle direttive che regolano il mercato finanziario. Ad esempio, è posto dall'art. 16, comma 5, della MiFiD II, mentre l'art. 17 richiede esplicitamente per le imprese che svolgono “negoziazione algoritmica” di garantire che i sistemi siano testati e monitorati in maniera adeguata e che siano in grado di assicurare la regolarità e la continuità del servizio e una contrattazione ordinata.

L'Art. 95 della PSD2, a sua volta, richiede ai prestatori di servizi di pagamento di mettere a punto un sistema di gestione dei rischi operativi e di sicurezza, nonché degli eventuali incidenti.

Il tema, infine, è al centro del Piano d'azione sul FinTech (la rivoluzione digitale applicata all'ambito delle attività finanziarie) promosso dalla Commissione europea, che lo indica tra quelli prioritari di intervento: gli allarmi sui cyber-attacchi minano, infatti, la fiducia dei consumatori, e rappresentano una minaccia per la stabilità del sistema finanziario. A questo riguardo è considerato essenziale un approccio integrato, che prevede l'adozione da parte dei fornitori di servizi digitali di un principio di “security by design” e la verifica tramite un meccanismo di certificazione all'interno di un quadro di disciplina uniforme, allo scopo sia di migliorare la qualità delle misure di sicurezza in generale sia di favorire le attività transfrontaliere soggette a requisiti e standard omogenei.

Oltre alle misure preventive rivolte a rafforzare la resilienza dei sistemi, il contrasto alle intrusioni illecite nei database delle imprese passa anche per la segnalazione tempestiva degli accessi non autorizzati. In particolare, in caso di violazioni dei dati personali sono previsti obblighi di notifica. Gli artt. 33 e 34 del GDPR prevedono, rispettivamente, l'onere di comunicare tali eventi tanto all'autorità nazionale di controllo quanto all'interessato. Tuttavia, lo stesso legislatore europeo si avvede del concreto rischio che un'applicazione eccessivamente scrupolosa della prescrizione metta ingiustificatamente in allarme i clienti ed esclude, pertanto, l'obbligo di notifica al Garante quando “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Sono previste altresì esclusioni dell'obbligo di notifica agli interessati, che non devono essere allarmati qualora i dati «sotto attacco» siano cifrati e, dunque, incomprensibili a soggetti non autorizzati ad accedervi (art. 34, comma 3, lett. a); nel caso in cui il titolare del trattamento abbia adottato misure atte a scongiurare il sopraggiungere di un rischio elevato (lett. b), ovvero quando la comunicazione individuale richiederebbe sforzi sproporzionati (lett c). Il titolare del trattamento può chiedere ai garanti nazionali di filtrare la necessità di effettuare queste notifiche e di verificare la sussistenza delle condizioni per l'esenzione, sollevandosi così dal gravoso onere di valutare autonomamente l'importanza e la pericolosità della violazione. Per altro verso, la protezione elevata dei dati personali non può costituire impedimento o motivo di esonero dall'obbligo di condividere le informazioni sulle violazioni o gli accessi non autorizzati, poiché il GDPR individua come interesse legittimo tale da giustificare il trattamento dei dati, in misura necessaria e proporzionata, quello di garantire la sicurezza delle reti, dell'informazione e dei servizi offerti (considerando 49).

La presenza di una pluralità di intermediari nella catena del valore relativa alla prestazione dell'attività da parte di un PISP o di un AISP rende complessa l'attribuzione a ciascun soggetto degli obblighi previsti dalla normativa in materia di contrasto del riciclaggio e del finanziamento del terrorismo di cui al d.lgs. n.231 del 21 novembre 2007, modificato dal d.lgs. n. 90 del 25 maggio 2017.

Con riferimento ai soggetti obbligati, le attività di disposizione di ordini di pagamento e di informazione sui conti possono essere prestate da qualunque intermediario abilitato alla prestazione di servizi di pagamento (dunque banche, istituti di moneta elettronica ed istituti di pagamento) specificamente autorizzato all'uopo.

Rispetto tuttavia agli altri servizi di pagamento, le attività di disposizione di ordini di pagamento e di informazione sui conti non prevedono, da parte del soggetto abilitato alla prestazione di tali servizi, l'intermediazione di alcun valore monetario. Infatti per la prestazione di questi servizi non è necessario avere la disponibilità di mezzi di pagamento intestati al disponente un ordine di pagamento, oppure non è necessario adempiere ad alcuna obbligazione pecuniaria derivante dall'esecuzione dei servizi stessi.

In considerazione dell'assenza di mezzi finanziari oggetto di intermediazione, gli obblighi in materia di contrasto del riciclaggio e del finanziamento del terrorismo, fondamentalmente, si riducono ad un'adeguata verifica della clientela che richieda la prestazione del servizio; al monitoraggio delle operazioni di disposizione degli ordini di pagamento; alla restituzione delle informazioni aggregate, oltre ovviamente alla conservazione dei dati, delle informazioni e dei documenti derivanti dalla prestazione di tali attività.

Il ridotto numero di obblighi, in particolar modo in materia di adeguata verifica della clientela ovviamente è applicabile solo allorquando l'intermediario che presti le attività di PISP o di AISP, si limiti a tali servizi e dunque il rapporto con il cliente sia esclusivamente loro dedicato.

Tali obblighi qualitativamente ridotti infatti sono in funzione delle peculiarità del servizio prestato.

Per quanto riguarda gli obblighi di identificazione formale del cliente, dell'eventuale titolare effettivo e degli eventuali soggetti deputati ad operare in nome e per conto del cliente, di acquisizione e di valutazione delle informazioni relative allo scopo e alla natura dei servizi prestati, essi vanno eseguiti alla stessa stregua e con lo stesso approccio qualitativo rispetto a quanto sarebbe eseguito da qualunque altro intermediario, in riferimento a qualunque altra attività continuativa prestata da un soggetto del settore finanziario.

Ben diversa è la situazione rispetto agli obblighi di controllo costante dell'andamento del rapporto contrattuale (monitoraggio).

In questa situazione la limitata attività prestata dai soggetti in parola rende l'esecuzione di tali obblighi, come detto, molto più complessa.

Vanno distinte intanto le due situazioni.

In riferimento al servizio di disposizione di ordini di pagamento, il suo oggetto sono appunto le disposizioni di trasferimento di mezzi di pagamento che il prestatore, dietro indicazioni del titolare del conto, fornisce all'intermediario dove è radicato il conto.

Il prestatore non ha altre informazioni se non quelle relative alle disposizioni di volta in volta impartite e quelle che gli sono state fornite nella fase genetica del rapporto con il cliente. Sulla base di queste, l'unica possibilità che il prestatore ha di adempiere correttamente agli obblighi di monitoraggio è riconducibile all'analisi di congruità e ragionevolezza delle disposizioni impartite rispetto alla posizione economico-finanziaria desumibile dalle informazioni fornite dal cliente stesso oppure ricavate attraverso fonti esterne o documenti indipendenti e/o formali. Diversamente da altri intermediari presso i quali sono “visibili” le disponibilità finanziarie del cliente, il prestatore è assolutamente “cieco” rispetto a tale situazione. Ne deriva come al di là del richiedere alla bisogna informazioni al cliente stesso, l'analisi del PISP possa essere falsata appunto dall'assenza delle informazioni complessive. Rispetto a tale situazione il prestatore non avrebbe altra alternativa che ritenere comunque sospetta l'operatività (o la singola operazione di disposizione dell'ordine) e pertanto segnalarla alla Unità di Informazione Finanziaria (UIF).

La stessa valutazione potrebbe invece non essere effettuata dall'intermediario presso il quale è radicato il conto. Questi giuridicamente è il soggetto deputato all'esecuzione dell'ordine di trasferimento dei mezzi di pagamento, ovviamente nei limiti delle disponibilità liquide presenti sul conto stesso. Poiché tale intermediario (contrariamente al PISP) ha maggiore cognizione della situazione economico-finanziaria del cliente ed in particolare dell'origine, normalmente lecita, dei fondi, ha anche la migliore posizione per effettuare una più compiuta valutazione.

Ne deriva come, mentre l'eventuale segnalazione di un'operazione sospetta effettuata dal prestatore potrebbe non essere seguita dalla segnalazione dell'intermediario presso il quale è radicato il conto, il contrario non dovrebbe accadere. Infatti a fronte della medesima operazione, le ragioni del sospetto dovrebbero essere oggettivamente tanto più fondate/infondate quante più informazioni sul soggetto siano a disposizione di un intermediario.

Conseguentemente se è normale che il PISP segnali e l'intermediario presso il quale è radicato il conto di pagamento non segnali, se questi ha invece ritenuto sospetto l'ordine di pagamento come disposto dal PISP, il PISP dovrebbe aver effettuato la medesima valutazione. Perché ciò succeda, sarebbe auspicabile una collaborazione (possibilmente attraverso protocolli di condivisione dei dati) tra i diversi intermediari, in un caso al fine di non subissare la UIF di segnalazioni basate su analisi parziali e nell'altro per rafforzare la coesione del settore finanziario rispetto allo stesso accadimento.

Lo stesso approccio andrebbe tenuto qualora l'analisi si sposti dall'ammontare dell'operazione di pagamento eseguita per mezzo dell'ordine disposto dal prestatore, all'analisi della posizione relativa al destinatario del pagamento.

Il PISP nell'ambito del controllo costante del rapporto e dell'operatività a valere sullo stesso, potrebbe ritenere sospetta la richiesta di impartire una disposizione di un ordine di pagamento a valere su di un determinato beneficiario.

Per contro la stessa analisi potrebbe dare un risultato diverso se effettuata dall'intermediario presso il quale è radicato il conto, sulla base della complessiva operatività anche storicizzata.

Più insidiosa per l'intermediario presso il quale è radicato il conto è invece l'ultima situazione. Un cliente potrebbe infatti aprire più rapporti di disposizione di ordini di pagamento con diversi PISP al fine di frazionare l'operatività (sia quantitativamente che nei confronti del medesimo beneficiario degli ordini) e confondere l'intermediario presso il quale è radicato il conto di pagamento. Questi dovrebbe dotarsi di strumenti di analisi anche delle operazioni impartite da terzi (tra cui probabilmente anche una forma di registrazione del PISP come delegato ad operare) al fine di poter aggregare le stesse per ammontare, ma soprattutto per destinatario del pagamento. Infatti potrebbe costituire un indicatore di anomalia il fatto che l'intermediario sia chiamato ad eseguire una pluralità di pagamenti a favore del medesimo beneficiario a fronte di disposizioni provenienti da diversi PISP a valere sul medesimo conto. In tal caso, si ritiene che, acclarato il motivo del sospetto dato dall'unificazione logica ed economica delle diverse operazioni, l'intermediario dovrebbe procedere con una segnalazione di operazione sospetta, eventualmente informando i diversi PISP per i provvedimenti di loro spettanza.

In riferimento al servizio di informazioni dei conti, oggetto del servizio è l'aggregazione delle informazioni provenienti da più conti e la presentazione delle stesse per categorie di spese.

Ad una prima analisi, il prestatore effettivamente non ha molto da controllare, unificando e mostrando al cliente giusto delle informazioni sull'operatività pregressa avvenuta sui conti del cliente stesso.

In realtà, anche l'attività dell'AISP presenta un profilo interessante per il contrasto del riciclaggio e del finanziamento del terrorismo. Proprio l'aggregazione delle informazioni potrebbe dare all'AISP la possibilità di rilevare incongruenze complessive dal lato delle spese e delle disposizioni varie, rispetto al profilo economico-finanziario del cliente, il quale sul punto dovrebbe essere sollecitato dall'AISP a fornire tali informazioni. Infatti l'aggregazione dei dati da parte dell'AISP risolve i limiti informativi derivanti dalla possibile esistenza di altri intermediari che prestino servizi di pagamento, che impediscono a ciascun soggetto obbligato di svolgere un'analisi complessiva, ed assolve invece alla funzione di rappresentare un quadro completo non solo al cliente ma anche alle

autorità di vigilanza.

La presenza di più intermediari che prestino i servizi di disposizione di ordini di pagamento, esecuzione degli stessi, informazione sui conti ed apertura dei conti, fraziona l'applicazione delle disposizioni in materia di contrasto del riciclaggio e del finanziamento del terrorismo. Ciò è frutto della suddivisione di compiti e della disciplina propria di tali servizi.

La risposta dell'ordinamento, ma soprattutto degli intermediari, rispetto agli obiettivi normativi non può essere più basata su di un loro rispetto da parte del singolo soggetto, ma deve vedere l'instaurazione di forme di collaborazione che permettano, a latere dei rapporti contrattuali tra TPP ed intermediari dove sono radicati i conti di pagamento, la creazione di protocolli procedurali supportati da sistemi informatici di scambio delle informazioni. Si ritiene che oltre ad un intervento delle autorità di vigilanza, sul punto sarebbe molto efficace ed efficiente un comune intervento delle associazioni delle diverse categorie di operatori, volto a definire i meccanismi di collaborazione attiva e procedure comuni da integrare in quelle proprie di ciascun intermediario e, in prospettiva, anche della conduzione dell'esercizio annuale di autovalutazione del rischio di riciclaggio e di finanziamento del terrorismo al quale ogni intermediario è esposto e rispetto al quale l'interconnessione data dalla prestazione del servizio di disposizione di ordini di pagamento costituisce un elemento di incremento del rischio, proporzionale alla perdita di controllo di alcune fasi del processo di iniziazione dell'ordine e di acquisizione della clientela.

Per quanto sopra esposto plurime appaiono le possibili ricadute dirette in termini di responsabilità amministrativa degli enti, d.lgs. 231/2001.

Gli accessi fraudolenti e non autorizzati, laddove commessi nell' interesse o a vantaggio dell'ente da soggetti “apicali” o da soggetti sottoposti alla direzione o alla vigilanza di quest'ultimi, ricadono nell'ambito applicativo dell'art. 24-bisd.lgs. 231/2001. L'articolo, Delitti informatici e trattamento illecito di dati, aggiunto dall'art. 7 della legge n. 48 del 2008, ha attratto nella sfera della responsabilità dell'ente: i delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies, del codice penale per cui si applica all'ente la sanzione pecuniaria da cento a cinquecento quote; quelli di cui agli articoli 615-quater e 615-quinquies del codice penale, per cui si applica all'ente la sanzione pecuniaria sino a trecento quote; i delitti di cui agli articoli 491-bise 640-quinquies del codice penale per i quali, salvo quanto previsto dall'articolo 24 del decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.

In tutti questi casi è inoltre prevista l'applicazione delle sanzioni interdittive di cui all'art. 9 del decreto.

Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio, sempre alle condizioni sopra indicate, rilevano ai sensi dell'art. 25-octies (articolo aggiunto dall'art. 63, del d.lgs. n. 231 del 2007) con l'applicazione congiunta delle sanzioni pecuniarie ed interdittive.

Apparentemente sembrerebbe, invece, esorbitare dall'ambito di applicazione del decreto 231/2001 l'esercizio abusivo della prestazione di servizi di informazione sui conti.

Tuttavia la “dimensione” societaria che connota i possibili reati connessi al PSD2 consente di ipotizzare la sussumibilità delle violazioni connesse all'art. 131-ter TUB nell'ambito applicativo dell'art. 24-ter, Delitti di criminalità organizzata (articolo aggiunto dall'art. 2, comma 29, legge n. 94 del 2009), in riferimento, in particolare, al comma 2: In relazione alla commissione di taluno dei delitti di cui all'articolo 416 del codice penale, ad esclusione del sesto comma, ovvero di cui all'articolo 407, comma 2, lettera a), numero 5), del codice di procedura penale, si applica la sanzione pecuniaria da trecento a ottocento quote, oltre alle sanzioni interdittive.

Ciò, del resto, appare coerente con quella è che è la concreta esperienza giudiziaria: da ultimo cfr. Cass. pen. Sez. I, Sent., (ud. 08-11-2018) 21-02-2019, n. 8022 concernente violazioni del D.Lgs. n. 385 del 1993, art. 131-ter commesse in ambiti associativi. In altri casi tale dimensione associativa è stata financo connotata da profili di transnazionalità (Cass. pen. Sez. I, 8/11/2018, n. 2387).

Sotto questo profilo appaiono da prediligersi quei Modelli che, con specifico riferimento al risk assessment concernente i reati di criminalità organizzata e, più in particolare, il delitto di associazione per delinquere (art. 416 c.p.), prevedono due successivi livelli di approfondimento.

In un “primo livello”, le analisi da svolgersi devono essere focalizzate sul rischio di realizzazione dei delitti in questione di per sé considerati, quindi con preciso riferimento alla valutazione del sistema di controlli “as is” rispetto ad un assetto di controlli ideale e di conseguenza alla definizione dei presidi e protocolli ai fini della prevenzione della commissione di tali fattispecie di reato.

In un “secondo livello”, con specifico riferimento al delitto di associazione per delinquere (art. 416. c.p.) deve rivolgersi una particolare attenzione, secondo un'impostazione già condivisa dalla dottrina, alla possibile realizzazione dei “delitti fine” con l'obbiettivo di definire degli ulteriori presidi e protocolli di prevenzione, rispetto a quelli identificati nel “primo livello”.

Tale approccio, sebbene non previsto dalla lettera dell'art. 24-ter del decreto, che si limita a richiamare, quale reato presupposto, il delitto di associazione per delinquere di cui all'art. 416 c.p., e non i singoli “delitti fine” alla realizzazione dei quali l'associazione criminosa è finalizzata, pare essere il più prudente.

In tal modo, infatti, si estende il perimetro di analisi, con l'obiettivo di definire ulteriori presidi e protocolli di prevenzione, focalizzando l'attenzione, da un lato, rispetto alla configurabilità di detti delitti fine in forma “associativa” e, dall'altro, rispetto alla loro ragionevole ed ipotetica realizzabilità in ambito o contesto aziendale.

Secondo tale impostazione, vengono dunque identificati specifici “delitti fine” tra quelli che più frequentemente sono contestati dagli organi inquirenti in ambito aziendale e per i quali, il rischio di realizzazione appare astrattamente maggiore, anche alla luce dell'assetto organizzativo e di business di ogni società.

È evidente che, secondo tale condivisibile prospettiva, l'esercizio abusivo della prestazione di servizi di informazione sui conti deve essere considerato quale possibile “reato fine” dell'associazione.

Le possibili, ed invero cospicue, interazioni tra PSD2 e “modelli 231” dovrebbero consigliare una particolare prudenza nella loro elaborazione.

Tuttavia, nonostante lo straordinario interesse suscitato in dottrina per l'applicazione del d.lgs. 231/2001, i dati, come già ricordato in altro contributo su questa Rivista, dimostrano, in realtà, il suo totale assoggettamento alla discrezionalità dell'organo di Accusa.

Rileva un autorevole commentatore: basti pensare che in un distretto giudiziario come quello di Milano, dove la sensibilità al tema della criminalità economica è, come è noto, storicamente più viva che in altre zone del Paese, la maggior parte delle società sparisce dai radar della procura: solo il 10% - 15% di annotazioni a carico degli enti viene registrato (i dati variano leggermente dal 2015 al 2017, ultima rilevazione disponibile, con un trend stabile). Nell'85%, 90% dei casi, dunque, si procede solo contro il vertice o il sottoposto e si “risparmia” la società, benché questa sia coinvolta nella vicenda.

Il confronto con il dato nazionale risulta, a suo volta, impietoso: sono stati confrontati il Movimento dei procedimenti penali con autore noto rilevati presso gli uffici giudicanti e requirenti (dato nazionale degli anni giudiziari 2014/2015), commentato nella nota di sintesi alla Relazione del Ministro della Giustizia sull'amministrazione della giustizia per l'anno 2016 compilata il 18 gennaio 2017 dal Gabinetto del Ministro per l'inaugurazione dell'anno giudiziario 20171, e i dati relativi a procedimenti iscritti e definiti nei tribunali italiani (sezioni G.i.p./G.u.p. e dibattimento) negli anni 2014/2015 inerenti la responsabilità di enti per illeciti amministrativi dipendenti da reato resi disponibili dalla Direzione Generale di Statistica e Analisi Organizzativa (DG-Stat) presso il Ministero della Giustizia.

Lo scenario emerso, pure con inevitabili approssimazioni, è il seguente: in fase di indagini e udienza preliminare, a fronte di 887.098 procedimenti iscritti e 889.610 procedimenti definiti a carico di autore noto si rilevano 900 procedimenti annotati e 713 procedimenti definiti nei confronti di persone giuridiche; in fase dibattimentale, a fronte di 369.068 procedimenti iscritti e 341.925 procedimenti definiti a carico di autore noto, risultano 772 procedimenti annotati e 522 procedimenti definiti nei confronti di società.

Questi dati indicano il concreto rischio di un declino dell'istituto che, invece, doveva rivoluzionare e contraddistinguere il rapporto tra giurisdizione ed economia.

Occorre interrogarsi su questo trend negativo dell'applicazione della responsabilità della persona giuridica dovuto a plurimi fattori quali la difficoltà nel suo accertamento, l'aumento dei soggetti processuali in procedimenti già di per sé complessi, l'aumento dei tempi processuali che genera nei procedimenti a rischio di prescrizione ed altro.

La causa del decremento è stata individuata dalla Procura della Repubblica di Milano stessa e così ripetutamente declinata: «Questa situazione deriva, in primo luogo, dalla scelta operata da molti PM di ritenere discrezionale l'iscrizione della persona giuridica»; «Questa situazione deriva, in primo luogo, dall'interpretazione, nel senso della discrezionalità dell'iscrizione della persona giuridica»; «La ragione di fondo è che l'iscrizione della persona giuridica è ritenuta ancora una valutazione discrezionale anche se, ad esempio nel caso di responsabilità degli apicali, dovrebbe essere effettuata di default».

Ne discende l'esistenza di un ingente “cifra grigia” di illeciti che vengono sistematicamente ignorati dall'autorità giudiziaria, tale da tradursi in sostanziale ineffettività del modello sanzionatorio e preventivo disegnato dal decreto 231.

Così prosegue l'autorevole commentatore sopra ricordato: oggi le imprese italiane – a sentire gli aziendalisti - sono perfettamente consapevoli di quanto siano scarse le probabilità di essere coinvolte in un processo penale insieme al loro esponente che sia imputato; e, fatta eccezione per quelle maggiormente strutturate, difficilmente si impegnano nella profilassi. Ne fornisce la prova Confindustria, da una cui ricerca si apprende che quasi i due terzi delle società intervistate non hanno adottato alcun modello prevenzionistico. Per contro, nelle rare occasioni in cui le società sono imputate, la prognosi di un esito infausto del processo è pressoché scontata, essendo l'asticella della prova che l'ente deve fornire al giudice così alta da risultare quasi sempre insuperabile. Cosicché, anche da questo punto di vista l'efficacia preventiva del sistema rischia di svanire, di fronte alla sostanziale inutilità dell'eventuale investimento organizzativo. Con un ulteriore, paradossale effetto indesiderato: nel mare di “indulgenza” generale, quegli isolati casi in cui invece lo Stato usa la forza finiscono per lasciare in bocca il sapore amaro della persecuzione.

Risulta dunque ridotta in concreto l'attitudine intimidatoria del sistema, abbattendo considerevolmente l'efficacia orientativa della disciplina all'adozione di modelli virtuosi di governance con funzione di prevenzione e mitigazione del rischio.

Con la conseguenza che, oggi, la scelta di dotarsi o meno di un modello di organizzazione per la prevenzione dei reati d'impresa, non comportando in concreto una significativa variazione del rischio di subire delle sanzioni, rischia di essere sostanzialmente rimessa a valutazioni fondate su ragioni diverse dalla minaccia punitiva, ad esempio l'acquisizione di un punteggio più̀ elevato in relazione all'istituto del c.d. rating di legalità, partecipazione a bandi di gara che pongono il possesso del modello come requisito di ammissione, etc.

Nel caso concreto delle realtà aziendali operanti nell'ambito del PSD2, lo “stimolo” più rilevante potrebbe essere costituito da quello che sopra è stato definito il “rischio reputazionale”.

Appare dunque quanto meno “sterile” ed improduttivo il continuo ampliamento dei reati facenti parte del “catalogo 231” a fronte della disapplicazione del decreto nel suo complesso.

Per quanto di interesse in questa sede, l'art. 24 bis è stato, da ultimo, arricchito dalla legge 18 novembre 2019 n. 133, in vigore dal 21 novembre scorso, che ha convertito in legge con modificazioni il D.l. 105/2019, recante un complesso di disposizioni urgenti tese ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari e specifici standard di sicurezza. L'art. 1, commi da 9 a 11, della legge in commento reca un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti dalla legge stessa.

Più nel dettaglio, il comma 11 punisce con la pena della reclusione da uno a tre anni coloro che, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2 lett. b) (Procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici), e di cui al comma 6, lett. a) (Procedimenti relativi all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi) o delle attività ispettive e di vigilanza da parte della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico, di cui al comma 6, lett. c), ovvero forniscono informazioni, dati o fatti non rispondenti al vero rilevanti per l'aggiornamento degli elenchi su ricordati o ai fini delle comunicazioni previste nei casi di affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, o per lo svolgimento delle attività ispettive e di vigilanza, omettono di comunicare i predetti dati, informazioni o elementi di fatto.

All'ente privato, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote.

Si tratta di illeciti penali che costituiscono presupposto della responsabilità amministrativa degli enti, opportunamente ricondotti, in sede di conversione del decreto, all'interno del d.lgs. n. 231/2001, all'art. 24-bis.

Per quanto evidenziato sub 4. (Accessi fraudolenti e non autorizzati: rischi operativi, di compliance e reputazionali)nonché sub 7. (Ricadute in termini di responsabilità amministrativa degli enti) tale ampliamento potrebbe tradursi in un importante incentivo alla prevenzione dei reati connessi al cd. PSD2: ma senza un ripensamento del carattere discrezionale dell'azione derivante dal “sistema 231” rischia di rivelarsi di ben scarsa utilità pratica.

(A cura di) Fabrizio Maimeri e Marco Mancini, Le nuove frontiere dei servizi bancari e di pagamento fra PSD 2, criptovalute e rivoluzione digitale, Banca d'Italia, Quaderni di Ricerca Giuridica n. 87, settembre 2019

E. Palmerini, G. Aiello, V. Cappelli, G. Morgante, N. Amore, G. Di Vetta, G. Fiorinelli, M. Galli, Il FinTech e l'economia dei dati. Considerazioni su alcuni profili civilistici e penalistici. Le soluzioni del diritto vigente ai rischi per la clientela e gli operatori, Quaderni FinTech, 2, CONSOB, dicembre 2018

La Linea Verde Società Agricola s.p.a., Modello di organizzazione, gestione e controllo ex decreto legislativo 8 giugno 2001, n. 231, adottato con deliberazione del CdA del 23 febbraio 2018

Ferdinando Brizzi, Interesse e vantaggio dell'ente e discrezionalità del Pubblico ministero, Focus del 17 marzo 2020, Il Penalista

Vittore d'Acquarone, Riccardo Roscini-Vitali, Sistemi di diversione processuale e d.lgs. 231/2001: spunti comparativi, in La responsabilità amministrativa delle società e degli enti - 2/2018

Massimo Ceresa Gastaldo, Legalità d'impresa e processo penale. i paradossi di una giustizia implacabile in un caso su dieci, in www.penalecontemporaneo.it, 7 giugno 2019