Il Metaverso come opportunità per l'introduzione delle recenti regole per gli enti creditizi e gli istituti finanziari sul Remote Onboarding dell'European Banking Authority.
Il Metaverso come opportunità per l'introduzione delle recenti regole per gli enti creditizi e gli istituti finanziari sul Remote Onboarding dell'European Banking Authority.

 
Oggetto del presente articolo è la recente adozione degli “Orientamenti sull’utilizzo di soluzioni di onboarding a distanza del cliente per le finalità di cui all’articolo 13, paragrafo 1, della direttiva (UE) 2015/849 cioè la ben nota Anti-Money Laundering Directive emanata dalla U.E. e comunemente richiamata con l'acrnonimo AMLD, posto che tali orientamenti si inscrivono nell’ambito dell'ormai più che significativo ampliamento delle competenze normative demandate all’EBA (European Banking Authority) ai sensi del Regolamento (UE) 1093/2010.
 
La Banca d’Italia che aveva già dichiarato all’EBA l’intenzione di conformarsi alle Remote Onboarding Guidelines con nota n. 32 del 13 giugno 2023 ha dato riconoscimento agli Orientamenti dell’EBA, che assumono il valore di orientamenti di vigilanza secondo quanto illustrato nella "Comunicazione sulle modalità attraverso le quali la Banca d’Italia si conforma agli Orientamenti e alle Raccomandazioni delle Autorità europee di vigilanza".
 
Semplificando:
 1) Procedure di Remote Onboarding: acquisizione di clientela a distanza da parte di istituzioni finanziarie.
 2) Quadro normativo di riferimento: la legge antiriciclaggio nota come Anti-Money Laundering Directive (AMLD)
 3) Intervento E.B.A. (European Banking Authority): definizione delle linee guida per garantire il rispetto delle norme antiriciclaggio nei procedimenti di acquisizione di clientela a distanza .
 4) Banca d'Italia: con nota n. 32 del 13 giugno 2023 dà attuazione agli Orientamenti dell’EBA, che assumono il valore di orientamenti di vigilanza.
 
Documenti allegati: 
1) Orientamenti EBA sul Remote onboarding.
2) Banca d'Italia, nota 32 del 13 giugno 2023.
 
Nota bene: il documento di EBA è diviso in capitoli e paragrafi numerati progressivi per una più semplice lettura anche in ragione del coordinamento di alcuni di essi.
 
Analizzando a grandi linee ma anche cercando un minimo di dettaglio pur dovendo con ciò in parte indagare la scienza del diritto sottesa al testo si cerca di mettere in chiara e quanto più possibile evidenza come la tecnologia del Metaverso potrebbe essere la risposta per garantire un ottimale ottemperanza alle disposizioni normative e di vigilanza rispettivamente della U.E. e della Banca d'Italia nel contempo garantendo un opportunità competitiva per le istituzioni finanziarie atta ad ottimizzare le proprie procedure in modo del tutto semplice e efficace.
 
Il Metaverso è fondamentalmente questo: un vantaggio tecnologico. Una soluzione.. Un modo tecnologicamente semplice e scientificamente alla portata di tutti per ottenere il massimo dall'evoluzione di servizi che possono e debbono essere sviluppati in sicurezza. Il Metaverso risolve problemi offrendo soluzioni semplici e innovative.
 
Relativamente al documento predisposto da EBA che si allega al presente articolo nella sua interezza sull'utilizzo di soluzioni di onboarding a distanza del cliente giova sottolineare che il suo presupposto è ben enucleato fin dall'apertura dei lavori al capitolo 4.1.1 (politiche e procedure relative all'onboarding a distanza del cliente) il quale sancisce il principio cardine poi ripreso in tutto il documento tale per cui "gli enti creditizi e gli istituti finanziari dovrebbero porre in essere e mantenere politiche e procedure per adempiere gli obblighi di cui all’articolo 13, paragrafo 1, lettere a) e c), della direttiva (UE) 2015/849 nelle situazioni in cui l’onboarding del cliente è eseguita a distanza.
 
Orbene tali politiche dovrebbero essere commisurate al rischio e includere almeno: 
- la lettera a) impone una "descrizione generale" della soluzione adottata compresa di una spiegazione sia delle caratteristiche che del funzionamento. Questa è una reciprocità funzionale basata sull'esplicazione di un presupposto motivazionale nella scelta.
- la lettera b) precisa che bisogna altresì precisare quali sono le situazioni in cui è possibile utilizzare la soluzione onboarding tenuto conto di alcuni fattori fra cui l'autovalutazione del rischio di riciclaggio, la descrizione della categoria di clienti, prodotti e servizi per cui è ammissibile l'onboarding
 - la lettera c) precisa quali fasi sono completamente automatizzate e quelle che richiedono l’intervento umano;
 - la lettera d) invece richiede di specificare...
"i controlli in essere per assicurare che la prima operazione con un nuovo cliente sia eseguita solo dopo l’applicazione di tutte le misure di adeguata verifica iniziale della clientela" e quest'ultima precisazione si dovrebbe coordinare con quanto previsto nel documento al punto 4.2.4 (Natura e scopo del rapporto d’affari):  "Al momento di valutare e, se del caso, acquisire informazioni sullo scopo e sulla natura prevista del rapporto d’affari in conformità dell’articolo 13, paragrafo 1, lettera c), della direttiva (UE) 2015/849, come ulteriormente specificato nella sezione 4.38 degli orientamenti dell'EBA in materia di fattori di rischio, gli enti creditizi e gli istituti finanziari, ai fini dei presenti orientamenti, dovrebbero avere completato le azioni pertinenti prima della fine del processo di onboarding a distanza del cliente".
- la lettera e) "una descrizione dei programmi di preparazione e formazione periodica tesi ad assicurare la sensibilizzazione e l’aggiornamento delle conoscenze del personale in merito al funzionamento della soluzione di onboarding a distanza del cliente, ai rischi associati e alle politiche e procedure di onboarding a distanza del cliente volte a mitigare tali rischi" e questa ulteriore precisazione è un chiaro richiamo ad un principio oramai sempre presente negli orientamenti di provenienza europea che abbiano quali destinatari enti creditizi e istituti finanziari, cioè l'adeguata formazione che non è, lo si ricorda una semplice preparazione ma il fondamento del principio di consapevolezza strutturato sulla base del fatto che è necessario assicurarsi sempre, al di là di ogni ragionevole dubbio, che il Cliente abbia ben chiaro il contenuto di quanto sta per sottoscrivere.
 
Si noti inoltre che i punti di cui alle lettere A), D) ed E) si considerano soddisfatti se si ottempera all'art. 15 del capitolo 4.1.3. dove leggiamo:
"Gli enti creditizi e gli istituti finanziari dovrebbero considerare soddisfatti i criteri di cui al paragrafo 14, lettere (a), (d) ed (e), se la soluzione utilizza uno dei seguenti elementi: a) regimi di identificazione elettronica notificati ai sensi dell’articolo 9 del regolamento (UE) n. 910/2014 che soddisfano i requisiti relativi a livelli di garanzia «significativi» o «elevati» ai sensi dell’articolo 8 di tale regolamento; b) servizi fiduciari qualificati pertinenti che soddisfano i requisiti del regolamento (UE) n. 910/2014, in particolare il capo III, sezione 3 e l’articolo 24, paragrafo 1, comma 2, lettera b), di tale regolamento".
Alla luce di quanto sopra e pur nella brevità e nella ricercata sintesi non è irragionevole affermare che il Metaverso potrebbe essere la chiave di risposta nonchè la semplicistica soluzione più sicura per ottemperare alle regole sull'onboarding.
 
Si consideri, nell'assoluta semplicità espositiva, che la registrazione e la connessione a mezzo di un Avatar univocamente individuato grazie ai presupposti di assoluta certezza e trasparenza in un sistema sicuro, di facile iterazione e del tutto organizzato rappresenta un estensione del corpo umano atta a beneficiare di tutti i vantaggi della presenza ma nella comodità dell'assenza fisica. La decentralizzazione pragmatica e complementare delle attività attraverso il Metaverso garantisce una fruizione piena e non solo ma anche esperienziale, cioè gradevole.
 
La governance 
Il capitolo 4.1.2 ha cura fra l'altro di precisare che:
"il responsabile antiriciclaggio, investito del dovere generale di preparare politiche e procedure per ottemperare ai requisiti di adeguata verifica della clientela, dovrebbe assicurare che le politiche e le procedure per l’onboarding a distanza del cliente siano attuate in modo efficace, riesaminate periodicamente e modificate se necessario". Inoltre: "L’organo di gestione dell’ente creditizio e dell’istituto finanziario dovrebbe approvare le politiche e le procedure di onboarding a distanza del cliente e vigilare sulla loro corretta attuazione".
E anche su questo punto pare che il coordinamento, come richiesto in quella che è un altra delle formulazioni prevenzione - monitoraggio, tale per cui si chiede la doppia azione sul fronte dell'antiriciclaggio come in altri documenti analoghi, sarebbe facilitata dall'uso del Metaverso quale piattaforma immersiva e applicativa in quanto si avrebbero tutti i vantaggi della socialità a distanza ma anche tutte le garanzie e le sicurezze sia dell'aspetto preventivo (indagine conoscitiva e certificazione univoca dell'identità) quanto del monitoraggio reso più rapido e più agevole (forse anche più intuitivo).
 
La valutazione preliminare 
Al momento di considerare la possibilità di adottare una nuova soluzione per l'onboarding a distanza del cliente, gli enti creditizi dovrebbero effettuare una valutazione preliminare all'attuazione di tale soluzione. cui è dedicato il capitolo 4.1.3 del documento. A mente del quale si precisa che:
"Gli enti creditizi e gli istituti finanziari dovrebbero definire l’ambito, le fasi e i requisiti di conservazione dei documenti della valutazione preliminare all’attuazione nelle loro politiche e procedure, che dovrebbe comprendere almeno:
a) una valutazione dell’adeguatezza della soluzione in termini di completezza e accuratezza dei dati e dei documenti raccolti, nonché dell’affidabilità e dell’indipendenza delle fonti di informazione utilizzate;
b) una valutazione dell’impatto dell’utilizzo della soluzione di onboarding a distanza del cliente sull’esposizione al rischio dell’ente o dell’istituto in relazione alla loro area di attività, compreso l’impatto sui rischi ML/TF, operativi, reputazionali e legali;
c) l’individuazione di possibili misure di mitigazione e azioni correttive per ciascun rischio individuato nella valutazione di cui alla lettera b)";
I punti di cui al B) e C) sono risolvibili attraverso l'utilizzo di una Intelligenza Artificiale, non una qualsiasi però; alla luce del contenuto del documento è necessario ricorrere ad una che faccia applicazione del principi del deep learning.
 
Non è questa la sede ma per dovere di completezza pare che le I.A. richiamate dal testo possano essere unicamente quelle appartenenti a due categorie, cioè "unsupervised learning" e "reinforcement learning" questo sulla base che sia nella progettazione di un set di dati quanto in un ambiente è fondamentale che la predisposizione dei primi come il concetto dei secondi sia il più possibile simile all'attività del mondo reale. E quindi entrerebbero in gioco almeno i tre componenti basilari, c.d. frameworks for understanding su cui si basa il deep learning delle I.A. (in futuro datosi l'attività di studio inerente a questo genere di tecnologia sarebbe opportuno che nel documento E.B.A. comparisse un allegato con questo genere di indicazioni).
 
A tal proposito si noti il contenuto del successivo articolo 17 del medesimo punto:
"Gli enti creditizi e gli istituti finanziari dovrebbero iniziare a utilizzare una soluzione di onboarding a distanza del cliente solo dopo avere accertato la possibilità di integrarla nel loro più ampio sistema di controlli interni, consentendo loro così di gestire adeguatamente i rischi ML/TF [1] che potrebbero derivare dall’utilizzo di tale soluzione."
 
e ancora dell'art. 19: 
"Gli enti creditizi e gli istituti finanziari dovrebbero definire nei propri processi e procedure misure correttive per il caso in cui si sia concretizzato un rischio o siano stati individuati errori con un impatto sull’efficienza e sull’efficacia della soluzione generale di onboarding a distanza del cliente. Tali misure dovrebbero includere almeno:
a) una revisione di tutti i rapporti d’affari interessati, per valutare se gli enti creditizi e gli istituti finanziari hanno adottato misure di adeguata verifica iniziale della clientela sufficienti per conformarsi all’articolo 13, paragrafo 1, lettere a), b) e c), della direttiva antiriciclaggio (AML/CFT). Gli enti creditizi e gli istituti finanziari dovrebbero dare priorità ai rapporti d’affari che comportano il rischio ML/TF più elevato;
b) tenendo conto delle informazioni ottenute nella suddetta revisione, una valutazione dell’opportunità che i rapporti continuativi interessati siano: a. sottoposti a ulteriori misure di adeguata verifica;
b. sottoposti a limitazioni, ad esempio limiti al volume delle operazioni richiedibili, ove consentito dal diritto nazionale, fino a quando non sia stata effettuata una revisione;
c. chiusi;
d. oggetto di una segnalazione all’unità di informazione finanziaria (UIF);
e. riclassificati in un diverso profilo di rischio."
 
E non a caso all'art. 21 si precisa che: "Questa sezione si applica anche nel caso in cui siano utilizzate soluzioni di onboarding a distanza del cliente completamente automatizzate che dipendono in larga misura da algoritmi automatizzati, con intervento umano limitato o assente".
 
Il che ci riporta, peraltro in una soluzione di continuità a quanto già precisato sull'I.A.
 
E a tal proposito pare doveroso rilevare che la soluzione di adottare per queste procedure una I.A. dotata di un sistema di deep learning adeguato è quanto di più spendibile e di facile utilità con il Metaverso. Anzi è probabilmente il "luogo" più idoneo dove concretizzare e massimizzare le garanzie che una IA è in grado di offrire a questo importante settore in termini di automazione, trasparenza e auto apprendimento finalizzate a garantire la massima sicurezza alla clientela. Si potrebbe affermare che l'accesso al Metaverso e il realizzarsi di soluzioni onbording per le istituzioni finanziarie sia la naturale estensione ed applicazione dell'attuale status della tecnologia. Tralasciando valutazioni dilettantistiche e pubblicitarie su evoluzioni 3.0 o 4.0 si tratta di sviluppare e ottimizzare tecnologie che sono di per sè funzionale già disponibili.
 
Identificazione del cliente 
Ovviamente trattandosi di un rapporto onboarding è un presupposto fondamentale e come tale al capitolo 4.2.1. il documento ha cura di precisare fra l'altro, al paragrafo 24:
"Gli enti creditizi e gli istituti finanziari dovrebbero assicurare che:
a) le informazioni ottenute attraverso la soluzione di onboarding a distanza del cliente siano aggiornate e adeguate a soddisfare le norme giuridiche e regolamentari applicabili all’adeguata verifica iniziale della clientela;
b) tutte le immagini, i video, i suoni e i dati siano acquisiti in un formato leggibile e con una qualità sufficiente ad assicurare il riconoscimento inequivocabile del cliente;
c) il processo di identificazione non prosegua se vengono rilevate carenze tecniche o interruzioni impreviste della connessione".
 
Più specificatamente, relativamente alle persone fisiche:
gli enti creditizi e gli istituti finanziari dovrebbero definire quali informazioni: a) sono inserite manualmente dal cliente;
b) sono estratte in modo automatico dalla documentazione fornita dal cliente;
c) sono raccolte utilizzando altre fonti interne o esterne."
 
E per quanto riguarda le persone giuridiche: "Gli enti creditizi e gli istituti finanziari dovrebbero assicurare che la soluzione di onboarding a distanza del cliente disponga di funzioni per la raccolta di:
 a) tutti i dati e tutta la documentazione pertinenti per l’identificazione e la verifica della persona giuridica;
b) tutti i dati e tutta la documentazione pertinenti per verificare che la persona fisica che agisce per conto della persona giuridica sia giuridicamente legittimato ad agire in tale qualità;
c) le informazioni relative ai titolari effettivi in conformità della disposizione 4.12 degli orientamenti dell'EBA in materia di fattori di rischio "
 
Tutto ciò posto e considerato con ottimo eloquio scritto e altrettanta organizzazione il documento di E.B.A. in commento per quanto previsto dal paragrafo 24 aggiunge:
"Gli enti creditizi o gli istituti finanziari dovrebbero considerare soddisfatti i criteri di cui al paragrafo 24 se la soluzione utilizza uno dei seguenti elementi: 
a) regimi di identificazione elettronica notificati ai sensi dell’articolo 9 del regolamento (UE) n. 910/2014 che soddisfano i requisiti relativi a livelli di garanzia «significativi» o «elevati» ai sensi dell’articolo 8 di tale regolamento;
b) servizi fiduciari qualificati pertinenti che soddisfano i requisiti del regolamento (UE) n. 910/2014, in particolare il capo III, sezione 3 e l’articolo 24, paragrafo 1, comma 2, lettera b), di tale regolamento."
 
Questa apertura inserita nel testo, frutto dell'esperienza e del confronto con i diversi interlocutori durante la stesura del medesimo consente fra l'altro di prendere in considerazione tutte le tecnologie di cui tali soggetti possono avvalersi.
 
Non solo, ma accanto all'autenticazione delle persone, sia fisiche che giuridiche, c'è l'autenticità e integrità dei documenti tale per cui:
"Laddove gli enti creditizi e gli istituti finanziari accettino riproduzioni di un documento originale e non esaminino il documento originale, essi dovrebbero adottare misure per accertare che la riproduzione sia affidabile. Gli enti creditizi e gli istituti finanziari dovrebbero verificare almeno quanto segue:
a) se la riproduzione include caratteristiche di sicurezza incorporate nel documento originale e se le specifiche del documento originale riprodotte sono valide e accettabili, in particolare il tipo, la dimensione dei caratteri e la struttura del documento, confrontandole con banche dati ufficiali, come PRADO;
b) se i dati personali sono stati alterati o altrimenti manomessi o, se del caso, se l’immagine del cliente incorporata nel documento è stata sostituita;
c) l’integrità dell’algoritmo utilizzato per generare il numero di identificazione unico del documento originale, nel caso in cui il documento ufficiale sia stato emesso con zona a lettura ottica;
d) se la riproduzione fornita è di qualità e definizione sufficienti ad assicurare l’univocità delle informazioni rilevanti;
 e) che la riproduzione visualizzata su uno schermo non sia a sua volta la riproduzione di una fotografia o una scansione del documento d’identità originale".
 
Molto altro si potrebbe aggiungere ma onde evitare di appesantire troppo la spiegazione e pur avendo cercato di essere i più sintetici possibile pare evidente che la soluzione Metaverso bypassa tutto quanto necessario all'identificazione perchè la stessa "diventa" l'accesso al proprio avatar del Metaverso. La persona non si sdoppia con buona pace di chi vede in una sorta di parabola alla second life l'esperienza nel Metaverso ma si potenzia. L'avatar nel Metaverso non è soltanto la persona, è tutti i dati biometrici della stessa e tutta la documentazione della medesima essendo che si può "agganciare" proprio alle medesime banche dati su cui si fondano i presupposti di tutte queste verifiche. A tal proposito si noti che sono abbastanza "famosi" i progetti del Metaverso dove si riporta ad esempio il fascicolo sanitario quindi non è un concetto nuovo quello di centralizzare le banche dati in capo all'estensione dell'Io nel Metaverso (semplicemente si tratta di adeguare e innovare importando ulteriori vantaggi).
 
Quindi abbiamo una possibilità non solo semplice ma lineare e particolarmente sinergica perchè massimizza e valorizza l'attuale status della tecnologia che è in larga parte basato sulle banche dati e sull'accesso a procedimenti di verifica.
 
In termini semplicistici le istituzioni finanziari non devono fare niente se non operare onboarding nel Metaverso lasciando che il coordinamento tra le IA e l'accesso al Metaverso con il proprio avatar faccia il resto. Limitandosi ad esternalizzare il servizio e a prevedere un attività che potrà essere in outsourcing anzitutto di monitoraggio, aggiungendo delle procedure di blocco e ripristino in caso di particolari necessità (difficilmente pronosticabili essendo molto attuale il contenuto di queste tecnologie e di queste previsioni).
 
Riteniamo di avere ben spiegato, seppure a grandi linee il motivo per cui, in questo caso, non è sbagliato affermare che il Metaverso è un opportunità da non tralasciare.
 
Con l'auspicio che la lettura non sia stata eccessivamente tecnica ma abbia stimolato alcune riflessioni e proiettato il lettore verso ipotesi in cui l'innovazione semplifica la vita e la rende più sicura, un posto dove le norme, da qualunque fonte provengano, incontrano nel Metaverso un alleato prezioso per fare ciò che ogni legge ha sempre tanto di realizzare: aiutare le persone.

(articolo pubblicato anche su Metit.it)
 
* Marco Solferini, legale, consulente Aduc



[1]  Con ML/TF ci si riferisce all’adozione di misure per l’identificazione e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo giusto quanto previsto dalla Direttiva UE 2015/849, entrata in vigore il 26 giugno 2015, a norma della quale è stato imposto agli Stati membri, alle autorità competenti e ai soggetti obbligati l’adozione di queste misure ai fini di una migliore e più efficace gestione .In tale ambito quindi la Direttiva ha attribuito alle tre c.d. European Supervisory Authorities (comunemente richiamate con il termine "ESAs") il compito di emanare orientamenti sugli elementi essenziali di cui tener conto per la corretta applicazione dell’approccio basato sul rischio.

  CHI PAGA ADUC
l’associazione non percepisce ed è contraria ai finanziamenti pubblici (anche il 5 per mille)
La sua forza economica sono iscrizioni e contributi donati da chi la ritiene utile
DONA ORA