Art. 19. (Modalita' di adempimento degli obblighi di adeguata verifica) 1. I soggetti obbligati assolvono agli obblighi di adeguata verifica della clientela secondo le seguenti modalita':
a) l'identificazione del cliente e del titolare effettivo e' svolta in presenza del medesimo cliente ovvero dell'esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato e consiste nell'acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d'identita' in corso di validita' o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico. Il cliente fornisce altresi', sotto la propria responsabilita', le informazioni necessarie a consentire l'identificazione del titolare effettivo. L'obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente, nei seguenti casi:
1) per i clienti i cui dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici, ai sensi dell' articolo 24 del decreto legislativo 7 marzo 2005, n. 82 ;
2) per i clienti in possesso di un'identita' digitale, con livello di garanzia almeno significativo, nell'ambito del Sistema di cui all'articolo 64 del predetto decreto legislativo n. 82 del 2005 , e della relativa normativa regolamentare di attuazione, nonche' di un'identita' digitale con livello di garanzia almeno significativo, rilasciata nell'ambito di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall'Agenzia per l'Italia digitale;
3) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza e dell'autorita' consolare italiana, come indicata nell' articolo 6 del decreto legislativo 26 maggio 1997, n. 153 ;
4) per i clienti che siano gia' stati identificati dal soggetto obbligato in relazione ad un altro rapporto o prestazione professionale in essere, purche' le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente;
4-bis) per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall'articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all'obbligo di identificazione. Tale modalita' di identificazione e verifica dell'identita' puo' essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonche' a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l'informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento;
((4-ter) per i clienti gia' identificati da un soggetto obbligato, i quali, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall'articolo 4 del regolamento delegato (UE) 2018/389 della Commissione, del 27 novembre 2017, consentono al soggetto tenuto all'obbligo di identificazione di accedere alle informazioni relative agli estremi del conto di pagamento intestato al medesimo cliente presso il citato soggetto obbligato in uno Stato membro dell'Unione europea. Tale modalita' di identificazione e verifica dell'identita' puo' essere utilizzata solo con riferimento a rapporti relativi a servizi di disposizione di ordini di pagamento e a servizi di informazione sui conti previsti dall'articolo 1, comma 2, lettera h-septies.1), numeri 7) e 8), del testo unico di cui al decreto legislativo 1° settembre 1993, n. 385.
Il soggetto tenuto all'obbligo di identificazione acquisisce in ogni caso il nome e il cognome del cliente)) ;
5) per i clienti i cui dati identificativi siano acquisiti attraverso idonee forme e modalita', individuate dalle Autorita' di vigilanza di settore, nell'esercizio delle attribuzioni di cui all'articolo 7, comma 1, lettera a), tenendo conto dell'evoluzione delle tecniche di identificazione a distanza;
b) la verifica dell'identita' del cliente, del titolare effettivo e dell'esecutore richiede il riscontro della veridicita' dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all'atto dell'identificazione, solo laddove, in relazione ad essi, sussistano dubbi, incertezze o incongruenze. Il riscontro puo' essere effettuato attraverso la consultazione del sistema pubblico per la prevenzione del furto di identita' di cui decreto legislativo 11 aprile 2011, n. 64 . La verifica dell'identita' puo' essere effettuata anche attraverso il ricorso ad altre fonti attendibili e indipendenti tra le quali rientrano le basi di dati, ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione, riferibili ad una pubblica amministrazione nonche' quelle riferibili a soggetti privati autorizzati al rilascio di identita' digitali nell'ambito del sistema previsto dall' articolo 64 del decreto legislativo n. 82 del 2005 ovvero di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento EU n. 910/2014. Con riferimento ai clienti diversi dalle persone fisiche e ai fiduciari di trust espressi e alle persone che esercitano diritti, poteri e facolta' equivalenti in istituti giuridici affini, la verifica dell'identita' del titolare effettivo impone l'adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprieta' e di controllo del cliente;
c) l'acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, verificando la compatibilita' dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dai soggetti obbligati, anche avuto riguardo al complesso delle operazioni compiute in costanza del rapporto o di altri rapporti precedentemente intrattenuti nonche' all'instaurazione di ulteriori rapporti;
d) il controllo costante nel corso del rapporto continuativo o della prestazione professionale si attua attraverso l'analisi delle operazioni effettuate e delle attivita' svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche riguardo, se necessario, all'origine dei fondi.
2. L'estensione delle verifiche, della valutazione e del controllo di cui al comma 1 e' commisurata al livello di rischio rilevato.
3. I soggetti obbligati di cui all'articolo 3, comma 2, applicano altresi' misure di adeguata verifica del beneficiario della prestazione assicurativa, non appena individuato o designato nonche' dell'effettivo percipiente della prestazione liquidata e dei rispettivi titolari effettivi. Tali misure, consistono:
a) nell'acquisizione del nome o della denominazione del soggetto specificamente individuato o designato quale beneficiario;
b) nei casi di beneficiario designato in base a particolari caratteristiche o classi, nell'acquisizione di informazioni sufficienti a consentire al soggetto obbligato di stabilirne l'identita' al momento del pagamento della prestazione.
(23)
-------------- AGGIORNAMENTO (23)
Il D.Lgs. 25 maggio 2017, n. 90 ha disposto (con l'art. 9, comma 1) che "Le disposizioni emanate dalle autorita' di vigilanza di settore, ai sensi di norme abrogate o sostituite per effetto del presente decreto, continuano a trovare applicazione fino al 31 marzo 2018".
a) l'identificazione del cliente e del titolare effettivo e' svolta in presenza del medesimo cliente ovvero dell'esecutore, anche attraverso dipendenti o collaboratori del soggetto obbligato e consiste nell'acquisizione dei dati identificativi forniti dal cliente, previa esibizione di un documento d'identita' in corso di validita' o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato cartaceo o elettronico. Il cliente fornisce altresi', sotto la propria responsabilita', le informazioni necessarie a consentire l'identificazione del titolare effettivo. L'obbligo di identificazione si considera assolto, anche senza la presenza fisica del cliente, nei seguenti casi:
1) per i clienti i cui dati identificativi risultino da atti pubblici, da scritture private autenticate o da certificati qualificati utilizzati per la generazione di una firma digitale associata a documenti informatici, ai sensi dell' articolo 24 del decreto legislativo 7 marzo 2005, n. 82 ;
2) per i clienti in possesso di un'identita' digitale, con livello di garanzia almeno significativo, nell'ambito del Sistema di cui all'articolo 64 del predetto decreto legislativo n. 82 del 2005 , e della relativa normativa regolamentare di attuazione, nonche' di un'identita' digitale con livello di garanzia almeno significativo, rilasciata nell'ambito di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento UE n. 910/2014, o di un certificato per la generazione di firma elettronica qualificata o, infine, identificati per mezzo di procedure di identificazione elettronica sicure e regolamentate ovvero autorizzate o riconosciute dall'Agenzia per l'Italia digitale;
3) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza e dell'autorita' consolare italiana, come indicata nell' articolo 6 del decreto legislativo 26 maggio 1997, n. 153 ;
4) per i clienti che siano gia' stati identificati dal soggetto obbligato in relazione ad un altro rapporto o prestazione professionale in essere, purche' le informazioni esistenti siano aggiornate e adeguate rispetto allo specifico profilo di rischio del cliente;
4-bis) per i clienti che, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall'articolo 4 del Regolamento Delegato (UE) 2018/389 della Commissione del 27 novembre 2017, dispongono un bonifico verso un conto di pagamento intestato al soggetto tenuto all'obbligo di identificazione. Tale modalita' di identificazione e verifica dell'identita' puo' essere utilizzata solo con riferimento a rapporti relativi a carte di pagamento e dispositivi analoghi, nonche' a strumenti di pagamento basati su dispositivi di telecomunicazione, digitali o informatici, con esclusione dei casi in cui tali carte, dispositivi o strumenti sono utilizzabili per generare l'informazione necessaria a effettuare direttamente un bonifico o un addebito diretto verso e da un conto di pagamento;
((4-ter) per i clienti gia' identificati da un soggetto obbligato, i quali, previa identificazione elettronica basata su credenziali che assicurano i requisiti previsti dall'articolo 4 del regolamento delegato (UE) 2018/389 della Commissione, del 27 novembre 2017, consentono al soggetto tenuto all'obbligo di identificazione di accedere alle informazioni relative agli estremi del conto di pagamento intestato al medesimo cliente presso il citato soggetto obbligato in uno Stato membro dell'Unione europea. Tale modalita' di identificazione e verifica dell'identita' puo' essere utilizzata solo con riferimento a rapporti relativi a servizi di disposizione di ordini di pagamento e a servizi di informazione sui conti previsti dall'articolo 1, comma 2, lettera h-septies.1), numeri 7) e 8), del testo unico di cui al decreto legislativo 1° settembre 1993, n. 385.
Il soggetto tenuto all'obbligo di identificazione acquisisce in ogni caso il nome e il cognome del cliente)) ;
5) per i clienti i cui dati identificativi siano acquisiti attraverso idonee forme e modalita', individuate dalle Autorita' di vigilanza di settore, nell'esercizio delle attribuzioni di cui all'articolo 7, comma 1, lettera a), tenendo conto dell'evoluzione delle tecniche di identificazione a distanza;
b) la verifica dell'identita' del cliente, del titolare effettivo e dell'esecutore richiede il riscontro della veridicita' dei dati identificativi contenuti nei documenti e delle informazioni acquisiti all'atto dell'identificazione, solo laddove, in relazione ad essi, sussistano dubbi, incertezze o incongruenze. Il riscontro puo' essere effettuato attraverso la consultazione del sistema pubblico per la prevenzione del furto di identita' di cui decreto legislativo 11 aprile 2011, n. 64 . La verifica dell'identita' puo' essere effettuata anche attraverso il ricorso ad altre fonti attendibili e indipendenti tra le quali rientrano le basi di dati, ad accesso pubblico o condizionato al rilascio di credenziali di autenticazione, riferibili ad una pubblica amministrazione nonche' quelle riferibili a soggetti privati autorizzati al rilascio di identita' digitali nell'ambito del sistema previsto dall' articolo 64 del decreto legislativo n. 82 del 2005 ovvero di un regime di identificazione elettronica compreso nell'elenco pubblicato dalla Commissione europea a norma dell'articolo 9 del regolamento EU n. 910/2014. Con riferimento ai clienti diversi dalle persone fisiche e ai fiduciari di trust espressi e alle persone che esercitano diritti, poteri e facolta' equivalenti in istituti giuridici affini, la verifica dell'identita' del titolare effettivo impone l'adozione di misure, commisurate alla situazione di rischio, idonee a comprendere la struttura di proprieta' e di controllo del cliente;
c) l'acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, verificando la compatibilita' dei dati e delle informazioni fornite dal cliente con le informazioni acquisite autonomamente dai soggetti obbligati, anche avuto riguardo al complesso delle operazioni compiute in costanza del rapporto o di altri rapporti precedentemente intrattenuti nonche' all'instaurazione di ulteriori rapporti;
d) il controllo costante nel corso del rapporto continuativo o della prestazione professionale si attua attraverso l'analisi delle operazioni effettuate e delle attivita' svolte o individuate durante tutta la durata del rapporto, in modo da verificare che esse siano coerenti con la conoscenza che il soggetto obbligato ha del cliente e del suo profilo di rischio, anche riguardo, se necessario, all'origine dei fondi.
2. L'estensione delle verifiche, della valutazione e del controllo di cui al comma 1 e' commisurata al livello di rischio rilevato.
3. I soggetti obbligati di cui all'articolo 3, comma 2, applicano altresi' misure di adeguata verifica del beneficiario della prestazione assicurativa, non appena individuato o designato nonche' dell'effettivo percipiente della prestazione liquidata e dei rispettivi titolari effettivi. Tali misure, consistono:
a) nell'acquisizione del nome o della denominazione del soggetto specificamente individuato o designato quale beneficiario;
b) nei casi di beneficiario designato in base a particolari caratteristiche o classi, nell'acquisizione di informazioni sufficienti a consentire al soggetto obbligato di stabilirne l'identita' al momento del pagamento della prestazione.
(23)
-------------- AGGIORNAMENTO (23)
Il D.Lgs. 25 maggio 2017, n. 90 ha disposto (con l'art. 9, comma 1) che "Le disposizioni emanate dalle autorita' di vigilanza di settore, ai sensi di norme abrogate o sostituite per effetto del presente decreto, continuano a trovare applicazione fino al 31 marzo 2018".