LA FIRMA DIGITALE E LA DISCPLINA ANTIRICICLAGGIO
di Paolo D'Agostino
In merito a un possibile utilizzo della firma digitale per l’identificazione
dei contraenti ai fini dell’antiriciclaggio, l’Ufficio
Italiano Cambi ha espresso la sua posizione in un apposito parere
(1).
Secondo l’UIC non è possibile configurare l’identificazione
dei certificatori della firma digitale quale idonea attestazione
in quanto i soggetti in questione sono estranei alla normativa
antiriciclaggio.
L’impiego della firma digitale nell’ambito della
disciplina antiriciclaggio è valido “previa stipula
di un'apposita convenzione tra intermediario e certificatore,
in cui quest'ultimo si impegni ad effettuare l'identificazione
in conformità degli obblighi previsti dalla disciplina
antiriciclaggio”. L’UIC inoltre riconosce la diversità
delle normative in materia di antiriciclaggio e sulla firma
digitale in quanto quest’ultima, in merito all’identificazione
del contraente, non richiede obbligatoriamente il contatto fisico
tra l’interessato ed il certificatore (2).
Pertanto deve essere assicurata la rispondenza delle procedure
del certificatore ai principi della normativa antiriciclaggio.
Il certificatore, secondo l’UIC, deve:
* prevedere, nel manuale operativo, che il procedimento di identificazione
avvenga alla presenza del cliente e nel rispetto di tutti i
requisiti sanciti dalla normativa antiriciclaggio;
* garantire la diffusione del provvedimento di revoca o sospensione
e verificare, nella fase di rinnovo del certificato, l’identità
del cliente.
Esaudite le condizioni indicate potrà essere stipulata
la convenzione necessaria per l’identificazione del contraente
ai fini della normativa antiriciclaggio mediante l’impiego
della firma digitale. Resta ferma, secondo l’UIC, la responsabilità
dell’intermediario committente, il quale dovrà
“accertare che il dispositivo di firma sia stato rilasciato
da un soggetto certificatore dotato di una disciplina in materia
di identificazione conforme alle disposizioni antiriciclaggio
nonché verificare, in sede di accensione del rapporto
continuativo e nel momento dell'esecuzione dell'operazione,
la validità della firma digitale”.
Tutti i certificatori identificano di persona il contraente,
addirittura Finital prevede la possibilità dell’intervento
di un notaio. Come si può notare da un esame dei manuali
operativi, la principale difficoltà riguarda il rinnovo
del certificato, in quanto solo Finital e Saritel prevedono
la reidentificazione dei contraenti. I certificatori presentano
diverse soluzioni per la gestione delle CSL (liste dei certificati
sospesi) e delle CRL (liste dei certificati revocati), a mio
parere la garanzia della diffusione del provvedimento di revoca
o sospensione è data non dai singoli certificatori, ma
dalla normativa sulla firma digitale, secondo la quale:
* si deve procedere “tempestivamente” alla revoca
od alla sospensione del certificato (art. 28 comma 2 lettera
h) DPR 445/2000)
* la pubblicazione dell’aggiornamento della lista di revoca
o sospensione deve essere effettuata “immediatamente”
in caso di compromissione della segretezza della chiave privata
(art. 29 comma 5 e 34 comma 3 DPCM 8/2/1999)
* deve essere data ”immediata” pubblicazione della
revoca e della sospensione della coppia di chiavi asimmetriche
(art. 28 comma 2 lettera i) DPR 445/2000)
In sostanza non è chiaro il dettato dell’UIC: se
“garantire la diffusione del provvedimento di revoca o
sospensione” equivale alle previsioni normative sulla
firma digitale, come a me pare, si deve concludere che le condizioni
poste dall’Ufficio Italiano Cambi si riducano alla reidentificazione
del contraente al rinnovo del certificato e alla stipula della
convenzione tra intermediario e certificatore.
In merito ad un possibile utilizzo della firma elettronica “debole”
nell’ambito della disciplina antiriciclaggio concordo
con Ricchiuto (3), il quale si esprime in senso
negativo in quanto non è prevista l’identificazione
di persona per il rilascio della firma elettronica e la stessa
non fornisce adeguate garanzie in termini di sicurezza. Non
è stato ancora posto un quesito per la firma elettronica
all’Ufficio Italiano Cambi, ma ritengo che un suo eventuale
parere sarebbe negativo.
BIBLIOGRAFIA
o Ricchiuto, “Contratti bancari e assicurativi a distanza”,
in “Bancamatica”, gennaio/febbraio 2002.
o Ufficio Italiano Cambi, “La firma digitale: strumento
idoneo a identificare un soggetto ai sensi della normativa antiriciclaggio”,
14 giugno 2001.
25/01/2002
1 - Ufficio Italiano Cambi, “La firma
digitale: strumento idoneo a identificare un soggetto ai sensi
della normativa antiriciclaggio”, 14 giugno 2001.
2 - Art. 22 commi 2 e 3 DPCM 8/2/1999 (regolamento
tecnico).
3 - Ricchiuto, “Contratti bancari e assicurativi
a distanza”, in “Bancamatica”, gennaio/febbraio
2002.
