ESMA: orientamenti gestione reclami in ambito finanziario (DirittoBancario.it, 29 agosto 2014)

140313-diritto-bancario

  • Fonte: www.dirittobancario.it, titolo originale: “Gestione dei reclami per il settore degli strumenti finanziari e bancario: le traduzioni ufficiali degli Orientamenti del Joint Committee”

Pubblicate le traduzioni ufficiali degli Orientamenti sulla gestione dei reclami per il settore degli strumenti finanziari (ESMA) e per il settore bancario (EBA) del Joint Committee of European Supervisory Authorities, composto dall’ESMA, EBA e EIOPA (pdf, 155 K, 10 pp.)
Scopo degli orientamenti è quello di:

  • chiarire le aspettative relative all’organizzazione delle imprese in merito alla gestione dei reclami;
  • fornire indicazioni sulla trasmissione di informazioni ai reclamanti;
  • fornire indicazioni sulle procedure per la risposta ai reclami;
  • armonizzare le modalità che le imprese adottano per la gestione di tutti i reclami ricevuti;
  • garantire che le modalità che le imprese adottano per la gestione dei reclami siano soggette a un livello minimo di convergenza di vigilanza in tutta l’UE.

Gli orientamenti si applicano alle autorità competenti preposte alla vigilanza della gestione dei reclami da parte delle imprese nella loro giurisdizione, ivi compresi i casi in cui l’autorità competente vigila sulla gestione dei reclami in forza del diritto dell’Unione e del diritto nazionale da parte di imprese che operano nella sua giurisdizione in regime di libera prestazione di servizi o di libertà di stabilimento.

140609-eba-logo.jpg

Allegato

  • ESMA, “Joint Committee: Orientamenti sulla gestione dei reclami per il settore degli strumenti finanziari (ESMA) e per il settore bancario (ABE)” (pdf, 155 K, 10 pp.)

 

ComplianceNet: 

Antiriciclaggio, per i professionisti PEC da comunicare al Fisco entro il 31 ottobre – sintesi (Eutekne.info, 28 agosto 2014)

140305-logo-eutekne

Via posta elettronica certificata potranno essere chieste informazioni relative all’identità dei titolari effettivi

Su Eutekne.info del 28 agosto 2014 Annalisa De Vivo ricorda che entro il 31 ottobre 2014 i professionisti e i revisori legali dei conti destinatari della normativa antiriciclaggio di cui al DLgs. 231/2007 devono comunicare all’Agenzia delle Entrate il proprio indirizzo di PEC, utilizzando il servizio Entratel o Fisconline, secondo quando specificato nel DPR 22 luglio 1998, n. 322 e nel decreto del Ministero delle Finanze 31 luglio 1998 e successive modificazioni, nonché nei relativi allegati.
“L’obbligo di comunicazione in commento trova la propria ratio nella necessità di utilizzare il sistema PEC sia per le richieste di informazioni che per le risposte, fatto salvo il periodo transitorio, nel corso del quale le richieste potranno essere trasmesse in formato cartaceo, purché siano adottate misure idonee a garantire la riservatezza delle comunicazioni”
Quanto all’oggetto della comunicazione De Vivo ricorda che l’art. 18, comma 1, lett. b) del DLgs. 231/2007 impone al professionista ai fini del corretto adempimento degli obblighi di adeguata verifica della clientela, l’identificazione dell’eventuale titolare effettivo e la verifica della sua identità, secondo le indicazioni fornite dall’art. 1, comma 2, lett. u) e dall’allegato tecnico del decreto.
Tuttavia ricorda De Vivo “a distanza di sette anni permangono difficoltà operative connesse alla corretta identificazione del titolare effettivo tanto nel settore privato quanto in quello pubblico”
In dettaglio, i profili di criticità emergono con evidenza allorquando occorre tradurre in termini concreti la nozione di “controllo” contenuta nell’attuale disciplina antiriciclaggio, in quanto la stessa diverge da quella comunemente individuata dalle norme di diritto societario.
In ogni caso l’identificazione e la verifica dell’identità del titolare effettivo devono essere estese – ove necessario – alle entità giuridiche che controllano altre entità giuridiche, risalendo la catena dei controlli fino ad arrivare alla persona fisica che esercita la proprietà o il controllo della persona giuridica cliente. L’impossibilità di identificare il titolare effettivo è infatti foriera, per il professionista, di un ulteriore e più gravoso obbligo: quello di astensione dalla prestazione professionale o – qualora già in corso di svolgimento – di cessazione immediata della stessa.

Articoli correlati su Eutekne.info

Articoli collegati su Antiriciclaggio

Articoli collegati su Eutekne.info

Elenchi e albi, la Giustizia potrà trattare i dati (Italia Oggi, 28 agosto 2014)

il-sole24ore-logo

Ok al trattamento dei dati giudiziari per la tenuta di elenchi e albi da parte del ministero della giustizia.

Con il decreto n. 123 del 24 luglio 2014 (pubblicato sulla Gazzetta Ufficiale n. 197 del 26 agosto 2014) Via Arenula ha aggiornato il proprio regolamento sulla privacy e cioè il decreto n. 306 del 12 dicembre 2006.
La modifica riguarda la scheda n. 18 del regolamento, dedicata prima all’elenco revisori (spostato al Mef) e, ora, a tutti gli elenchi e albi di competenza del ministero della giustizia.
Così il ministero rispetta le condizioni previste dal codice della privacy per poter raccogliere, conservare ed elaborare i dati sensibili e giudiziari per la tenuta di albi ed elenchi.
Il codice della privacy (dlgs 196/2003), agli articoli 20, comma 2, e 21, comma 2, infatti, subordina il trattamento di dati sensibili e giudiziari da parte di un ente pubblico a particolari presupposti.
In sostanza ci deve essere una legge ad hoc che descriva esattamente le condizioni del trattamento dei dati; ma se non c’è una legge che identifichi le caratteristiche delle operazioni del trattamento, allora l’ente pubblico deve dotarsi di un proprio regolamento, contenente tipi di dati e categorie di operazioni.
Tutte queste formalità sono necessarie perché l’ente pubblico tratta i dati sensibili e giudiziari senza il consenso dell’interessato e si deve attenere, quindi, almeno a precise cautele normative.
Il regolamento deve essere sottoposto al parere del garante della privacy e deve essere aggiornato periodicamente e comunque ogni volta che mutano le caratteristiche del trattamento.
Vediamo perché si è reso necessario aggiornare il regolamento del ministero della giustizia.
La scheda 18 citata, allegata al regolamento nel testo originario si riferiva, come trattamento, alla tenuta del registro revisori contabili, che, però, non è più affidata al ministero della giustizia, ma al ministero dell’economia e delle finanze, a norma del decreto 20 giugno 2012, n. 144.
Inoltre, dal 2006 sono stati istituiti presso il ministero della giustizia diversi registri, albi o elenchi: l’elenco dei gestori dei siti internet destinati alla pubblicazione degli avvisi di vendita nelle espropriazioni (articolo 490 c.p.c.), il registro degli organismi di mediazione e l’elenco dei formatori per la mediazione, il registro degli organismi di composizione della crisi da sovraindebitamento, l’albo degli amministratori giudiziari per la gestione dei beni sequestrati e confiscati.
Altri elenchi sono previsti e in fase di istituzione, come quello dei gestori delle vendite telematiche (articolo 161-ter disposizioni di attuazione del c.p.c.).
Per la tenuta di questi registri, albi ed elenchi è necessario il trattamento di dati giudiziari: di questa attività si deve tenere conto nel regolamento dati sensibili e giudiziari del ministero della giustizia e in particolare alla scheda n. 18.
Il Garante ha dato il parere favorevole il 10 aprile 2014.
A seguito delle modifiche il ministero della giustizia è autorizzato a raccogliere e trattare i dati necessari per la verifica dei requisiti di onorabilità dei soggetti e delle persone giuridiche iscritte negli albi ed elenchi ministeriali.
Questo con specifico riferimento ai dati giudiziari contenuti nel casellario giudiziale o relativi ai carichi pendenti e alle misure di prevenzione. Il trattamento cui si riferisce la nuova scheda 18 è ora, più in generale, la tenuta di registri, albi ed elenchi; sono poi individuate le fonti normative dei registri o elenchi già istituiti o di prossima costituzione, i riferimenti normativi recanti le rilevanti finalità di interesse pubblico perseguite (articoli 67 e 68 del codice della privacy), i tipi di dati trattati (solo giudiziari) e le operazioni eseguibili.

Ultimi articoli su Privacy

ComplianceNet: 

Privacy & assicurazioni: Archivio antifrodi assicurative (Italia Oggi, 28 agosto 2014)

il-sole24ore-logo

Dopo il via libera del garante in dirittura il decreto sulla banca dati Ivass. Un bollino sui sinistri sospetti per allertare le compagnie

  • Pagina a cura di Antonio Ciccia

Pronto l’archivio informatico integrato contro le frodi assicurative.
Fornirà le coordinate per scoprire sinistri simulati, attribuendo una specie di bollino nero sul sinistro sospetto e mettendo, così, sul chi va là le compagnie.
Sarà un data base unico in cui confluiranno i vari archivi sugli incidenti stradali, sui veicoli e sui dati dei conducenti.
Il passo in avanti verso l’operatività del sistema lo ha segnato il Garante della privacy, che con il provvedimento n. 378 del 24 luglio 2014, ha espresso parere favorevole sullo schema di decreto per l’istituzione e il funzionamento del data base.
L’archivio unico sarà istituito presso l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (Ivass) e ha lo scopo di consentire alle imprese di assicurazione di verificare il livello di anomalia di ogni sinistro anche prima di pagare l’indennizzo per la loro liquidazione.
Il grande archivio servirà anche all’autorità giudiziaria e forze di polizia (per finalità antifrode).
Il risultato dell’operazione sarà di consentire controlli incrociati rigidi e precisi per controllare, per esempio, la dinamica dei sinistri, alla luce di indici di sospetto.
L’archivio integrato a regime raccoglierà in un unico database le informazioni provenienti dalla banca dati dei sinistri, dall’anagrafe testimoni e dall’anagrafe danneggiati (già istituite presso l’Ivass), dalla banca dati dei contrassegni assicurativi, dall’archivio nazionale dei veicoli, dall’anagrafe nazionale degli abilitati alla guida e dal Pra (Pubblico registro automobilistico), dalla banca dati contenente le informazioni relative al ruolo dei periti assicurativi.
Saranno conservate in questo archivio integrato anche le informazioni sull’installazione e attivazione delle «scatole nere» sui veicoli, raccolte a fini antifrode.
Lo scopo è di calcolare per ogni sinistro un indicatore di anomalia.
Si procederà in questi termini: dopo la raccolta e l’incrocio dei dati, si comunicherà alle imprese di assicurazione coinvolte nel sinistro un primo valore dell’indicatore di anomalia, detto di sintesi; se il livello di anomalia sarà superiore a quello fissato con regolamento dell’Ivass, si comunicheranno alle imprese di assicurazione coinvolte anche gli indicatori analitici.
Spetterà, poi, alle assicurazioni usare questi indici nelle procedure di liquidazione degli indennizzi. Il garante ha raccomandato la raccolta di dati pertinenti e non eccedenti le finalità e ha mosso un rilievo specifico su tempi e modalità di conservazione dei dati.
Nel dettaglio le informazioni rimarranno nell’archivio per cinque anni dalla data di definizione di ciascun sinistro; trascorsi cinque anni i dati di ciascun sinistro definito saranno riversati su altro supporto informatico gestito dall’Ivass e dopo altri cinque anni saranno conservati in forma anonima e per scopi esclusivamente statistici.
Il Garante ha richiesto di inserire la clausola per cui i dati riversati su altro supporto informatico possono essere utilizzati nel secondo quinquennio dall’Ivass esclusivamente a fini di comunicazione per esigenze di giustizia penale o a seguito di esercizio dei diritti degli interessati.

Dati telefonici

Più garanzie nei controlli delle utenze telefoniche.
Il garante ha dato il via libera allo schema di Convenzione tra il ministero dell’interno e i gestori di servizi di telecomunicazioni sull’accesso telematico delle forze di polizia e dell’autorità giudiziaria ai dati dei possessori di telefoni fissi e mobile (provvedimento 244/2014).
L’accesso ai dati (nome, cognome, numero telefonico, data attivazione/cessazione linea, residenza), previsto dalla legge solo per finalità di giustizia, avverrà esclusivamente tramite il Centro di elaborazione dati (Ced) del dipartimento della pubblica sicurezza utilizzando uno specifico sistema informatico denominato Elenco telefonico nazionale (Etna).
Tutti gli accessi saranno tracciati e potranno avvenire solo da postazioni di lavoro certificate.
Ufficiali e agenti di polizia e personale designato dai capi degli uffici giudiziari dovranno essere in possesso di specifici profili di abilitazione e credenziali di autenticazione personali.

Ultimi articoli su Privacy

Privacy, Newsletter del Garante n. 391 del 27 agosto 2014: assicurazioni e frodi, dati telefonici, assenze dal lavoro

140118-logo-garante-privacy

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. n. 391 del 27 agosto 2014. Tre gli argomenti trattati:

  1. Assicurazioni: sì all’archivio informatico integrato contro le frodi
  2. Maggiori garanzie per i dati degli utenti telefonici accessibili a fini di giustizia
  3. Lavoro: no alle motivazioni delle assenze in bacheca

Assicurazioni: sì all’archivio informatico integrato contro le frodi

Nella nuova banca dati dell’Ivass solo dati indispensabili e protetti da elevate misure di sicurezza

Il Garante ha espresso parere favorevole sullo schema di decreto per l’istituzione e il funzionamento dell’ "archivio informatico integrato" contro le frodi assicurative [doc. web n. 3320757].
In base alla bozza di regolamento, predisposto dal Ministro dello sviluppo economico e dal Ministro delle infrastrutture e dei trasporti, il nuovo archivio sarà istituito presso l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (IVASS) con lo scopo di fornire dati alle imprese di assicurazione (per la valutazione del livello di anomalia di ogni sinistro e per la loro liquidazione) e agli altri soggetti previsti dal regolamento come autorità giudiziaria e forze di polizia (per finalità antifrode).
L’IVASS raccoglierà in un unico database le informazioni di numerose banche dati come quella dei sinistri, l’anagrafe testimoni e l’anagrafe danneggiati (già istituite presso l’IVASS), della banca dati dei contrassegni assicurativi, dell’archivio nazionale dei veicoli, dell’anagrafe nazionale degli abilitati alla guida e del PRA (Pubblico registro automobilistico), della banca dati contenente le informazioni relative al ruolo dei periti assicurativi.
All’archivio informatico integrato confluiranno anche le informazioni sull’installazione e attivazione delle cosiddette "scatole nere", raccolte a fini antifrode.
Dai dati raccolti, l’IVASS sarà in grado di calcolare per ogni sinistro un cosiddetto "indicatore di anomalia" sul rischio di fenomeni fraudolenti, per poi comunicarlo alle imprese di assicurazione coinvolte.
L’Autorità, prima del via libera, considerando i potenziali rischi per la privacy di un progetto così ampio, ha indicato agli uffici competenti adeguate tutele poi inserite nella bozza di decreto.
In particolare il Garante ha richiesto che vengano utilizzati solo dati pertinenti e non eccedenti, oltre che espressamente individuati, rispetto alle specifiche finalità perseguite dall’IVASS con questa iniziativa.
Dovranno inoltre essere individuati con precisione tempi e modalità di conservazione dei dati.
Particolari misure, infine, dovranno essere adottate per garantire la sicurezza dei dati, anche in fase di trasmissione e conservazione.

Maggiori garanzie per i dati degli utenti telefonici accessibili a fini di giustizia

Ok del Garante alla Convenzione tra Ministero dell’interno e gestori tlc

Parere favorevole del Garante privacy sullo schema di Convenzione tra il Ministero dell’interno e i gestori di servizi di telecomunicazioni che regola l’accesso telematico delle forze di polizia e dell’autorità giudiziaria ai dati dei possessori di telefoni fissi e mobili [doc. web n. 3259425].
Il via libera si riferisce ad una versione di schema aggiornato alla luce degli approfondimenti svolti con l’Ufficio del Garante che hanno permesso di chiarire alcuni aspetti della Convenzione e di introdurre maggiori garanzie per i possessori di telefoni fissi e mobili.
A seguito dell’intervento del Garante, l’accesso ai dati (nome, cognome, numero telefonico, data attivazione/cessazione linea, residenza, ecc.) - previsto dalla legge e autorizzato solo per finalità di giustizia - avverrà esclusivamente tramite il Centro di elaborazione dati (Ced) del Dipartimento della pubblica sicurezza utilizzando uno specifico sistema informatico denominato Elenco Telefonico Nazionale (ETNa).
Un sistema che consente la consultazione delle banche dati dei vari gestori e non comporta la creazione di un nuovo archivio né la duplicazione di informazioni.
Tutti gli accessi ai dati saranno tracciati e potranno avvenire solo da postazioni di lavoro certificate e gli utenti (ufficiali e agenti di polizia e personale designato dai capi degli uffici giudiziari) dovranno essere in possesso  di specifici profili di abilitazione e credenziali di autenticazione personali.
Il flusso di comunicazione dovrà essere protetto da elevati standard di sicurezza e non potranno essere utilizzati dispositivi automatici che consentono di consultare i dati in forma massiva. Precisati anche i compiti dei supervisori e degli amministratori locali, due figure  preposte, tra l’altro, alla individuazione e alla gestione operativa, formazione e controllo del personale abilitato ad accedere ad ETNa.
Introdotto, inoltre, l’obbligo per i gestori tlc di trasmettere al Ced report delle attività di monitoraggio e controllo delle operazioni effettuate dal personale che utilizza ETNa.

Lavoro: no alle motivazioni delle assenze in bacheca

Il Garante vieta il trattamento a una società di trasporto pubblico locale

Il datore di lavoro non deve comunicare al personale il motivo dell’assenza dei dipendenti. Il principio è stato affermato dal Garante privacy che ha vietato [doc. web n. 3325317] a una società di trasporto pubblico locale di mettere a disposizione di tutti gli autisti i turni di lavoro con  le motivazioni delle assenze dei colleghi.
Nelle tabelle affisse nelle bacheche aziendali e nell’intranet aziendale, comparivano, accanto ai turni dei dipendenti, delle sigle indicanti le cause delle assenze: ad es. "MA" per "malattia" o "PAD" per "permesso assistenza disabili", o ancora "PS" per "permesso sindacale".
Anche la legenda esplicativa era a disposizione di tutto il personale all’interno dell’azienda.
L’obiettivo di tale comunicazione era, secondo le dichiarazioni della società, quello di ottimizzare l’organizzazione del servizio ed evitare contestazioni dei dipendenti sulle sostituzioni.
L’Autorità, intervenuta su segnalazione di un sindacato, ha ritenuto illecita tale divulgazione di dati personali, in alcuni casi anche sensibili, perché effettuata in violazione del principio di pertinenza e non eccedenza del Codice.
Per garantire una corretta gestione dei turni di lavoro sarebbe stato sufficiente fornire agli autisti la semplice informazione dell’assenza dei colleghi e delle necessarie sostituzioni, omettendo  le motivazioni.  
Di conseguenza il Garante ha vietato l’ulteriore comunicazione delle ragioni delle assenze dal servizio contenuti nelle tabelle dei turni ed ha prescritto alla società di adottare entro trenta giorni opportune misure volte a conformare il trattamento dei dati personali, specie se di natura sensibile e idonei a rivelare lo stato di salute, alla disciplina di protezione dei dati personali, come previsto dal Codice privacy e dalle Linee guida sul trattamento dei dati personali dei lavoratori privati.

L’attività del Garante - per chi vuole saperne di più

Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

Newsletter del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)

Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

Le ultime Newsletter del Garante Privacy

Ultimi articoli su Privacy

ComplianceNet: 

Antiriciclaggio, sanzioni soft (Italia Oggi, 27 agosto 2014)

il-sole24ore-logo

Al ministero dell’Economia tavolo tecnico per il restyling delle misure per i professionisti. Verso un ammorbidimento per le violazioni formali

  • di Cristina Bartelli

Sanzioni antiriciclaggio al restyling

Si va verso un ammorbidimento per i professionisti e le persone fisiche, chiamati ad applicare le regole sul controllo dei flussi di capitali.
Con sanzioni meno stringenti per omissioni di adempimenti che non evidenziano anomalie tali da far scattare le segnalazioni di operazioni sospette.
Sono queste alcune indicazioni su cui Ministero dell’Economia, Dipartimento del tesoro, Unità di informazione finanziaria e Guardia di finanza lavoreranno a partire da settembre seduti al tavolo per la riforma delle sanzioni voluto dal sottosegretario del ministero dell’economia con delega alla materia, Enrico Zanetti.
L’obiettivo è quello di arrivare in tempi stretti alla rimodulazione delle sanzioni inserendo le nuove regole nella legge comunitaria.
Intanto i tecnici del Mineconomia stanno mettendo appunto anche il pacchetto di misure sui reati economici che dovrà essere approvato nei prossimi giorni, se non nel consiglio dei ministri del 29 agosto, in quello successivo.
Riflettori puntati sulla norma che introduce l’autoriciclaggio.
Secondo quanto ItaliaOggi è in grado di anticipare, si va verso una applicazione della nuova fattispecie ai fenomeni di occultamento del provento del reato individuato come autoriciclaggio e non al mero utilizzo che resterebbe fuori dai confini di punibilità.
«Ho convocato un tavolo tecnico per tracciare un metodo di lavoro che successivamente sarà aperto anche al confronto con le professioni», spiega a ItaliaOggi il sottosegretario Zanetti, «è importante arrivare a un ridisegno dell’impostazione delle sanzioni. Attualmente», ricorda, «le norme sono quasi terroristiche laddove l’omissione resta anche solo formale, cioè tale che non emerga l’obbligo successivo di effettuare la segnalazione per l’operazione sospetta. Il nostro obiettivo», chiarisce il sottosegretario, «è di riportare questo tipo di sanzioni a una proporzionalità adeguata». Il lavoro, secondo le prime previsioni, si dovrebbe svolgere in tempi brevi per arrivare a inserire le norme già nella legge Comunitaria in approvazione il prossimo anno.

Antiriciclaggio

La decisione di intervenire nasce dal fatto che l’impianto sanzionatorio attuale della legge 231/2007 si è rivelato molto aspro per i soggetti coinvolti nelle fasi di registrazioni e monitoraggio delle operazioni.
Le norme erano pensate in prevalenza per gli intermediari finanziari e ora sono applicate senza distinzioni anche alle persone fisiche, professionisti in particolare.
I tecnici del Mef e dell’Uif saranno chiamati quindi a ragionare e mediare su una riscrittura delle disposizioni pensando proprio a una riparametrazione delle misure.
Per Zanetti si dovrà tenere conto in particolare «di quei comportamenti omissivi legati ad esempio all’identificazione o alla registrazione del cliente, che però non accompagnano a valle la segnalazione di operazione sospetta» che quindi rappresentano una violazione di un adempimento e non di una funzione di controllo.

Autoriciclaggio e correzioni antiriciclaggio

Proseguono intanto, come detto, i lavori sul pacchetto giustizia nella parte relativa ai reati economici.
Il provvedimento prevede l’introduzione del reato di autoriciclaggio in una forma diversa rispetto a quella contenuta nel disegno di legge sulla voluntary disclosure all’esame della commissione finanze della camera.
La misura, secondo quanto risulta a ItaliaOggi, introdurrà la fattispecie nei casi in cui la condotta configuri un’azione attiva di mascheramento e occultamento del denaro di provenienza da altro reato. Inoltre, nel provvedimento saranno inserite delle correzioni tecniche alla normativa antiriciclaggio per quel che riguarda l’identificazione dei soggetti in tema di adeguata verifica.

Articoli collegati su Antiriciclaggio

La firma digitale formato Ue finisce nelle mani degli avvocati (Il Sole 24 Ore, 25 agosto 2014)

il-sole24ore-logo

  • Fonte: in pdf su rassegna stampa del Ministero Istruzione

La storia senza fine delle sottoscrizioni elettroniche. 5 milioni: In circolazione. A maggio erano 5,3 milioni i certificati di firma qualificata

  • di Antonello Cherchi

Non c’è pace per le firme digitali.
La situazione di confusione si trascina ormai da più di dieci anni, anche se questa volta la parola "fine" sembrava all’orizzonte.
Tutto si sarebbe, infatti, dovuto definire entro il prossimo 10 febbraio, momento in cui gli enti che certificano le firme digitali qualificate - cioè quelle che offrono maggiori garanzie - avrebbero dovuto rilasciare dispositivi di sottoscrizione in linea con i requisiti di sicurezza Ue.
Invece, il sistema è stato rimesso in discussione per l’ennesima volta.
Il nodo di tutto è il decreto del presidente del Consiglio 19 luglio 2012.
Quel provvedimento - predisposto sotto il Governo Monti e ultimo di una lunga serie (si veda la scheda sotto) - ha infatti assegnato 21 mesi a partire dal 25 ottobre 2012 (data dell’entrata in vigore) perché gli enti di certificazione si munissero di dispositivi in grado di generare firme digitali qualificate al passo con i parametri Ue.
Processo che deve essere validato dall’Onmi (Organismo di certificazione della sicurezza informatica) o comunque da un ente che aderisce all’accordo internazionale Cera (Common recognition arrangement).
Al 25 luglio scorso, data di scadenza dei 21 mesi, solo una società- la ItAgile, che distribuisce per il nostro Paese il dispositivo di firma CoSign - si è presentata coni requisiti in regola.
O quasi.
«Anche se il procedimento di certificazione non era ancora completato - spiega Gianni Sandrucci, amministratore di ItAgile -una lettera speditaci dall’Ocsi afferma che è alle fasi finali».
Così non è, invece, almeno secondo una parte dei dodici enti di certificazione iscritti nell’elenco tenuto, per legge, dall’Agenzia per l’Italia digitale.
Elenco di cui ItAgile, che non è un certificatore ma un produttore di dispositivi di firma, non fa parte.
Ma questo non è un problema.
Il fatto è che - sempre secondo il decreto di luglio 2012 - gli enti certifi-catori senza "validazione" Onmi alla data del 25 luglio (cioè, tutti e dodici) devono sostituire i dispositivi di firma rilasciati finora con altri dotati delle caratteristiche di sicurezza richieste dalla Ue.
L’operazione di migrazione verso apparati garantiti dovrà essere completata entro il 10 febbraio prossimo.
Fino a quella data, ma non oltre, continueranno ad avere validità le firme qualificate rilasciate secondo i vecchi criteri.
La transizione degli enti certificatori verso dispositivi più sicuri doveva essere preceduta da una comunicazione all’Agenzia per l’Italia digitale che gli organismi avrebbero dovuto inviare entro il 9 agosto.
Non tutti, però, l’hanno fatta.
«Una parte degli enti certificatori ha presentato all’Agenzia il piano di migrazione, ma un’altra parte - chiarisce Paolo Cascino, direttore di Assocertificatori - sostiene che anche ItAgile non abbia completato il procedimento di certificazione presso l’Onmi e, dunque, non abbia i requisiti chiesti dal decreto per produrre firme digitali qualificate. Non essendoci, pertanto, neanche un organismo in grado di assicurare dispositivi di firma con i criteri di sicurezza richiesti, viene a cadere, secondo quegli enti, il decreto stesso. La questione è ora in mano agli uffici legali».
Il problema riguarda la produzione delle firme digitali qualificate remote - cioè quelle che non sono materialmente nella disponibilità del sottoscrittore, ma alle quali quest’ultimo accede in Rete attraverso una serie di credenziali - e che rappresentano circa la metà delle sottoscrizioni "forti" ora in circolazione nel nostro Paese, su un totale, rilevato a maggio, di poco più di 5,3 milioni di certificati validi.
L’altra metà è rappresentata dalle firme digitali su smart card.
Nonostante gli intoppi vissuti fin qui dalla firma digitale a causa dei continui aggiustamenti legislativi - ai quali si aggiunge quest’ultimo che minaccia di trasferire il problema nelle aule legali - l’esperienza italiana è all’avanguardia in Europa.
«Altri Paesi - afferma Gianni Sandrucci - guardano alla nostra esperienza, perché disponiamo di apparati in grado di produrre firme qualificate che possono essere utilizzate in tutta l’Unione».

Dieci anni di tentativi

Le firme

Per firma elettronica si intende, in generale, la possibilità di connettere dati elettronici in modo da consentire l’identificazione informatica di chi "firma".
Tra le firme elettroniche si può distinguere la firma digitale avanzata, che assicura la connessione tra firmatario e documento elettronico, e la firma digitale qualificata, la forma più "forte" di firma elettronica.
Grazie, infatti, a un sistema di doppie chiavi crittografiche, una pubblica e una privata, consente di attestare l’integrità, l’autenticità e la non ripudiabilità del documento elettronico su cui è apposta. È rilasciata dagli organismi di certificazione

Le regole Ue

La direttiva 1999/93/Ce ha prescritto i requisiti di sicurezza della firma digitale qualificata, che in Italia devono essere certificati dall’Ocsi (Organismo di certificazione della sicurezza informatica)

Le mosse dell’Italia

Per adeguarsi ai criteri Ue il nostro paese vara il Dpcm 30 ottobre 2003, pubblicato sulla «Gazzetta Ufficiale» del 27 aprile 2004, che prevede un periodo transitorio di nove mesi durante il quale i certificatori attestano, mediante autodichiarazione, che i propri dispositivi di firma digitale rispondono ai requisiti di sicurezza europei.
Si arriva al 2010 e il Dpcm 10 febbraio, pubblicato sulla «Gazzetta» del 28 aprile, proroga al 1° novembre 2011 la possibilità dell’autocertificazione.
Un ulteriore decreto (il Dpcm 14 ottobre 2011) sposta ancora i termini: le autocertificazioni varranno fino al 1° novembre 2013, purché gli enti di certificazione abbiano, alla data del l° novembre 2011, presentato all’Ocsi (o altro ente accreditato) domanda di certificazione.
Il decreto viene pubblicato sulla «Gazzetta» del 31 ottobre 2011, dunque a ridosso della scadenza, che, tra l’altro, cade in un giorno festivo. Un vero pasticcio

L’ultimo decreto

È il Dpcm 19 luglio 2012, pubblicato sulla «Gazzetta» del 10 ottobre. L’autocertificazione vale, di fatto, fino al 10 febbraio 2015

Articoli collegati su Security

ComplianceNet: 

Accenture: “Compliance Risk Study 2014” (25 agosto 2014)

140825-accenture-compliance-report-2014.jpg

Nuova edizione del “Compliance Risk Study” di Accenture USA (pdf, 1.7 M, 12 pp.). L’indagine rivela che la “gestione del rischio di non conformità” è ormai una funzione aziendale di controllo consolidata e indispensabile presso gli intermediari finanziari.
Lo studio, che si basa su un sondaggio effettuato presso 100 Compliance Officer in banche e imprese finanziarie europee e nord americane, si concentra su alcuni punti chiave indispensabili per rendere la “funzione di Compliance” uno strumento di vantaggio competitivo:

  • il livello degli investimenti
  • innovazione nelle soluzioni
  • efficacia dei programmi
  • definizione di priorità.

Molto interessanti le osservazioni sulla necessità garantire l’alta professionalità e il “talento” di coloro che si occupano di “Compliance” tanto che, negli Stati Uniti, si assiste ad una forte competizione tra le imprese per assumere i migliori “Compliance Officer”.
Secondo Accenture le aziende che non investono in maniera significativa nei propri talenti in ambito Compliance rischiano di non raggiungere i propri obiettivi in materia di rispetto delle norme.

140825-accenture-compliance-report-2014-infografica.jpg

(Infografica: clicca per scaricare la versione completa in pdf)

Gli autori del rapporto

  • Samantha Regan  è managing director del Finance and Risk business service di Accenture e “regulatory and compliance lead” per la Finance and Risk Services practice.
  • Ben Shorten è manager nella Strategy practice di Accenture

Allegato

  • Compliance’s Seat at the Table – Hard to Earn, Hard to Retain. Accenture 2014 Compliance Risk Study” (pdf, 1.7 M, 12 pp.) e relative infografica

La versione 2013 della ricerca di Accenture sulla Compliance

ComplianceNet: 

All’estero il 29% di euro evasi. Ma la caccia ora si fa serrata (Italia Oggi, 25 agosto 2014)

il-sole24ore-logo

  • Fonte: in pdf su rassegna stampa dell’Agenzia delle Entrate

La foto scattata dal Rapporto annuale del Mef, con le linee guida fino al 2016

  • Pagina a cura di Valerio Stroppa

Per ogni 3 euro sottratti al fisco uno finisce all’estero.
Prevalentemente in Lussemburgo se si tratta di società (24% dei casi) e in Svizzera per le persone fisiche (13%).
Il peso dei fenomeni di evasione ed elusione internazionale rispetto al totale è pari al 29%.
Ma si intensifica la lotta agli illeciti transfrontalieri: nei primi quattro mesi del 2014 le somme recuperate a tassazione dalla Guardia di finanza ai fini delle imposte dirette hanno superato i 10 miliardi di euro.
Un risultato che, se proiettato su base annua, potrebbe addirittura raddoppiare quanto scovato nell’intero 2013 nelle operazioni con l’estero (circa 15,1 miliardi).
Già a partire dallo scorso anno, l’Atto di indirizzo per la definizione delle priorità politiche del Mef ha attribuito alle Fiamme gialle il compito di contribuire all’attuazione dell’obiettivo riguardante «l’ulteriore rafforzamento della lotta all’evasione e all’elusione, con misure di contrasto ai fenomeni dei paradisi fiscali e degli arbitraggi fiscali».

140825-ita-oggi-estero.png
A tale scopo il Corpo ha emanato apposite direttive che, anche in linea con il documento Beps sulla pianificazione fiscale aggressiva diffuso dall’Ocse, mirano a contrastare l’utilizzo strumentale dei benefici offerti dai paradisi fiscali.
Sotto la lente ci sono tutti quei gruppi multinazionali che, attraverso specifiche transazioni intercompany con le imprese estere controllate e collegate, sfruttano i disallineamenti esistenti tra le varie giurisdizioni e realizzano il c.d. «treaty shopping».
In questo modo è cresciuto il peso dell’evasione transfrontaliera riportata alla luce dalla Gdf rispetto al risultato complessivo.
Lo scorso anno, per esempio, a fronte dai 52 miliardi di euro complessivamente recuperati, circa 15 facevano riferimento a fattispecie crossborder (29%).
Tra il 1° gennaio e il 30 aprile 2014, invece, tale percentuale è salita quasi al 50%, con 10,2 miliardi sui 21,7 totali.
Le attività di intelligence e di analisi delle Fiamme gialle, spiega la relazione del Mineconomia, «sono mirate a individuare contribuenti italiani che detengono all’estero capitali, investimenti e attività finanziarie non inserite nel quadro RW delle dichiarazioni dei redditi, nonché persone fisiche e società che hanno fittiziamente trasferito la residenza all’estero o che hanno eseguito transazioni e operazioni finanziarie con operatori economici dislocati in paradisi fiscali».
Proprio sul fronte delle false residenze nel primo quadrimestre 2014 i militari del fisco hanno quasi raggiunto l’intero risultato del 2013, recuperando a tassazione ben 6,3 miliardi di euro.
Trend positivo pure per quanto riguarda la contestazione di stabili organizzazioni occulte in Italia di società estere, che ha consentito di scovare in quattro mesi 3,6 miliardi di imponibile (contro i 5,5 miliardi dell’intero 2013).

140825-ita-oggi-estero.png
Rallentano leggermente, invece, le rettifiche sul transfer pricing.
Su questo versante si sta facendo sentire la maggiore compliance data dalla crescente cooperazione tra fisco e imprese.
Oltre a predisporre la documentazione sui prezzi di trasferimento prevista dal dl n. 78/2010, che consente la disapplicazione delle sanzioni in caso di accertamento, stanno prendendo piede istituti di collaborazione quali ruling e Apa (advanced price agreements), vale a dire accordi che permettono ai contribuenti di definire ex ante con l’ufficio le regole e i benchmark applicabili nelle transazioni infragruppo.
Negli ultimi mesi la Gdf ha poi varato apposite indicazioni operative che assicurano un migliore coordinamento con l’Agenzia delle entrate, soprattutto nei seguenti casi: situazioni connotate da incertezza normativa, rilievi fondati su interpretazioni di norme o su disconoscimenti di effetti fiscali di operazioni ritenute elusive abusive, nonché in quei casi di obiettiva e particolare complessità ove siano coinvolti più soggetti aventi sede in più regioni o Paesi.
Un’altra delle linee d’azione del Corpo guidato dal comandante generale Saverio Capolupo mira a garantire una «costante e diffusa aggressione dei patrimoni dei responsabili dei reati tributari».
Lo scorso anno sono stati denunciati alle procure 12.726 soggetti a seguito dell’accertamento di 13.401 reati tributari. Nel 79% dei casi si trattava di fatture per operazioni inesistenti e dichiarazione fraudolenta. Il valore delle procedure di sequestro preventivo avviate, anche per equivalente, si è attestato nel 2013 a 4,6 miliardi di euro.
Nella maggior parte dei casi trattava di aziende e quote societarie, mentre beni mobili e immobili, auto, imbarcazioni, valute e conti correnti hanno pesato per quasi 1,4 miliardi.

Allegati

Ultimi articoli su Fisco

ComplianceNet: 

Il furto d’immagine costa caro (Italia Oggi, 25 agosto 2014)

il-sole24ore-logo

La Cassazione su un caso di inserimento abusivo di immagine altrui in un profilo

  • di Antonio Ciccia e Alessio Ubaldi  

Risponde del reato di sostituzione di persona chi, inserendo in un profilo social l’altrui immagine, intrattenga conversazioni con i conoscenti del defraudato oppure lo danneggi lasciando intendere che i comportamenti impietosi e offensivi tenuti sulla rete siano a lui imputabili.
Lo ha stabilito la quinta sezione penale della Corte di cassazione con la sentenza n. 25774, depositata il 16 giugno 2014.
Nel caso di specie un uomo ha utilizzato la foto di altro soggetto per completare un profilo di fantasia su un social network.
Il furto di immagine ha tratto in errore coloro che solitamente comunicavano con il vero titolare del ritratto.
Da qui la querela sporta alla procura, e l’inizio di un procedimento penale con l’accusa di aver commesso il reato di sostituzione di persona.
All’esito del giudizio di primo grado, il tribunale, accertata l’illiceità penale della condotta, ha condannato l’imputato per il reato lui contestato.
La decisione è stata, poi, confermata dalla Corte d’appello, adita infruttuosamente dalla difesa.
A quest’ultima non è rimasto che rivolgersi in ultima istanza alla Cassazione, cui è stato chiesto l’annullamento della decisione emessa dalla corte territoriale.
In dettaglio, ai giudici di legittimità è stata evidenziata l’assenza, nel caso di specie, del fine specifico che avrebbe dovuto sorreggere la condotta incriminata, e cioè il fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno.
L’imputato, a dir della difesa, si sarebbe limitato a utilizzare l’immagine senza abbinarla al nominativo del suo titolare, e soprattutto avrebbe agito senza la finalità di trarre particolari vantaggi o danneggiare qualcuno.
La Corte, nel confermare la sentenza di condanna, ha, anzitutto, ricordato come il reato di sostituzione di persona (art. 494 del codice penale) si ponga a difesa non solo della fede privata e del buon nome della vittima, ma anche della fede pubblica, riconducibile alla generalità dei consociati, i quali non devono essere sorpresi con inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi sociali.
L’aver intrattenuto conversazioni utilizzando l’effigie di altro soggetto, aggiungono i giudici, rappresenta un comportamento idoneo a integrare il delitto anche sotto il profilo dell’elemento soggettivo, dati i vantaggi traibili dall’attribuzione di una diversa identità: nel caso di specie, infatti, l’imputato, proprio grazie alla sostituzione architettata, era riuscito a intrattenere rapporti con diverse persone (perlopiù di sesso femminile), così soddisfacendo la propria vanità; ma la Corte ha dedotto dalla strumentalizzazione dell’effigie finanche un danno a carico del titolare, dato dalle reazioni aggressive di alcuni membri della chat suscitate da commenti ineducati dello stesso imputato, spacciatosi per la vittima del reato.
La decisione in rassegna si pone in linea con altre decisioni che hanno riguardato l’utilizzo non autorizzato dei dati personali o dell’altrui immagine in casi limitrofi, come l’account di posta elettronica o l’iscrizione in una chat line a luci rosse; ipotesi tutte connotate dalla descrizione, da parte del soggetto agente, di un profilo poco lusinghiero che consente di riconoscere, oltre all’intento di conseguire un vantaggio non patrimoniale (l’intrattenimento di conversazioni con persone tratte in inganno dalla sostituzione), quello di recare un danno all’altrui reputazione per effetto dell’utilizzo, oltre che abusivo, distorto dei dati o dell’effigie del vero titolare.

Allegato

ComplianceNet: 

Pagine