Gazzetta n. 82 del 7 aprile 2006 (vai al sommario) MINISTERO DELL'ECONOMIA E DELLE FINANZE DECRETO 3 febbraio 2006, n. 143 Regolamento in materia di identificazione e di conservazione delle informazioni per gli operatori non finanziari previsto dall'articolo 3, comma 2, del decreto legislativo 20 febbraio 2004, n. 56, recante attuazione della direttiva 2001/97/CE in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attivita' illecite. IL MINISTRO DELL'ECONOMIA E DELLE FINANZE Visto l'articolo 1, comma 1 della legge 3 febbraio 2003, n. 14, recante: «Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunita' europee. Legge comunitaria 2002»; Visto il decreto legislativo 20 febbraio 2004, n. 56, concernente: «Attuazione della Direttiva 2001/97/CE del Parlamento europeo e del Consiglio del 4 dicembre 2001 in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi da attivita' illecite»; Visto in particolare, l'articolo 3, comma 2, e l'articolo 8, comma 4, del citato decreto legislativo 20 febbraio 2004, n. 56; Visto il decreto-legge 3 maggio 1991, n. 143, recante: «Provvedimenti urgenti per limitare l'uso del contante e dei titoli al portatore nelle transazioni e prevenire l'utilizzazione del sistema finanziario a scopo di riciclaggio», convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni; Visto il decreto legislativo 25 settembre 1999, n. 374 recante «Estensione delle disposizioni in materia di riciclaggio di capitali di provenienza illecita ad attivita' non finanziarie particolarmente suscettibili di utilizzazione a fini di riciclaggio, a norma dell'articolo 15 della legge 6 febbraio 1996, n. 52»; Visto il decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali»; Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400; Udito il parere del Comitato antiriciclaggio espresso nella riunione del 13 luglio 2004; Udito il parere delle competenti autorita' di vigilanza di settore e le amministrazioni interessate; Udito il parere del Garante per la protezione dei dati personali espresso nella riunione del 12 maggio 2005; Udito il parere del Consiglio di Stato espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 29 agosto 2005; Vista la comunicazione della Presidenza del Consiglio dei Ministri, a norma dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, effettuata con nota n. DAGL-27419-10.2.2.1/2005 del 23 dicembre 2005; A d o t t a il seguente regolamento: Art. 1. Definizioni 1. Nel presente regolamento si intendono per: a) «direttiva», la direttiva del Consiglio delle Comunita' europee n. 91/308/CEE del 10 giugno 1991, modificata dalla direttiva del Parlamento europeo e del Consiglio dell'Unione europea n. 2001/97/CE del 4 dicembre 2001; b) «legge antiriciclaggio», il decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni; c) «decreto», il decreto legislativo 20 febbraio 2004, n. 56, recante: «Attuazione della direttiva 2001/97/CE in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi da attivita' illecite»; d) «codice in materia di protezione dei dati personali» il decreto legislativo 30 giugno 2003, n. 196; e) «UIC», l'Ufficio italiano dei cambi; f) «operatori», i soggetti indicati nell'articolo 2 del presente regolamento; g) «personale incaricato», il personale dipendente e i collaboratori esterni dei quali gli operatori si avvalgono per lo svolgimento dell'attivita'; h) «cliente», il soggetto che compie operazioni con gli operatori; i) «dati identificativi», il nome e il cognome, il luogo e la data di nascita, l'indirizzo, il codice fiscale e gli estremi del documento di identificazione o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale ed il codice fiscale; l) «mezzi di pagamento», il denaro contante, gli assegni bancari e postali, gli assegni circolari e gli altri assegni ad essi assimilabili o equiparabili, i vaglia postali, gli ordini di accreditamento o di pagamento, le carte di credito e le altre carte di pagamento, ogni altro strumento o disposizione che permetta di trasferire, movimentare o acquisire, anche per via telematica, fondi, valori o disponibilita' finanziarie; m) «operazione frazionata», un'operazione unitaria sotto il profilo economico di valore superiore a 12.500 euro posta in essere attraverso piu' operazioni, effettuate in momenti diversi e in un circoscritto periodo di tempo, singolarmente di valore non superiore a 12.500 euro; n) «archivio unico», un archivio nel quale i soggetti conservano in modo accentrato tutte le informazioni acquisite nell'adempimento degli obblighi di identificazione e registrazione, secondo le modalita' previste nel presente regolamento. Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3 del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n.1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse: - Si riporta l'art. 1, comma 1 della legge 3 febbraio 2003, n. 14, (recante «Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunita' europee. Legge comunitaria 2002»): «Art. 1. (Delega al Governo per l'attuazione di direttive comunitarie). - 1. Il Governo e' delegato ad adottare, entro il termine di un anno dalla data di entrata in vigore della presente legge, i decreti legislativi recanti le norme occorrenti per dare attuazione alle direttive comprese negli elenchi di cui agli allegati A e B.». - Si riporta l'art. 3, comma 2, del decreto legislativo 20 febbraio 2004, n. 56 (recante Attuazione della direttiva 2001/97/CE in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi da attivita' illecite): «Art. 3 (Obblighi di identificazione e di conservazione delle informazioni). - 1. (Omissis). 2. Il Ministro dell'economia e delle finanze, sentiti l'UIC, le competenti autorita' di vigilanza di settore e le amministrazioni interessate, avendo riguardo alle peculiarita' operative dei soggetti obbligati, all'esigenza di contenere gli oneri gravanti sui medesimi e alla tenuta dell'archivio nell'ambito dei gruppi, stabilisce con regolamento, da adottarsi entro duecentoquaranta giorni dalla data di entrata in vigore del presente decreto legislativo, il contenuto e le modalita' di esecuzione degli obblighi di cui al presente articolo e le modalita' di identificazione in caso di instaurazione di rapporti o di effettuazione di operazioni a distanza.». - Si riporta l'art. 17, comma 3, della legge 23 agosto 1988, n. 400 (recante disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri): «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.». Note all'art. 1: - La direttiva del Consiglio delle Comunita' europee n. 91/308/CEE del 10 giugno 1991, modificata dalla direttiva del Parlamento europeo e del Consiglio dell'Unione europea n. 2001/97/CE del 4 dicembre 2001 reca disposizioni in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi da attivita' illecite. - La legge 5 luglio 1991, n. 197, contiene la conversione in legge, con modificazioni, del decreto-legge 3 maggio 1991, n. 143, recante provvedimenti urgenti per limitare l'uso del contante e dei titoli al portatore nelle transazioni e prevenire l'utilizzazione del sistema finanziario a scopo di riciclaggio. - Si riporta l'art. 1, comma 1, del decreto legislativo 25 settembre 1999, n. 374, recante: (Estensione delle disposizioni in materia di riciclaggio dei capitali di provenienza illecita ed attivita' finanziarie particolarmente suscettibili di utilizzazione a fini di riciclaggio, a norma dell'art. 15 della legge 6 febbraio 1996, n. 52). «Art. 1 (Ambito di applicazione). - 1. Le disposizioni dell'art. 13 del decreto-legge 15 dicembre 1979, n. 625, convertito, con modifi-cazioni, dalla legge 6 febbraio 1980, n. 15, come sostituito dall'art. 2, comma 1, del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e quelle del predetto decreto-legge n. 143 del 1991, d'ora in avanti complessivamente indicati come: «legge n. 197 del 1991» si applicano, nei limiti e con le modalita' indicati negli articoli 3 e 4, alle seguenti attivita', il cui esercizio resta subordinato al possesso delle licenze, autorizzazioni, iscrizioni in albi o registri, ovvero alla preventiva dichiarazione di inizio di attivita' specificamente richiesti dalle norme a fianco di esse riportate: a) recupero di crediti per conto terzi, alla licenza di cui all'art. 115 del testo unico delle leggi di pubblica sicurezza, approvato con regio decreto 18 giugno 1931, n. 773, di seguito indicato come: «T.U.L.P.S.»; b) custodia e trasporto di denaro contante e di titoli o valori a mezzo di guardie particolari giurate, alla licenza di cui all'art. 134 del T.U.L.P.S.; c) il trasporto di denaro contante, titoli o valori senza l'impiego di guardie particolari giurate, all'iscrizione nell'albo delle persone fisiche e giuridiche che esercitano l'autotrasporto di cose per conto di terzi, di cui alla legge 6 giugno 1974, n. 298; d) agenzia di affari in mediazione immobiliare, all'iscrizione nell'apposita sezione del ruolo istituito presso la camera di commercio, industria, artigianato e agricoltura, ai sensi della legge 3 febbraio l989, n. 39; e) commercio di cose antiche, alla dichiarazione preventiva di cui all'art. 126 del T.U.L.P.S.; f) esercizio di case d'asta o gallerie d'arte, alla licenza di cui all'art. 115 del T.U.L.P.S.; g) commercio, comprese l'esportazione e l'importazione, di oro per finalita' industriali o di investimento, alle autorizzazioni di cui all'art. 15 del decreto del Presidente della Repubblica 31 marzo 1988, n. 148; h) fabbricazione, mediazione e commercio, comprese l'esportazione e l'importazione di oggetti preziosi, alla licenza di cui all'art. 127 del T.U.L.P.S.; i) gestione di case da gioco, alle autorizzazioni concesse dalle leggi in vigore, nonche' al requisito di cui all'art. 5, comma 3, del decreto-legge 30 dicembre 1997, n. 457, convertito, con modificazioni, dalla legge 27 febbraio 1998, n. 30; l) la fabbricazione di oggetti preziosi da parte di imprese artigiane, all'iscrizione nel registro degli assegnatari dei marchi di identificazione tenuto dalle camere di commercio, industria, artigianato e agricoltura; m) mediazione creditizia, all'iscrizione all'albo dei mediatori creditizi di cui all'art. 16 della legge 7 marzo 1996, n. 108; n) agenzia in attivita' finanziaria prevista dall'art. 106 del decreto legislativo 1° settembre 1993, n. 385, recante il testo unico delle leggi in materia bancaria e creditizia, di seguito indicato come: «testo unico bancario», all'iscrizione all'elenco previsto dall'art. 3.   Art. 2. Destinatari 1. Il presente regolamento si applica agli operatori che esercitano, ai sensi dell'articolo 1, comma 1, del decreto legislativo 25 settembre 1999, n. 374, le seguenti attivita': a) recupero di crediti per conto terzi; b) custodia e trasporto di denaro contante, di titoli o valori a mezzo di guardie particolari giurate; c) trasporto di denaro contante e di titoli o valori senza l'impiego di guardie particolari giurate; d) agenzia di affari in mediazione immobiliare; e) commercio di cose antiche; f) esercizio di case d'asta o gallerie d'arte; g) commercio, comprese l'esportazione e l'importazione, di oro per finalita' industriali o di investimento; h) fabbricazione, mediazione e commercio, comprese l'esportazione e l'importazione, di oggetti preziosi; i) gestione di case da gioco; l) fabbricazione di oggetti preziosi da parte di imprese artigiane; m) mediazione creditizia; n) agenzia in attivita' fmanziaria. 2. Il presente regolamento si applica altresi' alle succursali italiane degli operatori indicati alle lettere precedenti aventi sede legale in uno stato estero.   Art. 3. Obblighi applicabili 1. Gli obblighi di identificazione, registrazione e conservazione si applicano in relazione alle operazioni inerenti allo svolgimento professionale delle attivita' di cui all'articolo 2. 2. Tenendo conto delle disposizioni particolari formulate per ciascuna categoria, gli operatori devono: a) identificare i clienti in relazione alle operazioni che comportino la trasmissione o la movimentazione di mezzi di pagamento di importo superiore a 12.500 euro salvo quanto previsto dall'articolo 17, comma 1, del presente regolamento; b) istituire l'archivio unico; c) registrare e conservare nell'archivio unico i dati identificativi e le altre informazioni relative alle operazioni. 3. Gli operatori devono inoltre segnalare le operazioni sospette di cui all'articolo 3 della legge antiriciclaggio, con particolare riguardo alle operazioni frazionate, secondo le indicazioni e le modalita' formulate dall'UIC. 4. Gli operatori, al fine di prevenire e impedire la realizzazione di operazioni di riciclaggio, devono istituire misure di controllo interno e assicurare un'adeguata formazione dei dipendenti e dei collaboratori, anche per approfondire la conoscenza dei propri clienti. 5. L'attivita' dei clienti deve essere valutata con continuita' nel corso del rapporto, individuando eventuali incongruenze rispetto al profilo di rischio di riciclaggio. 6. Gli operatori devono dotarsi di strumenti tecnici idonei a conoscere le operazioni eseguite dal cliente nel giorno dell'operazione e nei sette giorni precedenti, al fine di valutare se si tratti di parti di un'unica operazione. 7. Ai fini dell'individuazione del valore delle operazioni e della registrazione delle stesse nell'archivio unico non deve procedersi alla compensazione di operazioni di segno contrario poste in essere dallo stesso cliente. 8. Gli operatori non sono tenuti all'istituzione dell'archivio unico qualora non vi siano dati da registrare. Note all'art. 3: - Si riporta l'art. 3 della legge 5 luglio 1991, n. 197, (recante la conversione in legge, con modificazioni, del decreto-legge 3 maggio 1991, n. 143, recante provvedimenti urgenti per limitare l'uso del contante e dei titoli al portatore nelle transazioni e prevenire l'utilizzazione del sistema finanziario a scopo di riciclaggio): «Art. 3 (Segnalazioni di operazioni). - 1. Il responsabile della dipendenza, dell'ufficio o di altro punto operativo ha l'obbligo di segnalare senza ritardo al titolare dell'attivita' o al legale rappresentante o a un suo delegato ogni operazione che per caratteristiche, entita', natura, o per qualsivoglia altra circostanza conosciuta a ragione delle funzioni esercitate, tenuto conto anche della capacita' economica e dell'attivita' svolta dal soggetto cui e' riferita, induca a ritenere, in base agli elementi a sua disposizione, che il danaro, i beni o le utilita' oggetto delle operazioni medesime possano provenire dai delitti previsti dagli articoli 648-bis e 648-ter del codice penale. Tra le caratteristiche di cui al periodo precedente e' compresa, in particolare, l'effettuazione di una pluralita' di operazioni non giustificata dall'attivita' svolta da parte della medesima persona, ovvero, ove se ne abbia conoscenza, da parte di persone appartenenti allo stesso nucleo familiare o dipendenti o collaboratori di una stessa impresa o comunque da parte di interposta persona. 2. Il titolare dell'attivita', il legale rappresentante o un suo delegato esamina le segnalazioni pervenutegli e, qualora le ritenga fondate tenendo conto dell'insieme degli elementi a sua disposizione, anche desumibili dall'archivio di cui all'art. 2, comma 1, le trasmette senza ritardo, ove possibile prima di eseguire l'operazione, anche in via informatica e telematica, all'Ufficio italiano dei cambi senza alcuna indicazione dei nominativi dei segnalanti. 3. Il Ministro del tesoro, sentita la commissione di cui all'art. 3-ter, di concerto con i Ministri dell'interno, di grazia e giustizia e delle finanze, emana con proprio decreto disposizioni sull'utilizzo delle procedure informatiche o telematiche per la trasmissione delle segnalazioni all'Ufficio italiano dei cambi. L'Ufficio italiano dei cambi emana le relative istruzioni applicative. 4. L'Ufficio italiano dei cambi: a) effettua i necessari approfondimenti sulle segnalazioni di cui al comma 2, ivi compresi quelli relativi ad omesse segnalazioni di cui sia venuto a conoscenza in base alle informazioni e ai dati contenuti nei propri archivi; b) puo' avvalersi ove necessario, secondo le modalita' stabilite con decreto del Ministro del tesoro, sentita la commissione di cui all'art. 3-ter, di concerto con i Ministri delle finanze, di grazia e giustizia e dell'interno, dei dati contenuti nell'anagrafe dei conti e dei depositi di cui all'art. 20, comrna 4, della legge 30 dicembre 1991, n. 413; c) puo' acquisire ulteriori dati e informazioni presso i soggetti tenuti alle segnalazioni; d) puo' utilizzare i risultati delle analisi effettuate ai sensi dell'art. 5, comma 10, della presente legge, nonche' delle analisi concernenti anche singole anomalie, utilizzando ove necessario informazioni che possono essere chieste ai soggetti tenuti alle segnalazioni; e) effettua gli approfondimenti che coinvolgono le competenze delle autorita' di vigilanza di settore con la partecipazione di rappresentanti delle autorita' medesime, le quali integrano le segnalazioni con gli ulteriori elementi desumibili dagli archivi in loro possesso; f) fermo restando quanto previsto dall'art. 331 del codice di procedura penale, trasmette senza indugio le segnalazioni, completate ai sensi del presente comma e corredate di una relazione tecnica, alla Direzione investigativa antimafia e al Nucleo speciale di polizia valutaria della Guardia di finanza, che ne informano il Procuratore nazionale antimafia, qualora siano attinenti alla criminalita' organizzata ovvero le archivia, informandone gli stessi organi investigativi. Per effettuare i necessari approfondimenti e per il controllo previsto dall'art. 5, comma 10, gli appartenenti al Nucleo speciale di polizia valutaria esercitano anche i poteri loro attribuiti dalla normativa in materia valutaria. Tali poteri sono estesi agli ufficiali di polizia tributaria dei nuclei regionali e provinciali di polizia tributaria della Guardia di finanza, ai quali il Nucleo speciale di polizia valutaria puo' demandare l'assolvimento dei compiti di cui al presente decreto. 5. Ferme restando le disposizioni sul segreto per gli atti di indagine, qualora la segnalazione non abbia ulteriore corso gli organi investigativi di cui al comma 4, lettera f, informano l'Ufficio italiano dei cambi, che ne da notizia al titolare dell'attivita', al legale rappresentante o al suo delegato. Le autorita' inquirenti informano l'Ufficio italiano dei cambi di ogni altra circostanza in cui emergano fatti e situazioni la cui conoscenza puo' essere comunque utilizzata per prevenire l'uso del sistema finanziario a scopo di riciclaggio. 6. L'Ufficio italiano dei cambi, anche su richiesta degli organi investigativi di cui al comma 4, lettera f), puo' sospendere l'operazione per un massimo di quarantotto ore, sempre che cio' non possa determinare pregiudizio per il corso delle indagini e per l'operativita' corrente degli intermediari, dandone immediata notizia agli organi investigativi medesimi. 7. Le segnalazioni effettuate ai sensi e per gli effetti del presente articolo non costituiscono violazione di obblighi di segretezza. Le segnalazioni e i provvedimenti di cui al comma 6, posti in essere in conformita' del presente articolo e per le finalita' da esso previste, non comportano responsabilita' di alcun tipo. 8. E' fatto, in ogni caso, divieto ai soggetti tenuti alle segnalazioni di cui al comma 1, e a chiunque ne sia comunque a conoscenza, di darne comunicazione fuori dai casi previsti dal presente articolo. 9. 10. Tutte le informazioni in possesso dell'Ufficio italiano dei cambi e degli altri organi di vigilanza e di controllo, relative all'attuazione del presente decreto, sono coperte dal segreto d'ufficio anche nei confronti delle pubbliche amministrazioni. L'Ufficio italiano dei cambi puo' comunque scambiare informazioni in materia di operazioni sospette con le altre autorita' di vigilanza di cui all'art. 11 della presente legge, nonche' con analoghe autorita' di altri Stati che perseguono le medesime finalita', a condizioni di reciprocita' anche per quanto riguarda la riservatezza delle informazioni. Restano ferme le disposizioni della legge 31 dicembre 1996, n. 675, in materia di trattamento dei dati personali. Gli organi investigativi di cui al comma 4, lettera f), forniscono all'Ufficio italiano dei cambi le notizie in proprio possesso necessarie per integrare le informazioni da trasmettere alle medesime autorita' di altri Stati; al di fuori dei casi di cui al presente comma, restano applicabili le disposizioni di cui agli articoli 9 e 12 della legge 10 aprile 1981, n. 121. 11. Tutti i flussi informativi di cui al presente articolo avvengono di regola con l'utilizzo di procedure informatiche o telematiche.   Art. 4. Identificazione diretta 1. Salvo quanto previsto negli articoli 5 e 6 del presente regolamento, l'identificazione deve essere effettuata dagli operatori, anche attraverso il personale incaricato, volta per volta, all'atto dell'operazione, in presenza del cliente, attraverso un documento valido per l'identificazione, non scaduto. Si considerano validi per l'identificazione i documenti d'identita' e di riconoscimento di cui agli articoli 1 e 35 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. 2. I clienti forniscono tutte le informazioni necessarie per l'identificazione. All'atto dell'identificazione i clienti forniscono per iscritto, sotto la propria personale responsabilita', tutte le informazioni necessarie per l'identificazione dei soggetti per conto dei quali operano. 3. Qualora cliente sia una societa' o un ente, ovvero qualora il cliente operi per conto di una societa' o di un ente, deve essere verificata l'effettiva esistenza del potere di rappresentanza e devono essere acquisite informazioni necessarie per individuare gli amministratori e i proprietari effettivi di tale societa' o ente. 4. Qualora cliente sia uno dei soggetti previsti nell'articolo 2, comma 1, dalla lettera a) alla lettera l) del decreto, la disposizione di cui al precedente comma non si applica e, ai fini dell'identificazione, e' sufficiente l'acquisizione dei dati identificativi. 5. E' in ogni caso necessario procedere all'identificazione diretta qualora si abbia motivo di ritenere che l'identificazione effettuata ai sensi degli articoli 5 e 6 del presente regolamento non sia attendibile ovvero qualora essa non consenta l'acquisizione delle informazioni necessarie. Note all'art. 4: - Si riportano gli articoli 1 e 35 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante: (Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. Testo A): «Art. 1 (Definizioni). - 1. Ai fini del presente testo unico si intende per: a) documento amministrativo: ogni rappresentazione, comunque formata, del contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque, utilizzati ai fini dell'attivita' amministrativa. Le relative modalita' di trasmissione sono quelle indicate al capo II, sezione III, del presente testo unico; b) documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti; c) documento di riconoscimento: ogni documento munito di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o informatico, da una pubblica amministrazione italiana o di altri Stati, che consenta l'identificazione personale del titolare; d) documento d'identita': la carta d'identita' ed ogni altro documento munito di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o informatico, da una pubblica amministrazione competente dello Stato italiano o di altri Stati, con la finalita' prevalente di dimostrare l'identita' personale del suo titolare; e) documento d'identita' elettronico: il documento analogo alla carta d'identita' elettronica rilasciato dal comune fino al compimento del quindicesimo anno di eta'; f) certificato: il documento rilasciato da una amministrazione pubblica avente funzione di ricognizione, riproduzione o partecipazione a terzi di stati, qualita' personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche; g) dichiarazione sostitutiva di certificazione: il documento, sottoscritto dall'interessato, prodotto in sostituzione del certificato di cui alla lettera f); h) dichiarazione sostitutiva di atto di notorieta': il documento sottoscritto dall'interessato, concernente stati, qualita' personali e fatti, che siano a diretta conoscenza di questi, resa nelle forme previste dal presente testo unico; i) autenticazione di sottoscrizione: l'attestazione, da parte di un pubblico ufficiale, che la sottoscrizione e' stata apposta in sua presenza, previo accertamento dell'identita' della persona che sottoscrive; l) legalizzazione di firma: l'attestazione ufficiale della legale qualita' di chi ha apposto la propria firma sopra atti, certificati, copie ed estratti, nonche' dell'autenticita' della firma stessa; m) legalizzazione di fotografia: l'attestazione, da parte di una pubblica amministrazione competente, che un'immagine fotografica corrisponde alla persona dell'interessato; n) firma digitale: e' un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrita' di un documento informatico o di un insieme di documenti informatici; o) amministrazioni procedenti: le amministrazioni e, nei rapporti con l'utenza, i gestori di pubblici servizi che ricevono le dichiarazioni sostitutive di cui alle lettere g) e h) ovvero provvedono agli accertamenti d'ufficio ai sensi dell'art. 43; p) amministrazioni certificanti: le amministrazioni e i gestori di pubblici servizi che detengono nei propri archivi le informazioni e i dati contenuti nelle dichiarazioni sostitutive, o richiesti direttamente dalle amministrazioni procedenti ai sensi degli articoli 43 e 71; q) gestione dei documenti: l'insieme delle attivita' finalizzate alla registrazione di protocollo e alla classificazione, organizzazione, assegnazione e reperimento dei documenti amministrativi formati o acquisiti dalle amministrazioni, nell'ambito del sistema di classificazione d'archivio adottato; essa e' effettuata mediante sistemi informativi automatizzati; r) sistema di gestione informatica dei documenti: l'insieme delle risorse di calcolo, degli apparati, delle reti di comunicazione e delle procedure informatiche utilizzati dalle amministrazioni per la gestione dei documenti; s) segnatura di protocollo: l'apposizione o l'associazione, all'originale del documento, in forma permanente e non modificabile delle informazioni riguardanti il documento stesso; t) certificati elettronici: ai sensi dell'art. 2, comma 1, lettera d), del decreto legislativo 23 gennaio 2002, n. 10, gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identita' dei titolari stessi; u) certificatore: ai sensi dell'art. 2, comma 1, lettera b), del decreto legislativo 23 gennaio 2002, n. 10, il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime; v) certificatore qualificato: il certificatore che rilascia al pubblico certificati elettronici conformi ai requisiti indicati nel presente testo unico e nelle regole tecniche di cui all'art. 8, comma 2; z) certificatore accreditato: ai sensi dell'art. 2, comma 1, lettera c), del decreto legislativo 23 gennaio 2002, n. 10, il certificatore accreditato in Italia ovvero in altri Stati membri dell'Unione europea ai sensi dell'art. 3, paragrafo 2, della direttiva n. 1999/93/CE, nonche' ai sensi del presente testo unico; aa) certificati qualificati: ai sensi dell'art. 2, comma 1, lettera e), del decreto legislativo 23 gennaio 2002, n. 10, i certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva n. 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva; bb) carta nazionale dei servizi: il documento rilasciato su supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalla pubblica amministrazione; cc) firma elettronica: ai sensi dell'art. 2, comma 1, lettera a), del decreto legislativo 23 gennaio 2002, n. 10, l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica; dd) firma elettronica avanzata: ai sensi dell'art. 2, comma 1, lettera g), del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario puo' conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; ee) firma elettronica qualificata: la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma; ff) titolare: la persona fisica cui e' attribuita la firma elettronica e che ha accesso al dispositivo per la creazione della firma elettronica; gg) dati per la creazione di una firma: i dati peculiari, come codici o chiavi crittografiche private, utilizzati dal titolare per creare la firma elettronica; hh) dispositivo per la creazione della firma: il programma informatico adeguatamente configurato (software) o l'apparato strumentale (hardware) usati per la creazione della firma elettronica; ii) dispositivo sicuro per la creazione della firma: ai sensi dell'art. 2, comma 1, lettera f), del decreto legislativo 23 gennaio 2002, n. 10, l'apparato strumentale usato per la creazione della firma elettronica, rispondente ai requisiti di cui all'art. 10 del citato decreto legislativo n. 10 del 2002, nonche' del presente testo unico; ll) dati per la verifica della firma: i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica; mm) dispositivo di verifica della firma: il programma informatico (software) adeguatamente configurato o l'apparato strumentale (hardware) usati per effettuare la verifica della firma elettronica; nn) accreditamento facoltativo: ai sensi dell'art. 2, comma 1, lettera h), del decreto legislativo 23 gennaio 2002, n. 10, il riconoscimento del possesso, da parte del certificatore che la richieda, dei requisiti del livello piu' elevato, in termini di qualita' e di sicurezza; oo) prodotti di firma elettronica: i programmi informatici (software), gli apparati strumentali (hardware) e i componenti di tali sistemi informatici, destinati ad essere utilizzati per la creazione e la verifica di firme elettroniche o da un certificatore per altri servizi di firma elettronica.». «Art. 35 (Documenti di identita' e di riconoscimento). - 1. In tutti i casi in cui nel presente testo unico viene richiesto un documento di identita', esso puo' sempre essere sostituito dal documento di riconoscimento equipollente ai sensi del comma 2. 2. Sono equipollenti alla carta di identita' il passaporto, la patente di guida, la patente nautica, il libretto di pensione, il patentino di abilitazione alla conduzione di impianti termici, il porto d'armi, le tessere di riconoscimento, purche' munite di fotografia e di timbro o di altra segnatura equivalente, rilasciate da un'amministrazione dello Stato. 3. Nei documenti d'identita' e di riconoscimento non e' necessaria l'indicazione o l'attestazione dello stato civile, salvo specifica istanza del richiedente.». - Si riporta l'art. 2, comma 1, dalla lettera a) alla lettera l), del decreto legislativo 20 febbraio 2004, n. 56, recante: (Attuazione della direttiva 2001/97/CE in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi da attivita' illecite): «Art. 2 (Ambito di applicazione). - 1. Gli obblighi indicati dall'art. 3 si applicano: a) alle banche; b) a Poste Italiane S.p.a.; c) agli istituti di moneta elettronica; d) alle societa' di intermediazione mobiliare (SIM); e) alle societa' di gestione del risparmio (SGR); f) alle societa' di investimento a capitale variabile (SICAV); g) alle imprese di assicurazione; h) agli agenti di cambio; i) alle societa' fiduciarie; l) alle societa' che svolgono il servizio di riscossione dei tributi.».   Art. 5. Identificazione indiretta 1. Non e' necessario procedere all'identificazione diretta nei seguenti casi: a) per i clienti gia' identificati in relazione ad una operazione in precedenza posta in essere, sempreche' le informazioni gia' acquisite siano aggiornate; b) in relazione ad operazioni che sono effettuate con sistemi di cassa continua o di sportelli automatici, per corrispondenza o attraverso soggetti che svolgono attivita' di trasporto di valori o mediante carte di pagamento; tali operazioni sono imputate al soggetto titolare del rapporto al quale ineriscono; c) per i clienti i cui dati identificativi e le altre informazioni da acquisire risultino da atti pubblici, da scritture private autenticate o da documenti recanti la firma digitale ai sensi dell'articolo 23 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e successive modificazioni; d) per i clienti i cui dati identificativi risultino da dichiarazione della rappresentanza e dell'autorita' consolare italiana, cosi' come indicata nell'art. 6 del decreto legislativo 26 maggio 1997, n. 153. Note all'art. 5: - Si riporta l'art. 23 del citato decreto del Presidente della Repubblica n. 445 del 2000: «Art. 23 (Firma digitale). - 1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui e' apposta o associata. 2. Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica sia stata oggetto dell'emissione di un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validita' ovvero non risulti revocato o sospeso. 3. L'apposizione ad un documento informatico di una firma elettronica basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era gia' a conoscenza di tutte le parti interessate. 4. L'apposizione di firma digitale integra e sostituisce, ad ogni fine previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere. 5. Attraverso il certificato elettronico si devono rilevare, secondo le regole tecniche di cui all'art. 8, comma 2, la validita' del certificato elettronico stesso, nonche' gli elementi identificativi del titolare e del certificatore.». - Si riporta l'art. 6 del decreto legislativo 26 maggio 1997, n. 153, recante: (Attuazione della direttiva 93/99/CEE concernente misure supplementari in merito al controllo ufficiale dei prodotti alimentari): «Art. 6 (Ispezioni congiunte). - Il personale delle amministrazioni dello Stato collabora con gli agenti specializzati incaricati dalla Commissione europea di valutare l'uniformita' e l'efficienza dei sistemi ufficiali di controllo alimentare.».   Art. 6. Identificazione a distanza 1. Non e' necessario procedere all'identificazione di cui agli articoli 4 e 5 qualora ai clienti sia stata rilasciata attestazione da uno dei soggetti indicati al comma 3 del presente articolo presso i quali gli stessi sono titolari di conti o rapporti e in relazione ai quali sono stati gia' identificati di persona. 2. L'attestazione deve essere idonea a confermare l'identita' tra il soggetto che deve essere identificato e il soggetto titolare del conto o del rapporto presso l'intermediario attestante, nonche' l'esattezza delle informazioni comunicate a distanza. 3. L'attestazione puo' essere rilasciata dai seguenti soggetti: a) intermediari abilitati ai sensi dell'articolo 4 del decreto; b) enti creditizi ed enti finanziari di Stati membri dell'Unione europea, cosi' come definiti nell'articolo 1, lettera A) e lettera B), numeri 2), 3) e 4), della direttiva; c) banche aventi sede legale e amministrativa in Paesi non appartenenti all'Unione europea purche' aderenti al Gruppo di azione finanziaria internazionale (GAFI) e succursali in tali Paesi di banche italiane e di altri Stati aderenti al GAFI. 4. L'attestazione puo' consistere in un bonifico eseguito a valere sul conto per il quale il cliente e' stato identificato di persona, che contenga un codice rilasciato al cliente dal soggetto che deve procedere all'identificazione. 5. L'UIC puo' indicare ulteriori forme e modalita' particolari dell'idonea attestazione anche tenendo conto dell'evoluzione delle tecniche di comunicazione a distanza. 6. In nessun caso l'attestazione puo' essere rilasciata da soggetti che non hanno insediamenti fisici in alcun Paese. Per «insediamento fisico» si intende un luogo destinato allo svolgimento dell'attivita' istituzionale, con stabile indirizzo, diverso da un semplice indirizzo elettronico, in un Paese nel quale il soggetto e' autorizzato a svolgere la propria attivita'; in tale luogo il soggetto deve impiegare una o piu' persone a tempo pieno, deve mantenere evidenze relative all'attivita' svolta, deve essere soggetto ai controlli effettuati dall'autorita' che ha rilasciato l'autorizzazione ad operare. Nota all'art. 6: - Si riporta l'art. 4 del citato decreto legislativo n. 56 del 2004: «Art. 4 (Abilitazione). - 1. I soggetti indicati nell'art. 2, comma 1, dalla lettera a) alla lettera l), e le relative succursali italiane sono abilitati, nei limiti delle proprie attivita' istituzionali, ad effettuare le operazioni di trasferimento previste dall'art. 1 della legge antiriciclaggio. 2. Il Ministero dell'economia e delle finanze, sentito l'UIC, determina con decreto le condizioni in presenza delle quali gli enti indicati nell'art. 2, comma 1, lettere m), n) e o) e le relative succursali italiane, possono essere abilitati dallo stesso Ministero dell'economia e delle finanze ad effettuare le operazioni di trasferimento di cui al comma 1.».   Art. 7. Modalita' della registrazione 1. Le informazioni relative ai dati identificativi del cliente e del soggetto per conto del quale questo opera, alla data, all'importo e alla tipologia delle operazioni e dei mezzi di pagamento devono essere registrate nell'archivio unico tempestivamente e, comunque, non oltre il trentesimo giorno successivo al compimento dell'operazione. 2. Nell'indicazione dell'importo delle operazioni deve essere evidenziata la parte in contanti. Le registrazioni degli importi espressi in valuta estera vanno effettuate nel controvalore in euro al cambio di effettiva negoziazione ovvero, in mancanza, al cambio indicativo del giorno precedente l'operazione; in ogni caso, deve essere conservata evidenza della valuta estera in cui l'operazione e' espressa.   Art. 8. Protezione dei dati e delle informazioni 1. Agli obblighi di identificazione e registrazione previsti nel presente regolamento si applicano le disposizioni previste dall'articolo 11 del codice in materia di protezione dei dati personali. 2. Gli operatori devono rilasciare ai clienti informativa idonea ad assolvere agli obblighi previsti dall'articolo 13 del codice in materia di protezione dei dati personali. 3. L'adempimento degli obblighi di identificazione, conservazione e segnalazione costituisce «trattamento dei dati», come definito nell'articolo 4, comma 1, lettera a), del codice in materia di protezione dei dati personali. Le operazioni di trattamento sono effettuate dagli incaricati del trattamento che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni da questi impartite. L'individuazione degli incaricati del trattamento e' effettuata con le modalita' di cui all'articolo 30 del codice in materia di protezione dei dati personali. 4. Nella tenuta dell'archivio previsto all'articolo 9, gli operatori sono tenuti al rispetto degli obblighi e delle misure di sicurezza contenuti negli articoli da 31 a 36 del codice in materia di protezione dei dati personali. Note all'art. 8: - Si riportano gli articoli 11, 13, 4, comma 1, 30 e dal 31 al 36 del decreto legislativo 30 giugno 2003, n. 196, recante: (Codice in materia di protezione dei dati personali): «Art. 11 (Modalita' del trattamento e requisiti dei dati). - 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.». «Art. 13 (Informativa). - 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'art. 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'art. 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'art. 7, e' indicato tale responsabile. 2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo' ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalita' di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati. 3. Il Garante puo' individuare con proprio provvedimento modalita' semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. «Art. 4 (Definizioni). - 1. Ai fini del presente codice si intende per: a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato; d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del decreto del Presidente della Repubblica 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) «interessato», la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; l) «comunicazione», il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile; o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; p) «banca di dati», qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti; q) «Garante», l'autorita' di cui all'art. 153, istituita dalla legge 31 dicembre 1996, n. 675.». «Art. 30 (Incaricati del trattamento). - 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima.». «Art. 31 (Obblighi di sicurezza). - 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.». «Art. 32 (Particolari titolari). - 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell'art. 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrita' dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita. 2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia e' definita dall'Autorita' per le garanzie nelle comunicazioni secondo le modalita' previste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio e' al di fuori dell'ambito di applicazione delle misure che il fornitore stesso e' tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa e' resa al Garante e all'Autorita' per le garanzie nelle comunicazioni.». «Art. 33 (Misure minime). - 1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.». «Art. 34 (Trattamenti con strumenti elettronici). - 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato b), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.». «Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici). - 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato b), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati.». «Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, e' aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.».   Art. 9. Archivio unico 1. L'archivio unico e' formato e gestito a cura di ciascun operatore. L'UIC indica standard e criteri per la registrazione e la conservazione tramite procedure informatiche. 2. E' possibile avvalersi, per la tenuta e la gestione dell'archivio unico, di un autonomo centro di servizio, ferme restando le specifiche responsabilita' previste dalla legge a carico dell'operatore e purche' sia assicurato a quest'ultimo l'accesso diretto e immediato all'archivio stesso. 3. L'archivio unico deve essere gestito in modo tale da assicurare la chiarezza e la completezza delle informazioni, la loro conservazione secondo criteri uniformi, il mantenimento della storicita' delle informazioni, la possibilita' di desumere evidenze integrate, la facilita' di consultazione. Deve essere comunque garantita la distinzione logica e la separazione delle registrazioni relative a ciascun operatore non finanziario. 4. Qualora vi sia necessita' di modificare informazioni gia' acquisite nell'archivio unico, a seguito della modifica di elementi di fatto o di verifiche effettuate dopo la registrazione, occorre evidenziare con chiarezza le modifiche apportate conservando evidenza dell'informazione precedente. 5. Le informazioni registrate nell'archivio unico devono essere conservate per dieci anni successivi al compimento dell'operazione. 6. Per l'accertamento dei fatti in un procedimento penale o in un procedimento per l'applicazione di misure di prevenzione, le informazioni e i dati, contenuti nell'archivio unico tenuto dall'operatore non finanziario, sono acquisiti per ordine dell'autorita' giudiziaria. 7. L'UIC adotta disposizioni applicative per le modalita' della tenuta dell'archivio unico nei casi di cessione di dipendenze, di cessione di rami di azienda, di scissione, di fusione, nonche' nei casi di trasformazione degli operatori in una diversa forma giuridica ovvero in un diverso operatore ugualmente compreso tra quelli indicati nell'articolo 2. 8. Gli operatori indicati nell'articolo 2, comma 1, lettere a), e), f), g), h) e l), del presente regolamento possono assolvere agli obblighi di identificazione e di registrazione richiamati dall'articolo 3, comma 1, del presente regolamento, utilizzando i registri ed integrando i dati richiesti ai sensi degli articoli 119, 120 e 128 del testo unico delle leggi di pubblica sicurezza approvato con regio decreto 18 giugno 1931, n. 773, e delle relative disposizioni di attuazione contenute nel regolamento di esecuzione approvato con regio decreto 6 maggio 1940, n. 635. 9. Gli operatori indicati nell'articolo 2, comma 1, lettera d), del presente regolamento possono assolvere agli obblighi di identificazione e di registrazione integrando i dati richiesti a norma dell'articolo 1760, n. 3, del codice civile. Note all'art. 9: - Si riportano gli articoli 119, 120 e 128 del regio decreto 18 giugno 1931, n. 773, recante: (Testo unico delle leggi di pubblica sicurezza): «Art. 119. - Le persone che compiono operazioni di pegno e che danno commissioni in genere alle agenzie pubbliche o agli uffici pubblici di affari sono tenute a dimostrare la propria identita', mediante la esibizione della carta di identita' o di altro documento, fornito di fotografia, proveniente dall'amministrazione dello Stato.». «Art. 120. - Gli esercenti le pubbliche agenzie indicate negli articoli precedenti sono obbligati a tenere un registro giornale degli affari, nel modo che sara' determinato dal regolamento, ed a tenere permanentemente affissa nei locali dell'agenzia, in modo visibile, la tabella delle operazioni alle quali attendono, con la tariffa delle relative mercedi. Tali esercenti non possono fare operazioni diverse da quelle indicate nella tabella predetta, ricevere mercedi maggiori di quelle indicate nella tariffa ne' compiere operazioni o accettare commissioni da persone non munite della carta di identita' o di altro documento, fornito di fotografia, proveniente dall'amministrazione dello Stato.». «Art. 128 (art. 129, T.U. 1926). - I fabbricanti, i commercianti, gli esercenti e le altre persone indicate negli articoli 126 e 127 non possono compiere operazioni su cose antiche o usate se non con le persone provviste della carta di identita' di altro documento munito di fotografia, proveniente dall'amministrazione dello Stato. Essi devono tenere un registro delle operazioni di cui al primo comma che compiono giornalmente, in cui sono annotate le generalita' di coloro con i quali le operazioni stesse sono compiute e le altre indicazioni prescritte dal regolamento. Tale registro deve essere esibito agli ufficiali ed agenti di pubblica sicurezza, ad ogni loro richiesta. Le persone che compiono operazioni di cui al primo comma con gli esercenti sopraindicati, sono tenute a dimostrare la propria identita' nei modi prescritti. L'esercente, che ha comprato cose preziose, non puo' alterarle o alienarle se non dieci giorni dopo l'acquisto, tranne che si tratti di oggetti comprati presso i fondachieri o i fabbricanti ovvero all'asta pubblica.». - Si riporta l'art. 1760 del codice civile: «Art. 1760 (Obblighi del mediatore professionale). - Il mediatore professionale in affari su merci o su titoli deve: 1) conservare i campioni delle merci vendute sopra campione finche' sussista la possibilita' di controversia sull'identita' della merce; 2) rilasciare al compratore una lista firmata dei titoli negoziati, con l'indicazione della serie e del numero; 3) annotare su apposito libro gli estremi essenziali del contratto che si stipula col suo intervento e rilasciare alle parti copia da lui sottoscritta di ogni annotazione.». - Si riporta l'art. 1, comma 2, della legge 17 gennaio 2000, n. 7 (Nuova disciplina del mercato dell'oro, anche in attuazione della direttiva 98/80/CE del Consiglio, del 12 ottobre 1998): «Art. 1 (Commercio dell'oro). - 1. (Omissis). 2. Chiunque dispone o effettua il trasferimento di oro da o verso l'estero, ovvero il commercio di oro nel territorio nazionale ovvero altra operazione in oro anche a titolo gratuito, ha l'obbligo di dichiarare l'operazione all'Ufficio italiano dei cambi, qualora il valore della stessa risulti di importo pari o superiore a 12.500 euro. All'obbligo di dichiarazione sono tenuti anche gli operatori professionali di cui al comma 3, sia che operino per conto proprio, sia che operino per conto di terzi. Dalla presente disposizione sono escluse le operazioni effettuate dalla Banca d'Italia.».   Art. 10. Recupero di crediti 1. Gli operatori che esercitano l'attivita' di recupero di crediti, indicati nell'articolo 2, comma 1, lettera a), del presente regolamento, devono identificare il cliente che conferisce 1'incarico e devono acquisire e registrare nell'archivio unico le informazioni relative: a) all'identita' del cliente e, se diverso, del creditore; b) alla data del conferimento dell'incarico; c) al valore complessivo dei crediti da recuperare; d) all'importo dei crediti e alle generalita' dei debitori, per i crediti di valore superiore a 12.500 euro. 2. Per le riscossioni di valore superiore a 12.500 euro devono essere registrati, entro trenta giorni, le generalita' del debitore o di chi provvede al pagamento, la data della riscossione e i mezzi di pagamento utilizzati.   Art. 11. Custodia e trasporto di contante, titoli o valori 1. Gli operatori che svolgono le attivita' di custodia e trasporto di denaro contante, titoli o valori, indicati nell'articolo 2, comma 1, lettere b) e c), del presente regolamento, devono identificare il soggetto che conferisce l'incarico. In caso di custodia, deve essere identificato anche il soggetto che richiede la restituzione dei beni, se diverso dal soggetto che ha conferito l'incarico o dall'effettivo titolare. 2. Devono essere acquisite e registrate nell'archivio unico le informazioni relative: a) all'identita' del cliente che conferisce l'incarico; b) alle generalita' del mittente e del destinatario, acquisite direttamente o fornite dal cliente; c) alla data dell'operazione; d) al valore e al tipo dei beni oggetto dell'incarico.   Art. 12. Agenzia di affari in mediazione immobiliare 1. Gli operatori che svolgono l'attivita' di agenzia di affari in mediazione immobiliare, indicati nell'articolo 2, comma 1, lettera d), del presente regolamento, devono identificare le parti dei contratti per i quali intervengono. 2. Devono essere acquisite e registrate nell'archivio unico le informazioni relative: a) ai dati identificativi delle parti; b) alla data di conclusione del contratto preliminare o, in mancanza, di quello definitivo di compravendita; c) al prezzo convenuto dell'immobile oggetto della mediazione. 3. Gli obblighi di identificazione e di registrazione si applicano solo nei casi in cui vi sia stata la conclusione del contratto di compravendita preliminare o, in mancanza, di quello definitivo.   Art. 13. Commercio di cose antiche e esercizio di case d'asta o gallerie d'arte 1. Gli operatori che svolgono le attivita' di commercio di cose antiche e di esercizio di case d'asta o gallerie d'arte, indicati nell'articolo 2, comma 1, lettere e) e f), del presente regolamento, devono identificare le controparti, acquirenti e venditori. 2. Devono essere acquisite e registrate nell'archivio unico le informazioni relative: a) ai dati identificativi delle controparti; b) alla data dell'operazione; c) all'importo dell'operazione; d) ai mezzi di pagamento impiegati.   Art. 14. Commercio di oro e di oggetti preziosi 1. Gli operatori che svolgono le attivita' di commercio di oro e di fabbricazione, mediazione e commercio, compresa l'importazione e l'esportazione, di oggetti preziosi, indicati nell'articolo 2, comma 1, lettere g), h) e l), del presente regolamento, devono acquisire e registrare nell'archivio unico le informazioni relative: a) ai dati identificativi delle controparti; b) alla data dell'operazione; c) al tipo dell'operazione; d) all'importo dell'operazione e ai mezzi di pagamento impiegati. 2. Per l'adempimento degli obblighi di cui al presente regolamento, gli operatori di cui al comma 1 possono avvalersi delle informazioni acquisite ai sensi dell'art. 1, comma 2, della legge 17 gennaio 2000, n. 7, e delle relative disposizioni di attuazione.   Art. 15. Gestione di case da gioco 1. Gli operatori che svolgono l'attivita' di gestione di case da gioco, indicati nell'articolo 2, comma 1, lettera i), del presente regolamento, devono identificare i soggetti che compiono operazioni di acquisto e di cambio di «fiches» o di altri mezzi di gioco per importo superiore a 1.500 euro. 2. L'identificazione dei clienti non va rinnovata qualora gia' identificati al momento dell'ingresso, salvi i casi di dubbio sui dati identificativi rilasciati. 3. Devono essere acquisite e conservate nell'archivio unico le informazioni relative: a) ai dati identificativi; b) alla data e alla tipologia dell'operazione; c) al valore dell'operazione e ai mezzi di pagamento utilizzati.   Art. 16. Mediazione creditizia 1. Gli operatori che svolgono l'attivita' di mediazione creditizia, indicati nell'articolo 2, comma 1, lettera m), del presente regolamento, devono identificare il soggetto che richiede il finanziamento. 2. Devono essere acquisite e conservate nell'archivio unico le informazioni relative: a) ai dati identificativi; b) agli estremi dell'intermediario con il quale il cliente viene messo in contatto; c) alla data della concessione del finanziamento; d) all'ammontare e al tipo del finanziamento accordato. 3. I mediatori creditizi forniscono all'intermediario, con il quale mettono in contatto il potenziale cliente, le informazioni necessarie per l'identificazione di quest'ultimo.   Art. 17. Agenzia in attivita' finanziaria 1. Gli operatori che svolgono l'agenzia in attivita' finanziaria, indicati nell'articolo 2, comma 1, lettera n), del presente regolamento, devono identificare i soggetti nei confronti dei quali svolgono l'attivita' di promozione e conclusione dei contratti. 2. Devono essere acquisite e conservate nell'archivio unico le informazioni relative: a) ai dati identificativi; b) alla data della consegna dei mezzi di pagamento; c) all'ammontare e al tipo dei mezzi di pagamento.   Art. 18. Disposizioni finali e transitorie 1. Il registro previsto dall'articolo 9, commi 8 e 9, deve essere costituito o integrato entro sessanta giorni dalla data di entrata in vigore del presente regolamento. 2. Il termine per la costituzione dell'archivio unico tramite strumenti informatici e' di sessanta giorni dall'emanazione delle indicazioni previste dall'articolo 9, comma 1. Il presente decreto munito del sigillo di Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque di osservarlo e farlo osservare. Roma, 3 febbraio 2006 Il Ministro: Tremonti Visto, il Guardasigilli: Castelli Registrato alla Corte dei conti il 13 marzo 2006 Ufficio di controllo sui Ministeri economico-finanziari, registro n. 1 Economia e finanze, foglio n. 385