La conservazione dei dati negli Studi Professionali: i punti di contatto tra antiriciclaggio, GDPR e cybersecurity

  • La conservazione dei dati nella normativa antiriciclaggio e nel GDPR

Il tema della sicurezza e della conservazione delle informazioni e dei dati trattati è diventato fondamentale per lo Studio professionale. Al riguardo, sia il d.lgs. 231/2007 che il Regolamento Ue 2016/679 (GDPR) prestano particolare attenzione alla conservazione dei dati, che può essere considerato l’anello di congiunzione tra due materie diverse e apparentemente distanti.

Conservazione dei dati nell’antiriciclaggio

L’obbligo di conservazione dei documenti, dei dati e delle informazioni utili a prevenire, individuare o accertare eventuali attività di riciclaggio e di finanziamento del terrorismo è uno degli obblighi che il d.lgs. 231/2007 impone agli Studi Professionali.

Su questo punto anche le regole tecniche del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, pubblicate lo scorso 23 gennaio, ribadiscono l’importanza della conservazione dedicandogli la regola tecnica n.3.

Nello specifico, i Professionisti devono conservare:

  • copia dei documenti acquisiti in occasione dell’adeguata verifica della clientela;
  • l’originale ovvero copia avente efficacia probatoria ai sensi della normativa vigente.

Tuttavia ciò non è sufficiente, in quanto, prosegue il testo, la conservazione delle predette informazioni deve rendere possibile la ricostruzione univoca di una serie di elementi:

  • data di instaurazione del rapporto continuativo o del conferimento dell’incarico;
  • dati identificativi del cliente, del titolare effettivo e dell’esecutore;
  • informazioni sullo scopo, sulla natura della prestazione;
  • data importo e causale dell’operazione;
  • mezzi di pagamento utilizzati.

Dunque, sia il legislatore che l’organo di autoregolamentazione dei Commercialisti e degli Esperti Contabili, dispongono che ciascuna di queste informazioni sia conservata mediante sistemi di conservazione idonei ad evitarne la perdita, da un alto, e, dall’altro, mantenerne nel tempo l’integrità, la leggibilità e la reperibilità dei documenti acquisiti in sede di adeguata verifica.
A ben vedere, tali informazioni e dati devono essere trattati nel rispetto delle norme privacy. Lo Studio deve quindi dotarsi di sistemi di conservazione adeguati alle proprie dimensioni, considerando la tipologia di dati trattati nel corso della prestazione professionale.

Secondo il documento del CNDCEC, il professionista potrà scegliere discrezionalmente le modalità di conservazione cartacea ed informatica, con la facoltà peraltro di continuare ad alimentare i sistemi informatici impiegati in precedenza, naturalmente nel rispetto del GDPR.

Alla luce di quanto sopra, sembra che sia il legislatore nazionale che l’organismo di autoregolamentazione, vogliano evidenziare che non solo lo Studio Professionale debba adempiere agli obblighi imposti dalla normativa antiriciclaggio sulla conservazione, ma anche agli obblighi in tema di conservazione e misure di sicurezza previsti dal GDPR. Di fatto, un’importante punto di contatto tra le due normative.

GDPR e conservazione dei dati

Fermo quanto sopra, si assiste ad un costante rafforzamento del collegamento tra normativa antiriciclaggio e GDPR privacy.
Se da un lato occorre conservare i dati, ad esempio, del cliente, del titolare effettivo, le informazioni sulla natura e sullo scopo della prestazione professionale, dall’altro occorre farlo con sistemi di conservazione adeguati che rispettino integrità, riservatezza e disponibilità dei dati. Ciò non è altro che la garanzia della sicurezza dei dati che lo Studio professionale deve offrire ai propri clienti.

Sul punto il Regolamento Ue 2016/679, all’art. 32, pone un importante focus sulla sicurezza dei dati ed indica in maniera chiara e prescrittiva le misure da impiegare. Considerato che l’obiettivo del GDPR è quello di tutelare i cittadini in materia di privacy, ciò non può prescindere dai trattamenti che devono avere misure di sicurezza adeguate.
Ciò vuol dire che i Professionisti e gli Studi Professionali, trattando dati e informazioni dei clienti, devono assumersi la responsabilità di decidere le misure idonee di sicurezza, analizzando la propria organizzazione, la natura delle informazioni, le finalità perseguite attraverso il trattamento dei dati degli interessati.

Rispetto al passato, dunque, non devono essere più adottate delle misure minime di sicurezza, ma delle misure che siano adeguate a prevenire il rischio di perdita di dati. L’adeguatezza delle misure che uno Studio professionale, o una azienda, devono impiegare non può più prescindere da una corretta e sicura conservazione dei dati.

Secondo il dettato normativo, vanno garantiti:

    • la disponibilità dei dati, quindi la salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati;
    • l’integrità dei dati, a garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici;
    • la riservatezza informatica, cioè la gestione della sicurezza in modo da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata.

In qualsiasi momento, il professionista dovrà essere in grado di comprovare di aver rispettato questi criteri per essere conforme al GDPR.

La conservazione tra minacce web e cybersecurity

Se le informazioni relative all’adeguata verifica dei clienti devono avvenire nel rispetto della privacy, allora occorrerà dotare gli Studi di misure di sicurezza idonee ad evitare il rischio della perdita di dati.
I rischi informatici a cui è esposto un commercialista o un notaio possono essere diversi e non può più essere sottovalutato. La molteplicità e la varietà dei dati dei clienti trattati, siano essi ordinati o particolari, rende infatti lo Studio vulnerabile e facile obiettivo dei cyber criminali attacchi.

Tra le principali metodologie di attacco impiegate dai “cybercriminali informatici”, il rapporto Clusit del 2018 evidenzia:

  • il pishing: la richiesta di invio di email, telefono o sms attraverso i quali i cybercriminali si impossessano di dati sensibili, dati bancari o quelli relativi alle carte di credito;
  • l’e-mail Spoofing per un trasferimento bancario: la falsificazione di un’intestazione di un messaggio di posta elettronica in modo che sembri provenire da qualcuno o da un luogo diverso dalla fonte reale;
  • il ransomware: il blocco dei dati della vittima fino a quando l’aggressore non riceve un riscatto (tipicamente, viene richiesto di pagare con una criptovaluta come ad esempio i bitcoin);
  • attacchi alla supply chain: minacce molto sofisticate che possono compromettere il meccanismo di aggiornamento dei pacchetti software, permettendo ai criminali di inserirsi all’interno della distribuzione legittima del software stesso;
  • malware: virus, trojan horse, warm, inviati anche tramite posta elettronica o file infetti scaricati.

Molto spesso, in particolare all’interno degli Studi professionali, si sottovaluta come questi attacchi possano arrecare danni economici e reputazionali. Basti pensare al blocco dell’operatività dei collaboratori, nonché al rischio che i dati e le informazioni di clienti possono essere diffuse o oggetto di vendita e fonte di guadagno per i cybercriminali.

In conclusione

Alla luce di quanto sopra appare chiaro che non si possa più separare l’antiriciclaggio dalla privacy, soprattutto in tema di conservazione. E’ necessario, inoltre, dotarsi di strumenti adeguati per proteggere e tutelare i dati e le informazioni dei clienti. Ciò deve essere inserito all’interno di procedure oggettive e dimostrabili, facilmente reperibili in caso di eventuali controlli degli organi preposti. Serve, in definitiva, un approccio sempre più olistico alla compliance di Studio.

Vuoi maggiori informazioni sulla corretta conservazione dei dati nello Studio? Contattaci!

Iscriviti alla newsletter per rimanere aggiornato sui prossimi eventi

Resta sempre aggiornato sui prossimi workshop sul GDPR Privacy e scopri quello più vicino a te!



Scopri i nostri servizi in materia di Antiriciclaggio

Servizio di gestione antiriciclaggio in outsourcing per la piena applicazione dell’approccio basato sul Rischio e di tutti gli adempimenti previsti dalle Regole Tecniche dei Professionisti.