CAMERA DEI DEPUTATI
Giovedì 19 ottobre 2017
896.
XVII LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Finanze (VI)
COMUNICATO
Pag. 19

SEDE CONSULTIVA

  Giovedì 19 ottobre 2017. — Presidenza del presidente Maurizio BERNARDO.

  La seduta comincia alle 12.10.

Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla manipolazione di competizioni sportive.
C. 4303 Governo.

(Parere alle Commissioni riunite II e III).
(Seguito dell'esame e conclusione – Parere favorevole).

  La Commissione prosegue l'esame del provvedimento, rinviato nella seduta del 18 ottobre scorso.

  Maurizio BERNARDO, presidente e relatore, ricorda di aver illustrato i contenuti del provvedimento nella precedente seduta di esame e di avere quindi formulato una proposta di parere favorevole con alcune premesse (vedi allegato), la quale è già stata trasmessa via e-mail a tutti i componenti della Commissione nella serata di ieri.

  La Commissione approva la proposta di parere formulata dal relatore.

  La seduta termina alle 12.15.

SEDE REFERENTE

  Giovedì 19 ottobre 2017. — Presidenza del presidente Maurizio BERNARDO.

  La seduta comincia alle 12.15.

Pag. 20

Disposizioni concernenti l'impiego della carta d'identità elettronica nell'adempimento degli obblighi di identificazione previsti dalla normativa per il contrasto del riciclaggio dei proventi di attività criminose.
C. 4662 Fragomeli.

(Esame e rinvio).

  La Commissione inizia l'esame del provvedimento.

  Sergio BOCCADUTRI (PD), relatore, rileva come la Commissione sia chiamata a esaminare, in sede referente, la proposta di legge C. 4662 Fragomeli, recante disposizioni concernenti l'impiego della carta d'identità elettronica nell'adempimento degli obblighi di identificazione previsti dalla normativa per il contrasto del riciclaggio dei proventi di attività criminose.
  Nell'evidenziare l'importanza della proposta di legge, segnala come essa intenda estendere l'utilizzo della carta d'identità elettronica nei settori dell'antiriciclaggio e all'interno del Sistema pubblico dell'identità digitale (SPID).
  In merito ricorda che la carta di identità elettronica (CIE) è stata introdotta dalla legge n. 127 del 1997, la quale ha previsto la sostituzione della carta di identità cartacea con un documento realizzato su supporto informatico, contenente, oltre ai dati personali, il codice fiscale e, con l'accordo dell'interessato, l'indicazione del gruppo sanguigno. La CIE, oltre a mantenere la funzione del documento cartaceo attestante l'identità della persona, ha la funzione di strumento di accesso ai servizi innovativi che le pubbliche amministrazioni locali e nazionali metteranno a disposizione per via telematica e dovrà poter essere utilizzata allo stesso modo su tutto il territorio nazionale.
  Il passaggio verso la definizione della carta d'identità quale carta di servizi si ha con la modifica alla citata legge n. 127 operata dalla legge n. 191 del 1998, con cui viene previsto che la CIE possa contenere, oltre ai dati personali, codice fiscale e gruppo sanguigno, anche altri dati che consentano l'erogazione al cittadino di quei servizi che ne richiedano l'identificazione, nonché tutte le informazioni, tra cui la chiave biometrica, necessarie per il suo utilizzo assieme alla firma digitale. Tra gli obiettivi dell'informatizzazione del documento di identità, la legge individua la possibilità del trasferimento elettronico dei pagamenti tra soggetti privati e pubbliche amministrazioni.
  Le disposizioni sulla carta di identità e sui documenti elettronici sono poi confluite nell'articolo 36 del Testo unico sulla documentazione amministrativa (decreto del Presidente della Repubblica n. 445 del 2000) e, successivamente, nell'articolo 66 del Codice dell'amministrazione digitale (CAD), di cui al decreto legislativo n. 82 del 2005, che costituisce la norma di riferimento in materia.
  Nel 1999 è stato approvato il regolamento che reca le regole tecniche e le modalità di rilascio (decreto del Presidente della Repubblica n. 437 del 1999) e con il decreto del Ministro dell'interno 19 luglio 2000 sono state dettate le regole tecniche e di sicurezza relative alla carta d'identità e al documento d'identità elettronico.
  Il quadro normativo è completato dal decreto del Ministro dell'interno 23 dicembre 2015 (recante le modalità tecniche di emissione della Carta d'identità elettronica) e dal decreto del Ministro dell'economia e delle finanze 25 maggio 2016 (recante la determinazione del corrispettivo a carico del richiedente la carta d'identità elettronica).
  Segnala quindi come il decreto-legge n. 78 del 2015, all'articolo 10, commi 3, 4 e 5, sia intervenuto sulla disciplina della carta di identità elettronica CIE: in tale ambito la CIE non è più definita quale documento obbligatorio di identificazione; inoltre, è stato definitivamente superato il progetto di unificazione della CIE e della tessera sanitaria nel Documento digitale unificato (DDU) previsto dal decreto-legge n. 70 del 2011.
  In tale contesto rammenta inoltre che, secondo la pianificazione approvata dal Ministero dell'interno, entro ottobre 2017 circa 450 Comuni provvederanno ad attivare il sistema e la distribuzione della CIE Pag. 21ai propri cittadini, permettendo di raggiungere (insieme ai 199 comuni già in possesso del servizio di distribuzione della CIE) complessivamente il 50 per cento della popolazione. Da ottobre 2017 è prevista la diffusione del sistema nei restanti comuni (secondo il Piano triennale per l'informatica nella pubblica amministrazione 2017-2019); attualmente il servizio di rilascio è attivo in 563 comuni e sono state già rilasciate (al 17 ottobre 2017) 982.683 carte.
  Passando a illustrare il contenuto della proposta di legge, che si compone di un solo articolo, il comma 1 prevede che gli obblighi di identificazione prescritti dalla disciplina antiriciclaggio di cui al decreto legislativo n. 231 del 2007 devono essere assolti in via preferenziale mediante la carta d'identità elettronica.
  Ricorda che il decreto legislativo n. 231 del 2007 è stato profondamente modificato dal decreto legislativo n. 90 del 2017, in attuazione della IV direttiva antiriciclaggio (direttiva UE 2015/849). La nuova disciplina antiriciclaggio, in particolare, aggiorna l'elenco dei soggetti destinatari degli obblighi (soggetti obbligati) e l'ambito delle prestazioni da monitorare, semplificando le modalità di conservazione dei dati e dei documenti, in applicazione del diritto europeo. Punto di partenza della direttiva è l'ampliamento e la razionalizzazione del principio dell'approccio basato sul rischio (risk based approach), già considerato dalla precedente direttiva, in base al quale le misure volte a prevenire o mitigare il riciclaggio e il finanziamento del terrorismo devono essere proporzionali ai rischi effettivamente individuati.
  In particolare, il Capo I del predetto decreto legislativo n. 231 del 2007 (costituito dagli articoli da 17 a 30) disciplina gli obblighi di adeguata verifica della clientela, prevedendo che i soggetti obbligati procedano all'adeguata verifica del cliente e del titolare effettivo in occasione dell'instaurazione del rapporto continuativo o del conferimento dell'incarico per l'esecuzione professionale. La verifica deve essere effettuata, per le operazioni occasionali, non solo per le movimentazioni pari o superiori a 15.000 euro, ma anche per il trasferimento di fondi superiore a 1.000 euro. Ai sensi dell'articolo 17 del decreto legislativo n. 231 del 2017 gli obblighi di adeguata verifica riguardano espressamente anche i prestatori di servizi di gioco. Le misure devono applicarsi sempre qualora vi sia sospetto di riciclaggio o di finanziamento del terrorismo ovvero quando vi siano dubbi riguardo alla veridicità di dati precedentemente ottenuti ai fini dell'obbligo di identificazione.
  Gli articoli 18 e 19 del decreto legislativo n. 231, richiamati dal citato comma 1 della proposta di legge, individuano il contenuto e le modalità di adempimento degli obblighi di adeguata verifica. In particolare l'articolo 18, comma 1, lettera a), prescrive l'identificazione del cliente e la verifica della sua identità attraverso riscontro di un documento d'identità o di altro documento di riconoscimento equipollente ai sensi della normativa vigente nonché sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente. L'identificazione è estesa anche all'esecutore e deve comprendere la verifica dei poteri di rappresentanza. In presenza di un basso rischio di riciclaggio o di finanziamento del terrorismo la verifica dell'identità può essere posticipata ad un momento successivo. In tale ipotesi di differimento, in ogni caso, occorre raccogliere i dati identificativi dei soggetti coinvolti nonché i dati relativi alla tipologia e all'importo dell'operazione. La verifica dovrà essere terminata al più presto e, comunque, entro trenta giorni dall'instaurazione del rapporto o dal conferimento dell'incarico.
  In tale ambito l'articolo 19 del decreto legislativo n. 231 indica le modalità appropriate per l'identificazione, la verifica dei dati, l'acquisizione e valutazione sullo scopo e la natura del rapporto. Si prevede in proposito l'obbligatoria presenza del cliente o dell'esecutore ai fini della procedura ed è richiesta l'esibizione di un documento d'identità in corso di validità o altro documento di riconoscimento equipollente ai sensi della normativa vigente, del quale viene acquisita copia in formato Pag. 22cartaceo o elettronico. Viene altresì previsto che il cliente fornisca, sotto la propria responsabilità, le informazioni necessarie a consentire l'identificazione del titolare effettivo.
  I soggetti obbligati agli adempimenti in materia di lotta al riciclaggio e al finanziamento del terrorismo, tra i quali l'adeguata verifica della clientela, sono indicati all'articolo 3 del decreto legislativo n. 231, in base alle funzioni effettivamente svolte: gli intermediari bancari e finanziari (comma 2); gli altri operatori finanziari (comma 3); i professionisti, nell'esercizio della professione in forma individuale, associata o societaria (comma 4); gli altri operatori non finanziari (comma 5); i prestatori di servizi di gioco (comma 6); gli intermediari bancari e finanziari e le imprese assicurative con sede legale e amministrazione in un altro Stato membro, stabiliti senza succursale sul territorio italiano (comma 6).
   Il comma 2 dell'articolo 1 della proposta di legge di legge prescrive che, ai soli fini di identificazione della clientela da parte degli intermediari finanziari (oggetto del comma 1 appena illustrato), la carta di identità elettronica (CIE) costituisce strumento di autenticazione al massimo livello di sicurezza delle identità digitali, ossia al terzo e massimo livello di sicurezza di autenticazione informatica del Sistema pubblico di identità digitale (SPID), indicato dall'articolo 6, comma 1, lettera c), del DPCM 24 ottobre 2014.
  In merito ricorda che lo SPID è volto a consentire l'accesso a qualunque servizio con un solo PIN (Personal Identification Number), universalmente accettato, in modo che il cittadino possa autenticarsi una sola volta presso uno dei gestori di identità digitali ed utilizzare tale autenticazione con qualunque erogatore di servizi on line, pubblico e privato, italiano e dell'Unione europea.
  Lo SPID è stato introdotto nell'ordinamento dal decreto-legge n. 69 del 2013, mentre con il decreto legislativo n. 179 del 2016 – adottato in attuazione della legge n. 124 del 2015, di riorganizzazione della P.A. – sono state promosse misure per favorire l'adesione da parte delle amministrazioni pubbliche e dei privati allo SPID.
  Secondo quanto previsto dal Codice dell'amministrazione digitale (CAD) di cui al richiamato decreto legislativo n. 82 del 2005, l'identità digitale di un soggetto consiste nella rappresentazione informatica della corrispondenza tra esso e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale. Ai sensi dell'articolo 64 del CAD, come modificato dal citato decreto legislativo n. 179 del 2016, il sistema SPID è finalizzato all'identificazione degli utenti (cittadini e imprese), per consentire loro l'accesso ai servizi in rete forniti sia da parte della pubbliche amministrazioni, sia dei privati. Permane ancora la possibilità di accesso ai servizi delle pubbliche amministrazioni anche con la carta di identità elettronica (CIE) e la carta nazionale dei servizi (CNS). Il sistema è costituito mettendo insieme i soggetti pubblici e privati (identity provider) che gestiscono i servizi di registrazione e di rilascio delle credenziali e degli strumenti di accesso in rete a cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati.
  È inoltre riconosciuta alle imprese la facoltà di avvalersi del sistema SPID per la verifica dell'accesso ai propri servizi erogati in rete da parte dei rispettivi utenti: l'adesione esonera l'impresa dall'obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell'articolo 17 del decreto legislativo n. 70 del 2003, che riguarda in particolare il commercio elettronico.
  Con il decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 sono state definite le prime modalità attuative dello SPID, quali:
   le caratteristiche del sistema, che comprendono il modello architetturale e organizzativo, nonché gli standard tecnologici e le soluzioni per garantire l'interoperabilità delle credenziali e degli strumenti di accesso nei riguardi di cittadini e imprese;Pag. 23
   le modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete, nonché quelle delle imprese in qualità di erogatori di servizi in rete;
   le modalità di accreditamento da parte dell'Agenzia per l'Italia digitale dei soggetti che gestiscono la registrazione e l'accesso in rete, cosiddetti gestori dell'identità digitale;
   i tempi e le modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete.

  Il citato decreto del Presidente del Consiglio dei ministri ha, tra l'altro, individuato tre livelli di sicurezza di autenticazione informatica dello SPID:
   primo livello, corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115, in cui il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a un solo fattore (ad esempio la password);
   secondo livello, corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115, in cui il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali;
   terzo livello, corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115, in cui il gestore dell'identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali.

  A oggi sono disponibili solo identità SPID di primo e secondo livello ed entro marzo 2018 le pubbliche amministrazioni dovranno implementare SPID in tutti i servizi digitali che richiedono autenticazione, sia quelli già esistenti sia quelli di nuova attivazione.
  In tale contesto il comma 2 dell'articolo unico della proposta di legge specifica, inoltre, come effettuare il riconoscimento dell'identità fisica del soggetto interessato, che può essere effettuato attraverso la lettura dei dati personali e biometrici contenuti all'interno del microprocessore della carta d'identità elettronica, nonché attraverso la verifica dei medesimi alla presenza del titolare della carta stessa.
  A sua volta la norma del comma 2 specifica che tale lettura dei dati personali e biometrici della CIE, potrà avvenire secondo le specifiche pubblicate nel Portale della stessa carta previsto dal citato decreto del Ministro dell'interno 23 dicembre 2015, pubblicato nella Gazzetta Ufficiale n. 302 del 30 dicembre 2015.

  Gian Mario FRAGOMELI (PD) propone di procedere, possibilmente entro le prossime due settimane, ad un breve ciclo di audizioni, ascoltando i rappresentanti dell'Agenzia per l'Italia digitale, del Ministero dell'interno, del Ministero dell'economia e delle finanze, dell'Istituto poligrafico e zecca dello Stato, dell'Associazione nazionale dei comuni italiani, dell'Agenzia delle entrate, nonché delle rappresentanze di professionisti.

  Carlo SIBILIA (M5S) esprime apprezzamento per il contenuto della proposta di legge, la quale fornisce un impulso certamente importante su una problematica di notevole rilevanza. In tale contesto dichiara la disponibilità del gruppo M5S a valutare l'opportunità di chiedere il trasferimento dell'esame del provvedimento alla sede legislativa, al fine di accelerarne il più possibile l'approvazione, in considerazione della prossima conclusione della Legislatura.

  Sergio BOCCADUTRI (PD), relatore, coglie positivamente la disponibilità espressa dal deputato Sibilia, segnalando come numerosi comuni stiano distribuendo ai cittadini le carte d'identità elettronica e come sarebbe pertanto particolarmente utile riuscire ad approvare in via definitiva il provvedimento prima della fine della Legislatura.

Pag. 24

  Maurizio BERNARDO, presidente, nessun altro chiedendo di intervenire, rinvia il seguito dell'esame ad altra seduta.

Sull'ordine dei lavori.

  Maurizio BERNARDO, presidente, con riferimento alla tematica, evidenziata da alcuni deputati nel corso della seduta di ieri, relativa alla contemporaneità tra le sedute della Commissione e le sedute della Commissione parlamentare di inchiesta sul sistema bancario e finanziario, della quale sono componenti numerosi membri della Commissione Finanze, rileva come non sussistano al momento strumenti regolamentari che consentano di risolvere direttamente, in termini assoluti, tale problematica. Oltre ad assicurare il suo personale impegno a facilitare la soluzione della problematica segnalata, ritiene che siano soprattutto i gruppi a dover segnalare, nelle sedi opportune, la necessità di individuare forme di organizzazione dei lavori dei diversi organi parlamentari rispettose delle esigenze di tutti.

  Carlo SIBILIA (M5S), in merito alla questione richiamata dal Presidente, rileva l'opportunità di sottoporre tale tematica alla Presidente della Camera, al fine di evitare sovrapposizioni tra gli orari di seduta della Commissione parlamentare di inchiesta sul sistema bancario e finanziario, e quelli delle Commissioni permanenti e dell'Assemblea.

  Maurizio BERNARDO, presidente, coglie l'occasione per segnalare l'esigenza che le audizioni che la Commissione sta svolgendo, sia nell'ambito dell'indagine sulle tematiche relative all'impatto della tecnologia finanziaria sul settore finanziario, creditizio e assicurativo, sia su altre tematiche, vedano la più ampia partecipazione possibile da parte dei componenti della Commissione.

  La seduta termina alle 12.25.

INDAGINE CONOSCITIVA

  Giovedì 19 ottobre 2017. — Presidenza del presidente Maurizio BERNARDO.

  La seduta comincia alle 12.35.

Sulle tematiche relative all'impatto della tecnologia finanziaria sul settore finanziario, creditizio e assicurativo.
Audizione del Presidente di Banca Intesa Sanpaolo, Gian Maria Gros-Pietro.

(Svolgimento e conclusione).

  Maurizio BERNARDO, presidente, avverte che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.
  Introduce, quindi, l'audizione.

  Gian Maria GROS-PIETRO, Presidente di Banca Intesa Sanpaolo, e Stefano BARRESE, Capo Divisione Banca dei territori di Banca Intesa Sanpaolo, svolgono relazioni sui temi oggetto dell'audizione.

  Svolgono considerazioni e pongono quesiti i deputati Sebastiano BARBANTI (PD), Sergio BOCCADUTRI (PD), Sestino GIACOMONI (FI-PdL) e Francesco RIBAUDO (PD), ai quali rispondono Gian Maria GROS-PIETRO, Presidente di Banca Intesa Sanpaolo, nel corso del cui intervento svolge alcune considerazioni Maurizio BERNARDO, presidente, e Stefano BARRESE, Capo Divisione Banca dei territori di Banca Intesa Sanpaolo.

  Maurizio BERNARDO, presidente, ringrazia il professor Gros-Pietro e dichiara conclusa l'audizione.

  La seduta termina alle 13.40.

  N.B.: Il resoconto stenografico della seduta è pubblicato in un fascicolo a parte.

Pag. 25