MARCO KROGH
NOTAIO
1
NOTA ALLA SENTENZA DELLA CORTE DI GIUSTIZIA EUROPEA DEL 22
NOVEMBRE 2022
I DIFFICILI RAPPORTI TRA ANTIRICICLAGGIO E PRIVACY
La sentenza della Corte di giustizia dell'Unione Europea - Grande Sezione - del 22
novembre 2022, che ha invalidato l’articolo 1, punto 15, lettera c), della direttiva
(UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018 (che
modifica la direttiva (UE) 2015/849) nella parte in cui prevede che gli Stati membri
provvedono affinché le informazioni sulla titolarità effettiva delle società e delle altre
entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico,
è di particolare interesse perché nella sua ampia motivazione offre lo spunto per più
di una riflessione sulle numerose criticità che vedono i principi che regolano il
sistema antiriciclaggio contrapporsi ai principi su cui si fonda il sistema che tutela il
diritto alla riservatezza. Due temi che hanno ricevuto grande attenzione all’interno
dell’unione europea e si collocano su poli diametralmente opposti.
Il sistema antiriciclaggio, come è noto, si è sviluppato su impulso del GAFI/FATF
che con le sue Raccomandazioni ha invitato i Paesi membri a dotarsi di normative
uniformi per contrastare il riciclaggio ed il finanziamento del terrorismo. Il sistema su
cui si fonda la lotta al riciclaggio, va ricordato, nasce come strumento per contrastare
il riciclaggio dei proventi relativi al traffico degli stupefacenti e, nella sua fase
iniziale, si rivolgeva esclusivamente alle banche ed agli intermediari finanziari. I
risultati positivi ottenuti, nella sua prima fase di applicazione delle misure di
prevenzione, ha convinto il GAFI e la comunità internazionale sia ad estendere ad
altri destinatari i relativi obblighi, sia ad ampliare gli obiettivi di prevenzione ad altre
attività criminali, quali la corruzione, l’evasione fiscale, il traffico di armi di
distruzione di massa, etc. Nella sua evoluzione, anche le modalità di collaborazione
imposte ai destinatari della normativa si sono trasformate nel tempo, passando da
mezzi per una collaborazione meramente “passiva”, ossia finalizzati ad una mera
raccolta di dati ed informazioni relativi alle movimentazioni finanziarie da conservare
e mettere a disposizione delle Istituzioni, a collaborazione “attiva”, di carattere
investigativo, sotto l’imperativo “know your client (KYC)”, sebbene con i limiti del
rispetto delle specificità e peculiarità dell’attività svolta da ciascun destinatario degli
obblighi antiriciclaggio. Nella sua ultima evoluzione il sistema si è ulteriormente
implementato prevedendo l’obbligo di formazione di banche dati, contenenti dati ed
informazioni utili al contrasto al riciclaggio, consultabili non solo dalle Istituzioni
preposte alla lotta al riciclaggio, ma anche dai destinatari della normativa
antiriciclaggio e, come vedremo, in qualche misura anche dal pubblico e su
quest’ultimo aspetto si è pronunciata la Corte di Giustizia europea.

MARCO KROGH
NOTAIO
2
La normativa sulla privacy ha, anch’essa, una storia recente, nasce con l’avvento
della stampa e dei mass media nei paesi anglosassoni verso la fine dell’ottocento.
Nella sua dimensione embrionale nasce come jus solitudinis, sintetizzato nella nota
espressione “Privacy is predominantly understood as the right to be let alone by
others”, e, quindi, come “diritto di essere lasciato in pace”, come “diritto a vietare
l’intromissione di altri nella propria vita privati”. Anche il concetto di privacy si è
evoluto nel tempo, essendo mutata la sensibilità sociale sul tema, soprattutto con
l’avvento dei social. Il concetto di privacy per le sue caratteristiche è mutevole nel
tempo ed è questo il motivo per cui il legislatore ha scelto di non dare una definizione
di privacy, ma si è limitato a definire i concetti di “dati personali”, di “dati sensibili”
e “di trattamento dei dati”. Oggi la privacy è considerata ed è tutelata nella sua
dimensione dinamica, non è più tutelato il solo diritto ad impedire intromissioni nella
vita privata; la tutela della riservatezza non è il mero diritto ad impedire che altri si
impossessino dei propri dati personali, ma, in una prospettiva dinamica, è il diritto di
ciascuno a controllare e gestire i propri dati personali, a far cessare l’uso da parte di
terzi dei propri dati personali, a conoscere se i propri dati personali siano nel possesso
di terze persone, a chiedere ai terzi detentori dei nostri dati personali la modifica,
l’integrazione o la cancellazione dei dati stessi, fino al cd. diritto all’oblio.
Il modello sociale di riferimento non è più quello di fine ottocento, ma quello di una
società “social” inaugurata dalla stagione del “Grande Fratello” che, tuttavia, non è il
“Grande Fratello” di Orwell descritto nel suo romanzo “1984” dove un soggetto
(anonimo) controllava tutti gli altri, ma di un “Grande Fratello” dove la prospettiva si
capovolge, in cui troviamo un soggetto che consapevolmente desidera che i propri
dati siano noti a tutti ed al quale è finalmente riconosciuto il suo diritto al “quarto
d’ora di notorietà”, secondo quanto auspicava Andy Warhol. La tutela passa, oggi,
attraverso il concetto di “trattamento” dei dati personali; ognuno ha diritto di
divulgare i dati relativi alla propria persona, costruirsi un’immagine da diffondere in
pubblico, anche se non corrispondente al vero, con il limite della frode, e, per
converso, ha diritto di seguire la sorte dei propri dati, conoscere le finalità per le quali
i dati sono acquisiti da un terzo, ha diritto di modificare i dati e le informazioni
detenuti da un terzo ed ha diritto a restare o tornare nell’anonimato (il cd. diritto
all’oblio). Una tutela, pertanto, allineata con un modello sociale che appare sempre
più un palcoscenico con attori che rivendicano il diritto ad un quarto d’ora di
notorietà, ma con la possibilità di tornare sui propri passi fino a rivendicare il diritto
ad essere del tutto dimenticati. L’altra faccia della medaglia è rappresentata da un
mondo di relazioni sociali, politiche, economiche e finanziarie sempre più
condizionato dal possesso e dall’elaborazione dei dati ed informazioni a disposizione.
In questo flusso continuo di dati ed informazioni che circolano nel mondo digitale gli
interessi giuridicamente rilevanti non sono più limitati a quelli del soggetto a cui si
riferiscono, ma riguardano l’utilizzo della massa circolante di dati ed informazioni
che va ad incidere sulle relazioni sociali, sulle relazioni politiche, sulle relazioni
economiche, sulle relazioni finanziarie e che può alterare quelle che sono le
tradizionali regole della concorrenza economica o delle competizioni politiche. E’

MARCO KROGH
NOTAIO
3
fatto notorio che oggi la vera ricchezza è il possesso dei cd. “big data” , ed il vero
valore aggiunto in tutti i campi è la creazione e l’utilizzo di algoritmi in grado di
gestire questo enorme flusso di dati.
La tutela della riservatezza, pertanto, nei termini indicati è garanzia di tutela delle
liberta fondamentali e, come sottolineato nella sentenza della Corte di Giustizia
europea in commento, “come risulta da una giurisprudenza costante della Corte,
mettere dati personali a disposizione di terzi costituisce un’ingerenza nei diritti
fondamentali sanciti agli articoli 7 e 8 della Carta, indipendentemente dall’uso
successivo delle informazioni comunicate. A tal riguardo, poco importa che le
informazioni relative alla vita privata di cui trattasi abbiano o meno carattere
delicato o che gli interessati abbiano o meno subito eventuali inconvenienti in
seguito a tale ingerenza (sentenza del 21 giugno 2022, Ligue des droits humains,
C-817/19, EU:C:2022:491, punto 96 e giurisprudenza ivi citata)”.
Tuttavia, sebbene la tutela della privacy sia strumentale rispetto alla tutela dei diritti
fondamentali sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali (CEDU), la
sua tutela non ha carattere assoluto, ma, come riconosciuto nella sentenza in
commento, trova i suoi limiti nella tutela di altri interessi generali riconosciuti
dall’Unione o dall’esigenza di proteggere i diritti e le libertà altrui, quali l’ordine
pubblico, la pubblica sicurezza, la prevenzione e la repressione dei reati, la salute
pubblica, etc. In questi casi, sono evidenti i motivi per cui le norme sulla privacy
appaiono recessive rispetto alla tutela dei suddetti interessi.
Se ciò appare scontato, nella misura in cui la protezione dei dati personali venga
meno rispetto a soggetti pubblici, istituzionalmente preposti alla tutela dei superiori
interessi, meno scontato è che la tutela della riservatezza venga meno nei rapporti e
nelle relazioni tra soggetti privati. Mi riferisco, per quanto riguardo i professionisti, al
rapporto professionista-cliente al cui interno ha sempre trovato una tutela privilegiata,
nell’interesse del cliente, il segreto professionale; tutela garantita da norme penali e
dai codici deontologici vigenti in tutte le categorie professionali. Per una scelta di
politica legislativa, che come accennato, recepisce le indicazioni del GAFI, il
professionista nell’assolvimento degli obblighi antiriciclaggio può violare l’obbligo
di segretezza rispetto ai dati ed informazioni fornite dal cliente. L’unico limite è dato
dalla tutela di interessi di rilevanza costituzionale, quale il diritto di difesa e ciò è
recepito all’interno delle norme che regolano gli obblighi antiriciclaggio che
dispongono limiti all’assolvimento degli obblighi antiriciclaggio laddove i dati e le
informazioni siano ottenuti nell'espletamento dei compiti di difesa o di
rappresentanza del cliente o in un procedimento innanzi a un'autorità giudiziaria o in
relazione a tale procedimento. In questo caso, il segreto professionale essendo
strumentale alla piena realizzazione del diritto di difesa, non potrà essere violato dal
professionista nell’assolvimento degli obblighi antiriciclaggio. Va aggiunto, che alla
violazione della segretezza dei dati forniti dal cliente in funzione del contrasto al
riciclaggio si aggiunge la facoltà, conferita al destinatario degli obblighi

MARCO KROGH
NOTAIO
4
antiriciclaggio, “larvatamente” inquisitoria. Il destinatario degli obblighi
antiriciclaggio non solo può e deve utilizzare i dati e le informazioni fornite dal
cliente, senza il consenso dello stesso, anzi con il divieto di comunicazione al
medesimo, in funzione degli obblighi di contrasto al riciclaggio ed al finanziamento
del terrorismo (nella loro ampia accezione) e, quindi, segnalando gli stessi alle
Istituzioni preposte, ma può sollecitare il cliente a fornire dati ed informazioni
ulteriori, anche sfavorevoli al cliente stesso in funzione di un efficace contrasto al
riciclaggio ed al finanziamento del terrorismo. Il potere “larvatamente” inquisitorio
conferito ai destinatari degli obblighi antiriciclaggio è un’assoluta novità,
sicuramente invasiva della sfera privata altrui che laddove non sia soggetta a limiti
certi non può che destare preoccupazione soprattutto tenendo conto del costante
ampliamento del novero dei destinatari degli obblighi antiriciclaggio. Il cittadino che
riveste la qualifica di destinatario degli obblighi antiriciclaggio è dotato di poteri di
polizia, ma con quali limiti? In che misura, ad esempio, il professionista può e deve
acquisire dati ed informazioni dal cliente, anche contro la volontà o all’insaputa del
cliente? La determinazione dei limiti ai dati ed alle informazioni acquisibili,
probabilmente, allo stato attuale, costituisce la maggiore criticità del sistema.
L’interrogativo fondamentale è: qual è l’estensione qualitativa e quantitativa dei dati
ed informazioni che i destinatari degli obblighi antiriciclaggio, e nel nostro caso i
professionisti, possono e devono acquisire dai clienti in funzione antiriciclaggio?
L’art. 2 del d.lgs. 231/2007 espressamente prevede che i soggetti obbligati
adempiono agli obblighi previsti a loro carico tenendo conto dei dati e delle
informazioni acquisiti o posseduti nell'esercizio della propria attività istituzionale o
professionale ed il successivo art. 18 ugualmente afferma che i soggetti hanno la
possibilità di acquisire, in funzione del rischio, ulteriori informazioni, ivi comprese
quelle relative alla situazione economico-patrimoniale del cliente, acquisite o
possedute in ragione dell'esercizio dell'attività. E’ evidente che il perimetro del
“larvato” potere inquisitorio ed istruttorio in funzione antiriciclaggio trova il suo
limite invalicabile nella relazione tra dato ed informazione richiesti e prestazione
professionale da eseguire, nella misura in cui gli uni siano funzionali all’altra,
tenendo conto ovviamente che il destinatario sulla base dei dati ed informazioni
acquisiti dovrà valutare la coerenza dell’operazione con il profilo del cliente in
funzione dell’attività di prevenzione alla quale è chiamato a collaborare. In concreto,
l’individuazione di quali siano i dati e le informazioni sufficienti per ritenere che il
destinatario sia stato diligente nell’assolvimento degli obblighi di adeguata verifica è
ancora confinata in una zona grigia ed incerta.
La norma fondamentale che regola i rapporti professionista-cliente nell’acquisizione
dei dati ed informazioni è l’art. 22 del d.lgs. 231/2007, il quale dispone che i clienti
forniscono per iscritto, sotto la propria responsabilità, tutte le informazioni necessarie
e aggiornate per consentire ai soggetti obbligati di adempiere agli obblighi di
adeguata verifica. La violazione dell’obbligo a carico del cliente è sanzionata
penalmente laddove il cliente intenzionalmente fornisca informazioni false. L’obbligo
di dire la verità e la relativa sanzione in caso di sua violazione conferiscono ai dati ed

MARCO KROGH
NOTAIO
5
alle informazioni fornite dal cliente una presunzione di verità che potrà essere
disattesa esclusivamente ove ricorrano dubbi, incongruenze o anomalie. Va osservato
che il legislatore non ha previsto alcuna sanzione in caso di reticenza del cliente, il
cliente è penalmente sanzionabile esclusivamente nel caso in cui fornisca falsi dati ed
informazioni, ma non nel caso in cui, per qualsiasi motivo, si rifiuti di fornire dati ed
informazioni richiesti. Ciò sembra ragionevole all’interno di un giusto bilanciamento
tra la tutela del diritto alla riservatezza riconosciuto a tutti i soggetti e gli obblighi
antiriciclaggio. Ovviamente il comportamento del cliente sarà valutato dal
destinatario degli obblighi antiriciclaggio e qualora sia ritenuto sospetto
giustificherebbe una segnalazione dell’operazione all’UIF.
Peraltro, l’art. 19 del d.lgs. 231/2007 prevede che i dati e le informazioni fornite dal
cliente devono essere valutati criticamente con le informazioni acquisite
autonomamente dai soggetti obbligati, anche avuto riguardo al complesso delle
operazioni compiute in costanza del rapporto o di altri rapporti precedentemente
intrattenuti nonché all'instaurazione di ulteriori rapporti. La valutazione e
comparazione, quindi, dei dati ed informazioni acquisiti, rispetto ad altri dati in
possesso del destinatario degli obblighi antiriciclaggio, potrà avvenire esclusivamente
all’interno di uno o più rapporti continuativi che assegnano una sorta di valenza
storica ai dati posseduti ovvero rispetto ad altri dati ed informazioni acquisiti dal
destinatario degli obblighi nell’esecuzione della prestazione professionale o
dell’operazione per le quali gli è stato conferito l’incarico.
Per i soli casi per i quali è prevista l’adeguata verifica rafforzata il destinatario degli
obblighi antiriciclaggio dovrà acquisire informazioni aggiuntive sul cliente e sul
titolare effettivo, approfondendo gli elementi posti a fondamento delle valutazioni
sullo scopo e sulla natura del rapporto e dovrà applicare misure adeguate per stabilire
l'origine del patrimonio e dei fondi impiegati nel rapporto continuativo o
nell'operazione. Nei casi di rapporti continuativi, prestazioni professionali e
operazioni che coinvolgono paesi terzi ad alto rischio, i soggetti obbligati dovranno:
i) acquisire informazioni aggiuntive in merito allo scopo e alla natura del rapporto
continuativo o della prestazione professionale; ii) acquisire informazioni sull'origine
dei fondi e sulla situazione economico-patrimoniale del cliente e del titolare effettivo;
iii) acquisire informazioni sulle motivazioni delle operazioni previste o eseguite.
L’aver espressamente previsto l’acquisizione di questi dati ed informazioni per
l’adeguata verifica rafforzata esclude l’obbligo di acquisire i medesimi dati ed
informazioni se l’adeguata verifica è ordinaria o semplificata.
Il difficile rapporto tra tutela della riservatezza e normativa antiriciclaggio oggi
presenta ulteriori criticità con l’approvazione del decreto ministeriale 11 marzo 2022,
n. 55 che ha avviato l’entrata in vigore del Registro dei Titolari Effettivi, destinato a
contenere i dati relativi ai titolari effettivi delle imprese con personalità giuridica,
delle persone giuridiche private, dei trust e degli istituti affini ai trust.

MARCO KROGH
NOTAIO
6
Il nuovo Registro dei Titolari Effettivi si compone di due sezioni:
- i) la sezione autonoma (imprese con personalità giuridica e persone giuridiche) il
cui accesso è consentito a tutto il pubblico, senza limitazioni Tutti possono conoscere
il nome dei titolari effettivi;
- ii) la sezione speciale (trust e figure affini) che consente l’accesso alle Autorità, ai
destinatari degli obblighi antiriciclaggio ed a chi dimostri di avere un interesse
apprezzabile.
Gli amministratori dei vari enti ed i fiduciari di trust e figure affini possono indicare
eccezionali circostanze (rischi di rapimento, frodi, etc) che limitano l’accesso al
pubblico per la sezione autonoma ed ai titolari di interessi apprezzabili per la sezione
speciale. Nessuna limitazione all’accesso può essere posta per le Autorità e per i
destinatari degli obblighi antiriciclaggio.
In caso di contestazione relativo all’accesso decide il dirigente della Camera di
commercio.
Questo, in sintesi, il sistema delineato nel decreto che istituisce il Registro dei Titolari
Effettivi. Quello che sorprende è che l’unico che non ha quasi voce in capitolo nel
sistema delineato è il titolare effettivo. Il titolare effettivo (o il presunto titolare
effettivo) appare come un soggetto che deve subire le valutazioni e le comunicazioni
di altri soggetti senza diritto di interlocuzione; non ha strumenti per rimediare ad
eventuali abusi ed errori, se non rivolgersi alla giustizia ordinaria: i) in caso di
erronea indicazione di un titolare effettivo, nessun rimedio è previsto per il soggetto
erroneamente indicato come titolare effettivo; ii) in caso di inerzia da parte degli
amministratori dell’impresa o dell’ente o del fiduciario del trust (e figure affini)
sull’indicazione delle circostanze eccezionali che giustificano una limitazione
all’accesso da parte del pubblico o dei portatori di interessi apprezzabili, nessun
rimedio è dato al titolare effettivo. Lo stesso può dirsi nel caso in cui ci sia una
diversa valutazione sulle circostanze eccezionali ovvero sulla necessità di indicare le
circostanze eccezionali tra amministratori e fiduciari, da una parte e titolari effettivi,
dall’altra. Prevale nel sistema la decisione dell’amministratore e del fiduciario.
Le dichiarazioni dell’amministratore sono rese nella forma delle dichiarazioni
sostitutive di atto di notorietà, si sensi del DPR. 445/2000 e sono soggette a controllo
da parte della Camera di commercio. Questo è il mezzo che dovrebbe assicurare
certezza al sistema che, tuttavia, appare un mezzo estremamente debole. Nel giudizio
che deve decidere tra l’interesse all’accesso da parte del pubblico o dei portatori di
interessi apprezzabili e l’interesse alla riservatezza da parte del titolare effettivo,
l’intervento del titolare effettivo e l’acquisizione delle sue ragioni è subordinato alla
indicazione della sua PEC nella relativa comunicazione di controinteressato da parte
dell’amministratore, e sarebbe stato inaccettabile se anche in questo caso non fosse
stata data la possibilità di far sentire le proprie ragioni al titolare effettivo. Pur
tuttavia, va sottolineato che tale intervento è subordinato all’iniziativa

MARCO KROGH
NOTAIO
7
dell’amministratore di comunicare le circostanze eccezionali ostative all’accesso e
all’indicazione della PEC del titolare effettivo da parte dell’amministratore.
Come riportato nella sentenza in commento “Al trattamento dei dati personali
nell’ambito della presente direttiva si applica il [RGPD]. Di conseguenza, le persone
fisiche i cui dati personali sono conservati in registri nazionali come titolari effettivi
dovrebbero esserne informate. Inoltre, dovrebbero essere resi disponibili solo dati
personali aggiornati e che corrispondono realmente ai titolari effettivi, i quali
dovrebbero essere informati dei loro diritti nell’ambito dell’attuale quadro giuridico
dell’Unione in materia di protezione dei dati (...), nonché delle procedure applicabili
per esercitarli. Inoltre, al fine di evitare l’abuso delle informazioni contenute nei
registri e bilanciare i diritti dei proprietari effettivi, gli Stati membri potrebbero
ritenere opportuno esaminare la possibilità di mettere altresì a disposizione del
titolare effettivo le informazioni sul richiedente unitamente alla base giuridica della
relativa richiesta”. Tutto ciò non sembra essere stato previsto nel decreto che ha
istituito il Registro dei titolari effettivi.
Va ricordato che le circostanze eccezionali ostative all'accesso alle informazioni sulla
titolarità effettiva sussistono qualora le informazioni riguardino persone incapaci o
minori d’età ovvero qualora l'accesso esponga il titolare effettivo a un rischio
sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o
intimidazione, secondo un approccio caso per caso e previa dettagliata valutazione
della natura eccezionale delle circostanze. “Rischio sproporzionato” e “natura
eccezionale delle circostanze” sono definizioni il cui contenuto è incerto e la cui
portata sul piano pratico non sarà facile da chiarire.
Va aggiunto che nella sezione autonoma, con accesso del pubblico senza limitazioni,
saranno iscritte persone giuridiche con scopi religiosi, politici, sindacali etc.; in questi
casi i dati relativi al titolare effettivo sono per definizione dati sensibili, di fatto,
sprovvisti di qualunque tutela ed accessibili liberamente al pubblico, salvo
l’indicazione dei cd. motivi ostativi eccezionali. Mi sembra, in conclusione, che il
sistema penalizzi in modo ingiustificato il titolare effettivo che deve scontare la colpa
di voler mantenere la riservatezza sui propri dati personali. In buona sostanza, si è
tornati alla stigmatizzazione sociale verso chi nella vita economica e finanziaria vuole
mantenere riservati i propri dati personali, anche in assenza di qualunque intento
criminoso. L’equazione secondo cui chi non ha nulla da nascondere nulla ha da
temere, tipica degli Stati di polizia, è un’equazione ripudiata da tutti gli Stati di diritto
ed il principio affermato dalla Corte di Giustizia europea sollecita una correzione del
sistema che ha istituito il Registro dei titolari effettivi che, in difetto, rischierebbe di
creare numerosi ed inutili contenziosi che non gioverebbero al sistema. Peraltro,
come si legge nella sentenza in commento, le deroghe alla protezione dei dati
personali e le limitazioni di quest’ultima devono operare entro i limiti dello stretto
necessario, fermo restando che, qualora sia possibile una scelta fra più misure
appropriate al soddisfacimento dei legittimi obiettivi perseguiti, si deve ricorrere alla

MARCO KROGH
NOTAIO
8
meno restrittiva. Allo stato attuale, sembra che il Registro dei titolari effettivi abbia
disatteso in più punti i principi affermati nella sentenza in commento e presenti
almeno due criticità che in modo evidente lo pongono in contrasto con i principi
espressi dalla Corte di Giustizia europea: i) in primo luogo, il sistema consente, per le
imprese con personalità giuridica e le persone giuridiche private, l’accesso
indiscriminato del pubblico, salvo eccezioni, ai dati del titolare effettivo, dati
personali che in alcuni casi sono ascrivibili alla categoria dei dati sensibili; ii) in
secondo luogo, il sistema non prevede un coinvolgimento del titolare effettivo nel
trattamento dei suoi dati personali.
Marco Krogh