Consiglio di Stato, Sezione Consultiva per gli Atti

Numero 00624/2014 e data 21/02/2014
REPUBBLICA ITALIANA
Consiglio di Stato
Sezione Consultiva per gli Atti Normativi
Adunanza di Sezione del 6 febbraio 2014
NUMERO AFFARE 03199/2013
OGGETTO:
Ministero dell'economia e delle finanze.
Schema di regolamento di attuazione dell'art. 30-octies, comma 1, del decreto legislativo 11 aprile
2011, n. 64, recante “Istituzione di un sistema pubblico dì prevenzione, sul piano amministrativo,
delle frodi nel settore del credito al consumo, con specifico riferimento al furto d'identità”'.
LA SEZIONE
Vista la relazione trasmessa con nota prot. ACL/65/DGT/11061 del 9 settembre 2013, con la quale
il Ministero dell'economia e delle finanze - Ufficio legislativo economia - ha chiesto al Consiglio di
Stato il parere sullo schema di regolamento in oggetto;
Visti il parere interlocutorio espresso nell’Adunanza del 26 settembre 2013 e la nota prot. n. A
CG/65/OGT/1501 del 30 gennaio 2014 con la quale, in adempimento di detta pronuncia, il
Ministero dell’economia e delle finanze ha trasmesso una nuova formulazione dello schema di
provvedimento corredato di una nuova relazione e ulteriore documentazione,
Esaminati gli atti e udito il relatore, consigliere Sabato Malinconico;
Premesso:
L’art. 30-ter del decreto legislativo 13 agosto 2010, n. 141, come introdotto dall'art 1 del decreto
legislativo 11 aprile 2011, n. 64, ha istituito, nell'ambito del Ministero dell'economia e delle finanze,
un sistema centralizzato di riscontro dei dati e di condivisione di informazioni, volto a prevenire, sul
piano amministrativo, le frodi nel settore del credito al consumo e dei pagamenti dilazionati o
differiti, con specifico riferimento al furto d'identità.
Tale sistema è basato su due componenti:
- un archivio informatico, che consente di verificare, tramite l'interrogazione di database pubblici, i
dati forniti da chi richiede una dilazione o un differimento di pagamento, un finanziamento o altra
analoga facilitazione finanziaria, un servizio a pagamento differito o una prestazione di carattere
assicurativo, nonché di memorizzare e condividere informazioni, fornite dagli aderenti, sulle frodi
subite e sui casi che configurano un rischio di frode;
- un gruppo di lavoro, preposto alla definizione delle strategie di prevenzione delle frodi identitarie
e delle linee guida per l'elaborazione statistica dei dati archiviati, composto da rappresentanti del
Ministero dell'economia e delle finanze, del Ministero dell'interno, del Ministero della giustizia, del
Ministero dello sviluppo economico, della Banca d'Italia e della Guardia di Finanza, nonché da
rappresentanti delle associazioni di categoria dei soggetti aderenti, degli operatori commerciali e
delle Forze di polizia.
Lo stesso art. 30-octies dispone, altresì, che con decreto del Ministro dell'economia e delle finanze,
di natura regolamentare, da adottare previa acquisizione del parere del Garante per la protezione dei
dati personali, sono stabiliti i termini, le modalità e le condizioni per la gestione del sistema di
prevenzione.
Nello specifico a tale regolamento è demandata la disciplina dei seguenti aspetti: struttura e livelli
di accesso dell'archivio; modalità del collegamento informatico dell'archivio con le banche dati
degli organismi pubblici; modalità, termini di comunicazione e procedura di riscontro dei dati;
criteri di determinazione e modalità di riscossione del contributo a carico dei soggetti aderenti.
Agli obiettivi suindicati risponde lo schema di regolamento in oggetto sottoposto all’esame di
questo Collegio nel nuovo testo, che si compone di 24 articoli e due allegati.
In particolare l’art. 1 illustra le definizioni riportate nel regolamento, mentre l'art. 2 distingue i
soggetti che partecipano al sistema di prevenzione, definiti “aderenti” dall'art 30-ter, comma 5, del
d.lgs. n. 141 del 2010, in due categorie ”aderenti diretti” e “aderenti indiretti”.
Gli "aderenti diretti", che corrispondono ai soggetti individuati dal comma 5, lettere a), b) e c)
dell'art. 30-ter detto, comprendono le banche, comunitarie e extracomunitarie, i fornitori di servizi
di comunicazione elettronica, i fornitori di servizi interattivi associati o di servizio di accesso
condizionato, i fornitori di servizi assicurativi.
Fanno parte della categoria degli “aderenti indiretti”, invece, i soggetti indicati dal comma 5, lettera
d), dell’'art. 30-ter del d.lgs. n. 141 del 2010 quali gestori di sistemi di informazioni creditizie e
imprese che offrono agli aderenti diretti servizi assimilabili alla prevenzione, sul piano
amministrativo, delle frodi in base ad apposita convenzione con il Ministero dell'economia e delle
finanze.
Nella relazione del 9 settembre 2013 il Ministero riferente evidenziava di essersi uniformato alle
osservazioni del Garante per la protezione dei dati personali e di aver rimarcato che l'accesso al
sistema e il suo utilizzo è consentito entro i limiti riconducibili all'ambito commerciale di
appartenenza di ciascuna categoria degli aderenti diretti.
Il testo è poi corredato, come si è detto, di due allegati concernenti il primo il formulario di adesione
e il secondo la disciplina della modalità relative al collegamento informatico dell'archivio con le
banche dati detenute dagli organismi pubblici.
Con il parere interlocutorio del 23 settembre 2013 richiamato in epigrafe il Collegio, rilevata
l’importanza e la delicatezza della materia regolamentata sotto il profilo della prevenzione del
cosiddetto fenomeno delle frodi identitarie, osservava preliminarmente che il sistema comporta una
interrelazione tra i soggetti aderenti e le banche dati detenute dagli enti e dalle amministrazioni
pubbliche.
Come posto anche in luce dal Garante per la protezione dei dati personali, l’interrelazione tra i
soggetti aderenti e le banche dati degli enti e amministrazioni pubbliche deve svolgersi in modo da
garantire costantemente, anche attraverso idonee procedure operative e di controllo, un equo
bilanciamento tra l'obiettivo di prevenire i comportamenti fraudolenti e il rischio che la diffusione
di dati personali possa risultare lesiva per i soggetti ai quali le informazioni si riferiscono.
Di qui formulava una prima osservazione di natura sostanziale sul regolamento proposto,
evidenziando la necessità di una norma di apertura che definisca i confini di operatività del
provvedimento, ne precisi le finalità e sottolinei la funzione strumentale del trattamento dei dati
personali rispetto alle stesse.
Quanto ai soggetti che partecipano al sistema, rilevava che l'adesione è obbligatoria per gli operatori
che rientrano nella categoria degli "aderenti diretti", i quali sono tenuti a specifici adempimenti;
rilevava, altresì, l’assenza nello schema di regolamento di disposizioni sull’eventuale contributo
d'ingresso da richiedere, come sembrerebbe equo, agli operatori che dovessero in prosieguo aderire
al sistema (fatto salvo il pagamento di € 0,30 per ciascuna richiesta di verifica di dati previsto per
tutti gli aderenti), e sull'obbligo degli operatori di concorrere in futuro alle eventuali spese di
adeguamento tecnologico del sistema.
Atteso che ai sensi dell'allegato 1, gli aderenti diretti sono tenuti a indicare in apposito spazio della
scheda di adesione gli aderenti indiretti dei quali intendono avvalersi e, a loro volta, gli aderenti
indiretti per poter operare devono sottoscrivere un'apposita convenzione con il Ministero
dell'economia e delle finanze, nella quale sono precisate le modalità di partecipazione al sistema e
di trattamento dei dati personali, la Sezione suggeriva che già nel testo del regolamento, e non
soltanto quindi nell'atto di adesione, fossero precisati taluni comportamenti inderogabili - come ad
esempio in materia di garanzie della privacy - che gli aderenti indiretti sono tenuti ad osservare; ciò
anche per la considerazione, che, ai sensi dell'art. 30-ter, comma 5, lettera d), rientrano nella
categoria che lo schema di regolamento classifica come "aderenti indiretti" sia i ”gestori di sistemi
informazioni creditizie" (SIC), sia le imprese che offrono ai soggetti aderenti “servizi assimilabili
alla prevenzione, sul piano amministrativo, delle frodi”'.
Riteneva inoltre necessario introdurre nel testo una disposizione di coordinamento, diretta a chiarire
se, in attesa del perfezionamento della convenzione tra MEF e aderenti indiretti, gli aderenti diretti
possano avvalersi delle prestazioni delle imprese indicate nel formulario di adesione al sistema.
La Sezione manifestava, altresì, talune perplessità sul comma 4 dell'art. 2, del testo originariamente
proposto,nella parte in cui si afferma che dette prestazioni hanno lo scopo di fornire agli aderenti
diretti ”servizi inerenti all'analisi della qualità e del grado di affidabilità dei dati detenuti nelle
banche dati degli organismi pubblici di cui all’art. 8” e ciò nella considerazione che l'interrelazione
ha luogo con le banche dati detenute dai Ministeri dell'interno, dell'economia e finanze, dei trasporti
e delle infrastrutture, dall'Agenzia delle entrate, dall’INPS e dall'INAIL, osservando che i riscontri
non possono che riferirsi all'accertamento della corrispondenza dei dati indicati dal soggetto che
richiede la prestazione con quelli contenuti nelle banche dati delle amministrazioni e degli enti
pubblici suddetti.
Conseguentemente suggeriva di apportare gli opportuni aggiustamenti alla specifica disposizione e,
nel contempo, di sostituire l’espressione "organismi pubblici" con ”enti e amministrazioni
pubbliche”, più appropriata sotto il profilo ordinamentale per identificare i soggetti pubblici
considerati.
In ordine alla struttura dell'archivio informatico, articolato su sei livelli rilevava che sulla base del
testo proposto appare ragionevole limitare per gli aderenti indiretti l’accesso al terzo livello, che
contiene l'interfaccia informatica per riscontrare le richieste di verifica dei dati personali, indicati
nel successivo art. 7 dello stesso testo e al fine di dirimere ogni possibile dubbio, suggeriva
all'Amministrazione di aggiungere una specifica disposizione volta ad escludere esplicitamente che
gli aderenti indiretti possano accedere ai tre livelli superiori (quarto, quinto e sesto), che attengono
rispettivamente al trattamento delle informazioni relative alle frodi subite, al rischio di frodi e alle
segnalazioni di allerta originate dal titolare dell'archivio.
In ordine al meccanismo di modificazione dei contenuti degli allegati tecnici, la Sezione ha
evidenziato che il procedimento indicato introduce una deregolamentazione non consentita dalla
norma primaria di riferimento, sicché occorre che l'Amministrazione operi una selezione delle
disposizioni contenute nell'allegato, mantenendo nello stesso quelle che disegnano l'organigramma
del sistema e trasferendo nel manuale operativo, previsto dal regolamento stesso, i profili
strettamente tecnici prevedibilmente destinati a variare nel tempo, in ragione del rapido progresso
delle tecnologie informatiche.
Per una maggiore chiarezza del testo suggeriva altresì di precisare (all'art. 7, comma 2, lettera h del
testo originariamente proposto), che il reddito delle persone fisiche è riscontrabile limitatamente
alle fascia di reddito entro la quale il soggetto interessato si colloca.
Relativamente alle informazioni attinenti alle frodi subite e al rischio di frodi, essendo le stesse
connesse a comportamenti che potrebbero essere oggetto di valutazione da parte dell'Autorità
giudiziaria, invitava l'Amministrazione a valutare se acquisire sullo schema di regolamento anche il
preventivo avviso dei Ministeri dell'interno e della giustizia, ritenendo l’acquisizione dei suddetti
pareri opportuna anche alla luce della previsione, espressa nell'art. 19, in virtù della quale il titolare
dell'archivio può avvalersi della collaborazione del Nucleo speciale di polizia valutaria della
Guardia di finanza per specifiche finalità di indagini di polizia, aspetto ribadito nella relazione
illustrativa del provvedimento.
L'Adunanza rilevava, infine, che l'art. 30-ter , comma 8 del d.lgs. n. 64 del 2011 nell'ambito del
sistema di prevenzione ha istituito, presso l'ente gestore, un servizio gratuito, telefonico e
telematico, che consente di ricevere segnalazioni da parte di soggetti che hanno subito o temono di
aver subito frodi configuranti ipotesi di furto d'identità. Per rendere operativo tale servizio
suggeriva pertanto di regolamentare le attività di ricezione delle segnalazioni, le procedure di
trattamento dei dati e le modalità di inserimento degli stessi nell'archivio centrale informatizzato.
Sul piano formale, infine, suggeriva di anteporre, nell’ambito del preambolo, il riferimento al parere
del Garante per la protezione dei dati personali, inserendolo prima della citazione del parere del
Consiglio di Stato.
Considerato:
Con la nota del 30 gennaio 2014 citata in epigrafe il Ministero dell’economia e delle finanze ha
sottoposto, come si è detto, un testo riformulato nel quale sono stati sostanzialmente recepiti le
osservazioni e i suggerimenti formulati dall’Adunanza del 26 settembre 2013, mentre sulla
prospettata utilità di acquisire i preventivi pareri del Ministero dell’interno e del Ministero della
giustizia, l’Amministrazione, richiamando le previsioni delle disposizioni transitorie concernenti il
differimento dell’entrata in vigore delle disposizioni relative alle informazioni e agli aderenti (art.
23 del nuovo testo) ha manifestato l’intendimento di acquisire i predetti pareri a conclusione del
periodo di monitoraggio da parte del gruppo di lavoro.
Residuano tuttavia sul nuovo testo taluni profili sui quali il Collegio ritiene di formulare
osservazioni di carattere sostanziale e formale di seguito illustrate concernenti il preambolo,
l’articolato e gli allegati trasmessi per il parere:
A. In ordine al titolo del provvedimento e al preambolo si rileva, quanto al primo punto, che risulta
superfluo riprodurre l’oggetto del decreto legislativo n. 64 del 2011 cui lo schema di regolamento
intende dare attuazione.
Quanto al preambolo si osserva che nella elencazione in successione della normativa di riferimento
occorre richiamare le diverse disposizioni legislative secondo l’ordine cronologico. Inoltre al terzo
capoverso dello stesso preambolo si suggerisce di sopprimere il riferimento all’oggetto del decreto
legislativo n. 141 del 2010 in quanto ripetitivo dello stesso oggetto già riportato nel primo
capoverso (dove peraltro al terzo rigo, il riferimento è al titolo VI e non al titolo IV del testo unico
bancario).
B. In ordine all’articolato il Collegio rileva la necessità di apportare le seguenti modificazioni e
integrazioni:
1. All’art. 1 la lettera b) va riformulata sostituendo l’espressione in essa contenuta con la seguente:
”documenti di identità”: i documenti di identità e di riconoscimento comunque denominati o
equipollenti ex art. 30-quinquies, comma 1, lett. a) del d. lgs.vo 13 agosto 2010, n. 141”, risultando
del tutto limitato e parziale il riferimento ai documenti ivi menzionati. Conseguentemente la
correzione ora suggerita va introdotta in tutti gli articoli del testo nel quale si fa riferimento ai
documenti di identità. Allo stesso articolo 1 occorre aggiungere infine una lettera n) recante la
definizione degli aderenti distintamente articolata per aderenti diretti e indiretti;
2. All’art. 4, comma 2, con riferimento all’obbligo di comunicazione delle variazioni della lista
degli aderenti diretti ivi contenuto occorre introdurre un termine breve (30-60 giorni) onde non
vanificare lo scopo di detta previsione.
3. All’art. 5, comma 7, per una più puntuale comprensione della previsione della procedura di
iscrizione a ruolo, ivi contenuta, appare necessario aggiungere in fine il riferimento alla
disposizione di legge primaria che la consente sopprimendo il punto e aggiungendo le parole “ai
sensi dell’art. 17 commi 3-bis e 3-ter del decreto legislativo 24 febbraio 1999, n. 46”.
4. Il Collegio ritiene di sottoporre alla autonoma valutazione dell’Amministrazione l’opportunità di
fissare all’articolo 23, commi 1 e 2 del testo (recante disposizioni transitorie e finali), termini più
brevi rispetto a quelli in atto previsti e ciò al fine di accelerare, per quanto ritenuto possibile e
opportuno, la compiuta applicazione del sistema di prevenzione di che trattasi. Suggerisce, infine,
l’utilità di integrare il testo con una ulteriore disposizione finale che dia atto della necessità che
dall’attuazione del presente regolamento non derivino ulteriori oneri per il bilancio dello Stato,
eliminando peraltro l’art. 24 (Entrata in vigore) data la sua mera ripetitività della disposizione di
legge.
Si osserva – infine - che in attuazione del d.P.C.M. 14 novembre 2012, n. 252 (regolamento recante
criteri e le modalità per la pubblicazione degli atti e degli allegati elenchi degli oneri introdotti ed
eliminati, ai sensi dell’art. 7, c. 2 della l. 11 novembre 2011, n. 180) si rende necessario che lo
schema di regolamento in esame venga pubblicato sulla Gazzetta Ufficiale corredato di un ulteriore
allegato contenente l’elenco analitico, ora di natura obbligatoria, dei nuovi oneri informativi posti a
carico dell’Amministrazione (in relazione alle previsioni di cui agli artt. 4 e 6) nella materia oggetto
del presente regolamento. Conseguentemente all’art. 1 del testo, dopo il comma 1 concernente le
definizioni occorre aggiungere un comma 2 del seguente tenore: “2. Al presente regolamento è
allegato l’elenco di cui al d.P.C.M. 14 novembre 2012, n. 252, che ne forma parte integrante”.
Inoltre in ogni allegato annesso all’articolato si rende necessario aggiungere sotto la dicitura
“Allegato” (quale che sia il numero) le disposizioni regolamentari che lo prevedono (e, in
particolare, per l’Allegato 1 del testo sottoposto dall’Amministrazione l’art. 4, comma 1 e per
l’Allegato 2, l’articolo 7, comma 3). Nell’allegato 1 al secondo capoverso dopo la lettera B) occorre
sostituire il riferimento non esatto all’articolo 2, comma 1, con quello all’articolo 4, comma 1 del
regolamento e, allo stesso modo, al paragrafo della stesso allegato 1 concernente le modalità di
accesso all’archivio da parte degli aderenti diretti, al secondo capoverso occorre sostituire al
riferimento inesatto all’articolo 2, comma 4, quello all’articolo 4, commi 3 e 4.
Infine al paragrafo dell’allegato 1 relativo alle “Istruzioni per la compilazione del formulario”
occorre sostituire:
a) al primo e al secondo rigo del primo capoverso il riferimento all’art. 2, comma 1 con quello
all’art. 4, commi 1 e 2; e al quarto rigo il riferimento inesatto agli articoli 7 e 9 con quello agli
articoli 9 e 11 dello stesso regolamento;
b) al terzo rigo del secondo capoverso il riferimento inesatto all’articolo 2, comma 1 del
regolamento con quello all’articolo 4, commi 1 e 2.
P.Q.M.
La Sezione esprime parere favorevole in ordine allo schema di regolamento in esame con le
osservazioni, modificazioni ed integrazioni indicate nei termini di cui in motivazione.
L'ESTENSORE
Sabato Malinconico
IL PRESIDENTE
Giuseppe Faberi
IL SEGRETARIO
Massimo Meli