Il caso Bunq v. DNB: l’impiego delle nuove tecnologie nella lotta ai crimini finanziari

di  Anna Pampanin, Dottoranda di ricerca in Diritto Penale

 

 

1. Introduzione

 

Il 18 ottobre 2022 il Tribunale d’Appello olandese specializzato in materia industriale e societaria (CBb) si è pronunciato sul caso Bunq vs. DNB. 

 

A seguito dell’impugnazione proposta da Bunq, banca digitale con sede ad Amsterdam e operativa in più di 30 Paesi, la Corte ha parzialmente riformato la decisione assunta dal Tribunale distrettuale di Rotterdam in data 5 febbraio 2021. Nello specifico, pur condannando la ricorrente, i Giudici hanno statuito che per adempiere agli obblighi in materia di anti-riciclaggio (AML), nel caso di specie relativi, in particolare, alla c.d. Customer Due Diligence, sia opportuno e legittimo l’impiego delle più avanzate forme di tecnologie, rimpiazzando così sistemi di rilevazione e monitoraggio statici.

 

La decisione è stata accolta con estremo favore, sia dalla dottrina giuridica locale, sia dagli operatori degli istituti finanziari. La stessa Bunq, mediante un comunicato pubblicato sul proprio sito ufficiale, ha definito la decisione del Tribunale come ‘‘una storica vittoria giudiziaria’’.

Tale sentenza assume fondamentale rilevanza nell’ambito dell’attuale dibattito sull’effettiva importanza dell’uso della tecnologia all’interno delle istituzioni finanziarie, evidenziando una pregnante necessità di superamento delle attuali procedure di verifica.

 

 

2. La vicenda processuale

 

La vicenda processuale si sviluppa nel contesto giuridico delle cc.dd. Direttive antiriciclaggio introdotte dall’Unione europea, la prima nel 1991 e la più recente nel 2018, con l’obiettivo di uniformare i livelli di tutela degli Stati membri nella lotta contro i nuovi potenziali sviluppi della criminalità economica.

Per contrastare in particolare il riciclaggio di denaro e il finanziamento di organizzazioni terroristiche, tali direttive hanno previsto l’attuazione di alcune misure di carattere preventivo. Al fine di garantire la raccolta di informazioni sulla clientela prima di avviare il rapporto contrattuale, con la Direttiva 2005/60/CE è stato previsto il dovere di Customer Due Diligence, il cui scopo principale è quello di controllare e limitare l’accesso della criminalità al sistema finanziario.

 

Nell’ambito del descritto contesto normativo, nel corso del 2018 la Banca centrale olandese (De Nederlandsche Bank, d’ora in avanti DNB), in qualità di regolatore del settore bancario nazionale e supervisore dell’osservanza degli obblighi in materia di AML, ha condotto un’indagine finalizzata all’accertamento di violazioni sostanziali di tali obblighi. Attraverso questa verifica l’Autorità nazionale ha rilevato delle carenze nel sistema di antiriciclaggio istituito da Bunq.

 

I risultati dell’indagine, confluiti nella relazione del 6 febbraio 2019, hanno messo in luce l’inosservanza:

  • dell’obbligo di investigare la fonte dei proventi economici del cliente;
  • dell’obbligo di identificare il titolare effettivo del rapporto contrattuale (beneficial owner);
  • del dovere di Customer Due Diligence‘rafforzata’’ per utenti politicamente esposti.

 

Nello specifico, rispetto all’ultimo punto, ciò che la DNB lamentava con maggior insistenza era l’inadeguatezza del ricorso ad un’applicazione automatizzata per profilare i nuovi clienti, sostenendo che la tradizionale profilazione tramite questionari avrebbe assicurato indagini più approfondite nei confronti degli utenti.

 

In particolare, la banca utilizzava un metodo di analisi dei dati innovativo e fondato sull’utilizzo dell’Intelligenza Artificiale. La soluzione adottata, basata sul machine learning, e quindi capace di apprendere e migliorare le proprie performance in base ai dati utilizzati, avrebbe consentito di rafforzare l’esistente sistema di monitoraggio e segnalazione di operazioni sospette, nonché di implementare la Customer Due Diligence (CDD) e la valutazione del rischio.

 

La Banca centrale olandese, invece, insisteva nell’impiego di un sistema di prevenzione di riciclaggio basato su report unilaterali da parte dei titolari degli account, tipici di un modello di rilevazione statico. Sottolineando la violazione di regole prudenziali sul contrasto al riciclaggio e di finanziamento al terrorismo, DNB aveva richiesto alla banca di intervenire per porre rimedio alle inadempienze.

 

Senza dar seguito ai solleciti dell’Autorità, e proprio sulla base di tali rilievi, Bunq ha presentato ricorso al Tribunale d’Appello, ribadendo l’arretratezza dei metodi richiesti da DNB e la necessità di superare le attuali procedure di verifica. Secondo la banca, l’Intelligenza Artificiale garantisce ormai delle tecniche più rapide ed efficaci per conseguire lo screening degli utilizzatori, senza dover ricorrere ai modelli statici tradizionali, comportanti lungaggini e imprecisioni.

 

 

3. La decisione del Tribunale: i richiami al Report FAFT 2021

 

Il Tribunale d’Appello ha dichiarato fondato il ricorso presentato da Bunq, annullando la decisione pronunciata dal Tribunale distrettuale di Rotterdam.

Secondo la ricostruzione della Corte, DNB non sarebbe riuscita a dimostrare che il metodo impiegato da Bunq non fosse in grado di profilare in modo completo gli utenti. Al contrario, l’uso dell’applicazione è stato definito virtuoso, in particolar modo per il monitoraggio delle transazioni.

 

Come già anticipato, tuttavia, il Tribunale non ha accolto in toto il ricorso della banca digitale, la quale è stata riconosciuta manchevole nell’adempiere all’obbligo di risalire alle fonti economiche delle transazioni e nell’investigare con maggior rigore le operazioni condotte da soggetti politicamente esposti. Con tale ultima espressione ci si riferisce, secondo la attuale definizione fornita dall’Unione europea, a soggetti che ricoprono cariche di rilievo nel settore pubblico, ai loro familiari e alle persone che intrattengono stretti rapporti d’affari con gli stessi, e per i quali il rischio di essere coinvolti in attività illecite risulta particolarmente elevato.

 

Nonostante la condanna del ricorrente, la Corte ha ritenuto ammissibile – ed è quanto interessa in questa sede – che il controllo dei clienti, sia in caso di prima verifica (Know – Your – Customer), sia nella successiva fase di monitoraggio, possa essere effettuato attraverso l’utilizzo di sistemi di Intelligenza Artificiale.

 

La sentenza, di carattere certamente innovativo, si pone per la prima volta in linea di continuità con alcune tra le norme di soft law più rilevanti nel settore, in particolare con le raccomandazioni del Financial Action Task Force (FATF), organizzazione intergovernativa che si occupa di promuovere e sviluppare delle policies per la protezione del sistema economico del riciclaggio e del finanziamento al terrorismo. In particolare, secondo il Report del 2021, denominato  Opportunities and challenges of new technologies for AML/CTF, sarebbe necessario ed opportuno implementare i sistemi di AML con le nuove tecnologie al fine di garantire una visione complessiva e, soprattutto, di identificare correttamente il livello di rischio, rendendo più efficace il monitoraggio sugli utenti degli istituti bancari e finanziari.

La decisione, coerentemente con quanto sancito dal Report del FAFT, sembra legittimare (e rendere pacifico) l’utilizzo di tecniche di analisi basate su rilevazioni tecnologiche ed automatiche come importante alternativa nella lotta ai crimini finanziari.

 

Di fatto, il Tribunale d’Appello olandese ha recepito un fenomeno ormai affermato nella realtà empirica, in continua evoluzione, che evidenzia la pressante esigenza di adottare strumenti sempre più allineati alla prassi.

 

Da ormai diverso tempo la compliance antiriciclaggio si fonda sulla valutazione di un’ampissima mole di informazioni, ancora oggi dominata da incarichi di tipo manuale, che si dimostrano da un lato poco efficaci per contrastare le attività di antiriciclaggio, e dall’altro inefficienti in rapporto con gli investimenti del settore. Il numero di transazioni odierne è infatti eccezionalmente voluminoso, e gli operatori non sempre riescono a fronteggiare una simile situazione.

 

 

4. AI e compliance anti – riciclaggio: problematiche sottese

 

Nonostante l’impatto della sentenza in parola debba ritenersi decisivamente rilevante per il futuro della compliance anche al di fuori del contesto giuridico olandese, è necessario approcciarvisi con cautela.

 

Non solo perché le valutazioni effettuate sono, allo stato, ancora premature, ma soprattutto perché l’affidamento allo sviluppo tecnologico porterà con sé, oltre agli innumerevoli vantaggi, anche dei profili problematici.

 

Se da un lato il ricorso all’Intelligenza Artificiale nello specifico ambito dell’ anti – riciclaggio permetterà una più rapida soluzione delle notorie problematiche di efficacia che affliggono gli attuali sistemi di rilevamento (ad esempio rispetto alla gestione dei c.d. falsi positivi), nonché una riduzione dei margini di ‘‘errore umano’’, dall’altro la ‘‘deumanizzazione’’ di tali processi potrebbe sollevare alcune criticità di carattere etico relative agli ambiti della trasparenza o della privacy.

 

Ad esempio la componente di opacità, che notoriamente caratterizza i più moderni sistemi AI e di cui ampia dottrina si è già occupata, rimane al centro di numerosi dibattiti, alimentando i dubbi dei più diffidenti. Sul punto, sempre in territorio olandese, nel 2020 l’algoritmo SyRI (System Risk Indication), utilizzato dal governo per prevenire e contrastare l’abuso di frodi alla previdenza sociale, venne ritenuto dalla Corte EDU in contrasto con l’art. 8 della Convenzione Europea sui Diritti Umani. I suoi risultati vennero peraltro ritenuti ‘‘inefficaci’’ e ‘‘discriminatori’’.

 

In conclusione, il machine learning offre grandi risorse e prospettive per le strategie AML, soprattutto con riguardo alle sue potenziali applicazioni nell’attività di identificazione e verifica dei clienti, il monitoraggio dei rapporti contrattuali e analisi comportamentali, l’identificazione e l’implementazione di sistemi di notifica. Poiché allo stato attuale la forza dell’IA sta nella sua capacità di apprendimento attraverso i dati, è in questa accezione che se ne fa sempre più uso.

 

Si sottolinea tuttavia la necessità, a causa dei rischi sopra descritti, che in caso di uso di algoritmi predittivi nella gestione della compliance, anche e soprattutto nello specifico ambito in questa sede analizzato, questi siano affiancati da una politica che mantenga un controllo sul software, presidiandone nel continuo i rischi.