[doc. web n. 9856315]

Parere su due schemi di specifiche tecniche dell'OAM in materia di operatori di valuta virtuale - 21 dicembre 2022

Registro dei provvedimenti
n. 449 del 21 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

Con nota inviata in data 13 aprile 2022, l’Organismo agenti e mediatori (di seguito, OAM) ha trasmesso al Garante, ai fini dell’acquisizione del prescritto parere, le “specifiche tecniche relative alla procedura di registrazione degli operatori in valute virtuali alla sezione speciale del Registro dei Cambiavalute”, ai sensi dell’art. 3, comma 4, in combinato con l’art. 7, comma 2, del decreto del Ministro dell’economia e delle finanze 13 gennaio 2022, recante “Modalità e tempistica con cui i prestatori di servizi relativi all'utilizzo di valuta virtuale e i prestatori di servizi di portafoglio digitale sono tenuti a comunicare la propria operatività sul territorio nazionale nonché forme di cooperazione tra il Ministero dell'economia e  delle  finanze  e  le  forze  di  polizia” (di seguito, d.m.).

Con successiva nota del 23 giugno 2022, l’OAM ha inviato al Garante una ulteriore richiesta di parere, con riferimento alle “specifiche tecniche relative alla procedura di trasmissione all’OAM per via telematica dei dati relativi alle operazioni effettuate sul territorio della Repubblica italiana dagli operatori in valute virtuali iscritti alla sezione speciale del Registro dei Cambiavalute”, ai sensi dell’art. 5, comma 2, in combinato sempre con l’art. 7, comma 2, del medesimo d.m.

1. Il quadro normativo

Il d.lgs. 13 agosto 2010, n. 141, all’art. 17-bis, disciplina l'esercizio nei confronti del pubblico dell'attività di cambiavalute che, per effetto delle modifiche apportate dal d.lgs. 25 maggio 2017, n. 90 e dal d.lgs. 4 ottobre 2019, n. 125, è stato esteso anche ai prestatori di servizi relativi all’utilizzo di valuta virtuale e ai prestatori di servizi di portafoglio digitale (di seguito, VASP), comportando l’obbligo, per costoro, di iscriversi in una sezione speciale del registro dei cambiavalute (cfr. il comma 8-bis dell’art. 17-bis, come modificato). Inoltre, con i medesimi interventi legislativi, è stato stabilito che “ai fini dell'efficiente popolamento della sezione speciale di cui al comma 8-bis, con decreto del Ministro dell'economia e delle finanze sono stabilite le modalità e la tempistica con cui i prestatori di servizi relativi all'utilizzo di valuta virtuale e i prestatori di servizi di portafoglio digitale sono tenuti a comunicare al Ministero dell'economia e delle finanze la propria operatività sul territorio nazionale. La comunicazione costituisce condizione essenziale per l'esercizio legale dell'attività da parte dei suddetti prestatori. Con il decreto di cui al presente comma sono stabilite forme di cooperazione tra il Ministero dell'economia e delle finanze e le forze di polizia, idonee ad interdire l'erogazione dei servizi relativi all'utilizzo di valuta virtuale da parte dei prestatori che non ottemperino all'obbligo di comunicazione” (cfr. il comma 8-ter dell’art. 17-bis).

In attuazione di quanto previsto dalle citate disposizioni legislative, è stato adottato il predetto d.m., su cui il Garante ha espresso il proprio parere con provv. n. 380 del 28 ottobre 2021 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9721489).

In particolare:

- l’art. 3, comma 4, prevede che la comunicazione dei VASP, finalizzata all'iscrizione nella sezione speciale del registro, sia “effettuata telematicamente all'OAM utilizzando il servizio presente nell'area privata dedicata del portale dell'OAM. L'accesso all'area dedicata è consentito previa registrazione al medesimo portale secondo le modalità tecniche stabilite dall'OAM con propri atti attuativi, sentito il Garante per la protezione dei dati personali”, stabilendo poi le tipologie di dati oggetto di comunicazione, sia con riferimento alle persone fisiche che con riferimento ai soggetti diversi dalle persone fisiche;

- l’art. 5, comma 2, prevede che la trasmissione delle informazioni relative alle operazioni effettuate, come indicate nel comma 1 del medesimo art. 5 nonché nell’allegato 1, avvenga “secondo le modalità tecniche stabilite dall'OAM con propri atti attuativi, sentito il Garante per la protezione dei dati personali”;

- l’art. 7, comma 2, infine, stabilisce che l’OAM adotti “prima del trattamento dei dati, sentito il Garante per la protezione dei dati personali, gli atti attuativi di cui all'art. 3, comma 4 e all'art. 5, comma 2, idonei a definire misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, a protezione dei dati personali contenuti nel registro, ivi compresi i tempi massimi di conservazione dei dati personali trattati, ai sensi dell'art. 32 del regolamento UE n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 e della vigente normativa nazionale in materia di protezione dei dati personali”.

2. Gli schemi di specifiche tecniche in esame

2.1. Le specifiche tecniche relative alla procedura di registrazione degli operatori in valute virtuali alla sezione speciale del registro dei cambiavalute

Lo schema di specifiche tecniche previsto dall’art. 3, comma 4, in combinato con l’art. 7, comma 2, del d.m., avente ad oggetto il “Registro dei prestatori di servizi relativi all’utilizzo di valuta virtuale e dei prestatori di servizi di portafoglio digitale – Sezione speciale registro dei cambiavalute – Modalità di registrazione e iscrizione”, si occupa di descrivere “le misure tecniche e organizzative della procedura informatica per l’iscrizione dei prestatori di servizi relativi all’utilizzo di valuta virtuale e dei prestatori di servizi di portafoglio digitale (di cui all’art. 1, comma 2, lettere ff) e ff-bis), del D. Lgs. n. 231/2007) nella sezione speciale del Registro dei Cambiavalute ex art. 17-bis, comma 8-bis, del D. Lgs 141/2010”, che “rappresenta una sottosezione del già presente e informatizzato Registro dei Cambiavalute, di cui all’art.17-bis, comma 1, del D. Lgs 141/2010”.

Nel prevedere che “la comunicazione di cui all’art. 17-bis, comma 8-ter, e art. 3 del Decreto MEF è effettuata telematicamente utilizzando il servizio presente nell’area privata dedicata del portale dell’OAM […] previa registrazione al medesimo portale”, lo schema indica le tipologie di dati richiesti in sede di registrazione – distinguendoli tra quelli concernenti persone fisiche e quelli concernenti soggetti diversi dalle persone fisiche – nonché quelle oggetto di annotazione nella sezione speciale del registro (par. 1).

Successivamente, lo schema dà conto della “valutazione preliminare del rischio associato al trattamento relativo all’implementazione della sezione speciale del Registro, sviluppata per consentire ai prestatori di servizi relativi all’utilizzo di valuta virtuale e ai prestatori di servizi di portafoglio digitale di effettuare la comunicazione”, effettuata dall’OAM quale titolare del trattamento – di cui illustra “il processo eseguito e le principali risultanze emerse” – precisando altresì che “la procedura di registrazione in oggetto corrisponde alla procedura già implementata da OAM per il registro degli operatori compro oro” (su cui il Garante si è pronunciato con provv. n. 447 del 26 luglio 2018, doc. web n. 9025512) (par. 2).

A seguire, lo schema illustra la procedura informatica relativa alla registrazione degli utenti tramite il servizio disponibile sul portale web dell’OAM e all’accesso ai servizi dell’area privata (par. 3), e ne descrive gli aspetti procedurali e tecnici, comprendendo anche le casistiche relative a soggetti sprovvisti di codice fiscale o dotati di codice fiscale temporaneo (par. 4).

Infine, lo schema elenca i “principali presidi di sicurezza tecnico/organizzativi” e, “riguardo la continuità dei servizi erogati e la gestione degli incidenti di sicurezza, [garantisce], sia da parte dell’OAM che dai principali fornitori di servizi IT, l’implementazione di un piano di disaster recovery”, mentre, “circa la gestione degli incidenti di sicurezza e data breach [definisce] le modalità con cui gestire e mantenere traccia del mancato funzionamento dei sistemi, monitorare/rendicontare/produrre statistiche di guasti e malfunzionamenti hardware e software, facilitare la ricerca delle cause scatenanti, garantire una corretta comunicazione con tutte le controparti e consentire, per quanto possibile, la predisposizione di contromisure atte a prevenire i potenziali attacchi e/o mitigare le conseguenze di violazioni realmente accadute, sia sul patrimonio informativo aziendale che sugli Interessati i cui dati personali sono oggetto di trattamento” (par. 5).

2.2. Le specifiche tecniche relative alla procedura di trasmissione all’OAM dei dati relativi alle operazioni effettuate dagli operatori in valute virtuali iscritti alla sezione speciale del registro dei cambiavalute.

Lo schema di specifiche tecniche previsto dall’art. 5, comma 2, in combinato con l’art. 7, comma 2, del d.m., avente ad oggetto il “Registro dei prestatori di servizi relativi all’utilizzo di valuta virtuale e dei prestatori di servizi di portafoglio digitale – Sezione speciale registro dei cambiavalute – Procedura di trasmissione all’OAM per via telematica dei dati relativi alle operazioni effettuate sul territorio della Repubblica italiana dagli operatori in valute virtuali”, si occupa, a sua volta, di descrivere “le misure tecniche e organizzative della procedura di trasmissione all’OAM per via telematica dei dati relativi alle operazioni effettuate sul territorio della Repubblica italiana dei prestatori di servizi relativi all’utilizzo di valuta virtuale e dei prestatori di servizi di portafoglio digitale iscritti alla sezione speciale del Registro dei Cambiavalute ex art. 17-bis, comma 8-bis, del D. Lgs. 141/2010” (par. 1).

In primo luogo, lo schema indica le tipologie di dati relativi alle operazioni che devono essere trasmessi all’OAM da parte dei VASP, distinguendoli tra “i dati identificativi del cliente” (tra cui una serie di “ulteriori dati facilitatori”) e “i dati sintetici e aggregati relativi all’operatività complessiva di ciascun prestatore di servizi relativi all’utilizzo di valute virtuali e prestatore di servizi di portafoglio digitale per singolo cliente, ricavati tenendo in considerazione tutti i servizi prestati da ciascun prestatore di servizi relativi all’utilizzo di valuta virtuale o di servizi di portafoglio digitale, come da comunicazione all’OAM alla registrazione”.

Per quanto concerne la facoltà di richiedere tali dati da parte dei soggetti autorizzati di cui all’art. 6 del d.m. (cioè, Nucleo speciale di polizia valutaria della Guardia di finanza e forze di polizia di cui all’art. 16, comma 1, della l. 1° aprile 1981, n. 121), nonché da parte dei soggetti autorizzati di cui all’art. 4, comma 4, del medesimo d.m. (cioè, Ministero dell'economia e delle finanze, autorità di vigilanza di settore, Unità di informazione finanziaria per l'Italia, Direzione investigativa antimafia e Direzione nazionale antimafia e antiterrorismo), lo schema dispone “l’accesso diretto ai dati trasmessi dagli operatori” mediante “l’implementazione di un apposito servizio, in linea con quanto già presente nel sistema informativo dell’OAM per la GdF e relativo al registro dei Compro Oro”: in tal caso, le autorità “potranno accedere ai dati attraverso un cruscotto di consultazione, ricerca ed estrazione”, altrimenti, in caso di assenza di “un protocollo informatico di integrazione e comunicazione, si prevede di consentire l’accesso ai dati attraverso un’apposita postazione di lavoro, con accesso ristretto riservato al personale OAM nominato ed incaricato, sulla base di una richiesta specifica delle autorità interessate”; “qualora fosse necessario trasmettere via PEC, i dati richiesti dalle autorità, il personale OAM nominato, accederà alla postazione, consultando ed acquisendo, le informazioni. I dati saranno cifrati con la chiave pubblica fornita dall’autorità, compressi ed allegati alla PEC” (par. 2).

Successivamente, lo schema dà conto della valutazione d’impatto sulla protezione dei dati personali, di cui all’art. 35 del Regolamento, effettuata dall’OAM quale titolare del trattamento – di cui illustra “il processo eseguito e le principali risultanze emerse” – pur ritenendo che “non [rientrassero] i suddetti trattamenti tra quelli per i quali questa attività si rende obbligatoria” (par. 3).

A seguire, lo schema illustra la procedura informatica, con particolare riferimento agli aspetti relativi alla nomina, da parte dei VASP, di uno o più soggetti fisici responsabili per le trasmissioni (c.d. referenti), nonché, con riferimento a questi ultimi, alla registrazione delle credenziali, all’accesso al Portale trasmissioni OAM, all’individuazione di un profilo unico di abilitazione e alle funzionalità disponibili ai fini della ricezione, archiviazione e conservazione dei dati trasmessi dai VASP tramite un servizio web Application to application (A2A) che prevede la compressione, cifratura e firma dei file di trasmissione dei dati dei clienti dei VASP (par. 4).

Infine, dopo aver indicato il tracciato record dei dati oggetto di trasmissione (par. 5), lo schema definisce le misure tecniche e organizzative adottate articolandole nell’ambito “procedurale, ovvero della definizione dei processi ICT che garantiscono un approccio standard, formale e continuo nella gestione dei presidi di sicurezza” (che riguarda anche il “processo di gestione degli incidenti informatici e delle violazioni dei dati personali (Data Breach)”), nell’ambito “organizzativo” e nell’ambito “operativo [mediante l’adozione di] strumenti di supporto per la prevenzione e la gestione delle principali minacce informatiche, in sinergia con i fornitori di servizi IT” (con l’individuazione dei “principali presidi di sicurezza tecnico/organizzativa”) (par. 6).

OSSERVA

Preliminarmente, si rappresenta che gli schemi di specifiche tecniche descritti sono oggetto di esame unitario mediante il presente provvedimento, poiché riguardano profili strettamente correlati tra loro, concernenti l’attuazione di specifiche disposizioni della normativa antiriciclaggio dedicate all’attività svolta dai VASP, peraltro oggetto di apposita disciplina contenuta in un unico decreto ministeriale (d.m. 13 gennaio 2022 citato).

Ciò premesso, si osserva che, dall’esame di entrambi gli schemi, sono emerse alcune criticità – di seguito descritte – riferite sia ad aspetti comuni ai medesimi, sia alle peculiarità di ciascuno.

3. Considerazioni comuni

3.1. La valutazione d’impatto

Nello schema di specifiche tecniche di cui al par. 2.1 del presente provvedimento, l’OAM ha riportato di aver “svolto una valutazione preliminare del rischio associato al trattamento relativo all’implementazione della sezione speciale del Registro”, illustrandone, pur in sintesi, di seguito, “il processo eseguito e le principali risultanze emerse”.

Nello schema di specifiche tecniche di cui al par. 2.2, del presente provvedimento, l’OAM ha riportato di aver “svolto una valutazione d’impatto ai sensi dell’art. 35 del Regolamento”, illustrandone sinteticamente, di seguito, “il processo eseguito e le principali risultanze emerse”, ritenendo, tuttavia, che non rientrano “i suddetti trattamenti tra quelli per i quali questa attività si rende obbligatoria”.

In primo luogo, si osserva che, in tale contesto, la valutazione d’impatto di cui all’art. 35 del Regolamento, risulta necessaria alla luce dei criteri fissati nelle “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” (come adottate, da ultimo il 4 ottobre 2017, dal Gruppo Articolo 29) e delle caratteristiche del trattamento, che risulta effettuato su larga scala e riguardare dati aventi carattere altamente personale come quelli di dettaglio relativi alle informazioni sulle operazioni che i VASP sono tenuti a trasmettere all’OAM. Al riguardo, si raccomanda, inoltre, al titolare del trattamento di valutare attentamente gli elementi di dettaglio contenuti nella valutazione d’impatto, da riportare all’interno delle specifiche tecniche in esame, destinate a essere rese pubbliche, tenendo conto dell’eventuale presenza di informazioni specifiche relative ai rischi per la sicurezza.

Pertanto, con riferimento a entrambi gli schemi di specifiche tecniche, si invita a considerare se sia opportuno che, all’interno di entrambi gli schemi di specifiche tecniche, siano forniti i dettagli relativi alle valutazioni concernenti i rischi, per gli interessati, dei trattamenti effettuati.

3.2. Le misure tecniche e organizzative

3.2.1. In entrambi gli schemi il termine di conservazione dei dati personali è fissato in dieci anni (cfr. art. 5 del d.m.).

Al riguardo, si osserva che non è indicato il riferimento temporale a partire dal quale il termine decennale inizia a decorrere, né quali siano le misure tecniche e organizzative adottate al fine di assicurare che la conservazione dei dati personali sia effettuata nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento) e degli obblighi di cui all’art. 32 del medesimo Regolamento.

Pertanto, con riferimento a entrambi gli schemi, occorre che sia indicato il momento da cui inizia a decorrere il periodo di conservazione dei dati, nonché le misure tecniche e organizzative concernenti tale conservazione.

3.2.2. Sempre al fine di assicurare il rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento) e degli obblighi di cui all’art. 32 del medesimo Regolamento, occorre, inoltre, che le misure tecniche e organizzative previste da entrambi gli schemi siano integrate, assicurando omogeneità e uniformità nell’ambito della medesima piattaforma dell’OAM, in relazione:

a) alle credenziali di accesso ai diversi registri per gli adempimenti previsti per uniformare la password policy alle attuali regole presenti sul portale OAM (stringa alfanumerica lunga minimo 12 caratteri e con almeno una lettera maiuscola, un carattere numerico ed un simbolo), prevedendo altresì controlli che non consentano il riuso di password (ad esempio, cambiando solo alcuni caratteri quali un numero o una lettera) e, comunque, il riutilizzo della medesima password, anche a distanza di tempo, per il medesimo servizio;

b) alla protezione delle password degli incaricati mediante l’uso di adeguati algoritmi crittografici allo stato dell’arte (ad esempio, SSHA-1, SSHA-256, PBKDF2, Bcrypt, ecc.);

c) alla protezione dei sistemi e dei dati da attacchi di tipo SQL injection;

d) alla registrazione degli accessi e delle operazioni effettuate in file di log;

e) alla previsione di un meccanismo di comunicazione reciproca tra i diversi attori (OAM e soggetti che alimentano le banche dati dell’OAM stesso) delle violazioni dei dati personali che dovessero verificarsi affinché ognuno di essi possa adottare le opportune misure a contenimento.

4. Considerazioni sullo schema di specifiche tecniche relative alla procedura di registrazione degli operatori in valute virtuali alla sezione speciale del registro dei cambiavalute.

4.1. Per l’iscrizione al Registro viene richiesto, in caso di persona fisica, “il riferimento di un’utenza di telefonia fissa, di un telefono cellulare, di una email ed eventualmente di un fax” (par. 1, lett. a), n. 11)), senza che ne sia specificata la finalità.

Tali dati di contatto non sono previsti dal d.m. (cfr. art. 3, comma 4) e, tenuto conto che viene già raccolto a tal fine “un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM” (cfr. par. 1, n. 7, dello schema), occorre, pertanto, che, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei dati (art. 5, par. 1, lett. a) e c), del Regolamento), “il riferimento di un’utenza di telefonia fissa, di un telefono cellulare, di una email ed eventualmente di un fax” sia espunto dallo schema in esame, ovvero, laddove si ritenesse di mantenerlo, sia rimessa all’interessato la scelta facoltativa di indicare uno o più dati di contatto ulteriori rispetto all’indirizzo di posta elettronica certificata, specificando altresì la finalità per la quale tali dati dovrebbero essere raccolti.

4.2. Lo schema in esame stabilisce che “le procedure interne prevedono meccanismi di aggiornamento dei dati” (par. 2), senza fornire, al riguardo, alcuna ulteriore indicazione di dettaglio – salvo che con riferimento all’aggiornamento del codice fiscale temporaneo (par. 4).

Al riguardo, si ricorda che il principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento, richiede che i dati personali oggetto di trattamento siano esatti e, se necessario, aggiornati, e che debbano essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

Pertanto, si invita a descrivere, all’interno dello schema in esame, le modalità attraverso cui viene assicurato l’aggiornamento dei dati personali trattati, nonché le relative misure tecniche e organizzative.

5. Considerazioni sullo schema di specifiche tecniche relative alla procedura di trasmissione all’OAM dei dati relativi alle operazioni effettuate dagli operatori in valute virtuali iscritti alla sezione speciale del registro dei cambiavalute.

5.1. Lo schema in esame stabilisce che “per le autorità che non avranno instaurato con OAM un protocollo informatico di integrazione e comunicazione, si prevede di consentire l’accesso ai dati attraverso un’apposita postazione di lavoro, con accesso ristretto riservato al personale OAM nominato ed incaricato, sulla base di una richiesta specifica delle autorità interessate” (par. 2).

Al riguardo, al fine di prevenire i rischi di accessi abusivi o illeciti alle informazioni concernenti le operazioni effettuate tramite valute virtuali, occorre prevedere che il personale OAM deputato a effettuare materialmente l’accesso, in questi casi, abbia ricevuto apposite e specifiche istruzioni, nel rispetto di quanto previsto dall’art. 29 del Regolamento e dall’art. 2-quaterdecies del Codice.

5.2. Lo schema in esame prevede che “ai fini della predisposizione della relazione semestrale per il MEF, o per studi dell’Organismo, saranno prodotte dagli amministratori di sistema, report definiti tempo per tempo e che rappresenteranno dati aggregati relativi alle trasmissioni, da cui non sarà possibile risalire ad alcun cliente degli operatori” (par. 2).

Al riguardo, si osserva che gli amministratori di sistema sono tutte quelle figure appositamente dedicate alla gestione e alla manutenzione di un sistema informatico o, comunque, di una banca dati, senza tuttavia che ciò comporti, di per sé, il possesso di adeguate qualifiche allo svolgimento di mansioni specifiche quali quelle in oggetto.

Pertanto, premesso che, nell’effettuare tale attività di aggregazione, dovrà essere assicurato che non sarà possibile risalire ad alcun cliente, neanche indirettamente, occorre altresì che lo schema sia modificato prevedendo che i report finalizzati alla predisposizione della relazione semestrale per il Ministero dell’economia e delle finanze siano elaborati da personale OAM appositamente incaricato, formato e istruito, nel rispetto di quanto previsto dall’art. 29 del Regolamento e dall’art. 2-quaterdecies del Codice.

5.3. Lo schema in esame stabilisce che, a fini di collaborazione con il Ministero dell'economia e delle finanze, autorità di vigilanza di settore, l’Unità di informazione finanziaria per l'Italia, la Direzione investigativa antimafia, il Nucleo speciale di polizia valutaria della Guardia di finanza e la Direzione nazionale antimafia e antiterrorismo, “si prevede di utilizzare, ove fattibile, il Cruscotto informativo implementato per la Guardia di Finanza. Ove ciò non fosse possibile il personale OAM, in un numero di persone ristretto appositamente autorizzato al trattamento dei dati personali, accederà ad una specifica postazione di lavoro ed eseguirà un’estrazione dei dati con la granularità richiesta, prevedendo adeguate misure di sicurezza” (par. 3), e che, “attraverso la postazione sopradetta, collegata a specifici e non divulgati punti della rete dati dell’Organismo, sarà possibile collegarsi, attraverso canale criptato, ad un cruscotto dove eseguire la procedura di autenticazione rafforzata, sempre con credenziali personali. Solo con questa specifica postazione sarà possibile accedere al cruscotto” (par. 4).

Al riguardo, occorre che siano specificate le caratteristiche della suddetta procedura di autenticazione rafforzata, che dovrebbe consistere in un’autenticazione a più fattori in ragione dei tipi di dati trattati, e che sia comunque assicurato che, laddove l’accesso alle informazioni non possa avvenire tramite il summenzionato cruscotto informativo, le tipologie di informazioni in tal modo accessibili siano le medesime rese disponibili mediante il summenzionato cruscotto informativo, nel rispetto dei principi di minimizzazione dei dati e di integrità e riservatezza (art. 5, par. 1, lett. c) e f), del Regolamento).

5.4. Lo schema in esame prevede che “trattandosi dei Clienti dei VASP, l’informativa sarà resa dai VASP stessi, anch’essi titolari del trattamento. OAM non potrebbe in alcun modo provvedere a fornire l’informativa agli interessati, non entrando mai in contatto con questi. All’interno dell’informativa provvista dai VASP sarà indicato che i dati personali saranno trattati anche dall’OAM, in qualità di titolare e in forza di un obbligo di legge. Analogamente spetterà ai VASP accogliere e gestire le richieste degli interessati, non potendo in alcun modo l’Organismo intervenire nei dati attinenti alle operazioni effettuate dai Clienti e trasmesse dai VASP” (par. 3).

Al riguardo, al fine di assicurare la trasparenza dei trattamenti nei confronti degli interessati (artt. 5, par. 1, lett. a), e 12 e ss. del Regolamento), e fermo restando che i VASP sono tenuti a sottoporre agli interessati l’informativa di cui all’art. 13 del medesimo Regolamento relativa ai trattamenti di dati personali di cui sono titolari, occorre che lo schema in esame sia integrato prevedendo che siano individuate misure appropriate volte a tutelare gli interessi legittimi dell’interessato, ai sensi dell’art. 14, par. 5, lett. c), Regolamento, anche mediante la pubblicazione sul sito web dell’OAM, di una propria informativa completa di tutte le indicazioni previste dal medesimo art. 14 del Regolamento, comprese le modalità di esercizio dei diritti con riferimento ai trattamenti di dati personali di cui il medesimo Organismo è titolare.

5.5. Lo schema in esame stabilisce che, “per essere abilitato all’invio delle segnalazioni, ogni soggetto (VASP), dopo essersi iscritto in OAM dovrà nominare uno o più soggetti fisici responsabili per le trasmissioni come “Referenti”, i quali saranno gli interlocutori di OAM (per i Segnalanti di tipo persona fisica, il Referente coincide con il Segnalante), specificando le seguenti informazioni del Referente stesso: Nome, Cognome, Sesso, Codice Fiscale, Data di Nascita, Luogo di nascita, Indirizzo di posta elettronica PEC o PEO” (par. 4).

Al riguardo, occorre che lo schema di decreto precisi che tale referente deve essere autorizzato e adeguatamente formato e istruito, ai sensi dell’art. 29 del Regolamento, e che l’indirizzo di posta elettronica fornito sia quello utilizzato a fini professionali.

RITENUTO

Alla luce di quanto sopra osservato, al fine di assicurare il pieno rispetto dei diritti e delle libertà fondamentali degli interessati, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), si ritiene di poter esprimere parere favorevole su entrambi gli schemi di specifiche tecniche in esame, purché siano rispettate le condizioni e le osservazioni descritte e motivate nei parr. da 3 a 5 del presente provvedimento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di “specifiche tecniche relative alla procedura di registrazione degli operatori in valute virtuali alla sezione speciale del Registro dei Cambiavalute” e sullo schema di “specifiche tecniche relative alla procedura di trasmissione all’OAM per via telematica dei dati relativi alle operazioni effettuate sul territorio della Repubblica italiana dagli operatori in valute virtuali iscritti alla sezione speciale del Registro dei Cambiavalute”, entrambi da adottare ai sensi dell’art. 7, comma 2, del decreto del Ministro dell’economia e delle finanze 13 gennaio 2022, nei seguenti termini:

I) con riferimento a entrambi gli schemi:

a condizione che:

1) sia indicato il momento da cui inizia a decorrere il periodo di conservazione dei dati, nonché le misure tecniche e organizzative concernenti tale conservazione (cfr. par. 3.2.1 del presente provvedimento);

2) le misure tecniche e organizzative previste da entrambi gli schemi siano integrate, assicurando omogeneità e uniformità nell’ambito della medesima piattaforma dell’OAM (cfr. par. 3.2.2. del presente provvedimento), in relazione:

a) alle credenziali di accesso ai diversi registri per gli adempimenti previsti per uniformare la password policy alle attuali regole presenti sul portale OAM (stringa alfanumerica lunga minimo 12 caratteri e con almeno una lettera maiuscola, un carattere numerico ed un simbolo), prevedendo altresì controlli che non consentano il riuso di password (ad esempio, cambiando solo alcuni caratteri quali un numero o una lettera) e, comunque, il riutilizzo della medesima password, anche a distanza di tempo, per il medesimo servizio;

b) alla protezione delle password degli incaricati mediante l’uso di adeguati algoritmi crittografici allo stato dell’arte (ad esempio, SSHA-1, SSHA-256, PBKDF2, Bcrypt, ecc.);

c) alla protezione dei sistemi e dei dati da attacchi di tipo SQL injection;

d) alla registrazione degli accessi e delle operazioni effettuate in file di log;

e) alla previsione di un meccanismo di comunicazione reciproca tra i diversi attori (OAM e soggetti che alimentano le banche dati dell’OAM stesso) delle violazioni dei dati personali che dovessero verificarsi affinché ognuno di essi possa adottare le opportune misure a contenimento;
e con la seguente osservazione:

3) siano valutati attentamente gli elementi di dettaglio da riportare all’interno delle specifiche tecniche in esame, tenendo conto dell’eventuale presenza di informazioni specifiche relative ai rischi per la sicurezza (cfr. par. 3.1 del presente provvedimento);

II) con riferimento al solo schema di “specifiche tecniche relative alla procedura di registrazione degli operatori in valute virtuali alla sezione speciale del Registro dei Cambiavalute”:
a condizione che:

1) “il riferimento di un’utenza di telefonia fissa, di un telefono cellulare, di una email ed eventualmente di un fax” sia espunto dallo schema in esame, ovvero, laddove si ritenesse di mantenerlo, sia rimessa all’interessato la scelta facoltativa di indicare uno o più dati di contatto ulteriori rispetto all’indirizzo di posta elettronica certificata, specificando altresì la finalità per la quale tali dati dovrebbero essere raccolti (cfr. par. 4.1 del presente provvedimento);

e con la seguente osservazione:

2) siano descritte, all’interno dello schema in esame, le modalità attraverso cui viene assicurato l’aggiornamento dei dati personali trattati, nonché le relative misure tecniche e organizzative (cfr. par. 4.2 del presente provvedimento);

III) con riferimento al solo schema di “specifiche tecniche relative alla procedura di trasmissione all’OAM per via telematica dei dati relativi alle operazioni effettuate sul territorio della Repubblica italiana dagli operatori in valute virtuali iscritti alla sezione speciale del Registro dei Cambiavalute”:

a condizione che:

1) il personale OAM deputato a effettuare materialmente l’accesso nell’interesse delle autorità di cui all’art. 4, comma 4, del d.m. 13 gennaio 2022, in questi casi, abbia ricevuto apposite e specifiche istruzioni (cfr. par. 5.1 del presente provvedimento);

2) i report finalizzati alla predisposizione della relazione semestrale per il Ministero dell’economia e delle finanze siano elaborati da personale OAM appositamente incaricato, formato e istruito (cfr. par. 5.2 del presente provvedimento);

3) siano specificate, in caso di accesso nell’interesse delle autorità di cui all’art. 4, comma 4, del d.m. 13 gennaio 2022, le caratteristiche della procedura di autenticazione rafforzata, che dovrebbe consistere in un’autenticazione a più fattori in ragione dei tipi di dati trattati, e sia comunque assicurato che, laddove l’accesso alle informazioni non possa avvenire tramite il summenzionato cruscotto informativo, le tipologie di informazioni in tal modo accessibili siano le medesime rese disponibili mediante il summenzionato cruscotto informativo (cfr. par. 5.3 del presente provvedimento).

4) al fine di assicurare la trasparenza dei trattamenti nei confronti degli interessati, e fermo restando che i VASP sono tenuti a sottoporre agli interessati l’informativa di cui all’art. 13 del medesimo Regolamento relativa ai trattamenti di dati personali di cui sono titolari, lo schema sia integrato prevedendo che siano individuate misure appropriate volte a tutelare gli interessi legittimi dell’interessato, ai sensi dell’art. 14, par. 5, lett. c), Regolamento, anche mediante la pubblicazione sul sito web dell’OAM, di una propria informativa completa di tutte le indicazioni previste dal medesimo art. 14 del Regolamento, comprese le modalità di esercizio dei diritti con riferimento ai trattamenti di dati personali di cui il medesimo Organismo è titolare (cfr. par. 5.4 del presente provvedimento);

5) sia precisato che il referente di ciascun VASP deve essere autorizzato e adeguatamente formato e istruito, ai sensi dell’art. 29 del Regolamento, e che l’indirizzo di posta elettronica fornito sia quello utilizzato a fini professionali (cfr. par. 5.5 del presente provvedimento).

Roma, 21 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei