[doc. web n. 10241495]

Parere su uno schema di decreto legislativo di recepimento della direttiva (UE) 2024/1640 (VI Direttiva Antiriciclaggio – AMLD6), in materia di accesso alle informazioni sulla titolarità effettiva - 26 marzo 2026

Registro dei provvedimenti
n. 230 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, par.4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante su di uno schema di decreto legislativo di recepimento della direttiva (UE) 2024/1640 (VI Direttiva Antiriciclaggio – AMLD6), in materia di accesso alle informazioni sulla titolarità effettiva.

Lo schema di decreto legislativo è adottato in attuazione della delega legislativa contenuta nell’articolo 14 della legge 3 giugno 2025, n. 91, funzionale alla definizione di un quadro normativo interno fondato sul bilanciamento tra esigenze di contrasto del riciclaggio e diritti a titolarità individuale tra i quali, appunto, quello alla protezione dei dati personali.

In tale prospettiva, lo schema di decreto intende conformarsi ai principi affermati dalla sentenza della Corte di giustizia dell’Unione europea del 22 novembre 2022 (cause riunite C‑37/20 e C‑601/20). Con tale pronuncia, la Corte ha dichiarato incompatibile con la Carta dei diritti fondamentali dell’Unione europea l’accesso indiscriminato del “pubblico” ai dati sulla titolarità effettiva, ritenendolo una ingerenza grave e sproporzionata nei diritti alla vita privata e alla protezione dei dati personali. La Corte ha chiarito che la trasparenza non può tradursi in un’esposizione generalizzata dei titolari effettivi, imponendo agli Stati membri di adottare modelli di accesso selettivi, basati su un interesse qualificato e verificabile.

Lo schema di decreto legislativo, inoltre, modifica l’articolo 2 e abroga la Sezione II del D.M. 11 marzo 2022, n. 55, relativa alla disciplina dell’accesso al registro, ora assorbita nella fonte primaria.

Il provvedimento interviene principalmente sul decreto legislativo 21 novembre 2007, n. 231 e s.m.i., ridisegnando in modo organico il regime di accesso al Registro delle imprese per le informazioni sui titolari effettivi. Si tratta, peraltro, di una disciplina che potrebbe essere oggetto di ulteriori interventi alla luce dei due rinvii pregiudiziali (cause C‑684/24 e C‑685/24) attualmente pendenti dinanzi alla Corte di giustizia dell’Unione europea, inerenti alla compatibilità dell’attuale disciplina europea e interna con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea e con l’articolo 8 della CEDU, nella parte in cui consente l’accesso alle informazioni sulla titolarità effettiva sulla base della nozione, non definita, di “legittimo interesse”.

RILEVATO

L’articolo 1, in particolare, reca un intervento di coordinamento sistematico, con l’introduzione, nel corpo del decreto legislativo n. 231, dei nuovi articoli da 21-bis a 21-septies, tra i quali si segnalano, segnatamente, i seguenti.

L’articolo 21-bis, in attuazione dell’articolo 11 della direttiva, definisce il regime riservato alle autorità competenti, garantendo loro un accesso che deve essere immediato, non filtrato, diretto e libero attraverso sistemi telematici dedicati, senza necessità di alcuna previa informativa al titolare effettivo (comma 1). L'elenco delle autorità legittimate è tassativo e comprende, tra gli altri, il Ministero dell’economia e delle finanze, le Autorità di vigilanza di settore (Banca d’Italia, IVASS, CONSOB), l’UIF, la DIA, la Guardia di finanza, la DNA, l’autorità giudiziaria e le autorità fiscali. L'operatività di tale accesso è demandata ad apposite convenzioni tecniche con Unioncamere e Infocamere per garantirne la sicurezza e l'uniformità.

Il secondo comma dell’articolo demanda la disciplina delle modalità tecniche e operative dell’accesso, ad apposite convenzioni stipulate tra Unioncamere, il gestore del sistema informativo nazionale (Infocamere) e le Autorità, assicurando l’uniformità operativa e la sicurezza dei dati.

L’articolo 21-ter, in attuazione dell’articolo 11, paragrafi 3 e 4 della direttiva, regola invece l'accesso dei “soggetti obbligati”, tra i quali le banche e i professionisti, legittimandone l’accesso – previo accreditamento telematico presso la Camera di commercio- al registro esclusivamente per gli adempimenti di adeguata verifica della clientela (comma 1).

Il gestore del sistema informativo nazionale (art. 8, l. 29 dicembre 1993, n. 580) è tenuto a mettere a disposizione dei soggetti obbligati accreditati funzionalità tecniche tali da consentirne l’accesso al registro, sulla base di misure tecniche – che lo stesso gestore dovrà indicare - conformi all’articolo 32 del Regolamento e al Codice.

Il comma 7 onera, poi, i soggetti obbligati del dovere di segnalazione tempestiva, alla Camera di commercio, di eventuali incongruenze tra i dati presenti nel registro e le informazioni acquisite durante la verifica del cliente. Le segnalazioni, annotate e rese disponibili alle autorità abilitate, devono garantire, in ogni caso, l’anonimato dei soggetti obbligati segnalanti.

Il comma 10 prevede che l’accesso al registro possa essere limitato o escluso quando il titolare effettivo dichiari la sussistenza di “circostanze eccezionali” ai sensi dell’articolo 21-sexies. Il soggetto obbligato che consulti il registro è tenuto a conservare, a fini di verifica, prova dell’avvenuta consultazione o di o un estratto idoneo.

Particolare interesse assume l’articolo 21-quater che, recependo l’articolo 12 della direttiva, introduce una nuova disciplina dell’accesso alle informazioni sulla titolarità effettiva da parte di soggetti diversi dalle autorità e dai soggetti obbligati, fondandola sul criterio del legittimo interesse, come ridefinito dalla direttiva.

Le persone fisiche o giuridiche titolari di un legittimo interesse alla prevenzione e al contrasto del riciclaggio, dei reati presupposto o del finanziamento del terrorismo possono, quindi, accedere ad alcune informazioni essenziali sulla titolarità effettiva contenute nella sezione autonoma o speciale del Registro delle imprese. Viene peraltro indicato il contenuto minimo delle informazioni accessibili, limitandolo a un set essenziale di dati personali (nome e cognome, mese e anno di nascita, cittadinanza, paese di residenza e condizioni che qualificano il titolare effettivo).

Il comma 2 individua le categorie per le quali il legittimo interesse è riconosciuto ex lege, mentre il comma 3 consente ad alcune categorie di accedere anche alle informazioni storiche, comprese quelle relative a soggetti cessati negli ultimi cinque anni, nonché a una descrizione dettagliata dell’assetto proprietario o di controllo. Il comma 4 introduce un meccanismo di accesso caso per caso, fondato sulla dimostrazione concreta del legittimo interesse in relazione alle finalità di prevenzione del riciclaggio, dei reati presupposto o del finanziamento del terrorismo.

Il comma 5 disciplina le modalità di accesso, principalmente per via telematica ma, in conformità all’articolo 12, paragrafo 1, comma 3, della direttiva, suscettibile di realizzazione anche in forma analogica presso la Camera di commercio.

Il comma 6 prevede poi il tracciamento degli accessi da parte della Camera di commercio e la comunicazione ai titolari effettivi che ne facciano richiesta. Per i soggetti più esposti a rischi (giornalisti, ONG, ricercatori), è però garantito l’anonimato, comunicando al titolare effettivo solo la professione o la funzione esercitata dagli stessi, non l’identità.

Infine, i commi 7 e 8 disciplinano l’accesso da parte delle autorità di Paesi terzi, prevedendo un regime di protezione rafforzata quando la divulgazione dell’identità dell’autorità richiedente possa pregiudicare indagini o analisi in corso. In tali casi, la Camera di commercio deve astenersi dal comunicare l’identità dell’autorità per il periodo indicato (fino a cinque anni, prorogabile), sulla base di una motivazione specifica.

L’articolo 21-quinquies definisce la procedura amministrativa per la verifica del legittimo interesse da parte della Camera di commercio. In particolare, si prevede che l’accesso sia consentito solo previa presentazione di una richiesta motivata, corredata dalla documentazione necessaria a dimostrare l’appartenenza a una delle categorie legittimate e il legame con il soggetto giuridico cui si riferiscono le informazioni richieste (salvo per giornalisti, enti del terzo settore e ricercatori).

Alla Camera di commercio è ascritto il compito di verifica dell’identità del richiedente tramite strumenti di identificazione elettronica qualificata e valutazione della documentazione presentata.

A seguito del riconoscimento del legittimo interesse, il comma 7 prevede l’accreditamento del richiedente nel sistema informativo nazionale e il rilascio di un certificato di validità triennale, che consente l’accesso alle informazioni relative ai soggetti indicati nella richiesta iniziale.

Il comma 10 elenca i casi in cui la richiesta deve essere respinta, tra cui, oltre alla mancanza di documentazione, l’assenza di un certificato valido, la mancata dimostrazione del legittimo interesse, rischi di utilizzo improprio delle informazioni, la violazione della disciplina sui trasferimenti verso Paesi terzi, il verificarsi di “circostanze eccezionali” previste dall’articolo 21‑sexies o, infine, la mancata estensione del legittimo interesse riconosciuto da altro Stato membro.

Il comma 11 consente alla Camera di commercio di richiedere informazioni supplementari prima di respingere l’istanza, prorogando il termine di sette giorni e il successivo comma impone la tracciabilità delle attività istruttorie tramite il sistema informativo nazionale.

Il comma 13 reca la disciplina di revoca dell’accesso e del certificato digitale quando emergano successivamente motivi ostativi o quando l’accesso sia stato revocato da un altro Stato membro.

L’articolo 21-sexies disciplina i casi di esclusione dall’accesso alle informazioni sulla titolarità effettiva, ove l'accesso possa esporre il titolare effettivo a rischi sproporzionati di frode, rapimento, estorsione o violenza o quando l'interessato sia minore o incapace (comma 1). Il titolare effettivo può presentare una dichiarazione motivata, corredata da elementi probatori, alla Camera di commercio, che valuterà se concedere o negare l'accesso richiesto, segnatamente in base al principio di proporzionalità tra il rischio rappresentato e l’interesse all’accesso (comma 4).

Qualora la Camera di commercio ritenga fondate le circostanze eccezionali rappresentate dal titolare effettivo, adotta un provvedimento motivato di diniego, totale o parziale, comunicato al richiedente e, per il diniego parziale, anche al titolare effettivo.

L’insussistenza delle circostanze eccezionali determina l’adozione di un provvedimento motivato di accoglimento dell’istanza di accesso, da comunicare al titolare effettivo, che dispone di un periodo di trenta giorni per attivare eventuali tutele. Ai sensi del comma 8, le esclusioni dell’accesso non operano nei confronti dei soggetti obbligati agenti come pubblici ufficiali ai sensi del regolamento (UE) 2024/1624. Si prevede, peraltro, una comunicazione statistica annuale al MEF e al MIMIT sui provvedimenti di diniego adottati, ai fini della pubblicazione e della comunicazione alla Commissione europea.

Ai sensi del comma 10, infine, il gestore del sistema informativo nazionale deve conservare separatamente le dichiarazioni e la documentazione relative alle circostanze eccezionali, adottando misure tecniche e organizzative idonee a garantire accessi selettivi e la cifratura dei dati, così da renderli incomprensibili a chi non sia autorizzato.

RITENUTO

Lo schema di decreto, pur non presentando significative criticità sotto il profilo della protezione dei dati, merita tuttavia alcuni correttivi volti a garantirne maggiore conformità rispetto ai principi di minimizzazione, integrità e riservatezza (art. 5, c. 1, lett. c), del Regolamento).

In primo luogo, la disciplina delle modalità di accesso per le autorità - demandato dall’articolo 21-bis, comma 2, ad atti convenzionali- dovrebbe invece, più correttamente, essere rinviata ad un unico atto ad efficacia generale, sottoposto al parere del Garante, analogamente al disciplinare generale del gestore di cui all’articolo 11, c.3, del d.M. n. 55 del 2022. Tale atto– ferme restando, per l’accesso delle forze di polizia, le convenzioni di cui all’articolo 47 del d.lgs. 51 del 2018- offrirebbe una cornice di maggiore uniformità alle garanzie da accordare in sede di accesso. Esso dovrebbe, anche, includere la previsione (coerente con il principio di cui all’articolo 5, p.1, lett. e) del Regolamento) del termine di conservazione dei dati e dei log di tracciamento, dell’effettuazione di una valutazione di impatto sulla protezione dei dati, nonché dell’introduzione di sistemi di audit interno.

La previsione – di cui all’articolo 21-quater, comma 6, inerente alla comunicazione, ai titolari effettivi, dei dati identificativi dei soggetti accedenti –andrebbe integrata con riferimento all’ipotesi in cui questi ultimi agiscano (in qualità di delegati, dipendenti o collaboratori) per conto del titolare del legittimo interesse (quale può essere una persona giuridica). Per tale ipotesi andrebbe previsto che il riscontro si riferisca soltanto ai dati identificativi della persona giuridica e non, anche, degli operatori che materialmente, per conto della stessa, abbiano acceduto. In tal modo si potrebbe evitare la divulgazione di dati personali che parrebbero eccedenti rispetto alle finalità conoscitive sancite dalla norma unionale.

L’articolo 21-quater, c.5, secondo periodo, andrebbe integrato, invece, con la disciplina delle modalità di realizzazione dell’accesso analogico, ivi previsto.

Si valuti, infine, l’opportunità di prevedere la facoltà, per la Camera di commercio, di consultare, ex art. 57, c.1, lett.c) del Regolamento, il Garante in ordine alla ritenuta insussistenza del legittimo interesse del richiedente, nei casi di cui al comma 10 dell’articolo 21-quinquies, in presenza di ragioni inerenti alla protezione dei dati personali. Le scelte compiute rispetto alle istanze di accesso sottendono, infatti, un bilanciamento tra esigenze di contrasto del riciclaggio e del finanziamento del terrorismo e diritto alla protezione dei dati personali, la cui complessità – sottolineata anche dalla CGUE- può, in taluni casi, suggerire un vaglio ulteriore, da parte di un’Autorità, quale il Garante, titolare di specifica competenza sul punto (cfr. anche, sul punto, le Conclusioni dell'Avvocato Generale (AG) Jean Richard de la Tour, presentate l'11 dicembre 2025 nelle cause riunite C-684/24 e C-685/24).

Tale modifica pare, del resto, potersi ritenere congruo sviluppo del criterio di delega di cui all’articolo 14, c.2, lett.d) della legge di delegazione (n. 91 del 2025). 

IL GARANTE

ai sensi dell’articolo 36, par. 4, del Regolamento, esprime parere favorevole sullo schema di decreto legislativo con le seguenti osservazioni, esposte nel “Ritenuto”, relative alla valutazione dell’opportunità di:

a) demandare, all’articolo 21-bis, la disciplina delle modalità di accesso ivi previste ad un unico atto ad efficacia generale, sottoposto al parere del Garante, che includa anche la previsione del termine di conservazione dei dati, dei log di tracciamento, dell’effettuazione di una valutazione di impatto sulla protezione dei dati, nonché dell’introduzione di sistemi di audit interno;

b) integrare l’articolo 21-quater prevedendo che la comunicazione dell'identità del richiedente al titolare effettivo, in caso di accessi effettuati per conto di persone giuridiche, non comprenda i dati identificativi dei dipendenti o delegati materialmente all’accesso, ma si riferisca ai soli dati identificativi dell'ente;

d) integrare l’articolo 21-quater, c.5, secondo periodo, con la disciplina delle modalità di realizzazione dell’accesso analogico, ivi previsto;

e) prevedere la facoltà, per la Camera di commercio, di consultare, ex art. 57, c.1, lett.c) del Regolamento, il Garante in ordine alla ritenuta insussistenza del legittimo interesse del richiedente, nei casi di cui al comma 10 dell’articolo 21-quinquies, in presenza di ragioni inerenti alla protezione dei dati personali.

Roma 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori