Due supervisori, un unico regolamento
Per la prima volta, il Comitato europeo per la protezione dei dati e la neo operativa Autorità antiriciclaggio scrivono insieme un unico insieme di regole. Il loro annuncio del 1 luglio 2026 impegna entrambi gli organismi a linee guida congiunte su come le imprese possono mettere in comune informazioni per combattere il riciclaggio e il finanziamento del terrorismo rispettando al contempo il Regolamento generale sulla protezione dei dati. Un gruppo di redazione composto da entrambe le autorita guiderà il lavoro, e i due supervisori dichiarano che contribuiranno da pari.
Il significato per proprietari e operatori è strutturale. Finora, una banca che volesse condividere segnali di attività sospetta con un concorrente si trovava davanti a due supervisori che potevano trarre conclusioni diverse sullo stesso trasferimento. Un testo coordinato elimina quel bivio. È il segnale più chiaro finora che Bruxelles intende gestire la vigilanza sui reati finanziari e la protezione dei dati come un unico regime integrato, non come due agenzie che si parlano senza ascoltarsi.
Cosa permette davvero l'articolo 75
Il motore giuridico è l'articolo 75 del Regolamento antiriciclaggio. Autorizza i soggetti obbligati - banche, imprese di pagamento, prestatori di cripto-attività e altri professionisti regolamentati - a scambiare informazioni tra loro e con le autorita pubbliche quando ciò serve alla lotta ai reati finanziari. E un ampliamento significativo dei canali attraverso cui i dati dei clienti possono circolare lecitamente tra concorrenti.
Il punto e che ogni scambio di questo tipo è anche un trattamento di dati personali e quindi ricade sotto il GDPR. Le linee guida congiunte esistono per sciogliere questa tensione: chiarire come costruire una partnership di condivisione in modo che sia difendibile sotto entrambi i regimi allo stesso tempo. I proprietari dovrebbero leggerlo come il progetto di conformità che definirà l'aspetto di una partnership di condivisione giuridicamente pulita in tutto il blocco.
L'orologio del 10 luglio 2027
Il meccanismo di scambio di informazioni del Regolamento entra in vigore il 10 luglio 2027. Non è un obiettivo morbido. Le banche e gli istituti finanziari che intendono usare i nuovi poteri di condivisione - o a cui i partner chiederanno di ricevere dati condivisi - hanno bisogno di governance, contratti e valutazioni d'impatto sulla protezione dei dati prima di quella data.
La sequenza è stretta. I regolatori intendono tenere un evento con le parti interessate entro il 2026 per far emergere i punti che più necessitano chiarimenti, e poi aprire una consultazione pubblica sulla bozza nel primo semestre del 2027. Ciò lascia una finestra stretta tra il testo finale e la data di avvio, quindi le imprese non possono attendere le linee guida definitive prima di iniziare la progettazione.
La mossa del proprietario
L'istruzione pratica per i consigli di amministrazione è trattare questo come un programma congiunto di AML e privacy, non come un compito di un singolo ufficio. Le funzioni legale, antiriciclaggio e protezione dati che storicamente operavano separatamente ora devono rispondere a un unico standard coordinato, il che significa che dovrebbero pianificare insieme adesso invece di conciliare posizioni dopo l'arrivo delle linee guida.
C'e anche un vantaggio strategico. Le imprese che partecipano all'evento e alla consultazione del 2027 potranno plasmare il regolamento sotto cui vivranno, e chi si muove per primo può trasformare un quadro di condivisione pulito in un vantaggio competitivo in fiducia e rapidità. Il costo dell'attesa è una corsa affannosa nel secondo semestre del 2027 contro una scadenza che non si sposterà.
Da leggere ora: Anche la prima richiesta dati può essere abusiva | Dati illeciti possono vincere in giudizio



