MiFID II e registrazione delle comunicazioni: obblighi, sanzioni e come mettersi in regola
Nel 2024 le autorità di vigilanza europee hanno imposto sanzioni MiFID II per oltre 44,5 milioni di euro: il 143% in più rispetto all'anno precedente, secondo il report ESMA sulle sanzioni. Per banche, SIM e SGR la registrazione delle comunicazioni con i clienti non è più un adempimento marginale. È diventata una delle aree di enforcement più presidiate in Europa e oltre Atlantico.
Il problema è a monte. L'Art. 16(7) della Direttiva MiFID II (2014/65/UE) obbliga le imprese di investimento a registrare tutte le conversazioni telefoniche e le comunicazioni elettroniche legate a ordini e transazioni. Ma la moltiplicazione dei canali digitali (videochiamate, chat, messaggistica istantanea) ha reso l'adempimento ben più complesso di quando bastava registrare le telefonate su linea fissa. Le registrazioni tradizionali, nella maggior parte dei casi, non soddisfano i requisiti di immutabilità e accessibilità che la normativa pretende.
Qui di seguito: cosa dice la legge, quanto costano le violazioni, dove si nasconde il rischio e come costruire un sistema di registrazione difendibile in sede ispettiva.
Cosa prevede la MiFID II sulla registrazione delle comunicazioni
L'obbligo di registrazione non è una raccomandazione. È un requisito vincolante per tutte le imprese di investimento autorizzate nell'Area Economica Europea, con conseguenze sanzionatorie dirette in caso di inadempienza.
Articolo 16(7): l'obbligo di registrazione
L'Art. 16(7) della Direttiva 2014/65/UE impone alle imprese di investimento di registrare tutte le conversazioni telefoniche e le comunicazioni elettroniche relative alla ricezione, trasmissione ed esecuzione degli ordini dei clienti, nonché alle operazioni in conto proprio. L'obbligo si applica anche quando la comunicazione non porta alla conclusione effettiva di una transazione.
L'ambito è ampio. La norma copre telefonate, videochiamate, email, chat e qualsiasi forma di comunicazione elettronica in cui vengano discussi servizi di investimento. L'impresa deve inoltre notificare i clienti, nuovi ed esistenti, che le comunicazioni verranno registrate. Senza questa notifica preventiva, l'impresa non può fornire servizi di investimento per telefono.
Regolamento Delegato 2017/565: i requisiti tecnici degli archivi
L'Art. 76 del Regolamento Delegato (UE) 2017/565 traduce l'obbligo in requisiti tecnici concreti. Gli archivi delle comunicazioni devono essere a prova di manomissione (nessuna possibilità di alterare, cancellare o sovrascrivere le registrazioni dopo l'acquisizione), accessibili alle autorità di vigilanza in qualsiasi momento, tracciabili in ogni accesso e copia, e conservati per almeno 5 anni, con possibilità di estensione a 7 su richiesta dell'autorità competente.
In pratica, questi requisiti escludono i sistemi di archiviazione tradizionali. File salvati su server aziendali o registrazioni su piattaforme di videoconferenza standard non garantiscono né immutabilità né tracciabilità degli accessi.
Quali comunicazioni devono essere registrate
Il perimetro è definito dalla combinazione dell'Art. 16(7) MiFID II e dell'Art. 76 del Regolamento Delegato.
| Tipo di comunicazione | Obbligo di registrazione | Requisiti specifici |
|---|---|---|
| Telefonate relative a ordini | Obbligatorio | Registrazione integrale, notifica preventiva al cliente |
| Videochiamate di consulenza | Obbligatorio | Audio + video, metadati di contesto, identità partecipanti |
| Email relative a transazioni | Obbligatorio | Conservazione integrale, inclusi allegati |
| Chat e messaggistica istantanea | Obbligatorio | Contenuto integrale, marca temporale, identità mittente |
| Incontri di persona | Verbale scritto | Minuta o appunti che documentino il contenuto della riunione |
| Ordini via fax o posta | Conservazione | Archiviazione del documento originale con data certa |
Le sanzioni per violazione degli obblighi di registrazione MiFID II
I numeri degli ultimi due anni non lasciano spazio a interpretazioni. Le autorità di vigilanza in Europa e negli Stati Uniti stanno colpendo le violazioni sulle comunicazioni con importi che, nei casi più gravi, raggiungono centinaia di milioni di euro.
Sanzioni in Europa: i dati ESMA 2024
Secondo il report consolidato ESMA sulle sanzioni 2024, le autorità nazionali competenti dei 30 Stati dell'Area Economica Europea hanno emesso complessivamente oltre 970 sanzioni nel 2024 per un importo aggregato superiore a 100 milioni di euro. Di queste, 189 sanzioni amministrative pecuniarie riguardano specificamente violazioni della MiFID II e del MiFIR, per un totale stimato di oltre 44,5 milioni di euro.
| Area | Sanzioni MiFID II 2024 | Note |
|---|---|---|
| Germania | Multa singola record di 12,75 milioni di euro | Violazione Art. 17(1), trading algoritmico |
| Francia (AMF) | Importi più elevati in Europa | Enforcement su obblighi organizzativi e di registrazione |
| EEA (totale) | 189 sanzioni per oltre 44,5M di euro | +143% rispetto al 2023 |
| USA (SEC) | Oltre 3 miliardi di dollari dal 2021 | Off-channel communications su WhatsApp, iMessage, Signal |
CONSOB: +231% di sanzioni nel 2023-2024
In Italia la situazione rispecchia il trend europeo. La CONSOB ha intensificato l'attività sanzionatoria sugli intermediari finanziari con una crescita del 231% tra il 2023 e il 2024, rafforzando i controlli sugli obblighi di registrazione e conservazione previsti dalla MiFID II, anche alla luce degli Art. 94 e 95 del Regolamento CONSOB Intermediari.
La Relazione annuale CONSOB per il 2024 segnala un incremento significativo delle ispezioni sui sistemi di archiviazione delle comunicazioni. L'attenzione si concentra sulla capacità degli intermediari di fornire registrazioni integre e accessibili quando l'autorità le richiede: chi non è in grado di farlo, paga.
Il caso SEC e le off-channel communications
Oltre Atlantico, la SEC ha condotto dal 2021 una campagna sanzionatoria senza precedenti sulle off-channel communications. Le multe per uso di canali non autorizzati (WhatsApp, iMessage, Signal) hanno superato i 3 miliardi di dollari, coinvolgendo oltre 100 società finanziarie.
Solo nel 2024 la SEC ha sanzionato decine di società per un totale superiore ai 600 milioni di dollari. Qualche esempio: 26 società multate per 392,75 milioni di dollari in agosto (tra cui Raymond James, Edward Jones, LPL e Osaic), 16 società per 81 milioni in febbraio. A gennaio 2025, altri 12 intermediari sono stati sanzionati per 63 milioni di dollari.
La dinamica è sempre la stessa: dipendenti e consulenti che usano app di messaggistica personale per comunicare con i clienti, aggirando i sistemi di registrazione aziendali. Le autorità lo considerano inaccettabile, e i numeri lo dimostrano.
Off-channel communications: il rischio nascosto della compliance
Le off-channel communications sono il punto di vulnerabilità più critico nella compliance MiFID II. Non è un fenomeno solo statunitense: il rischio è identico per gli intermediari europei, e le autorità di vigilanza nazionali stanno adottando lo stesso approccio della SEC.
Cosa sono le off-channel communications
Con off-channel communications si intendono le comunicazioni relative a servizi di investimento che avvengono su canali non monitorati e non registrati dall'impresa. Un consulente che invia un messaggio WhatsApp a un cliente per discutere un ordine. Un portfolio manager che conferma un'operazione via SMS. Un analista che condivide raccomandazioni su Telegram. Sono tutte comunicazioni che sfuggono al perimetro di registrazione obbligatoria.
Il punto non è l'uso del canale in sé, ma l'assenza di registrazione. La MiFID II non prescrive quali piattaforme usare: prescrive che tutte le comunicazioni rilevanti siano registrate, archiviate in modo immutabile e accessibili alle autorità. Se un intermediario consente (o non previene) l'uso di canali non monitorati, la responsabilità della violazione è sua.
Come mappare e controllare i canali di comunicazione
Affrontare il rischio off-channel richiede interventi su più livelli. Il primo passo è un inventario completo di tutti i canali utilizzati dal personale per comunicare con i clienti, inclusi quelli informali. Poi servono policy chiare su quali canali sono autorizzati, con controlli tecnici che limitino l'uso di quelli che non lo sono. Se un canale risulta necessario per il business, per esempio le videochiamate su piattaforme terze, va integrato nel sistema di registrazione con garanzie di immutabilità. Infine, audit periodici per verificare che le policy vengano effettivamente rispettate.
Come certificare le comunicazioni con valore legale per la conformità MiFID II
Registrare non basta. I requisiti dell'Art. 76 del Regolamento Delegato richiedono archivi a prova di manomissione, con tracciabilità di ogni accesso e conservazione garantita per 5-7 anni. La certificazione delle comunicazioni con valore legale è l'unico modo per soddisfare questi requisiti.
Registrare non basta: il requisito di immutabilità
Una registrazione su Zoom, Teams o Meet è una registrazione. Ma soddisfa i requisiti dell'Art. 76? Nella maggior parte dei casi, no. Le piattaforme di videoconferenza standard permettono di scaricare, modificare e ricaricare file. Non garantiscono una catena di custodia verificabile. Non applicano marca temporale qualificata. Non producono evidenze opponibili in sede ispettiva.
Il requisito di immutabilità richiede che la registrazione venga cristallizzata al momento dell'acquisizione: data, ora, identità dei partecipanti e contenuto devono diventare immodificabili e verificabili da terze parti. Questa è la differenza tra una semplice registrazione e una comunicazione certificata con valore probatorio.
TrueScreen, the Data Authenticity Platform, interviene alla radice del problema: acquisisce e certifica le comunicazioni nel momento stesso in cui avvengono, applicando firma digitale e marca temporale qualificata conforme al Regolamento eIDAS. La registrazione non viene semplicemente archiviata, ma trasformata in dato con valore legale. La catena di custodia è verificabile e soddisfa i requisiti dell'Art. 76 del Regolamento Delegato 2017/565.
La certificazione delle videochiamate di advisory
Le sessioni di consulenza finanziaria in videochiamata sono tra le comunicazioni più esposte al rischio di contestazione. Un cliente che contesta le raccomandazioni ricevute, un'autorità che richiede la prova degli obblighi informativi rispettati: senza una registrazione certificata, l'intermediario si trova disarmato.
TrueScreen certifica le videochiamate con conformità MiFID II acquisendo contenuto audio e video con metadati di contesto immodificabili. Identità dei partecipanti, data e ora della sessione, durata e contenuto vengono fissati con firma digitale e marca temporale qualificata. Il tutto avviene in modo trasparente, senza impatto sull'operatività del consulente finanziario.
Lo stesso approccio si applica alle comunicazioni del contact center certificato: telefonate, chat, email e videochiamate tra cliente e operatore vengono certificate alla fonte, eliminando il rischio "parola contro parola" e soddisfacendo gli obblighi di archiviazione MiFID II.
Firma digitale e marca temporale eIDAS come standard di conformità
Il Regolamento eIDAS (Regolamento UE 910/2014) è il framework giuridico che disciplina firme digitali e marche temporali con valore legale in tutta l'Unione Europea. La firma elettronica avanzata conforme al Regolamento eIDAS garantisce l'identificazione del firmatario e l'integrità del documento firmato.
Per la conformità MiFID II, la combinazione di firma digitale e marca temporale qualificata produce registrazioni che soddisfano i requisiti dell'Art. 76 del Regolamento Delegato. In concreto: qualsiasi modifica successiva è rilevabile e rende invalida la certificazione; la marca temporale qualificata attesta con certezza giuridica il momento della registrazione; l'identità dei partecipanti è verificabile attraverso la firma digitale; le registrazioni certificate sono progettate per la conservazione a lungo termine, dai 5 ai 7 anni e oltre.
Checklist operativa per la conformità MiFID II sulle comunicazioni
Mettersi in regola richiede interventi su più livelli: normativo, tecnologico e organizzativo. Questi sono i passaggi operativi per strutturare un sistema di registrazione conforme all'Art. 16(7) MiFID II.
- Mappare tutti i canali di comunicazione: censire ogni canale utilizzato dal personale per interagire con i clienti, inclusi canali informali e dispositivi personali
- Verificare i requisiti di immutabilità: per ogni canale, accertare se il sistema di registrazione garantisce archivi a prova di manomissione, conformi all'Art. 76 del Regolamento Delegato 2017/565
- Implementare la certificazione alla fonte: adottare soluzioni che applichino firma digitale e marca temporale qualificata al momento dell'acquisizione, non in fase di archiviazione successiva
- Definire e applicare policy anti off-channel: stabilire quali canali sono autorizzati, implementare controlli tecnici e monitorare il rispetto delle regole
- Notificare i clienti: garantire che ogni cliente, nuovo ed esistente, sia informato della registrazione delle comunicazioni prima della prestazione dei servizi di investimento
- Configurare la conservazione a 5-7 anni: assicurare che le registrazioni siano conservate per il periodo minimo di 5 anni, con possibilità di estensione a 7 su richiesta dell'autorità
- Garantire l'accesso alle autorità di vigilanza: predisporre procedure per fornire le registrazioni in tempi rapidi e in formato utilizzabile
- Condurre audit periodici: verificare regolarmente l'integrità degli archivi, l'efficacia delle policy e la copertura dei canali, con test di recupero delle registrazioni
