1. 

Nella presente controversia sono coinvolti tre enti creditizi [Banco Bilbao Vizcaya Argentaria, S.A. (in prosieguo: la «BBVA»), Banco de Sabadell, S.A. (in prosieguo: la «Sabadell») e Liberbank, S.A. (in prosieguo: la «Liberbank»); in prosieguo, congiuntamente: le «banche»] e un istituto di pagamento (Safe Interenvios, S.A.; in prosieguo: la «Safe») ( 2 ). Le banche hanno provveduto alla chiusura dei conti detenuti dalla Safe presso le medesime per timore che si stessero svolgendo operazioni di riciclaggio. La Safe sostiene che si è trattato di una pratica commerciale sleale.

2. 

Sono state sollevate questioni riguardo al punto se il diritto dell’Unione, in particolare la direttiva 2005/60/CE (in prosieguo: la «direttiva sul riciclaggio») ( 3 ), osti a che un Stato membro autorizzi un ente creditizio ad applicare gli obblighi di adeguata verifica della clientela a un istituto di pagamento. Tale direttiva prevede tre tipi di obblighi di adeguata verifica della clientela (standard, semplificati e rafforzati) a seconda dei rischi di riciclaggio o di finanziamento del terrorismo. Gli obblighi standard di adeguata verifica della clientela di cui all’articolo 8 comprendono, ad esempio, l’identificazione di un cliente e l’ottenimento di informazioni sullo scopo e sulla natura prevista del rapporto d’affari. L’articolo 11, paragrafo 1, prevede che gli obblighi semplificati di adeguata verifica della clientela siano applicabili quando i clienti di un ente o di una persona che rientra nell’ambito di applicazione di tale direttiva (in prosieguo: «entità soggette alla direttiva») sono enti creditizi e finanziari (compresi gli istituti di pagamento) soggetti a loro volta alla direttiva sul riciclaggio. L’articolo 13 prescrive obblighi rafforzati di adeguata verifica della clientela in situazioni che presentano un elevato rischio di riciclaggio o di finanziamento del terrorismo. Inoltre, l’articolo 5 autorizza gli Stati membri a imporre obblighi più rigorosi di quelli stabiliti in altre disposizioni della direttiva sul riciclaggio.

3. 

Nel caso in cui un ente creditizio possa essere autorizzato ad applicare obblighi (rafforzati) di adeguata verifica della clientela a un istituto di pagamento che sia a sua volta soggetto alla direttiva sul riciclaggio, si chiede alla Corte di fornire indicazioni sulle condizioni alle quali gli Stati membri possono prevedere che ciò avvenga. Si domanda se la loro applicazione dipenda da un’analisi dei rischi, e se tali obblighi possano comportare che a un istituto di pagamento sia imposto di trasferire a un ente creditizio dati riguardanti i propri consumatori e i destinatari dei fondi trasferiti all’estero. Con tali quesiti si invita altresì la Corte a considerare le direttive 95/46/CE (in prosieguo: la «direttiva sul trattamento dei dati personali»), ( 4 ) 2005/29/CE (in prosieguo: la «direttiva sulle pratiche commerciali sleali») ( 5 ) e 2007/64/CE (in prosieguo: la «direttiva sui servizi di pagamento») ( 6 ).

4.

Ai sensi dell’articolo 16, paragrafo 1, TFUE «[o]gni persona ha diritto alla protezione dei dati di carattere personale che la riguardano».

5.

L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») stabilisce che «[o]gni persona ha diritto alla protezione dei dati di carattere personale che la riguardano». Ai sensi dell’articolo 8, paragrafo 2, «[t]ali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

6.

L’articolo 52, paragrafo 1, prevede che «[e]ventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».

7.

Ai sensi del considerando 5 della direttiva sul riciclaggio, le misure adottate in materia di riciclaggio e di finanziamento del terrorismo dovrebbero essere coerenti con le altre iniziative intraprese in altre sedi internazionali e tener conto delle raccomandazioni del gruppo d’azione finanziaria internazionale (in prosieguo: il «GAFI») ( 7 ), che costituisce il principale organismo internazionale per la lotta contro il riciclaggio e contro il finanziamento del terrorismo. La direttiva sul riciclaggio dovrebbe essere in linea con le raccomandazioni del GAFI come sostanzialmente riviste e ampliate nel 2003 (in prosieguo: le «raccomandazioni del GAFI del 2003») ( 8 ).

8.

Il considerando 10 afferma che le entità soggette alla direttiva dovrebbero identificare e verificare l’identità del titolare effettivo. A tal fine, spetterebbe a tali entità decidere se far ricorso a registri disponibili al pubblico contenenti informazioni sui titolari effettivi, chiedere ai loro clienti i dati pertinenti ovvero ottenere le informazioni in altro modo, tenendo presente che la portata di tali obblighi di adeguata verifica della clientela si riferisce al rischio del riciclaggio dei proventi da attività criminose e di finanziamento del terrorismo, rischio che dipende dal tipo di cliente, dal rapporto d’affari, dal prodotto o dalla transazione.

9.

Il considerando 22 riconosce che il rischio di riciclaggio e di finanziamento del terrorismo non è sempre lo stesso in ogni caso. Secondo un approccio basato sul rischio, dovrebbe vigere il principio secondo cui in determinati casi si applicano obblighi semplificati di adeguata verifica della clientela.

10.

Al contempo, ai sensi del considerando 24, la normativa dell’Unione dovrebbe riconoscere che alcune situazioni comportano un maggiore rischio. Pertanto, fermo restando che è indispensabile stabilire l’identità e il profilo economico di tutti i clienti, esistono casi nei quali sono necessarie procedure d’identificazione e di verifica dell’identità dei clienti particolarmente rigorose.

11.

Il considerando 33 stabilisce che la comunicazione di informazioni di cui all’articolo 28 ( 9 ) dovrebbe essere in conformità con le norme sul trasferimento dei dati personali a paesi terzi di cui alla direttiva sul trattamento dei dati personali e, inoltre, che l’articolo 28 non può interferire con la legislazione nazionale sulla protezione dei dati personali e sul segreto professionale.

12.

Secondo il considerando 37, gli Stati membri dovrebbero adeguare l’applicazione dettagliata delle disposizioni alle peculiarità delle varie professioni e alle differenze in scala e dimensione delle entità soggette alla direttiva.

13.

Il considerando 48 dichiara che la direttiva sul riciclaggio rispetta i diritti fondamentali, osserva i principi riconosciuti in particolare dalla Carta e non dovrebbe essere interpretata o applicata in modo incompatibile con la Convenzione europea dei diritti dell’uomo.

14.

A norma dell’articolo 1, paragrafo 1, «[g]li Stati membri assicurano che il riciclaggio dei proventi di attività criminose e il finanziamento del terrorismo siano vietati». L’articolo 1, paragrafo 2, individua quattro tipi di azioni che, se commesse intenzionalmente, costituiscono riciclaggio:

15.

Conformemente all’articolo 2, paragrafo 1, la direttiva sul riciclaggio si applica: 1) agli enti creditizi, 2) agli enti finanziari e 3) a una serie di persone giuridiche e fisiche quando agiscono nell’esercizio della loro attività professionale. In altre disposizioni, la direttiva sul riciclaggio si riferisce a tali categorie, denominandole collettivamente «gli enti e le persone soggetti alla presente direttiva» (nelle presenti conclusioni, le «entità soggette alla direttiva).

16.

L’«ente creditizio» è definito all’articolo 3, paragrafo 1, mediante rinvio alla definizione del medesimo termine contenuta nell’articolo 1, paragrafo 1, primo comma, della direttiva 2000/12/CE ( 10 ), ed è quindi «un’impresa la cui attività consiste nel ricevere dal pubblico depositi o altri fondi rimborsabili e nel concedere crediti per proprio conto».

17.

La definizione di «ente finanziario» ha ad oggetto «un’impresa diversa da un ente creditizio la cui attività principale consista nell’effettuare una o più operazioni menzionate ai punti da 2 a 12 e ai punti 14 e 15 dell’allegato I della direttiva 2006/48/CE» ( 11 ) [articolo 3, paragrafo 2, lettera a)]. Tale elenco di operazioni include, al punto 4, i «“[s]ervizi di pagamento” quali definiti all’articolo 4, punto 3, della direttiva [sui servizi di pagamento]» ( 12 ) e, ai sensi del punto 5, «[l’e]missione e [la] gestione di altri mezzi di pagamento (…) nella misura in cui quest’attività non rientra nel punto 4». Ai sensi della direttiva sui servizi di pagamento, un servizio di pagamento include l’esecuzione di operazioni di pagamento e gli istituti di pagamento sono imprese che forniscono servizi di pagamento che soddisfano in altro modo i requisiti previsti da tale direttiva ( 13 ).

18.

L’articolo 5 prevede che «[p]er impedire il riciclaggio e il finanziamento del terrorismo, gli Stati membri possono adottare o mantenere disposizioni più rigorose nel settore disciplinato dalla [direttiva sul riciclaggio]».

19.

Il capo II («Obblighi di adeguata verifica della clientela») contiene, oltre a disposizioni di carattere generale sugli obblighi standard di adeguata verifica della clientela (articoli da 6 a 10), sezioni separate sugli obblighi semplificati di adeguata verifica della clientela (articoli 11 e 12) e sugli obblighi rafforzati di adeguata verifica della clientela (articolo 13).

20.

Ai sensi dell’articolo 7, le entità soggette alla direttiva applicano gli obblighi di adeguata verifica della clientela: a) quando instaurano rapporti d’affari; b) quando eseguono transazioni occasionali il cui importo sia pari o superiore a EUR 15000; c) quando vi è sospetto di riciclaggio o di finanziamento del terrorismo, indipendentemente da qualsiasi deroga, esenzione o soglia applicabile, e d) quando vi sono dubbi sulla veridicità o sull’adeguatezza dei dati precedentemente ottenuti ai fini dell’identificazione di un cliente.

21.

Gli obblighi di adeguata verifica della clientela includono le seguenti attività: «identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente» [articolo 8, paragrafo 1, lettera a)]; «se necessario, identificare il titolare effettivo ed adottare misure adeguate e commisurate al rischio per verificarne l’identità (…)» [articolo 8, paragrafo 1, lettera b)]; «ottenere informazioni sullo scopo e sulla natura prevista del rapporto d’affari» [articolo 8, paragrafo 1, lettera c)], e «svolgere un controllo costante nel rapporto d’affari, in particolare esercitando un controllo sulle transazioni concluse durante tutta la durata di tale rapporto (…)» [articolo 8, paragrafo 1, lettera d)].

22.

L’articolo 8, paragrafo 2, prevede che le entità soggette alla direttiva possano calibrare gli obblighi di adeguata verifica della clientela in funzione del rischio associato al tipo di cliente, rapporto d’affari, prodotto o transazione di cui trattasi. Le suddette entità devono essere in grado di dimostrare alle autorità competenti che la portata delle misure è adeguata all’entità del rischio di riciclaggio e di finanziamento del terrorismo.

23.

Conformemente all’articolo 9, paragrafo 1, gli Stati membri devono imporre, salve talune eccezioni, che la verifica dell’identità del cliente e del titolare effettivo avvenga prima dell’instaurazione del rapporto d’affari o dell’esecuzione della transazione.

24.

Quando un’entità soggetta alla direttiva non è in grado di rispettare l’articolo 8, paragrafo 1, lettere da a) a c), gli Stati membri devono, ai sensi dell’articolo 9, paragrafo 5, primo comma, imporre che «essa non [possa] effettuare una transazione attraverso un conto bancario, non [possa] avviare il rapporto d’affari o effettuare la transazione in questione ovvero [debba] porre fine al rapporto d’affari in questione e [debba] prendere in considerazione di effettuare una segnalazione del cliente interessato alla UIF, a norma dell’articolo 22 [ ( 14 ) ]». Ai sensi dell’articolo 9, paragrafo 6, gli Stati membri devono imporre alle entità soggette alla direttiva di applicare gli obblighi di adeguata verifica della clientela non soltanto a tutti i nuovi clienti, ma anche, al momento opportuno, alla clientela esistente, sulla base della valutazione del rischio presente.

25.

L’articolo 11, paragrafo 1, prevede che «[i]n deroga all’articolo 7, lettere a), b) e d), all’articolo 8 e all’articolo 9, paragrafo 1, [le entità soggette alla direttiva] non sono soggett[e] agli obblighi di cui a detti articoli se il cliente è un ente creditizio o finanziario soggetto alla presente direttiva, oppure un ente creditizio o finanziario situato in un paese terzo, che imponga obblighi equivalenti a quelli previsti dalla presente direttiva e preveda il controllo del rispetto di tali obblighi». L’articolo 11, paragrafo 2, prevede altre circostanze in cui, in deroga all’articolo 7, lettere a), b) e d), all’articolo 8 e all’articolo 9, paragrafo 1, gli Stati membri possono autorizzare le entità soggette alla direttiva a non applicare gli obblighi standard di adeguata verifica della clientela. Ai sensi dell’articolo 11, paragrafo 3, le entità soggette alla direttiva devono raccogliere comunque informazioni sufficienti a stabilire se il cliente possa beneficiare di un’esenzione menzionata ai paragrafi 1 e 2 ( 15 ).

26.

Ai sensi dell’articolo 13, paragrafo 1, oltre agli obblighi stabiliti agli articoli 7, 8 e 9, paragrafo 6, gli Stati membri devono imporre alle entità soggette alla direttiva di applicare obblighi rafforzati di adeguata verifica della clientela, sulla base della valutazione del rischio esistente, in particolare nelle situazioni che per loro natura possono presentare un rischio più elevato di riciclaggio o finanziamento del terrorismo. Esse devono imporre tali obblighi almeno nei casi indicati ai paragrafi da 2 a 4 dell’articolo 13, ma anche in altre situazioni che presentano un elevato rischio di riciclaggio o di finanziamento del terrorismo e che soddisfano i criteri tecnici definiti a norma dell’articolo 40, paragrafo 1, lettera c) ( 16 ). Le situazioni previste all’articolo 13, paragrafi da 2 a 4, sono le seguenti: quando il cliente non è fisicamente presente ai fini dell’identificazione, i conti di corrispondenza con enti corrispondenti di paesi terzi e le operazioni o i rapporti d’affari con persone politicamente esposte residenti in un altro Stato membro o in un paese terzo. Per tali situazioni sono elencati specifici obblighi rafforzati di adeguata verifica della clientela (o esempi di misure appropriate).

27.

Conformemente all’articolo 20, gli Stati membri devono imporre alle entità soggette alla direttiva di prestare particolare attenzione a ogni attività che essi considerino particolarmente atta, per sua natura, ad avere una connessione con il riciclaggio o con il finanziamento del terrorismo.

28.

L’articolo 22, che, in combinato disposto con l’articolo 23, prevede obblighi di segnalazione, impone alle entità soggette alla direttiva (e, se del caso, ai loro amministratori e dipendenti) di collaborare pienamente, in particolare, informando prontamente l’UIF, di propria iniziativa, quando sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo [articolo 22, paragrafo 1, lettera a)].

29.

L’articolo 28 vieta alle entità soggette alla direttiva nonché ai loro amministratori e dipendenti di comunicare al cliente interessato o a terzi che sono state trasmesse informazioni in applicazione degli articoli 22 e 23 o che è in corso o può essere svolta un’inchiesta in materia di riciclaggio o di finanziamento del terrorismo.

30.

Ai sensi dell’articolo 34, paragrafo 1, gli Stati membri devono imporre alle entità soggette alla direttiva di introdurre idonee e appropriate politiche e procedure in materia di obblighi di adeguata verifica della clientela, di segnalazione di casi sospetti, di conservazione dei documenti, di controllo interno, di valutazione e di gestione del rischio, di garanzia dell’osservanza delle pertinenti disposizioni e di comunicazione per prevenire e impedire la realizzazione di operazioni connesse con il riciclaggio e il finanziamento del terrorismo.

31.

Gli articoli 36 e 37 riguardano la «Vigilanza». In particolare, l’articolo 37, paragrafo 1, prevede che gli Stati membri debbano imporre alle autorità competenti almeno di controllare in modo efficace e di adottare le misure necessarie per garantire che tutte le entità soggette alla direttiva ne osservino gli obblighi.

32.

Conformemente all’articolo 40, paragrafo 1, lettera c), la Commissione può adottare misure di attuazione che stabiliscano criteri tecnici per valutare se determinate situazioni presentino l’elevato rischio di riciclaggio o finanziamento del terrorismo di cui all’articolo 13.

33.

Il considerando 8 della direttiva sul trattamento dei dati personali afferma che «il livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento [dei] dati [personali] deve essere equivalente in tutti gli Stati membri». Il considerando 9 riconosce che, sebbene non possano più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, gli Stati membri disporranno di un margine di manovra di cui potranno valersi (nell’applicazione della direttiva sul trattamento dei dati personali) anche i partner economici e sociali.

34.

L’articolo 1 prevede che «[g]li Stati membri garantiscono (…) la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali». Conformemente all’articolo 1, paragrafo 2, «[g]li Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».

35.

L’articolo 2, lettera a), definisce i «dati personali» come «qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”)» e considera «identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale».

36.

Il «trattamento di dati personali» viene definito all’articolo 2, lettera b), come «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione».

37.

Conformemente all’articolo 3, paragrafo 1, la direttiva sul trattamento dei dati personali si applica «al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi».

38.

L’articolo 7 fissa i criteri per stabilire se il trattamento dei dati sia legittimo. Secondo, rispettivamente, le lettere c) e f), dell’articolo 7, il trattamento dei dati è legittimo quando è necessario «per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento» e «per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1».

39.

Il considerando 8 della direttiva sulle pratiche commerciali sleali stabilisce che tale direttiva tutela direttamente gli interessi economici dei consumatori dalle pratiche commerciali sleali delle imprese nei confronti dei consumatori e tutela indirettamente le attività legittime da quelle dei rispettivi concorrenti che non rispettano le regole contenute in detta direttiva. Quest’ultima garantisce pertanto, nel settore da essa coordinato, una concorrenza leale.

40.

Un «consumatore» ai sensi della direttiva sulle pratiche commerciali sleali è «qualsiasi persona fisica che, nelle pratiche commerciali oggetto della presente direttiva, agisca per fini che non rientrano nel quadro della sua attività commerciale, industriale, artigianale o professionale» [articolo 2, lettera a)]. Un «professionista» è «qualsiasi persona fisica o giuridica che, nelle pratiche commerciali oggetto della presente direttiva, agisca nel quadro della sua attività commerciale, industriale, artigianale o professionale e chiunque agisca in nome o per conto di un professionista» [articolo 2, lettera b)]. Per «pratiche commerciali delle imprese nei confronti dei consumatori» o «pratiche commerciali» si intende «qualsiasi azione, omissione, condotta o dichiarazione, comunicazione commerciale ivi compresi la pubblicità e il marketing, posta in essere da un professionista, direttamente connessa alla promozione, vendita o fornitura di un prodotto [ossia, qualsiasi bene o servizio ( 17 )] ai consumatori» [articolo 2, lettera d)].

41.

L’articolo 3, paragrafo 1, prevede che la direttiva sulle pratiche commerciali sleali «si applica alle pratiche commerciali sleali delle imprese nei confronti dei consumatori, come stabilite all’articolo 5 [che sancisce il divieto di pratiche commerciali sleali e stabilisce in che cosa consistono tali pratiche] poste in essere prima, durante e dopo un’operazione commerciale relativa a un prodotto».

42.

L’articolo 3, paragrafo 4, dispone che «[i]n caso di contrasto tra le disposizioni della [direttiva sulle pratiche commerciali sleali] e altre norme comunitarie che disciplinino aspetti specifici delle pratiche commerciali sleali, prevalgono queste ultime e si applicano a tali aspetti specifici».

43.

La direttiva sui servizi di pagamento stabilisce, in particolare, le regole per distinguere tra sei categorie di prestatori di servizi di pagamento, tra cui gli enti creditizi ai sensi dell’articolo 4, punto 1, lettera a), della direttiva 2006/48 [articolo 1, paragrafo 1, lettera a)] e gli istituti di pagamento ai sensi della direttiva sui servizi di pagamento [articolo 1, paragrafo1, lettera d)].

44.

L’articolo 4, punto 3, definisce i «servizi di pagamento» come «le attività commerciali elencate nell’allegato», che includono l’esecuzione di operazioni di pagamento. L’«istituto di pagamento» è, ai sensi dell’articolo 4, punto 4, «una persona giuridica che è stata autorizzata, a norma dell’articolo 10 [che impone alle imprese che intendano fornire servizi di pagamento di ottenere un’autorizzazione ad operare in qualità di istituto di pagamento prima di iniziare a prestare servizi di pagamento] a prestare ed eseguire servizi di pagamento in tutta la Comunità». Per «servizi di pagamento» si intendono «le attività commerciali elencate nell’allegato» [articolo 4, punto 3)]. L’«agente» è «una persona fisica o giuridica che fornisce servizi di pagamento per conto di un istituto di pagamento [articolo 4, punto 22)].

45.

Conformemente all’articolo 5, la domanda di autorizzazione a svolgere attività come istituto di pagamento deve contenere una serie di documenti, tra i quali «una descrizione dei meccanismi di controllo interno predisposti dal richiedente al fine di conformarsi agli obblighi in materia di lotta al riciclaggio e al finanziamento del terrorismo stabiliti dalla [direttiva sul riciclaggio]». L’articolo 10, paragrafo 2, dispone che l’autorizzazione sia concessa «se le informazioni e le prove che accompagnano la domanda soddisfano tutti i requisiti di cui all’articolo 5 e se, dopo la verifica della domanda, le autorità competenti pervengono a una valutazione complessiva positiva». Ai sensi dell’articolo 12, paragrafo 1, l’autorizzazione può essere revocata solo in determinate circostanze, compreso il caso in cui l’istituto di pagamento non soddisfa più le condizioni previste per la concessione dell’autorizzazione [articolo 12, paragrafo 1, lettera c)].

46.

Conformemente all’articolo 17, paragrafo 1, un istituto di pagamento che intenda fornire servizi di pagamento attraverso un agente deve comunicare allo Stato membro d’origine talune informazioni che consentano a tale agente di essere inserito in un registro accessibile al pubblico previsto all’articolo 13. Tali informazioni comprendono il nome e l’indirizzo dell’agente e una descrizione dei meccanismi di controllo interno a cui ricorreranno gli agenti al fine di conformarsi agli obblighi in materia di lotta al riciclaggio e al finanziamento del terrorismo stabiliti dalla direttiva sul riciclaggio.

47.

Ai sensi dell’articolo 20, paragrafo 1, primo comma, gli Stati membri devono designare come autorità competenti «(…) autorità pubbliche o enti riconosciuti dall’ordinamento nazionale o da autorità pubbliche espressamente abilitate a tal fine dall’ordinamento nazionale, comprese le banche centrali nazionali». Il secondo comma stabilisce che tali autorità devono garantire l’indipendenza dagli enti economici ed evitare conflitti di interesse. Fatto salvo il primo comma, tali autorità non dovrebbero essere esse stesse istituti di pagamento, enti creditizi, istituti di moneta elettronica o uffici postali.

48.

L’articolo 21 («Vigilanza») stabilisce quanto segue:

«1.   Gli Stati membri assicurano che i controlli effettuati dalle autorità competenti per verificare il rispetto permanente del presente titolo [“Prestatori di servizi di pagamento”] siano proporzionati, adeguati e consoni ai rischi ai quali sono esposti gli istituti di pagamento.

Al fine di verificare il rispetto del presente titolo, le autorità competenti sono autorizzate ad adottare le misure seguenti, in particolare:

2.   (…) gli Stati membri prevedono che le rispettive autorità competenti possano irrogare sanzioni nei confronti degli istituti di pagamento, o dei dirigenti responsabili, che si sono resi colpevoli di infrazioni alle disposizioni legislative, regolamentari o amministrative in materia di vigilanza o di esercizio dell’attività in materia di servizi di pagamento, o adottare provvedimenti la cui applicazione è diretta a far cessare le infrazioni accertate o a rimuoverne le cause.

(…)».

49.

L’articolo 79, sulla «Protezione dei dati», prevede che «[g]li Stati membri autorizzano il trattamento di dati a carattere personale da parte di sistemi di pagamento e di prestatori di servizi di pagamento qualora ciò sia necessario per garantire la prevenzione, l’indagine e l’individuazione dei casi di frode nei pagamenti. Il trattamento di tali dati a carattere personale è effettuato in conformità della [direttiva sul trattamento dei dati personali]».

50.

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (legge 10/2010, del 28 aprile, sulla prevenzione del riciclaggio e del finanziamento del terrorismo; in prosieguo: la «legge 10/2010»), che ha recepito la direttiva sul riciclaggio nel diritto spagnolo, distingue fra tre tipi di obblighi di adeguata verifica della clientela: i) obblighi standard di adeguata verifica della clientela (articoli da 3 a 6); ii) obblighi semplificati di adeguata verifica della clientela (articolo 9) ( 18 ), e iii) obblighi rafforzati di adeguata verifica della clientela (articolo 11).

51.

Gli obblighi standard di adeguata verifica della clientela includono l’identificazione formale delle persone interessate (articolo 3), l’identificazione dei beneficiari effettivi (articolo 4), l’ottenimento di informazioni sullo scopo e sulla natura del rapporto d’affari previsto (articolo 5) e il controllo costante del rapporto d’affari (articolo 6).

52.

Conformemente all’articolo 7, paragrafo 3, le persone soggette alla legge 10/2010 non possono avviare un rapporto d’affari o effettuare una transazione qualora non siano in grado di applicare gli obblighi di adeguata verifica della clientela previsti da tale legge. Se detta impossibilità si verifica nel corso del rapporto d’affari, esse dovrebbero porre fine a tale rapporto.

53.

L’articolo 9, paragrafo 1, lettera b), stabilisce che le persone soggette alla legge 10/2010 sono autorizzate a non applicare taluni obblighi standard di adeguata verifica della clientela nei confronti di clienti costituiti da enti finanziari con sede nell’Unione europea o in paesi terzi equivalenti e il cui rispetto degli obblighi di adeguata verifica della clientela è soggetto a vigilanza. Secondo il giudice del rinvio, l’uso del termine «autorizzate» indica che tale disposizione non stabilisce un obbligo. Tuttavia, il giudice del rinvio esprime dubbi riguardo al suo esatto significato.

54.

Conformemente all’articolo 11, gli obblighi rafforzati di adeguata verifica della clientela devono essere applicati, in base a una valutazione dei rischi, quando sussiste un elevato rischio di riciclaggio e di finanziamento del terrorismo. Talune situazioni, per loro natura, presentano siffatto rischio, in particolare i servizi di trasferimento di denaro.

55.

La Safe è una società che trasferisce fondi dei clienti all’estero (ossia, in altri Stati membri e in Stati terzi) attraverso i conti detenuti dalla stessa presso gli enti creditizi.

56.

La domanda di pronuncia pregiudiziale precisa che le banche hanno chiuso i conti detenuti dalla Safe dopo che quest’ultima ha rifiutato di fornire loro informazioni (riguardanti i suoi clienti e la destinazione dei fondi versati) che le stesse avevano chiesto in base alla legge 10/2010, a seguito di irregolarità relative agli agenti che erano autorizzati dalla Safe a eseguire trasferimenti attraverso i suoi conti e che erano stati verificati dal Banco de España (Banca di Spagna).

57.

L’11 maggio 2011 la BBVA ha comunicato tali irregolarità al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias del Banco de España (Servizio esecutivo della Commissione per la prevenzione del riciclaggio e dei reati finanziari della Banca di Spagna; in prosieguo: il «SEPBLAC»). Il 22 luglio 2011 la BBVA ha notificato alla Safe la chiusura irrevocabile del suo conto.

58.

La Safe ha contestato la decisione della BBVA di chiudere il suo conto (e le analoghe decisioni delle altre due banche) dinanzi al Juzgado de lo Mercantil No 5 de Barcelona (Tribunale commerciale n. 5, Barcelona; in prosieguo: il «Tribunale commerciale»), asserendo che la chiusura costituiva un atto di concorrenza sleale che le impediva di operare normalmente trasferendo fondi all’estero. Secondo la Safe: i) l’invio di rimesse all’estero richiedeva necessariamente la detenzione di conti da parte della stessa; ii) essa era in concorrenza con le banche sul mercato; iii) le banche non le avevano mai chiesto in precedenza di fornire loro i dati richiesti, riguardanti i clienti della Safe nonché l’origine e la destinazione dei fondi (tale prassi ha avuto inizio quando le banche si sono basate sulla legge 10/2010); iv) fornire alle banche tali dati sarebbe contrario alla normativa sulla protezione dei dati personali. Le banche hanno risposto che i loro provvedimenti erano conformi alla legge 10/2010, erano giustificati, in particolare, dai rischi relativi al trasferimento di fondi all’estero e non erano contrari al diritto della concorrenza.

59.

Il 25 settembre 2009 il Tribunale commerciale ha respinto il ricorso della Safe. Esso ha ritenuto che le banche fossero legittimate a chiedere alla Safe di adottare obblighi rafforzati di adeguata verifica della clientela e di fornire dati relativi ai suoi clienti, a condizione che esse individuassero nel comportamento della Safe indizi di una condotta contraria alla legge 10/2010. La questione se le banche avessero fondati motivi per procedere alla chiusura dei conti della Safe doveva essere esaminata caso per caso. Mentre nessuna banca aveva violato specifici divieti di condotta anticoncorrenziale, la Sabadell e la Liberbank (ma non la BBVA) avevano agito in modo sleale omettendo di indicare i motivi alla base dei loro provvedimenti. La condotta della BBVA era ritenuta giustificata in quanto si fondava su controlli che dimostravano che il 22% dei trasferimenti effettuati attraverso il conto della Safe durante il periodo compreso tra il 1o settembre e il 30 novembre 2010non erano eseguiti da agenti autorizzati dalla Safe e verificati dalla Banca di Spagna. Inoltre, durante tale periodo, sono stati effettuati trasferimenti da 1291 persone, che superavano di gran lunga il numero degli agenti della Safe. Una perizia aveva inoltre sottolineato i rischi dei trasferimenti non effettuati da agenti identificati.

60.

La Safe, la Sabadell e la Liberbank hanno impugnato tale sentenza dinanzi alla Audiencia Provincial, Barcelona (Tribunale provinciale, Barcellona; in prosieguo: il «giudice del rinvio»), chiamato a esaminare le tre impugnazioni congiuntamente.

61.

Il giudice del rinvio rileva che tutte le parti interessate sono soggette alla legge 10/2010, in quanto rientrano nelle categorie elencate all’articolo 2 di tale legge, che include gli enti creditizi e gli istituti di pagamento. Inoltre, tutte le parti sono in concorrenza sul mercato e svolgono la stessa attività di invio di rimesse all’estero. Tuttavia, gli istituti di pagamento (come la Safe) devono procedere a tale invio attraverso conti detenuti presso enti creditizi (come le banche).

62.

La Safe sostiene, in primo luogo, che la BBVA non era tenuta ad adottare gli obblighi di adeguata verifica della clientela nei confronti di enti finanziari, in quanto questi ultimi erano soggetti alla vigilanza diretta delle pubbliche autorità, in particolare della Banca di Spagna. In secondo luogo, in Spagna, solo il SEPBLAC può accedere ai dati relativi ai clienti di istituti di pagamento. In terzo luogo, anche qualora fosse stata tenuta ad adottare obblighi di adeguata verifica della clientela, la BBVA doveva effettuare uno studio dettagliato ed esaustivo della politica della Safe per conformarsi alla normativa in materia, prima di adottare tali misure. Nella fattispecie, la BBVA aveva chiesto semplicemente una perizia che era stata redatta utilizzando dati della stessa BBVA. In quarto luogo, la legge 10/2010 non si applica a persone, come gli agenti, che offrono assistenza agli enti finanziari per i trasferimenti di fondi.

63.

L’impugnazione della Sabadell si incentra sul fatto che la sentenza del Tribunale commerciale ha riconosciuto che la Sabadell potesse adottare, in via principio, obblighi rafforzati di adeguata verifica della clientela, ma non che potesse adottarli nella fattispecie. La Liberbank sostiene che la chiusura del conto era giustificata per non avere la Safe fornito le informazioni richieste.

64.

In tale contesto, il giudice del rinvio ha presentato una domanda di pronuncia pregiudiziale sulle seguenti questioni:

65.

Sono state presentate osservazioni scritte dalla BBVA, dalla Safe, dai governi spagnolo e portoghese nonché dalla Commissione europea. All’udienza del 6 maggio 2015, fatta eccezione per la BBVA e per il governo portoghese, le stesse parti hanno formulato osservazioni orali.

66.

Il punto essenziale della controversia dinanzi al giudice nazionale è di stabilire se le banche fossero legittimate o tenute, ai sensi della direttiva sul riciclaggio (come correttamente attuata), a adottare le iniziative che hanno assunto,, o se stessero utilizzando tale direttiva in modo ingiustificato come pretesto per compiere atti di concorrenza sleale.

67.

Presupposto essenziale per le questioni pregiudiziali è che le banche e la Safe siano entità soggette alla direttiva sul riciclaggio ( 19 ). Nessuna delle parti ha contestato la scelta del giudice del rinvio, nel formulare le questioni, di qualificarle, rispettivamente, come enti creditizi e come istituto di pagamento ai sensi della legge nazionale di attuazione dell’articolo 3, della direttiva sul riciclaggio.

68.

Con la prima questione, il giudice del rinvio si interroga sull’articolo 11, paragrafo 1, della direttiva sul riciclaggio, in particolare sull’esistenza di un divieto per uno Stato membro, ai sensi di tale disposizione in combinato disposto con gli articoli 5 e 7, di autorizzare o di imporre a un ente creditizio l’applicazione di obblighi standard di adeguata verifica della clientela nei confronti di un cliente che sia un istituto di pagamento e sia altresì soggetto alla direttiva sul riciclaggio [prima questione, sub a) e b)]. Con la prima questione, sub c), detto giudice formula un quesito analogo relativamente agli obblighi rafforzati di adeguata verifica della clientela ai sensi dell’articolo 13.

69.

A mio avviso, la risposta alla prima questione dipende, anzitutto, dalla portata degli articoli 7, 11, paragrafo 1, e 13 della direttiva sul riciclaggio. Qualora, nel dare attuazione a una di tali disposizioni, non sia vietato agli Stati membri autorizzare o imporre a un ente creditizio la chiusura dei conti di un istituto di pagamento in circostanze analoghe a quelle del caso di specie, non è necessario prendere in considerazione l’articolo 5, poiché in tal caso gli obblighi previsti dal diritto nazionale sono semplicemente corrispondenti a quelli previsti dalla direttiva sul riciclaggio.

70.

Per contro, qualora gli articoli 5, 7, 11, paragrafo 1, e 13 della direttiva sul riciclaggio dovessero essere interpretati nel senso che vietano agli Stati membri di autorizzare o di imporre agli enti creditizi, come le banche, l’applicazione di obblighi (rafforzati) di adeguata verifica della clientela in circostanze che richiedono obblighi semplificati di adeguata verifica della clientela, le questioni seconda e terza non sono più pertinenti, in quanto non avrebbe potuto esistere alcuna base giuridica per le misure adottate dalle banche.

71.

Qualora la direttiva sul riciclaggio non vieti agli Stati membri di autorizzare o di imporre obblighi (rafforzati) di adeguata verifica della clientela in siffatte circostanze, con le questioni seconda e terza si chiedono chiarimenti alla Corte riguardo alla portata di tali misure e alle condizioni alle quali le stesse possono essere imposte. In particolare, se il diritto nazionale possa prevedere che gli enti creditizi vigilino sulle operazioni nonché sulle procedure e sugli obblighi di adeguata verifica della clientela adottati da istituti di pagamento e, in caso di risposta affermativa, in che misura [seconda questione, sub a)]; se debba sussistere una specifica giustificazione per esercitare il diritto di applicare obblighi (rafforzati) di adeguata verifica della clientela, oppure se sia sufficiente che il cliente svolga un’attività rischiosa [seconda questione, sub b)]; qualora sia necessaria una specifica giustificazione, su quali criteri debba basarsi siffatta analisi [seconda questione, sub c)]; infine, se tali obblighi di adeguata verifica della clientela possano includere l’obbligo, per gli istituti di pagamento, di fornire i dati identificativi di tutti i loro clienti da cui provengono i fondi trasferiti e l’identità dei destinatari e se ciò sia conforme alla direttiva sul trattamento dei dati personali [terza questione, sub a) e b)].

72.

Nell’interpretazione della direttiva sul riciclaggio, tutte le parti hanno fatto valere le raccomandazioni e altro materiale prodotto dal GAFI, un organismo intergovernativo che stabilisce norme ed elabora e promuove politiche di lotta al riciclaggio e al finanziamento del terrorismo ( 20 ). La Corte ha già ammesso che la direttiva sul riciclaggio (come la precedente direttiva 91/308/CEE) è stata adottata per dare applicazione alle raccomandazioni del GAFI e per renderle vincolanti nell’Unione europea ( 21 ). La direttiva sul riciclaggio dovrebbe essere quindi interpretata in conformità con le raccomandazioni del GAFI del 2003 ( 22 ), che costituiscono essenzialmente gli standard minimi in materia. Pertanto, ne terrò conto ove opportuno.

73.

In talune questioni il giudice del rinvio ha individuato specifiche disposizioni del diritto dell’Unione. In altre no. Tuttavia, è pacifico che, per fornire una risposta soddisfacente alle questioni pregiudiziali, la Corte può essere chiamata a prendere in considerazione le disposizioni del diritto dell’Unione alle quali non è stato fatto alcun riferimento ( 23 ). Ho adottato tale approccio nel suggerire le risposte alle questioni pregiudiziali.

74.

Sebbene nella terza questione, sub b), non si faccia riferimento alla direttiva sulle pratiche commerciali sleali, il giudice del rinvio esprime nondimeno dubbi, in un’altra parte dell’ordinanza di rinvio, sul rapporto tra i diritti previsti da tale direttiva e dalla direttiva sul riciclaggio. Tuttavia, la direttiva sulle pratiche commerciali sleali non si applica nella fattispecie in quanto la Safe non«agisc[e] per fini che non rientrano nel quadro della sua attività commerciale, industriale, artigianale o professionale» ( 24 ). La Corte ha ritenuto che i termini «cliente» e «professionista», contenuti in tale direttiva, siano diametralmente opposti e che il termine «consumatore» si riferisca a «ogni privato non impegnato in attività commerciali o professionali» ( 25 ). Pertanto, la Safe non è un consumatore ai sensi di tale direttiva.

75.

Sebbene il giudice del rinvio non lo abbia dichiarato espressamente, da elementi contenuti nel fascicolo nonché da osservazioni scritte e orali emerge che la BBVA ha iniziato a sospettare lo svolgimento di operazioni di riciclaggio o di finanziamento del terrorismo dopo aver scoperto irregolarità nelle informazioni relative agli agenti che trasferivano fondi attraverso il conto che la Safe deteneva presso la BBVA.

76.

La BBVA ha chiuso il conto della Safe fondandosi sulla legge 10/2010, che, da un lato, autorizza l’applicazione di obblighi semplificati di adeguata verifica della clientela nei confronti degli enti finanziari la cui osservanza degli obblighi di adeguata verifica della clientela è soggetta a vigilanza e, dall’altro, impone alle entità soggette alla direttiva sul riciclaggio di applicare, in base alla valutazione dei rischi, obblighi rafforzati di adeguata verifica della clientela in situazioni che, per loro stessa natura, presentano un elevato rischio di riciclaggio e di finanziamento del terrorismo, quale il trasferimento di fondi.

77.

Con la prima questione, il giudice del rinvio chiede, in sostanza, se la direttiva sul riciclaggio osti a una legge nazionale che disciplini in tal modo gli obblighi (semplificati e rafforzati) di adeguata verifica della clientela.

78.

La direttiva sul riciclaggio prevede tre diversi tipi di obblighi di adeguata verifica della clientela (standard, semplificati e rafforzati). Gli Stati membri devono prevedere l’adeguata applicazione di tali obblighi per impedire che il sistema finanziario sia utilizzato a fini di riciclaggio e di finanziamento del terrorismo. Può essere necessario applicare tali obblighi prima o dopo che il rapporto d’affari sia stato instaurato o che la transazione sia stata eseguita. Il grado di deterrenza previsto per ogni tipo di obbligo dipende dal livello di rischio percepito che il sistema finanziario sia utilizzato ai suddetti fini. Tale livello di rischio è necessariamente variabile e gli Stati membri devono quindi garantire che gli obblighi da applicare siano adeguati alla singola fattispecie ( 26 ). Ritengo pertanto che la decisione relativa al grado dell’obbligo di adeguata verifica della clientela da applicare debba essere sempre basata su motivi verificabili.

79.

A mio avviso, il punto di partenza per comprendere il capo II («Obblighi di adeguata verifica»), contenuto nella direttiva sul riciclaggio, e il rapporto tra gli articoli 5, 7, 11, paragrafo 1, e 13 è l’obbligo di applicare obblighi standard di adeguata verifica della clientela.

80.

L’articolo 7 prevede le situazioni che fanno sorgere automaticamente l’obbligo di applicare obblighi standard di adeguata verifica della clientela, in quanto si ritiene che tali situazioni presentino rischi di riciclaggio o di finanziamento del terrorismo che possono essere impediti adottando le misure di cui agli articoli 8 e 9 ( 27 ). Tali situazioni riguardano: a) l’instaurazione di rapporti d’affari; b) l’esecuzione di transazioni occasionali il cui importo sia pari o superiore a EUR 15000; c) l’esistenza di sospetti di riciclaggio o di finanziamento del terrorismo, e d) l’esistenza di dubbi sulla veridicità o sull’adeguatezza dei dati precedentemente ottenuti ai fini dell’identificazione di un cliente. Pertanto, gli obblighi standard di adeguata verifica della clientela possono essere applicati prima che un rapporto d’affari sia stato costituito o che una transazione abbia avuto luogo [articolo 7, lettere a) e b)], o a prescindere dal ricorrere o meno di tali ipotesi [articolo 7, lettere c) e d)]. In particolare, l’articolo 7, lettera c), non contiene alcun elemento che indichi che il sospetto di riciclaggio o di finanziamento del terrorismo, cui viene fatto riferimento, debba sorgere prima di porre in essere un rapporto d’affari o una transazione, anziché durante il loro svolgimento.

81.

La direttiva sul riciclaggio non definisce il «sospetto di riciclaggio o di finanziamento del terrorismo». Sebbene l’articolo 22, paragrafo 1, lettera a) (sulla portata dell’obbligo di fornire informazioni all’UIF) suggerisca che avere un «sospetto» non equivale ad avere «motivi ragionevoli per sospettare» che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo, ritengo che tale distinzione non possa essere intesa nel senso che il «sospetto» di cui all’articolo 7, lettera c), sia una questione puramente soggettiva. A mio avviso, un sospetto deve fondarsi su elementi oggettivi che possano essere esaminati per verificare la conformità all’articolo 7, lettera c), e ad altre disposizioni della direttiva sul riciclaggio ( 28 ). Pertanto, ritengo che il «sospetto di riciclaggio o di finanziamento del terrorismo» ai sensi dell’articolo 7, lettera c), sorga in particolare quando, tenuto conto della particolare situazione di un cliente e delle sue transazioni (anche per quanto riguarda l’utilizzo e la gestione del suo conto o dei suoi conti), sussistano elementi verificabili i quali evidenzino il rischio che siano in atto o che si verifichino in futuro operazioni di riciclaggio o di finanziamento del terrorismo relativamente a tale cliente.

82.

Ai sensi della direttiva sul riciclaggio, il diritto nazionale deve prevedere che, quando sussiste un simile sospetto (e nelle altre situazioni elencate all’articolo 7), le entità soggette alla direttiva debbano applicare obblighi standard di adeguata verifica della clientela, tra i quali l’identificazione del cliente e la verifica della sua identità [articolo 8, paragrafo 1, lettera a)]; l’identificazione, se necessario, del titolare effettivo [articolo 8, paragrafo 1, lettera b)]; l’ottenimento di informazioni sullo scopo e sulla natura prevista del rapporto d’affari [articolo 8, paragrafo 1, lettera c)], e lo svolgimento di un controllo costante su un rapporto d’affari esistente e sulle transazioni già concluse [articolo 8, paragrafo 1, lettera d)]. L’ articolo 8, paragrafo 1, lettera d), può essere applicato solo ex post. Gli altri tre tipi di obbligo possono essere applicati in qualsiasi fase. Ciò è conforme all’articolo 9, paragrafo 6, secondo il quale gli Stati membri devono imporre alle entità soggette alla direttiva di applicare gli obblighi di adeguata verifica della clientela a tutti i nuovi clienti e, al momento opportuno, alla clientela esistente, sulla base della valutazione del rischio presente. Tuttavia, prima dell’instaurazione di un rapporto d’affari o dell’esecuzione di una transazione pertinente, gli Stati membri devono imporre la verifica dell’identità del cliente e del titolare effettivo (articolo 9, paragrafo1).

83.

Pertanto, gli articoli 7, 8 e 9 individuano le circostanze in cui il legislatore dell’Unione ha ritenuto che il diritto nazionale debba prevedere obblighi «standard» preventivi, quando sussista il rischio di riciclaggio e di finanziamento del terrorismo, e ha definito gli obblighi atti a impedire che tale rischio si concretizzi.

84.

In altre circostanze (dipendenti, ad esempio, dal tipo di cliente, dal rapporto d’affari, dal prodotto o dalla transazione ( 29 )), il rischio può essere maggiore o minore. Gli articoli 11 e 13 disciplinano rispettivamente tali situazioni, e impongono agli Stati membri di garantire che siano applicati obblighi di adeguata verifica della clientela di varia intensità.

85.

A determinate condizioni, stabilite all’articolo 11, gli obblighi di adeguata verifica della clientela di cui agli articoli 8 e 9, paragrafo 1, non trovano applicazione in circostanze in cui, ai sensi dell’articolo 7, lettere a), b) e d), sarebbero altrimenti imposti. Tali condizioni riguardano situazioni in cui il legislatore dell’Unione ha ritenuto che sussista un rischio minore di riciclaggio e di finanziamento del terrorismo a causa, ad esempio, dell’identità del cliente o del valore e del contenuto della transazione o del prodotto.

86.

Una simile ipotesi ricorre quando il cliente di un’entità soggetta alla direttiva è a sua volta un ente creditizio o un ente finanziario rientrante nell’ambito di applicazione della direttiva sul riciclaggio. Conformemente all’articolo 11, paragrafo 1, gli Stati membri non possono imporre alle entità soggette alla direttiva (come le banche) di applicare obblighi di adeguata verifica della clientela ai sensi degli articoli 8 e 9, paragrafo 1, nei confronti dei loro clienti (come la Safe) nelle circostanze elencate all’articolo 7, lettere a), b) e d).

87.

Il fatto che l’articolo 11, paragrafo 1, prescriva che entità soggette alla direttiva non debbano essere tenute a osservare obblighi standard di adeguata verifica della clientela, mentre altri paragrafi dell’articolo 11 (come l’articolo 11, paragrafo 2) consentono agli Stati membri di autorizzare obblighi semplificati di adeguata verifica della clientela, non modifica tale conclusione. L’uso di una formulazione permissiva in altre parti dell’articolo 11 indica che gli Stati membri possono scegliere di imporre gli obblighi semplificati di adeguata verifica della clientela stabiliti all’articolo 11, gli obblighi standard di adeguata verifica della clientela di cui all’articolo 8, oppure gli obblighi rafforzati o più rigorosi di adeguata verifica della clientela a norma, rispettivamente, degli articoli 13 e 5. A mio avviso, l’uso di una formulazione imperativa all’articolo 11, paragrafo 1, significa che le opzioni, in tale ipotesi, sono meno numerose: o si applicano obblighi semplificati di adeguata verifica della clientela o, quando sia pertinente e necessario, obblighi rafforzati o più rigorosi di adeguata verifica della clientela a norma, rispettivamente, degli articoli 13 e 5. Ciò che non si può applicare sono gli obblighi standard di adeguata verifica della clientela in quanto tali. Pertanto, non interpreto l’articolo 11, paragrafo 1, nel senso che esso vieta disposizioni più rigorose basate sull’articolo 5.

88.

La ratio della deroga di cui all’articolo 11, paragrafo 1, consiste nel fatto che il cliente è a sua volta soggetto alla direttiva sul riciclaggio. Tale cliente deve soddisfare tutti i requisiti rilevanti previsti in tale direttiva come attuata nel diritto nazionale, compresi quelli riguardanti gli obblighi di adeguata verifica della clientela, che esso deve applicare nei confronti dei propri clienti, ed è soggetto ai requisiti di segnalazione, di vigilanza e ad altri requisiti previsti da tale direttiva. In tali circostanze, l’esigenza di agire in via preventiva è attenuata.

89.

Tale ratio è inoltre conforme alla raccomandazioni del GAFI del 2012. Secondo il punto 16 della nota interpretativa alla raccomandazione 10, possono sussistere circostanze in cui il rischio di riciclaggio o di finanziamento del terrorismo sia minore e, fatta salva un’adeguata analisi dei rischi, potrebbe essere ragionevole consentire agli enti finanziari di applicare obblighi semplificati di adeguata verifica della clientela ( 30 ). Il punto 17 individua espressamente esempi di enti finanziari che sono a loro volta soggetti a requisiti di lotta al riciclaggio e al finanziamento del terrorismo conformi alle raccomandazioni del GAFI del 2012, che hanno dato effettiva attuazione a tali requisiti e che sono sottoposti a vigilanza per garantire che si conformino a tali obblighi ( 31 ).

90.

Ritengo, pertanto, che l’articolo 11, paragrafo 1, rifletta il principio secondo il quale gli obblighi di adeguata verifica della clientela devono essere commisurati ai rischi individuati ( 32 ). All’articolo 11, paragrafo 1, si presume un rischio ridotto in quanto, poiché il cliente è un’entità soggetta alla direttiva, sono già in vigore gli obblighi di adeguata verifica della clientela, di segnalazione e di vigilanza finalizzati alla gestione del rischio che tale entità, e in particolare i suoi clienti, possono presentare. L’articolo 11, paragrafo 1, tenta quindi di conciliare gli interessi di una disciplina effettiva, di una gestione dei rischi efficace in termini di costi e di una prevenzione adeguata e proporzionata del rischio di riciclaggio e di finanziamento del terrorismo.

91.

L’articolo 11, paragrafo 1, si applica a tutte le entità soggette alla direttiva, anche se talune possono essere tenute a rispettare condizioni aggiuntive, come nel caso degli istituti di pagamento in forza della direttiva sui servizi di pagamento. L’autorizzazione ad operare quali istituti di pagamento ad esse concessa dipende dall’osservanza della direttiva sul riciclaggio e, quando intendono ricorrere ad agenti registrati, tali entità devono disporre di un meccanismo interno di controllo per verificare tale osservanza ( 33 ).

92.

Tuttavia, nonostante l’applicazione della direttiva sul riciclaggio, della direttiva sui servizi di pagamento e di altra normativa dell’Unione ( 34 ), la tutela prevista dal diritto dell’Unione (e dalle leggi nazionali di attuazione) in vigore contro il rischio di riciclaggio e di finanziamento del terrorismo non può garantire un rischio zero di riciclaggio e di finanziamento del terrorismo ( 35 ).

93.

È per tale motivo che l’articolo 11, paragrafo 1, non deroga all’articolo 7, lettera c). A prescindere da qualsiasi deroga, esenzione o soglia e quindi a prescindere dal fatto che il cliente sia o meno un’entità soggetta alla direttiva, l’articolo 7, lettera c), prevede che gli obblighi di adeguata verifica della clientela siano sempre imposti quando vi è sospetto di riciclaggio o di finanziamento del terrorismo ( 36 ). In altri termini, quando sorge un siffatto sospetto, allo Stato membro è vietato, di conseguenza, consentire o imporre l’applicazione di obblighi semplificati di adeguata verifica della clientela. Pertanto, se il giudice nazionale competente nella fattispecie ritiene che la BBVA e le altre due banche abbiano legittimamente riscontrato l’esistenza di un siffatto sospetto nei confronti della Safe, il diritto dell’Unione gli impone di interpretare il diritto nazionale (per quanto possibile) nel senso che le banche erano tenute, ai sensi dell’articolo 7, lettera c), ad applicare (quantomeno) gli obblighi standard di adeguata verifica della clientela ( 37 ).

94.

Neppure il fatto che il cliente sia a sua volta un’entità soggetta alla direttiva sul riciclaggio comporta che lo Stato membro non possa imporre l’applicazione di obblighi rafforzati di adeguata verifica della clientela ai sensi dell’articolo 13 di tale direttiva, relativamente a tale cliente, qualora, nonostante le garanzie già previste dalla direttiva sul riciclaggio, dalla direttiva sui servizi di pagamento e da altra normativa dell’Unione, esista un rischio più elevato di riciclaggio e di finanziamento del terrorismo quale previsto da tale disposizione. L’articolo 11 prevede soltanto una deroga agli obblighi standard di adeguata verifica della clientela in situazioni di rischio meno elevato. Poiché non contiene alcun riferimento all’articolo 13, esso non riguarda gli obblighi di adeguata verifica della clientela che vengono imposti in caso di rischio più elevato.

95.

L’articolo 13 impone agli Stati membri di disporre che le entità soggette alla direttiva applichino, sulla base della valutazione del rischio esistente, obblighi rafforzati di adeguata verifica della clientela, in particolare in situazioni che per loro natura possono presentare un rischio più elevato di riciclaggio o di finanziamento del terrorismo e comunque nelle situazioni di rischio più elevato individuate ai paragrafi da 2 a 4 dell’articolo 13. L’invio di rimesse all’estero non rientra tra i casi elencati in tali paragrafi. Né il giudice del rinvio ha suggerito che si applichi uno di tali paragrafi ( 38 ). Tuttavia, l’articolo 13 non vieta agli Stati membri di individuare nei loro diritti nazionali, mediante l’adozione di un approccio basato sul rischio, altre situazioni che per loro natura presentano un rischio più elevato e quindi giustificano o addirittura richiedono l’applicazione di obblighi rafforzati (in aggiunta agli obblighi standard) di adeguata verifica della clientela.

96.

Pertanto, nonostante la deroga di cui all’articolo 11, paragrafo 1, gli articoli 7 e 13 della direttiva sul riciclaggio impongono agli Stati membri di garantire che le entità soggette alla direttiva applichino, in situazioni in cui siano coinvolti clienti che sono a loro volta entità soggette a tale direttiva: i) obblighi standard di adeguata verifica della clientela ai sensi degli articoli 8 e 9, paragrafo 1, quando vi è sospetto di riciclaggio o di finanziamento del terrorismo ai sensi dell’articolo 7, lettera c), e ii) obblighi rafforzati di adeguata verifica della clientela ai sensi dell’articolo 13 in situazioni previste da tale disposizione.

97.

Anche nel caso in cui gli Stati membri abbiano adeguatamente trasposto gli articoli 7, 11 e 13 nel diritto nazionale ( 39 ), l’articolo 5 consente loro di adottare o di mantenere in vigore «disposizioni più rigorose» intese a rafforzare la lotta al riciclaggio o al finanziamento del terrorismo ( 40 ), e conferma che la direttiva sul riciclaggio prevede solo un’armonizzazione minima ( 41 ). Tali «disposizioni più rigorose», a mio avviso, potrebbero riguardare situazioni per le quali la direttiva prevede un certo tipo di obblighi di adeguata verifica della clientela e anche altre situazioni che, secondo gli Stati membri, presentano un rischio.

98.

L’articolo 5 rientra nel capo I («Oggetto, ambito d’applicazione e definizioni») e si applica in relazione a tutte le «disposizioni (…) nel settore disciplinato dalla [direttiva sul riciclaggio]»«[p]er impedire il riciclaggio e il finanziamento del terrorismo». Il suo ambito di applicazione non è quindi limitato alle disposizioni contenute nel capo II («Obblighi di adeguata verifica della clientela»). Uno Stato membro può dunque prevedere che siano applicati obblighi di adeguata verifica della clientela da un ente creditizio nei confronti di un istituto di pagamento anche quando le condizioni di cui all’articolo 11, paragrafo 1, sono soddisfatte [e quindi anche quando non vi è alcun sospetto ai sensi dell’articolo 7, lettera c)] e in situazioni diverse da quelle elencate agli articoli 7 e 13, quando ciò è giustificato e comunque conforme al diritto dell’Unione ( 42 ).

99.

In sintesi, disposizioni come gli articoli 8 e 13 della direttiva sul riciclaggio lasciano agli Stati membri un notevole grado di libertà nel dare attuazione a tale direttiva, e precisamente quanto alle modalità con cui dare effetto all’obbligo di prevedere diversi tipi di obblighi di adeguata verifica della clientela, a seconda delle circostanze in questione e conformemente agli obblighi generali ad essi incombenti di valutare i rischi e di emanare leggi che impongano l’applicazione di misure commisurate al rischio individuato e conformi ad altri obblighi applicabili ai sensi del diritto dell’Unione. L’articolo 5 prevede inoltre un ulteriore margine di libertà, in quanto consente agli Stati membri di adottare o di mantenere in vigore «disposizioni più rigorose» quando le ritengano necessarie, purché, così facendo, essi rispettino gli obblighi cui sono tenuti ai sensi del diritto dell’Unione.

100.

Nella seconda questione, sub a), il giudice del rinvio si interroga sui poteri di vigilanza degli enti creditizi, ai sensi della direttiva sul riciclaggio e della direttiva sui servizi di pagamento, in relazione alle operazioni nonché agli obblighi e alle procedure di adeguata verifica della clientela degli istituti di pagamento che siano loro clienti. Con la seconda questione, sub c), punto ii), strettamente collegata alla precedente, viene chiesto se un ente creditizio possa valutare gli obblighi di adeguata verifica della clientela applicati da un istituto di pagamento.

101.

Ritengo che tali questioni si basino sul presupposto che i conti della Safe sono stati chiusi in quanto la medesima non ha fornito le informazioni richieste dalle banche nel contesto degli obblighi di adeguata verifica della clientela applicati da queste ultime. La chiusura dovrebbe essere quindi considerata come mezzo per dare esecuzione agli obblighi gravanti sulla Safe ai sensi della direttiva sul riciclaggio, ed eventualmente della direttiva sui servizi di pagamento, secondo la quale solo le autorità competenti, e non le banche, hanno competenza in materia ( 43 ).

102.

Non vedo come l’azione delle banche possa essere intesa come un’azione per sua natura di vigilanza. La direttiva sul riciclaggio riguarda gli obblighi di adeguata verifica della clientela, applicabili alle entità soggette a tale direttiva, non ai clienti a causa del loro status di clienti. La direttiva non impone ai clienti di fornire alle suddette entità le informazioni che queste ultime devono ottenere e verificare per adempiere i propri obblighi di adeguata verifica della clientela. Così, ad esempio l’articolo 8 descrive elementi di un rapporto d’affari sui quali è necessario ottenere e verificare informazioni. Tale norma non specifica che il diritto nazionale deve prevedere che le informazioni siano ottenute dal cliente e che quest’ultimo, ai sensi della direttiva sul riciclaggio, come adeguatamente attuata, sia tenuto a rispondere a siffatte richieste (anche se il cliente ha un forte interesse a rispondere per evitare le conseguenze descritte all’articolo 9, paragrafo 5) ( 44 ).

103.

Pertanto, iniziative del tipo previsto al primo comma dell’articolo 9, paragrafo 5 (compreso, quando un rapporto d’affari è già stato instaurato, la cessazione di tale rapporto) sono la conseguenza dell’impossibilità di un’entità soggetta alla direttiva di adempiere gli obblighi di adeguata verifica della clientela ai sensi dell’articolo 8, paragrafo 1, lettere da a) a c), come attuato dagli Stati membri. Tale conseguenza è giustificata dal rischio, derivante da tale impossibilità, che i clienti, le transazioni e i rapporti siano (o possano essere) utilizzati a fini di riciclaggio o di finanziamento del terrorismo.

104.

L’articolo 9, paragrafo 5 prescinde, per la sua applicazione, dalle motivazioni dell’impossibilità, per un’entità soggetta alla direttiva, di adempiere gli obblighi di adeguata verifica della clientela ai sensi dell’articolo 8, paragrafo 1, lettere da a) a c). Pertanto, il fatto che i clienti di un’entità soggetta alla direttiva non collaborino fornendo informazioni che le consentano di conformarsi alla normativa nazionale di attuazione dell’articolo 8 non è né necessario né sempre sufficiente a determinare le conseguenze stabilite all’articolo 9, paragrafo 5.

105.

È vero che l’articolo 37 della direttiva sul riciclaggio impone alle autorità competenti di controllare in modo efficace e di adottare le misure necessarie per garantire l’osservanza di tale direttiva da parte delle entità ad essa soggette, ivi compresi gli enti creditizi e gli istituti di pagamento che applicano obblighi di adeguata verifica della clientela a qualsiasi loro cliente. Come ha affermato l’avvocato generale Bot, l’efficacia degli obblighi di adeguata verifica della clientela e di comunicazione è garantita conferendo poteri di vigilanza e di sanzione alle autorità nazionali competenti ( 45 ). Concordo con l’avvocato generale sul fatto che gli obblighi di adeguata verifica della clientela, di segnalazione, di vigilanza e di controllo costituiscano congiuntamente misure preventive e dissuasive per contrastare efficacemente il riciclaggio e il finanziamento del terrorismo, e per garantire la solidità e l’integrità del sistema finanziario.

106.

Tuttavia, ciò non implica che le entità soggette alla direttiva, quando agiscono in base a leggi nazionali di attuazione degli articoli 8 e 9 della direttiva sul riciclaggio, assumano il ruolo di vigilanza riservato alle autorità competenti.

107.

Né ciò significa che le entità soggette alla direttiva possano pregiudicare i compiti di vigilanza che le autorità competenti, ai sensi dell’articolo 21 della direttiva sui servizi di pagamento, sono tenute a esercitare sugli istituti di pagamento per verificare l’osservanza delle disposizioni del Titolo II («Prestatori di servizi di pagamento») di tale direttiva ( 46 ). Sebbene tali autorità possano, in determinate circostanze, revocare la registrazione di agenti, della succursale o dello stesso istituto di pagamento ai sensi di tale direttiva ( 47 ), tali poteri coesistono con le misure preventive che devono essere applicate dalle entità soggette alla direttiva e con i poteri di vigilanza delle autorità competenti ai sensi della direttiva sul riciclaggio.

108.

Qualora gli Stati membri possano autorizzare o imporre agli enti creditizi l’applicazione di obblighi di adeguata verifica della clientela a un istituto di pagamento, il giudice del rinvio, con la seconda questione, sub b) e sub c), punti da i) a iii), chiede, in sostanza, se tali obblighi possano fondarsi semplicemente sul tipo di attività svolta in generale da tale istituto di pagamento o se debbano essere analizzati i singoli atti di tale istituto.

109.

Ricordo che tali questioni sorgono nell’ambito di una controversia di cui sono parti entità soggette alla direttiva che sostengono di aver fondato i loro obblighi di adeguata verifica della clientela sul diritto nazionale applicabile a situazioni che, secondo il legislatore, presentano un elevato rischio (come la prestazione di servizi di trasferimento di denaro) e che non sono elencate all’articolo 13. Inoltre, ho già esaminato quanto viene prescritto in caso di sospetto di riciclaggio ai sensi dell’articolo 7, lettera c) ( 48 ).

110.

Ritengo quindi che la seconda questione sub b) e sub c), punti da i) a iii) si riferisca a circostanze in cui uno Stato membro agisce nell’ambito della libertà concessagli dalla direttiva sul riciclaggio.

111.

Quando agisce nell’ambito di tale libertà, uno Stato membro deve tuttavia esercitare tale competenza in conformità al diritto dell’Unione, in particolare nel rispetto delle libertà fondamentali garantite dai Trattati ( 49 ). La Corte ha ammesso che occorre ponderare l’obiettivo della lotta all’uso del sistema finanziario a fini di riciclaggio o di finanziamento del terrorismo, sotteso alla direttiva sul riciclaggio, con la tutela di altri interessi, compresa la libera prestazione di servizi. Pertanto, nella sentenza Jyske Bank Gibraltar, la Corte ha ritenuto, in sostanza, che le limitazioni alla libera prestazione di servizi derivanti dall’obbligo di informazione, «nella misura in cui una normativa del genere miri ad accrescere, nel rispetto del diritto dell’Unione, l’efficacia della lotta al riciclaggio di capitali e al finanziamento del terrorismo», fossero ammissibili ( 50 ). Nel caso in cui (come nella fattispecie) il diritto dell’Unione non sia stato completamente armonizzato, una normativa nazionale che limita le libertà fondamentali può essere giustificata in quanto risponda a esigenze imperative di interesse generale, qualora tale interesse non sia già tutelato dalle norme cui il prestatore è soggetto nello Stato membro in cui è stabilito, se è idonea a garantire il conseguimento dello scopo perseguito e se non va oltre quanto necessario per il suo raggiungimento ( 51 ).

112.

La Corte ha già ammesso che la prevenzione e la lotta al riciclaggio e al finanziamento del terrorismo costituiscono obiettivi legittimi relativi alla tutela dell’ordine pubblico e tali da giustificare un ostacolo alla libera prestazione di servizi ( 52 ).

113.

Occorre chiedersi se una normativa nazionale come quella di cui trattasi sia idonea a garantire la realizzazione di tale obiettivo in quanto consente di ridurre i rischi e, più in generale, risponde realmente all’intento di raggiungere l’obiettivo in modo coerente e sistematico ( 53 ). Una normativa nazionale che individua, in seguito a un’adeguata valutazione dei rischi (anche relativamente ai clienti che sono istituti di pagamento), un elevato rischio connesso (ad esempio) al tipo di cliente, di paese, di prodotto o di transazione e che, su tale presupposto, autorizza o addirittura impone alle entità soggette alla direttiva, in seguito a una loro valutazione personalizzata dei rischi, opportuni obblighi di adeguata verifica della clientela soddisfa, a mio avviso, tale requisito.

114.

La valutazione della proporzionalità di una normativa nazionale comporta la determinazione del grado di tutela voluto dagli Stati membri in rapporto al livello di rischio accertato di riciclaggio e di finanziamento del terrorismo. A mio parere, la direttiva sul riciclaggio è da interpretare nel senso che essa conferma l’ipotesi che gli Stati membri possano prevedere, ad esempio, un grado di tutela più elevato rispetto a quello prescelto dal legislatore dell’Unione, individuare altre situazioni di (elevato) rischio e autorizzare o imporre obblighi di adeguata verifica della clientela diversi da quelli previsti da tale direttiva.

115.

Quando agiscono in tal senso, gli Stati membri possono, ad esempio, individuare misure specifiche da applicare in talune situazioni specifiche o conferire alle entità soggette alla direttiva il potere discrezionale di applicare, in base a un’adeguata valutazione dei rischi, le misure ritenute commisurate al rischio in questione in una determinata situazione. In entrambi i casi, gli Stati membri devono garantire che gli obblighi rafforzati di adeguata verifica della clientela applicati siano fondati sulla valutazione dell’esistenza e del livello del rischio di riciclaggio o di finanziamento del terrorismo, rischio relativo, a seconda dei casi, a un cliente, a un rapporto d’affari, a un conto, a un prodotto o a una transazione. In mancanza di siffatta valutazione, non è consentito allo Stato membro o, se del caso, a un’entità soggetta alla direttiva decidere quali misure applicare nella singola fattispecie. E, quando non sussiste alcun rischio di riciclaggio o di finanziamento del terrorismo, non può essere intrapresa alcuna azione preventiva basata su tali (legittime) motivazioni.

116.

Tale valutazione dei rischi deve tener conto, quantomeno, di tutti i fatti rilevanti atti a dimostrare il (livello di) rischio di un tipo di condotta da considerare quale riciclaggio o finanziamento del terrorismo. Siffatti rischi (e il loro livello) possono dipendere, in particolare, dai clienti, dai paesi o dalle aree geografiche, dai prodotti, dai servizi, dalle transazioni o dai canali di distribuzione. Pertanto, può essere necessario accertare, in base a informazioni già disponibili, ad esempio, chi siano le persone coinvolte in un trasferimento di beni, la provenienza di tali beni, i diritti trasferiti, l’eventuale conoscenza di un’attività illecita, il grado di partecipazione di determinate persone o entità all’acquisto, al possesso, all’uso o al trasferimento di beni, lo scopo di qualsiasi transazione o rapporto, l’ambito geografico di qualsiasi operazione avente ad oggetto i beni, il valore dei beni o di una transazione avente ad oggetto tali beni, oppure la regolarità o la durata del rapporto d’affari.

117.

Siffatta valutazione consente, in generale e in singoli casi, di decidere le modalità di gestione del rischio adottando misure adeguate. Nella scelta di tali misure, è necessario (sia per gli Stati membri sia, eventualmente, per le entità soggette alla direttiva) valutare in che misura il rischio percepito sia già gestito e il grado di tutela desiderato sia già garantito da altri provvedimenti, compresi quelli aventi per fondamento la direttiva sul riciclaggio, la direttiva sui servizi di pagamento e altra normativa dell’Unione o (nazionale). È assai improbabile che un singolo obbligo di adeguata verifica della clientela o altra misura possa eliminare qualsiasi rischio di riciclaggio o di finanziamento del terrorismo. Anzi, la normativa dell’Unione suggerisce che gli Stati membri debbano adottare vari tipi di risposta a tali rischi.

118.

Inoltre, la proporzionalità di una normativa nazionale dipenderà anche dalla misura in cui gli obblighi di adeguata verifica della clientela previsti da tale normativa possano interferire con altri diritti e interessi tutelati dal diritto dell’Unione, come la protezione dei dati personali (articolo 8 della Carta) e il principio della libera concorrenza tra soggetti operanti nello stesso mercato. Occorre ponderare gli obiettivi di detti obblighi con gli altri legittimi interessi menzionati.

119.

Infine, la proporzionalità di una normativa nazionale dipenderà dall’eventuale esistenza di mezzi alternativi e meno restrittivi per il raggiungimento del medesimo grado di tutela. Pertanto, ad esempio, anziché una legge generale in cui si presume che il trasferimento di fondi all’estero costituisca sempre un rischio elevato ( 54 ), una legge che distingue tra i paesi cui sono trasferiti tali fondi (in base al rischio rappresentato dall’invio di denaro in tali paesi) o che impone alle entità soggette alla direttiva di operare tale distinzione può essere meno restrittiva e raggiungere comunque il grado di tutela voluto dallo Stato membro.

120.

Con la terza questione, sub b), il giudice del rinvio chiede, in sostanza, se la direttiva sul trattamento dei dati personali vieti agli Stati membri di imporre agli istituti di pagamento di fornire dati relativi all’identità dei loro clienti agli enti creditizi, che sono loro diretti concorrenti, nel contesto degli obblighi rafforzati di adeguata verifica della clientela applicati da questi ultimi. La questione 3, sub a), è simile, anche se non fa riferimento né a specifiche disposizioni del diritto dell’Unione né al rapporto concorrenziale tra l’istituto di pagamento e gli enti creditizi (ma, per contro, fa riferimento ai dati relativi ai destinatari di fondi trasferiti attraverso i conti della Safe).

121.

Sono sorti dubbi sull’ammissibilità della terza questione, in quanto la BBVA insiste sul fatto che non ha mai richiesto dati personali relativi ai clienti della Safe o ai destinatari dei fondi trasferiti; essa ha chiesto solo informazioni relative agli agenti che hanno agito per conto della Safe e hanno utilizzato i conti della Safe.

122.

Se l’esposizione dei fatti da parte della BBVA è corretta e corrisponde anche alle circostanze alla base della controversia tra le altre due banche e la Safe, la terza questione risulterebbe in effetti irrilevante ai fini della risoluzione della lite nel procedimento principale. Tuttavia, è pacifico che non spetta alla Corte accertare e valutare i fatti che hanno dato luogo alla controversia. Tale compito è una prerogativa dei giudici nazionali ( 55 ) e la loro competenza a tal proposito è una questione di diritto nazionale. Risponderò quindi alla terza questione nei limiti del possibile.

123.

Le entità soggette alla direttiva, come gli enti creditizi e gli istituti di pagamento, possono aver necessità di raccogliere e di verificare dati relativi, quantomeno, ai propri clienti, in conformità alla direttiva sul riciclaggio o, qualora siano soggette a disposizioni più rigorose – come consentite dall’articolo 5 di tale direttiva – in base ad altre norme di diritto nazionale conformi al diritto dell’Unione. Quando ciò comporti un trattamento di dati personali rientrante nell’ambito di applicazione della direttiva sul trattamento dei dati personali (la direttiva sul riciclaggio non contiene disposizioni specifiche al riguardo), si applicano in via di principio i requisiti previsti da entrambe le direttive. Il considerando 33 della direttiva sul riciclaggio ne dà conferma riguardo alla comunicazione di informazioni di cui all’articolo 28. Altrettanto dicasi per il considerando 48, che fa riferimento al rispetto dei diritti fondamentali, compresa quindi la protezione dei dati personali di cui all’articolo 8 della Carta.

124.

Non vedo motivo per intendere il termine «il cliente» di cui all’articolo 8, paragrafo 1, lettera a) ( 56 ) o all’articolo 13 nel senso che esso si riferisce anche al cliente (o ai clienti) del cliente dell’entità soggetta alla direttiva. Tali disposizioni riguardano essenzialmente il rapporto tra un’entità soggetta alla direttiva e il suo cliente (o i suoi clienti) e le transazioni effettuate nell’ambito di tale rapporto. È certamente vero che l’articolo 13, paragrafo 4, lettera c), elenca le misure da adottare per stabilire l’origine del patrimonio e dei fondi impiegati in un rapporto d’affari o in un’operazione con persone politicamente esposte residenti in un altro Stato membro o in un paese terzo. Tuttavia, la domanda di pronuncia pregiudiziale non contiene elementi che indichino che ciò è quanto avviene nel caso di specie.

125.

Ciò detto, ritengo che la direttiva sul riciclaggio non osti necessariamente a normative nazionali che consentono o impongono a un’entità soggetta alla direttiva, quando giustificata, di ottenere informazioni sui clienti dei suoi clienti. Informazioni relative a tali clienti potrebbero essere rilevanti per valutare se il cliente dell’entità soggetta alla direttiva, le sue transazioni e i suoi rapporti d’affari presentino rischi di riciclaggio o di finanziamento del terrorismo.

126.

Non ritengo quindi che un’entità soggetta alla direttiva sul riciclaggio non possa mai essere autorizzata o obbligata, secondo il diritto nazionale, a chiedere informazioni sui clienti dei propri clienti al fine di impedire il riciclaggio e il finanziamento del terrorismo. Né la direttiva sul trattamento dei dati personali, in particolare l’articolo 7, sembra vietare il trattamento dei dati personali in tali circostanze.

127.

Tuttavia, tali normative nazionali devono essere altresì conformi ad altri obblighi di tale Stato membro previsti dal diritto dell’Unione, compresi i requisiti fissati dalla direttiva sul trattamento dei dati personali e gli articoli 8 e 52, paragrafo 1, della Carta.

128.

Alla luce di tutte le suesposte considerazioni, propongo alla Corte di rispondere alla Audiencia Provincial de Barcelona (Spagna) nei seguenti termini: