Procedura di cancellazione al World-Check, il Database Globale di Risk Intelligence per la Compliance sui Crimini Finanziari

 L'analisi della sua evoluzione aziendale, del suo mandato principale e della sua infrastruttura operativa rivela come un servizio specializzato sia diventato un componente indispensabile, e talvolta controverso, del sistema finanziario internazionale.

Le origini di World-Check risalgono alla fine degli anni '90, quando fu fondato nel 1999 (o 2000, le fonti variano) da David Leppan per rispondere alle rigorose esigenze di Know Your Customer (KYC) della comunità bancaria svizzera. In un'epoca di crescente attenzione normativa, le istituzioni finanziarie svizzere necessitavano di uno strumento più sofisticato per lo screening dei clienti, e World-Check nacque per colmare questa lacuna, specializzandosi nella fornitura di open source intelligence per la verifica dei database clienti.

La sua traiettoria aziendale successiva riflette la crescente importanza e il valore commerciale dei dati di risk intelligence a livello globale. Nel 2011, riconoscendone il potenziale strategico, Thomson Reuters, un gigante globale dell'informazione, acquisì World-Check, integrandolo nella sua unità di governance, gestione del rischio e compliance. Questo passaggio ha segnato la transizione di World-Check da fornitore specializzato a strumento di rilevanza internazionale.

Un'ulteriore evoluzione si è verificata nell'ottobre 2018, quando Thomson Reuters ha finalizzato un accordo con il colosso del private equity The Blackstone Group. A seguito di questa fusione, World-Check è passato sotto la proprietà di Refinitiv, una nuova entità focalizzata sui dati e le infrastrutture dei mercati finanziari. Questa mossa ha sottolineato l'enorme valore finanziario attribuito ai dati di rischio normativo. Infine, il suo status di infrastruttura critica per il mercato è stato cementato con l'acquisizione di Refinitiv da parte del London Stock Exchange Group (LSEG).

Questa evoluzione aziendale non è un semplice dettaglio storico, ma una chiara dimostrazione di come la compliance normativa sia stata istituzionalizzata e mercificata. Ciò che era iniziato come una soluzione a un'esigenza bancaria specifica è diventato un asset multimiliardario, indispensabile per l'architettura finanziaria globale. La traiettoria da startup privata a componente chiave di una delle principali borse mondiali indica che i dati sul rischio normativo non sono più un servizio di nicchia, ma una classe di asset fondamentale e di alto valore, che riflette la crescente posta in gioco nella lotta contro la criminalità finanziaria e le pressioni normative sulle istituzioni di tutto il mondo.

Lo scopo primario di World-Check è fornire una "fonte affidabile e accurata di risk intelligence" per aiutare le organizzazioni a rispettare i loro obblighi normativi. La sua funzione principale è quella di supportare le istituzioni finanziarie e altre entità regolamentate nello screening dei rischi associati a una vasta gamma di illeciti. Questi includono l'Antiriciclaggio (Anti-Money Laundering, AML), il Contrasto al Finanziamento del Terrorismo (Countering the Financing of Terrorism, CFT), l'Anticorruzione (Anti-Bribery & Corruption, ABC) e la conformità ai regimi sanzionatori internazionali.

Il database è concepito come un "sistema di allerta precoce" (early warning system), progettato per segnalare agli utenti possibili rischi e situazioni che richiedono un'analisi più approfondita (enhanced due diligence). È fondamentale notare che la presenza di un soggetto nel database non implica necessariamente che esso rappresenti un rischio effettivo. Piuttosto, serve come un indicatore che giustifica un'ulteriore indagine. Le istituzioni utilizzano World-Check per comprendere meglio l'identità dei loro clienti, svelare minacce nascoste di riciclaggio o finanziamento del terrorismo e mettere in luce collegamenti tra individui, organizzazioni ed entità che potrebbero richiedere un esame più attento.

Questo mandato è direttamente legato ai quadri normativi globali, come le direttive AML dell'Unione Europea e le raccomandazioni della Financial Action Task Force (FATF), che impongono alle istituzioni di adottare un approccio basato sul rischio per la gestione dei clienti. L'incapacità di adempiere a questi obblighi può comportare sanzioni pecuniarie significative, danni reputazionali e persino azioni penali.

Alla base del funzionamento di World-Check vi è una vasta infrastruttura di ricerca globale. L'azienda impiega centinaia di ricercatori e analisti specializzati dislocati in tutto il mondo, con una copertura che si estende a oltre 240 paesi e territori e la capacità di analizzare fonti in più di 65 lingue. Questa rete globale consente un monitoraggio continuo delle fonti di informazione 24 ore su 24.

Il processo si basa sulla raccolta di informazioni da "fonti di pubblico dominio credibili e affidabili". Queste informazioni vengono poi analizzate, verificate e distillate in report altamente strutturati, de-duplicati e sottoposti a controllo di qualità. Un principio chiave è che per ogni individuo o entità viene creato un unico record consolidato, indipendentemente dal numero di fonti duplicate trovate, al fine di fornire un profilo di rischio chiaro e conciso.

LSEG descrive la sua metodologia di ricerca come rigorosa e obiettiva, guidata da norme e regolamenti applicabili e soggetta a regolari audit di controllo qualità. I ricercatori sono tenuti a rispettare criteri rigorosi e a mantenere l'obiettività in ogni momento. Tuttavia, come verrà analizzato nella Sezione 4, la natura stessa delle fonti aperte e la loro interpretazione sono al centro delle principali controversie che circondano l'accuratezza e l'equità del database.

Per soddisfare le diverse esigenze dei suoi clienti, LSEG offre l'accesso ai dati di World-Check attraverso un ecosistema di prodotti flessibile. Questa architettura consente un'integrazione scalabile, servendo sia piccoli utenti che grandi società multinazionali. Le principali modalità di accesso sono:

• World-Check One: Si tratta di una piattaforma software di screening appositamente costruita che combina il database di World-Check con strumenti avanzati per la gestione dei casi (case management) e la risoluzione (remediation). Questa soluzione integrata è progettata per semplificare e accelerare il processo di due diligence, rendendo la gestione degli alert più rapida e intelligente. È personalizzabile per identificare una varietà di rischi specifici legati a terze parti.

• Data File: Questa opzione consiste in un feed di dati che permette ai clienti di integrare l'intelligence di World-Check direttamente nelle proprie soluzioni di workflow, siano esse proprietarie o di terze parti. È la scelta ideale per le organizzazioni che dispongono già di sistemi di screening e desiderano arricchirli con i dati di World-Check, mantenendo il pieno controllo sul processo all'interno della propria infrastruttura tecnologica.

• 
  

• API (Application Programming Interface): L'API consente un'integrazione ancora più profonda e flessibile, permettendo di incorporare i dati, le capacità di matching e le funzionalità avanzate di World-Check direttamente nei sistemi interni esistenti. Questo approccio è particolarmente utile per automatizzare e ottimizzare i processi di screening per l'onboarding dei clienti, il KYC e la due diligence sui rischi di terze parti.

Questo ecosistema di prodotti dimostra la maturità del servizio, che si è evoluto da un semplice database a una suite completa di soluzioni di risk management in grado di adattarsi a diversi contesti operativi e tecnologici.

Questa sezione analizza in dettaglio il contenuto del database World-Check, specificando quali informazioni vengono raccolte, da dove provengono e come vengono classificate. La comprensione di questi elementi è fondamentale per valutare sia l'efficacia dello strumento sia le sue intrinseche vulnerabilità.

Il fondamento metodologico di World-Check è l'utilizzo esclusivo di "informazioni di pubblico dominio credibili e affidabili" (Open Source Intelligence o OSINT). Il database viene costruito attraverso il monitoraggio costante di oltre 100.000 fonti pubbliche in tutto il mondo. Questo approccio consente di creare un database di rischio eccezionalmente completo, che va ben oltre le liste governative statiche. Le principali categorie di fonti includono:

• 
  

• Liste Ufficiali: Il nucleo del database è costituito dal monitoraggio di centinaia di liste sanzionatorie globali, come quelle emesse dall'OFAC (Office of Foreign Assets Control) del Dipartimento del Tesoro statunitense, dalle Nazioni Unite, dall'Unione Europea e dal Tesoro del Regno Unito (UKHMT). A queste si aggiungono le liste di controllo delle forze dell'ordine (come Interpol e FBI) e le liste di enti regolatori finanziari.

• 
  

• Registri Governativi e Giudiziari: Vengono analizzate informazioni provenienti da autorità giudiziarie, dipartimenti di pubblica sicurezza e siti web governativi (parlamentari, governativi locali).

• 
  

• Ricerche sui Media (Adverse Media): Una componente significativa del valore di World-Check risiede nel monitoraggio di migliaia di pubblicazioni mediatiche "affidabili" a livello nazionale e internazionale. Questo permette di identificare i cosiddetti "media negativi", ovvero notizie relative a indagini, accuse o coinvolgimenti in attività illecite che non sono ancora sfociate in una condanna o nell'inserimento in una lista ufficiale.

• 
  

• Informazioni Auto-Divulgate: Vengono prese in considerazione anche le informazioni rese pubbliche dal soggetto stesso attraverso siti web personali, blog o profili sui social media.

Questo approccio basato sull'OSINT è contemporaneamente la più grande forza e la più critica vulnerabilità di World-Check. Da un lato, permette di identificare "rischi nascosti" che non figurano nelle liste ufficiali. Dall'altro, introduce nel sistema i limiti intrinseci delle informazioni pubbliche: i media, per loro natura, tendono a dare grande risalto a un arresto o a un'indagine, ma spesso dedicano molta meno attenzione, o nessuna, a una successiva assoluzione che può avvenire anni dopo. Questo squilibrio nel ciclo di vita dell'informazione crea una lacuna sistemica: l'evento che genera il "rischio" viene registrato, ma l'evento che lo annulla (l'assoluzione) viene frequentemente omesso. Di conseguenza, la metodologia del database presenta un pregiudizio strutturale che favorisce la conservazione di informazioni negative, portando direttamente ai problemi di dati obsoleti e "falsi positivi" che verranno esaminati in dettaglio nella Sezione 4. Il database di World-Check contiene oltre 4 milioni di record e continua a crescere. I profili coprono una vasta gamma di individui ed entità considerati a rischio potenziale. Le categorie principali sono:

• 
  

• Persone Politicamente Esposte (PEP): Questa è una componente fondamentale del database e rappresenta circa il 50% dei record. La classificazione si basa sulle definizioni della FATF e include non solo le PEP stesse (come capi di stato, ministri, parlamentari, alti funzionari giudiziari e militari, dirigenti di aziende statali), ma anche i loro familiari e stretti collaboratori (Relatives and Close Associates, RCA). Sono inclusi anche ruoli diplomatici come ambasciatori e consoli.

• 
  

• Imprese a Partecipazione Statale (SOE) e Imprese a Investimento Statale (SIE): Il database monitora queste entità, compresi i loro membri del consiglio di amministrazione e dirigenti senior.

• 
  

• Entità Sanzionate: Include individui, organizzazioni, navi e aeromobili presenti nelle principali liste sanzionatorie globali.

• 
  

• Individui ed Entità ad Alto Rischio: Questa è la categoria più ampia e controversa. Include soggetti collegati a specifiche categorie di rischio anche se non presenti in liste ufficiali. È importante sottolineare che World-Check include non solo persone condannate per un reato, ma anche coloro che sono stati semplicemente accusati, indagati, arrestati, incriminati o processati. Il database si impegna a specificare chiaramente questa distinzione all'interno del report.

• 
  

• Organizzazioni: Vengono profilate anche diverse tipologie di organizzazioni, come fondazioni, istituzioni religiose e autorità di servizi finanziari, qualora emergano elementi di rischio. Per consentire uno screening mirato, il database utilizza oltre 60 argomenti di rischio e centinaia di parole chiave specifiche. L'ambito dei reati monitorati è estremamente vasto e copre la criminalità finanziaria, la criminalità organizzata e altri reati gravi. Questa tassonomia dimostra la vastità della copertura di World-Check, che si estende ben oltre il riciclaggio di denaro per includere quasi ogni forma di attività criminale grave che possa avere implicazioni finanziarie o reputazionali per un'istituzione.

Questa sezione analizza come World-Check viene utilizzato come strumento operativo all'interno dei quadri normativi globali e delle strategie di prevenzione della criminalità. Il suo impiego non è una scelta discrezionale, ma una necessità guidata da obblighi legali e dalla crescente complessità dei rischi finanziari.

L'adozione diffusa di database come World-Check è una diretta conseguenza dell'inasprimento dei quadri normativi internazionali e nazionali. Organismi come la Financial Action Task Force (FATF o GAFI in italiano) stabiliscono standard globali per la lotta al riciclaggio di denaro e al finanziamento del terrorismo, che vengono poi recepiti nelle legislazioni nazionali, come le Direttive Antiriciclaggio dell'Unione Europea e il D.Lgs. 231/2007 in Italia.

Queste normative impongono alle istituzioni finanziarie e ad altre "professioni e imprese non finanziarie designate" (come avvocati, notai e casinò) l'obbligo legale di eseguire una Customer Due Diligence (CDD), o Adeguata Verifica della Clientela. Questo processo richiede di identificare e verificare l'identità dei clienti, comprendere la natura del rapporto d'affari e valutare il loro profilo di rischio. Per i clienti considerati ad alto rischio (ad esempio, le PEP), è richiesta una Enhanced Due Diligence (EDD), ovvero un'analisi più approfondita.

In questo contesto, lo screening dei clienti rispetto a liste sanzionatorie, elenchi di PEP e notizie negative (adverse media) non è facoltativo, ma un requisito fondamentale per dimostrare la conformità. La mancata adozione di misure adeguate può esporre le istituzioni a sanzioni amministrative e penali, oltre a un grave danno reputazionale. Di conseguenza, strumenti come World-Check diventano essenziali per automatizzare e documentare un processo che sarebbe impossibile da gestire manualmente su larga scala.

World-Check è integrato in diverse fasi cruciali del ciclo di vita del rapporto con il cliente, fungendo da spina dorsale per i processi di compliance.

• Onboarding: La prima e più critica applicazione avviene durante la fase di acquisizione di un nuovo cliente (onboarding). Prima di stabilire un rapporto d'affari, l'istituzione effettua uno screening del nome dell'individuo o dell'entità rispetto al database di World-Check per identificare eventuali rischi potenziali. Il risultato di questo screening è un fattore determinante nella decisione di accettare o meno il cliente e nel definire il suo livello di rischio iniziale.

• Monitoraggio Continuo (Ongoing Monitoring): Il rischio non è statico. Un cliente può diventare una PEP, essere coinvolto in un'indagine o essere aggiunto a una lista sanzionatoria in qualsiasi momento. Le normative richiedono quindi un monitoraggio continuo del portafoglio clienti. World-Check facilita questo processo fornendo aggiornamenti costanti al suo database, che consentono alle istituzioni di essere allertate in tempo reale su eventuali cambiamenti nel profilo di rischio dei loro clienti esistenti.

• Screening delle Transazioni: Oltre allo screening dei clienti, il database viene utilizzato per lo screening dei pagamenti, in particolare per le transazioni istantanee e transfrontaliere. Questo aiuta a garantire che i fondi non vengano inviati a o ricevuti da individui o entità sanzionate, bloccando le operazioni sospette prima che vengano completate.

• 
  

• Rischio di Terze Parti: L'applicazione di World-Check si estende oltre i clienti per includere la gestione del rischio associato a terze parti, come fornitori, agenti e partner commerciali (Know Your Supplier - KYS). Questo è fondamentale per proteggere l'azienda dall'essere involontariamente associata a pratiche di corruzione o altre attività illecite all'interno della propria catena di fornitura.

• 
  

L'integrazione di World-Check in questi flussi di lavoro ha trasformato il database in una sorta di "utility normativa". È diventato così profondamente radicato nei processi di compliance che il suo utilizzo è ora lo standard de facto per dimostrare la diligenza agli auditor e ai regolatori. Questa dipendenza sistemica, tuttavia, crea un potente incentivo alla "de-risking", una cultura in cui l'output dello strumento, piuttosto che un'analisi indipendente e ponderata, può guidare le decisioni aziendali. Per evitare sanzioni normative, le banche diventano estremamente avverse al rischio. Un "match" su World-Check, anche se si tratta di un falso positivo, può essere percepito come un rischio che non vale la pena correre, portando alla chiusura di conti o al rifiuto di servizi non a causa di un illecito accertato, ma per evitare il semplice scrutinio normativo. In questo modo, lo strumento, concepito per informare le decisioni, inizia inavvertitamente a prenderle, privatizzando di fatto l'atto di inserimento in una lista nera e creando un sistema di esclusione finanziaria che opera parallelamente al sistema giudiziario formale.

World-Check svolge un ruolo significativo nella lotta contro la criminalità organizzata, inclusi i reati di stampo mafioso, fornendo strumenti per interrompere il flusso di denaro illecito che ne alimenta le attività. Il database include esplicitamente la "criminalità organizzata" e i reati presupposto associati, come il traffico di droga e armi, l'estorsione e l'associazione a delinquere (racketeering), tra le sue categorie di rischio.

Una delle funzionalità più potenti di World-Check in questo contesto è la sua capacità di collegare soggetti associati. Questo permette agli analisti di identificare e mappare reti criminali e associazioni che potrebbero non essere immediatamente evidenti. Ad esempio, lo screening di un individuo potrebbe rivelare collegamenti con società di facciata, prestanome o altri collaboratori noti, fornendo una visione più completa della struttura criminale.

Le istituzioni finanziarie utilizzano queste informazioni per bloccare il riciclaggio dei proventi derivanti da attività illecite, un obiettivo chiave per le forze dell'ordine come l'FBI e per gli organismi di regolamentazione. Interrompendo l'accesso al sistema finanziario legale, si colpiscono le organizzazioni criminali nel loro punto più vulnerabile: la capacità di utilizzare e godere dei profitti delle loro attività.

Inoltre, lo stesso World-Check è utilizzato direttamente da agenzie governative, servizi di intelligence e forze dell'ordine come strumento investigativo. I dati contenuti nel database possono fornire spunti preziosi per le indagini finanziarie, aiutando a tracciare i flussi di denaro e a identificare i principali attori delle reti criminali. In questo senso, World-Check agisce come un ponte informativo tra il settore privato, che ha visibilità sulle transazioni finanziarie, e il settore pubblico, che ha il mandato di perseguire la criminalità.

Questa sezione esamina criticamente i significativi difetti e le conseguenze negative associate alla metodologia e ai dati di World-Check. Nonostante il suo ruolo cruciale nella compliance, lo strumento è stato al centro di numerose controversie che ne mettono in discussione l'accuratezza, l'equità e l'impatto su individui e organizzazioni innocenti.

Un "falso positivo" si verifica quando un sistema di screening segnala erroneamente un individuo o un'entità come una corrispondenza con un profilo ad alto rischio. Questo non è un problema occasionale, ma una questione sistemica nel campo dello screening sanzionatorio. Alcune stime del settore suggeriscono che oltre il 90% degli alert generati da tali sistemi possono essere falsi positivi. Le cause sono molteplici e includono nomi comuni, dati di input incompleti o errati (come errori di battitura), e i limiti intrinseci degli algoritmi di matching che faticano a distinguere tra omonimi.

Sebbene LSEG affermi di aver implementato funzionalità per ridurre i falsi positivi, come l'uso di identificatori secondari (data di nascita, nazionalità) e algoritmi di matching configurabili , il problema persiste. Questo crea un onere operativo significativo per i team di compliance, che devono investigare manualmente ogni singolo alert per determinare se si tratta di una corrispondenza reale o di un falso positivo, un'attività che consuma tempo e risorse.

L'impatto più grave, tuttavia, si verifica quando questi falsi positivi non vengono gestiti correttamente. Per gli individui e le aziende erroneamente identificati, le conseguenze possono essere devastanti, portando al rifiuto di servizi finanziari, alla chiusura di conti e a un grave danno reputazionale, come dimostrano i casi documentati.

Il caso della moschea di Finsbury Park contro World-Check (all'epoca di proprietà di Thomson Reuters) è un esempio emblematico dell'impatto reale di informazioni obsolete e imprecise. La moschea, un'importante istituzione comunitaria nel nord di Londra, fu inserita nella categoria "Terrorismo" del database. Questa classificazione si basava su vecchi articoli di stampa relativi a una precedente gestione, associata al predicatore radicale Abu Hamza, che era stata allontanata molti anni prima, nel 2005. La nuova gestione aveva trasformato la moschea in un modello di relazioni inter-comunitarie, ma il profilo di World-Check non rifletteva questo cambiamento fondamentale.

Le conseguenze furono immediate e gravi. La banca della moschea, HSBC, informò l'istituzione che non rientrava più nel suo "appetito per il rischio" e procedette alla chiusura del conto. Successivamente, numerose altre banche si rifiutarono di aprire un nuovo conto, paralizzando di fatto la capacità della moschea di gestire le proprie finanze e di servire la sua comunità.

L'esito legale fu una vittoria completa per la moschea. Dopo aver intentato una causa per diffamazione, Thomson Reuters ammise che l'accusa era falsa, ritirò il profilo diffamatorio, presentò scuse formali in tribunale e accettò di pagare un risarcimento di 10.000 sterline più le spese legali. Il caso rivelò anche gravi falle sistemiche nel processo di World-Check: emerse che il database aveva utilizzato fonti di dubbia affidabilità come Wikipedia per le sue analisi. Inoltre, i termini e le condizioni del servizio impedivano contrattualmente agli abbonati (le banche) di condividere il contenuto del profilo con il soggetto interessato per una verifica, creando un "manto di segretezza" che rendeva quasi impossibile per le vittime difendersi.

Il caso della moschea non è un episodio isolato. Un'inchiesta di VICE News ha rivelato che anche altri individui, tra cui attivisti e giornalisti, sono stati erroneamente inseriti nella categoria "Terrorismo". Tra questi figurano Maajid Nawaz, un noto conduttore radiofonico e riformatore musulmano, e Azzam Tamimi, un giornalista e accademico britannico-palestinese.

Anche in questi casi, i profili erano stati creati molti anni prima (in alcuni casi oltre 15 anni) e contenevano informazioni obsolete o decontestualizzate. Le conseguenze furono simili a quelle subite dalla moschea: Tamimi, la sua famiglia e la sua attività si videro chiudere i conti da tre diverse banche (Barclays, HSBC e Arabi Islami Bank) nell'arco di diversi anni, senza mai sapere il motivo reale, poiché ignoravano la loro presenza nel database.

A seguito di azioni legali, anche questi individui hanno ottenuto la rimozione dei profili e un risarcimento danni. Questi casi dimostrano un modello ricorrente di danno a lungo termine e nascosto, causato da un sistema che manca di meccanismi di revisione e aggiornamento adeguati e che opera con scarsa trasparenza nei confronti dei soggetti profilati.

La principale e più tangibile conseguenza per un individuo erroneamente inserito in World-Check è l'esclusione finanziaria. Le banche, spinte da un approccio iper-cauto alla gestione del rischio normativo, possono chiudere conti correnti esistenti o rifiutarsi di aprirne di nuovi. Questo rende estremamente difficile, se non impossibile, ottenere mutui, prestiti o persino accedere a servizi bancari di base, con un impatto devastante sulla vita quotidiana e professionale.

Il danno, tuttavia, non è solo finanziario. Un profilo negativo su un database così influente può compromettere le opportunità di lavoro, poiché molte aziende, specialmente nel settore finanziario, utilizzano questi strumenti per i controlli di background sui dipendenti. Il danno più insidioso è quello reputazionale. Essere etichettati, anche segretamente, come un rischio legato al terrorismo o alla criminalità finanziaria crea un sospetto di illecito che è incredibilmente difficile da cancellare, anche dopo che i dati sono stati corretti.

Questi casi di studio non rappresentano fallimenti isolati, ma sono la manifestazione sintomatica del difetto metodologico fondamentale di World-Check. Il modello di business, che privilegia l'aggregazione completa di dati da fonti pubbliche, è strutturalmente incline a creare e perpetuare imprecisioni dannose. Esiste una profonda e pericolosa disconnessione tra lo scopo dichiarato di World-Check come strumento consultivo e la sua applicazione pratica come strumento determinante. Le istituzioni finanziarie, per avversione al rischio, trattano la funzione di "allerta" come un verdetto. Sebbene le transazioni legali e le scuse dimostrino che l'azienda riconosce i propri errori quando viene contestata, il sistema sottostante che produce tali errori rimane invariato. L'onere della scoperta, della contestazione e della correzione ricade interamente sulla vittima, che spesso è l'ultima a sapere di essere stata profilata.

Questa sezione fornisce una guida pratica e attuabile per gli individui che desiderano comprendere ed esercitare i propri diritti in relazione a World-Check. Sebbene il sistema possa apparire opaco, esistono procedure formali, in gran parte basate sul Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, che consentono ai soggetti di accedere, correggere e richiedere la cancellazione dei propri dati.

Il primo passo fondamentale per qualsiasi individuo che sospetti di essere ingiustamente inserito nel database è esercitare il proprio diritto di accesso. Questo diritto, sancito dal GDPR, permette di sapere se un'organizzazione sta trattando i propri dati personali e di riceverne una copia. La procedura ufficiale per World-Check è la seguente:

1. 
   

2. Presentazione della Richiesta: L'individuo deve presentare una Data Subject Access Request (DSAR) formale. LSEG ha predisposto un modulo web specifico per questo scopo, accessibile tramite il suo sito web.

3. 
   

4. Verifica dell'Identità: Dopo aver ricevuto la richiesta, LSEG invierà un'e-mail all'indirizzo fornito per richiedere una prova di identità (ad esempio, una copia di un documento d'identità). Questo passaggio è una misura di sicurezza obbligatoria per garantire che i dati personali non vengano divulgati a terzi non autorizzati.

5. 
   

6. Risposta: Una volta verificata l'identità, LSEG comunicherà se il nome del richiedente è presente o meno nel database di World-Check. L'azienda si impegna a fornire una risposta solitamente entro 10 giorni lavorativi, o comunque entro i termini previsti dalle leggi sulla protezione dei dati applicabili. Questo servizio è gratuito.

Se la presenza nel database viene confermata e le informazioni sono inaccurate, obsolete o trattate illecitamente, l'individuo ha il diritto di richiederne la rettifica o la cancellazione. Quest'ultimo diritto è noto anche come "diritto all'oblio", sancito dall'articolo 17 del GDPR. La procedura da seguire è:

1. 
   

2. Contatto Formale: La richiesta di correzione o cancellazione deve essere inviata via e-mail all'indirizzo ufficiale: contact@world-check.com.

3. 
   

4. Preparazione della Documentazione: È fondamentale allegare alla richiesta tutta la documentazione che comprovi l'inesattezza o la non attualità delle informazioni. Questa documentazione è la chiave del successo della richiesta e può includere:

   • Sentenze di assoluzione o archiviazione.

   • Lettere ufficiali di enti governativi che confermano la chiusura di un'indagine senza seguito.

   • Smentite o articoli di rettifica pubblicati dai media.

   • Qualsiasi altro documento ufficiale che dimostri che le informazioni contenute nel profilo di World-Check non sono più valide o corrette.

5. 
   

6. Valutazione da Parte di LSEG: World-Check esaminerà attentamente la richiesta e le prove fornite. L'azienda si riserva il diritto di non accogliere la richiesta, o di accoglierla solo parzialmente, se ritiene di avere una base legittima per continuare a trattare i dati (ad esempio, se le informazioni sono corrette e rilevanti ai fini della prevenzione della criminalità finanziaria). In ogni caso, è tenuta a fornire una motivazione per la sua decisione.

Una tattica strategica, suggerita da alcuni esperti di reputazione digitale, consiste nel richiedere prima la rimozione delle fonti originali (ad esempio, vecchi articoli di giornale online) invocando il diritto all'oblio direttamente con i motori di ricerca o gli editori. Una volta rimosse le fonti, si può presentare la richiesta a World-Check dimostrando che le informazioni su cui si basa il loro profilo non hanno più un fondamento pubblico.

Il processo di contestazione e cancellazione può essere complesso e tecnicamente impegnativo. Per questo motivo, può essere vantaggioso avvalersi dell'assistenza di professionisti, come studi legali specializzati in protezione dei dati e diritto all'oblio, o agenzie di gestione della reputazione online.

Questi esperti possono fornire un supporto cruciale in diverse fasi:

• 
  

• Analisi del Caso: Valutare la fondatezza della richiesta e la forza delle prove disponibili.

• Raccolta Documentale: Aiutare a reperire i documenti necessari per supportare la richiesta.

• Redazione della Richiesta: Preparare una richiesta formale e legalmente solida, indirizzandola ai contatti corretti.

• Negoziazione: Interfacciarsi direttamente con i rappresentanti di World-Check per perorare la causa del cliente.

• 
  

Questo meccanismo di ricorso, sebbene conforme alla lettera delle leggi sulla protezione dei dati come il GDPR, crea una significativa asimmetria di potere e informazione. Il sistema è intrinsecamente reattivo. Un individuo deve tipicamente subire un danno (come la chiusura di un conto bancario) per diventare consapevole dell'esistenza di un problema. A quel punto, l'onere della prova per la correzione ricade interamente su di lui. World-Check non informa proattivamente i soggetti, adducendo la mancanza di contatti affidabili nelle fonti pubbliche , e i suoi clienti sono contrattualmente vincolati alla riservatezza. Questo processo inverte di fatto il principio di "presunzione di innocenza": all'interno dell'ecosistema di World-Check, un individuo segnalato da un algoritmo o da un vecchio articolo di giornale è effettivamente "colpevole fino a prova contraria" di fronte a un'entità privata, un processo che può essere lungo, costoso e stressante.

Questa sezione valuta le operazioni di World-Check rispetto ai principi chiave del Regolamento Generale sulla Protezione dei Dati (GDPR), il più severo quadro normativo al mondo in materia di privacy e sicurezza dei dati. L'analisi rivela una tensione fondamentale tra gli obblighi di compliance antiriciclaggio e i diritti individuali alla protezione dei dati.

Una delle questioni più critiche riguarda la base giuridica su cui World-Check fonda il trattamento di dati personali, e talvolta sensibili (come quelli relativi a reati), senza ottenere il consenso esplicito dell'interessato. Il GDPR (Articolo 6) prevede diverse basi giuridiche per il trattamento lecito dei dati, e il consenso è solo una di queste.

World-Check non si basa sul consenso. La sua posizione legale si fonda principalmente su due altre basi giuridiche :

1. 
   

2. Obbligo Legale: Il trattamento è necessario per adempiere a un obbligo legale a cui è soggetto il titolare del trattamento (in questo caso, il cliente di World-Check, come una banca). Le normative AML/CFT impongono alle banche di effettuare controlli di due diligence, e l'uso di database come World-Check è considerato uno strumento necessario per soddisfare tale obbligo.

3. 
   

4. Legittimo Interesse: Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. In questo contesto, il legittimo interesse è la prevenzione della criminalità finanziaria, della corruzione e del terrorismo, un obiettivo di rilevante interesse pubblico.

5. 
   

Tuttavia, quando si invoca il legittimo interesse, il GDPR richiede un'attenta valutazione di bilanciamento per garantire che gli interessi o i diritti e le libertà fondamentali dell'interessato non prevalgano. È proprio su questo bilanciamento che si concentrano le critiche: il potenziale danno a individui innocenti (esclusione finanziaria, danno reputazionale) potrebbe essere sproporzionato rispetto al legittimo interesse perseguito, specialmente quando i dati sono imprecisi o obsoleti.

Il modello operativo di World-Check solleva interrogativi riguardo la sua aderenza ad alcuni dei principi fondamentali del GDPR 

• 
  

• Accuratezza: Il GDPR richiede che i dati personali siano "esatti e, se necessario, aggiornati". I numerosi casi documentati di informazioni obsolete o errate, come quello della moschea di Finsbury Park, dimostrano fallimenti sistemici nel rispetto di questo principio. La dipendenza da fonti mediatiche, senza un processo robusto di verifica e aggiornamento a lungo termine, rende difficile garantire l'accuratezza continua dei profili.

• 
  

• Trasparenza: Il principio di liceità, correttezza e trasparenza è messo a dura prova dal fatto che gli individui generalmente non vengono informati di essere stati inseriti nel database. World-Check giustifica questa mancanza di notifica sostenendo di non disporre di dati di contatto affidabili , ma il risultato è un'opacità che contrasta con lo spirito del GDPR, che mira a dare agli individui il controllo sui propri dati.

• 
  

• Limitazione della Conservazione: I dati personali dovrebbero essere conservati per un arco di tempo "non superiore a quello necessario per il conseguimento delle finalità per le quali sono trattati". La notizia che informazioni relative a reati minori possano rimanere nel database fino a 20 anni solleva seri dubbi sulla conformità a questo principio.

• Responsabilità (Accountability): Il GDPR pone una forte enfasi sulla responsabilità del titolare del trattamento, che deve essere in grado di dimostrare la conformità a tutti i principi. In questo ecosistema, il titolare del trattamento è il cliente (la banca), mentre LSEG/World-Check agisce come responsabile del trattamento (data processor). Tuttavia, l'influenza pervasiva di World-Check e la dipendenza delle banche dai suoi dati rendono sfumata questa distinzione, ponendo interrogativi sulla ripartizione effettiva delle responsabilità.

• 
  

LSEG sottolinea costantemente che la responsabilità finale sull'uso dei dati ricade sui suoi clienti. Le istituzioni vengono istruite a non basare le proprie decisioni esclusivamente sulle informazioni di World-Check, ma a considerarle come un punto di partenza per condurre verifiche indipendenti. Nella pratica, però, la pressione normativa e l'avversione al rischio spingono spesso le banche a prendere decisioni basate quasi esclusivamente sull'alert ricevuto.

Le clausole di riservatezza, che storicamente hanno impedito ai clienti di rivelare la fonte dell'informazione negativa, hanno ulteriormente contribuito a questa mancanza di trasparenza, rendendo difficile per gli interessati capire perché sono stati rifiutati e da dove provengono le accuse.

In conclusione, l'intero modello di business di World-Check si basa su un'interpretazione contestata delle clausole del GDPR relative al "legittimo interesse" e all'"obbligo legale". Sebbene questa posizione possa essere legalmente difendibile nel contesto specifico delle normative AML, essa crea un conflitto fondamentale con i principi cardine del GDPR, che sono incentrati sull'individuo e sui suoi diritti di trasparenza, consenso e controllo sui propri dati. World-Check opera all'epicentro di questa tensione legale ed etica, rappresentando un continuo "stress test" per il quadro del GDPR, che è costretto a bilanciare l'obiettivo di sicurezza collettiva della lotta alla criminalità con la protezione dei diritti individuali dai danni collaterali di un sistema di sorveglianza automatizzato su larga scala.

Questa analisi ha esplorato in profondità la natura, le operazioni e l'impatto di World-Check, un database di risk intelligence che è diventato un pilastro dell'infrastruttura globale di compliance finanziaria. L'esame ha rivelato una realtà complessa e duale, che richiede un approccio ponderato sia da parte delle istituzioni che lo utilizzano sia degli individui che ne sono oggetto.

Da un lato, World-Check è uno strumento potente e, in un certo senso, indispensabile nella lotta globale contro il riciclaggio di denaro, la criminalità organizzata e il finanziamento del terrorismo. In un mondo finanziario interconnesso e complesso, fornisce alle istituzioni una capacità di screening su larga scala che sarebbe altrimenti impossibile, aiutandole a rispettare obblighi normativi sempre più stringenti e a proteggere l'integrità del sistema finanziario. La sua capacità di aggregare dati da decine di migliaia di fonti pubbliche offre una visione del rischio che va ben oltre le statiche liste governative.

Dall'altro lato, la sua stessa metodologia lo rende uno strumento intrinsecamente imperfetto e potenzialmente dannoso. La dipendenza dall'open-source intelligence, in particolare da fonti mediatiche, lo espone a errori sistemici, come l'inclusione di informazioni obsolete, decontestualizzate o semplicemente errate. Come dimostrato dai casi di studio, questi errori possono avere conseguenze gravi e ingiuste per individui e organizzazioni innocenti, che si trovano a subire un'esclusione finanziaria e un danno reputazionale senza un giusto processo.

Il problema centrale risiede nel divario tra l'uso previsto di World-Check come indicatore di rischio che richiede ulteriori indagini, e la sua applicazione pratica come lista nera definitiva da parte di istituzioni pressate dal tempo e avverse al rischio. Questa disconnessione trasforma uno strumento di supporto decisionale in un meccanismo di giudizio extragiudiziale, con un onere della prova invertito che ricade interamente sulla vittima. Le istituzioni finanziarie e le altre entità che utilizzano World-Check hanno la responsabilità primaria di garantirne un uso corretto ed etico. Per mitigare i rischi e rispettare i principi di equità, dovrebbero adottare le seguenti misure:

• 
  

• Considerare lo Screening come Punto di Partenza: È fondamentale che le istituzioni interiorizzino e applichino la direttiva secondo cui un alert di World-Check è l'inizio, non la fine, del processo di due diligence. Non deve mai essere l'unico fattore su cui basare una decisione.

• 
  

• Investire in Formazione e Risoluzione: I team di compliance devono essere adeguatamente formati per investigare e risolvere gli alert in modo approfondito, distinguendo i falsi positivi dai rischi reali. L'alternativa, ovvero una politica di "de-risking" generalizzata che rifiuta tutti i clienti segnalati, non è solo ingiusta ma anche una cattiva pratica di gestione del rischio.

• 
  

• Sviluppare Procedure di Comunicazione Eque: Nei limiti consentiti dalle normative (che a volte vietano di informare il cliente di una segnalazione di operazione sospetta), le istituzioni dovrebbero sviluppare procedure chiare per comunicare con i clienti che sono stati segnalati da uno screening. Offrire al cliente la possibilità di fornire chiarimenti o documentazione correttiva può prevenire decisioni errate e ingiuste. Gli individui e le organizzazioni devono essere consapevoli dell'esistenza di questi sistemi e adottare un approccio proattivo per proteggere la propria reputazione.

• 
  

• Gestire Proattivamente la Reputazione Digitale: È essenziale essere consapevoli che le informazioni pubblicamente disponibili, inclusi articoli di stampa, post sui social media e contenuti di blog, possono essere raccolte e interpretate da questi sistemi. Una gestione attenta della propria impronta digitale è la prima linea di difesa.

• 
  

• Considerare la DSAR in Caso di Rifiuto Inspiegabile: Se si subisce un rifiuto di servizi finanziari senza una motivazione chiara, presentare una Data Subject Access Request a fornitori di risk intelligence come World-Check dovrebbe essere considerato come una possibile via d'indagine per scoprire la causa del problema.

• 
  

• Esercitare i Propri Diritti GDPR: Non bisogna esitare a esercitare i diritti garantiti dal GDPR, in particolare il diritto di accesso, di rettifica e di cancellazione. Se il processo si rivela difficile o la risposta non è soddisfacente, è consigliabile cercare assistenza legale specializzata per far valere i propri diritti in modo efficace. In definitiva, World-Check incarna il complesso compromesso tra sicurezza collettiva e diritti individuali nell'era digitale. Per navigare in questo panorama, è necessaria una maggiore responsabilità da parte di chi fornisce e utilizza questi dati, e una maggiore consapevolezza e assertività da parte di chi potrebbe esserne ingiustamente danneggiato