Banca d'Italia, con il Provvedimento del 26 marzo 2019, ha emanato le nuove "Disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo" (le "Disposizioni"), in attuazione al d.lgs. 21 novembre 2007, n. 231, come modificato dal d.lgs. 25 maggio 2017, n. 90 (il "Decreto Antiriciclaggio"), così sostituendo il Provvedimento dell'11 marzo 2011.
I Destinatari, come di seguito meglio individuati, dovranno adeguarsi alle Disposizioni entro il 1° giugno 2019, fatte salve le seguenti previsioni che troveranno applicazione a partire dal 1° gennaio 2020: (i) obbligo per gli organi aziendali di definire e approvare una policy motivata che indichi le scelte del Destinatario in materia di assetti organizzativi, procedure e controlli interni, adeguata verifica e conservazione dei dati (si veda Parte II, Sezioni II e III, Disposizioni); (ii) obbligo per le capogruppo, di istituire una base formativa comune (Parte IV, Sezione I, Disposizioni).
Il primo esercizio di autovalutazione dei rischi di riciclaggio (Parte VII Disposizioni) dovrà essere trasmesso alla Banca d'Italia il 30 aprile 2020.
1. Destinatari
Le Disposizioni innovano l'ambito di applicazione soggettivo della disciplina in oggetto, modificando il novero dei destinatari.
Nel seguito, si riporta uno schema comparativo che individua i soggetti cui si applica il Provvedimento dell'11 marzo 2011 e quelli cui si applicheranno le nuove Disposizioni (i "Destinatari").
|
Provvedimento 11 marzo 2011
|
Provvedimento 26 marzo 2019
|
|
Banche
|
Si
|
|
Istituti di moneta elettronica
|
Si
|
|
Istituti di pagamento
|
Si
|
|
Società di intermediazione mobiliare (SIM)
|
Si
|
|
Società di gestione del risparmio (SGR)
|
Si
|
|
Società di investimento a capitale variabile (SICAV)
|
Si
|
|
|
Società di investimento a capitale fisso, mobiliare e immobiliare (SICAF)
|
|
Succursali insediate in Italia dei soggetti di cui sopra aventi sede legale in uno Stato estero
|
Succursali insediate in Italia di intermediari bancari e finanziari aventi sede legale e amministrazione centrale in un altro paese comunitario o in un paese terzo
|
|
|
Banche, istituti di pagamento e istituti di moneta elettronica aventi sede legale e amministrazione centrale in un altro Stato membro tenuti a designare un punto di contatto centrale in Italia ai sensi dell'art. 43, comma 3, del Decreto Antiriciclaggio
|
|
Intermediari ex art. 106 d.lgs. 1° settembre 1993, n. 385 ("TUB")
|
Si
|
|
Società fiduciarie di cui all'art. 199 del d.lgs. 24 febbraio 1998, n. 58 ("TUF")
|
Società fiduciarie iscritte nell'albo previsto ai sensi dell'art. 106 TUB
|
|
Poste Italiane S.p.A.
|
Poste Italiane S.p.A. per l'attività di bancoposta
|
|
Cassa Depositi e Prestiti S.p.A.
|
Si
|
|
Agenti di cambio
|
No
|
|
Soggetti disciplinati dagli artt. 111 e 112 TUB
|
Soggetti eroganti micro-credito ex art. 111 TUB
|
|
|
Confidi
|
|
Mediatori creditizi ex art. 128-sexies TUB
|
Indirettamente
|
|
Agenti in attività finanziaria ex art. 128-quater, commi 2 e 7, TUB
|
Indirettamente
|
|
|
Soggetti di cui all'art. 2, comma 6, legge 30 aprile 1999 nell'ambito di operazioni di cartolarizzazione
|
Si noti che le Disposizioni includono nella definizione di "paesi comunitari" tutti i Paesi che partecipano allo "Spazio Economico Europeo" (SEE) e non solo gli Stati membri dell'Unione Europea, secondo le modalità e con i meccanismi previsti dall'accordo sul SEE di Oporto del 2 maggio 1992, ratificato dall'Italia con legge 28 luglio 1993, n. 300.
Gli agenti in attività finanziaria e i mediatori creditizi non sembrano più essere Destinatari diretti delle Disposizioni in commento. Nondimeno, le Disposizioni prevedono presidi in materia di rete distributiva e mediatori di cui si dirà infra.
2. Approccio basato sul rischio e presidi minimi organizzativi
La linea di condotta dei Destinatari deve fondarsi sul cd. risk based approach (cfr. Parte I, Sezione II, Disposizioni), fermo il più generale principio di proporzionalità che permea le disposizioni in materia di presidi di organizzazione, procedure e controlli interni dei soggetti vigilati.
In tal senso, i Destinatari hanno l'obbligo di dotarsi – secondo la natura, la dimensione, la complessità dell'attività svolta, la tipologia e la gamma dei servizi prestati – di un assetto organizzativo, di procedure operative e di controllo idonei a garantire l'osservanza delle norme di legge e regolamentari in materia di antiriciclaggio. In particolare, i Destinatari redigono una policy antiriciclaggio, definita dall'organo con funzione di gestione e approvata dall'organo con funzione di supervisione strategica, il cui contenuto deve indicare le scelte sui profili in materia di assetti organizzativi, procedure e controlli interni, adeguata verifica e conservazione dei dati. Detto documento, come si legge nel resoconto di consultazione, va tenuto distinto da quello che la funzione antiriciclaggio deve predisporre per definire responsabilità, compiti e modalità operative nella gestione del rischio di riciclaggio, il quale ha lo scopo di definire l'assetto organizzativo più adeguato al fine di attuare gli indirizzi degli organi di vertice.
Quanto ai presidi organizzativi minimi, le Disposizioni prevedono che i Destinatari: (i) attribuiscano ad una funzione di controllo aziendale la responsabilità di assicurare l'adeguatezza, la funzionalità e l'affidabilità dei presidi antiriciclaggio (la c.d. funzione antiriciclaggio); (ii) formalizzino l'attribuzione della responsabilità per la segnalazione delle operazioni sospette ("SOS") ad un responsabile; (iii) attribuiscano alla funzione di revisione interna il compito di verificare in modo continuativo l'adeguatezza e la conformità alla disciplina rilevante dell'assetto organizzativo antiriciclaggio.
3. Funzione antiriciclaggio, responsabile SOS, rete distributiva e mediatori
Le Disposizioni sono altresì dirette ad aggiornare ed estendere ai Destinatari talune soluzioni già previste dalla Circolare n. 285 del 2013 di Banca d'Italia, relativamente ai controlli interni delle banche.
In particolare, con riferimento alla funzione antiriciclaggio, le modifiche apportate concernono la procedura di nomina e di revoca del responsabile, assegnata all'organo di supervisione strategica, sentito l'organo con funzione di controllo. La nomina o la revoca del responsabile della funzione antiriciclaggio deve essere trasmessa ad opera dei Destinatari a Banca d'Italia entro 20 giorni dalla relativa delibera. Ove applicabile, l'obbligo di comunicazione, specifica Banca d'Italia, è assolto dai Destinatari attraverso la procedura segnalazione organi sociali (OR.SO).
Con riferimento al responsabile SOS, risultano rafforzati i requisiti di indipendenza, autorevolezza, professionalità, autonomia di giudizio e riservatezza.
Tra i compiti attribuiti al responsabile SOS, è sancito l'obbligo per il medesimo di valutare le operazioni sospette di cui questi abbia avuto contezza nell'ambito della propria attività, quand'anche in mancanza di un input di primo livello. Come si legge nel resoconto di consultazione, detta previsione vuole "assegnare un ruolo proattivo al responsabile SOS in linea con quanto accade nella realtà operativa e con gli orientamenti internazionali".
Il responsabile SOS, poi, è tenuto a compiere verifiche, anche a campione, inerenti alla congruità delle valutazioni dell'operatività della clientela da parte delle strutture a cui compete il primo livello di analisi.
Un elemento di novità, che sostanzialmente allinea la normativa alla prassi, consiste nel prevedere come necessaria la delibera dell'organo con funzione di supervisione strategica, previo parere dell'organo con funzione di controllo per la nomina del responsabile SOS (ovviamente quando questo ruolo sia stato delegato e non identificato con il legale rappresentante). In caso di Destinatari di dimensioni rilevanti o gruppi di maggiore complessità, la delega può essere conferita a più persone fisiche.
Nel resoconto di consultazione, la Banca d'Italia chiarisce che, fermo il caso della delega conferita alla capogruppo o ad altra società del gruppo di cui si dirà nel seguito, il processo di segnalazione non può essere esternalizzato.
Quanto agli agenti in attività finanziaria, ai consulenti finanziari, ai soggetti convenzionati e agenti o altri soggetti comunque legati al Destinatario da vincoli contrattuali, il Destinatario deve adottare le precauzioni necessarie ad assicurare il rispetto delle disposizioni in materia di anti-money laundering da parte dei citati soggetti e, eventualmente, interviene a loro supporto in caso di cd. verifica "rafforzata" della clientela.
Qualora si avvalga di un mediatore creditizio e utilizzi i dati e le informazioni da questo raccolti, il Destinatario è tenuto ad accertare il corretto adempimento dei processi di identificazione e trasmissione dei flussi informativi. Qualora il mediatore sia inadempiente nell'esecuzione degli obblighi di anti-money laundering, il Destinatario interromperà ogni tipo di rapporto.
Destinatario e mediatore possono altresì stipulare convenzioni volte a regolare i rispettivi obblighi di condotta antiriciclaggio, anche prevendendo la partecipazione del mediatore a corsi di aggiornamento e formazione.
4. Gruppi
In relazione ai gruppi (bancario, finanziario, nonché il gruppo di cui all'art. 11 d.lgs. 24 febbraio 1998, n. 58), le Disposizioni forniscono un quadro più ampio e dettagliato rispetto al precedente provvedimento, mirando ad una omogenea identificazione del rischio di riciclaggio per una sua più efficiente gestione e una più efficace adozione dei controlli antiriciclaggio.
Alla capogruppo si assegna un ruolo centrale, prevedendo che questa, adottando un approccio globale al rischio di riciclaggio nel gruppo, sia tenuta a svolgere i seguenti adempimenti: (i) definire una metodologia di gruppo per la valutazione dei rischi di riciclaggio; (ii) approvare procedure formalizzate di coordinamento e condivisione dei flussi informativi fra le varie società del gruppo; (iii) fissare degli standard generali in materia di adeguata verifica della clientela, conservazione dei dati e individuazione e segnalazione delle operazioni sospette; (iv) istituire una base informativa comune che consenta a tutte le società appartenenti al gruppo di effettuare in modo omogeneo la valutazione dei clienti.
Quanto al responsabile SOS, nell'ambito dei gruppi si chiarisce, altresì, che l'adozione del "modello accentrato" – e, cioè, con delega conferita a un delegato di gruppo – può avvenire solo qualora si tratti di un gruppo italiano e le cui controllate abbiano sede in Italia. Per quanto riguarda i gruppi con operatività transfrontaliera, la capogruppo assicura che le società appartenenti al gruppo consentano al responsabile delle SOS l'accesso alle informazioni attinenti alle segnalazioni trasmesse e a quelle ritenute infondate, corredate della motivazione della decisione.
5. Punto di contatto centrale
Un'ulteriore novità riguarda la precisazione di compiti e ruolo del punto di contatto centrale ("PCC"). Il PCC è il soggetto o la struttura, stabilito/a in Italia, designato/a dagli istituti di moneta elettronica o dai prestatori di servizi di pagamento, con sede legale e amministrazione centrale in altro Stato membro, che operano – senza succursale – sul territorio nazionale tramite i soggetti convenzionati e agenti come definiti dall'art. 1, comma 2, lett. nn) del Decreto Antiriciclaggio (i "Destinatari PCC").
Il compito del PCC è essenzialmente quello di garantire l'efficace adempimento degli obblighi antiriciclaggio di cui alla disciplina italiana da parte dei Destinatari PCC operanti sul territorio nazionale senza stabile insediamento.
Le Disposizioni, nella Parte VI, precisano i compiti che il PCC deve svolgere e stabiliscono, in coerenza con le previsioni degli artt. 4, 5 e 6, par. 1, del Regolamento delegato (UE) 2018/1108, che tale soggetto: (i) assicura il rispetto delle norme in materia di anti-money laundering da parte delle sedi estere del Destinatario PCC; (ii) funge da "mediatore" sì da agevolare la vigilanza da parte delle autorità competenti italiane sulle sedi estere del Destinatario PCC; e (iii) svolge compiti di valutazione, analisi e segnalazione delle operazioni sospette all'Unità di Informazione Finanziaria per l'Italia.
Le Disposizioni prevedono inoltre l'obbligo per il Destinatario PCC di individuare la forma giuridica e organizzativa – il PCC non può essere, infatti, una persona fisica –, le procedure e i sistemi di controllo del PCC idonei a mitigare e gestire i rischi di riciclaggio cui è esposta l'operatività del Destinatario PCC in Italia. Il Destinatario PCC deve dotare il PCC di risorse quantitativamente e qualitativamente adeguate ad assolvere i compiti attribuitigli dalla normativa.
6. Autovalutazione
Per quanto concerne invece l'esercizio di autovalutazione, in attuazione dell'art. 15 del Decreto Antiriciclaggio, i Destinatari (fatta eccezione per i confidi) effettuano un'autovalutazione del rischio di riciclaggio in relazione alle seguenti quattro macro-attività: (a) individuazione del rischio inerente; (b) individuazione della vulnerabilità; (c) determinazione del livello di rischio residuo; (d) azione di rimedio.
Quanto alle modalità di conduzione dell'esercizio, l'autovalutazione è svolta valutando l'esposizione al rischio per ciascuna linea di business considerata rilevante in ragione della natura, dell'organizzazione, della specificità e della complessità operativa del Destinatario, tenendo altresì in considerazione i fattori di rischio relativi ai seguenti aspetti: volume / ammontare delle transazioni ed operatività tipica; prodotti / servizi offerti e mercato di riferimento; tipologia di clientela; canali distributivi; area geografica e paesi di operatività
Recependo le osservazioni giunte durante la pubblica consultazione rispetto al ruolo degli organi sociali, le Disposizioni prevedono che le azioni di rimedio siano proposte dall'organo con funzione di gestione, tenuto conto delle indicazioni contenute nella relazione annuale della funzione antiriciclaggio, e approvate dall'organo con funzione di supervisione strategica.
Quanto a tempistiche e modalità, la funzione antiriciclaggio aggiorna e trasmette il risultato dell'esercizio di autovalutazione alla Banca d'Italia con cadenza annuale (entro il 30 aprile di ciascun anno).
Alla Banca d'Italia, infine, è rimesso il compito di fornire maggiori dettagli sulla conduzione dell'esercizio di autovalutazione.
