Approfondimenti in tema di ANTIRICICLAGGIO COMPLIANCE...
-
Upload
trinhtuyen -
Category
Documents
-
view
219 -
download
2
Transcript of Approfondimenti in tema di ANTIRICICLAGGIO COMPLIANCE...
1
European School of Banking Management
European School of Banking Management
&
Scuola Italiana di Antiriciclaggio e Compliance
presentano
Approfondimenti in tema di
ANTIRICICLAGGIO
COMPLIANCE
GDPR
SICUREZZA INFORMATICA
9° SALONE ANTIRICICLAGGIO
24 ottobre 2018
ROMA
3
European School of Banking Management
INDICE
ANTIRICICLAGGIO ➢ L’UTILIZZABILITÀ AI FINI FISCALI DELLE RISULTANZE ANTIRICICLAGGIO NELLA IV E
V DIRETTIVA
a cura di Massimiliano GIUA e Vincenzo CASAREGOLA
In memoria del Comandante MASSIMILIANO GIUA p.7
➢ IL PRESIDIO DEL RISCHIO REPUTAZIONALE
a cura di MAURIZIO RUBINI p.13
➢ CRIPTOVALUTE
a cura di EMILIANO MARVULLI p.15
➢ LUCI E OMBRE DELLA IV DIRETTIVA ANTIRICICLAGGIO
a cura di IGOR RUCCI p.17
➢ LE PRINCIPALI NOVITÀ DEL D.LGS. N.90 ANTIRICICLAGGIO IN ATTUAZIONE DELLA
IV DIRETTIVA EUROPEA
a cura di SERGIO SILVESTRI p.19
➢ IL RUOLO DEL DIAGNOSTICO NELLA TENUTA DELL’AUI
a cura di ENRICO CIPRIAN p.22
➢ LA RAFFORZATA VERIFICA NEI CONFRONTI DEI CORRISPONDENTI ESTERI NON
APPARTENENTI ALL’UNIONE EUROPEA
a cura di MASSIMO FERRACI p.24
4
European School of Banking Management
INDICE
COMPLIANCE ➢ RICICLARE IL DENARO CON IL WEB
a cura di ENRICO CIPRIAN p.33
➢ LE LINEE GUIDA PER LE BANCHE SUI CREDITI DETERIORATI DALLA BCE
a cura di EDOARDO FALETTI p.39
➢ L’APPROCCIO BASATO SUL RISCHIO DI RICICLAGGIO DELLE BANCHE
a cura di MASSIMO FERRACCI p.41
PRIVACY E SICUREZZA INFORMATICA
➢ CYBER SECURITY: L’EUROPA SI MUOVE MA LA STRADA E’ ANCORA LUNGA
a cura di FILIPPO ROSSI p.47
➢ GDPR E PRIVACY, COSA FARANNO LE BANCHE?
a cura di ANTONELLO ARRE’ p.49
➢ L’ERA DELLA CYBER SECURITY: TRA CONSAPEVOLEZZA E PREVENZIONE
a cura di FILIPPO ROSSI p.51
➢ LINEE GUIDA RELATIVE AL DATA PROTECTION IMPACT ASSESSMENT (DPIA) E
GDPR
a cura di ENRICO CIPRIAN p.53
7
European School of Banking Management
ANTIRICICLAGGIO Giua - Casaregola
L’UTILIZZABILITÀ AI FINI FISCALI DELLE RISULTANZE
ANTIRICICLAGGIO NELLA IV E V DIRETTIVA.
L’attuale scenario politico, economico, finanziario e sociale internazionale, caratterizzato da un
ormai diffuso – e sempre maggiore – interesse delle organizzazioni criminali e terroristiche nei
confronti dei sistemi di reimpiego in circuiti legali dei proventi derivanti da condotte illecite, ha
determinato la necessità, per tutta la comunità internazionale, di aggiornare frequentemente
l’intero impianto normativo anti money laundering (AML), al fine di contrastare i sempre nuovi
canali utilizzati dai professionisti della criminalità economico-finanziaria, oramai connotata dal
carattere della transnazionalità. In tale contesto si inserisce tutta la normativa internazionale in
materia di antiriciclaggio – costituita da un’articolazione di fonti rappresentata da standard
internazionali, norme europee e convenzioni internazionali – opportunamente recepita dall’Italia,
che in attuazione, in particolare, delle Direttive comunitarie, ha recentemente novellato il D.lgs.
231/2007, ampliando la casistica operativa relativa alla possibilità di utilizzo ai fini fiscali delle
informazioni recepite dall’Amministrazione finanziaria nel corso di ispezioni e controlli AML
La recente evoluzione dell’impianto normativo antiriciclaggio comunitario
L’impegno antiriciclaggio dell’Unione Europea, risalente ai primi anni ‘90, nel corso di oltre due decenni si è estrinsecato
nella produzione di cinque Direttive e di diversi altri provvedimenti in materia di prevenzione e contrasto del
riciclaggio e del finanziamento del terrorismo, che hanno recepito l’evoluzione dei principi internazionali nello specifico
settore, con l’obiettivo di realizzare un corpus normativo armonizzato tra gli Stati membri.
In particolare, la IV Direttiva, a distanza di dieci anni dalla III, ha notevolmente potenziato il sistema di
prevenzione degli Stati membri in coerenza con le linee tracciate dalle Raccomandazioni del GAFI del
2012, valorizzando:
a. l’approccio basato sul rischio, fondamentale per la gradazione delle misure preventive e dei controlli;
b. la trasparenza delle informazioni relative alla titolarità effettiva di società e trust;
c. il regime di assoluta riservatezza dei dati relativi ai soggetti ed agli enti/istituti che trasmettono all’UIF le
previste segnalazioni per operazioni sospette;
d. la determinazione di criteri sanzionatori specifici per le violazioni degli obblighi in materia di
prevenzione del riciclaggio e del finanziamento del terrorismo.
8
European School of Banking Management
ANTIRICICLAGGIO Giua - Casaregola
Viene inoltre confermata la centralità del ruolo delle Financial Intelligence Unit (FIU) attraverso una disciplina
più articolata che ne rafforza le prerogative istituzionali e ne amplia le funzioni anche con riferimento ai reati
presupposto del riciclaggio. Le disposizioni enfatizzano i requisiti fondamentali di autonomia e indipendenza
e adeguano la stessa definizione di FIU, precisandone i compiti di ricezione (estesa anche a comunicazioni
utili per gli approfondimenti), analisi (più selettiva e mirata ai casi di effettivo rischio) e disseminazione.
Anche le regole sulla collaborazione internazionale tra FIU sono state riviste e ampliate, prevedendo, tra
l’altro che il riscontro a richieste di FIU estere avvenga esercitando i medesimi poteri disponibili per l’analisi
interna, prescindendo da eventuali differenze nelle legislazioni degli Stati membri e dalla definizione dei reati
presupposto.
La IV Direttiva, inoltre, recependo prassi di collaborazione internazionale già avviate, introduce un obbligo di
“scambio automatico” di segnalazioni di operazioni sospette che presentano caratteristiche transfrontaliere: le
FIU sono tenute a inoltrare prontamente alle controparti europee interessate le segnalazioni che “riguardano un
altro Stato membro”.
L’impianto normativo cosi delineato – recepito dall’Italia con il DLgs. 25.5.2017 n. 90, che ha introdotto
notevoli modifiche ai Titoli I, II, III, IV, V del DLgs. 21.11.2007 n. 231 andando, di fatto, ad incidere in maniera
significativa sulle modalità di svolgimento degli obblighi antiriciclaggio in capo a intermediari bancari e
finanziari, professionisti (commercialisti, avvocati, notai, consulenti del lavoro, tribu- taristi e CED), revisori
legali, agenzie immobiliari, società di recupero crediti e prestatori di servizi di gioco (c.d. gaming)– è stato
tuttavia oggetto di un recentissimo restyling, finalizzato a “tagliare” i mezzi finanziari nella disponibilità delle
organizzazioni criminali, senza tuttavia ostacolare il normale funzionamento dei sistemi di pagamento.
La V Direttiva antiriciclaggio scaturisce dalla necessità di rispondere efficacemente alla crescente minaccia
terroristica, nonché allo scalpore mediatico internazionale suscitato – da ultimo – dall’apertura del vaso di
Pandora dei c.d. Panama Papers e Paradise Papers.
Il recentissimo provvedimento, che rafforza le norme già in vigore nell’Unione e che, al contempo, potenzia
ulteriormente gli strumenti giuridici utilizzabili sul campo in chiave antiriciclaggio ed a contrasto del
finanziamento del terrorismo internazionale, apporta le seguenti novità rispetto alla IV Direttiva:
a. possibilità di accesso pubblico alle informazioni sui titolari effettivi (beneficial owner) delle imprese operanti
nell’Unione, allo scopo di disincentivare il ricorso alle c.d. “società fantasma”, create ad hoc per riciclare e/o
occultare disponibilità finanziarie e/o beni di provenienza illecita, nonché per l’integrazione di articolate
frodi fiscali;
b. introduzione di una regolamentazione più rigida delle monete virtuali come i bitcoin, per evitare che
siano utilizzate per il riciclaggio di denaro e il finanziamento al terrorismo;
c. riduzione della soglia per l’identificazione dei titolari di carte prepagate dagli attuali 250 a 150 Euro;
9
European School of Banking Management
ANTIRICICLAGGIO Giua - Casaregola
d. maggiore protezione per i soggetti che segnalano casi di riciclaggio all’interno di strutture societarie;
e. implementazione della cooperazione tra le FIU;
f. potenziamento dei controlli sulle operazioni che coinvolgono Paesi terzi ad alto rischio di riciclaggio,
con la possibilità di irrogare sanzioni e di eseguire maggiori approfondimenti circa le transazioni che
riguardano cittadini di Paesi c.d. black list;
g. l’estensione dell’ambito di applicazione della Direttiva a tutte le forme di servizi di consulenza fiscale,
alle agenzie di locazione, ai commercianti d’arte, ai prestatori di servizi di portafogli elettronici e a
quelli di cambio valuta virtuale.
L’utilizzabilità ai fini fiscali delle informazioni antiriciclaggio
La costante interconnessione tra l’evasione (ed elusione) fiscale ed i fenomeni di riciclaggio ha dettato la
necessità, per il legislatore nazionale, di ampliare il campo di azione del legittimo trasferimento di elementi
probatori da un ambito operativo all’altro, tenendo conto dei più recenti standard internazionali in materia.
In tale contesto, quindi, risulta fondamentale il recepimento della IV Direttiva antiriciclaggio nel nostro ordinamento
giuridico, laddove, con il comma 9 dell’art. 9 del novellato DLgs. 231/200719, ampliando il perimetro applicativo del
previgente art. 36 comma 620, si stabilisce che “i dati e le informazioni acquisite nell’ambito delle attività svolte ai
sensi del presente articolo sono utilizzabili ai fini fiscali, secondo le disposizioni vigenti”.
Ulteriore passo in avanti lungo il solco tracciato, in materia, dalla IV Direttiva è certamente rappresentato
dall’entrata in vigore, lo scorso 6 giugno, del DLgs. 18.5.2018 n. 6022, che consente alle Autorità fiscali di
accedere – nel contesto della cooperazione amministrativa – a tutti i dati ed alle informazioni antiriciclaggio,
con la finalità di rendere il sistema di prevenzione sempre più efficace.
Più nel dettaglio, alla luce delle nuove disposizioni, Agenzia delle Entrate e Guardia di Finanza possono avere
libero accesso ai documenti, ai dati ed alle informazioni acquisite e conservate, in assolvimento degli obblighi
di adeguata verifica della clientela, dai soggetti tenuti a detto obbligo.
La norma in commento, infatti, nel modificare ed integrare l’art. 3 del DLgs. 4.3.2014 n. 2923, fornisce alle autorità
fiscali nazionali gli strumenti idonei ad esercitare un’opportuna azione preventiva a contrasto di tutti quei meccanismi
illeciti che fungono da base per il riciclaggio di fondi di provenienza criminale e/o da canale di finanziamento alle
organizzazioni terroristiche. In particolare – anticipando, di fatto, parzialmente il recepimento della V Direttiva
antiriciclaggio – per effetto della novella normativa, la Guardia di Finanza e l’Agenzia delle Entrate potranno
individuare più facilmente i beneficial owner di strutture intermedie che hanno la mera titolarità formale di conti
finanziari, di imprese dotate di personalità giuridica, persone giuridiche private e trust produttivi di effetti fiscali in
Italia, disponibili in sezioni speciali del Registro imprese delle Camere di commercio.
10
European School of Banking Management
ANTIRICICLAGGIO Giua - Casaregola
Le modalità di acquisizione delle informazioni utili ai fini antiriciclaggio sono disciplinate dal nuovo comma
3-ter dell’art. 3 del DLgs. 29/2014, che stabilisce quali articolazioni delle Autorità fiscali potranno accedere
ai dati ed in che caso. Nello specifico se le informazioni antiriciclaggio sono detenute da soggetti:
- che già comunicano all’AdE le informazioni relative ai conti finanziari e ai pagamenti, l’accesso è
consentito indistintamente alle articolazioni preposte dell’AdE e della Guardia di Finanza;
- diversi da quelli elencati al punto precedente, l’accesso è possibile esclusivamente per le competenti
articolazioni della Guardia di Finanza, delle quali si avvale l’Agenzia, per ottemperare alle richieste di
cooperazione amministrativa provenienti da Stati appartenenti all’Unione Europea.
Ed è proprio alla luce di quanto fin qui esposto che la Guardia di Finanza ha inteso recentemente fornire
alle proprie articolazioni operative delle chiare direttive, utili a meglio orientare i controlli in materia.
Istruzioni operative della Guardia di Finanza
Come ampiamente visto, l’identificazione e la valutazione dei rischi di riciclaggio e di finanziamento del
terrorismo è funzionale a consentire una sempre migliore opera di prevenzione, calibrando
opportunamente gli interventi da eseguire, che saranno indirizzati verso soggetti/ambiti caratterizzati da
più spiccata vulnerabilità/criticità.
In tale contesto si inserisce l’attività operativa svolta dalla Guardia di Finanza mediante:
a. l’approfondimento delle segnalazioni di operazioni sospette;
b. l’esecuzione di mirate ispezioni antiriciclaggio ed antiterrorismo;
c. accertamenti a richiesta del Comitato di Sicurezza Finanziaria;
d. l’attuazione degli adempimenti connessi all’applicazione delle sanzioni finanziarie nei confronti dei
Paesi che minacciano la pace e la sicurezza internazionale;
e. accertamenti in materia di congelamento delle risorse economiche.
LA CIRCOLARE GdF N. 1/2018
In considerazione dei compiti istituzionalmente assegnati nello specifico settore, con la circ. n. 1/201829
sono stati forniti ai Reparti GdF opportuni chiarimenti circa il contesto in esame, focalizzando la
connessione tra le investigazioni condotte nel segmento del mercato dei capitali e gli sviluppi fiscali dei dati
e delle notizie acquisite con le molteplici potestà d’indagine riconosciute ai militari della Guardia di Finanza.
Ciò significa che, per lo sviluppo di tutte le attività di prevenzione a fini antiriciclaggio ed antiterrorismo, i
militari della Guardia di Finanza possono avvalersi:
- dell’archivio dei rapporti finanziari;
- dei poteri di polizia valutaria;
- dei generali poteri di polizia economico- finanziaria.
11
European School of Banking Management
ANTIRICICLAGGIO Giua - Casaregola
Tanto premesso, per la Guardia di Finanza è stata ribadita – nell’ambito della strategia di contrasto al
riciclaggio ed al finanziamento al terrorismo – la necessità di valorizzare sistematicamente ai fini fiscali le
eventuali risultanze acquisite:
a. dallo sviluppo delle segnalazioni di operazioni sospette, dirette a far emergere, nel momento della
loro effettuazione, manovre economiche per il cui compimento vengono utilizzati denaro o valori di dubbia
provenienza da reinvestire nel circuito economico legale, ovvero fondi, anche di origine lecita, destinati a
sostenere organizzazioni terroristiche;
b. nel corso delle ispezioni/controlli antiriciclaggio, quali, ad esempio:
– i dati identificativi del cliente e del titolare effettivo di un rapporto continuativo che potrebbero
far emergere casi di “interposizione fittizia” o corroborare ipotesi di esterovestizione;
– le informazioni relative allo scopo e alla natura di un rapporto/prestazione professionale, acquisite
nell’ambito dell’adeguata verifica della clientela, che offrono la possibilità di “disvelare” operazioni
elusive;
– le operazioni di natura immobiliare/ societaria che non trovano giustificazione nei redditi ufficiali
presenti in Anagrafe Tributaria;
– i trasferimenti di natura finanziaria in “Paradisi fiscali/societari”, sintomatici del possesso di attività
o beni detenuti all’estero in violazione della legislazione sul monitoraggio fiscale;
le operazioni in contanti, sistematicamente frazionate nel tempo, registrate negli appositi
archivi/registri, che possono essere rivelatrici di una operatività “in nero” dei soggetti economici.
LA CIRCOLARE N. 203301 DEL 9 LUGLIO 2018
Da ultimo, inoltre, sono state impartite ai Reparti apposite disposizioni operative concernenti le novità in
materia di cooperazione amministrativa nel settore delle imposte dirette. In particolare sono stati
dettagliatamente definiti i termini, le modalità ed i livelli dei servizi relativi alla trattazione delle istanze di
cooperazione amministrativa, specificando che, nel corso di tali attività, all’insorgere di significative
evidenze di violazioni a quanto prescritto dal DLgs. 231/2007, andrà opportunamente valutata la possibilità
di avviare, nei confronti dei soggetti monitorati, delle mirate ispezioni/controlli AML.
12
European School of Banking Management
ANTIRICICLAGGIO Giua - Casaregola
Conclusioni
Le novità normative descritte in questo lavoro rappresentano una vera e propria “rivoluzione copernicana”
per le prassi ispettive dei Reparti della Guardia di Finanza, da sempre in “prima linea” nel contrasto al
riciclaggio e nella lotta al terrorismo ed oggi a maggior ragione, in virtù dell’ampliamento delle potestà
ispettive fin qui descritte, sempre più pregnanti.
Infatti, la previsione della diretta utilizzabilità ai fini fiscali delle informazioni acquisite nell’ambito delle
attività AML rappresenta uno strumento efficace per assicurare una piena e immediata interazione ed
integrazione tra il procedimento antiriciclaggio e quello amministrativo-tributario, pur dovendo risultare
coerente ad alcuni fondamentali capisaldi.
Infatti, ancorché il legislatore abbia inteso allargare le maglie dei controlli delle Autorità fiscali e – in
particolare – della Guardia di Finanza, l’applicazione dei presidi normativi esaminati dovrà sempre
informarsi al rispetto di alcune speciali tutele garantite dal DLgs. 231/2007, come – in particolare – la
riservatezza del segnalante, che rappresenta uno dei capisaldi del dispositivo di prevenzione.
In tale contesto, in conclusione, il Comando Generale della Guardia di Finanza ha richiamato l’attenzione
di tutte le proprie Unità Operative circa la necessità che:
– prima di avviare qualsiasi attività ispettiva nel settore del contrasto all’evasione fiscale, i Reparti
verifichino se nei confronti del soggetto selezionato sussistano segnalazioni di operazioni sospette
antiriciclaggio, cosi da meglio focalizzare/ampliare l’oggetto dell’intervento ispettivo;
– i dati acquisiti nel corso di ispezioni o controlli antiriciclaggio vengano “trasferiti” tassativamente ed
esclusivamente a conclusione di tutte le attività ispettive;
– sia prestata particolare cautela relativamente al divieto di comunicazione delle risultanze degli
approfondimenti investigativi di segnalazioni di operazioni sospette fino al definitivo completamento
delle prescritte procedure;
– non venga mai inserito, in qualunque atto del controllo o della verifica fiscale, compresi quelli redatti
in fase di programmazione o preparatoria dell’intervento ispettivo, alcun tipo di riferimento che,
anche in via indiretta, possa palesare l’identità del segnalante.
13
European School of Banking Management
ANTIRICICLAGGIO Rubini
IL PRESIDIO DEL RISCHIO REPUTAZIONALE
Diversi interventi normativi (ad es. D. Lgs. 231/01, Normativa Anticorruzione; Normativa Antiriciclaggio,
Salute, Sicurezza e Ambiente, Codice degli Appalti, Normative di settore, Rating di legalita) hanno
riconosciuto direttamente o indirettamente la rilevanza della reputazione, ponendo l’accento sull’esigenza
di un adeguato presidio del rischio correlato alla gestione delle proprie controparti, pur senza
determinarne puntualmente le caratteristiche attese.
1) La reputazione come “valore”
La reputazione di una organizzazione o di un'impresa non e un elemento astratto, bensi una risorsa
fondamentale da gestire con estrema accuratezza perche puo contribuire al successo o alla rovina
dell’impresa stessa.
La reputazione e la fusione delle aspettative, percezioni ed opinioni sviluppate nel tempo da clienti,
dipendenti, fornitori, investitori e vasto pubblico in relazione alle qualita dell'organizzazione, alle
caratteristiche e ai comportamenti, che derivano dalla personale esperienza, il sentito dire o l'osservazione
delle passate azioni dell'organizzazione.
La reputazione puo essere interpretata quindi come sinonimo di credibilita, onorabilita, rispetto agli
impegni assunti, prestigio, buon nome, rispettabilita, fiducia, affidabilita, stima e capacita di garantire
determinati standard di prodotto o di servizi.
Il rischio reputazionale assume quindi, oggi piu che mai, primaria importanza perche non e un rischio a se,
ma e collegato ad ogni aspetto che riguarda l'azienda e la sua vita, con particolare rilevanza per le aree
strategicamente piu sensibili.
Esso puo insorgere a qualsiasi livello gerarchico aziendale; nell’ambito di qualsiasi processo aziendale, non
solo quelli di business (dalla selezione delle risorse umane alla comunicazione e pubblicita); nell’ambito
delle diverse funzioni aziendali; in sede di redazione dei bilanci, nell’esplicazione di attivita di consulenza ai
clienti, nella gestione dei rapporti internazionali e puo determinare l'uscita dalla competitivita dell'azienda
a causa della delegittimazione da parte degli stakeholder.
14
European School of Banking Management
ANTIRICICLAGGIO Rubini
Fra le cause piu rilevanti ci possono essere: comportamenti non professionali o scorretti con i clienti,
performance finanziarie non in linea con gli obiettivi aziendali, inadeguata gestione dei conflitti, mancanza
di attenzione verso gli interessi dei consumatori, comportamenti fraudolenti del top management, errori
nell'aver valutato gli effetti a catena di decisioni assunte da alcune funzioni aziendali. Le conseguenze
possono essere: perdite economiche, perdite o riduzione di quote di mercato, deterioramento del valore
del brand, cessazione di relazioni strategiche con partner e fornitori, difficolta a reclutare talenti, perdita di
clienti e maggiori costi di comunicazione per recuperare reputazione.
2) Come facciamo a monitorare la reputazione ?
Ci sono vari indicatori che ci permettono di misurare il grado di reputazione: rilevazioni statistiche sui
reclami o lamentele ricevute, valutazione del tasso di incremento delle cause legali, disamina di indice di
posizionamento rispetto ai competitor, considerazioni su indici di customer satisfaction, ingressi e
abbandoni sul portafoglio clienti, percentuali di recessi da contratti, valutazioni comparative dei prodotti e
servizi erogati rispetto all'aspetto innovativo, monitoraggio del clima aziendale fra dipendenti.
Per mitigare i rischi di questo tipo e necessario un monitoraggio permanente della reputazione per poter
intervenire efficacemente e con tempestività.
La misurazione si puo basare su alcuni indici essenziali:
▪ probabilita di accadimento: frequenza di realizzazione dell'evento in grado di influire negativamente sul
raggiungimento degli obiettivi.
▪ impatto: danno patito a seguito del verificarsi dell'evento pregiudizievole.
E per questo che una attivita di audit sul rischio reputazionale consente alle imprese di tenere
costantemente sotto controllo lo stato della propria reputazione attraverso strumenti che permettono di
adottare tempestivamente le contromisure opportune per ridurre il rischio reputazionale da rischio privo
di qualsiasi controllo a rischio mitigabile.
3) Dal problema alla soluzione
IL PROBLEMA LA SOLUZIONE
Elevata pressione regolamentare Osservanza delle regole
Sanzioni Mitigazione rischio sanzioni
Reclami della clientela Protezione del brand
Rischi reputazionali Fidelizzazione del cliente
15
European School of Banking Management
ANTIRICICLAGGIO Marvulli
CRIPTOVALUTE: FENOMENO ANCORA TROPPO
ESPOSTO AL RISCHIO DI RICICLAGGIO E
FINANZIAMENTO AL TERRORISMO
Nel corso del 2018 il Comitato Speciale per il Terrorismo del Parlamento europeo ha commissionato al
Dipartimento per i diritti dei cittadini e gli affari costituzionali uno studio per esplorare i rischi del
finanziamento del terrorismo attraverso l’utilizzo delle valute virtuali. Lo studio ha analizzato in dettaglio
le caratteristiche delle criptovalute e dei correlati rischi in termini di utilizzo, attuale e potenziale, per
attività illecite di finanziamento al terrorismo.
Dall’inizio del 2017 è aumentato in maniera notevole sia il numero di criptovalute in circolazione che
l’ammontare dei volumi e valori scambiati. Le stime suggeriscono che sono state create all’incirca 1.500
criptovalute diverse dai bitcoin, la metà delle quali sviluppate a partire proprio dal 2017.
Il bitcoin è certamente l’esempio più conosciuto di criptovaluta, che da solo rappresenta circa il 35% dell’attuale
valore complessivo di quelle in circolazione, e il suo successo certamente all’aumento della divulgazione della
gamma di prodotti e servizi connessi, come i bancomat fisici, che consentono agli utenti di depositare valuta e
ricevere bitcoin o le carte di criptovaluta prepagate, ricaricabili e spendibili presso molti rivenditori.
Lo studio rileva tuttavia che la quota di mercato dei bitcoin è in fase discendente, in diminuzione di circa l’80% dall’inizio del
2017, a causa del proliferare di cripto-monete alternative.
La ricerca ha portato alla luce un fenomeno preoccupante legato al fatto che cellule estremiste legate al
terrorismo internazionale stanno imparando a utilizzare le nuove tecnologie, grazie all’intrinseca
caratteristica di anonimato e di non tracciabilità legate alle criptovalute che possono risultare utili per
progetti criminali di riciclaggio e di finanziamento del terrorismo.
Gli esperti di Strasburgo riferiscono comunque che la situazione potrebbe evolversi in maniera significativa
perché la portata del rischio di ulteriori utilizzi sono ipotizzabili ma di difficile previsione. Per questo motivo
l’Unione europea considera la mitigazione dei rischi legati all’utilizzo delle criptovalute per fini terroristici
come una priorità di sicurezza e per promuovere questo obiettivo sarà essenziale una solida condivisione
delle informazioni sull’uso illecito delle criptovalute da parte delle autorità dei singoli Stati membri.
16
European School of Banking Management
ANTIRICICLAGGIO Marvulli
Lo stesso giudizio critico è stato espresso in più di un’occasione dalla Banca d’Italia, che ha esaminato il
fenomeno dei cripto-asset anche in termini di stabilità finanziaria.
Ad oggi le criptoattività hanno ancora una scarsa possibilità di essere utilizzate come mezzi pagamento
perché i limiti di natura tecnologica le rendono inefficienti sia dal lato del mercato all’ingrosso che di quello
al dettaglio. L’estrema volatilità dei prezzi non rende peraltro conveniente l’utilizzo di queste attività
neanche come riserva di valore.
Se consideriamo anche che tali attività non conferiscono alcun diritto di carattere economico e si prestano
a utilizzi illegali, perché garantiscono il potenziale anonimato dei possessori, è logico ritenere che gli
investimenti in criptovalute siano legati principalmente alle aspettative di aumenti dei prezzi, in un
meccanismo tipico delle bolle speculative.
In buona sostanza il giudizio della Banca Centrale sulle criptoattività è negativo se si considerano gli elevati
rischi di perdite per gli investitori, che possono arrivare addirittura a mettere in difficoltà la stabilità del
sistema finanziario nell’ipotesi in cui la dimensione del mercato diventasse significativa o gli intermediari
finanziari acquisissero esposizioni verso queste attività, che li esporrebbero anche a rischi reputazionali.
Di qui l’accorato invito diretto agli intermediari finanziari, a non acquistare, vendere e detenere in
portafoglio cripto-attività, in linea con le avvertenze per i consumatori e i piccoli investitori sui rischi delle
valute virtuali diffuse dalle autorità finanziarie europee.
17
European School of Banking Management
ANTIRICICLAGGIO Rucci
LUCI E OMBRE DELLA IV DIRETTIVA
ANTIRICICLAGGIO
L’antiriciclaggio è un tema che, negli ultimi dieci anni, ha esponenzialmente incrementato la sua rilevanza.
Da un lato la lotta all’evasione fiscale, con conseguente caduta a effetto domino dei vari paradisi fiscali, ha
portato i Governi delle principali economie all’elaborazione di norme sempre più stringenti investendo gli
operatori della finanza. Dall’altro, l’avanzare del rischio terrorismo ha fatto scaturire la necessità di tutelarsi
combattendo il fenomeno alla radice, cioè contrastando il finanziamento di gruppi sovversivi.
La IV Direttiva raccoglie in eredità l’obiettivo della III, ovvero quello di dettare una certa omogeneità in
materia di antiriciclaggio su scala europea. Questo è uno degli aspetti positivi che consente ai Paesi membri
di remare tutti nella stessa direzione. Tra le novità degne di nota c’è, sicuramente, la maggior severità nelle
modalità di adempimento dell’adeguata verifica, quindi dei processi di know your costumer, soprattutto
nell’individuazione del cosiddetto titolare effettivo e di strutture complesse quali i trust. Con il recepimento
della direttiva europea, l’Italia ha istituito finalmente l’obbligo di registrazione presso il Registro delle
Imprese. Altro aspetto da non trascurare è la volontà, evidenziata da Bruxelles, di adottare misure per
incentivare il whistleblowing. Senza dimenticare la crescente attenzione nei confronti delle Persone
politicamente esposte (PEP), da cui si pretende trasparenza.
Seppur all’avanguardia, la IV Direttiva è perfettibile: il sistema sanzionatorio non è chiaro come dovrebbe
lasciando i soggetti obbligati alla mercé dell’interpretazione. Tra gli aspetti poco limpidi relativi al tema
delle sanzioni si annoverano, ad esempio, le “violazioni gravi e ripetute” o le “segnalazioni tardive” ancora
in fase di discussione.
Affinché l’ingranaggio funzioni e sia ben oleato è necessario che i soggetti obbligati lavorino dettami e
norme inequivocabili. Non è, inoltre, ancora certo quale sia il ruolo delle Pubbliche amministrazioni
nell’attività di prevenzione al reimpiego dei capitali illeciti. Si percepisce che la nuova disciplina riporti le PA
a un ruolo di mera “cooperazione” e non più di soggetto obbligato. Ciò significherebbe che gli enti pubblici
non sarebbero più tenuti all’invio delle SOS presso l’UIF: se così fosse, sarebbe una grande sconfitta per la
lotta alla corruzione all’interno delle sfere pubbliche italiane.
18
European School of Banking Management
ANTIRICICLAGGIO Rucci
L’inasprirsi della normativa e delle sanzioni ha prodotto i suoi effetti. Secondo i dati divulgati da Bankitalia,
nel 2016 ci sono state 101.065 SOS, cifra cresciuta di otto volte in dieci anni, per un importo pari a 88
miliardi di euro. Un dato ancor più rilevante è che ben il 70% delle segnalazioni trasmesse dal UIF al Nucleo
speciale di Polizia Valutaria, è stato considerato d’interesse ai fini delle indagini. Anche le due Voluntary
disclosure hanno dato un ulteriore slancio alle comunicazioni all’UIF, unitamente all’impegno al contrasto
del terrorismo, che costringe a un maggior stato d’allerta.
Di certo, i compliance officer sono sempre più preparati e consapevoli, ma allo stesso tempo “spaventati”.
Destreggiarsi nel ginepraio della giurisprudenza non è scontato e pagare caro un errore, magari commesso
in buona fede, è compromettente per la carriera. Quindi, oltre alla competenza, influisce molto anche la
cautela che caratterizza l’agire dei responsabili antiriciclaggio.
Restano però ancora dei settori nell’ombra, come i compro oro, i money transfer e il mercato dell’arte. Ma
il vero antagonista dell’antiriciclaggio è il settore delle criptomonete, la cui caratteristica principale, quella
dell’anonimato, consente di effettuare operazioni ambigue senza lasciar traccia.
L’estrema rilevanza di un tema quale quello dell’antiriciclaggio e le sue innumerevoli sfumature ha portato ad
una forte esigenza di confronto e di aggiornamento. È per rispondere a questa necessità che è nata l’idea del
Salone Antiriciclaggio: in questa occasione i massimi esperti della materia possono portare il loro know how e
scambiarsi opinioni, nonché chiarire dubbi e questioni aperte ai soggetti obbligati all’adeguata verifica. Senza
dimenticare che la prevenzione al riciclaggio di denaro deve essere intesa come una missione e una pratica che
deve entrare nel dna di una finanza etica e proiettata al futuro; creare un appuntamento fisso per parlarne e
divulgarne la cultura è stato quasi di dovere.
La formazione specialistica svolge un ruolo importante in questo scenario. Una buona preparazione degli
operatori è imprescindibile: una adeguata formazione, infatti, consente ai professionisti di individuare quali
siano esattamente le proprie responsabilità e i propri compiti in ambito antiriciclaggio. È anche per questo
che il Salone Antiriciclaggio si avvale della partnership tecnica dell’Anti-Money Laundering Diploma della
European School of Banking Management, valido percorso di formazione executive in Italia a certificare
ufficialmente il possesso delle competenze in uscita.
Tuttavia, la sola teoria non basta e, per svolgere in modo impeccabile l’adeguata verifica, è doveroso dotare
i soggetti obbligati di strumenti efficienti ed efficaci per poterla svolgere al meglio, quali banche dati, liste
e altri tool di consultazione. Con l’esperienza e una buona “borsa degli attrezzi” si crea quel binomio
vincente per fronteggiare l’ostica mansione degli adempimenti antiriciclaggio.
19
European School of Banking Management
ANTIRICICLAGGIO Silvestri
LE PRINCIPALI NOVITÀ DEL D.LGS. N.90
ANTIRICICLAGGIO IN ATTUAZIONE DELLA IV
DIRETTIVA EUROPEA
Il decreto legislativo n.90 del 25 maggio 2017, pubblicato in Gazzetta Ufficiale in data 19 giugno ed entrato
in vigore lo scorso 4 luglio, ha sostanzialmente riscritto il D.Lgs. n.231 del 2007 (attuativo della precedente
direttiva antiriciclaggio), introducendo diverse innovazioni che riguardano i soggetti destinatari degli
obblighi, l’attività di registrazione, le comunicazioni alle competenti Autorità, la nozione di titolare
effettivo, le misure di adeguata verifica della clientela, i controlli, gli obblighi di conservazione e le sanzioni.
La nuova disciplina antiriciclaggio, in attuazione della direttiva europea, aggiorna l’elenco dei soggetti
destinatari degli obblighi e l’ambito delle prestazioni da monitorare, semplificando le modalità di
conservazione dei dati e dei documenti, in applicazione del diritto europeo.
Il punto di partenza della direttiva, infatti, è l’ampliamento e la razionalizzazione del principio dell’approccio
basato sul rischio (risk based approach), già considerato dalla precedente direttiva, in base al quale le
misure volte a prevenire o mitigare il riciclaggio e il finanziamento del terrorismo devono essere
proporzionali ai rischi effettivamente individuati.
Le nuove disposizioni garantiscono anche un sistema di controllo degli operatori che effettuano l’attività di
money transfer, caratterizzata da un elevato rischio di infiltrazione criminale.
Coerentemente a quanto prescritto dalla direttiva, viene disegnato un sistema sanzionatorio basato su
misure effettive, proporzionate e dissuasive, da applicare alle persone fisiche e alle persone giuridiche
direttamente responsabili della violazione delle disposizioni dettate in funzione di prevenzione del
riciclaggio e di finanziamento del terrorismo.
20
European School of Banking Management
ANTIRICICLAGGIO Silvestri
Di seguito alcune delle novità più significative introdotte dalla nuova normativa.
In primis, l’eliminazione dell’obbligo di tenuta dell’archivio unico informatico per gli intermediari bancari e
finanziari. I nuovi articoli 31 e 32 prescrivono che i sistemi di conservazione dei documenti, dei dati e delle
informazioni devono consentire la ricostruzione univoca di determinati elementi essenziali e devono essere
idonei a garantire il rispetto delle norme in materia di proiezione dei dati personali.
È richiesta l’adeguata verifica del cliente, con la registrazione delle informazioni, anche per le operazioni
occasionali che comportano un trasferimento di fondi superiori a €1.000 (articolo 17, comma 1).
Nella prestazione di servizi di pagamento e nell’emissione e distribuzione di moneta elettronica, le banche,
gli istituti di pagamento e gli istituti di moneta elettronica, compresi quelli con sede in un altro Stato
membro, nonché le loro succursali, osservano gli obblighi di adeguata verifica della clientela per operazioni
di importo inferiore a €15.000, ivi compresi i casi in cui queste siano effettuate tramite soggetti
convenzionali e agenti (articolo 17, comma 6).
Gli obblighi di adeguata verifica non si osservano, invece, in relazione alla mera redazione e trasmissione
delle dichiarazioni derivanti da obblighi fiscali e degli adempimenti in materia di amministrazione del
personale (articolo 17, comma 8).
Le imprese con personalità giuridica e le persone giuridiche private diverse dalle imprese devono
comunicare telematicamente ai rispettivi Registri le informazioni attinenti la propria titolarità effettiva. I
trust produttivi di effetti giuridici rilevanti ai fini fiscali sono tenuti all’iscrizione in una apposita sezione
speciale del Registro delle imprese, al quale devono essere comunicate le informazioni sulla titolarità
effettiva del trust (articolo 21);
La nuova normativa prevede misure di controllo e monitoraggio che devono essere adottate dagli istituti
di pagamento e dagli istituti di moneta elettronica nei confronti dei soggetti convenzionati e agenti che
dovranno essere annotati in apposito registro tenuto dall’Organismo degli agenti in attività finanziaria e
dei mediatori creditizi (articoli 43-45).
Allo stesso tempo, gli obblighi di comunicazione degli organi di controllo sono attenuati: è necessario
segnalare alle autorità di vigilanza i fatti che possono integrare violazioni del decreto gravi, ripetute,
sistematiche o plurime, di cui essi vengano a conoscenza nell’esercizio delle proprie funzioni (articolo 46).
21
European School of Banking Management
ANTIRICICLAGGIO Silvestri
Inoltre, devono essere adottate procedure volte ad incentivare segnalazioni interne di violazioni, potenziali
o effettive, delle disposizioni in materia di antiriciclaggio da parte del personale dipendente (il cosiddetto
whistleblowing).
Sul fronte dei giochi, la normativa prevede per distributori ed esercenti del gioco su rete fisica l’obbligo di
identificare il cliente che richiede o effettua operazioni di gioco per importo pari o superiore a €2.000 (per
il settore delle VLT il limite è di €500). Se si ravvisa il rischio di riciclaggio o finanziamento del terrorismo, le
misure antiriciclaggio vanno applicate a prescindere della cifra richiesta.
L’obbligo di identificazione per i giochi online avviene per mezzo del conto di gioco, che può essere
ricaricato esclusivamente attraverso pagamenti tracciabili.
Chi gestisce case da gioco (casinò) dovrà identificare e verificare i clienti se il valore delle transazioni
eseguite per l’acquisto o il cambio dei gettoni, o l’incasso delle vincite, sia pari o superiore a € 2.000. I
gestori dei casinò sottoposti al controllo pubblico devono identificare i clienti già all’ingresso della casa da
gioco (articoli 52-54).
Infine, si segnalano anche l’estinzione entro il 31 dicembre 2018 di tutti i libretti al portatore anonimi
(articolo 49) e il proporzionamento delle sanzioni sulla base dell’inadempienza del professionista.
22
European School of Banking Management
ANTIRICICLAGGIO CIPRIAN
IL RUOLO DEL DIAGNOSTICO
NELLA TENUTA DELL’AUI
L’AUI è fondamentale non solo, a livello nazionale, per contrastare il crimine finanziario ma anche,
all’interno della banca e dell’intermediario, per prevenire il rischio di riciclaggio, rischio che può tradursi in
danni economici (sanzioni) e di reputazione.
Gli intermediari finanziari trasmettono alla UIF, con cadenza mensile, dati aggregati concernenti la propria
operatività, al fine di consentire l’effettuazione di analisi mirate a far emergere eventuali fenomeni di
riciclaggio o di finanziamento del terrorismo nell’ambito di determinate zone territoriali.
La UIF individua le tipologie di dati da trasmettere secondo un approccio basato sul rischio e definisce le
modalità con cui tali dati sono aggregati e trasmessi, anche mediante accesso diretto all’archivio unico
informatico.
L’AUI contiene le registrazioni dei dati identificativi del cliente e di tutte le operazioni superiori ad una certa
soglia. Non bisogna confondere l’AUI con la segnalazione delle operazioni sospette: l’AUI è solo un filtro
non un indicatore di sospetto. Le “sezioni” più importanti dell’AUI sono:
dati relativi alla transazione
dati sul soggetto che ha eseguito l’operazione
dati sul soggetto che ha eseguito l’operazione per conto di un altro soggetto
solo per i bonifici, i dati relativi alla controparte ed al suo intermediario (importante per ricostruire il flusso
ed eventuali triangolazioni
Gli adempimenti per chi è tenuto alla tenuta dell’AUI possono essere riassunti come segue:
•Invio iniziale della scheda anagrafica (per i nuovi clienti)
•Predisposizione flusso
•Diagnostico
•Invio a UIF
•Segnalazione negativa (in caso non venga effettuata nessuna registrazione)
23
European School of Banking Management
ANTIRICICLAGGIO CIPRIAN
L’AUI è utile nel contrasto al riciclaggio perché è il complemento ideale alla segnalazione delle operazioni
sospette. Infatti se pure le operazioni sospette rimangono lo strumento principale per la lotta al riciclaggio
va tuttavia tenuto conto che esse presuppongono che l’intermediario sia in grado (e voglia) collaborare con
l’UIF. L’AUI invece permette una azione di sistema indipendente dal comportamento del singolo
intermediario.
È necessario per questo motivo una corretta applicazione della normativa antiriciclaggio e, in particolare,
degli obblighi di adeguata verifica della clientela e di registrazione, finalizzata ad assicurare l’integrità
gestionale degli intermediari. Per far ciò è necessario dotarsi di idonee ed adeguate procedure per
l’espletamento degli obblighi e di un efficace sistema dei controlli interni per garantire l’osservanza delle
norme e la prevenzione del rischio per l’intermediario.
Le procedure e i controlli rappresentano uno dei “pilastri” organizzativi sul quale verte l’intero apparato
normativo finalizzato alla prevenzione del rischio riciclaggio.
L’Archivio Unico informatico va inteso come strumento di lavoro e fonte di informazioni per la valutazione
del cliente e della sua operatività e non come appesantimento burocratico per l’intermediario.
La corretta tenuta dell’Archivio non deve essere interpretata come un mero adempimento “burocratico”
ma come una necessità per costituire una primaria fonte di informazioni sul cliente, sull’operatività e sulle
sue caratteristiche.
Il diagnostico permette di mettere in atto quei controlli sull’AUI che, prima dell’invio a UIF, sono necessari
(oltre che utili) per disporre di un archivio che non contenga errori e che possa essere inviato senza il rischio
di incorrere in sanzioni.
Il diagnostico integrato in un software che permette di effettuare i controlli e le conseguenti azioni
correttive è di utilità estrema; infatti, la quasi totalità dei diagnostici in commercio esegue in modo
adeguato i controlli di merito che sono necessari per correggere eventuali anomalie prima dell’invio della
segnalazione aggregata a UIF, ma non sono integrati in un sistema di corporate governance che permetta
di intervenire sulle modalità di gestione degli eventi che sono causa primaria di queste anomalie.
In questo panorama, il modulo “AUIChecker” di CGSOne si distingue per integrare i controlli effettuati sulle
registrazioni in AUI in un contesto globale di corporate governance e di rimuovere le cause delle anomalie
alla fonte. Inoltre, CGSOne è predisposto per la mappa dei rischi (antiriciclaggio – eventualmente), per la
gestione delle normative – importantissima in un contesto in continua evoluzione e che vedrà il prossimo
anno l’introduzione degli interventi che daranno vita al recepimento della IV Direttiva – oltre che per
l’autovalutazione del rischio di riciclaggio.
24
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
LA RAFFORZATA VERIFICA NEI CONFRONTI DEI
CORRISPONDENTI ESTERI NON APPARTENENTI
ALL’UNIONE EUROPEA
Gli intermediari devono applicare misure rafforzate di adeguata verifica nei confronti degli enti creditizi
e finanziari insediati in Stati extracomunitari diversi dai paesi terzi equivalenti, quando questi ultimi
instaurano rapporti continuativi costituiti da conti correnti di corrispondenza ovvero conti di passaggio.
La normativa definisce:
- Conti Correnti di corrispondenza i conti tenuti dalle banche, tradizionalmente su base bilaterale, per il
regolamento dei servizi interbancari (rimesse di effetti, assegni circolari e Bancari, ordini di versamento,
giri di fondi, rimesse documentate e altre operazioni);
- Conti di passaggio i rapporti Bancari di corrispondenza transfrontalieri, intrattenuti tra intermediari
finanziari, utilizzati per effettuare operazioni in nome proprio e per conto della
Clientela.
Inoltre, per i Conti Correnti di corrispondenza e i conti di passaggio di Stati extra-comunitari diversi da
paesi terzi equivalenti vi è l’obbligo di attivare idonee misure rafforzate di adeguata verifica che
prevedono almeno:
- l’acquisizione di informazioni idonee ad individuare gli assetti proprietari del Corrispondente Estero e la
qualità del regime di vigilanza e dei controlli in materia di contrasto al riciclaggio e al terrorismo cui il
Corrispondente Estero è soggetto;
- l’acquisizione presso il Corrispondente Estero di informazioni sufficienti a comprendere pienamente
la natura delle attività svolte, anche con riferimento ai servizi prestati ai propri clienti in relazione ai quali
vengono utilizzati il conto o i conti accesi presso la Banca;
- la raccolta di informazioni per determinare, sulla base di pubblici registri, elenchi, atti e documenti
conoscibili da chiunque, la sua reputazione e la qualità della vigilanza cui è soggetto;
25
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
- la sicurezza, anche con verifiche a campione, che il Corrispondente Estero abbia verificato l’identità dei
clienti che hanno un accesso diretto ai conti di passaggio, che abbia costantemente assolto gli obblighi di
adeguata verifica della Clientela e che, su richiesta, possa fornire alla Banca i dati del cliente e del titolare
effettivo ottenuti a seguito dell’assolvimento di tali obblighi; va acquisita una espressa dichiarazione circa
l’inesistenza di impedimenti normativi o contrattuali in merito alla tempestiva trasmissione delle
informazioni richieste;
- l’autorizzazione della Direzione per l’apertura di ciascun conto corrente di corrispondenza;
- la definizione in forma scritta dei termini dell’accordo con il Corrispondente Estero e i rispettivi obblighi.
Le misure rafforzate sopra indicate devono essere applicate ai rapporti assimilabili ai conti correnti di
corrispondenza o conti di passaggio.
È vietato aprire o mantenere anche indirettamente conti di corrispondenza con una Banca di comodo
(cosiddette shell banks (per Banca di comodo si intende una Banca o un ente che svolge attività
equivalenti, costituita in un Paese in cui non ha alcuna presenza fisica, che consenta di esercitare una
direzione e una gestione effettiva e che non sia collegata ad alcun gruppo finanziario regolamentato)
facendo inoltre attenzione che il Corrispondente Estero sia soggetto vigilato dalla propria Banca Centrale
di riferimento in quanto sono assoggettati a particolare cautela i rapporti accesi ad appartenenti al
cosiddetto “sistema bancario ombra”.
Nel caso in cui il Corrispondente extra-comunitario presenti alla Banca richiesta di conversione di
banconote denominate in una o più valute il cui corso legale sia cessato, la Banca deve acquisire
informazioni sul soggetto per conto del quale il Corrispondente ha presentato la richiesta.
Al fine di fornire un sostegno costante ai controlli sulle attività di riciclaggio in relazione alle attività di
correspondent banking, le banche italiano devono attivare una serie di analisi sistemiche e di best
practice, così sintetizzate:
a) Le caratteristiche e le attività del correspondent banking.
Il correspondent banking è un’attività caratterizzata da volumi elevati e tempi ridottissimi, la quale
comporta importanti flussi di denaro fra un elevato numero di istituti finanziari. In molti casi, nessuna
delle singole parti coinvolte dispone di una visione d’insieme completa sull’intero flusso di transazioni.
26
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
La Banca effettua le transazioni avviate dal proprio corrispondente per conto di controparti con le quali
la Banca stessa non intrattiene rapporti diretti, che non sono suoi clienti e per le quali di conseguenza
non ha condotto una due diligence.
Tali caratteristiche possono rendere i conti della banca corrispondente vulnerabili a potenziali attività
illecite da parte di riciclatori di denaro, con una notevole difficoltà per la Banca nella prevenzione e
nell’individuazione di tali attività illegali.
Nei rapporti con i corrispondenti iraniani, la Banca agisce effettivamente come agente della propria
banca corrispondente, eseguendo e/o effettuando pagamenti e altre transazioni per conto della banca
corrispondente su disposizione dei propri clienti. Tali clienti possono essere persone fisiche, persone
giuridiche o addirittura altri istituti finanziari, mentre i beneficiari delle transazioni sono clienti di banche
italiane.
La Banca non ha rapporti diretti con le parti sottostanti alle transazioni che transitano attraverso di essa
e, in tali casi, potrebbe non essere nella posizione di verificare l’identità o comprendere appieno la natura
di una specifica transazione, soprattutto nell’ambito dell’elaborazione dei pagamenti elettronici
(trasferimenti di denaro).
Affinché la Banca possa adeguatamente preservare il rischio di riciclaggio è necessario che ogni banca
corrispondente sia in grado di condurre un’adeguata due diligence sui propri clienti e sulle loro
transazioni in ottemperanza alle leggi e alle disposizioni normative vigenti, tenendo in considerazione
ove opportuno tutti gli standard internazionali rilevanti.
Tale due diligence deve essere effettuata dai corrispondenti che intrattengono un rapporto diretto con i
clienti, poiché si trovano nella posizione migliore per conoscere i propri clienti e sono tenuti a gestire un
adeguato sistema interno di controllo volto a contenere i potenziali rischi di riciclaggio di denaro.
La Banca adotta un approccio basato sul rischio, svolgendo una due diligence approfondita sui
corrispondenti considerati a maggior rischio.
In taluni casi, pur senza avviare alcun rapporto diretto con i clienti, per la Banca può tuttavia essere
ancora necessario richiedere o ricevere dalla banca corrispondente informazioni in merito a uno o più
clienti del corrispondente stesso, ivi inclusi altri istituti finanziari che siano suoi clienti (anche se il
trasferimento di informazioni può essere soggetto a leggi o disposizioni normative tali da impedire alla
banca corrispondente di fornire informazioni all’istituto).
27
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
La Banca applica i seguenti i seguenti vincolanti divieti di intrattenere:
− rapporti con banche schermo (c.d. “shell banks”) La Banca è tenuta ad adottare tutte le misure
per accertarsi di non collaborare deliberatamente e consapevolmente con istituti finanziari i quali a loro
volta operano con shell banks;
− rapporti con istituti finanziari non bancari privi di licenza e/o non regolamentati quali servizi di
rimesse, exchange houses, casas de cambio, bureau de change e agenti di trasferimento di denaro,
ovvero persone fisiche o giuridiche che operano effettivamente in tale funzione;
− relazioni con banche corrispondenti per le quali la conduzione della due diligence abbia
evidenziato incertezze significative che non possono essere risolte; oppure
− relazioni in cui i controlli antiriciclaggio della banca corrispondente risultino inadeguati e/o
insufficienti, senza che il corrispondente rassicuri l’istituto circa l’adozione delle necessarie misure di
rimedio.
b) La metodologia dell’approccio basato sul rischio.
Ogni relazione con banche corrispondenti deve essere sottoposta a revisione nel proprio merito, e gli
istituti possono generalmente attendersi che i diversi Paesi implementino le necessarie leggi
antiriciclaggio e che i corrispondenti siano quindi soggetti a un’adeguata regolamentazione e
supervisione (assenza di informazioni attestanti il contrario da parte di fondi credibili).
Nell’analisi del rapporto di correspondent banking, è necessario considerare fattori tali da comportare
elevati rischi di riciclaggio di denaro, individualmente, in combinazione o più solitamente nel loro
complesso. Tali fattori sono stati individuati con riferimento al Rischio Paese e al Rischio Controparte, i
due criteri che rappresentano il fulcro attorno al quale sono imperniati i rischi di riciclaggio per la Banca.
Il rischio Paese relativo alla banca corrispondente deve essere valutato al fine di determinare l’eventuale
presenza di un potenziale di riciclaggio di denaro conseguentemente a fattori correlati a un determinato
Paese. I fattori che possono portare a stabilire che un Paese comporta un rischio più elevato di riciclaggio
di denaro comprendono:
− il fatto che il Paese sia soggetto a sanzioni, embargo o misure analoghe decretate ad
esempio da parte dell’Organizzazione delle Nazioni Unite, o comunque laddove trovino
applicazione leggi nazionali;
28
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
− il fatto che il Paese presenti un elevato livello di corruzione o altre attività criminali o risulti
politicamente instabile secondo quanto stabilito da fonti attendibili;
− il fatto che il Paese non sia dotato di adeguate leggi e disposizioni normative antiriciclaggio, o le
leggi e le disposizioni vigenti siano implementate in modo insufficiente o inappropriato secondo quanto
stabilito da fonti attendibili.
I fattori inerenti al rischio Controparte sono correlati o all’organizzazione e alla struttura della banca
corrispondente, o alla natura e alla finalità delle sue attività operative. I fattori considerabili che possono
comportare un rischio più elevato di riciclaggio di denaro comprendono il fatto che la banca
corrispondente sia:
• un corrispondente di tipo offshore;
• un corrispondente caratterizzato da un coinvolgimento materiale con soggetti PEPs;
• una banca corrispondente che non è di proprietà statale o ad azionariato diffuso (o parte di un
gruppo di aziende di proprietà statale o ad azionariato diffuso), sebbene la natura e la portata della
proprietà statale o le condizioni in base alle quali la banca corrispondente
è quotata e scambiata su una borsa valori regolamentata possano essere considerati altrettanto rilevanti;
• un soggetto che offre ai propri clienti servizi di banca corrispondente a rischio più elevato;
• una banca centrale o un’organizzazione sopranazionale che opera su prodotti e servizi diversi da
quelli previsti nell’ambito delle sue attività primarie;
• istituti finanziari non bancari regolamentati e dotati di regolare licenza quali servizi di rimesse,
exchange houses, casas de cambio, bureau de change e agenti di trasferimento di denaro.
La Banca utilizza i criteri soprariportati (che tuttavia non hanno la pretesa di essere esaustivi) per mettere
a punto il proprio modello finalizzato all’identificazione di corrispondenti a rischio più elevato, applicando
così adeguate soluzioni di due diligence, approvazione, monitoraggio e verifica. La Banca documenta
adeguatamente le metodologie adottate e i controlli attuati.
Per lo scambio di una chiave SWIFT si precisa che la Banca esegue una due diligence di livello adeguato
ogni qualvolta vengono scambiate o si intendono scambiare informazioni relative a pagamenti.
Quando invece è previsto soltanto uno scambio di informazioni non relative a pagamenti, la due diligence
sulla banca estera risulta sostanzialmente superflua.
29
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
c) Il processo KYC del rischio di riciclaggio
La Banca adotta un corpo di direttive e procedure atte ad agevolare l’individuazione di attività insolite o
sospette, segnalandole alle autorità competenti come previsto dalle leggi vigenti.
La Banca, inoltre, attua processi appropriati tali da consentire l’individuazione di attività insolite e di
modelli anomali di attività o transazioni. Poiché non sempre le transazioni insolite o modelli anomali di
attività sono effettivamente sospetti, la Banca deve valutare con cura l’apertura dei rapporti di
corrispondenza e determinare se le attività, i modelli e le transazioni siano sospette in termini di
potenziale riciclaggio di denaro.
Attività, modelli e transazioni sospette sono segnalate alle autorità competenti in conformità a leggi,
disposizioni normative vigente.
Le misure di rafforzata verifica adottate dalla Banca nell’ambito del processo KYC:
- Conduzione della due diligence: la raccolta di sufficienti informazioni su una banca
corrispondente al fine di capire la natura delle sue attività, determinandone la reputazione e la qualità
delle attività di vigilanza sulla base di informazioni pubbliche e di immediata disponibilità. Nella misura in
cui tali informazioni siano disponibili, l’attività di raccolta di informazioni deve accertare in particolare se
la banca corrispondente sia stata soggetta a investigazioni in materia di riciclaggio di denaro o di
finanziamento al terrorismo oppure se sia stata sottoposta ad azioni disciplinari. Le informazioni così
raccolte dovrebbero consentire alla banca di “monitorare” periodicamente via Internet e/o, ove ritenuto
opportuno, attraverso fonti di ricerca più specializzate, i soggetti identificati come proprietari e il senior
management della banca corrispondente in termini di notizie/informazioni negative pubblicate dai
media ai fini dei rischi comportati dal corrispondente, ivi inclusi collegamenti nuovi o precedentemente
non noti con PEPs, persone fisiche o giuridiche sottoposte a sanzioni.
Di seguito viene segnalato il percorso di acquisizione (input) delle informazioni e della documentazione
da acquisire prima di poter attivare un rapporto continuativo con il corrispondente estero:
30
European School of Banking Management
ANTIRICICLAGGIO FERRACCI
Due Diligence per l’apertura dei rapporti con i corrispondenti esteri:
1 Lettera in inglese in cui viene illustrato il processo di AML della Banca.
2 Questionario antiriciclaggio (redatto secondo lo standard “Wolfsberg Group”)
debitamente compilato e firmato dal corrispondente che indichi, inoltre, il
nominativo del Responsabile Antiriciclaggio.La firma deve essere confermata a
mezzo messaggio Swift.
3 Dichiarazione di Responsabilità antiriciclaggio da redigere su carta intestata del
corrispondente.
4 Copia con data e firma delle politiche e/o procedure aziendali in materia
di antiriciclaggio del corrispondente.
5 Copie dei documenti di corporate governance del corrispondente, quali:
- Statuto societario;
- Atto Costitutivo;
- Verbali di assemblea di nomina degli amministratori.
6 Copia della licenza bancaria o dell’autorizzazione all’esercizio del credito
del corrispondente.
7 Elenco della compagine sociale del corrispondente.
8 Elenco degli amministratori corredata (ove possibile) dal profilo professionale
degli stessi e elenco del Management apicale del corrispondente.
9 Fotocopia documento/i di identificazione del/i legale/i rappresentante/i del
corrispondente.
10 Ultimo bilancio di esercizio (consolidato ove ricorre) del corrispondente completo
di certificazione da parte di società di revisione esterne (ove possibile).
11 Elenco dei soggetti (e altre informazioni atte all’identificazione degli stessi) che
direttamente o indirettamente posseggono, controllano o hanno il potere di voto
su almeno il 10% di qualsiasi classe di titoli con diritto di voto.
Per le banche quotate, è necessario identificare la Borsa Valori su cui sono
quotate.
12 Estratto aggiornato del registro di commercio del corrispondente.
13 Nota redatta dal Responsabile del Servizio della Banca in cui viene evidenziato
lo scopo del rapporto continuativo e il livello reputazionale della corrispondente
ove conosciuto direttamente o indirettamente.
14 Approvazione da parte del Responsabile Antiriciclaggio della Banca.
15 Autorizzazione finale della Direzione Generale della Banca.
33
European School of Banking Management
COMPLIANCE CIPRIAN
RICICLARE DENARO CON IL WEB
Può succedere mentre gioco online, se sottometto il mio cv a una richiesta di lavoro, con messaggi
di posta elettronica con inverosimili proposte.
Internet è il mondo per chi vuole riciclare denaro online, perché le possibilità si moltiplicano, le
identità si mascherano e i soldi girano senza identificare il titolare effettivo. Un giornale online di
sicurezza informatica ha identificato in un articolo i principali modi con cui la criminalità
organizzata mondiale ricicla soldi sporchi.
Non troverete statistiche sul riciclaggio via internet: il mondo virtuale del web è immenso e le
transazioni che avvengono giornalmente sono miliardi. Si possono peraltro ricostruire il modo in
cui questi processi di riciclaggio vengono condotti, anche se internet potrebbe permettere
l'anonimato. Nell'articolo s’identificano i metodi più usati per riciclare denaro su internet e come
spesso e volentieri persone ignare possono trovarsi intrappolate in una rete criminale senza
nemmeno sapere di esserne parte.
Le scommesse e i giochi online
La criminalità organizzata ha il problema di riciclare il denaro ottenuto con attività illecita in
denaro ottenuto onestamente tramite attività lecite.
Lo strumento di riciclaggio principale è costituito dai giochi online di tipo multiplayer. Le
piattaforme che si occupano di questo si prestano bene allo scopo perché si basano sulla
possibilità di convertire crediti di gioco in denaro reale. Di conseguenza la criminalità organizzata
apre o numerosi account, ai quali abbinano carte ricaricabili e in questo modo trasformano denaro
ricevuto in modo illecito comprando crediti di gioco e trasformando cosi il denaro in attività lecite.
Se alle carte prepagate si sostituiscono le criptovalute, il denaro è già in formato digitale.
Trasformato il denaro ottenuto illecitamente in crediti, la criminalità organizzata va sulla
piattaforma di scambio tra i giocatori e rivende (forse a persone inesperti) i crediti in cambio di
denaro reale, in modo da riavere a loro disposizione i soldi, ma stavolta da una transazione
completamente lecita.
Per abbreviare i tempi, vista la fatica necessaria a trovare i singoli giocatori che si prestino
inconsapevolmente al riciclaggio, accade talvolta che i criminalità organizzata vendano interi stock
di crediti di gioco a piattaforme apposite che gliele pagano subito e che poi le rivenderanno ai
singoli player, anche se in questo modo il denaro si svaluta molto.
34
European School of Banking Management
COMPLIANCE CIPRIAN
Attenzione quindi alle piattaforme multiplayer quali per esempio “World of Warcraft” oppure
Second Life.
È importante comprendere che in questo tipo di gaming online si gioca su server che danno modo
di incontrare persone provenienti da ogni luogo del mondo, il che consente di eseguire gli scambi
con giocatori e piattaforme in nazioni che
potrebbero avere una normativa Antiriciclaggio “leggera”, senza che nessuno possa essere
identificato.
Le aziende che sviluppano questi giochi possono essere totalmente estranee a queste attività di
riciclaggio.
Il riciclaggio effettuato attraverso PayPal e le carte di credito virtuali
Per riciclare denaro tramite la rete spesso si utilizzano account di Paypal, soprattutto per
effettuare del microriciclaggio: questo consente alla criminalità organizzata di non essere
rintracciata. Il riciclaggio riesce dunque a passare inosservato.
Paypal si presta alla perfezione per attivare dei meccanismi di microriciclaggio: anche se gli
account vengono limitati, alcune funzioni come quella per il rimborso, continuano ad essere utili
alla criminalità organizzata. Non è una novità che PayPal sia uno strumento finanziario utilizzato
per eseguire pagamenti di servizi o beni che nelle mani della criminalità organizzata possa
rappresentare un mezzo importante per il riciclaggio di importi limitati nonostante la presenza di
procedure antiriciclaggio che Paypal stessa adotta.
Per riciclare importi limitati, quali quelli che derivano dal furto di uno smartphone o dal
prosciugamento di una carta prepagata, la criminalità organizzata si offre di accreditare i soldi su
un account Paypal intestato a una persona “pulita”, giustificandolo come acquisto di un normale
prodotto che fanno finta di ricevere. Sembra così che il denaro non sia più nelle mani della
criminalità organizzata, ma in realtà il destinatario dei soldi utilizza la carta Paypal per ritirare il
denaro contante presso uno sportello bancomat e restituisce i soldi al riciclatore, trattenendosi
una parte per il disturbo.
Per importi sostanziosi, la criminalità organizzata consegna il denaro a degli affiliati che glielo
restituiscono sotto forma di microtransazioni per abbonamenti a film, consegna di prodotti o
ricariche telefoniche, che giustificano agli occhi della normativa vigente o degli intermediari il
possesso del contante. Anche nel caso in cui Paypal sospetti qualcosa e limiti gli account, nella
maggior parte dei casi rimane attiva la funzione di rimborso, che consente comunque di
continuare a movimentare denaro.
35
European School of Banking Management
COMPLIANCE CIPRIAN
Anche le carte di credito virtuali stanno conquistando un posto di tutto rispetto tra le metodologie di
riciclaggio utilizzate: questo perché possono essere caricate attraverso account bancari compromessi ed
essere utilizzate per ricaricare account Paypal. Si tratta di un metodo con pochissima tracciabilità, che in
caso di indagine porta a scoprire il titolare del conto bancario derubato e non l’identità dell’hacker.
Le piattaforme per trovare “freelancer”
Quello delle “offerte di lavoro” è senza dubbio il metodo più interessante a livello sociale tra quelli
utilizzati dalla criminalità organizzata per ripulire il proprio denaro.
Il metodo utilizzato è quello aprire un account presso la nota piattaforma “Freelancer”, che
consente di aprire dei progetti di lavoro, individuare personale che li realizzi ed eseguire il
pagamento della prestazione all’interno del sito stesso. Nel caso del riciclaggio di denaro, si apre
un account, si avvia un progetto e si depositano dei fondi a disposizione dei “freelancer” che
accetteranno il lavoro.
Si apre un secondo profilo Freelancer falso, come se si fosse un dipendente, e si fa una offerta per
lavorare per il proprio stesso progetto. Dall’altro lato si accetta e si trasferiscono i soldi al proprio
account falso. Il possesso del denaro viene così giustificato come prestazione lavorativa, e si può
poi trasferire il tutto verso un conto bancario o un Paypal.
In alternativa, se il quantitativo di denaro è maggiore, si coinvolgono eventualmente terze
persone. Si spiega a questi che, in qualità di datore di lavoro, si ha un problema nel ricevere i
pagamenti dai propri clienti e si chiede di fare da tramite con un account magari di Paypal,
invitando le terze persone che sono coinvolte (o un terzo che apre un account) a trattenere una
percentuale su ogni transazione per il servizio svolto.
Sebbene l’intera presentazione dell’offerta di impiego dovrebbe far riflettere l’utente e tenerlo
lontano da simili opportunità, molto spesso, peccando di leggerezza, lo stesso si mette al servizio
di delinquenti informatici perché bisognoso di soldi.
Le piattaforme per trovare dipendenti (quali per esempio Freelancer e Fiverr) sono in questo
modo infestate da falsi account sfruttati per giustificare il possesso di denaro illecito con normali
remunerazioni a collaboratori
In particolare Iverr è frequentemente usata per la creazione di falsi account (fake) con i quali
acquistare servizi altrettanto falsi e di conseguenza riciclare importi consistenti attraverso piccoli
trasferimenti su differenti account.
Questa tipologia di riciclaggio, sfruttando gli utenti o servizi apparentemente innocenti nella loro
natura, è uno degli approcci innovativi più utilizzati.
Si tratta di un’evoluzione dei classici tranelli via posta elettronica che ormai, grazie alla
preparazione dei servizi di posta elettronica contro lo spam ed alla conoscenza man mano
acquisita dagli utenti, stanno divenendo sempre meno fruttuose.
36
European School of Banking Management
COMPLIANCE CIPRIAN
Viene superato anche il meccanismo di riciclaggio del denaro tramite conti bancari, in quanto tra
account Paypal e Bitcoin è possibile eseguire tutto il lavoro appoggiandosi solamente al mondo
virtuale.
I tranelli via posta elettronica
I tranelli via posta elettronica stanno diminuendo la loro efficacia. Tuttavia hanno subito
un’evoluzione nel corso del tempo: quelle che una volta erano richieste di
denaro per sbloccare grandi cifre e ottenerne altre in cambio si sono trasformate, sfruttando
comunque le fantomatiche figure di nobili africani ed ereditiere di varia origine, in richieste di
passaggi di denaro su account PayPal per trasferimenti con tanto di percentuale da ottenere che
puntano alla pulizia dello stesso portando i soldi dalla loro posizione originaria al paese della
persona che riceve il messaggio.
I cartelli della droga colombiani sfruttano spesso la rete per ripulire i soldi derivanti dalla vendita
di stupefacenti negli USA.
Fortunatamente, i vari servizi di posta elettronica stanno migliorando la gestione delle minacce
informatiche nei confronti degli utenti (adeguandosi anche al GDPR), evitando che gli stessi
cadano nelle trappole appositamente lanciate per loro.
Il metodo colombiano del cambio del Pesos
Uno dei metodi più strutturati e che ha maggior fortuna lo troviamo nel mercato della droga tra
la Colombia e gli USA.
Tra i metodi più sfruttati per riciclare il denaro in Colombia vi è il sistema inventato dai cartelli
della droga. Come ha indicato l’Istituto australiano di Criminologia dopo averne studiato gli effetti
per diversi anni, esso si basa parzialmente sullo sfruttamento delle potenzialità della rete e dei
suoi strumenti.
La sua struttura è molto interessante: per esempio, i trafficanti vendono negli USA della droga per
un valore di 3 milioni di dollari. Questo denaro è naturalmente illecito e va riciclato Per questo si
avvalgono di un sistema bancario apposito, il “Black Market Peso Exchange” dove alcuni uomini
d’affari colombiani comprano i dollari da riciclare e li depositano online.
Con questi dollari, gli affaristi colombiani comprano dei beni direttamente dagli USA e, una volta
ricevuti, li esportano in Colombia, dove vengono venduti direttamente ai cittadini, i quali pagano
in pesos. I proventi di questa ultima vendita finiscono nelle mani dei trafficanti di droga, che ora
possono giustificare il denaro come proveniente da una normale attività commerciale.
Se fino a pochi anni fa, l’Interpol e le autorità statunitensi potevano interrompere il meccanismo
individuando le banche dove erano depositati i dollari americani e sequestrandoli, la possibilità di
detenere soldi su fondi su Paypal oppure in Bitcoin rende difficilissimo il sequestro dei soldi,
nonché il tracciamento dei movimenti di denaro che di norma permette di risalire alle persone.
37
European School of Banking Management
COMPLIANCE CIPRIAN
Un altro giornale online scrive che la polizia ha arrestato 10 persone in Olanda in quanto parte di
un cartello internazionale attraverso la vendita di valute virtuali Bitcoin.
Il riciclaggio di denaro fa tesoro della valute virtuali. Analizziamo dunque queste valute virtuali e
cosa possiamo farne.
eCache & TOR
Queste valute virtuali sono assolutamente e completamente anonime. Secondo gli operatori,
eCache non mette in relazione una persona con le sue transazioni: le transazioni sono “Digital
Bearer Certificate (DBC) che possono essere trasferite a una persona come se fossero un
qualunque dato su internet. DBC è una combinazione di crittografia all'interno di un dato che
potrebbe essere in seguito decrittata e permettere al proprietario di avere come attività il
certificato stesso.
Blockchain
Blockchain nasce come valuta virtuale. Blockchain traccia la transazione, non l'identità di chi l'ha
eseguita. E' peraltro possibile associare l'indirizzo IP, però questo garantisce la totale anonimità
della persona che c'è dietro l'IP.
Dark Wallet
Secondo Wired, Dark Wallet rende i Bitcoin ancora più facili da riciclare. Questa applicazione
crittografa le transazioni e le mescola tra di loro, rendendole totalmente irrintracciabili.
BTC Jam
Lo schema utilizzato da BTC Jam è simile a quanto Leo Goetz mette in atto in “Arma Letale 2”. La
società può connettere globalmente i prestatori e i prenditori usando Bitcoin come valuta in
modalità peer-to-peer. Ovviamente è anche interessato il mercato del Crowfunding...
Swarm
Il Crowdfunding potrebbe essere utilizzato per riciclare denaro in molti modi. Per esempio, un
emittente può essere colluso con gli investitori per scambiare denaro per azioni oppure
obbligazioni.
Swarm è una start-up di Crowunding ma utilizza Bitcoin come valuta. E' un concetto innovativo,
ma potrebbe essere abusato dalla criminalità organizzata per riciclare denaro.
BitPay, Coinbase e Circle
Una delle grandi minìmitazioni dei Bitcoin, è che possono essere spesi in un numero limitato di
luoghi. Ciononostante, Bitpay vede un giro d'affari di 1 milione di Bitcoin ogni giorno. Coinbase e
Circle permettono ai clienti di avere carte di credito in Bitcoin
Conclusioni
È evidente che la rete offra moltissimi opportunità ai cyber criminalità organizzata
38
European School of Banking Management
COMPLIANCE CIPRIAN
per riciclare denaro ottenuto da attività illecite, sia utilizzando ignari cittadini, sia
sfruttando quelli che sarebbero per loro natura servizi puliti ma impossibilitati a consentire una
tracciabilità.
Ma quanti intermediari finanziari che hanno clienti che operano in Bitcoin chiedono che
piattaforme utilizzano o fanno domande sull'utilizzo di internet?
Sarebbe un approccio differente dalle classiche domande dell'adeguata verifica e impedirebbero
forse di riuscire a passare inosservato al riciclatore anche in caso di controlli.
39
European School of Banking Management
COMPLIANCE FALETTI
LE LINEE GUIDA PER LE BANCHE
SUI CREDITI DETERIORATI DALLA BCE
Il clima di incertezza e volatilità dei mercati che ha caratterizzato gli ultimi anni con ripercussioni sui prezzi
dei corsi azionari sulle principali borse mondiali, dati macroeconomici contrastanti e dinamica dei tassi in
riduzione nell’area euro, pare stia lentamente lasciando spazio ad un cauto ottimismo: una crescita
modesta per l’Italia segnala una progressiva uscita dalla crisi.
Il contesto regolatorio italiano ed europeo in costante evoluzione sposta l’attenzione verso temi cruciali
per gli operatori del credito: molti i temi “caldi” da affrontare e gestire in modo proattivo nell’ambito di
un cambiamento continuo che appare essere ormai una costante degli ultimi anni.
Tra le tematiche centrali, emerge la pubblicazione sul sito della Banca Centrale Europea delle “Linee
guida per le banche sui crediti deteriorati”, concernenti l’individuazione, la misurazione, la gestione e la
cancellazione dei cosiddetti “Non Performing Loans” (NPL), ossia i crediti deteriorati.
Le previsioni contenute nelle Linee Guida del 20 marzo 2017 sono rivolte (MVU).
Il Documento si pone l’obiettivo di elevare il livello e la continuità del monitoraggio concernente gli NPL,
in particolare, in tema di tempestività degli accantonamenti e delle cancellazioni.
Le Linee Guida puntualizzano, tra l’altro, le strategie di gestione degli NPL, incluse le modifiche necessarie
nella struttura organizzativa della banca, con regolare riesame e monitoraggio indipendente e modalità
specifiche di comunicazione all’Autorità di vigilanza, nonché la governance e l’assetto operativo del
complessivo sistema di recupero degli NPL, con riferimento anche al sistema dei controlli interni e ai
processi di allerta precoce.
Il documento evidenza anche i profili rilevanti per le misure di concessione e i relativi processi di
riconoscimento, le segnalazioni di vigilanza e l’informativa al pubblico; la rilevazione degli NPL, le relative
indicazioni qualitative su accantonamenti e cancellazioni e le linee guida sulla definizione di NPE di cui al
Regolamento di esecuzione
40
European School of Banking Management
COMPLIANCE FALETTI
della Commissione (UE) n. 680/2014 (“Norme tecniche di attuazione dell’Autorità Bancaria Europea sulle
segnalazioni di vigilanza”) con lo scopo di assicurare l’applicazione coerente del criterio dell’esposizione
scaduta e di quello dell’inadempienza probabile.
Infine, nelle Linee Guida vengono fornite le indicazioni per la stima specifica degli accantonamenti e degli
accontamenti collettivi e puntualizzata la valutazione delle garanzie, in particolare con riferimento alle
politiche, alle procedure e all’informativa che le banche dovrebbero adottare nella valutazione delle
garanzie immobiliari sugli NPL, con indicazioni concernenti anche la frequenza e la metodologia delle
valutazioni, nonché la valutazione delle garanzie escusse.
Il Documento qualifica le Linee Guida come “al momento non vincolanti” in senso tecnico-giuridico.
41
European School of Banking Management
COMPLIANCE FERRACCI
L’APPROCCIO BASATO SUL RISCHIO DI
RICICLAGGIO DELLE BANCHE
In base al principio dell’approccio basato sul rischio l’intensità e l’estensione degli obblighi di adeguata
verifica della Clientela vanno modulati in maniera proporzionale all’entità del rischio di riciclaggio e
finanziamento al terrorismo associato al cliente. Ogni intermediario deve esercitare responsabilmente la
propria autonomia, considerando tutti i fattori di rischio suscettibili di incidere sull’esposizione a
fenomeni di riciclaggio e/o di finanziamento del terrorismo e adottare sistemi valutativi e processi
decisionali chiari, oggettivi, periodicamente verificati e aggiornati. I sistemi valutativi e i processi
decisionali adottati devono assicurare coerenza di comportamento all’interno dell’intera struttura
aziendale e la tracciabilità delle verifiche svolte e delle valutazioni effettuate, anche al fine di dimostrare
alle autorità competenti che le specifiche misure assunte sono adeguate rispetto ai rischi rilevati in
concreto.
L’approccio basato sul rischio non può comunque condurre a non adempiere gli obblighi che le norme di
legge o le presenti istruzioni stabiliscono in modo puntuale e preciso a carico della Banca, senza riservare
a quest’ultima uno spazio di valutazione della situazione concreta (ad esempio nel caso in cui siano
previsti obblighi di congelamento nei confronti di soggetti inseriti nelle liste comunitarie emanate anche
in attuazione delle Risoluzioni dell’Organizzazione delle Nazioni Unite per il contrasto al finanziamento
del terrorismo e all’attività dei Paesi che minacciano la pace e la sicurezza internazionale, c.d. black list).
Per la profilazione della Clientela e la valutazione del rischio di riciclaggio e di finanziamento del
terrorismo i criteri seguiti dalla Banca sono:
Con riferimento al cliente sono:
a) la natura giuridica;
b) la prevalente attività svolta;
c) il comportamento tenuto all’atto del compimento dell’operazione o dell’instaurazione del
rapporto continuativo;
d) area geografica di residenza o sede del cliente o della controparte.
Con riferimento all’operazione o al rapporto continuativo:
a) tipologia dell’operazione o del rapporto continuativo posto in essere;
b) modalità di svolgimento dell’operazione o rapporto continuativo;
c) ammontare dell’operazione;
d) frequenza delle operazioni e durata del rapporto continuativo;
42
European School of Banking Management
COMPLIANCE FERRACCI
e) ragionevolezza dell’operazione o del rapporto continuativo in relazione all’attività svolta dal cliente;
f) area geografica di destinazione del prodotto, oggetto dell’operazione o del rapporto continuativo.
Gli elementi di valutazione da considerare per ciascuno dei criteri stessi, ma lascia comunque alla Banca
la facoltà di ricorrere ad ulteriori elementi di valutazione, quando essi siano ritenuti rilevanti ai fini
dell’individuazione del rischio di riciclaggio e di finanziamento del terrorismo.
Di seguito vengono elencati i fattori che rilevano per ciascuno dei criteri generali.
La natura giuridica e le caratteristiche del cliente:
a) la sussistenza di eventuali procedimenti penali o procedimenti per danno erariale quando tale
informazione sia notoria o comunque nota al destinatario e non coperta da obblighi di segretezza
che ne impediscano l’utilizzazione da parte del destinatario stesso ai sensi del codice di procedura
penale o di precedenti segnalazioni inoltrate alla UIF; tali informazioni rilevano anche con riguardo
a soggetti notoriamente legati al cliente (ad esempio in virtù di rapporti familiari o d’affari);
b) In caso di cliente-persona fisica, le cariche ricoperte in ambito politico-istituzionale, societario, in
associazioni o fondazioni, soprattutto se si tratta di entità residenti in Stati extracomunitari diversi
dai paesi terzi equivalenti (PEPs nonché soggetti che rivestono funzioni apicali nella pubblica
amministrazione ovvero in enti che gestiscono erogazioni di fondi pubblici);
c) Nel caso di cliente-non persona fisica, le finalità della sua costituzione, gli scopi che persegue, le
modalità attraverso cui opera per raggiungerli, nonché la forma giuridica adottata, soprattutto là
dove essa presenti particolari elementi di complessità od opacità che possano impedire o ostacolare
l’individuazione del titolare effettivo o dell’effettivo oggetto sociale o ancora di eventuali
collegamenti azionari o finanziari;
d) a connessione del cliente-non persona fisica con entità residenti in ordinamenti non equivalenti
sotto il profilo della lotta al riciclaggio o al finanziamento del terrorismo. A titolo esemplificativo,
possono assumere rilievo le connessioni commerciali, operative, finanziarie, partecipative, la
comunanza di componenti degli organi societari del cliente-non persona fisica e di tali entità;
e) situazioni di difficoltà o debolezza economica e finanziaria del cliente, che possono esporre al rischio
di infiltrazioni criminali.
Le elencate informazioni rilevano anche se relative all’esecutore e all’eventuale titolare effettivo,
quando siano notorie o comunque note al destinatario e non coperte da obblighi di segretezza che
ne impediscano l’utilizzazione da parte del destinatario stesso.
43
European School of Banking Management
COMPLIANCE FERRACCI
Le attività svolte e gli interessi economici:
a) la riconducibilità delle attività economiche a quelle tipologie che per loro natura
presentano particolari rischi di riciclaggio e che, per questo, impongono specifiche
cautele (ad esempio, attività economiche caratterizzate dalla movimentazione di elevati flussi finanziari,
da un uso elevato di contante);
b) l’operatività in settori economici interessati dall’erogazione di fondi pubblici, anche di fonte
comunitaria (ad esempio, appalti, sanità, raccolta e smaltimento dei rifiuti, produzione di energie
rinnovabili).
Il comportamento tenuto in occasione del compimento dell’operazione o dell’instaurazione del rapporto
continuativo:
a) comportamenti di natura dissimulatoria, ad esempio la riluttanza e l’insofferenza del cliente o
dell’eventuale esecutore nel fornire le informazioni richieste ovvero l’incompletezza o l’erroneità delle
stesse.
L’area geografica di interesse del cliente o della controparte:
a) la residenza o sede, il luogo di localizzazione dell’attività svolta o comunque degli affari, specie se
ingiustificatamente distanti dalla sede del destinatario;
b) la presenza nel territorio di fenomeni di illiceità suscettibili di alimentare condotte di riciclaggio o di
finanziamento del terrorismo. Sono considerati, per quanto noti o conoscibili, il grado di infiltrazione
della criminalità economica, i fattori di debolezza socio-economica o istituzionale, i fenomeni di
“economia sommersa” e, in generale, le informazioni utili a definire il profilo di rischio del territorio;
c) se l’area di interesse è all’estero, gli elementi di rischio insiti nella situazione politico-economica e nel
quadro giuridico e istituzionale del paese di riferimento (soprattutto se si tratta di uno Stato
extracomunitario diverso da un paese terzo equivalente ovvero di uno Stato destinatario di rilievi
da parte degli organismi internazionali competenti in materia di contrasto al riciclaggio e al
finanziamento del terrorismo – come il GAFI - ovvero di condanna da parte della Corte di Giustizia
dell’Unione europea per mancata, incompleta o incorretta attuazione della terza direttiva
antiriciclaggio.
47
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA ROSSI
CYBER SECURITY: L'EUROPA SI MUOVE MA LA
STRADA È ANCORA LUNGA
È uno dei temi più caldi degli ultimi anni. Riguarda indistintamente le aziende di grandi dimensioni
come le PMI. Ha una portata universale, tanto in Europa quanto in America o nei paesi dell'est.
Quella relativa alla sicurezza informatica, oggi, è una questione che non può essere più considerata
marginale o di secondo piano. È una questione sempre più complessa e attuale che necessita di
risposte concrete, immediate e costanti. In ballo, del resto, c'è l'integrità di decine di migliaia di reti
informatiche. C'è la sicurezza di milioni di dati da difendere. C'è l'integrità di interi sistemi di lavoro.
Il tema della cyber security, insomma, non può più essere sottovalutato ed anche le istituzioni -
finalmente - lo cominciano a percepire come una problematica di primo piano. L'Unione Europea, al
riguardo, ha voluto anche istituire il "mese della sicurezza informatica", ed è proprio ottobre. Il nome
ufficiale dell'iniziativa è European Cyber Security ma si è diffusa in tutto il continente con l'appellativo di
CyberSecMonth. È stata ripresa anche dal colosso Google - che ne ha approfittato per invitare i suoi
utenti ad effettuare un controllo di sicurezza dei rispettivi dati - ed ha avuto un importante riscontro,
se non altro per richiamare l'attenzione sul tema in diversi paesi europei.
Prima ancora di sapere cosa fare per mettere al sicuro una rete informatica e i dati che vi circolano,
infatti, è di fondamentale importanza prendere consapevolezza del problema. Identificarlo come una
questione dirimente che non può essere più sottovalutata.
In questo senso, però, i dati sono piuttosto preoccupanti: un'indagine condotta da ISACA e dal CMMI
Institute, solo un numero esiguo di dipendenti è consapevole del proprio ruolo per quanto concerne la
tutela delle informazioni e 9 aziende su 10 riferiscono che la loro cultura della cyber security non è in
linea con quella auspicata.
Il punto vero è che la questione della sicurezza informatica, che va dal controllo antivirus su una
macchina all'uso della posta elettronica, è stata per troppo tempo abbandonata, sottovalutata,
relegata ad un ruolo di secondo piano nelle priorità di un'azienda.
Si è finito, quindi, per rendere delle operazioni che dovrebbero essere di routine (trattare i dati con
attenzione, effettuare i backup, navigare in sicurezza sul web ecc) come degli "una tantum" da
effettuare quando ci ricordiamo. O, meglio ancora, quando ormai è troppo tardi.
48
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA ROSSI
Nelle scorse settimane la Commissione Ue ha lanciato un appello a Parlamento e Consiglio: “Accelerare
sull’iter delle proposte legislative sulla cyber security, massima priorità”.
Nel mirino protezione informatica, contrasto della criminalità transfrontaliera, interoperabilità dei
sistemi di informazione, sviluppo di una maggiore consapevolezza sul tema, capacità operative
immediate.
Anche quest'ultimo punto, del resto, è decisamente importante. Cosa fare in caso di attacco hacker ad
una rete? Come muoversi in caso di violazioni di dati? Come recuperare la normale operatività di
macchine colpite da virus o malware?
La migliore risposta è quella di rivolgersi ad aziende specializzate ed evitare soluzioni di fortuna (spesso
a basso costo) che non solo non risolvono il problema ma possono renderlo, a volte, ancora più grave.
Di fondo, però, la migliore arma a nostra disposizione nella guerra al "nemico informatico" è la
prevenzione. È il ripetere costante di azioni preventive, dai backup all'uso di software professionali, che
possono alzare di molto il livello di scurezza delle nostre reti e dei nostri dati.
49
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA ARRÈ
GDPR E PRIVACY
COSA FARANNO LE BANCHE?
Il nuovo Regolamento Generale sulla Protezione dei dati, noto con l’acronimo “GDPR – General
Data Protection Regulation”, entrerà in vigore il 25 maggio 2018. Si tratta di una normativa molto
discussa, approvata dal Parlamento Europeo nell’aprile 2016 con l’obiettivo di organizzare le leggi
sulla riservatezza delle informazioni e sulla privacy di tutti i Paesi Europei, tenendo al sicuro i dati
sensibili degli utenti utilizzati dalle aziende.
Il GDPR costituisce un importante passo in avanti in tema di standardizzazione delle politiche
europee e di protezione dei dati. Ciò che cambia è l’estensione della giurisdizione a tutte le società
che trattano dati personali di soggetti risiedenti nell’Unione Europea, indipendentemente dalla
localizzazione geografica dell’azienda o del luogo in cui i dati vengono gestiti ed elaborati. Anche
le imprese non europee che elaborano dati di cittadini europei dovranno comunque nominare un
rappresentante interno all’UE.
È necessario, dunque, che le aziende rivedano fin da subito i propri processi interni, ponendo la
privacy degli utenti come elemento primario a cui garantire priorità e precedenza. Inoltre è
necessario prevedere la formazione del personale per chiarire da subito i limiti di responsabilità.
Un aspetto fondamentale normato nel GDPR, infatti, è il concetto di Privacy by Design. In
particolare, viene stabilito che le misure di protezione dei dati debbano essere pianificate con le
relative applicazioni informatiche di supporto, a partire dalla progettazione dei processi aziendali.
Quanto normato implica che debbano essere processati solo i dati “veramente indispensabili” allo
svolgimento dei propri obblighi professionali e che, quindi, venga limitato l’accesso alle
informazioni solo agli utenti incaricati a svolgere l’elaborazione.
Altro aspetto importante è la Breach Notification, che prevede che le notifiche di violazione dei
dati siano obbligatorie laddove la violazione può mettere a rischio i diritti e le libertà degli
individui.
50
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA ARRÈ
Riguardo la struttura interna dell’azienda stessa, con il GDPR la nuova normativa darà maggior
risalto al team IT ed ai CEO aziendali, introdurrà la figura del Data Protection Officer (DPO) con il
compito di vigilare sui processi interni alla struttura e di fungere da consulente.
Il DPO sarà nominato sulla base di qualità professionali, esperienza in materia di diritto e di
pratiche di protezione dei dati e dotazione delle
risorse idonee. Sarà inoltre semplificato il controllo dei processi interni di gestioni dei dati.
Cosa comporterà l’introduzione del GDPR per le banche?
Da anni le banche investono enormi capitali sulla sicurezza dei dati e delle proprie infrastrutture
informatiche: con la continua espansione dei canali digitali anche nel mondo finanziario e
bancario, infatti, sono in crescita la quantità e la frequenza delle violazioni dei dati.
La costante evoluzione delle minacce e l’assenza di chiarezza tra i leader di mercato spiega
probabilmente perché, nonostante gli investimenti ingenti, molti degli operatori finanziari e
bancari non possiedano una strategia di sicurezza equilibrata, né robuste pratiche dedicate alla
riservatezza dei dati.
L’entrata in vigore del GDPR metterà in evidenza le violazioni registrate nelle banche più
importanti, che saranno probabilmente rese pubbliche poco dopo essere avvenute.
I consumatori ritengono essenziale la fiducia nelle banche e e la sicurezza dei dati tanto quanto i
propri averi. Per questo considerano la fiducia nella sicurezza e nella riservatezza dei dati come
un fattore estremamente significativo nella scelta della propria banca.
Nonostante l’importanza attribuita alla sicurezza ed al trattamento di dati finanziari sensibili,
sembra che i consumatori si fidino istintivamente delle banche senza un reale motivo. Il divario
tra la percezione dei consumatori e la realtà effettiva è forse esemplificato dal fatto che,
nonostante un istituto finanziario su quattro abbia dichiarato di esser stato colpito da attacchi
informatici, sono pochi i consumatori che credono che la propria banca abbia mai subito violazioni
di questo genere.
E’ ora, dunque, di ricorrere ai ripari: con l’introduzione del GDPR, le banche dovranno continuare
ad investire sulla sicurezza dei propri dati ed infrastrutture informatiche. La Cybersecurity è la
vera sfida che attende l’era della digital transformation.
51
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA ROSSI
L’ERA DELLA CYBER SECURITY:
TRA CONSAPEVOLEZZA E PREVENZIONE
Si dice spesso che conoscere il nemico è il primo passo per riuscire a sconfiggerlo. Nell’ambito
della sicurezza informatica questo principio trova ancora più fondamento visto che, non solo da
un punto di vista simbolico (la figura dell’hacker nascosto dalla maschera), ma esattamente nel
concreto le minacce per le nostre reti informatiche sono sempre nascoste, mascherate,
sconosciute e quindi imprevedibili.
Sia che si parli della sicurezza informatica dei privati che di quella ben più complessa delle aziende,
prima ancora di conoscere le armi del nemico, bisognerebbe sapere che il nemico esiste e che la
sua presenza è molto più vicina di quanto effettivamente pensiamo.
Il vero tema su cui ci si deve soffermare nell’epoca della cyber security, infatti, è quello della
consapevolezza dei rischi informatici, troppo spesso trascurati o peggio ancora sottovalutati.
Prendiamo ad esempio una piccola media impresa qualsiasi, composta da una trentina di
dipendenti nella quale quotidianamente ogni elemento del personale compie delle azioni a livello
informatico, le più banali: scarica la posta, invia degli allegati, naviga nel web. Ciascuna di queste
azioni, senza una concreta consapevolezza dei rischi informatici è una minaccia reale
all’incolumità della rete aziendale.
C’è un dato, del resto, che non può non far riflettere: la maggior parte delle aziende o dei titolari
di reti informatiche, è convinto di non essere mai stato attaccato da un virus o di non aver mai
avuto minacce alla propria rete informatica. Non è così, purtroppo. Le minacce sono costanti.
Nascoste. Imprevedibili. E diventano purtroppo palesi solo quando ormai i danni sono per lo più
irreparabili.
Avere la consapevolezza delle minacce informatiche, dunque, è il primo passo per rendere più
sicura la propria rete. Sapere, ad esempio, che cos’è e come si manifesta il phishing (truffa
informatica via mail che si basa sull’utilizzo fraudolento di marchi noti per ottenere dati sensibili
e password dal destinatario) è il miglior deterrente per contrastarlo.
52
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA ROSSI
Lo stesso vale per i cosiddetti cryptolocker o ransomware, ovvero quei malware che criptano i file
dei nostri computer e richiedono un pagamento in denaro per ottenere il codice di sblocco (a
proposito: fate sempre un backup dei dati e soprattutto non pagate mai!).
La consapevolezza dei rischi informatici, la conoscenza di dove si potrebbero annidare e di come
si potrebbero manifestare, diventa insomma un principio fondamentale su cui, soprattutto le
aziende, dovrebbero investire. A maggior ragione oggi, alle soglie del 2018, anno in cui entrerà in
vigore il GDPR (General Data Protection Regulation), che a partire da maggio regolerà le questioni
relative all’utilizzo dei dati personali.
La sicurezza dei dati dipende, infatti, dall’utilizzo che ne facciamo: come li salviamo, dove li
salviamo e come li conserviamo. Tutte azioni che, al di là delle multe salate previste per la mancata
protezione dei dati, si fondano sul concetto di consapevolezza dei rischi (pensiamo soltanto allo
smarrimento di un file excel contente i dati dei destinatari di una newsletter) e ovviamente su
quello della prevenzione.
Conoscendo fino in fondo i rischi di un attacco hacker possiamo difenderci al meglio. Possiamo
prevenirlo su tutti i livelli della rete.
Dalla realizzazione di un’infrastruttura di sicurezza idonea (firewall, antispam, siem, ecc.)
all’installazione di antivirus professionali ai backup periodici (completi e non parziali), dal corretto
utilizzo delle password di rete alla consultazione della posta elettronica, le azioni di prevenzione
per gli attacchi informatici sono numerose, oltre che fondamentali. Di fondo, però, rimane il
concetto di consapevolezza. L’attenzione da riservare alla cyber security deve essere costante.
Mai abbassare la guardia. Mai sentirsi al sicuro.
In caso di necessità bisogna rivolgersi ad aziende specializzate nella sicurezza informatica, evitare
ogni tipo di improvvisazioni (l’amico bravo con i computer o anche chiamato “cantinaro”) che
spesso rischiano di aggravare la situazione.
È bene documentarsi. Conoscere le ultime forme di minacce informatiche. Affidarsi a
professionisti del settore, fare dei corsi specialistici. Restare al passo. La consapevolezza
dell’importanza della cyber security, insomma, oggi è un fattore non più trascurabile.
53
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA CIPRIAN
LINEE GUIDA RELATIVE AL DATA PROTECTION
IMPACT ASSESSMENT (DPIA) E AL GDPR
Fotocopiate i documenti di identità per la corretta identificazione del cliente? Utilizzate queste
fotocopie per altri scopi? Oppure selezionate i vostri clienti in funzione di un database che mette
in relazione le loro informazioni (per esempio il codice fiscale o un codice cliente) con la loro, per
esempio, situazione creditizia che fornisce informazioni sullo stato del credito? Allora per la
privacy occorre classificare i clienti stessi a elevato rischio: lo stabiliscono i Garanti europei nel
loro documento che lo scorso 4 aprile 2017 definisce le linee guida relative al Data Protection
Impact Assessment (DPIA), ossia sulla valutazione di impatto sulla protezione dei dati.
Il documento precisa, infatti, che cosa debba intendersi per «elevato rischio per i diritti e le libertà
delle persone fisiche». Il Regolamento UE 2016/679 in materia di protezione dei dati personali
fornisce su questo punto criteri astratti, stabilendo che solo quando un’attività di trattamento
comporta rischio elevato diventa obbligatorio procedere al DPIA, il quale assume di conseguenza
un significato preventivo.
Le linee guida individuano due tipologie di attività contrassegnate da diversi fattori di rischio,
relativi, per esempio, alla finalità o all’oggetto del trattamento oppure agli interessati o alle
modalità. È connotato da una finalità a elevato rischio il ricorso a schemi predittivi di
comportamenti o di condizioni (per esempio lo stato di salute).
Esempi di rischio elevato correlato all’oggetto del trattamento sono la raccolta di dati sensibili
oppure di dati “su larga scala” (si vedano a questo proposito le linee guida DPO) oppure la verifica
di una base di dati con basi di dati diverse.
È invece oggettivamente a elevato rischio l’attività che riguardi persone vulnerabili per età, quali
i minori, o per contesto, come i lavoratori di un’azienda o i pazienti di un ospedale.
Il rischio riguarda le modalità quando al trattamento, per le caratteristiche con cui è svolto, non è
possibile ragionevolmente sottrarsi, come nel caso di videosorveglianza sistematica di luoghi
pubblici.
54
European School of Banking Management
PRIVACY E SICUREZZA INFORMATICA CIPRIAN
Presenta ugualmente elementi di rischio elevato l’utilizzo di nuove tecnologie, specie quando non
possano ancora integralmente apprezzarsene le ricadute concrete (nelle linee guida viene fatto
l’esempio di alcune applicazioni all’interno dell’Internet delle Cose), oppure ancora il trattamento
suscettibile di determinare la circolazione di informazioni anche verso Paesi terzi non sicuri.
Di grande interesse è il criterio che i Garanti europei forniscono: un trattamento ha rischio elevato
quando concorrono almeno due fattori di rischio.
Il regolamento comunque prevede una analisi preliminare in cui un ruolo centrale è svolto dal Data
Protection Officer (DPO), la cui posizione in merito all’obbligo di procedere al DPIA va documentata per
successiva verifica. Nel dubbio, comunque, la valutazione di impatto va svolta, anche per non incorrere
nelle elevate sanzioni previste dal Regolamento. In attesa che i criteri applicativi siano precisati, giova
notare che il massimo previsto per la violazione dell’obbligo di DPIA è fissato in € 10.000.000 o, per le
imprese, nella maggior somma tra tale importo e il 2% del fatturato mondiale annuo dell’esercizio
precedente.
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A008 / 2018
Data aggiornamento 31/01/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO/ADEGUATA VERIFICA DELLA CLIENTELA
Classificazione norma
Nazionale Secondaria Ente emittente Banca d’Italia
Tipo disposizione
Delibera
Data emissione 23/01/2018 Tipo
aggiornamento 1° emissione
23/01/2018
Titolo della norma
Procedure di adeguata verifica rafforzata sulle Persone Politicamente Esposte
Commento
Con Delibera 23 gennaio 2018 n. 28 Banca d’Italia ha fornito alcune indicazioni in materia di procedure di adeguata verifica rafforzata sulle Persone Politicamente Esposte (PEPs). Il documento riassume in particolare una serie di best practices in materia di PEPs, la cui adozione può migliorare l’efficacia e l’efficienza della gestione a fini antiriciclaggio dei relativi rapporti.
Adempimento SI Sanzione SI
Riferimenti a rischi standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.01 Rischio Strategico
A001 Rischi di Corporate Governance
A001.02 Rischio Reputazionale
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Z005.02- Assenza o carenza nell'adeguata verifica del cliente
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
A003 Processi di Supporto A003.01 Gestione dell’Organizzazione
Link originale http://www.bancaditalia.it/compiti/vigilanza/normativa/orientamenti-vigilanza/adeguata_verifica_PPE.pdf
Allegato SI
Categorie ANTIRICICLAGGIO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A009 / 2018
Data aggiornamento 13/02/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO
Classificazione norma
Nazionale Secondaria Ente emittente Banca d’Italia
Tipo disposizione
Comunicazione
Data emissione 09/02/2018 Tipo
aggiornamento 1° emissione
09/02/2018
Titolo della norma
Comunicazione della Banca d’Italia in materia di obblighi antiriciclaggio per gli intermediari bancari e finanziari
Commento
Banca d’Italia ha fornito le indicazioni sulle modalità con le quali adempiere gli obblighi in materia di antiriciclaggio durante il c.d. “periodo transitorio”. Per tale si intende il periodo intercorrente tra la data di entrata in vigore del D.lgs. 231/2007 dopo l’adeguamento alla IV Direttiva Antiriciclaggio del 4 luglio 2017 e il periodo in cui le disposizioni emanate dalle Autorità di vigilanza di settore, ai sensi della precedente normativa, continuano a trovare applicazione (31 marzo 2018). La Comunicazione prevede che “le indicazioni riguardano sia il periodo transitorio previsto dalla legge (che scade il 31 marzo 2018) sia quello successivo, fino all’entrata in vigore della nuova normativa di attuazione della Banca d’Italia (che scade il 4 luglio 2018); esse sono applicabili dal giorno successivo alla pubblicazione della presente comunicazione”. Il documento dispone anche le modalità con cui poter risolvere eventuali contrasti tra le disposizioni attuative (emanate anteriormente all’entrata in vigore del D.lgs. 90/2017, che ha modificato integralmente il D.lgs. 231/2007) che continuano ad applicarsi, e le nuove norme di legge entrate in vigore a seguito della riforma. Banca d’Italia, afferma: “con riferimento al rapporto tra la normativa attuativa emanata in base alle vecchie previsioni di legge e le nuove norme introdotte dal decreto legislativo n. 90 del 2017, in caso di contrasto queste ultime prevalgono sulle prime. Pertanto gli intermediari dovranno attenersi, fino al 31 marzo 2018, alle previsioni contenute nei provvedimenti della Banca d’Italia emanati in base alle vecchie previsioni di legge solo nella misura in cui esse siano compatibili con la nuova disciplina di legge” ed elenca quali sono i provvedimenti, emanati ai sensi del D.lgs. 231/2007 ante riforma, che continuano a trovare applicazione. In particolare:
• il Provvedimento di Banca d’Italia del 10 marzo 2011, recante “disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività di riciclaggio e di finanziamento del terrorismo”. Il Provvedimento è in linea generale compatibile con il nuovo quadro normativo primario ed è pertanto applicabile;
• il Provvedimento di Banca d’Italia del 3 aprile 2013, recante “disposizioni attuative per la tenuta dell’Archivio Unico Informatico e per le modalità semplificate di registrazione”. Il Provvedimento non è più in vigore per effetto dell’abrogazione delle disposizioni di legge che imponevano l’obbligo di registrare dei dati nell’Archivio Unico Informatico (“AUI”). Tuttavia, si precisa che l’utilizzo dell’AUI su base volontaria costituisce idonea modalità di conservazione per l’assolvimento degli obblighi previsti dalla vigente “normativa antiriciclaggio”;
• il Provvedimento di Banca d’Italia del 3 aprile 2013, recante “disposizioni attuative in materia di adeguata verifica della clientela”. Le previsioni contenute nel provvedimento si applicano nella misura in cui precisano aspetti che le nuove disposizioni di legge disciplinano in linea di continuità con quelle abrogate. Si afferma, inoltre, che “in ogni caso, risultano interamente inapplicabili perché incompatibili con le nuove disposizioni di legge le seguenti parti del provvedimento del 3 aprile 2013”:
o “Parte terza: misure semplificate di adeguata verifica”; o “Allegato 1: individuazione del titolare effettivo sub 2”.
Per il corretto adempimento degli obblighi in materia di antiriciclaggio, gli intermediari prendono anche in considerazione gli Orientamenti congiunti delle Autorità di vigilanza europee sulle misure semplificate e rafforzate di adeguata verifica e sui fattori di rischio, pubblicati il 4 gennaio 2018.
Adempimento SI Sanzione SI
Riferimenti a rischi standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.01 Rischio Strategico
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
A001 Rischi di Corporate Governance
A001.02 Rischio Reputazionale
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
A003 Processi di Supporto A003.01 Gestione dell’Organizzazione
Link originale http://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/comunicazioni/com-20180210/Comunicazione_obblighi_antiriciclaggio_2018.pdf
Allegato SI
Categorie ANTIRICICLAGGIO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A037 / 2017
Data aggiornamento 30/03/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO/RELAZIONI
Classificazione norma
Normativa Nazionale Secondaria
Ente emittente UIF
Tipo disposizione
Quaderni dell’Antiriciclaggio
Data emissione
30/03/2018 Tipo
aggiornamento 1° emissione Entrata in vigore 30/03/2018
Titolo della norma
Dati statistici II semestre 2017
Commento
Nel secondo semestre del 2017 l’Unità di Informazione Finanziaria per l’Italia ha ricevuto 44.617 segnalazioni di operazioni sospette; alla progressiva riduzione delle segnalazioni di voluntary disclosure, pari a 2.312 unità rispetto alle 7.477 dello stesso periodo del 2016, va ascritto il decremento complessivo (-9,1 per cento) delle segnalazioni ricevute. Al netto di tale componente, nel semestre le segnalazioni di riciclaggio sono lievemente aumentate rispetto a quelle pervenute nello stesso periodo dell’anno precedente (1,3 per cento); quelle relative al finanziamento del terrorismo si sono incrementate in misura significativa (506 a fronte di 314, con un aumento del 61,1 per cento). Nel complesso del 2017, sono state acquisite 93.820 segnalazioni, con una riduzione, sempre connessa all’esaurirsi delle segnalazioni indotte dalla voluntary disclosure, del 7,2 per cento rispetto al 2016. La flessione delle segnalazioni connesse con la procedura di regolarizzazione si è riflessa sui livelli di partecipazione al sistema segnaletico da parte delle banche e di alcune categorie di soggetti obbligati non finanziari, quali commercialisti, avvocati e studi associati o interprofessionali. Tuttavia nel secondo semestre del 2017, l’incidenza del comparto non finanziario è nel complesso aumentata dal 9,1 al 10,4 per cento in relazione all'incremento delle segnalazioni di riciclaggio inoltrate dai notai e dai prestatori di servizi di gioco. Sotto il profilo della ripartizione territoriale si rileva l’incremento delle segnalazioni relative a operazioni effettuate in Sicilia (da 2.022 a 2.400), in Puglia (da 2.193 a 2.379) e in Calabria (da 1.201 a 1.312). La diminuzione registrata nelle regioni del Nord, anche in questo caso, riflette principalmente la contrazione delle segnalazioni connesse alla voluntary disclosure. Nel periodo considerato l’Unità ha complessivamente analizzato e trasmesso agli Organi Investigativi 47.171 segnalazioni ed ha adottato 16 provvedimenti di sospensione di operazioni sospette ai sensi dell’articolo 6, comma 4, lettera c), del decreto legislativo 231/2007, per un valore di complessivi 60,7 milioni di euro. Nel semestre la UIF ha ricevuto 99 richieste di informazioni da parte dell’Autorità Giudiziaria e ha inviato alla magistratura 211 note di risposta; le segnalazioni oggetto di acquisizione sono state 661. Nell’ambito della collaborazione con FIU estere, la UIF ha ricevuto 1.294 richieste o informative spontanee e ne ha inoltrate 417, soprattutto per esigenze di analisi di segnalazioni di operazioni sospette. Nel secondo semestre del 2017 è proseguito l’aumento dell’importo totale delle Segnalazioni Antiriciclaggio Aggregate (SARA), connesso con le modifiche del quadro normativo che hanno determinato il venir meno dell’esenzione dall’invio dei dati relativi alle operazioni dei clienti (intermediari) sottoposti ad adeguata verifica semplificata. Sulla base delle dichiarazioni ricevute dalla UIF, la quantità di oro scambiato è rimasta sostanzialmente stabile, a fronte di un lieve calo dell’importo complessivo, legato alla riduzione delle quotazioni di mercato. Il 4 luglio sono entrate in vigore le disposizioni del d.lgs. 231/2007 come modificato dal d.lgs. 90/20171 che ha recepito la quarta Direttiva antiriciclaggio. Lo stesso giorno la UIF ha pubblicato un Comunicato che individua i provvedimenti riguardanti aspetti di propria competenza da considerare efficaci in via transitoria. A livello internazionale, il Consiglio dell’Unione Europea ha adottato la lista europea dei paesi non cooperativi nel settore fiscale, da aggiornarsi ogni anno e, nel febbraio 2018, la Commissione Europea ha modificato l’elenco dei paesi terzi ad alto rischio di riciclaggio e finanziamento del terrorismo.
Adempimento SI Sanzione SI
Riferimenti a rischi
standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.01 Rischio Strategico
A001 Rischi di Corporate A001.02 Rischio Reputazionale
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Governance
Z005-Anti Money Laundering (AML-
Antiriciclaggio)
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.05 Gestione del Sistema dei Controlli Interni
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
Link originale https://uif.bancaditalia.it/pubblicazioni/quaderni/2017/quaderni-2-2017/quaderni-II-2017.pdf
Allegato SI
Categorie ANTIRICICLAGGIO, TERRORISMO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A043 / 2018
Data aggiornamento 05/04/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO/MONITORAGGIO
Classificazione norma
Nazionale primaria Ente emittente MEF
Tipo disposizione
Vademecum
Data emissione
12/03/2018 Tipo
aggiornamento 1° emissione Entrata in vigore 12/03/2018
Titolo della norma
Assegni privi della clausola di non trasferibilità: vademecum
Commento
L'entrata in vigore del decreto legislativo n. 231/2007 (normativa antiriciclaggio), ha reso sanzionabile l'utilizzo di assegni oltre i 1.000 euro privi della clausola di non trasferibilità. Il Ministero dell'Economia e delle Finanze, a seguito di segnalazioni che hanno rivelato quanto ancora continuino ad essere utilizzati assegni oltre la soglia di 1.000 euro che non riportano tale clausola, ha pubblicato un vademecum che riassume le regole vigenti in materia. Per esempio, il MEF chiarisce che qualora, ancora oggi, si posseggano libretti di assegni rilasciati da banche e Poste Italiane prima del 2008, ossia in "forma libera" e quindi non recanti la stampa della clausola di non trasferibilità, è possibile:
• utilizzare i moduli di assegni del libretto esclusivamente per importi inferiori a 1000 euro, apponendovi il nominativo del beneficiario;
• utilizzare i moduli di assegni del libretto per importi pari o superiori a 1.000 euro unicamente previa apposizione, da parte del traente, all'atto di emissione dell'assegno, della dicitura "non trasferibile" e del nominativo del beneficiario.
È importante verificare sempre, precisa il MEF, che gli assegni di importo pari o superiore a 1.000 euro rechino la clausola di non trasferibilità anche qualora, in qualità di beneficiario, si riceva un assegno bancario o postale.
Adempimento SI Sanzione SI
Riferimenti a rischi
standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance A001.01 Rischio Strategico
A001 Rischi di Corporate Governance A001.02 Rischio Reputazionale
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Z005.07- Assenza o carenza nella normativa interna
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.05 Gestione del Sistema dei Controlli Interni
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
Link originale http://www.mef.gov.it/inevidenza/article_0345.html
Allegato SI
Categorie ANTIRICICLAGGIO, TERRORISMO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A050 / 2018
Data aggiornamento 16/04/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO/ADEGUATA VERIFICA DELLA CLIENTELA
Classificazione norma
Nazionale Secondaria Ente emittente Banca d’Italia
Tipo disposizione
Consultazione
Data emissione 13/04/2018 Tipo
aggiornamento Aggiornamento
normativo Data entrata
in vigore 12/06/2018
Titolo della norma
Disposizioni in materia di adeguata verifica della clientela
Commento
Banca d’Italia ha posto in consultazione un documento relativo alle nuove disposizioni attuative in materia di adeguata verifica della clientela. Esse danno attuazione alle previsioni in materia di adeguata verifica contenute nel decreto legislativo 21 novembre 2007, n. 231, come modificato dal decreto legislativo 25 maggio 2017, n. 90, di recepimento della direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Il documento rappresenta un’evoluzione delle disposizioni dettate dal Provvedimento della Banca d’Italia del 3 aprile 2013. Con riferimento all’adeguata verifica semplificata, le disposizioni in consultazione, che confermano il venire meno le fattispecie qualificate ex lege come a basso rischio, prevedono che lo status di intermediario bancario o finanziario del cliente può essere ritenuto un fattore di potenziale basso rischio, ma comunque non esime il soggetto obbligato, anche in caso di clienti o prodotti “a basso rischio”, di eseguire tutte le fasi di cui consta il processo di adeguata verifica, sebbene con minore profondità, estensione e frequenza rispetto all’adeguata verifica ordinaria. Il Provvedimento precisa che le misure semplificate attengono principalmente:
• la possibilità di differire, in un intervallo di tempo definito, l’effettiva acquisizione della copia del documento identificativo;
• la possibilità di ridurre la quantità di informazioni da raccogliere dal cliente circa il proprio titolare effettivo e la possibilità di utilizzare presunzioni ai fini dell’individuazione dello scopo e della natura del rapporto;
• in fase di monitoraggio nel continuo del rapporto è possibile definire una profondità e frequenza delle analisi graduata. In allegato al documento posto in consultazione sono quindi codificati i fattori di basso rischio al ricorrere dei quali i soggetti obbligati possono effettuare misure semplificate di adeguata verifica della clientela.
Per l’adeguata verifica rafforzata, il Provvedimento si propone di fornire casi esplicativi di fattori di rischio elevato e di individuare le misure rafforzate che in tale ambito possono essere adottate:
• una maggiore quantità di informazioni relative all’identità del cliente e/o del titolare effettivo o all’assetto proprietario e di controllo del cliente e/o al rapporto continuativo (in termini di numero, entità e frequenza delle operazioni attese, al fine di poter individuare eventuali scostamenti; ragioni sottese all’attivazione del servizio/prodotto; la destinazione dei fondi; natura dell’attività svolta dal cliente e/o dal titolare effettivo);
• una maggiore qualità degli elementi assunti ai fini della verifica degli elementi informativi in possesso dell’intermediario;
• una maggiore frequenza negli aggiornamenti delle informazioni acquisite;
• nell’acquisizione dell’autorizzazione di un alto dirigente per l’avvio o la prosecuzione del rapporto continuativo.
Adempimento SI Sanzione SI
Riferimenti a rischi standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.01 Rischio Strategico
A001 Rischi di Corporate Governance
A001.02 Rischio Reputazionale
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Z005.02- Assenza o carenza nell'adeguata verifica del cliente
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
A003 Processi di Supporto A003.01 Gestione dell’Organizzazione
Link originale http://www.bancaditalia.it/compiti/vigilanza/normativa/consultazioni/2018/disposizioni-adeguata-verifica/documento_consultazione_adeguata_verifica.pdf
Allegato SI
Categorie ANTIRICICLAGGIO, TERRORISMO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A051 / 2018
Data aggiornamento 16/04/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO
Classificazione norma
Nazionale secondaria Ente emittente Banca d’Italia
Tipo disposizione
Consultazione
Data emissione
13/04/2018 Tipo
aggiornamento Aggiornamento
normativo Entrata in
vigore 12/06/2018
Titolo della norma
Disposizioni su organizzazione, procedure e controlli in materia antiriciclaggio
Commento
Banca d’Italia ha posto in consultazione un documento avente ad oggetto le nuove disposizioni in materia di organizzazione, procedure e controlli interni volte a prevenire l’utilizzo degli intermediari bancari e finanziari a fini di riciclaggio e di finanziamento del terrorismo, contenute nel decreto legislativo 21 novembre 2007, n. 231, come modificato dal decreto legislativo 25 maggio 2017, n. 90. Il documento rappresenta un’evoluzione del Provvedimento dalla Banca d’Italia dell’11 marzo 2011. Tra le novità introdotte figurano:
• un più sistematico ricorso all’approccio basato sul rischio nell’individuare, valutare e gestire i rischi connessi al riciclaggio e al finanziamento del terrorismo;
• l’introduzione di un obbligo di autovalutazione da parte degli intermediari bancari e finanziari, le cui modalità saranno successivamente determinate dalla Banca d’Italia.
• Infine, le disposizioni recepiscono gli Orientamenti emanati congiuntamente delle Autorità Europee (EBA, ESMA ed EIOPA) in materia di informazioni da includere nei messaggi che accompagnano i trasferimenti di fondi).
Il decreto include nel novero dei destinatari della disciplina nazionale le banche, gli istituti di pagamento e gli IMEL comunitari che prestano servizi in Italia tramite uno o più soggetti convenzionati e agenti; questi intermediari sono tenuti ad istituire punti di contatto vigilati dalla Banca d’Italia. Il decreto individua gli obblighi del punto di contatto e della rete distributiva in maniera dettagliata, dedicando a questa disciplina un intero Capo (il Capo V). Nell’ambito di questa complessa cornice normativa, le disposizioni in consultazione (Parte VI) sistematizzano e chiariscono le indicazioni contenute nel decreto, precisando meglio i compiti e il ruolo che il punto di contatto deve svolgere e chiarendo il rapporto che intercorre tra l’intermediario estero (destinatario degli obblighi), il punto di contatto dallo stesso nominato (che rappresenta l’intermediario e cura l’assolvimento di detti obblighi) e la rete dei distributori e/o agenti.
Con riferimento ai presidi volti all’attivazione delle segnalazioni delle operazioni sospette, il provvedimento in consultazione, propone un maggiore robustezza dei requisiti di indipendenza, autorevolezza, professionalità del responsabile e relativi gli obblighi di riservatezza della sua attività, nonché la procedura riguardante l’eventuale conferimento della delega a soggetti diversi dal legale rappresentante. Si previde inoltre la possibilità di assegnare la delega a più persone fisiche negli intermediari di rilevanti dimensioni e, con riferimento all’articolazione della procedura di segnalazione nei gruppi, si chiarisce che il “modello accentrato” ha applicazione solo per un gruppo italiano e per le controllate con sede in Italia. Ai gruppi con operatività transfrontaliera viene invece richiesto di assicurare la condivisione a livello consolidato di tutti gli elementi conoscitivi rilevanti ai fini della prevenzione del riciclaggio e del finanziamento del terrorismo, inclusa la notizia dell’avvenuta segnalazione di operazioni sospette. Da ultimo viene introdotto l’obbligo di valutare le operazioni sospette delle quali il responsabile abbia avuto conoscenza in qualunque modo, anche senza un input di primo livello. Infine si assegna al responsabile il compito di effettuare verifiche sulla congruità delle valutazioni dell’operatività della clientela da parte delle strutture che effettuano il primo livello di analisi.
Adempimento SI Sanzione SI
Riferimenti a rischi
standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance A001.01 Rischio Strategico
A001 Rischi di Corporate Governance A001.02 Rischio Reputazionale
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Z005.07- Assenza o carenza nella normativa interna che riguarda il
riciclaggio
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.05 Gestione del Sistema dei Controlli Interni
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
Link originale http://www.bancaditalia.it/compiti/vigilanza/normativa/consultazioni/2018/disposizioni-antiriciclaggio/documento_consultazione_controlli_antiriciclaggio.pdf
Allegato SI
Categorie ANTIRICICLAGGIO, TERRORISMO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A052 / 2018
Data aggiornamento 17/04/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO
Classificazione norma
Nazionale Secondaria Ente emittente Banca d’Italia
Tipo disposizione
Consultazione
Data emissione 16/04/2018 Tipo
aggiornamento Aggiornamento
normativo Data entrata
in vigore 16/05/2018
Titolo della norma
Regolamento recante disposizioni di attuazione del decreto legislativo 21 novembre 2007 n. 231 in materia di organizzazione, procedure e controlli interni dei revisori legali e delle società di revisione con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio, a fini di prevenzione e contrasto dell’uso del sistema economico e finanziario a scopo di riciclaggio e finanziamento del terrorismo.
Commento
Il nuovo regolamento sostituirà quello approvato con delibera n. 17836/2011, in vigore fino al 31 marzo 2018. Sono molte le disposizioni mutuate dal regolamento già in vigore. Le modifiche riguardano:
• la previsione di obblighi di analisi e valutazione dei rischi di riciclaggio e di finanziamento del terrorismo cui i revisori legali e le società di revisione sono esposti, al fine di dare attuazione all’approccio risk based divenuto centrale alla luce della cd. IV direttiva antiriciclaggio e del decreto nazionale di recepimento;
• alcune disposizioni specifiche relative ai revisori legali–persone fisiche (articoli 4 e 18), declinate alla luce del principio di proporzionalità.
Fino all’entrata in vigore delle disposizioni di attuazione del decreto legislativo 21 novembre 2007, n. 231, le società di revisione potranno continuare ad applicare le disposizioni del provvedimento n. 17836/2011, in linea generale compatibile con il nuovo quadro normativo primario e applicare gli obblighi di adeguata verifica analiticamente previsti dalle relative disposizioni del nuovo decreto 231 (Titolo II – Capo I) e gli obblighi di conservazione di cui al nuovo decreto 231 (Titolo II – Capo II); inoltre, possono continuare ad utilizzare gli archivi informatizzati già istituiti in conformità al provvedimento della Banca d’Italia del 3 aprile 2013.
Adempimento SI Sanzione SI
Riferimenti a rischi standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.01 Rischio Strategico
A001 Rischi di Corporate Governance
A001.02 Rischio Reputazionale
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
A003 Processi di Supporto A003.01 Gestione dell’Organizzazione
Link originale http://www.consob.it/web/area-pubblica/consultazioni?viewId=consultazioni_in_corso
Allegato SI
Categorie ANTIRICICLAGGIO, TERRORISMO
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A059 / 2018
Data aggiornamento 04/05/2018
Destinatari Tutti gli Enti
Argomento WHISTLEBLOWING ANTIRICICLAGGIO FINANZIAMENTO DEL TERRORISMO
Classificazione norma
Nazionale Secondaria Ente emittente Banca d’Italia
Tipo disposizione
Comunicazione
Data emissione 02/05/2018 Tipo
aggiornamento 1° emissione Entrata in vigore 02/05/2018
Titolo della norma
Segnalazioni Whistleblowing e segnalazioni aziendali
Commento
Banca d’Italia ha pubblicato i moduli per le segnalazioni di violazioni normative e irregolarità di natura gestionale da parte di dipendenti e collaboratori degli intermediari vigilati (segnalazioni whistleblowing) o da altri soggetti non dipendente o collaboratore (segnalazioni aziendali). Banca d’Italia trae da tali segnalazioni informazioni utili per le proprie funzioni di vigilanza e attiva, ove necessario, gli opportuni strumenti di intervento, coordinandosi con la BCE quando l’intermediario sia una banca “significativa”. Il modulo “Segnalazione Whistleblowing” può essere inviato a Banca d’Italia, via posta elettronica alla casella [email protected]; via posta ordinaria, all’indirizzo Banca d’Italia, via Nazionale, n. 91 - 00184 Roma, all’attenzione del Dipartimento Vigilanza bancaria e finanziaria - Servizio CRE - Divisione SRE (la busta deve recare la dicitura “riservato”). Il modulo “Segnalazione aziendale” può essere invece inviato a Banca d’Italia, via posta elettronica alla casella [email protected]; via posta ordinaria, all’indirizzo Banca d’Italia, via Nazionale, n. 91 - 00184 Roma.
Adempimento SI Sanzione NO
Riferimenti a rischi standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.02 Rischio Reputazionale
A005- Rischio di non Conformità
A005.11-Whistleblowing
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.01- Gestione del Governo Societario
A001 Processi di Corporate Governance A001.05- Gestione del Sistema dei Controlli Interni
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
Link originale http://www.bancaditalia.it/compiti/vigilanza/whistleblowing/index.html
Allegato SI
Categorie Antiriciclaggio, Terrorismo, Whistleblowing
Note integrative
=
Servizio personalizzato di aggiornamento normativo
© Enterprise Process Solutions s.r.l.
Vietata la divulgazione in qualsiasi forma e supporto a destinatari non aderenti al servizio LIU
Numero aggiornamento A060 / 2018
Data aggiornamento 04/05/2018
Destinatari Tutti gli Enti
Argomento ANTIRICICLAGGIO/SOS
Classificazione norma
Nazionale Secondaria Ente emittente UIF
Tipo disposizione
Istruzioni
Data emissione 24/04/2018 Tipo
aggiornamento Aggiornamento
normativo Data entrata
in vigore 24/04/2018
Titolo della norma
ISTRUZIONI SULLE COMUNICAZIONI DI DATI E INFORMAZIONI CONCERNENTI LE OPERAZIONI SOSPETTE DA PARTE DEGLI UFFICI DELLE PUBBLICHE AMMINISTRAZIONI
Commento
L’Unità di informazione finanziaria per l’Italia (UIF) ha pubblicato le istruzioni sulle comunicazioni di dati e informazioni per quanto riguarda le operazioni sospette da parte degli uffici delle Pubbliche amministrazioni emanate ai sensi dell’articolo 10, comma 4, del d.lgs. 231/2007. Per consentire lo svolgimento di analisi finanziarie mirate a far emergere fenomeni di riciclaggio e di finanziamento del terrorismo, le Pubbliche amministrazioni comunicano alla UIF dati e informazioni concernenti le operazioni sospette di cui vengano a conoscenza nell'esercizio della propria attività istituzionale. La UIF, in apposite istruzioni, adottate sentito il Comitato di sicurezza finanziaria, individua i dati e le informazioni da trasmettere, le modalità e i termini della relativa comunicazione nonché gli indicatori per agevolare la rilevazione delle operazioni sospette.
Adempimento SI Sanzione SI
Riferimenti a rischi standard
LIVELLO 1 LIVELLO 2 LIVELLO 3
A001 Rischi di Corporate Governance
A001.01 Rischio Strategico
A001 Rischi di Corporate Governance
A001.02 Rischio Reputazionale
Z005-Anti Money Laundering (AML- Antiriciclaggio)
Riferimenti a processi
standard
LIVELLO 1 LIVELLO 2
A001 Processi di Corporate Governance A001.04 Gestione del Rischio
A001 Processi di Corporate Governance A001.06 Gestione della Conformità Normativa
A003 Processi di Supporto A003.01 Gestione dell’Organizzazione
Link originale http://uif.bancaditalia.it/normativa/norm-antiricic/Istruzioni_sulle_comunicazioni_delle_Pubbliche_Amministrazioni.pdf
Allegato SI
Categorie ANTIRICICLAGGIO, TERRORISMO
Note integrative
=
European School of Banking Management di Strategies S.r.l.MILANO - ROMA - BARI
tel. 02 871.984.57 - 080.548.17.99 [email protected] - [email protected]
SCUOLA ITALIANAANTIRICICLAGGIO & COMPLIANCE