In linea con gli standard internazionali ed europei, il legislatore italiano ha inquadrato il dispositivo in materia di lotta al riciclaggio e finanziamento del terrorismo (LCB-FT) e ha adottato il decreto legislativo n°231 del 21 novembre 2007. Modificato più volte nel corso degli anni, il decreto 231/2007 ha permesso la trasposizione nel diritto interno delle direttive europee: Direttiva 2005/60/CE del 26 ottobre 2005, Direttiva 2015/849/UE del 20 maggio 2015 e Direttiva 2018/843/UE del 30 maggio 2018.

Il decreto legislativo n°125 del 4 ottobre 2019 ha modificato i testi sopra indicati e ha introdotto misure correttive in linea con la Direttiva 2018/843/UE del 30 maggio 2018 (V Direttiva sul riciclaggio di capitali). Altre disposizioni sono state introdotte dal decreto-legge n° 124 del 26 ottobre 2019, convertito con modifiche dalla legge n° 157 del 19 dicembre 2019.

Le disposizioni previste dal decreto legislativo n°231/2007 e dai testi sopra citati perseguono il triplice obiettivo di:

  • Prevenire e combattere l’uso del sistema economico e finanziario a fini di riciclaggio di denaro e finanziamento del terrorismo (LCB-FT)
  • Preservare l’integrità del sistema economico e finanziario
  • Garantire la conformità degli operatori attraverso l’attuazione di obblighi specifici e proporzionati al rischio di LCB-FT.

La supervisione del dispositivo LCB-FT e il controllo sull’attuazione degli obblighi in materia di LCB-FT è assicurato dalla Banca d’Italia per le imprese finanziarie e dall’IVASS (Istituto per la vigilanza delle imprese di assicurazione) per quanto riguarda le imprese di assicurazione.

A questo titolo, le due autorità di controllo hanno adottato misure regolamentari riguardanti in particolare l’organizzazione, la definizione di procedure e l’attuazione di un sistema di controllo interno idoneo a prevenire, identificare e gestire i rischi di riciclaggio di denaro e finanziamento del terrorismo (BC-FT).   

Gli attori finanziari e non finanziari interessati

Le disposizioni del decreto legislativo n°231/2007 identificano gli attori finanziari e non finanziari (persone giuridiche e fisiche) tenuti a rispettare gli obblighi previsti dal suddetto decreto. L’elenco degli attori interessati – che è stato successivamente precisato dalle disposizioni del decreto legislativo n°125 del 4 ottobre 2019 – individua le seguenti cinque categorie:

  1. Intermediari finanziari, questa categoria comprende: istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di assicurazione, società di gestione, società di intermediazione mobiliare (SIM), Posta Italiana SpA, Cassa Depositi e prestiti (…)
  2. Altri attori finanziari, quali: i broker, i cambiavalute, le società fiduciarie che non sono iscritte nell’elenco di cui all’art. 10 del TUB (Testo unico bancario)
  3. Le persone che esercitano le seguenti professioni in forma individuale o associata: avvocati, notai, revisori dei conti, esperti contabili, consulenti del lavoro, dottori commercialisti, esperti fiscali, esperti commerciali e fornitori di servizi legati a società di trust.
  4. Altri attori non finanziari, quali: cancellieri dei tribunali, gestori di credito (…)
  5. Altri attori economici: gli operatori di giochi e scommesse e le persone che negoziano opere d’arte e oggetti d’antiquariato (…).

Le disposizioni regolamentari della Banca d’Italia

In applicazione del decreto legislativo n°231/2007, la Banca d’Italia ha pubblicato il 26 marzo 2019 le «Disposizioni in materia di organizzazione, procedure e controlli interni per impedire l’uso degli intermediari bancari e finanziari a fini di riciclaggio di denaro e finanziamento del terrorismo». Rivolte alle imprese finanziarie soggette al suo controllo, tali disposizioni si concentrano in particolare sui seguenti aspetti:

  • Organizzazione, procedure e controllo interno
  • Monitoraggio adeguato della clientela
  • Archiviazione e messa a disposizione di documenti e dati
  • Sanzioni e procedura delle sanzioni amministrative

Dette disposizione hanno lo scopo di spiegare in modo pedagogico il quadro normativo di riferimento e gli obblighi legali che le imprese assoggettate devono attuare per dotarsi di una struttura di governance adeguata e di un sistema di controllo e di conformità antiriciclaggio efficace, in base ad un approccio fondato sul rischio.

Gli organi di governance coinvolti nell’attuazione del dispositivo LCB-FT 

Le disposizioni regolamentari della Banca d’Italia forniscono chiarimenti significativi sul ruolo e sulle responsabilità degli organi di governance, precisando che:

L’organo di supervisione strategica (che solitamente coincide con il Consiglio di amministrazione – CdA) è chiamato a svolgere un importante ruolo di guida e sensibilizzazione. In tale veste, deve assicurare le seguenti responsabilità:

  • Definire gli orientamenti strategici per un’efficace attuazione delle misure di controllo e di gestione dei rischi BC-FT. Dette misure devono essere riviste periodicamente per tener conto – in applicazione del principio di proporzionalità – della dimensione, della natura e del volume dell’attività, della complessità dell’organizzazione e delle zone geografiche, nonché della gamma di servizi e prodotti d’investimento forniti ai clienti.
  • Approvare le politiche e le procedure di controllo in materia di BC-FT e assicurarsi periodicamente che siano effettivamente aggiornate
  • Approvare la nomina e la revoca del responsabile della funzione BC-FT e del responsabile delle operazioni sospette (SOS), previo parere favorevole dell’organo di controllo
  • Definire il ruolo e le responsabilità del responsabile della funzione BC-FT, nonché le modalità di cooperazione e collaborazione di quest’ultimo con le altre funzioni di controllo dell’azienda. In tale veste, l’organo di supervisione strategica deve garantire che il responsabile della funzione BC-FT disponga delle risorse umane e dei mezzi finanziari e tecnici adeguati all’esercizio della sua missione.
  • Esaminare, almeno una volta all’anno, il rapporto redatto dal responsabile della funzione BC-FT.
  • Promuovere, dopo aver esaminato e valutato le raccomandazioni, i suggerimenti e le indicazioni proposte dal responsabile della funzione BC-FT, l’applicazione di misure correttive per migliorare il sistema di controllo interno e rimediare alle disfunzioni riscontrate
  • Esaminare le attività svolte dalle altre funzioni di controllo dell’impresa, nonché i risultati legati all’esecuzione di audit indipendenti per valutare la solidità e l’adeguatezza del dispositivo BC-FT
  • Garantire che l’impresa disponga di un adeguato sistema informativo per consentire agli organi di amministrazione e controllo di essere tempestivamente informati e, se necessario, adottare le necessarie misure correttive di controllo.
  • Valutare i rischi di BC-FT legati alle relazioni con i paesi terzi al fine di identificare le misure di controllo per attenuare, gestire e monitorare questo tipo di rischi.

L’organo di gestione garantisce l’attuazione degli orientamenti strategici e delle politiche e procedure BC-FT approvate dall’organo di supervisione strategica, e a questo fine deve:

  • Assicurarsi che l’implementazione dei controlli interni e dei sistemi di audit sia adeguata e proporzionata ai rischi BC-FT cui è esposta l’azienda
  • Garantire che le procedure operative e i sistemi informativi consentano il corretto adempimento degli obblighi relativi alla vigilanza costante dei clienti, alla conservazione di documenti e informazioni nonché alla segnalazione di operazioni sospette (SOS)
  • Assicurarsi di essere tempestivamente informato in caso di incidenti importanti e malfunzionamenti
  • Verificare che l’impresa disponga di un canale di comunicazione adeguato a permettere la diffusione delle politiche e procedure BC-FT a tutti i dipendenti.
  • Riferire periodicamente all’organo di supervisione strategica sul livello dei rischi BC-FT che l’impresa deve affrontare, sulla solidità e l’adeguatezza della gestione dei rischi e dei controlli interni attuati, nonché sugli ultimi sviluppi in materia di LBC-FT che possono avere un impatto sull’impresa
  • Garantire l’organizzazione di corsi di formazione adeguati in materia di LCB-FT per tutti i dipendenti e collaboratori dell’impresa.

L’organo di controllo (che solitamente coincide con il Collegio sindacale – CS) deve garantire che l’impresa rispetti la legge e le normative in materia di LCB-FT, verificare che abbia implementato delle politiche e procedure affidabili e che disponga di un adeguato sistema di controllo interno che le consenta di prevenire, mitigare e gestire i rischi BC-FT.

L’organo di controllo può effettuare atti di ispezione e di controllo su tutti gli aspetti legati al funzionamento del dispositivo BC-FT. Deve comunicare immediatamente alla Banca d’Italia tutti i fatti di cui è venuto a conoscenza, che possono costituire violazioni gravi, ripetute o sistematiche delle disposizioni in materia di AMB-CFT. 

L’organizzazione del dispositivo LCB-FT

Le disposizioni regolamentari della Banca d’Italia prevedono che gli istituti finanziari si dotino di un dispositivo di controllo specifico per garantire l’integrità del processo di gestione del rischio BC-FT e dei rischi di reputazione ad esso associati.

Il dispositivo LCB-FT è integrato nel sistema di controllo interno e mobilita diversi attori, tra cui: 

  • Il responsabile della funzione BC-FT incaricato di effettuare un controllo permanente di secondo livello su tutti gli obblighi in materia di LCB-FT
  • Il responsabile della funzione d’internal audit incaricato di assicurare un controllo di terzo livello sull’adeguatezza della struttura organizzativa dell’impresa e sull’efficacia del dispositivo LCB-FT.

Ruolo e responsabilità del responsabile della funzione BC-FT

Il responsabile della funzione BC-FT è designato – su proposta dell’organo di gestione – dall’organo di supervisione strategica, previo parere favorevole dell’organo di controllo. La delibera di nomina del responsabile BC-FT deve essere infine comunicata alla Banca d’Italia, secondo le modalità stabilite dalla stessa autorità di vigilanza.  

Ora, la previsione di una procedura di nomina rafforzata – che coinvolge tutti gli organi di governance dell’impresa – mira da un lato a garantire che il candidato selezionato possieda conoscenze e competenze specifiche, e che dispone del tempo necessario per svolgere al meglio la sua missione. Dall’altro, essa mira altresì a garantire l’indipendenza e l’inamovibilità del responsabile della funzione BC-FT, che non potrà essere revocato in mancanza di una giusta causa.

Pertanto, il responsabile della funzione BC-FT non deve essere un amministratore esecutivo o un dirigente con responsabilità operative. Il regolamento interno della funzione BC-FT – che deve essere definito dall’organo di gestione e approvato dall’organo di supervisione strategica – deve specificare le responsabilità del responsabile della funzione BC-FT, nonché le modalità di organizzazione e di gestione dei rischi BC-FT.  

In conformità alle disposizioni regolamentari della Banca d’Italia, il responsabile incaricato del pilotaggio del dispositivo BC-FT ha il compito di:

  • Identificare e mappare i rischi BC-FT, e garantire il loro regolare aggiornamento
  • Lavorare, in collaborazione con le altre funzioni dell’azienda, per definire misure di controllo, politiche e procedure atte a prevenire, limitare e gestire i rischi BC-FT
  • Assicurare il monitoraggio permanente del processo di gestione dei rischi BC-FT, del sistema dei controlli interni e delle procedure. In tale veste, può proporre suggerimenti per migliorare le procedure di controllo e il sistema di gestione dei rischi BC-FT
  • Fornire dei pareri sulla gestione del rischio BC-FT agli organi di governance e all’equipe di direzione
  • Collaborare con il responsabile delle operazioni sospette (SOS) per verificare l’affidabilità del dispositivo di segnalazione, nonché l’effettiva attuazione delle procedure di identificazione dei clienti da parte della prima linea di controllo
  • Stabilire programmi di formazione destinati a sensibilizzare i dirigenti e i dipendenti all’approccio di prevenzione dei rischi BC-FT
  • Effettuare un’autovalutazione annuale – in collaborazione con le altre funzioni coinvolte nel monitoraggio dei rischi BC-FT – del dispositivo BC-FT, e proporre, se necessario, agli organi di governance misure per migliorare detto dispositivo
  • Trasmettere all’UIF (Unità di informazione finanziaria) – secondo le modalità stabilite da quest’ultima – tutte le comunicazioni relative ad operazioni a rischio di riciclaggio
  • Informare – attraverso l’elaborazione di un rapporto annuale – gli organi di governance sulle iniziative adottate, le disfunzioni constatate e le misure correttive da attuare

Gli istituti finanziari – tenuto conto della dimensione, della natura, del volume delle attività e delle esigenze organizzative – possono decidere di assegnare la gestione del dispositivo BC-FT ad altre funzioni dell’impresa – che dispongono delle stesse condizioni di indipendenza previste per il responsabile BC-FT – quali: la funzione compliance o la funzione risk management.

Possono altresì affidare a un prestatore esterno l’esecuzione di tutte o parte delle attività di controllo che competono al responsabile della funzione BC-FT. In questo caso, l’istituto finanziario dovrà stabilire un contratto scritto per definire le condizioni e i termini dell’esternalizzazione e designare un «responsabile interno» incaricato di:

  • Verificare che il prestatore esterno esegua i compiti secondo le condizioni previste dal contratto
  • Verificare che il servizio fornito dal prestatore esterno sia conforme ai requisiti legislativi e regolamentari
  • Informare gli organi di governance della società di eventuali disfunzioni, in modo da consentire loro di adottare misure correttive adeguate

Il «responsabile interno» deve soddisfare gli stessi requisiti di professionalità, indipendenza e autorevolezza che sono stabiliti per il responsabile della funzione BC-FT. 

Ruolo e responsabilità del responsabile della funzione d’internal audit

Il responsabile della funzione d’internal audit è designato dall’organo di supervisione strategica, previo parere favorevole del comitato dei rischi e dopo aver sentito il Collegio sindacale. 

Ha il compito di effettuare controlli periodici – sulla base di un piano di audit preventivamente approvato dall’organo di supervisione strategica – e di assicurare le seguenti responsabilità:

  • Verificare che gli obblighi in materia di identificazione dei clienti siano stati rispettati al momento della costituzione del rapporto d’affari e durante tutta la durata di tale rapporto
  • Assicurarsi che la raccolta e l’archiviazione dei dati e dei documenti siano stati effettuati in conformità alle disposizioni vigenti
  • Verificare che le misure correttive o correttive siano state effettivamente attuate
  • Verificare che le funzioni, centrali e periferiche dell’azienda, siano state effettivamente coinvolte nel processo di segnalazione delle operazioni sospette.
  • Informare periodicamente gli organi di governance delle azioni intraprese e dei risultati ottenuti.

Ruolo e responsabilità del responsabile delle operazioni sospette (SOS)

Le disposizioni della Banca d’Italia hanno introdotto anche la figura del responsabile delle operazioni sospette (SOS) che, per contro, non è integrato nel sistema di controllo interno.

Questa funzione può essere svolta dal rappresentante legale dell’impresa o da una persona con una delega specifica oppure dal responsabile della funzione BC-FT. La delega deve essere conferita dall’organo di supervisione strategica, sentito l’organo di controllo.

Il responsabile delle operazioni sospette (SOS) deve soddisfare le condizioni di professionalità, indipendenza e autorevolezza, possedere autonomia di giudizio, e rispettare gli obblighi di discrezione professionale previsti dalle disposizioni in materia di LCB-FT. 

La delegazione precisa in dettaglio il ruolo e le responsabilità del responsabile delle operazioni sospette (SOS), che ha il compito di assicurare le seguenti missioni:

  • Valutare le operazioni atipiche o sospette segnalate dal controllo di primo livello tenuto conto, se del caso, del tipo di relazioni d’affari, sulla base di criteri e soglie di significatività
  • Effettuare verifiche, anche a campione, sulla pertinenza del processo di identificazione della clientela da parte del controllo di primo livello
  • Valutare tutte le altre operazioni sospette di cui è venuto a conoscenza durante l’esercizio della sua missione
  • Trasmettere all’UIF (Unità di informazione finanziaria) le segnalazioni ritenute fondate, senza menzionare il nome delle persone coinvolte nella procedura di segnalazione di operazioni sospette
  • Informare periodicamente gli organi di governance delle azioni intraprese nel corso della sua missione.

Il responsabile delle operazioni sospette deve collaborare con le altre funzioni dell’impresa, in particolare con il responsabile della funzione BC-FT, e deve rispettare le linee guida stabilite dalla UIF in materia di segnalazione delle operazioni atipiche o sospette.  

 gp@giovannellapolidoro.com

Leave a comment