Con il presente provvedimento si emanano nuove disposizioni in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo.

Il provvedimento realizza l'allineamento alla normativa europea sotto vari aspetti:

a) dà attuazione alle previsioni in materia di organizzazione, procedure e controlli interni contenute nel decreto legislativo 21 novembre 2007, n. 231, come modificato dal decreto legislativo 25 maggio 2017, n. 90, di recepimento della cd. quarta direttiva antiriciclaggio;

b) fornisce indicazioni sui requisiti, le procedure, i sistemi di controllo e le funzioni del punto di contatto centrale, in armonia con il Regolamento delegato della Commissione europea n. 1108/2018, del 7 maggio 2018;

c) recepisce gli orientamenti congiunti delle Autorità di vigilanza europee adottati il 22 settembre 2017 che definiscono, tra l'altro, le misure che i prestatori di servizi di pagamento adottano per individuare dati informativi mancanti o incompleti relativi all'ordinante o al beneficiario.

Le disposizioni tengono conto dei commenti ricevuti durante la fase di consultazione pubblica. Come già anticipato nella relazione illustrativa al documento per la consultazione, non è stata condotta un'analisi di impatto formalizzata, ai sensi dell'art. 3 del Regolamento della Banca d'Italia del 24 marzo 2010 sull'adozione degli atti normativi.

Le disposizioni sono pubblicate sul sito web della Banca d'Italia, unitamente al presente provvedimento, al resoconto della consultazione e alle osservazioni pervenute. Il provvedimento e le disposizioni saranno altresì pubblicati nella Gazzetta Ufficiale della Repubblica italiana. Le disposizioni entreranno in vigore decorsi quindici giorni dalla pubblicazione nella Gazzetta Ufficiale.

I destinatari si adeguano alle disposizioni entro il 1° giugno 2019. Si applicano a partire dal 1° gennaio 2020:

l'obbligo per gli organi aziendali di definire e approvare una policy motivata che indichi le scelte del destinatario in materia di assetti organizzativi, procedure e controlli interni, adeguata verifica e conservazione dei dati (cfr. Parte Seconda, Sezioni II e III delle disposizioni);

l'obbligo, per le capogruppo, di istituire un base informativa comune (cfr. Parte Quarta, Sezione I, delle disposizioni);

l'obbligo di condurre un esercizio di autovalutazione dei rischi di riciclaggio (cfr. Parte Settima delle disposizioni): i destinatari trasmettono alla Banca d'Italia i risultati dell'esercizio di autovalutazione relativo al 2019 entro il 30 aprile 2020.

Roma, 26 marzo 2019

Il direttore generale: ROSSI

ALLEGATO

(modificato e integrato dall'allegato del Provv. Banca d'Italia 1 agosto 2023, a decorrere dal 14 novembre 2023)

DISPOSIZIONI IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI VOLTI A PREVENIRE L'UTILIZZO DEGLI INTERMEDIARI A FINI DI RICICLAGGIO E DI FINANZIAMENTO DEL TERRORISMO DISPOSIZIONI PRELIMINARI

Fonti normative

La materia è disciplinata:

dal decreto legislativo 21 novembre 2007, n. 231, come modificato dal decreto legislativo 25 maggio 2017, n. 90 e, in particolare:

dall'art. 7, comma 1, lettera a), che attribuisce alla Banca d'Italia il potere di emanare disposizioni in materia di organizzazione, procedure e controlli interni e di adeguata verifica della clientela;

dall'art. 15, che attribuisce alla Banca d'Italia il compito di:

(i) dettare criteri e metodologie per l'analisi e la valutazione dei rischi di riciclaggio cui i soggetti obbligati sono esposti nell'esercizio della loro attività (articolo 15, comma 1);

(ii) individuare le categorie di soggetti obbligati per i quali non si applicano le disposizioni in materia di autovalutazione del rischio di riciclaggio, in considerazione dell'irrilevanza del rischio di riciclaggio dell'attività svolta ovvero dell'offerta di prodotti e servizi che presentano caratteristiche di rischio tipizzate (articolo 15, comma 3);

dall'art. 16, comma 1, che attribuisce alla Banca d'Italia il compito di disciplinare le modalità con le quali deve essere garantito un approccio globale al rischio di riciclaggio nei gruppi;

dall'art. 16, comma 2, che attribuisce alla Banca d'Italia il potere di individuare i requisiti dimensionali e organizzativi in base ai quali i soggetti obbligati adottano specifici presidi, controlli e procedure per la valutazione e gestione del rischio di riciclaggio e per l'introduzione di una funzione antiriciclaggio;

dall'art. 43 comma 4, che attribuisce alla Banca d'Italia il potere di adottare disposizioni sui requisiti, le procedure, i sistemi di controllo e le funzioni del punto di contatto centrale, in coerenza con le previsioni del regolamento delegato (UE) n. 1108/2018;

dal regolamento (UE) 2015/847, del Parlamento europeo e del Consiglio, del 20 maggio 2015, riguardante i dati informativi che accompagnano i trasferimenti di fondi;

dal regolamento delegato (UE) 2018/1108 della Commissione europea recante le norme tecniche di regolamentazione sui criteri per la nomina dei punti di contatto centrali per gli emittenti di moneta elettronica e i prestatori di servizi di pagamento e sulle relative funzioni. Vengono inoltre in rilievo:

gli orientamenti delle Autorità di Vigilanza Europee, adottati ai sensi dell'articolo 25 del Regolamento (UE) 2015/847, sulle misure che i prestatori di servizi di pagamento adottano per individuare dati informativi mancanti o incompleti relativi all'ordinante o al beneficiario nonchè sulle procedure da porre in essere per gestire un trasferimento di fondi non accompagnato dai dati informativi richiesti;

gli Orientamenti dell'Autorità bancaria europea in materia di fattori di rischio per l'adeguata verifica della clientela (EBA/GL/2021/02) attuati con nota della Banca d'Italia n. 15 del 4 ottobre 2021;

gli Orientamenti dell'Autorità bancaria europea sulle politiche e le procedure relative alla gestione della conformità e al ruolo e alle responsabilità del responsabile antiriciclaggio ai sensi dell'articolo 8 e del capo VI della direttiva (UE) 2015/849 (EBA/GL/2022/05).

Destinatari

Le presenti disposizioni si applicano a:

a) le banche;

b) le società di intermediazione mobiliare (SIM);

c) le società di gestione del risparmio (SGR);

d) le società di investimento a capitale variabile (SICAV);

e) le società di investimento a capitale fisso, mobiliare e immobiliare (SICAF);

f) gli intermediari iscritti nell'albo previsto dall'articolo 106 TUB;

g) gli istituti di moneta elettronica;

h) gli istituti di pagamento;

i) le succursali insediate in Italia di intermediari bancari e finanziari aventi sede legale e amministrazione centrale in un altro paese comunitario o in un paese terzo (1);

j) le banche, gli istituti di pagamento e gli istituti di moneta elettronica aventi sede legale e amministrazione centrale in un altro Stato membro tenuti a designare un punto di contatto centrale in Italia ai sensi dell'articolo 43, comma 3, del d.lgs. 21 novembre 2007, n. 231 (2);

k) le società fiduciarie iscritte nell'albo previsto ai sensi dell'articolo 106 TUB;

[l) i confidi (3);] (lettera eliminata) (1)

m) i soggetti eroganti micro-credito, ai sensi dell'articolo 111 TUB;

n) Poste Italiane S.p.a., per l'attività di bancoposta;

o) Cassa Depositi e Prestiti S.p.a.

Nelle operazioni di cartolarizzazione di crediti disciplinate dalla legge 30 aprile 1999, n. 130, gli obblighi di cui alle presenti disposizioni sono assolti dai soggetti di cui all'articolo 2, comma 6, della medesima legge.

Definizioni

Ai fini delle presenti disposizioni si intendono per:

1) "agenti in attività finanziaria": gli agenti iscritti nell'elenco previsto dall'art. 128-quater, commi 2 e 6, del TUB;

2) "Autorità": le Autorità di cui al Titolo I, Capo II del d.lgs. 231/2007;

3) "controlli di linea": controlli effettuati dalle strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell'ambito del back office, incorporati nelle procedure informatiche e diretti ad assicurare il corretto svolgimento delle operazioni;

4) "decreto antiriciclaggio": il decreto legislativo 21 novembre 2007, n. 231, come modificato dal decreto legislativo 25 maggio 2017, n. 90, recante l'attuazione della direttiva (UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo;

5) "destinatari": i soggetti destinatari delle presenti disposizioni indicati nel paragrafo "destinatari";

6) "direttiva antiriciclaggio": la direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, come modificata dalla direttiva (UE) 2018/843, relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo;

7) "funzioni aziendali di controllo": la funzione antiriciclaggio, la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit);

8) "gruppo": il gruppo bancario di cui all'articolo 60 TUB e disposizioni applicative, il gruppo finanziario di cui all'articolo 109 TUB e disposizioni applicative, il gruppo di cui all'articolo 11 TUF e disposizioni applicative nonchè, fuori da questi casi e se destinatarie delle presenti disposizioni, le società controllate e controllanti ai sensi dell'articolo 2359 del codice civile;

9) "paesi comunitari": paesi appartenenti allo Spazio economico europeo;

10) "paesi terzi": paesi non appartenenti allo Spazio economico europeo;

11) "personale": i dipendenti e coloro che comunque operano sulla base di rapporti che ne determinano l'inserimento nell'organizzazione aziendale, anche in forma diversa dal rapporto di lavoro subordinato;

12) "rischio di riciclaggio": il rischio derivante dalla violazione di previsioni di legge, regolamentari e di autoregolamentazione funzionali alla prevenzione dell'uso del sistema finanziario per finalità di riciclaggio, di finanziamento del terrorismo o di finanziamento dei programmi di sviluppo delle armi di distruzione di massa, nonchè il rischio di coinvolgimento in episodi di riciclaggio e di finanziamento del terrorismo o di finanziamento dei programmi di sviluppo delle armi di distruzione di massa;

13) "soggetti convenzionati e agenti": gli operatori comunque denominati, diversi dagli agenti in attività finanziaria, di cui i prestatori di servizi di pagamento e gli istituti emittenti moneta elettronica, ivi compresi quelli aventi sede legale e amministrazione centrale in altro Stato membro, si avvalgono per l'esercizio della propria attività sul territorio della Repubblica italiana;

14) "UIF": l'Unità di Informazione Finanziaria per l'Italia.

Comunicazioni alla Banca d'Italia

Le comunicazioni alla Banca d'Italia previste dalle presenti disposizioni sono indirizzate all'Unità di Supervisione e Normativa Antiriciclaggio.

PARTE PRIMA

PRINCIPI GENERALI

Sezione I. Principio di proporzionalità

Le presenti disposizioni stabiliscono i presidi in termini di organizzazione, procedure e controlli interni che i destinatari adottano per il contrasto al riciclaggio e al finanziamento del terrorismo (4). Esse integrano e si applicano in modo unitario con le previsioni in materia di assetto di governo, organizzazione e controllo interno dettate da altre normative di settore.

I destinatari applicano le presenti disposizioni secondo il principio di proporzionalità, in coerenza con la natura, la dimensione, la complessità dell'attività svolta, la tipologia e la gamma dei servizi prestati. (5)

Sezione II. Approccio basato sul rischio

In applicazione dell'approccio basato sul rischio (cd. risk based approach), i destinatari si dotano di un assetto organizzativo, di procedure operative e di controllo, nonchè di sistemi informativi idonei a garantire l'osservanza delle norme di legge e regolamentari in materia antiriciclaggio, tenendo conto della natura, della dimensione e della complessità dell'attività svolta nonchè della tipologia e della gamma dei servizi prestati. A tal fine, i destinatari:

a. definiscono una policy motivata che indichi le scelte che essi in concreto intendono compiere sui vari profili rilevanti in materia di assetti organizzativi, procedure e controlli interni (es. assetto della funzione antiriciclaggio nei gruppi; eventuale attribuzione della delega per il responsabile delle segnalazioni sospette), di adeguata verifica (es. misure da adottare in concreto per l'adeguata verifica rafforzata o semplificata) e di conservazione dei dati (cd. policy antiriciclaggio);

b. svolgono una valutazione complessiva, periodicamente aggiornata, della propria esposizione al rischio di riciclaggio (cd. autovalutazione dell'esposizione al rischio di riciclaggio), secondo quanto previsto dalla Parte Settima;

c. adottano le misure ritenute più idonee a prevenire il rischio di riciclaggio, coerenti rispetto alla propria esposizione al rischio di riciclaggio.

Sezione III. Presidi organizzativi minimi

Fermo l'obbligo di calibrare gli assetti organizzativi antiriciclaggio secondo il principio di proporzionalità e di approccio in base al rischio, i destinatari adottano almeno i seguenti presidi organizzativi minimi:

a) attribuiscono a una funzione di controllo aziendale la responsabilità di assicurare l'adeguatezza, la funzionalità e l'affidabilità dei presidi antiriciclaggio, secondo quanto previsto nella Parte Terza, Sezione I (funzione antiriciclaggio);

b) formalizzano l'attribuzione della responsabilità per la segnalazione delle operazioni sospette secondo quanto previsto nella Parte Terza, Sezione II (responsabile della segnalazione delle operazioni sospette);

c) attribuiscono a una funzione di controllo aziendale il compito di verificare in modo continuativo il grado di adeguatezza dell'assetto organizzativo antiriciclaggio e la sua conformità rispetto alla disciplina, secondo quanto previsto nella Parte Terza, Sezione III (funzione di revisione interna);

d) nominano un esponente aziendale quale responsabile per l'antiriciclaggio, secondo quanto previsto nella Parte Seconda, Sezione III-bis (esponente responsabile per l'antiriciclaggio).

PARTE SECONDA

GLI ASSETTI ORGANIZZATIVI A SALVAGUARDIA DEI RISCHI DI RICICLAGGIO

Sezione I. Principi generali

I destinatari si dotano di un sistema organizzativo e di controllo nonchè di strategie, regole, risorse, procedure e funzioni chiaramente individuate e adeguatamente specializzate idonee ad assicurare l'efficace prevenzione del rischio di riciclaggio.

In particolare, essi assicurano:

- l'adozione di adeguate strategie, politiche, procedure e processi di identificazione, misurazione, valutazione e monitoraggio del rischio di riciclaggio, nonchè di misure idonee a prevenire il rischio cui sono esposti;

- la chiara definizione, ai diversi livelli, di ruoli, compiti e responsabilità, nonchè la predisposizione di procedure per garantire l'osservanza degli obblighi di adeguata verifica della clientela, segnalazione delle operazioni sospette, conservazione della documentazione e delle evidenze dei rapporti e delle operazioni;

- l'istituzione di una funzione antiriciclaggio incaricata di sovrintendere all'attività di prevenzione e gestione dei rischi di riciclaggio;

- un'architettura delle funzioni di controllo coordinata nelle sue componenti, anche attraverso idonei flussi informativi, e al contempo coerente con l'articolazione della struttura, la complessità, la dimensione aziendale, la tipologia dei servizi e prodotti offerti nonchè con l'entità del rischio associabile alle caratteristiche della clientela;

- un'attività di controllo sul rispetto da parte del personale delle procedure interne e di tutti gli obblighi normativi, con particolare riguardo all'analisi continuativa dell'operatività della clientela, agli obblighi di comunicazione e segnalazione e alla tutela della riservatezza in materia di segnalazione.

Il sistema dei controlli interni è in grado di intercettare prontamente carenze procedurali e dei comportamenti, suscettibili di determinare violazioni della normativa.

Per mitigare il rischio di riciclaggio è fondamentale il coinvolgimento degli organi aziendali e il corretto adempimento degli obblighi che su questi ricadono. Anche per questo motivo, la composizione degli organi aziendali deve essere tale da assicurare la presenza di conoscenze, abilità ed esperienze adeguate per comprendere i rischi di riciclaggio correlati all'attività e al modello di business del destinatario.

Le presenti disposizioni, nel disciplinare gli assetti organizzativi necessari a prevenire e mitigare i rischi di coinvolgimento in fatti di riciclaggio, non fanno riferimento a organi aziendali nominativamente individuati, ma richiamano le funzioni di "supervisione strategica", "gestione" e "controllo" in concreto assegnate agli organi aziendali o a loro componenti in coerenza con la normativa civilistica e di vigilanza. (6)

Sezione II. Organo con funzione di supervisione strategica

L'organo con funzione di supervisione strategica approva e riesamina periodicamente gli indirizzi strategici e le politiche di governo dei rischi connessi con il riciclaggio; in aderenza all'approccio basato sul rischio, le politiche sono adeguate all'entità e alla tipologia dei rischi cui è concretamente esposta l'attività del destinatario, come rappresentati nel documento di autovalutazione dei rischi.

In particolare, l'organo con funzione di supervisione strategica:

approva una policy che illustra e motiva le scelte che il destinatario compie sui vari profili rilevanti in materia di assetti organizzativi, procedure e controlli interni, adeguata verifica e conservazione dei dati, in coerenza con il principio di proporzionalità e con l'effettiva esposizione al rischio di riciclaggio (cd. policy antiriciclaggio);

approva l'istituzione della funzione antiriciclaggio individuandone compiti e responsabilità nonchè modalità di coordinamento e di collaborazione con le altre funzioni aziendali di controllo;

approva le linee di indirizzo di un sistema di controlli interni organico e coordinato, funzionale alla pronta rilevazione e alla gestione del rischio di riciclaggio e ne assicura l'efficacia nel tempo;

approva i principi per la gestione dei rapporti con la clientela classificata ad "alto rischio";

nomina e revoca il responsabile antiriciclaggio, sentito l'organo con funzioni di controllo. La verifica del possesso dei requisiti deve risultare analiticamente nel verbale di nomina;

nomina e revoca il responsabile delle segnalazioni di operazioni sospette, sentito l'organo con funzioni di controllo;

assicura che i compiti e le responsabilità in materia antiriciclaggio siano allocati in modo chiaro e appropriato, garantendo che le funzioni operative e quelle di controllo siano distinte e fornite di risorse qualitativamente e quantitativamente adeguate;

assicura che sia approntato un sistema di flussi informativi adeguato, completo e tempestivo verso gli organi aziendali e tra le funzioni di controllo nonchè un sistema di condivisione della documentazione che consenta agli organi aziendali accesso diretto alle relazioni delle funzioni di controllo in materia antiriciclaggio, alle pertinenti comunicazioni intercorse con le Autorità e alle misure di vigilanza imposte o alle sanzioni irrogate;

assicura la tutela della riservatezza nell'ambito della procedura di segnalazione di operazioni sospette;

con cadenza almeno annuale, esamina le relazioni relative all'attività svolta dal responsabile antiriciclaggio e ai controlli eseguiti dalle funzioni competenti, nonchè il documento sui risultati dell'autovalutazione dei rischi di riciclaggio;

con cadenza almeno annuale, valuta l'attività della funzione antiriciclaggio e l'adeguatezza delle risorse umane e tecniche a essa assegnate, anche alla luce della periodica verifica svolta dalla funzione di revisione interna;

assicura che le carenze e le anomalie riscontrate in esito ai controlli di vario livello siano portate tempestivamente a sua conoscenza e promuove l'adozione di idonee misure correttive, delle quali valuta l'efficacia;

valuta i rischi conseguenti all'operatività con paesi terzi associati a più elevati rischi di riciclaggio, individuando i presidi per attenuarli, di cui monitora l'efficacia;

nomina l'esponente responsabile per l'antiriciclaggio e assicura che questi soddisfi le condizioni di cui alla Sezione III-bis. Le relative valutazioni devono essere verbalizzate in modo analitico;

assicura che l'esponente nominato come responsabile per l'antiriciclaggio sia tempestivamente informato delle decisioni che possono incidere sull'esposizione al rischio di riciclaggio del destinatario.

Sezione III. Organo con funzione di gestione

L'organo con funzione di gestione cura l'attuazione degli indirizzi strategici e delle politiche di governo del rischio di riciclaggio approvati dall'organo con funzione di supervisione strategica ed è responsabile per l'adozione di tutte le misure necessarie ad assicurare l'efficacia dell'organizzazione e del sistema dei controlli antiriciclaggio; a tal fine esamina le proposte di interventi organizzativi e procedurali presentate dal responsabile della funzione antiriciclaggio e formalizza, motivandola, l'eventuale decisione di non accoglierle. Nella predisposizione delle procedure operative tiene conto delle indicazioni e delle linee guida emanate dalle autorità competenti e dagli organismi internazionali.

L'organo con funzione di gestione definisce e cura l'attuazione di un sistema di controlli interni funzionale alla pronta rilevazione e alla gestione del rischio di riciclaggio e ne assicura l'efficacia nel tempo, in coerenza con gli esiti dell'esercizio di autovalutazione dei rischi; assicura che le procedure operative e i sistemi informativi consentano il corretto adempimento degli obblighi di adeguata verifica della clientela e di conservazione dei documenti e delle informazioni.

In materia di segnalazione di operazioni sospette, l'organo con funzione di gestione definisce e cura l'attuazione di una procedura adeguata alle specificità dell'attività, alle dimensioni e alle complessità del destinatario, secondo il principio di proporzionalità e l'approccio basato sul rischio. La procedura è in grado di garantire certezza di riferimento, omogeneità nei comportamenti, applicazione generalizzata all'intera struttura, il pieno utilizzo delle informazioni rilevanti e la ricostruibilità dell'iter valutativo. Il medesimo organo adotta, inoltre, misure volte ad assicurare il rispetto dei requisiti di riservatezza della procedura di segnalazione nonchè strumenti, anche informatici, per la rilevazione delle operazioni anomale.

L'organo con funzione di gestione definisce e cura l'attuazione delle iniziative e delle procedure necessarie per assicurare il tempestivo assolvimento degli obblighi di comunicazione alle Autorità previsti dalla normativa antiriciclaggio.

Inoltre, l'organo con funzione di gestione:

- definisce la policy antiriciclaggio sottoposta all'approvazione dell'organo con funzione di supervisione strategica e ne cura l'attuazione;

- definisce e cura l'attuazione di procedure informative volte ad assicurare la conoscenza dei fattori di rischio a tutte le strutture aziendali coinvolte e agli organi incaricati di funzioni di controllo;

- definisce e cura l'attuazione delle procedure di gestione dei rapporti con la clientela classificata ad "alto rischio", in coerenza con i principi fissati dall'organo di supervisione strategica;

- stabilisce i programmi di addestramento e formazione del personale sugli obblighi previsti dalla disciplina antiriciclaggio; l'attività di formazione deve rivestire carattere di continuità e sistematicità e tenere conto dell'evoluzione della normativa e delle procedure predisposte dal destinatario;

- stabilisce gli strumenti idonei a consentire la verifica dell'attività svolta dal personale in modo da rilevare eventuali anomalie che emergano, segnatamente, nei comportamenti, nella qualità delle comunicazioni indirizzate ai referenti e alle strutture aziendali nonchè nei rapporti del personale con la clientela;

- assicura, nei casi di esternalizzazione dei compiti operativi della funzione antiriciclaggio, il rispetto della normativa applicabile e riceve periodiche informazioni sullo svolgimento delle attività esternalizzate;

- assicura, nei casi di operatività a distanza (es., effettuata attraverso canali digitali), l'adozione di specifiche procedure informatiche per il rispetto della normativa antiriciclaggio, con particolare riferimento all'individuazione automatica di operazioni anomale.

Sezione III-bis. Esponente responsabile per l'antiriciclaggio

Ferma restando la responsabilità collettiva degli organi aziendali, i destinatari nominano un componente dell'organo di amministrazione quale esponente responsabile per l'antiriciclaggio.

L'incarico ha natura esecutiva. In linea con il principio di proporzionalità, in casi debitamente motivati sulla base del complessivo assetto di governo societario e del sistema di deleghe del destinatario (6-bis), l'incarico può essere attribuito al direttore generale, a condizione che sia preservata l'efficacia della funzione dell'esponente responsabile per l'antiriciclaggio.

L'esponente responsabile per l'antiriciclaggio: a) possiede adeguate conoscenze, competenze ed esperienze concernenti i rischi di riciclaggio, le politiche, i controlli e le procedure antiriciclaggio nonchè il modello di business del destinatario e del settore in cui opera; b) dispone di tempo e risorse adeguate ad assolvere efficacemente ai propri compiti.

I destinatari dettagliano, nella policy antiriciclaggio, le ipotesi di conflitto di interessi e le misure atte a prevenirli e mitigarli nonchè i requisiti dell'esponente responsabile per l'antiriciclaggio. La policy indica inoltre i criteri con i quali viene verificata la disponibilità di tempo necessaria per l'efficace svolgimento dell'incarico (6-ter).

L'esponente responsabile per l'antiriciclaggio costituisce il principale punto di contatto tra il responsabile della funzione antiriciclaggio e gli organi con funzione di supervisione strategica e di gestione e assicura che questi ultimi dispongano delle informazioni necessarie per comprendere pienamente la rilevanza dei rischi di riciclaggio cui il destinatario è esposto, ai fini dell'esercizio delle rispettive attribuzioni.

L'esponente responsabile per l'antiriciclaggio:

monitora che le politiche, le procedure e le misure di controllo interno in materia di antiriciclaggio siano adeguate e proporzionate, tenendo conto delle caratteristiche del destinatario e dei rischi cui esso è esposto;

coadiuva l'organo con funzione di supervisione strategica nelle valutazioni concernenti l'articolazione organizzativa e la dotazione di risorse della funzione antiriciclaggio, ivi compresa l'eventuale scelta di assegnare la responsabilità della funzione antiriciclaggio allo stesso esponente responsabile per l'antiriciclaggio, secondo quanto previsto nella Parte Terza, Sezione I, paragrafo 1.3;

assicura che gli organi aziendali siano periodicamente informati in merito alle attività svolte dal responsabile della funzione antiriciclaggio nonchè in merito alle interlocuzioni intercorse con le Autorità;

informa gli organi aziendali delle violazioni e criticità concernenti l'antiriciclaggio di cui sia venuto a conoscenza e raccomanda le opportune azioni;

verifica che il responsabile della funzione antiriciclaggio abbia accesso diretto a tutte le informazioni necessarie per l'adempimento dei propri compiti, disponga di risorse umane e tecniche e di strumenti sufficienti e sia informato su eventuali carenze relative all'antiriciclaggio individuate dalle altre funzioni di controllo interno e dalle autorità di vigilanza;

assicura che le problematiche e le proposte di intervento rappresentate dal responsabile della funzione antiriciclaggio siano valutate dall'organo con funzione di gestione.

Sezione IV. Organo con funzione di controllo

L'organo con funzione di controllo vigila sull'osservanza della normativa e sulla completezza, funzionalità e adeguatezza dei sistemi di controllo antiriciclaggio. Nell'esercizio delle proprie attribuzioni, si avvale delle strutture interne per lo svolgimento delle verifiche e degli accertamenti necessari e utilizza flussi informativi provenienti dagli altri organi aziendali, dal responsabile antiriciclaggio e, ove presenti, dalle altre funzioni di controllo interno.

In tale ambito, l'organo con funzione di controllo:

- valuta l'idoneità delle procedure per l'adeguata verifica della clientela, la conservazione delle informazioni e la segnalazione delle operazioni sospette;

- analizza i motivi delle carenze, anomalie e irregolarità riscontrate e promuove l'adozione delle opportune misure correttive.

L'organo con funzione di controllo è sentito nelle procedure di nomina del responsabile della funzione antiriciclaggio e del responsabile delle segnalazioni di operazioni sospette e nella definizione degli elementi dell'architettura complessiva del sistema di gestione e controllo del rischio di riciclaggio.

Ai sensi dell'art. 46 del decreto antiriciclaggio, i componenti dell'organo con funzione di controllo comunicano senza ritardo alla Banca d'Italia tutti i fatti di cui vengano a conoscenza nell'esercizio delle proprie funzioni che possano integrare violazioni gravi o ripetute o sistematiche o plurime delle disposizioni di legge applicabili e delle relative disposizioni attuative.

PARTE TERZA

L'ASSETTO DEI PRESIDI ANTIRICICLAGGIO

Premessa

Un efficace assetto organizzativo antiriciclaggio si basa su un ampio coinvolgimento di tutte le strutture operative e delle funzioni aziendali e sulla chiara definizione dei compiti e responsabilità delle stesse.

Fondamentale è il ruolo dei controlli di linea, che si avvalgono di adeguati presidi e sistemi informativi, e del responsabile antiriciclaggio, la cui attività da esercitarsi trasversalmente su tutta l'operatività svolta dal destinatario, riguarda sia la verifica della funzionalità di procedure, strutture e sistemi, sia il supporto e la consulenza sulle scelte gestionali.

Sezione I. La funzione antiriciclaggio

1.1. Inquadramento organizzativo

I destinatari istituiscono una funzione deputata a prevenire e contrastare la realizzazione di operazioni di riciclaggio (funzione antiriciclaggio). Essi organizzano la funzione in coerenza con il principio di proporzionalità; in ogni caso, la funzione antiriciclaggio è indipendente e dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere, attivabili anche in autonomia.

La funzione antiriciclaggio riferisce - direttamente o tramite l'esponente responsabile per l'antiriciclaggio - agli organi con funzioni di supervisione strategica, gestione e controllo e ha accesso a tutte le attività del destinatario nonchè a qualsiasi informazione rilevante per lo svolgimento dei propri compiti. I destinatari dettagliano nella policy antiriciclaggio i casi in cui la funzione antiriciclaggio riferisce agli organi aziendali direttamente o per il tramite dell'esponente responsabile per l'antiriciclaggio e assicurano che la funzione informi direttamente gli organi aziendali almeno in caso di violazioni e carenze significative.

I diversi compiti in cui si articola l'attività della funzione antiriciclaggio possono essere affidati a strutture organizzative distinte, presenti nell'ambito del destinatario, purchè la gestione complessiva del rischio di riciclaggio sia ricondotta ad unità mediante la nomina di un responsabile con compiti di indirizzo, coordinamento e supervisione.

La funzione antiriciclaggio può essere attribuita alla struttura che svolge la funzione di controllo di conformità, purchè ciò non pregiudichi l'efficacia e la qualità dei controlli o, ad esito di una valutazione dell'idoneità di tale scelta rispetto all'entità e alla tipologia dei rischi di riciclaggio che la funzione è chiamata in concreto a gestire, a quella di risk management. La funzione antiriciclaggio non può essere assegnata alla funzione di revisione interna.

Indipendentemente dalla soluzione organizzativa prescelta, il personale che svolge compiti riconducibili alla funzione antiriciclaggio è adeguato per numero, competenze tecnico-professionali e aggiornamento, anche attraverso programmi di formazione nel continuo.

I destinatari assicurano la continuità operativa della funzione antiriciclaggio; a tal fine individuano soluzioni organizzative per i casi di assenza del responsabile, quale la nomina di un sostituto.

1.2. Compiti

La funzione antiriciclaggio verifica nel continuo che le procedure aziendali siano coerenti con l'obiettivo di prevenire e contrastare la violazione di norme antiriciclaggio. A tal fine, la funzione provvede a:

identificare le norme applicabili e valutare il loro impatto sui processi e le procedure interne;

collaborare alla definizione del sistema dei controlli interni e delle procedure finalizzati alla prevenzione e al contrasto dei rischi di riciclaggio;

verificare nel continuo l'adeguatezza del processo di gestione dei rischi di riciclaggio e l'idoneità del sistema dei controlli interni e delle procedure e proporre le modifiche organizzative e procedurali volte ad assicurare un adeguato presidio dei rischi di riciclaggio;

condurre, in raccordo con il responsabile delle SOS, verifiche sulla funzionalità del processo di segnalazione e sulla congruità delle valutazioni effettuate dal primo livello sull'operatività della clientela;

collaborare alla definizione delle politiche di governo del rischio di riciclaggio e delle varie fasi in cui si articola il processo di gestione di tale rischio;

condurre, in raccordo con le altre funzioni aziendali interessate, l'esercizio annuale di autovalutazione dei rischi di riciclaggio a cui è esposto il destinatario;

prestare supporto e assistenza agli organi aziendali e all'alta direzione;

valutare in via preventiva il rischio di riciclaggio connesso all'offerta di prodotti e servizi nuovi, alla modifica significativa di prodotti o servizi già offerti, all'ingresso in un nuovo mercato o all'avvio di nuove attività e raccomandare le misure necessarie per mitigare e gestire questi rischi (6-quater);

verificare l'affidabilità del sistema informativo per l'adempimento degli obblighi di adeguata verifica della clientela, conservazione dei dati e segnalazione delle operazioni sospette;

trasmettere mensilmente alla UIF i dati aggregati concernenti l'operatività complessiva del destinatario;

trasmettere alla UIF, sulla base delle istruzioni dalla stessa emanate, le comunicazioni oggettive concernenti operazioni a rischio di riciclaggio;

definire, d'accordo con il responsabile delle segnalazioni di operazione sospette, procedure di gestione delle segnalazioni interne (provenienti dal cd. primo livello) riguardanti situazioni di rischio particolarmente elevato da trattare con la dovuta urgenza;

curare, in raccordo con le altre funzioni aziendali competenti in materia di formazione, la predisposizione di un adeguato piano di formazione, finalizzato a conseguire un aggiornamento su base continuativa del personale, e di indicatori di efficacia dell'attività di formazione svolta;

informare tempestivamente gli organi aziendali di violazioni o carenze significative riscontrate nell'esercizio dei relativi compiti;

informare periodicamente gli organi aziendali - direttamente o per il tramite dell'esponente responsabile per l'antiriciclaggio, in base a quanto stabilito nella policy antiriciclaggio - circa lo stato di avanzamento delle azioni correttive adottate a fronte di carenze riscontrate nell'attività di controllo e circa l'eventuale inadeguatezza delle risorse umane e tecniche assegnate alla funzione antiriciclaggio e la necessità di potenziarle;

predisporre flussi informativi diretti agli organi aziendali, all'esponente responsabile per l'antiriciclaggio e all'alta direzione.

Quando la decisione di avviare o proseguire un rapporto continuativo è sottoposta per legge all'autorizzazione di un alto dirigente, questi acquisisce il parere preventivo della funzione antiriciclaggio. I destinatari individuano nella policy antiriciclaggio gli altri casi in cui l'alto dirigente acquisisce il parere della funzione antiriciclaggio per l'apertura o la prosecuzione di un rapporto continuativo con clientela caratterizzata da elevato profilo di rischio. Qualora decida di non adeguarsi al parere della funzione antiriciclaggio, l'alto dirigente è tenuto a formalizzare e motivare la decisione e a individuare le misure che saranno adottate per mitigare i rischi segnalati.

I destinatari possono assegnare alla funzione antiriciclaggio il compito di svolgere le attività di rafforzata verifica della clientela nei soli casi in cui - per circostanze oggettive, ambientali o soggettive - è particolarmente elevato il rischio di riciclaggio. Se tale compito è attribuito alle strutture operative, il responsabile antiriciclaggio verifica l'adeguatezza del processo di rafforzata verifica condotto dalle strutture di linea e i suoi esiti.

La funzione antiriciclaggio redige e trasmette all'organo con funzione di gestione e a quello con funzione di supervisione strategica un documento che definisce dettagliatamente responsabilità, compiti e modalità operative nella gestione del rischio di riciclaggio (cd. manuale antiriciclaggio). Il documento - costantemente aggiornato - è disponibile e facilmente accessibile a tutto il personale.

La funzione antiriciclaggio pone particolare attenzione: all'adeguatezza dei sistemi e delle procedure interne in materia di obblighi di adeguata verifica della clientela e di conservazione nonchè dei sistemi di individuazione, valutazione e segnalazione delle operazioni sospette; all'efficace rilevazione delle altre situazioni oggetto di obbligo di comunicazione nonchè all'appropriata conservazione della documentazione e delle evidenze richieste dalla normativa.

La funzione può effettuare, in raccordo con la funzione di revisione interna, controlli in loco su base campionaria per verificare l'efficacia e la funzionalità delle stesse e individuare eventuali aree di criticità.

Almeno una volta l'anno, la funzione presenta agli organi con funzione di supervisione strategica, gestione e controllo - direttamente o per il tramite dell'esponente responsabile per l'antiriciclaggio, in base a quanto stabilito nella policy antiriciclaggio - una relazione sulle iniziative adottate, sulle disfunzioni accertate e sulle relative azioni correttive da intraprendere nonchè sull'attività formativa del personale. Nella relazione confluiscono anche i risultati dell'esercizio di autovalutazione condotto ai sensi della Parte Settima.

La funzione collabora con le Autorità di cui al Titolo I, Capo II del decreto antiriciclaggio.

1.3. Il responsabile della funzione

Il responsabile della funzione antiriciclaggio (responsabile antiriciclaggio) è una persona fisica in possesso di adeguati requisiti di indipendenza, competenza, professionali e reputazionali.

Egli deve disporre del tempo necessario all'efficace adempimento dei suoi compiti. I destinatari dettagliano i requisiti del responsabile antiriciclaggio nella policy antiriciclaggio (6-quinquies).

La responsabilità della funzione antiriciclaggio di più destinatari può essere assegnata alla medesima persona fisica soltanto nell'ambito di un gruppo. In questo caso, i destinatari garantiscono che gli incarichi multipli non impediscano al responsabile antiriciclaggio di svolgere efficacemente le proprie funzioni.

Il responsabile antiriciclaggio rientra nel novero dei responsabili di funzioni aziendali di controllo. La nomina e la revoca, adeguatamente motivate, sono di competenza dell'organo di supervisione strategica, sentito l'organo con funzioni di controllo.

La responsabilità della funzione può essere attribuita al responsabile della funzione di controllo di conformità, purchè ciò non pregiudichi l'efficacia e la qualità dei controlli, o, se coerente con il principio di proporzionalità, al risk manager.

Il responsabile antiriciclaggio riferisce agli organi aziendali, direttamente o per il tramite dell'esponente responsabile per l'antiriciclaggio, secondo quanto previsto nella policy antiriciclaggio.

Il responsabile antiriciclaggio è collocato in posizione gerarchico-funzionale adeguata e non può avere responsabilità dirette di aree operative nè essere gerarchicamente dipendente da soggetti responsabili di queste aree. La responsabilità della funzione può essere attribuita all'esponente responsabile per l'antiriciclaggio, purchè privo di altre deleghe che ne pregiudichino l'autonomia, salvo il caso dell'amministratore unico.

Il ricorso a questa soluzione organizzativa è espressamente motivato con riguardo ai criteri di proporzionalità indicati nella Parte Prima, Sezione I.

Il personale chiamato a collaborare nella funzione antiriciclaggio, anche se inserito in aree operative, riferisce direttamente al responsabile della funzione per le questioni attinenti ai relativi compiti.

In considerazione della rilevanza dei compiti attribuiti alla funzione antiriciclaggio, i destinatari possono definire nella normativa interna ulteriori presidi a tutela della stabilità e dell'indipendenza del responsabile.

1.4. Esternalizzazione

Lo svolgimento dei compiti attribuiti alla funzione antiriciclaggio può essere affidato a soggetti esterni nel rispetto del principio di proporzionalità. La responsabilità per la corretta gestione dei rischi di riciclaggio resta, in ogni caso, in capo ai destinatari, i quali sono tenuti a presidiare i rischi derivanti dalle scelte effettuate e mantenere le competenze tecniche e gestionali necessarie per monitorare nel continuo le attività affidate a soggetti esterni.

La decisione di ricorrere all'esternalizzazione non deve pregiudicare la qualità del sistema dei controlli.

In caso di esternalizzazione, il responsabile antiriciclaggio è tenuto quantomeno a:

monitorare, attraverso controlli periodici, il rispetto degli obblighi contrattuali e la corretta esecuzione del servizio da parte del fornitore;

verificare che il servizio erogato dal fornitore consenta l'efficace adempimento degli obblighi antiriciclaggio;

riferire regolarmente agli organi aziendali in merito allo svolgimento dei compiti esternalizzati in modo da assicurare che le misure correttive eventualmente necessarie siano tempestivamente adottate.

In caso di esternalizzazione della funzione ad altre società del gruppo con sede in Italia, questi compiti possono essere affidati a un referente interno che abbia i medesimi requisiti di indipendenza, competenza, professionali e reputazionali previsti per il responsabile antiriciclaggio nei casi in cui ciò sia consentito dalle pertinenti disposizioni della Banca d'Italia in materia di esternalizzazione o delega delle funzioni aziendali di controllo. Per i gruppi bancari cooperativi, si applicano le disposizioni in materia di esternalizzazione delle funzioni aziendali di controllo della Circolare della Banca d'Italia, n. 285 del 17 dicembre 2013, Parte Terza, Capitolo 6, Sez. III, par. 1.3.

I destinatari formalizzano un accordo di esternalizzazione con il fornitore che definisca almeno:

i rispettivi diritti e obblighi; i livelli di servizio attesi, espressi in termini oggettivi e misurabili, nonchè le informazioni necessarie per la verifica del loro rispetto; gli eventuali conflitti di interesse e le opportune cautele per prevenirli o, se non possibile, attenuarli; la durata dell'accordo e le modalità di rinnovo nonchè gli impegni reciproci connessi con l'interruzione del rapporto;

la frequenza minima dei flussi informativi nei confronti del responsabile interno e degli organi aziendali e delle funzioni di controllo, fermo restando l'obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni e di consulenza;

gli obblighi di riservatezza delle informazioni acquisite nell'esercizio della funzione;

la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche normative o nell'operatività e nell'organizzazione del destinatario;

la possibilità per il destinatario, le Autorità di Vigilanza e la UIF di accedere alle informazioni utili e ai locali in cui opera il fornitore di servizi per l'attività di monitoraggio, supervisione e controllo.

Nel caso in cui il fornitore abbia la sede legale o sia comunque stabilito in un paese terzo, i destinatari adottano le misure necessarie per garantire il pieno rispetto della disciplina antiriciclaggio e l'efficace svolgimento dei compiti esternalizzati nonchè per assicurare che Banca d'Italia e UIF possano esercitare efficacemente i propri poteri nei confronti del fornitore.

La funzione antiriciclaggio è parte integrante delle funzioni aziendali di controllo. Pertanto, i destinatari applicano le presenti disposizioni congiuntamente a quelle della Banca d'Italia in materia di esternalizzazione o delega delle funzioni aziendali di controllo a cui essi sono soggetti.

1.5. Rapporti con altre funzioni aziendali

La funzione antiriciclaggio collabora con le altre funzioni aziendali (es. funzione di controllo di conformità, la revisione interna, area legale, organizzazione, gestione dei rischi, risorse umane, sistemi informativi) per sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l'operatività aziendale, e realizzare processi conformi alla normativa.

L'adeguatezza e l'efficacia della funzione antiriciclaggio sono sottoposte a verifica periodica da parte della funzione di revisione interna.

1.6. Comunicazioni

I destinatari trasmettono alla Banca d'Italia:

a. entro 20 giorni dalla relativa delibera, la decisione di nomina o di revoca del responsabile della funzione antiriciclaggio (7);

b. entro il 30 aprile di ciascun anno, la relazione della funzione antiriciclaggio, anche di gruppo, che include l'esercizio di autovalutazione dei rischi.

Sezione II. Il responsabile delle segnalazioni di operazioni sospette

Ai sensi dell'articolo 36 del decreto antiriciclaggio, il responsabile delle segnalazioni di operazioni sospette (SOS) è il legale rappresentante del destinatario ovvero un delegato del destinatario; la delega può essere conferita anche al responsabile della funzione antiriciclaggio. Il conferimento della delega è deliberato dall'organo con funzione di supervisione strategica, sentito l'organo con funzione di controllo. Nel caso di succursale, il responsabile delle segnalazioni di operazioni sospette è il legale rappresentante della stessa, salva la possibilità di delega a un membro del personale della succursale. Se i destinatari sono tenuti all'istituzione di un punto di contatto centrale, il responsabile delle SOS coincide in ogni caso con il responsabile del punto di contatto centrale (articolo 36 del decreto antiriciclaggio).

I destinatari assicurano che il responsabile delle SOS sia in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità e svolga la propria attività con autonomia di giudizio e nel rispetto degli obblighi di riservatezza previsti dal decreto antiriciclaggio, anche nei confronti degli esponenti e delle altre funzioni aziendali.

Il ruolo del responsabile delle SOS è adeguatamente formalizzato e reso noto all'interno della struttura e presso la rete distributiva. La nomina e la revoca del medesimo responsabile sono comunicate tempestivamente alla UIF con le modalità dalla stessa indicate.

Il responsabile delle SOS non ha responsabilità dirette in aree operative nè è gerarchicamente dipendente da soggetti appartenenti a queste aree. La delega non può essere conferita al responsabile della funzione di revisione interna nè a soggetti esterni al destinatario, salvo quanto previsto per i gruppi (cfr. Parte Quarta, Sezione III). Presso i destinatari di rilevanti dimensioni la delega può essere attribuita a più di un soggetto, con individuazione di criteri che assicurino il coordinamento e la condivisione delle informazioni tra i delegati.

In base alle procedure organizzative interne, compete al responsabile delle SOS:

a) valutare tempestivamente, alla luce di tutti gli elementi disponibili, le operazioni sospette comunicate dal responsabile della dipendenza o di altro punto operativo o unità organizzativa o struttura competente alla gestione concreta dei rapporti con la clientela (cd. primo livello);

b) valutare tempestivamente, alla luce di tutti gli elementi disponibili, le operazioni sospette di cui sia altrimenti venuto a conoscenza nell'ambito della propria attività;

c) trasmettere alla UIF le segnalazioni ritenute fondate, omettendo l'indicazione dei nominativi dei soggetti coinvolti nella procedura di segnalazione dell'operazione;

d) mantenere evidenza delle valutazioni effettuate nell'ambito della procedura, anche in caso di mancato invio della segnalazione alla UIF.

Il responsabile delle segnalazioni: acquisisce ogni informazione utile dalla struttura che svolge il primo livello di analisi delle operazioni anomale e dal responsabile antiriciclaggio, ove i due soggetti non coincidano; ha libero accesso ai flussi informativi diretti agli organi e alle strutture aziendali significativi per la prevenzione e il contrasto del riciclaggio (es., richieste pervenute dall'autorità giudiziaria o dagli organi investigativi); utilizza nelle valutazioni anche eventuali elementi desumibili da fonti informative liberamente accessibili. Il responsabile delle SOS è tenuto a conoscere e applicare con rigore ed efficacia istruzioni, schemi e indicatori emanati dalla UIF; svolge un ruolo di interlocuzione con la UIF e corrisponde tempestivamente alle eventuali richieste di approfondimento provenienti dalla stessa.

Il responsabile delle SOS comunica, con modalità organizzative idonee ad assicurare il rispetto degli obblighi di riservatezza previsti dal decreto antiriciclaggio, l'esito della propria valutazione al soggetto responsabile di primo livello che ha dato origine alla segnalazione.

Nel rispetto degli obblighi di riservatezza previsti dal decreto antiriciclaggio sull'identità dei soggetti che prendono parte alla procedura di segnalazione delle operazioni, il responsabile delle SOS fornisce - anche attraverso l'utilizzo di idonee basi informative - informazioni sui nominativi dei clienti oggetto di segnalazione di operazioni sospette ai responsabili delle strutture competenti per l'attribuzione o l'aggiornamento del profilo di rischio dei clienti stessi.

Sezione III. La funzione di revisione interna

La funzione di revisione interna verifica in modo continuativo il grado di adeguatezza dell'assetto organizzativo aziendale e la sua conformità rispetto alla disciplina di riferimento e vigila sulla funzionalità del complessivo sistema dei controlli interni.

La funzione attraverso controlli sistematici, anche di tipo ispettivo, verifica tra l'altro:

- il costante rispetto dell'obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto sia nello svilupparsi nel tempo della relazione;

- l'effettiva acquisizione e l'ordinata conservazione dei dati e dei documenti, secondo quanto previsto dalla normativa;

- l'effettivo grado di coinvolgimento del personale nonchè dei responsabili delle strutture centrali e periferiche, nell'attuazione degli obblighi di comunicazione e segnalazione.

Gli interventi, a distanza e ispettivi, sono oggetto di pianificazione per consentire che tutte le strutture operative periferiche e centrali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti nei confronti delle strutture maggiormente esposte ai rischi di riciclaggio nonchè con riferimento ai rapporti con profilo di rischio alto.

La funzione di revisione interna svolge interventi di follow-up per assicurarsi dell'avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità a evitare analoghe situazioni.

La funzione di revisione interna riporta, almeno annualmente, agli organi aziendali informazioni sull'attività svolta e sui suoi esiti, fermo restando il rispetto degli obblighi di riservatezza previsti dal decreto antiriciclaggio.

Se giustificato in base al principio di proporzionalità, la responsabilità della funzione può essere attribuita a un amministratore, purchè sia destinatario di specifiche deleghe in materia di controlli e non sia destinatario di altre deleghe che ne pregiudichino l'autonomia, salvo il caso dell'amministratore unico.

Sezione IV. Presidi in materia di rete distributiva e mediatori

Per i servizi offerti attraverso reti di agenti in attività finanziaria, consulenti finanziari, soggetti convenzionati e agenti (8) o altri soggetti legati al destinatario da vincoli contrattuali (nel prosieguo "rete distributiva"), il destinatario adotta le precauzioni necessarie ad assicurare il rispetto delle disposizioni in materia di contrasto al riciclaggio da parte della rete distributiva.

A tal fine, il destinatario:

- indica, nell'ambito dei contratti di collaborazione stipulati con gli addetti alla rete distributiva, le regole di condotta a fini antiriciclaggio che essi devono seguire nello svolgimento dell'attività per conto del destinatario;

- fornisce agli addetti alla rete distributiva gli strumenti operativi e le procedure, anche informatiche, che li assistano nell'esecuzione delle operazioni e dei relativi adempimenti a fini antiriciclaggio;

- appronta programmi di formazione specifici e periodici a favore della rete distributiva, affinchè gli addetti abbiano una conoscenza adeguata della normativa e delle connesse responsabilità e siano in grado di utilizzare consapevolmente strumenti e procedure di ausilio nell'esecuzione degli adempimenti;

- monitora costantemente il rispetto da parte della rete distributiva delle regole di condotta antiriciclaggio stabilite dalla normativa e in sede contrattuale;

- effettua verifiche periodiche presso i punti operativi degli addetti alla rete distributiva.

Quando è richiesta una verifica rafforzata della clientela in ragione del più elevato rischio di riciclaggio, il destinatario interviene a supporto della rete distributiva nell'adempimento degli obblighi previsti dall'articolo 25 del decreto antiriciclaggio.

Nel caso di intervento di un mediatore creditizio, il destinatario può avvalersi dei dati e delle informazioni già raccolti dal mediatore, verificando la correttezza degli adempimenti compiuti per l'identificazione della clientela e controllando che il flusso informativo sia tempestivamente trasmesso ai fini degli obblighi di conservazione. Il destinatario interrompe ogni rapporto con il mediatore se ha accertato gravi inadempimenti da parte di questo nell'esecuzione degli obblighi antiriciclaggio.

Le eventuali convenzioni stipulate tra il destinatario e i mediatori indicano le regole di condotta antiriciclaggio cui questi devono attenersi nell'esercizio della propria attività; inoltre, prevedono che i mediatori partecipino periodicamente ad adeguate iniziative di formazione ed aggiornamento.

Sezione V. La formazione del personale

Un'efficace applicazione della normativa antiriciclaggio presuppone la piena consapevolezza delle sue finalità, dei relativi principi, degli obblighi e delle responsabilità aziendali.

I destinatari realizzano programmi di addestramento e di formazione del personale sugli obblighi previsti dalla normativa antiriciclaggio.

L'addestramento e la formazione assicurano una specifica preparazione del personale a più diretto contatto con la clientela o comunque coinvolto nel processo di segnalazione di operazioni sospette nonchè di quello addetto alla funzione antiriciclaggio. A questi membri del personale è richiesto un continuo aggiornamento sull'evoluzione dei rischi di riciclaggio e sugli schemi tipici delle operazioni finanziarie criminali.

L'attività di addestramento e formazione del personale è svolta con continuità e sistematicità, nell'ambito di programmi organici; annualmente è sottoposta all'approvazione dell'organo con funzione di gestione una relazione in ordine all'attività di addestramento e formazione in materia di normativa antiriciclaggio.

Nel caso di ricorso a un fornitore esterno, il responsabile antiriciclaggio accerta che i soggetti cui sia affidato lo svolgimento dell'attività formativa possiedano le conoscenze in materia di antiriciclaggio richieste per garantire la qualità della formazione e che il contenuto di questa sia adeguato alle specificità del destinatario.

I destinatari assicurano che le procedure di segnalazione interna delle violazioni di cui all'art. 48 del decreto antiriciclaggio siano portate a conoscenza di tutto il personale. Questo compito è attribuito al responsabile antiriciclaggio oppure, in conformità con le disposizioni di vigilanza della Banca d'Italia applicabili, può essere assegnato a un soggetto diverso a condizione che ne sia assicurato il corretto ed efficace svolgimento.

PARTE QUARTA

DISPOSIZIONI APPLICABILI AI GRUPPI

Sezione I. Disposizioni generali

Nei gruppi gli indirizzi strategici in materia di gestione del rischio di riciclaggio e controlli antiriciclaggio sono adottati dagli organi aziendali della capogruppo. La capogruppo nomina un componente dell'organo di amministrazione quale esponente responsabile per l'antiriciclaggio a livello di gruppo. L'incarico ha natura esecutiva. Alle condizioni previste nella Parte Seconda, Sezione III-bis, l'incarico può essere attribuito al direttore generale.

L'esponente responsabile per l'antiriciclaggio costituisce il principale punto di contatto tra il responsabile della funzione antiriciclaggio di gruppo e gli organi con funzione di supervisione strategica e di gestione della capogruppo e assicura che questi ultimi abbiano le informazioni necessarie per comprendere pienamente la rilevanza dei rischi di riciclaggio cui il gruppo è esposto, ai fini dell'esercizio delle rispettive attribuzioni. L'esponente assicura che il responsabile della funzione antiriciclaggio di gruppo svolga in maniera efficace i propri compiti (cfr. Sezione II).

La capogruppo assicura che gli organi aziendali delle altre società appartenenti al gruppo attuino nella propria realtà aziendale le strategie e le politiche di gruppo in materia di antiriciclaggio e garantisce che gli organi aziendali e le strutture interne di ciascuna componente del gruppo, comprese le funzioni di controllo, dispongano delle informazioni necessarie per poter svolgere i relativi compiti. I gruppi, in particolare, sviluppano un approccio globale al rischio di riciclaggio. A tal fine, la capogruppo definisce e approva politiche e procedure di gruppo in materia di antiriciclaggio che includono:

a) una metodologia di gruppo per la valutazione dei rischi di riciclaggio conforme a quella indicata nella Parte Settima;

b) procedure formalizzate di coordinamento e condivisione delle informazioni rilevanti fra le società appartenenti al gruppo, anche ai fini della individuazione delle operazioni sospette, e una linea di riporto diretta tra i responsabili della funzione antiriciclaggio delle componenti, anche estere, del gruppo e il responsabile della funzione antiriciclaggio di gruppo;

c) standard generali in materia di adeguata verifica della clientela, conservazione dei dati e individuazione e segnalazione delle operazioni sospette;

d) procedure di controllo in materia di antiriciclaggio a livello di gruppo.

La capogruppo istituisce una base informativa comune che consenta a tutte le società appartenenti al gruppo di valutare in modo omogeneo la clientela.

La capogruppo individua le soluzioni organizzative idonee per assicurare il rispetto delle disposizioni applicabili in relazione ai diversi ambiti di operatività, valuta periodicamente l'efficacia e la funzionalità delle politiche e delle procedure del gruppo in materia di antiriciclaggio e assicura che la gestione dei rischi di riciclaggio tenga conto di tutti gli elementi di valutazione e misurazione in possesso delle singole componenti.

La capogruppo garantisce che le entità del gruppo attuino tempestivamente le misure correttive necessarie al superamento delle carenze nei presidi antiriciclaggio riscontrate dalla Banca d'Italia, dalla UIF ovvero, in relazione alle componenti estere, dalle competenti autorità.

Nei gruppi con operatività transfrontaliera, la capogruppo assicura che le procedure presso le succursali e le società del gruppo con sede in paesi terzi siano allineate agli standard di gruppo e consentano la condivisione delle informazioni nel gruppo, inclusa la notizia dell'avvenuta segnalazione di operazioni sospette, salvo il rispetto dei limiti imposti o degli specifici adempimenti previsti dall'ordinamento del paese ospitante.

Se l'ordinamento del paese ospitante non consente alle succursali e alle società del gruppo ivi stabilite di adeguarsi agli standard generali o di condividere le informazioni rilevanti con le altre società del gruppo, la capogruppo ne dà comunicazione alla Banca d'Italia nei termini e con le modalità previsti dal regolamento delegato della Commissione europea n. 2019/758, del 31 gennaio 2019, adottato ai sensi dell'articolo 45, paragrafo 7, della direttiva antiriciclaggio e adotta le ulteriori misure ivi indicate.

Sezione II. Il responsabile della funzione antiriciclaggio nei gruppi.

La capogruppo designa un responsabile della funzione antiriciclaggio di gruppo e, in coerenza con il principio di proporzionalità, istituisce una struttura organizzativa centrale con compiti operativi e di coordinamento a livello di gruppo in materia antiriciclaggio.

Il responsabile collabora con i responsabili delle funzioni antiriciclaggio delle singole componenti del gruppo, incluse quelle estere, e garantisce che questi svolgano i propri compiti in maniera coordinata e secondo politiche e procedure coerenti con quelle di gruppo. In particolare:

sovrintende all'esercizio di valutazione dei rischi di riciclaggio condotto dalle componenti del gruppo;

redige una valutazione dei rischi di riciclaggio di gruppo, tenendo conto dei rischi risultanti dagli esercizi individuali, delle interrelazioni tra le singole società del gruppo e del loro impatto sull'esposizione al rischio a livello di gruppo;

presenta agli organi aziendali della capogruppo una relazione annuale, sull'esposizione ai rischi di riciclaggio e sulle attività della funzione antiriciclaggio a livello di gruppo;

elabora e sottopone agli organi aziendali della capogruppo procedure, metodologie e standard di gruppo in materia antiriciclaggio e garantisce che le politiche e le procedure delle componenti del gruppo siano in linea con questi standard oltre che conformi alle disposizioni legislative e regolamentari in materia antiriciclaggio loro applicabili;

stabilisce flussi informativi periodici da parte di tutte le società del gruppo per la condivisione delle informazioni necessarie allo svolgimento dei propri compiti.

Sezione III. La segnalazione delle operazioni sospette nei gruppi.

Le società del gruppo con sede in Italia possono conferire al responsabile delle segnalazioni di operazioni sospette della capogruppo o di altra società del gruppo con sede in Italia la delega di cui all'articolo 36 del decreto antiriciclaggio (cd. modello accentrato); ciascuna delega è adeguatamente formalizzata e resa nota all'interno del gruppo, nonchè tempestivamente comunicata alla UIF.

Se la delega è conferita, le operazioni da valutare sono trasmesse al delegato di gruppo in base ad una procedura caratterizzata da un limitato numero di livelli intermedi di analisi delle stesse; va assicurata celerità, riservatezza e facilità di confronto tra il responsabile di primo livello e il delegato.

Quest'ultimo acquisisce, direttamente o per il tramite delle strutture di volta in volta individuate presso le altre società del gruppo, tutte le informazioni utili in possesso delle stesse; il delegato di gruppo informa dell'esito della propria valutazione il responsabile di primo livello della società del gruppo che ha avviato la procedura di segnalazione.

I gruppi che, per dimensioni o articolazione strutturale, presentano maggiore complessità, possono designare più delegati di gruppo (es. ripartendo le deleghe per area geografica ovvero per tipologia di prodotto o servizio offerto), ma comunque in numero contenuto. In tali ipotesi, la capogruppo assicura:

a. criteri di ripartizione delle competenze univoci e coerenti, in modo da evitare incertezze, sovrapposizioni o lacune;

b. una funzione di coordinamento che garantisca l'omogeneità e la coerenza delle procedure e dei criteri di valutazione utilizzati;

c. un'interlocuzione unitaria con le Autorità e, in particolare, con la UIF;

d. la condivisione tra i delegati di gruppo del patrimonio informativo aziendale, ai fini di un pieno utilizzo delle informazioni disponibili;

e. l'accesso di ciascun delegato alle segnalazioni effettuate e a quelle valutate come non meritevoli di trasmissione o in corso di valutazione da parte di altri delegati.

Il responsabile delle SOS di gruppo, ai fini dell'approfondimento delle operazioni e dei rapporti anomali in un'ottica di gruppo: i) può acquisire informazioni dalle società del gruppo, anche di quelle che non hanno conferito la delega; ii) fornisce ai responsabili delle SOS delle società del gruppo le informazioni rilevanti sulla clientela comune.

La capogruppo assicura che le società del gruppo con sede in Italia o in un altro Stato comunitario consentano in ogni caso al responsabile delle SOS della capogruppo o di gruppo l'accesso alle informazioni attinenti alle segnalazioni trasmesse e a quelle ritenute infondate, corredate della motivazione della decisione.

Ai sensi dell'articolo 38 del decreto antiriciclaggio, l'accesso alle informazioni avviene con modalità volte a garantire la riservatezza dell'identità dei soggetti che partecipano alla procedura di segnalazione.

PARTA QUINTA

DISPOSIZIONI PER SPECIFICHE ATTIVITA'

Sezione I. Servizio di rimessa di denaro (cd. "money transfer")

L'attività di money transfer è particolarmente vulnerabile al rischio di riciclaggio in ragione dell'estesa ramificazione territoriale, dell'occasionalità e della spersonalizzazione del rapporto con il cliente, della prevalente operatività transfrontaliera, dell'elevato ricorso al contante per l'effettuazione delle operazioni.

I destinatari che prestano l'attività di money transfer si dotano di idonee procedure informatiche che consentano di:

- monitorare in tempo reale le operazioni effettuate e individuare eventuali operazioni anomale o frazionate con riferimento ai nominativi del richiedente e del beneficiario del trasferimento dei fondi;

- bloccare automaticamente le transazioni anomale, quando necessario;

- aggiornare le liste dei soggetti destinatari di sanzioni finanziarie internazionali con una frequenza idonea a garantire il tempestivo rispetto degli adempimenti previsti dal decreto legislativo 22 giugno 2007, n. 109.

Sezione II. Dati informativi relativi ai trasferimenti di fondi

Il Regolamento (UE) 2015/847 individua le informazioni sull'ordinante e sul beneficiario che devono essere contenute nei messaggi di pagamento (es. bonifici) e richiede ai prestatori di servizi di pagamento di dotarsi di procedure in grado di individuare i pagamenti privi delle necessarie informazioni e di determinare quando eseguire, rigettare o sospendere un trasferimento di fondi.

Gli Orientamenti congiunti delle Autorità di vigilanza europee, adottati in attuazione del Regolamento (UE) 2015/847, contengono indicazioni per agevolare gli intermediari nell'assolvimento del compito di: i) individuare i trasferimenti di fondi che rientrano nel perimetro di applicazione del Regolamento (UE) 2015/847; ii) sviluppare e mantenere procedure efficaci per individuare i trasferimenti privi delle informazioni necessarie; iii) identificare i fattori di rischio di riciclaggio da tenere in considerazione per decidere se eseguire, rigettare o sospendere un trasferimento di fondi privo delle informazioni previste.

I destinatari tenuti all'applicazione del Regolamento (UE) 2015/847 si dotano di procedure e adottano le misure previste dagli Orientamenti congiunti.

I destinatari inviano alla Banca d'Italia le segnalazioni previste dai paragrafi 52, 53, 54 e 55 degli Orientamenti.

Sezione III. Società fiduciarie iscritte nella sezione separata dell'albo di cui all'articolo 106 del TUB

L'attività delle società fiduciarie iscritte nella sezione separata dell'albo previsto dall'articolo 106 del TUB, che comprende tra l'altro l'amministrazione di patrimoni e l'intestazione fiduciaria di pacchetti azionari, è vulnerabile al rischio di riciclaggio, in quanto potenzialmente idonea a limitare la trasparenza della proprietà o della gestione di determinati beni.

Le società assicurano che, nell'adempimento degli obblighi antiriciclaggio, siano coinvolte tutte le strutture operative e le funzioni aziendali, in coerenza con l'attività svolta in via prevalente dalla società, con il profilo e le caratteristiche della clientela, con le diverse tipologie di beni conferiti in amministrazione fiduciaria.

Le peculiarità del rapporto tra società fiduciarie e clientela richiedono una specifica attenzione al momento della relativa instaurazione, potendo in tale fase emergere elementi rilevanti ai fini dell'individuazione di anomalie.

Misure di adeguata verifica calibrate sull'intera durata del rapporto rendono necessario che le società adottino strumenti informativi in grado di organizzare ed elaborare, anche in forma sintetica, tutti i dati utili per monitorare con la massima efficacia ogni concreto profilo di rischio: informazioni essenziali su ciascun cliente (capacità economica, attività professionale, profilo economico e finanziario, ecc.); motivi del ricorso all'amministrazione fiduciaria; eventuali operazioni inusuali poste in essere; eventuali incongruenze rispetto al profilo economico o professionale, da valutare secondo parametri sia quantitativi (importo e frequenza delle operazioni) sia qualitativi (tipologia e caratteristiche di utilizzo dei servizi).

Particolare attenzione va posta alle operazioni condotte e concluse autonomamente dal fiduciante, senza l'intervento o il preventivo assenso della società fiduciaria (cd. operazioni "franco valuta"), anche nel caso in cui queste operazioni vengano perfezionate attraverso il sistema bancario. Le società, in sede di stipula del contratto fiduciario, concordano per iscritto con il cliente modalità atte a ottenere la tempestiva comunicazione di tali operazioni, nonchè misure idonee ad assicurarne la valutazione da parte delle società fiduciarie e la necessaria trasparenza informativa ai fini del rispetto della normativa antiriciclaggio.

PARTA SESTA

ULTERIORI DISPOSIZIONI PER GLI INTERMEDIARI TENUTI ALL'ISTITUZIONE DEL PUNTO DI CONTATTO CENTRALE

Sezione I - Premessa

Ai sensi della direttiva antiriciclaggio, i prestatori di servizi di pagamento e gli istituti di moneta elettronica aventi sede legale in uno Stato membro che operano in un altro Stato UE possono, al ricorrere di alcune condizioni, considerarsi stabiliti in quest'ultimo, pur senza una succursale. In questi casi, essi devono applicare la disciplina antiriciclaggio dello Stato ospitante.

Lo Stato ospitante può richiedere ai prestatori di servizi di pagamento e agli istituti di moneta elettronica di istituire un punto di contatto centrale, nel rispetto delle condizioni individuate con regolamento delegato (UE) n. 1108 del 2018. Al punto di contatto sono assegnati i compiti previsti dallo stesso regolamento delegato.

In attuazione della disciplina europea, il decreto antiriciclaggio ha: i) incluso tra i destinatari della disciplina italiana i prestatori di servizi di pagamento e gli istituti di moneta elettronica aventi sede legale e amministrazione centrale in un altro Stato membro che operano in Italia con uno o più soggetti convenzionati e agenti; ii) imposto l'obbligo ai soggetti sub i) di istituire un punto di contatto centrale.

Ai sensi dell'articolo 43, comma 4, del decreto antiriciclaggio, alla Banca d'Italia è attribuito il potere di adottare disposizioni sui requisiti, le procedure, i sistemi di controllo e le funzioni del punto di contatto centrale, in coerenza con le previsioni del regolamento delegato (UE) n. 1108/2018.

Sezione II - Nomina e compiti del punto di contatto centrale

Il destinatario assegna le funzioni del punto di contatto centrale a una propria articolazione organizzativa (es. un ufficio privo di rapporti con la clientela) ovvero a una società o a un ente insediati in Italia. Le funzioni del punto di contatto centrale non possono essere attribuite ad una persona fisica. Il destinatario che opera in Italia anche attraverso una succursale designa quest'ultima come punto di contatto centrale in relazione all'attività da esso svolta in Italia per il tramite di soggetti convenzionati e agenti.

Il destinatario elegge domicilio presso il punto di contatto centrale per tutti gli atti, gli obblighi e gli effetti previsti dal decreto antiriciclaggio e dalle relative disposizioni attuative.

Ai sensi del regolamento delegato, il punto di contatto centrale svolge i compiti previsti da:

- gli articoli 4 e 5 del regolamento delegato. In particolare, ai sensi dell'articolo 4, lettera f), il punto di contatto centrale rappresenta il destinatario nelle comunicazioni con la Banca d'Italia e la UIF;

- l'articolo 6, paragrafo 1, del regolamento delegato (9).

Il destinatario assicura che presso il punto di contatto centrale siano disponibili la documentazione, le informazioni e i dati necessari a comprovare il rispetto degli obblighi antiriciclaggio, incluso l'obbligo di adeguata verifica della clientela, ai fini delle verifiche di competenza della Banca d'Italia e della UIF.

Il destinatario può assolvere attraverso il punto di contatto centrale compiti e funzioni ulteriori in materia antiriciclaggio.

Sezione III - Assetti organizzativi del punto di contatto centrale

Il destinatario individua la forma giuridica e organizzativa, le procedure e i sistemi di controllo del punto di contatto centrale idonee a mitigare e gestire i rischi di riciclaggio cui è esposta la propria operatività in Italia. A tal fine, tiene conto dei risultati dell'esercizio di autovalutazione condotto dal punto di contatto centrale ai sensi della Parte Settima.

Il destinatario istituisce presso il punto di contatto centrale tutte le funzioni e le procedure necessarie allo svolgimento dei compiti indicati nella Sezione II.

Il destinatario dota il punto di contatto centrale di risorse quantitativamente e qualitativamente adeguate, per competenze tecnico-professionali e in termini fmanziari, in relazione ai compiti da svolgere, alla dimensione e complessità della rete di soggetti convenzionati e agenti di cui si avvale, all'esposizione al rischio di riciclaggio degli specifici servizi offerti.

Il destinatario attribuisce il ruolo di responsabile del punto di contatto centrale a una persona fisica in possesso dei requisiti previsti per il responsabile antiriciclaggio e ne comunica il nominativo alla Banca d'Italia e alla UIF. Ai sensi dell'articolo 36, comma 6, del decreto antiriciclaggio, il responsabile del punto di contatto centrale è anche responsabile delle segnalazioni di operazioni sospette. Il responsabile del punto di contatto centrale può essere nominato responsabile antiriciclaggio.

Il destinatario assicura che presso il punto di contatto centrale siano approntate strutture e procedure adeguate affinchè il punto di contatto centrale possa analizzare e valutare autonomamente tutte le operazioni effettuate in Italia dal destinatario e individuare quelle potenzialmente sospette. A tal fine, il punto di contatto centrale tiene conto delle informazioni rilevanti che i soggetti convenzionati e gli agenti sono tenuti a comunicare allo stesso punto di contatto centrale ai sensi dell'articolo 44, comma 1, lettera c), del decreto antiriciclaggio. Per l'assolvimento degli obblighi di segnalazione, il destinatario mette a disposizione del punto di contatto centrale le informazioni rilevanti in suo possesso.

Il destinatario dota il punto di contatto centrale di idonee procedure, anche di tipo informatico, per:

a. la trasmissione delle comunicazioni da parte di soggetti convenzionati e agenti di cui all'articolo 44, comma 1, del decreto antiriciclaggio;

b. lo svolgimento dell'adeguata verifica della clientela, ove tale compito sia assolto per il tramite del punto di contatto centrale;

c. la conservazione dei documenti, dei dati e delle informazioni;

d. il controllo a distanza e il monitoraggio delle operazioni effettuate presso i soggetti convenzionati o agenti operativi in Italia;

e. la trasmissione alle Autorità competenti di dati, comunicazioni o informazioni periodiche o a evento, incluse quelle di cui all'articolo 45, comma 2, del decreto antiriciclaggio; a tal fine, il punto di contatto centrale gestisce, per conto del destinatario, le eventuali credenziali di accesso ai sistemi e alle piattaforme di trasmissione dei dati.

PARTE SETTIMA

LA VALUTAZIONE DEI RISCHI DI RICICLAGGIO

Sezione I. Principi generali

Ai sensi dell'articolo 15 del decreto antiriciclaggio, i destinatari conducono un'autovalutazione del rischio di riciclaggio cui sono esposti e adottano procedure conformi ai criteri e alle metodologie della presente Parte.

L'autovalutazione è condotta sulla base di una metodologia che comprende le seguenti macro-attività:

a. identificazione del rischio inerente: i destinatari identificano i rischi attuali e potenziali cui sono esposti, tenendo in considerazione anche gli elementi forniti da fonti informative esterne;

b. analisi delle vulnerabilità: i destinatari analizzano l'adeguatezza dell'assetto organizzativo, dei presidi di prevenzione e monitoraggio rispetto ai rischi precedentemente identificati al fine di individuare eventuali vulnerabilità;

c. determinazione del rischio residuo: i destinatari valutano il livello di rischio cui sono esposti in ragione del livello di rischio inerente e della robustezza dei presidi di mitigazione;

d. azione di rimedio: i destinatari realizzano appropriati interventi correttivi a fronte delle eventuali criticità esistenti e per l'adozione di opportune misure di prevenzione e mitigazione del rischio di riciclaggio.

[I confidi sono esentati dall'obbligo di condurre l'autovalutazione prevista dalla presente Parte.] (capoverso eliminato) (2)

La Banca d'Italia fornisce, con apposite comunicazioni, indicazioni di maggiore dettaglio relative a singole tipologie di intermediario per la conduzione dell'esercizio di autovalutazione.

Sezione II. Modalità di conduzione dell'esercizio

L'autovalutazione è svolta valutando l'esposizione al rischio di coinvolgimento in fenomeni di riciclaggio per ogni linea di business considerata rilevante. I criteri per l'individuazione delle linee di business sono definiti dai destinatari in ragione della propria natura, organizzazione, specificità e complessità operativa, tenendo in considerazione i fattori di rischio elencati nella Sezione III. Per i soggetti caratterizzati da minore complessità operativa, la segmentazione in linee di business può tenere conto del principio di proporzionalità.

Il documento di autovalutazione dà conto delle ragioni che hanno portato all'individuazione delle specifiche linee di business e del peso attribuito a ciascuna linea rispetto all'operatività complessiva.

Sezione III. Individuazione del rischio inerente

Nella valutazione dei rischi di riciclaggio, i destinatari considerano almeno i fattori di rischio relativi ai seguenti aspetti:

a. operatività: il volume e l'ammontare delle transazioni e l'operatività tipica;

b. prodotti e servizi: i prodotti e servizi offerti e il mercato di riferimento;

c. clientela: la tipologia di clientela, con particolare riguardo ai clienti classificati ad alto rischio;

d. canali distributivi: i canali distributivi utilizzati per l'apertura e il mantenimento dei rapporti e per la vendita di prodotti e servizi;

e. area geografica e paesi di operatività: il rischio geografico è valutato con riferimento alla clientela, all'eventuale presenza nell'area geografica di succursali o società del gruppo nonchè all'operatività posta in essere con l'estero.

Per ciascuna delle linee di business è identificato il livello di rischio inerente determinato in base agli elementi di valutazione sopra indicati, da esprimere con un giudizio in una scala di quattro valori. L'attribuzione del livello di rischio inerente è accompagnata dalla descrizione degli elementi di valutazione (dati e informazioni) considerati, delle analisi svolte e delle motivazioni relative alle scelte effettuate.

Ai fini della valutazione, i destinatari si avvalgono anche delle informazioni rivenienti da fonti esterne, tra le quali: gli esercizi di valutazione del rischio di riciclaggio condotti a livello nazionale ed europeo (10); i rapporti di valutazione reciproca adottati dal Gruppo di Azione Finanziaria Internazionale o da analoghi organismi internazionali; i regolamenti comunitari o i decreti emanati dal Ministro dell'Economia e delle Finanze ai sensi del decreto legislativo 22 giugno 2007 n. 109 a carico di persone e enti associati ad attività di finanziamento del terrorismo o adottati nell'ambito del contrasto dell'attività di Paesi che minacciano la pace e la sicurezza internazionale; gli esiti dell'attività di vigilanza e controllo da parte delle Autorità competenti.

Sezione IV. Individuazione delle vulnerabilità

I destinatari adottano politiche e procedure atte a mitigare i rischi di riciclaggio identificati nella fase di individuazione del rischio inerente (Sezione III); successivamente alla determinazione dell'intensità del rischio inerente, per ciascuna delle linee di attività è valutato il livello di vulnerabilità dei presidi, da esprimere con un giudizio in una scala di quattro valori.

Nell'effettuare questa valutazione, i destinatari prendono in considerazione le indicazioni e le valutazioni provenienti dalle funzioni aziendali di controllo.

L'attribuzione del livello di vulnerabilità è accompagnata da una sintetica illustrazione dei presidi in essere e dalla descrizione dei punti di debolezza eventualmente individuati, con l'esplicitazione delle motivazioni che hanno determinato il punteggio. La determinazione del livello di vulnerabilità individuato tiene conto di quanto riscontrato dalla Banca d'Italia nell'effettuazione dei propri controlli di vigilanza.

Sezione V. Determinazione del livello di rischio residuo

La combinazione dei giudizi di rischio inerente e di vulnerabilità per ogni linea di business determina, in base alla matrice di seguito illustrata, l'attribuzione della fascia di rischio residuo della linea di business, secondo una scala di quattro valori. Il livello di rischio residuo complessivo è determinato dai valori di rischio residuo delle singole linee di business individuate, ponderate secondo il peso attribuito a ciascuna linea.

Sezione VI. Matrice di determinazione del rischio residuo

Sezione VII. Azione di rimedio

Una volta determinato il livello di rischio residuo delle linee di business e quello complessivo, i destinatari individuano le iniziative correttive o di adeguamento da adottare per prevenire e mitigare i rischi residui; l'attribuzione del livello di rischio residuo è accompagnata dalla descrizione degli elementi di valutazione considerati, delle analisi poste in essere e delle iniziative correttive o di adeguamento individuate.

Le azioni di rimedio sono proposte dall'organo con funzione di gestione, tenuto conto delle indicazioni contenute nella relazione annuale della funzione antiriciclaggio, e approvate dall'organo con funzione di supervisione strategica. Le misure di adeguamento sono attuate dall'organo con funzione di gestione, per il tramite della funzione antiriciclaggio.

La funzione antiriciclaggio verifica nel continuo l'idoneità delle misure adottate per assicurare un adeguato presidio dei rischi di riciclaggio.

La presente Sezione si applica anche nel caso di aggiornamento o integrazione dell'esercizio di autovalutazione (cfr. Sezione VIII).

Sezione VIII. Tempi e modalità di conduzione dell'esercizio

L'esercizio di autovalutazione è aggiornato con cadenza annuale dalla funzione antiriciclaggio ed è trasmesso alla Banca d'Italia entro il 30 aprile dell'anno successivo a quello di riferimento della valutazione (cfr. Parte Terza, Sezione I).

In caso di apertura di nuove linee di business, la funzione antiriciclaggio conduce l'autovalutazione per le nuove linee.

L'esercizio è tempestivamente aggiornato quando emergono nuovi rischi di rilevante entità o si verificano mutamenti significativi nei rischi esistenti, nell'operatività o nella struttura organizzativa o societaria.

Nei gruppi, la capogruppo coordina l'esercizio svolto da ciascuna delle società appartenenti al gruppo e conduce un esercizio di autovalutazione di gruppo.

ALLEGATO

Schema della relazione annuale prodotta dalla funzione antiriciclaggio

1. Descrizione e collocazione della funzione antiriciclaggio nell'organizzazione aziendale (o del gruppo), comprensiva delle modifiche intervenute nell'anno, delle risorse umane e tecniche assegnate e dei processi esternalizzati.

2. Attività della funzione antiriciclaggio nel periodo di riferimento, eventuali disfunzioni accertate e relative azioni correttive nei settori:

a. dell'adeguata verifica e della profilatura della clientela. In tale ambito, specifici ragguagli vanno forniti circa: eventuali ritardi nel completamento dell'attività di adeguata verifica, ivi compresa la mancata individuazione del titolare effettivo; la distribuzione della clientela (in termini assoluti e in percentuale su quella esistente) tra le diverse classi di rischio;

b. della conservazione dei dati;

c. del processo di individuazione e segnalazione delle operazioni sospette (indicando il numero di segnalazioni inviate alla UIF nell'anno e di quelle valutate e archiviate);

d. dell'identificazione e dell'applicazione delle sanzioni finanziarie internazionali antiterrorismo e contro la proliferazione delle armi di distruzione di massa.

3. Esercizio di autovalutazione dei rischi di riciclaggio.

4. Iniziative di adeguamento definite alla luce delle risultanze dell'esercizio di autovalutazione dei rischi di riciclaggio e relativo stato di avanzamento.

5. Attività formative realizzate nel periodo di riferimento e pianificate per l'anno successivo.

6. Eventuali problematiche specifiche dell'intermediario e altre notizie rilevanti.

7. Piano di attività della funzione antiriciclaggio per l'anno successivo.

8. Numero dei rapporti con clienti chiusi a causa di anomalie relative all'antiriciclaggio.

9. Eventuali disfunzioni accertate da altre funzioni di controllo interno e misure correttive attuate.

10. Comunicazioni intercorse con l'autorità di vigilanza, comprese le sanzioni imposte e le azioni correttive da questa richieste.

11. Numero di richieste di informazioni pervenute dall'UIF, dall'autorità giudiziaria e da organi investigativi e di polizia.

In caso di società fiduciarie iscritte nella sezione separata dell'albo dell'articolo 106 del TUB, la relazione della funzione antiriciclaggio, oltre alle informazioni di cui sopra, fornisce dettagliate indicazioni in merito a:

i. i canali di acquisizione della clientela, con particolare riguardo alla periodicità e all'esito delle verifiche effettuate sull'eventuale rete distributiva nel periodo di riferimento e agli interventi adottati;

ii. la presenza di soggetti che abbiano ricevuto più di tre deleghe ad operare in relazione a differenti mandati fiduciari.

__________________________________ 

(1) Le disposizioni di cui alla Parte Seconda e alla Parte Settima, sezione VII, trovano applicazione con riferimento agli esponenti delle succursali.

(2) Le disposizioni di cui alla Parte Seconda non si applicano ai destinatari di cui alla lettera j).

[(3) Il riferimento è da intendersi ai confidi previsti dall'articolo 155 del T.U., nel testo precedente all'entrata in vigore del Titolo III del d.lgs. 141/2010.] (nota eliminata) (3)

(4) Tutti gli obblighi contenuti nel decreto antiriciclaggio sono previsti sia per il contrasto al riciclaggio sia per la lotta al finanziamento del terrorismo. Pertanto, nelle presenti disposizioni ogni riferimento alla finalità antiriciclaggio o al rischio di riciclaggio va sempre inteso come comprensivo anche della finalità di lotta al finanziamento del terrorismo o del rischio di finanziamento del terrorismo. I destinatari applicano i presidi di cui alle presenti disposizioni anche in chiave di contrasto al finanziamento dei programmi di sviluppo delle armi di distruzione di massa.

(5) Al fine di applicare le presenti disposizioni coerentemente con il principio di proporzionalità, i destinatari considerano almeno: il totale di bilancio, eventualmente consolidato; la presenza geografica e il volume di attività in ciascuna area; il numero dei dipendenti; la forma giuridica adottata e l'eventuale appartenenza ad un gruppo; i tipi di attività esercitate nonchè la loro natura e complessità; il modello di business scelto e le strategie adottate; il tipo di struttura organizzativa; la strategia complessiva predisposta per l'efficace gestione dei rischi; gli assetti proprietari e le modalità di finanziamento; il numero e la tipologia di clienti; la complessità dei prodotti e dei contratti; le attività esternalizzate e i canali di distribuzione utilizzati.

(6) Se la regolamentazione applicabile non prevede una distinzione tra la funzione di supervisione strategica e la funzione di gestione, si fa riferimento all'organo di amministrazione.

(6-bis) A titolo esemplificativo, possono costituire casi che giustificano l'attribuzione dell'incarico di esponente responsabile per l'antiriciclaggio al direttore generale le ipotesi di: assenza di esponenti esecutivi nell'organo di amministrazione; organi con pochi componenti; particolare onerosità, in termini di disponibilità di tempo, dell'attribuzione dell'incarico a esponenti esecutivi.

(6-ter) Resta salvo quanto previsto dal Decreto Ministeriale del 23 novembre 2020, n. 169.

(6-quater) L'offerta di prodotti o servizi nuovi e l'avvio di nuove operatività che possono incidere sull'esposizione al rischio di riciclaggio del destinatario sono accompagnati da adeguati presidi e misure volte a mitigare questo rischio.

(6-quinquies) Ai responsabili antiriciclaggio delle banche di maggiori dimensioni e complessità operativa, si applica quanto previsto dall'art. 20 del Decreto Ministeriale del 23 novembre 2020, n. 169.

(7) I destinatari assolvono agli obblighi di comunicazione attraverso la procedura segnalazione organi sociali (cd. OR.SO.) disciplinata dalla Comunicazione della Banca d'Italia del 7 giugno 2011, quando applicabile.

(8) I prestatori di servizi di pagamento e gli istituti di moneta elettronica italiani e i prestatori di servizi di pagamento o istituti di moneta elettronica comunitari stabiliti sul territorio della Repubblica sono tenuti a rispettare anche le specifiche previsioni del Capo V del decreto antiriciclaggio in relazione all'attività svolta attraverso uno o più "soggetti convenzionati e agenti".

(9) In base al regolamento delegato, gli Stati membri possono assegnare al punto di contatto centrale il compito di analisi e segnalazione delle operazioni sospette. Questa opzione è stata esercitata dal decreto antiriciclaggio che assegna al punto di contatto centrale compiti di valutazione, analisi e segnalazione delle operazioni sospette alla UIF (cfr. articoli 36, comma 6, e 44, comma 1, lettera c), del decreto).

(10) Si fa riferimento al rapporto recante la valutazione dei rischi di riciclaggio che gravano sul mercato dell'Unione europea (cd. Supranational Risk Assessment Report) redatto dalla Commissione Europea e all'"Analisi nazionali del rischio" (cd. National Risk Assessment) condotta dal Comitato di Sicurezza Finanziaria.