Gli Orientamenti EBA in tema di AML/CFT compliance

SOMMARIO[*]: 1. Premessa: dalle “Guidelines on Internal Governance” alle “Guidelines on policies and procedures in relation to AML/CFT compliance management”; 2. La funzione di conformità AML/CFT negli orientamenti dell’EBA e gli aspetti generali del draft di agosto 2021; 3. Ruolo e responsabilità dell’organo di supervisione strategica in tema di AML/CFT compliance; 4. Ruolo e responsabilità dell’organo di gestione nell’ambito della funzione di management in tema di AML/CFT compliance; 5. Ruolo e responsabilità dell’AML/CFT compliance officer; 6. Organizzazione della funzione di AML/CFT compliance a livello di gruppo; 7. Considerazioni conclusive.

1. Premessa: dalle “Guidelines on Internal Governance” alle “Guidelines on policies and procedures in relation to AML/CFT compliance management”.

Il 2 agosto 2021 la European Bank Authority (di seguito “EBA”), ha posto in consultazione la bozza degli Orientamenti[1] in tema di politiche e procedure aziendali che gli intermediari dovrebbero adottare per assicurare la conformità alle disposizioni in materia di contrasto del riciclaggio e del finanziamento del terrorismo (d’ora innanzi AML/CFT) e, più in particolare, sul ruolo e sulle responsabilità del compliance officer previsto dall’articolo 8, paragrafo 4 lett. a, della Direttiva 2015/849[2].

L’avvio della consultazione, il cui temine finale è stato fissato al 2 novembre 2021, segue di circa un mese la pubblicazione dell’ultimo aggiornamento degli Orientamenti EBA sulla governance interna, “EBA Guidelines on Internal Governance under Directive 2013/36/EU”[3], da applicarsi dal 31 dicembre 2021 ad integrazione della precedente versione risalente al 21 marzo 2018[4].

Quest’ultima conteneva, infatti, solo limitati riferimenti agli aspetti AML/CFT[5] e perseguiva la più ampia finalità di agevolare gli enti creditizi e le imprese di investimento nell’individuazione di dispositivi, processi e meccanismi di governance interna utili a garantire una gestione efficace e prudente dell’intermediario ai sensi della Direttiva 2013/36/UE (CRD IV)[6].

Al contrario, la più recente versione delle Guidelines on Internal Governance, aggiunge all’impianto precedentemente delineato ulteriori elementi finalizzati, più in generale, a promuovere il rafforzamento a livello aziendale di una corretta cultura del rischio (il c.d. sound risk management), ivi inclusi gli aspetti concernenti i fattori di rischio ML/TF[7].

In tale ambito, a parere dell’EBA, uno degli elementi che concorre ad agevolare l’organo di gestione nell’assunzione di scelte consapevoli è rappresentato dall’attuazione dell’articolo 46, paragrafo 4, della Direttiva 2015/849/UE secondo il quale “Gli Stati membri stabiliscono che, se del caso, i soggetti obbligati identifichino il membro dell’organo con funzioni di gestione responsabile dell’attuazione delle disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva”.

Sempre con riferimento alla policy aziendale in materia di AML/CFT, per la prima volta l’EBA evidenzia, nelle Guidelines on Internal Governance,l’opportunità che i soggetti vigilati istituiscano, fra i comitati a supporto dell’organo di gestione, anche un comitato AML/CFT i cui compiti, ambiti di responsabilità e procedure devono essere delineati dallo stesso organo di gestione[8].

Infine, sono proprio le Guidelines on Internal Governance a preannunciare la pubblicazione di ulteriori orientamenti nella specifica materia della “AML compliance”[9].

2. La funzione di conformità AML/CFT negli orientamenti dell’EBA e gli aspetti di carattere generale del draft di agosto 2021.

Il quadro delineato dalla Direttiva 2015/849 in tema di compliance AML/CFT prevede, dopo la nomina di un responsabile della conformità “a livello dirigenziale” (cfr. articolo 8, paragrafo 4, lett. a, in nota 2 del presente elaborato), l’opportunità che l’intermediario individui nell’ambito dell’organo di gestione “who is responsible for the implementation of the laws, regulations and administrative provisions necessary to comply with this Directive” (cfr. articolo 46, paragrafo 4)[10].

Dal canto suo, l’EBA attribuisce alla funzione di compliance, insieme a quella di risk management, il compito di “seconda linea di difesa”[11]: in tale ambito la prima delle funzioni citate deve farsi garante della conformità aziendale, attraverso lo svolgimento di una serie di attività riconducibili, sostanzialmente, a tre aree:

1. il monitoraggio del rispetto di quanto stabilito dalla normativa, ivi inclusa quella aziendale;
2. la prestazione di consulenza in tema di compliance nei confronti dell’organo di gestione;
3. la definizione di una policy aziendale e di procedure finalizzate alla gestione del rischio di non conformità[12] (cfr. figura 1).

Fig.1

Elaborazione dell’autore

Ciò premesso, l’EBA ha osservato una disomogenea applicazione da parte degli Stati membri, delle disposizioni unionali contenute nella Direttiva 2015/849, tale da determinare potenziali conseguenze negative per l’integrità del sistema finanziario dell’UE e ha postulato il raggiungimento da parte delle autorità competenti e degli operatori del settore finanziario di una “common understanding”[13].

Questa disomogeneità è riconducibile, a parere dell’EBA, alla limitata sensibilità del senior management rispetto alle problematiche AML/CFT: infatti, la ricerca ad ogni costo di elevati profitti ha relegato in secondo piano l’obbiettivo di strutturare un sistema aziendale che potesse assicurare, attraverso personale adeguatamente qualificato per i ruoli AML/CFT, un “robusto” livello di compliance[14].

Pertanto, la finalità dichiarata degli Orientamenti posti in consultazione ad agosto 2021 è quella di agevolare la realizzazione di una “common understanding”sul ruolo e sulle responsabilità:

1. del responsabile della conformità e
2. dell’organo di gestione[15] (cfr. figura 2).

Fig.2

Elaborazione dell’autore

In tale contesto, ai fini della corretta individuazione dell’organo di gestione o “management body” si deve fare riferimento alle definizioni contenute nella richiamata Direttiva 2013/36/EU (CRD IV) e nelle Guidelines on Internal Governance.

Al riguardo, la Direttiva 2013/36 stabilisce che con l’espressione “organo di gestione” si fa riferimento tanto all’organo dotato di funzioni esecutive quanto a quello di supervisione strategica”[16].

Più precisamente, con la generale locuzione “organo di gestione” la Direttiva 2013/36 (cfr. articolo 3, Definizioni, paragrafo 1, n.7) fa riferimento all’organo o agli organi che nell’ambito dell’intermediario destinatario degli obblighi AML/CFT dispongono, in base alla normativa nazionale, del potere di stabilire “gli indirizzi strategici, gli obiettivi e la direzione generale dell’ente, che supervisionano e monitorano le decisioni della dirigenza e comprendono le persone che effettivamente dirigono l’attività nel settore finanziario”.

Tale ampia definizione viene successivamente affinata, laddove si enuclea, sempre come propria dell’organo di gestione, l’attività di “supervisione strategica” definita come attività di “supervisione e monitoraggio delle decisioni della dirigenza” (cfr. Direttiva 2013/36, articolo 3, Definizioni, paragrafo 1, n. 8).

La stessa cosa accade nell’ambito del documento posto in consultazione ad agosto 2021, nel quale all’ampia definizione di organo di gestione o “management body” segue la distinzione fra il “management body in its supervisory function” cioè ciò che in azienda svolge funzioni di supervisione e di monitoraggio del processo decisionale e il “management body in its management function”[17] cui viene demandata lagestione quotidiana dell’intermediario[18].

Tra l’altro, l’assetto appena delineato si ritrova già declinato nel Provvedimento adottato dalla Banca d’Italia il 26 marzo 2019 in tema di organizzazione, procedure e controlli interni che gli intermediari devono adottare ai fini del contrasto del riciclaggio e del finanziamento del terrorismo, laddove, in estrema sintesi, all’organo con funzione di supervisione strategica è attribuito il compito di approvare e riesaminare periodicamente gli indirizzi strategici e le politiche di governo dei rischi connessi con il riciclaggio e di adeguare via, via, in aderenza all’approccio basato sul rischio, tali politiche all’entità e alla tipologia dei rischi come rappresentati nel documento di autovalutazione[19], mentre all’organo con funzione di gestione spetta l’attuazione degli indirizzi strategici e delle politiche di governo del rischio di riciclaggio attraverso l’adozione dei concreti interventi necessari ad assicurare l’efficacia dell’organizzazione e del sistema dei controlli antiriciclaggio[20].

Pertanto, il draft posto in consultazione dall’EBA ad agosto 2021, si focalizza su tre distinti argomenti principali:

• il ruolo dell’organo di gestione in relazione alle sue diverse competenze e articolazioni;
• il ruolo dell’AML/CFT compliance officer;
• l’organizzazione della funzione di AML/CFT compliance a livello di gruppo.

3. Ruolo e responsabilità dell’organo di supervisione strategica in tema di AML/CFT compliance

In tema di competenze in capo all’organo di gestione nell’esercizio della propria funzione di supervisione strategica, il documento posto in consultazione ad agosto 2021, dopo averne premesso i compiti e le responsabilità[21], sottolinea, senza lasciare spazio ad alcuna incertezza, la necessità che tale organo possegga “un’adeguata conoscenza collettiva, competenze ed esperienze per comprendere i rischi di ML/TF propri del settore finanziario, ivi inclusa la conoscenza del quadro giuridico e normativo nazionale in merito alla prevenzione di fenomeni di ML/TF”[22].

L’EBA pone, dunque, questa “conoscenza collettiva” alla base dell’effettivo svolgimento dell’attività di supervisione articolata sulle seguenti direttrici (cfr. figura 3):

1. comprensione delle informazioni contenute nella valutazione aziendale dei rischi ML/TF;
2. supervisione dell’attuazione ed efficacia della policy AML/CFT e delle relative procedure;
3. disamina, almeno annuale[23] del rapporto del responsabile della conformità AML/CFT;
4. valutazione, almeno annuale, dell’efficacia della funzione di conformità AML/CFT, con particolare riguardo all’adeguatezza delle risorse umane e tecniche assegnate al suo responsabile (AML/CFT compliance officer).

Fig.3

Elaborazione dell’autore

Le direttrici delineate poggiano, nell’ambito del framework prospettato dall’EBA su due pilastri:

I. la designazione di un membro dell’organo di gestione con funzione di referente per l’attuazione delle leggi, dei regolamenti e delle disposizioni amministrative in materia di AML/CFT.

Tale componente deve essere scelto – tenuto conto di potenziali conflitti di interesse – in base alla propria conoscenza e esperienza acquisita nel campo AML/CFT, tenuto conto del modello di business dell’intermediario[24]e deve poter disporre di tempo e risorse sufficienti per svolgere efficacemente il proprio incarico.

In tal modo il membro designato fungerà quale main contact point fra l’organo di gestione e l’AML/CFT compliance officer con il compito precipuo di assicurare che qualsiasi questione riguardante la compliance antiriciclaggio sia portata a conoscenza dell’organo di gestione, sia debitamente esaminata da quest’ultimo e, qualora fosse deciso di non adeguarsi alle indicazioni dell’AML/CFT compliance officer, ciò dovrebbe essere adeguatamente motivato e verbalizzato.

Fra i compiti del membro dell’organo di gestione designato come referente in tema di AML/CFT compliance, alcuni riguardano direttamente l’AML/CFT compliance officer: spetta, infatti, al menzionato membro dell’organo di gestione suggerire la nomina di uno specifico AML/CFT compliance officer e garantire che quest’ultimo abbia:

ì.   accesso diretto a tutte le informazioni necessarie per svolgere i propri compiti;

ìì.  risorse umane e strumenti tecnici sufficienti per poter svolgere adeguatamente i compiti assegnati;

iii.tempestive informazioni sui rilievi in materia di compliance evidenziati dai sistemi di controllo interno e sulle carenze nell’attuazione delle disposizioni AML/CFT eventualmente riscontrate dalle Autorità di vigilanza.

Inoltre, il referente ha il compito di consigliare l’organo di gestione in merito all’opportunità – tenuto conto della dimensione e complessità dell’intermediario – di istituire un’unità che segua specificamente le tematiche dell’AML/CFT compliance, dotata di personale competente nella cui scelta dovrebbe essere coinvolto lo stesso AML/CFT compliance officer[25].

II. l’accesso e la comprensione[26]da parte dell’organo di supervisione strategica, dei dati e delle informazioni per adempiere in maniera effettiva ai compiti attribuitigli in materia di AML/CFT. A tal fine, secondo l’EBA, l’organo deve avere accesso tempestivo e diretto almeno alle seguenti fonti di informazione:

ì. report del responsabile della compliance (compliance officer);

ìì. relazione della funzione di internal audit;

ììì. valutazioni e osservazioni fatte tenere da eventuali revisori esterni;

ìv. rapporti inviati dalle Autorità competenti, comunicazioni pervenute dalla FIU, richieste di adozione di misure specifiche da parte dell’Autorità di vigilanza di settore e notifiche delle eventuali sanzioni comminate all’intermediario.

4. Ruolo e responsabilità dell’organo di gestione nell’ambito della funzione di management in tema di AML/CFT compliance

L’EBA attribuisce in materia di compliance antiriciclaggio compiti anche all’organo di management che non partecipa direttamente alla funzione di supervisione strategica.

In particolare, l’Authority attribuisce a tale organo il compito di effettuare scelte organizzative e operative per dare concreta attuazione alla strategia AML/CFT, con particolare attenzione ai profili di adeguatezza delle risorse umane e tecniche destinate all’AML/CFT compliance officer e all’eventuale necessità di affiancare a quest’ultimo una specifica unità.

Inoltre, l’organo di management approva la relazione dell’AML/CFT compliance officer[27], è responsabile dell’attuazione della policy aziendale e delle procedure interne in tema di AML/CFT e relaziona in materia all’Autorità competente.

Nell’ipotesi di esternalizzazione di alcune attività proprie dell’ALM/CFT compliance officer, l’organo di gestione autorizza l’accordo (scritto) di outsourcing, approva la scelta del fornitore e ne esamina i rapporti periodici.

5. Ruolo e responsabilità dell’AML/CFT compliance officer

Secondo gli Orientamenti dell’EBA, quand’anche l’intermediario abbia provveduto ad attribuire ad un membro dell’organo di gestione il compito di referente in materia di conformità alle regole AML/CFT, non è comunque esentato dal valutare l’opportunità di istituire una specifica funzione aziendale dedicata (separate AML/CFT compliance officer) la cui responsabilità può essere attribuita a un addetto dell’azienda in aggiunta a compiti eventualmente già assegnatigli[28].

La scelta di istituire, o meno, questa funzione specializzata va condotta nel rispetto di una serie di parametri (cc.dd. “criteria”) che rappresentano, in questo contesto, la concreta applicazione del principio di proporzionalità.

In particolare, l’EBA sembrerebbe dare per scontata la necessità di individuare in azienda un soggetto che si occupi specificamente della compliance con riferimento alle problematiche AML/CFT.

L’Authority, infatti, prevede che, qualora l’organo di gestione decida di non nominare il responsabile della conformità AML/CFT, giustifichi la propria scelta in maniera documentata, tenendo presenti tre specifici fattori[29]:

1. le caratteristiche dell’attività che l’intermediario svolge nel settore finanziario e i rischi ML/TF ad essa associati, tenuto conto della sua collocazione geografica, della tipologia dei clienti, dei canali di distribuzione e della tipologia dei prodotti e servizi offerti;
2. il volume dell’operatività, il numero dei clienti, delle transazioni e dei suoi dipendenti stabilmente assunti;
3. la forma giuridica e l’eventuale appartenenza a un gruppo (cfr. figura 4).

Fig.4

Elaborazione dell’autore

In ogni caso, laddove si decida di non istituire una specifica funzione di compliance per le tematiche antiriciclaggio, l’intermediario dovrà, comunque, incardinarne i compiti nell’ambito dell’azienda attribuendoli, preferibilmente, al referente nominato nell’ambito dell’organo di gestione ai sensi dell’articolo 46 della Direttiva 2015/849 o ad altro soggetto purché occupi una posizione direttiva (officer at management level).

Tali compiti sono raggruppabili in sette distinte aree, di seguito sinteticamente descritte:

I. Risk assessment framework: l’EBA richiama l’obbligo previsto dall’articolo 8, paragrafo 1 della Direttiva 2015/849, laddove viene sancito che i soggetti sottoposti alla normativa antiriciclaggio effettuino il proprio assessment periodico (individuazione dei rischi e valutazione dell’esposizione agli stessi) tenendo conto dei diversi fattori di rischio, ivi inclusi quelli relativi ai loro clienti, paesi, prodotti, servizi, operazioni o canali di distribuzione.

Nel disegno delineato dall’EBA, è sul compliance AML/CFT officer che grava il dovere di condurre tale valutazione e riferire in merito ai risultati all’organo di gestione, tramite il membro di tale organo indicato come referente AML/CFT.

Il compliance AML/CFT officer ha, inoltre, il compito di proporre all’organo di gestione le misure da adottare per attenuare i rischi emersi a valle dell’esercizio di valutazione.

In tale ambito, l’EBA – utilizzando in merito ai rapporti fra il responsabile della conformità AML/CFT e il risk manager, l’espressione “a good cooperation” – indica la necessità che fra le due funzioni si instauri una concreta sinergia attraverso lo scambio reciproco di informazioni utili allo svolgimento dei rispettivi compiti: in generale, il risk manager deve cooperare con il responsabile della conformità AML/CFT per definire metodologie AML/CFT coerenti con la più ampia strategia di gestione dei rischi propri dell’intermediario; a sua volta, il responsabile della conformità AML/CFT deve informare il risk manager dei rilievi portati a conoscenza all’organo di gestione.

II. Policies and procedures:l’AML/CFT compliance officer ha il compito di adoperarsi affinché la policy aziendale e le procedure delineate dall’organo di supervisione strategica siano effettivamente realizzate.

L’EBA rimarca che le procedure cui si fa riferimento in tale contesto e sulle quali deve ritenersi competente l’AML/CFT compliance officer sono quelle che riguardano: a) la condotta della valutazione del rischio ML/TF (individuale e a livello aziendale); b) l’adeguata verifica della clientela; c) il sistema di reporting delle operazioni inattese e di inoltro delle segnalazioni alla FIU; d) la conservazione dei dati; e) l’attività di monitoraggio della conformità alle regole AML/CFT (confronta il successivo punto IV)[30].

Fa capo all’AML/CFT compliance officer l’implementazione del complessivo sistema aziendale e, pertanto, è suo onere formulare proposte non solo in merito alla policy aziendale e alle procedure, ma anche sul sistema dei controlli interni. In tale ambito, l’azione dell’AML/CFT compliance officer è delineata dall’EBA in modo dinamico, in quanto l’attività di monitoraggio della conformità deve concretizzarsi, ove necessario, in proposte di revisione e modifica della policy e delle procedure in presenza di mutamenti normativi.

III. High risk customers:l’EBA assegna al responsabile della conformità AML/CFT un ruolo consultivo in tema di adeguata verifica stabilendo che, l’acquisizione di nuovi clienti classificati “ad alto rischio” possa avvenire solo dopo il parere dell’AML/CFT compliance officer. Analogamente, quest’ultimo, dovrà formulare il proprio parere preventivo nel caso di proposte di riclassificazione di clienti già appostati nella classe definita “ad alto rischio”.

L’EBA, inoltre, fa cenno alla possibilità di un assetto organizzativo nel quale all’AML/CFT compliance officer sia direttamente demandato il potere di decidere in merito alla instaurazione o meno di rapporti con la clientela (non solo quella “ad alto rischio”)[31].

IV. Monitoring compliance: al responsabile della conformità AML/CFT viene attribuito il compito di monitorare nel continuo, effettuando verifiche campionarie:

• l’attuazione della policy aziendale, dei controlli e delle procedure adottate per garantire il rispetto da parte dell’intermediario dei propri obblighi antiriciclaggio;
• suggerire aggiornamenti dell’assetto antiriciclaggio aziendale quando vengano rilevate carenze (anche da rapporti dell’audit interno o da revisori esterni), o emergano nuovi rischi, o il quadro normativo sia mutato oppure nell’ipotesi di rilievi mossi dall’Autorità di vigilanza[32].

V. Reporting to the management body: al fine di dare enfasi ai compiti attribuiti all’AML/CFT compliance officer, l’EBA rimarca la necessità di instaurare un canale di comunicazione con l’organo di gestione, diretto o tramite il membro dell’organo di gestione nominato referente in materia.

Nel canale di reporting dovranno transitare le informazioni in ordine alle misure da adottare per rispettare le novità normative intervenute, nonché le relative valutazioni di impatto sulle attività dell’intermediario e l’indicazione di quei settori dell’azienda in cui i controlli andrebbero rafforzati.

È previsto, tra l’altro, che il compliance officer ragguagli, almeno annualmente, il management body circa lo stato di avanzamento degli eventuali programmi correttivi (remedial programs) che siano stati avviati.

Queste ed altre informazioni devono confluire nella relazione annuale dell’ALM/CFT compliance officer che il management body dovrà esaminare e inviare, in copia, all’Autorità di vigilanza.

Assai puntualmente l’EBA descrive il nucleo minimale di tale relazione distinguendo, al riguardo, tre tipologie di informazioni (cfr. figura 5):

Fig.5

Elaborazione dell’autore

a. sull’attività di valutazione del rischio ML/TF, inclusa la sintesi dei principali risultati emersi e la descrizione della ripartizione dei clienti per classe di rischio, nonché il numero di quelli per i quali è già scaduto il termine di revisione del livello di rischio assegnato;

b. sulla struttura organizzativa AML/CFT, ivi inclusa una sintetica descrizione della stessa e, se del caso, di eventuali modifiche significative intervenute nell’ultimo anno, nonché le relative motivazioni; informazioni sulle risorse umane e tecniche assegnate alla funzione di AML/CFT compliance formulando, un giudizio in merito alla loro adeguatezza o, in caso contrario, una valutazione delle risorse aggiuntive ritenute necessarie. Tale descrizione deve comprendere anche l’indicazione delle procedure AML/CFT esternalizzate, con la descrizione dei controlli svolti su tali attività e di un giudizio in ordine all’adeguatezza dei processi esternalizzati in termini di attitudine degli stessi a rispettare la normativa AML/CFT e le regole interne che l’intermediario si è dato;

c. sull’attività di verifica della policy aziendale e delle procedure che l’operatore ha adottato. Questa parte deve includere brevi informazioni sulle azioni intraprese nel corso dell’anno e la descrizione dell’attività che la funzione di AML/CFT compliance officer ha pianificato per anno successivo.

In particolare, andranno descritte le attività di monitoraggio svolte nell’anno per valutare l’effettiva applicazione della policy aziendale, dei controlli e delle procedure AML/CFT da parte dei dipendenti, agenti, distributori e fornitori di servizi dell’intermediario, compresi gli eventuali accertamenti di follow-up sulle carenze e sulle irregolarità individuate in passato, nonché eventuali nuove carenze e irregolarità che siano emerse e le relative proposte di misure correttive.

In questa parte della relazione, inoltre, dovranno essere elencate le eventuali comunicazioni pervenute dall’autorità competente e le eventuali sanzioni irrogate all’intermediario, nonché le misure poste in atto per rimediare alle violazioni sanzionate.

Infine, devono essere illustrate le iniziative formative in materia di contrasto del riciclaggio e del finanziamento del terrorismo, distinguendo fra quelle pianificate, completate e non completate, nonché i costi sostenuti e le iniziative pianificate per l’anno seguente (v. infra, VII. Training and awareness).

VI. Reporting of suspicious transactions: riguardo all’adempimento dell’obbligo di inoltro delle segnalazioni di operazioni sospette, l’EBA richiama, dapprima, l’articolo 33 della Direttiva 2015/849 che pone in capo all’AML/CFT compliance officer l’obbligo in parola, soggiungendo, inoltre, che grava sempre su tale soggetto fare in modo che il personale coinvolto nelle attività di competenza della funzione di ALM compliance disponga delle conoscenze richieste per dare attuazione all’obbligo segnaletico e al conseguente obbligo di riservatezza (non-disclosure obligation).

In particolare, con riferimento al processo segnaletico, l’EBA pone a carico del responsabile della conformità AML/CFT gli obblighi di conoscenza del sistema di monitoraggio delle transazioni, di tempestività nella disamina delle segnalazioni di primo livello, di registrazione delle valutazioni, di rapidità sia nell’inoltro della segnalazione che nel riscontro delle richieste di informazioni pervenute dalla FIU e di valutazione delle ragioni per le quali eventuali operazioni anomale non siano state oggetto di segnalazione di primo livello per accertare che, alla base di tale scelta, non sussistano disfunzioni atte ad impedire l’efficace individuazione di attività o transazioni sospette.

L’EBA ribadisce, inoltre, che il citato obbligo di “non divulgazione” grava anche sui soggetti posti in posizione apicale nell’intermediario e deve essere presidiato con riferimento all’intero sistema di individuazione, valutazione e inoltro delle segnalazioni di operazioni sospette per garantire che nessuna informazione, al riguardo, giunga al cliente.

Pertanto, il responsabile della conformità AML/CFT non solo è chiamato a vigilare ma anche a valutare attentamente chi dovrà essere coinvolto nel processo segnaletico e di riscontro di eventuali richieste di informazioni ricevute dalla FIU, tutelando sempre l’identità delle persone coinvolte nella preparazione e nell’inoltro della segnalazione[33].

VII. Training and awareness: come previsto dalla Direttiva 2015/849 i dipendenti dell’intermediario devono conoscere le disposizioni di contrasto del riciclaggio. A tal fine la stessa Direttiva prevede (cfr. articolo 46, paragrafo 1) che i dipendenti debbano fruire di specifici programmi permanenti di formazione finalizzati sia a riconoscere le operazioni sospette che a istruirli sul modo di procedere in tali casi.

In proposito, gli Orientamenti in commento pongono esplicitamente a carico del responsabile della conformità AML/CFT l’attuazione e la supervisione del programma di formazione[34], con l’obbligo preliminare di informare i dipendenti sui rischi ML/TF a cui è esposto l’intermediario oltre che sui metodi, tendenze e tipologie di ML/TF, nonché sull’approccio basato sul rischio attuato dall’intermediario per mitigare e gestire tali rischi.

Sempre secondo l’EBA, questa attività formativa, e in particolare quella attinente alla procedura segnaletica, deve coinvolgere anche i membri dell’organo di gestione e non può essere limitata a meri profili teorici ma deve comprendere anche aspetti pratici e “specific training” che tengano conto dei rischi ML/TF a cui gli addetti presso le diverse funzioni aziendali possono essere esposti e, in questo modo, metterli in grado di attuare concretamente le disposizioni in vigore.

A tal fine, pertanto, l’attività formativa andrà modulata:

1. gli addetti che operano nello staff del responsabile della conformità AML/CFT devono avere una conoscenza approfondita che riguardi tutti gli aspetti AML/CFT, consentendo così all’intermediario di rispettare ogni suo obbligo in materia;
2. gli addetti che svolgono la loro attività a contatto con i clienti o sono incaricati di eseguire le loro operazioni (ad esempio, addetti al front office o agenti) dovranno concentrare la loro preparazione su profili che consentano di rilevare le operazioni anomale in modo da renderne edotto, secondo le procedure interne, l’AML/CFT compliance officer;
3. i soggetti responsabili dello sviluppo di procedure o software o altri strumenti applicabili ad attività suscettibili di incidere, anche indirettamente, sul rischio ML/TF devono avere una formazione che consenta loro di integrare i rischi propri della loro attività (ad esempio, information technology) con quelli di riciclaggio e di finanziamento del terrorismo cui l’intermediario è esposto

Risulta chiaro, dai nuovi Orientamenti, il richiamo dell’EBA all’efficacia e concretezza dell’attività di formazione, laddove l’Autorità Europea rimarca, nell’ipotesi in cui si faccia ricorso a docenti esterni, l’obbligo del responsabile della conformità antiriciclaggio di garantire (prima) e documentare (dopo), nella sua relazione annuale, che il soggetto incaricato ha le conoscenze AML/CFT necessarie ad assicurare una formazione di qualità e che il contenuto dell’attività formativa è (o è stato) adattato alle specifiche caratteristiche dell’intermediario.

In definitiva, l’Authorityaffermando i principi di efficacia e concretezza con riferimento all’attività formativa intende chiamare il responsabile della conformità antiriciclaggio a “…contribuire a promuovere ulteriormente l’adozione del giusto approccio etico all’interno dell’intermediario”[35].

6. L’organizzazione della funzione di AML/CFT compliance a livello di gruppo

Gli Orientamenti EBA, con riferimento all’ipotesi in cui l’intermediario appartenga a un gruppo, richiamano il contenuto dell’articolo 45 della Direttiva 2015/849 secondo il quale le legislazioni dei diversi Stati membri devono prevedere l’obbligo di sviluppare politiche e procedure antiriciclaggio a livello di gruppo e la condivisione all’interno del gruppo stesso delle informazioni in materia di AML/CFT affinchéciascun organo di gestione, linea di business e unità interna, comprese le funzioni di controllo interno, siano in grado di svolgere i propri compiti.

In tale ambito, l’organo di gestione della capogruppo deve partire dalla mappatura dei rischi cui è esposta ciascuna componente e definire dei principi a livello di gruppo in modo che le policy e le procedure siano allineate e le valutazioni dei rischi, effettuate dalle diverse entità, pur tenendo presenti le proprie specificità, si svolgano in modo coordinato.

L’architrave di tale azione di coordinamento è rappresentato dall’individuazione da parte della capogruppo di un membro dell’organo di gestione o di altro soggetto appartenente al senior management, quale responsabile della conformità AML/CFT di gruppo che guidi una struttura con compiti di coordinamento a livello di gruppo[36].

Il responsabile della conformità AML/CFT di gruppo deve essere munito di poteri decisionali e di verifica[37] che gli consentano un’azione direttiva riguardo ai profili AML/CFT del gruppo in collaborazione con i responsabili della compliance delle diverse componenti[38].

A tal fine, l’EBA prevede che questi ultimi dispongano di una linea di riporto diretta con il responsabile della conformità AML/CFT del gruppo[39].

Spetta, quindi, a quest’ultimo coordinare e convalidare la realizzazione, in coerenza con principi definiti dalla capogruppo:

• dapprima, delle policy e delle procedure delle diverse componenti[40] e
• successivamente delle singole valutazioni a livello aziendale.

I risultati emersi da queste ultime dovranno, poi, essere aggregati al fine di conoscere la tipologia, la rilevanza e la localizzazione dei rischi ML/TF cui il gruppo nel suo insieme è esposto, riassumendone i risultati in una relazione di valutazione a livello di gruppo[41].

In ultima analisi, la finalità di tale attività di coordinamento è quella di consentire alla capogruppo di individuare le eventuali interrelazioni fra i rischi propri delle diverse componenti e verificarne gli impatti di entità significativa per l’intero gruppo.

A tale riguardo, particolare attenzione dovrebbe essere prestata ai rischi a cui sono esposte le filiali o le controllate del gruppo stabilite in paesi terzi “non equivalenti” o in paesi terzi che presentano un rischio elevato di riciclaggio o di finanziamento del terrorismo: a tal fine, grava sul responsabile della conformità AML/CFT di gruppo vigilare sul rispetto delle disposizioni unionali da parte delle succursali e delle controllate situate in paesi terzi, laddove i requisiti per la prevenzione di fenomeni di ML/TF siano meno rigorosi di quelli previsti dalla Direttiva 2015/849.

7. Considerazioni conclusive

Pochi dubbi circa la previsione di un considerevole impatto di questi Orientamenti sulle attività dell’Autorità di vigilanza di settore e sugli intermediari.

Gli Orientamenti EBA, infatti, incidono su due aspetti di non trascurabile entità: l’organo di gestione e il responsabile aziendale dei profili di AML/CFT compliance.

Su entrambi i fronti l’EBA lancia segnali cortesi ma decisi ai quali, presumibilmente, le Autorità di vigilanza non potranno rispondere mediante “orientamenti di vigilanza” ma dovranno adottare atti di natura normativa diretti a integrare o modificare le disposizioni vincolanti già adottate.

Alcune riflessioni.

Sotto certi aspetti (ma ciò è tutto da vagliare nella pratica) le indicazioni fornite recentemente dall’EBA potrebbero, almeno all’apparenza, segnare un passo indietro dal punto di vista concettuale in ordine alla reale posizione che in azienda riveste “il responsabile antiriciclaggio”, cioè il responsabile della funzione aziendale di controllo che ha “la responsabilità di assicurare l’adeguatezza, la funzionalità e l’affidabilità dei presidi antiriciclaggio”[42], relegandolo, come era in passato, al ruolo di responsabile della conformità in tema antiriciclaggio.

Le disposizioni emanate dalla Banca d’Italia a marzo 2019 in tema di presidi organizzativi per il contrasto del riciclaggio vanno nella direzione opposta, laddove, precisando che “La funzione <antiriciclaggio> può essere attribuita alle strutture che svolgono le funzioni di controllo di conformità o di risk management solo ad esito di una valutazione dell’idoneità di tale scelta…”[43], stabiliscono, in linea di principio, la separatezza fra la funzione antiriciclaggio e quella di conformità.

Il principio dell’approccio al rischio, diffuso come un “mantra” dalle Direttive Europee, dovrebbe aver indotto nel tempo gli operatori, i loro consulenti e in generale chi si occupa della materia a dare nuovo contenuto alla funzione antiriciclaggio e, conseguentemente, all’attività del suo responsabile, orientandolo prevalentemente sull’attività di valutazione dei rischi più che su quella di controllo della conformità[44].

Ma in realtà questo è un falso problema perché anche nelle disposizioni della Banca d’Italia viene ribadita la competenza della funzione antiriciclaggio in tema di compliance AML/CFT: le disposizioni citate, infatti, stabiliscono che è demandata alla funzione antiriciclaggio l’attività di individuazione delle norme applicabili, nonché la valutazione del loro impatto sui processi e sulle procedure interne.

Resta, comunque, da capire e strutturare in concreto, alla luce della versione definitiva di questi Orientamenti, il rapporto fra la funzione di conformità (appartenente ai controlli di secondo livello e responsabile, per espressa indicazione della Banca d’Italia, della gestione del rischio di non conformità con riguardo a tutta l’attività aziendale), chiamata a presidiare, in generale, il “rischio di non conformità alle norme”[45] e la funzione di AML/CFT compliance, cioè in sostanza la funzione antiriciclaggio (pure essa ascrivibile ai controlli di secondo livello), chiamata a presidiare il più specifico “rischio di riciclaggio”[46].

Va tenuto presente, tuttavia, che la Banca d’Italia è intervenuta in argomento già da tempo prevedendo, per gli intermediari bancari, che nel caso sussistano normative per le quali siano già previste forme specifiche di presidio specializzato, l’intermediario debba effettuare una propria valutazione dell’adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformità e quindi “graduare” i compiti della funzione di compliance, che comunque è responsabile, in collaborazione con le funzioni specialistiche, almeno della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure[47].

Andrà, dunque, verificato concretamente se l’enfasi che gli Orientamenti posti in consultazione attribuiscono ai profili di conformità a carico del responsabile antiriciclaggio possano mutare questi equilibri lasciando al AML/CFT compliance officer la responsabilità esclusiva di individuare le norme applicabili in materia.

Inoltre, dagli Orientamenti sembrerebbe auspicato un assetto antiriciclaggio di tipo “accentrato”, con l’attribuzione al compliance AML/CFT officer, non solo della competenza in tema di controllo della conformità e di inoltro delle segnalazioni di operazioni sospette ma anche riguardo la prestazione di un benestare preventivo all’instaurazione della relazione con il cliente qualora dai dati acquisiti in sede di adeguata verifica ne scaturisca la classificazione dello stesso come cliente ad alto rischio o la più ampia possibilità di attribuire all’AML/CFT compliace officer il potere di approvare preventivamente l’instaurazione di rapporti con la clientela a qualsiasi classe di rischio essa appartenga (cfr. supra paragrafo 5, High risk customers).

Per quanto ovvio, una scelta del genere, oltre ad indurre una revisione della procedura già in uso in azienda in tema di adeguata verifica, potrebbe – a causa dell’introduzione di questo ulteriore livello di controllo preventivo – portare ad un rallentamento dei processi produttivi.

Un’ulteriore riflessione inducono gli Orientamenti laddove sanciscono il ruolo primario di un membro dell’organo di gestione come referente AML/CFT.

Attualmente, il Provvedimento della Banca d’Italia prevede che si possa attribuire la responsabilità della funzione antiriciclaggio ad un amministratore titolare di specifiche deleghe in materia di controlli, purché privo di altre deleghe che ne pregiudichino l’autonomia, solo qualora giustificato dalle ridotte dimensioni dell’intermediario, regola tra l’altro confermata anche negli Orientamenti EBA in commento.

Ma nessun cenno viene fatto sull’opportunità di un maggior coinvolgimento dell’organo di gestione attraverso la scelta di un “referente” o “delegato” AML/CFT.

E che, tra l’altro, non si tratti di un mero incarico di carattere secondario/onorifico si desume dalle indicazioni che l’Authority Europea ha formulato in materia di “Identification of the member of the management body responsible for AML/CFT” per il quale sono previsti requisiti che ne connotano il ruolo in senso più tecnico che amministrativo.

Il documento dell’EBA, infatti, fa riferimento al possesso di “…knowledge, skills and experience to be able to understand the ML/TF risks related to the financial sector operator’s activities…”[48], chesi traduce, nella sostanza, nell’obbligo da parte dell’organo di gestione, all’atto del conferimento della delega, di uno scrutinio attento non solo delle conoscenze teoriche ma anche delle esperienze acquisite dal potenziale delegato con riferimento alle tematiche del contrasto del riciclaggio e del finanziamento del terrorismo e non solo, dunque, a quelle generali nel comparto bancario e finanziario.

Ma in generale l’intero documento posto in consultazione dall’EBA, anche mediante un dettagliato riferimento alle attività formative, sottolinea l’importanza della conoscenza e della specializzazione.

Ci si dovrebbe chiedere, pertanto, se le ampie formule utilizzate dall’Autorità di vigilanza di settore nel Provvedimento datato 26 marzo 2019, riguardo ai requisiti cui è subordinata la nomina del responsabile della funzione AML/CFT, siano in linea con i contenuti degli Orientamenti in consultazione.

Se, infatti, il Provvedimento citato si limita a stabilire che il responsabile della funzione antiriciclaggio deve essere una persona fisica in possesso di adeguati requisiti di indipendenza, autorevolezza e professionalità, negli Orientamenti l’Authority sembra decisamente più concreta utilizzando, in luogo del generico riferimento alla “professionalità”, espressioni quali “skills and expertise”, “knowledge and understanding” e soprattutto “relevant experience regarding the identification, assessment and management of the ML/TF risks”[49].

E che l’argomento non vada ridotto a una mera disquisizione dialettica lo si comprende tenendo presenti le indicazioni pubblicate dal Ministero dell’Economia e delle Finanze con la Circolare 54071 del 6 luglio 2017[50].

Quest’ultima, infatti, sebbene intervenga sul tema specifico delle sanzioni applicabili all’intermediario nel caso i cui si riscontri l’ipotesi di omessa segnalazione di operazione sospetta e sia non ricorra la “fattispecie base” ex articolo 50, c.1, d.lgs. 231/2007, ma quella “qualificata” ex articolo 58, c.2, prevede che il giudizio di “gravità”, cui va commisurato l’ammontare della sanzione, debba sostanzialmente scaturire da una valutazione complessiva che tenga conto, tra l’altro, delle competenze e qualifiche professionali possedute, con particolare riferimento alle conoscenze e alla qualità e grado di esperienza maturati nello specifico settore di attività o con riferimento alla specifica tipologia di operazioni la cui omessa segnalazione è contestata.

Sarebbe, pertanto, auspicabile un intervento normativo diretto a stabilire che l’acquisizione di talune posizioni in azienda, nel comparto AML/CFT, possa avvenire solo dopo un preciso iter formativo in posizione junior.