Antiriciclaggio: le modifiche in consultazione agli Orientamenti ESAs sull’adeguata verifica della clientela e sui fattori di rischio

1. Introduzione

Il 5 febbraio 2020 l’Autorità Bancaria Europea (EBA) [1] ha pubblicato un documento di consultazione, volto a modificare gli Orientamenti congiunti ai sensi degli articoli 17 e 18, paragrafo 4, della Direttiva (UE) 2015/849 (la c.d. IV Direttiva Antiriciclaggio) sulle misure semplificate e rafforzate di adeguata verifica della clientela e sui fattori che gli enti creditizi e gli istituti finanziari dovrebbero prendere in considerazione nel valutare i rischi di riciclaggio e finanziamento del terrorismo associati ai singoli rapporti continuativi e alle operazioni occasionali, emanati dalle ESAs nel giugno 2017 [2].

La revisione proposta si è resa necessaria a seguito dell’entrata in vigore della direttiva (UE) 2018/843 (la c.d. V Direttiva Antiriciclaggio) e dalle novità dalla stessa introdotte, con particolare riferimento alle previsioni relative agli obblighi di adeguata verifica rafforzata nel caso di coinvolgimento di Paesi Terzi ad alto rischio, nonché a seguito dell’individuazione di nuove tipologie di rischio (e nuove categorie di soggetti esposti ai rischi di riciclaggio e di finanziamento del terrorismo), emersi a seguito dell’evoluzione del settore finanziario e connessi ad esempio all’utilizzo di soluzioni RegTech [3] ai fini dell’adeguata verifica della clientela.

A tal proposito, rileva in particolare quanto descritto nella Joint Opinion delle ESAs dell’ottobre 2019 relativa ai rischi di riciclaggio e di finanziamento del terrorismo che colpiscono il settore finanziario dell’Unione Europea [4], che ha messo in luce le preoccupazioni delle Autorità di Vigilanza degli Stati Membri con riguardo all’identificazione e alla valutazione del rischio di riciclaggio e di finanziamento del terrorismo e all’applicazione delle misure di adeguata verifica della clientela da parte dei destinatari.

Le modifiche proposte (al pari dei Orientamenti originari) mirano a promuovere lo sviluppo di una comune comprensione, da parte delle imprese e delle Autorità Competenti di tutta Europa, di che cosa comporti l’approccio basato sul rischio e di come dovrebbe essere applicato. Le Guidelines aiuteranno le imprese a identificare, valutare e gestire i rischi di riciclaggio e di finanziamento del terrorismo associati alla loro attività e ai singoli rapporti e transazioni occasionali, in base a un approccio basato sul rischio proporzionato ed efficace.

Obiettivo delle modifiche, in particolare, è infatti quello di rafforzare in modo significativo le difese europee in tema di lotta contro il riciclaggio e il finanziamento del terrorismo e favorire una maggiore convergenza delle pratiche di vigilanza in un settore in cui l’efficacia delle stesse è stata finora ostacolata dai divergenti approcci adottati nell’implementazione delle misure.

Nel documento di consultazione, è stato comunque precisato che le modifiche proposte mantengono inalterati i principi fondamentali posti alla base della precedente versione degli Orientamenti. In proposito, infatti, né le Linee guida riviste, né l’approccio basato sul rischio previsto dal framework normativo applicabile giustificano l’esclusione dagli obblighi di adeguata verifica di intere categorie di clienti, indipendentemente dal rischio di riciclaggio o di finanziamento del terrorismo associato a singoli rapporti.

Inoltre, molte delle misure adottate dalle imprese ai fini di contrastare il finanziamento del terrorismo si sovrapporranno alle misure antiriciclaggio (tra queste, ad esempio, la valutazione del rischio, i controlli di adeguata verifica della clientela, il monitoraggio delle transazioni); le indicazioni fornite nelle Linee guida, quindi, troveranno applicazione con riguardo ad entrambi i settori, benché ciò non sia esplicitamente indicato. Le Autorità di Vigilanza, in proposito, hanno tuttavia ricordato che esistono differenze fondamentali tra la prevenzione del riciclaggio di denaro e la lotta al finanziamento del terrorismo: chi ricicla denaro, infatti, tenta di mascherare le origini di fondi illeciti; diversamente, chi finanzia il terrorismo può anche utilizzare fondi detenuti legittimamente per perseguire tuttavia obiettivi illegali. Le imprese, quindi, nell’ambito della valutazione dei rischi cui sono esposte, dovrebbero tenere conto di tale differenza.

Da ultimo, le ESAs hanno ricordato che le misure intraprese per contrastare il finanziamento del terrorismo includono anche il rispetto delle sanzioni finanziarie dirette a persone o organizzazioni per motivi legati al terrorismo; tale settore tuttavia non rientra nell’ambito di applicazione delle Guidelines in commento.

Dal punto di vista strutturale, il documento in consultazione risulta composto da due parti: (i) il titolo I, che racchiude le Guidelines generali, applicabili a tutte le imprese; (ii) il titolo II, che integra il precedente e che contiene le Guidelines specificamente applicabili ai diversi settori di attività individuati. Le modifiche proposte coinvolgono entrambi i titoli.

Difatti, al fine di supportare gli sforzi di compliance delle imprese e di rafforzare la capacità del settore finanziario dell’Unione Europea di individuare e contrastare il riciclaggio e il finanziamento del terrorismo, le principali integrazioni e modifiche contenute nel Consultation Paper attengono a: (i) previsione di maggiori dettagli sui fattori di rischio e sulle misure di adeguata verifica della clientela da adottare; (ii) introduzione di nuove Linee guida relative alle misure di adeguata verifica rafforzata in caso di coinvolgimento di Paesi terzi ad alto rischio; (iii) introduzione di nuove Linee guida settoriali, indirizzate a nuove categorie di soggetti, quali i fornitori di servizi di crowdfunding, i prestatori di servizi di disposizione di ordini di pagamento (c.d. PISP), i prestatori di servizi di informazione sui conti (c.d. AISP), le imprese che forniscono attività di cambio valuta e servizi di corporate finance; (iv) indicazione di chiare aspettative normative in merito alla valutazione del rischio di riciclaggio e di finanziamento del terrorismo che le imprese devono svolgere, sia con riguardo alla propria attività (c.d. business – wide assessment), sia con riguardo ai singoli rapporti (c.d. individual assessment).

2. Nuove linee guida relative alle misure di adeguata verifica della clientela

Tra le novità proposte dal Consultation Paper, le Autorità di Vigilanza Europee hanno innanzitutto ritenuto di introdurre, con la Guideline 4, alcune indicazioni in merito alle misure di adeguata verifica della clientela applicabili indistintamente a tutte le imprese.

In tale sezione sono stati introdotti chiarimenti in merito a diversi aspetti, quali in particolare: (i) le informazioni che ci si aspetta siano incluse nelle policy da adottare in materia; (ii) il bilanciamento che le imprese devono operare tra la necessità di garantire l’inclusione finanziaria e l’esigenza di mitigare i rischi di riciclaggio e finanziamento del terrorismo; (iii) l’identificazione e la verifica del titolare effettivo, con specifico riguardo all’utilizzo del registro dei titolari effettivi – la cui consultazione non consente, di per sé, l’adempimento all’obbligo delle imprese di adottare misure adeguate e commisurate al rischio per identificare il titolare effettivo e verificarne l’identità –, alle novità relative all’identificazione degli alti dirigenti e dei titolari effettivi di una pubblica amministrazione o di un’impresa pubblica; (iv) le prescrizioni in tema di adeguata verifica da rispettare in caso di situazioni non face-to-face e diutilizzo di mezzi tecnologici innovativi per verificare l’identità dei clienti, al fine di promuovere misure uniformi tra le imprese.

Con riguardo a tale ultimo aspetto, le Autorità di Vigilanza hanno specificato che le imprese che utilizzano o intendano utilizzare mezzi tecnologici innovativi ai fini dell’identificazione e della verifica dei clienti dovrebbero valutare la misura in cui l’uso di tali strumenti possa esporre o aumentare i rischi di riciclaggio o di finanziamento del terrorismo.

In particolare, le imprese dovrebbero considerare: (i) i rischi tecnici, ovvero il rischio che lo strumento tecnologico possa essere inaffidabile o manomesso; (ii) i rischi qualitativi, ovvero il rischio che le fonti di informazione utilizzate a fini della verifica non siano sufficientemente indipendenti e affidabili e, pertanto, non siano conformi alle prescrizioni normative, nonché il rischio che l’accuratezza della verifica fornita dal mezzo tecnologico non sia commisurata al livello di rischio associato al singolo rapporto; (iii) i rischi legali, quale in particolare il rischio che il fornitore dello strumento informatico non rispetti la legislazione applicabile in materia di protezione dei dati; (iv) il rischio che un cliente non sia chi afferma di essere o non sia una persona reale.

Nelle Guidelines riviste si specifica inoltre che le imprese che utilizzano un fornitore esterno rimangono in ogni caso responsabili in ultima istanza dell’adempimento dei propri obblighi in materia di adeguata verifica della clientela.

Le Autorità di Vigilanza Europee invitano inoltre le imprese a fare riferimento a quanto già precisato in materia dalla Joint Opinion del 2018 avente, appunto, ad oggetto l’utilizzo di strumenti tecnologici innovativi nell’ambito del processo di adeguata verifica della clientela.

A chiusura della Linea guida 4, le ESAs hanno inoltre proposto l’inserimento di una sezione specifica dedicata all’attività di monitoraggio, che sottolineano costituire un aspetto essenziale del processo di adeguata verifica. Tale sezione, in particolare, riporta principi già contenuti nei precedenti Orientamenti e introduce nuove indicazioni con riguardo al monitoraggio delle transazioni.

3. Nuove linee guida relative alle misure di adeguata verifica rafforzata della clientela in caso di coinvolgimento di Paesi terzi ad alto rischio

Alcune modifiche alle Guidelines sono state apportate poi al fine di recepire le novità introdotte dalla V Direttiva Antiriclaggio con riguardo agli obblighi di adeguata verifica rafforzata connessi ai Paesi terzi ad alto rischio.

Innanzitutto, è stata proposta una revisione della definizione di “Ordinamenti associati a un più alto rischio di riciclaggio e di finanziamento del terrorismo”, che mira da escludere dalla stessa i Paesi terzi ad alto rischio (ovvero quelli con carenze strategiche nei rispettivi regimi nazionali di contrasto al riciclaggio e al finanziamento del terrorismo, che pongono minacce significative al sistema finanziario dell’Unione Europea), al fine di distinguere meglio tali Paesi dagli ordinamenti associati a rischi di riciclaggio e finanziamento del terrorismo più elevati.

Inoltre, è stata proposta una suddivisione degli originari paragrafi degli Orientamenti relativi ai fattori di rischio concernenti “Paesi terzi ad alto rischio e altre situazioni ad alto rischio” (paragrafi 58-61) in due sottosezioni, una dedicata ai “Paesi terzi ad alto rischio” (nuove Guidelines da 4.53 a 4.57, che stabiliscono come le imprese dovrebbero conformarsi alle specifiche misure di adeguata verifica rafforzata specificate dalla V Direttiva Antiriciclaggio in merito ai Paesi terzi ad alto rischio) e l’altra dedicata alle “altre situazioni ad alto rischio” (nuove Guidelines da 4.62 a 4.65), per chiarirne i rispettivi obblighi.

In particolare, la nuova sezione dedicata ai Paesi terzi ad alto rischio prescrive alle imprese – quando instaurano rapporti continuativi o operazioni occasionali che coinvolgono Paesi terzi ad alto rischio – di applicare almeno le misure di adeguata verifica rafforzata previste all’art. 18 bis, paragrafo 1 e, se del caso, all’art. 18 bis, paragrafo 2, della direttiva (UE) 2015/849 (come modificata dalla V Direttiva Antiriciclaggio), sempre secondo un approccio basato sul rischio.

La Guideline 4.55 fornisce inoltre indicazioni per definire in quali casi si debba ritenere che un rapporto continuativo o un’operazione occasionale coinvolga un Paese terzo ad alto rischio; in proposito, tali ipotesi ricorrono quando: (i) i fondi sono stati generati in un Paese terzo ad alto rischio; (ii) i fondi provengono da un Paese terzo ad alto rischio; (iii) la destinazione dei fondi è un Paese terzo ad alto rischio; (iv) l’impresa ha a che fare con una persona fisica o giuridica residente o stabilita in un Paese terzo ad alto rischio; (v) l’impresa ha a che fare con un fiduciario stabilito in un Paese terzo ad alto rischio o con un trust regolato dalla legge di un Paese terzo ad alto rischio.

L’applicazione delle misure di adeguata verifica rafforzata previste all’art. 18 bis, paragrafo 1 e paragrafo 2, della direttiva (UE) 2015/849 dovrebbe essere inoltre assicurata nel caso in cui: (i) una transazione passi attraverso un Paese terzo ad alto rischio, a causa ad esempio della sede del prestatore di servizi di pagamento intermedio; (ii) il titolare effettivo di un cliente sia stabilito in un Paese terzo ad alto rischio.

Le imprese dovrebbero svolgere attentamente la valutazione del rischio anche nel caso in cui il cliente o i suoi titolari effettivi intrattengano stretti legami personali o professionali con un Paese terzo ad alto rischio. In tali situazioni, l’entità delle misure di adeguata verifica da applicare dovrebbe essere valutata sempre sulla base del rischio.

Con riguardo alle misure da applicare nel caso in cui vi sia il coinvolgimento di Paesi Terzi ad alto rischio, è stata inserita anche una nuova sezione delle Guidelines con specifico riguardo alle banche corrispondenti (Guidelines da 8.20 a 8.25); tali previsioni, in particolare, dovrebbero trovare applicazione nel caso in cui il rispondente sia stabilito in un Paese terzo ad alto rischio o il rapporto di corrispondenza coinvolga un Paese terzo ad alto rischio.

4. Nuove linee guida settoriali

Il Consultation Paper propone inoltre nuove Linee guida di carattere specifico destinate a determinati settori di attività che non erano ricompresi nella versione originaria degli Orientamenti.

Innanzitutto, infatti, è emerso il rischio che le piattaforme di crowdfunding possano essere utilizzate ai fini di riciclaggio e di finanziamento del terrorismo; in ragione di ciò, è stata introdotta la nuova Guideline 17 per le piattaforme di crowdfunding, che mira ad aiutare i fornitori di tali servizi a identificare i fattori di rischio specifici di questo settore e a promuovere l’implementazione di misure comuni.

Le Autorità di Vigilanza Europee hanno inoltre identificato alcuni rischi (benché limitati) di riciclaggio e di finanziamento del terrorismo connessi all’attività degli AISP e dei PISP. A tal proposito, è stata introdotta la nuova Linea guida settoriale 18, che stabilisce i fattori di rischio specifici del settore e le misure che ci si aspetta vengano adottate ai fini di lotta contro il riciclaggio e il finanziamento del terrorismo da parte di PISP e AISP.

In particolare, con riguardo all’entità delle misure di adeguata verifica da adottare (sulla base del rischio), le Autorità di Vigilanza sottolineano che, nella maggior parte dei casi, alla luce del basso livello di rischio inerente associato a tali modelli di attività, potrebbe essere svolta l’adeguata verificata semplificata.

A tal proposito, il Consultation Paper precisa che, in applicazione di misure di adeguata verifica semplificata, gli AISP e i PISP potrebbero: (i) fare affidamento sulla fonte dei fondi come prova dell’identità del cliente, nel caso in cui i dettagli del conto di pagamento del cliente siano conosciuti e il conto di pagamento sia detenuto presso un prestatore di servizi di pagamento appartenente al SEE; (ii) ritardare la verifica dell’identità del cliente a un momento successivo all’instaurazione del rapporto. In tal caso, le politiche e procedure in essere dovrebbero stabilire in quale momento debba essere completata l’adeguata verifica del cliente; (iii) presumere la natura e lo scopo del rapporto.

Particolare riguardo dovrebbe essere poi prestato all’attività di monitoraggio: come parte dei loro processi adeguata verifica, i PISP e gli AISP dovrebbero garantire che i loro sistemi per la lotta al riciclaggio e al finanziamento del terrorismo siano impostati in modo da far scattare degli alert in caso di operazioni inusuali o sospette. Anche senza disporre di informazioni significative sul cliente, i PISP e gli AISP dovrebbero essere in grado di rilevare transazioni insolite.

Un altro settore di attività in relazione al quale le ESAs hanno ritenuto necessario introdurre Linee guida specifiche è quello relativo all’attività di cambio valuta. Il cambio valuta, infatti, è spesso caratterizzato da transazioni veloci, basate su liquidità e, pertanto, comporta un aumento del rischio di riciclaggio e finanziamento del terrorismo. Tale area di attività è inoltre caratterizzata da una prevalenza di operazioni occasionali, che potrebbe comportare una minor comprensione del rischio di riciclaggio o finanziamento del terrorismo associato al cliente. In considerazione di ciò, è stata introdotta la nuova Linea guida 19, in cui vengono elencati i fattori di rischio tipici di tale settore e le misure che le imprese dovrebbero adottare.

In particolare, il Consultation Paper evidenzia la necessità per le imprese di stabilire chiaramente nelle loro policy e procedure interne il momento in cui dovrebbero essere poste in essere le misure di adeguata verifica della clientela nei confronti dei clienti occasionali, precisando che tali ipotesi dovrebbero comunque comprendere: (i) il caso in cui un’operazione (o operazioni collegate) sia di importo uguale o superiore a euro 15.000. In proposito, le procedure interne dovrebbero inoltre definire quando una serie di operazioni occasionali equivalgono all’instaurazione di un rapporto continuativo, tenendo in considerazione il contesto delle attività dell’impresa (ovvero la dimensione normale media di un’operazione occasionale da parte della clientela media); (ii) qualora esista il sospetto di riciclaggio di denaro o di finanziamento del terrorismo.

Le imprese dovrebbero in ogni caso dotarsi di sistemi e controlli volti a identificare le operazioni collegate (ed essere ad esempio in grado di rilevare se lo stesso cliente si interfacci con più uffici in un breve lasso di tempo), nonché a monitorare le transazioni in modo adeguato ed efficace rispetto alle dimensioni dell’impresa, del numero dei suoi uffici, delle dimensioni e del volume delle transazioni: le Autorità di Vigilanza sottolineano ancora una volta l’importanza dell’attività di monitoraggio.

Da ultimo, sono state introdotte alcune Linee guida specificamente dedicate alle imprese che offrono servizi di corporate finance.

Sul punto, è stato infatti osservato che l’attività di corporate finance presenta una serie di rischi di riciclaggio e di finanziamento del terrorismo e che, già nell’ambito della consultazione che si era tenuta in vista dell’emanazione degli Orientamenti originari, era stata suggerita la mancanza di linee guida dedicate a questo settore. In risposta a tali richieste, dunque, le Autorità Europee di Vigilanza hanno proposto nuove Linee guida specificamente dedicate a questo settore, aventi ad oggetto, come negli altri casi, i fattori di rischio specifici e le misure di adeguata verifica che si aspettano le imprese prendano in considerazione e adottino, al fine di garantire sforzi di mitigazione del rischio coerenti ed efficaci.

4. L’attività di valutazione del rischio

Nell’ambito del Consultation Paper le Autorità di Vigilanza hanno inoltre evidenziato che una corretta valutazione del rischio costituisce il presupposto fondamentale affinché un approccio basato sul rischio risulti efficace.

Tuttavia, alla luce dei feedback delle Autorità di Vigilanza nazionali ricevuti dalle ESAs nell’ambito della redazione della Joint Opinion del 2019 relativa ai rischi di riciclaggio e di finanziamento del terrorismo che colpiscono il settore finanziario dell’Unione Europea, è emerso che le valutazioni del rischio condotte dalle imprese sono spesso risultate inadeguate e che alcune imprese hanno riscontrato difficoltà nella valutazione del rischio a livello dell’attività svolta.

I sistemi e i controlli delle imprese, di conseguenza, non si rivelano sempre in grado di mitigare efficacemente il rischio di riciclaggio e di finanziamento del terrorismo. Peraltro, è stato riscontrato che, in assenza di chiare indicazioni a livello europeo, alcune Autorità competenti hanno avuto difficoltà a contestare le valutazioni dei rischi svolte dalle imprese.

In considerazione di ciò, nel Consultation Paper sono state inserite anche indicazioni in merito alle aspettative normative per quanto riguarda la valutazione del rischio di riciclaggio e di finanziamento del terrorismo che le imprese devono svolgere, sia con riguardo alla propria attività (c.d. business – wide assessment), sia con riguardo ai singoli rapporti (c.d. individual assessment).

In particolare, nell’ambito della Guideline 1 (fondata su principi già parzialmente contenuti negli Orientamenti originari), è stato chiarito che, al fine di rispettare gli obblighi previsti dalla direttiva (UE) 2015/849, le imprese dovrebbero valutare: (i) il rischio di riciclaggio e finanziamento del terrorismo a cui sono esposte quale risultato della natura e della complessità della loro attività (c.d. business – wide assessment); e (ii) il rischio di riciclaggio e finanziamento del terrorismo a cui sono esposte quale risultato di un rapporto continuativo o di una operazione occasionale (c.d. individual assessment).

Nel valutare il livello complessivo di rischio residuo associato alla propria attività e ai singoli rapporti o operazioni occasionali, le imprese dovrebbero considerare sia il livello di rischio inerente, sia la qualità dei controlli e degli altri fattori di mitigazione del rischio e dovrebbero registrare e documentare la propria valutazione del rischio a livello aziendale, nonché le eventuali modifiche apportate a tale valutazione in modo da consentire all’impresa stessa e alle Autorità competenti di comprendere come sia stata condotta e perché sia stata condotta in un determinato modo.

Con riguardo alla connessione tra la valutazione del rischio relativa all’attività complessivamente svolta e quella relativa ai singoli rapporti, le ESAs hanno ribadito e precisato che le imprese dovrebbero utilizzare i risultati della loro valutazione del rischio a livello dell’attività complessivamente considerata al fine di predisporre le loro policy e procedure per la lotto contro il riciclaggio e il finanziamento del terrorismo e dovrebbero garantire che la loro valutazione del rischio a livello aziendale rifletta anche la loro propensione al rischio e le misure adottate per valutare il rischio associato ai singoli rapporti. A tal fine, le imprese dovrebbero utilizzare la loro business-wide assessment per stabilire le misure di adeguata verifica iniziale della clientela che si dovrebbero applicare in determinate situazioni e in presenza di particolari tipi di clienti, prodotti, servizi e canali distributivi. Le valutazioni dei rischi connessi ai singoli rapporti dovrebbero guidare, ma non sostituire, la valutazione dei rischi a livello aziendale.

5. In conclusione

L’ambito della consultazione emanata dall’EBA è limitato alle modifiche e alle integrazioni proposte; le domande poste dalle Autorità di Vigilanza, difatti, sono sostanzialmente volte a verificare se il mercato ha commenti sulle modifiche e integrazioni proposte. Il termine ultimo per l’invio di commenti e osservazioni è stato fissato per il 5 maggio 2020.

Ad esito del processo di consultazione, verrà emanata la versione definitiva degli Orientamenti rivisti, che andrà a sostituire e abrogare quella originaria del 2017.

Le Autorità Europee di Vigilanza hanno in proposito riscontrato che l’applicazione degli Orientamenti rivisti, così come proposti – che tengono conto di nuovi rischi e coprono settori di attività aggiuntivi – non dovrebbe comportare ed esporre le imprese a costi significativi ulteriori rispetto a quelli da sostenere alla luce delle prescrizioni normative stabilite nella IV Direttiva Antiriciclaggio (come modificata).