Discussione collegiale degli esiti e approvazione delle iniziative di adeguamento

DELLE BANCHE

Fase 4 Discussione collegiale degli esiti e approvazione delle iniziative di adeguamento

Fase 4 – Discussione collegiale degli esiti e approvazione delle iniziative di adeguamento

La raccolta degli esiti del processo valutativo nella Relazione annuale ha come conseguenza una discussione collegiale tra i vari organi e le funzioni coinvolte all’interno dell’intermediario, finalizzata all’analisi dei risultati ottenuti ed alla definizione di un piano d’intervento in merito alle operazioni correttive e migliorative da porre in essere. Una volta approvato il piano d’intervento, la Relazione viene trasmessa a Banca d’Italia.

Verifica dello stato di attuazione delle iniziative precedentemente programmate

Ad eccezione del primo anno di valutazione, le iniziative programmate negli annuali

action plans vengono sottoposte a verifica da parte della Funzione Antiriciclaggio. I

risultati della verifica rientrano nella Relazione annuale e permettono di realizzare un ciclico processo migliorativo, in termini di integrazione delle funzioni coinvolte ed efficacia dell’intero sistema adottato171_.

4.3.2 La Funzione di Revisione Interna

La Funzione di Revisione Interna ha il compito di verificare continuativamente l’adeguatezza dell’assetto organizzativo adottato dalla banca e la conformità di quest’ultimo nei confronti della disciplina normativa di riferimento, in aggiunta all’onere di garantire l’efficienza, l’efficacia e l’affidabilità del Sistema di Controlli Interni172_.

Nel dettaglio, la Funzione di Internal Audit esegue un’attività valutativa che coinvolge:

170_{Mainieri N., Pacini M., Antiriciclaggio: l’ulteriore valorizzazione della individuazione e valutazione del}

rischio di riciclaggio, in Diritto e Giustizia, 18 settembre 2015.

171_{Protiviti, Autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo. Relazione annuale}

della funzione antiriciclaggio, in Insight n.49, febbraio 2016.

 La completezza, l’adeguatezza e l’affidabilità della struttura organizzativa, l’adeguatezza del piano aziendale e del Disaster Recovery Plan;

 La regolarità delle attività svolte internamente e di quelle esternalizzate, in merito alla correttezza delle quali redige una relazione annuale;

 Il monitoraggio della conformità alle norme;

 La correttezza in merito all’operatività della rete distributiva;

 Il corretto utilizzo dei flussi informativi ed il rispetto dei meccanismi di delega. L’attività di verifica svolta, invece, riguarda:

 Il rispetto costante degli obblighi di adeguata verifica della clientela;

 L’effettiva acquisizione delle informazioni e l’adeguatezza dei procedimenti di conservazione dei dati e dei documenti;

 La corretta alimentazione dell’Archivio Unico Informatico e l’efficiente funzionamento di quest’ultimo;

 L’effettiva attuazione della “collaborazione attiva”, attraverso la disamina del grado di coinvolgimento dei dipendenti, dei responsabili e dei collaboratori coinvolti173_.

Per il compimento di tali mansioni, viene redatto annualmente un Piano di Audit, finalizzato alla pianificazione di interventi di verifica, anche di tipo ispettivo, sull’intera struttura dell’intermediario. Non è da escludere, però, la possibilità che vengano condotte ulteriori analisi non programmate ed improvvise, legate al rilevamento di particolari irregolarità o esigenze. Il principio basilare, anche in questo caso, è quello del

risk-based approach, per cui una maggiore attenzione è rivestita nei confronti delle aree

potenzialmente esposte in modo maggiore ai rischi di riciclaggio e finanziamento del terrorismo, nei confronti delle quali si riscontra una maggiore frequenza degli interventi della Funzione.

Di fronte all’evidenza di irregolarità o carenze, l’attività di follow up condotta dalla Funzione di Internal Audit prevede un intervento di quest’ultima suddivisibile in due momenti: nel primo la Funzione formula le proprie raccomandazioni agli organi; nel

173_{Bramato R., La Funzione di Internal Audit negli Intermediari Finanziari ex art.106 Tub, in Il Sole 24}

secondo, invece, la Funzione si assicura dell’effettiva adozione di interventi correttivi e valuta che questi siano in grado di evitare che analoghe situazioni si verifichino in futuro. Le caratteristiche dell’attività di follow up, in termini di natura, frequenza e copertura degli interventi, tengono conto: della significatività delle raccomandazioni; dei costi e dell’impegno necessari alla correzione della situazione critica riscontrata; delle eventuali conseguenze dovute al fallimento delle azioni correttive intraprese; della complessità delle azioni correttive programmate; del tempo necessario all’applicazione delle azioni correttive174_.

Il valore aggiunto fornito dall’attività di Internal Auditing trova riscontro nella consulenza fornita dalla Funzione agli organi dell’intermediario e nel supporto fornito alle autorità di vigilanza, con una conseguente miglioria nella gestione interna dei rischi175_.

4.3.2.1 Il Sistema di Analisi a Distanza

La crescente importanza rivestita nel Sistema dei Controlli Interni ha portato le banche a ricercare ed applicare tecnologie e metodologie sempre più avanzate, al fine di migliorare la gestione ed il monitoraggio dei fenomeni che rappresentano un elevato rischio per l’intermediario. Sotto quest’aspetto, il Sistema di Analisi a Distanza (SAD) si inserisce nella fase di pre-Audit e svolge una funzione preventiva, mirando all’individuazione tempestiva dei fenomeni che possono potenzialmente recare danno alla banca. L’attività di controllo a distanza non si sostituisce ai tradizionali controlli on

site, ma rappresenta un importante contributo nella rilevazione delle anomalie e nella

valutazione degli impatti di queste in termini di rischio, permettendo di ottenere un elevato numero di informazioni rilevanti, di ridurre le duplicazioni dei controlli e di ridurre i costi di controllo176_.

Coerentemente col risk-based approach, i controlli a distanza adottati dagli intermediari non hanno una struttura uniforme, ma è possibile riscontrare somiglianze nelle metodologie intraprese perseguendo l’ottimizzazione di tempi e risorse. In linea di

174_{Associazione Italiana Internal Auditors, Guida interpretativa 2500.A1-1 – Processo di follow-up,}

gennaio 2009.

175_{Dellarosa E., Razzante R., Il nuovo sistema dei controlli interni della banca. Riprogettare il sistema}

dopo Basilea 2, MIFID e Compliance, FrancoAngeli, Milano 2010.

massima, la tempestività viene perseguita attraverso l’utilizzo di indicatori di early

warning, cui si affiancano indicatori statistici. Fondamentale, inoltre, è la conduzione di

un’azione di monitoraggio basata su controlli mirati e su prestabilite prassi comportamentali, con l’obiettivo di definire un assetto metodologico in grado di assicurare completezza alle verifiche ispettive condotte. Tra i risultati dell’approccio, l’analisi può assicurare alla banca: la disponibilità di informazioni complete ed aggiornate; la produzione di report specializzati in merito ai rischi; l’applicazione di metodologie di revisione omogenee; il contenimento dei costi, grazie all’accentramento ed agli automatismi delle attività di controllo.

Sotto il profilo metodologico, l’analisi si struttura in più processi:

 Fase di Set up: vengono condotte indagini di tipo documentale o interviste rivolte ai responsabili delle aree in cui è configurabile un rischio più elevato; vengono definite le aree di rischio da monitorare; viene effettuata una categorizzazione dei rischi, attraverso l’ausilio di opportuni indicatori;

 Fase di Data Analysis: attraverso sistemi informatici, si procede nell’estrazione dei dati e delle informazioni rilevanti e nella loro elaborazione;

 Fase di configurazione: vengono scelti i criteri di ponderazione e di scoring e calibrati gli indicatori, al fine di determinare un punteggio coerente con il livello di rischio rilevato;

 Fase di implementazione: viene redatto un report finalizzato al confronto dei dati, con la valutazione della funzionalità del Sistema e la realizzazione di test e simulazioni in merito177_.

4.4 Le novità sui flussi informativi

La disciplina Antiriciclaggio fa leva sulla trasparenza e sullo scambio di informazioni, considerando la completezza informativa a disposizione degli operatori come uno dei principali strumenti adoperabili per arginare e prevenire i fenomeni rischiosi di riciclaggio e di finanziamento del terrorismo. Di conseguenza, l’attenzione rivolta ai

177_{Rossi E., Le attività di Internal Auditing sull’antiriciclaggio tramite sistemi evoluti: il sistema di analisi a}

flussi informativi comporta un processo evolutivo che coinvolge in primis il sistema bancario ed in secundis l’intero sistema finanziario globale.

A tal proposito, il Common Reporting Standard (CRS), sistema di condivisione automatica di dati raccolti sulla clientela da banche, brokers, intermediari finanziari, compagnie assicurative e OICR, seppur incentrato sulla lotta all’evasione ed alle frodi fiscali internazionali, si sta sviluppando attraverso l’utilizzo delle banche dati fornite in funzione delle disposizioni Antiriciclaggio. Di fatto, le informazioni raccolte in tema di lotta al riciclaggio ed al finanziamento del terrorismo divengono fondamentali per l’individuazione di prestanome e strutture costituite a scopo d’elusione fiscale. Il recepimento delle nuove disposizioni è previsto entro il 31 dicembre 2017 e va a costituire, per l’Italia, un passo in avanti rispetto all’accordo bilaterale FACTA con gli Stati Uniti178_{, rappresentando uno strumento multilaterale con funzione di migliorare la}

compliance fiscale internazionale che coinvolge potenzialmente tutti gli Stati179_.

I flussi informativi, in realtà, costituiscono un punto fermo tanto sul piano esterno, quanto sul piano interno. Nel primo caso, infatti, non sono pochi gli interessi nello sviluppo di tecnologie e metodologie innovative che migliorino o rivoluzionino il sistema tracciabilità e trasparenza del sistema bancario, dove prende sempre più piede la tecnologia Blockchain. Nel secondo caso, invece, si è palesata la necessità di disciplinare gli scambi di informazioni che avvengono all’interno del singolo intermediario, principalmente nel caso della segnalazione di violazioni, dove la tutela della riservatezza del segnalante costituisce un primo importante impulso nel perfezionamento del meccanismo che porta la banca a fornire le necessarie informazioni alle autorità di vigilanza.

4.4.1 La tecnologia Blockchain

Il settore bancario, nella lotta al riciclaggio ed alle frodi, si avvicina all’utilizzo della tecnologia Blockchain per l’identificazione della clientela, facendo affidamento su uno strumento pratico, sicuro e trasparente, caratterizzato da una buona economicità. La “catena di blocchi” rappresenta uno degli strumenti più innovativi e discussi, visto come il potenziale sostituto dei contratti e delle transazioni cartacee e già utilizzato per l’ancor

178_{Legge 18 giugno 2015, n.95.}

più dibattuto sistema dei BitCoin, il quale per molti rappresenta una notevole minaccia in ambito di riciclaggio e di finanziamento del terrorismo. Nel dettaglio, il Blockchain utilizza un registro pubblico digitale, contenente l’elenco delle transazioni eseguite, ed un sistema di messaggistica di supporto. La costituzione in nodi della rete informatica su cui basa permette un’agevole modifica e l’aggiornamento dell’elenco. A garanzia dell’intera struttura vi sono un meccanismo di validazione delle transazioni e, soprattutto, la crittografia, che comportano la possibilità di eliminare la necessità di soggetti terzi con funzioni di controllo e validazione180_.

Gli algoritmi del Blockchain lo rendono una tecnologia capace di garantire velocità, trasparenza, sicurezza, praticità e costi ridotti. Non basta: la previsione di una legislazione ampliata nel coinvolgimento delle nuove tecnologie lascia presagire l’intenzione di espanderne l’utilizzo come strumento principe nella lotta ai fenomeni rischiosi in esame, poiché permette di traslare sulla rete pubblica tutte le informazioni che, per motivi di sicurezza, ad oggi sono tenuti su server privati181_{. Ciononostante, più}

che di un registro pubblico, le autorità appaiono propense all’utilizzo di un registro distribuito e condiviso in un network ben definito182_.

Il Gruppo UniCredit ha sottoscritto, lo scorso gennaio, un Memorandum of

Understanding (MoU) con altre sei banche europee (Deutsche Bank, HSBC, KBC, Natixis,

Rabobank, Société Générale) per la collaborazione in merito al perfezionamento ed alla commercializzazione della piattaforma “Digital Trade Chain” (DTC), sviluppata dalla belga KBC Bank, che poggia sula tecnologia Blockchain per strutturare un legame tra i vari attori coinvolti nelle transazioni commerciali. La possibilità di gestire e tracciare le transazioni domestiche ed internazionali, secondo le sette banche interessate, gioverà le imprese cui è destinata la piattaforma, consentendo loro di semplificare i processi finanziari e di ridurre i rischi connessi a tali processi. L’utilizzo dei records, infatti, può determinare un alleggerimento dei procedimenti e delle prassi ad oggi seguite, con un conseguente beneficio in termini di riduzione dei costi.

180_{RGI Group, Blockchain, il nuovo internet per banche e assicurazioni, 9 febbraio 2016.}

181_{Molica F., L’Europa guarda alla blockchain “per il benessere dei cittadini”, in CorriereComunicazioni}

n.12, settembre 2016.

182_{Istituto Centrale delle Banche Popolari Italiane, Block Chain, come la tecnologia al cuore del Bitcoin}

La gestione dei flussi informativi, dunque, si muove di pari passo con l’evoluzione dei processi informativi alla base dei fenomeni di riciclaggio e di finanziamento del terrorismo. La consapevolezza che le attività criminali muovano su binari differenti da quelli tradizionali, infatti, porta all’esigenza di adattarsi nel loro contrasto, utilizzando strumenti innovativi che rendano tracciabili anche quei flussi che usufruiscono di cripto- valute o di tecnologie analoghe. L’Italia appare lenta verso le nuove innovazioni, ma molte banche hanno già erogato corposi investimenti in funzione del passaggio verso quella che potrebbe rappresentare una vera e propria rivoluzione183_.

4.4.2 Il whistleblowing

L’assolvimento degli obblighi normativi e la corretta gestione dei rischi passano per una fitta rete di flussi informativi tra i differenti volti che ruotano intorno al sistema della singola banca. Parte dei flussi informativi è costituita dalle segnalazioni di soggetti operanti presso l’intermediario, che nello svolgimento della propria attività possono venire a conoscenza di violazioni o carenze in merito alle disposizioni per cui l’intermediario stesso è chiamato ad attivarsi. In questo ambito, la possibilità che un dipendente, o chi per esso, possa desistere dall’effettuare le dovute segnalazioni, in relazione alla possibilità che si verifichino ripercussioni in merito, ha generato la necessità di intervenire a tutela del segnalante. La IV Direttiva antiriciclaggio, per l’appunto, stabilisce che i singoli Paesi membri si adoperino affinché le banche e gli altri destinatari della disciplina mettano in pratica meccanismi “efficaci ed affidabili” per incoraggiare la segnalazione alle autorità di eventuali violazioni, anche potenziali, delle disposizioni nazionali di recepimento della Direttiva stessa e del successivo Regolamento (UE) n. 575/2013184_.

Viene delineato, di conseguenza, il principio del whistleblowing, quale segnalazione attraverso opportuni canali di comunicazione, anonimi ed indipendenti, messi a disposizione al soggetto che effettua la segnalazione in sé185_.

Nel dettaglio, è possibile scindere tra due tipologie di disposizioni, inerenti a:

183_{D’Amico B., Le blockchain stanno già cambiando il mondo del lavoro?, in Corriere della Sera, 27 aprile}

2017.

184_{Direttiva 2013/36/UE, Articolo 71.}

185_{Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001, Whistleblowing, la}

 Whistleblowing interno, nel caso in cui le segnalazioni di fatti o atti che possano rappresentare una norma a cui l’ente stesso è sottoposto vengano effettuate da un dipendente ad un responsabile;

 Whistlebowing esterno, nel caso in cui le segnalazioni in merito a violazioni siano destinate alle autorità di vigilanza.

A queste disposizioni va ad aggiungersi le ulteriori disposizioni di Banca d’Italia e Consob, in base alle quali le banche, nel definire i sistemi interni che agevolino le segnalazioni, devono tener conto del principio di proporzionalità e garantire la riservatezza e la protezione dei dati personali del soggetto segnalante e del soggetto segnalato. E’ prevista la predisposizione di un soggetto interno responsabile dei sistemi interni di segnalazione, con la finalità di garantire il funzionamento delle procedure interne, seppur rimanga discrezionalità alla singola banca di definire autonomamente le caratteristiche dei sistemi di whistleblowing, oltre i requisiti minimi previsti dalle disposizioni regolamentari.

Il responsabile, in base alle definizioni di Banca d’Italia, non può essere subordinato all’eventuale soggetto segnalato, né essere responsabile presunto della violazione, né tantomeno può comportare un conflitto d’interesse che comprometta l’imparzialità del proprio giudizio, dunque è identificabile nel responsabile di una delle funzioni di controllo. I compiti di tale figura, infatti, riguardano non solo la comunicazione agli organi apicali delle informazioni ricevute tramite le segnalazioni, ma comprendono anche una procedura di valutazione del procedimento di segnalazione posto in essere186_.

In definitiva, i meccanismi di segnalazione devono essere calibrati in modo tale da garantire: la tutela del soggetto segnalante, in merito alla possibilità che si verifichino ritorsioni o trattamenti iniqui nei confronti di quest’ultimo; la riservatezza del soggetto segnalante, a meno che non richiesta in ulteriori indagini dalle autorità giudiziarie; la protezione dei dati e delle informazioni del soggetto segnalante e del soggetto segnalato187_{. Sebbene il whistleblowing coinvolga l’intera operatività bancaria, in}

186_{Berneri F., Raffronto comparativo tra gli obblighi derivanti dalla normativa sul whistleblowing e la}

disciplina antiriciclaggio, in Diritto Bancario, 9 maggio 2016.

materia di antiriciclaggio è evidente il nesso con la segnalazione delle operazioni sospette, anche se in questo secondo caso i flussi informativi verso l’esterno sono esclusiva del Responsabile delle Segnalazioni delle Operazioni Sospette.

4.4.3 L’obbligo di segnalazione in ambito di Voluntary Diclosure

La Voluntary Disclosure bis è stata introdotta nell’ordinamento italiano dal Decreto Legge 193/2016, in vigore dallo scorso ottobre. Si tratta di una procedura di collaborazione volontaria rivolta a soggetti italiani che detengono patrimoni ed attività finanziarie all’estero, di cui l’Agenzia delle Entrate non è a conoscenza e per i quali non sono stati avviate le procedure d’accertamento. Tali soggetti possono volontariamente autodenunciarsi, attraverso le opportune documentazioni, al fine di rimettere in regola la propria posizione in termini di imposte ed ottenere una riduzione delle sanzioni previste in merito alla dichiarazione fiscale, al monitoraggio fiscale e all’emersione188_.

Le nuove disposizioni in materia si intrecciano con gli adempimenti antiriciclaggio in relazione agli obblighi di segnalazione. Le istanze fornite dal contribuente, infatti, vengono classificate come un sottoinsieme della più ampia categoria del riciclaggio, qualora instillino il sospetto che possano esserci legami con operazioni di riciclaggio o di finanziamento del terrorismo.

Per proprie caratteristiche, l’autodenuncia costituisce un campanello d’allarme in ottica antiriciclaggio e rappresenta un fattore d’incremento delle segnalazioni ricevute dall’UIF da parte dei soggetti destinatari degli obblighi. L’Unità d’Informazione Finanziaria per l’Italia ha registrato un notevole incremento delle SOS, dovuto a quello che è stato definito un “effetto Voluntary Discolsure”, specialmente provenienti dal settore bancario. Tali effetti non sono esenti da critiche: richiamando il fenomeno del crying

wolf, infatti, è pacifico ritenere che gli intermediari abbiano agito in modo tale da

risultare compliant agli obblighi di segnalazione per evitare le sanzioni connesse e che una concausa sia rappresentata dalla consapevolezza che le operazioni segnalate godano delle coperture penali e tributarie garantite dall’adesione alla Voluntary

Disclosure stessa189_{. Di fatto, la crescita del numero di segnalazioni effettuate può}

188_{Mazzitelli P., Voluntary discolsure bis e Antiriciclaggio, in Fisco e Tasse, 18 gennaio 2017.} 189_{Loconte S., Voluntary discolsure e segnalazioni antiriciclaggio: i dati UIF, in Quotidiano IPSOA, 18}

rappresentare un evento sconnesso con effettive operazioni di riciclaggio e di finanziamento del terrorismo, confondendo con quest’ultime le operazioni finalizzate a rimettersi in regola con le norme in vigore, non prevedendo specifici criteri sulla base dei quali effettuare delle distinzioni. Pur trattandosi di sospetti e non obbligatoriamente di violazioni, è chiaro come le nuove procedure influenzino l’organizzazione degli operatori in relazione agli obblighi in tema di antiriciclaggio, con i pro e i contro del caso. L’incremento delle segnalazioni di operazioni sospette rappresenta una nota positiva nella valutazione dell’atteggiamento proattivo dei soggetti obbligati nei confronti delle autorità, ma i dubbi emersi al riguardo lasciano presagire l’insorgere di nuove modifiche in merito.

5 LE POLICIES ANTIRICICLAGGIO DEI GRUPPI BANCARI

ITALIANI

L’azione di contrasto ai fenomeni del riciclaggio e del finanziamento del terrorismo comporta effetti sul piano operativo e sul piano organizzativo degli intermediari. Le banche italiane, nel tempo, hanno mutato i propri assetti organizzativi in funzione delle regolamentazioni susseguitesi negli anni, senza prescindere dall’intento di perfezionare la propria struttura verso una riduzione delle componenti rischiose e una migliore gestione di queste ultime, al fine di perseguire, di fianco a meri adempimenti normativi, obiettivi di competitività e performance.

L’analisi dei principali gruppi bancari italiani mostra spesso analogie, dimostrando la pressante presenza di un background normativo per quanto riguarda le scelte fatte a livello d’organizzazione, ma è comunque possibile ravvisare differenze tra gli intermediari, laddove non vi siano obblighi specifici o nei casi in cui venga perseguita la scelta di dedicare maggiori o minori risorse nelle diverse aree che costituiscono l’architettura della banca. Di conseguenza, le articolazioni interne preposte al presidio dei rischi di riciclaggio e di finanziamento del terrorismo danno la parvenza di una standardizzazione che pone le proprie radici sugli stringenti vincoli che definiscono i

Nel documento L'Antiriciclaggio in banca: evoluzione normativa e principali implicazioni organizzative (pagine 87-128)