Il processo di revisione e valutazione prudenziale (SREP)

3.4 La Circolare 285/2013 e le relazioni con il Provvedimento emanato a

3.4.1 Il processo di revisione e valutazione prudenziale (SREP)

Tra le disposizioni dettate dal Provvedimento, si cita esplicitamente il processo di verifica dell’adeguatezza dei presidi adottati da parte degli intermediari e di spettanza della Banca d’Italia176: tale processo costituisce una parte fondamentale del più ampio “processo di revisione e valutazione prudenziale”, in acronimo (SREP), a sua volta parte del “Processo di controllo prudenziale” (Supervisory

175_{Cfr. Premessa delle Nuove disposizioni di vigilanza prudenziale per le banche.} 176_{Cfr. pag. 11-12 del Provvedimento.}

Review Process – SRP), secondo quanto prescritto nella Parte Prima, Titolo III

della Circolare 285/2013. Il SRP è composto da due fasi procedurali integrate: 1) il processo interno di determinazione dell’adeguatezza patrimoniale

(Internal Capital Adequacy Assessment Process – ICAAP), di competenza delle banche, le quali «effettuano un’autonoma valutazione della propria

adeguatezza patrimoniale, attuale e prospettica, in relazione ai rischi assunti e alle strategie aziendali»177;

2) il processo di revisione e valutazione aziendale (Supervisory Review and

Evaluation Process – SREP appunto), che spetta all’autorità di vigilanza, la

quale riesamina l’ICAAP per formulare un giudizio complessivo sulla banca ed eventualmente richiede i necessari interventi correttivi alla banca stessa, lasciando come ultima opzione quella di infliggere sanzioni o altre misure punitive.

La peculiarità dello SREP si basa sul fatto che è frutto di un confronto tra le banche e la Vigilanza, tanto da rendere partecipe l’Autorità dei motivi che hanno portato alle valutazioni insite nell’ICAAP e dei risvolti in termini di adeguatezza patrimoniale e strutturale. Fondamentale appare in quest’ottica quanto si può leggere nella Circolare, in particolare: «le banche definiscono strategie e

predispongono strumenti e procedure per determinare il capitale che esse ritengono adeguato – per importo e composizione – alla copertura permanente di tutti i rischi ai quali sono o potrebbero essere esposte, anche diversi da quelli per i quali è richiesto il rispetto dei requisiti patrimoniali – ricomprendendo, quindi,

anche i rischi reputazionali e legali che possono obbligare ad accantonare

percentuali di capitale a scopo prudenziale, nel contesto dei Fondi Propri del “primo pilastro” e del “secondo pilastro”178 – (…) Il processo ICAAP è imperniato

su idonei sistemi aziendali di gestione dei rischi e presuppone adeguati meccanismi di governo societario, una struttura organizzativa con linee di responsabilità ben definite, efficaci sistemi di controllo interno»179– afferendo, quindi, maggiormente alle strutture organizzative e ai presidi dei rischi. Tutto ciò che rientra nell’ICAAP, perciò, è oggetto di revisione e valutazione da parte della Banca Centrale Europea e della Banca d’Italia, le quali «analizzano i profili di rischio della banca

singolarmente e in un’ottica aggregata, anche in condizioni di stress, e il relativo contributo al rischio sistemico; valutano il sistema di governo aziendale, la funzionalità degli organi, la struttura organizzativa e il sistema dei controlli interni; verificano l’osservanza del complesso delle regole prudenziali»180. Dalla lettura di queste premesse, si capisce come l’assetto organizzativo delle banche costituisca un passaggio fondamentale per la salvaguardia della “vita sociale” della banca, ivi compresa la tutela contro i rischi di riciclaggio e finanziamento del terrorismo.

Scendendo più nel dettaglio, lo SREP è strutturato nelle seguenti fasi principali:

-‐ analisi dell’esposizione ai rischi assunti e dei presidi organizzativi predisposti per il governo, la gestione e il controllo degli stessi;

178_{Cfr. supra cap. 3, par. 3.3.}

179_{Nuove disposizioni di vigilanza prudenziale per le banche, cit., ibid.} 180_{Nuove disposizioni di vigilanza prudenziale per le banche, cit., ibid.}

-‐ valutazione della validità degli stress test condotti dalle stesse banche (in merito alla loro capacità di tenuta e risposta a shock finanziari specifici o generalizzati);

-‐ verifica del rispetto dei requisiti patrimoniali e delle altre regole prudenziali;

-‐ revisione dell’ICAAP;

-‐ analisi e formulazione di un giudizio complessivo sulla banca in riferimento alla posizione presa su di ogni singola tipologia di rischio; -‐ individuazione dei necessari provvedimenti di vigilanza da porre in essere. Il principio erga omnes sul quale si fonda il processo di revisione in questione, ancora una volta e guarda caso, similmente a quanto previsto del Provvedimento, è quello della proporzionalità: ampiezza e approfondimento delle analisi e dei controlli, nonché la frequenza del confronto con le banche «sono calibrate in

relazione alle caratteristiche, alle dimensioni operative e al grado di problematicità delle stesse»181.

Gli strumenti grazie ai quali le autorità possono più agevolmente adempiere ai loro doveri sono i sistemi di analisi aziendale: il tema merita una particolare attenzione, perdonando perciò un breve excursus. Assodato, infatti, che la globalizzazione e l’avvento di internet hanno creato potenzialità pressoché illimitate per la crescita dei sistemi criminali, compresi il riciclaggio e il finanziamento del terrorismo, altrettanto si deve dire anche per i mezzi potenzialmente utilizzabili a nostra difesa. Il problema, il più delle volte, sorge quando non vi sia una reale e piena volontà di contrasto dei fenomeni prima citati,

con la predisposizioni di sistemi informativi non integrati, non dialoganti e coadiuvati da una burocrazia farraginosa e che spesso risulta essere di ostacolo rispetto alle velocità con la quale si chiudono le transazioni criminali. In tal senso, gli sforzi legislativi internazionali, comunitari e nazionali sono notevoli, ma non bisogna dimenticare che finché esisteranno delle “zone franche” (ad esempeio i paradisi fiscali) i rischi continueranno ad esistere; l’incessante spinta normativa che vede ad esempio la costituzione e il continuo aggiornamento di black list o di white

list atte a individuare i paesi a fiscalità privilegiata o quelli con le autorità più o

meno collaborative, possono arginare il problema, ma non estirparlo alla radice. La visione di un fronte comune, perciò, se per certi aspetti può sembrare utopica viste la situazione geopolitica di molti Stati, per altri non è nulla di quanto più vicino a quello che si dovrebbe puntare a realizzare.

Ritornando a quanto più ci compete, i sistemi di analisi aziendale si dicevano essere principale strumento a supporto della attività dello SREP: essi quindi «consentono di apprezzare l’esposizione ai rischi e l’adeguatezza dei

relativi fattori di controllo nonché dei presidi organizzativi, patrimoniali ed economici, per giungere alla formulazione del giudizio complessivo sulla situazione aziendale, su cui si fonda l’individuazione delle eventuali azioni da intraprendere nei confronti dei soggetti vigilati»182. Specifici schemi di analisi, poi, permettono una valutazione delle varie aree di rischio – quali quella strategica, di mercato, riguardante il credito, la controparte, etc., ma soprattutto, ai nostri fini, i rischi operativi e reputazionali – e dei profili trasversali, quali quelli afferenti ai sistemi di governo e controllo, redditività e adeguatezza patrimoniale. Accanto a

profili specificatamente quantitativi, si aggiunge, infine, anche un’analisi di tipo qualitativo, relativa all’adeguatezza dei presidi organizzativi.

Durante il processo valutativo, sono possibili anche interventi ispettivi da parte degli addetti alla Vigilanza, volti all’acquisizione più o meno circoscritta di informazioni oppure alla verifica delle misure di follow up emerse in precedenti ispezioni, nell’ottica di meglio apprezzare l’attività della banca e aggiustare “in corsa”, e per quanto possibile senza misure punitive, i profili critici riscontrati.

La volontà, pienamente condivisa, di non istituire un mero organo di supervisione avulso dallo specifico contesto in cui opera il soggetto, è sottolineata dall’importanza che la Circolare conferisce al processo di confronto con le banche, tanto da definirlo parte integrante del processo di revisione e valutazione aziendale183; in tale ottica, si potrebbe definire l’autorità di vigilanza non più vigilante, ma “collaborante”, così da allontanare quel velato senso di “astio” nei confronti delle stesse autorità.

Qualora non sia possibile altrimenti, la Banca centrale europea e la Banca d’Italia «dispongono di tutti i necessari poteri di intervento sull’attività delle

banche»184 ; l’ultima spiaggia è rappresentata dagli interventi a carattere patrimoniale, qualora si ritenga che le altre misure intermedie non possano produrre benefici in un arco di tempo accettabile. Tra questi, si annoverano anche quelle che riguardano l’aggiunta di ulteriori requisiti patrimoniali qualora siano riscontrate rilevanti carenze nel sistema di governo, di controllo e nei sistemi di gestione dei rischi: all’interno di tali categorie si inseriscono sicuramente i presidi AML/CFT,

183_{Cfr. Tit. III, Cap. 1, Sez. III, Par. 4, Nuove disposizioni di vigilanza prudenziale per le banche, cit.} 184_{Cfr. Tit. III, Cap. 1, Sez. III, Par. 5, Nuove disposizioni di vigilanza prudenziale per le banche, cit.}

generando così ripercussioni dirette e immediate sui fabbisogni patrimoniali della banca.

3.4.2 (segue): governo societario, controlli interni e gestione dei rischi

La corretta predisposizione di un assetto organizzativo, di procedure e di controlli interni è rilevante per una moltitudine di motivi, tanto da essere richiamata più volte nelle prescrizioni previste dal Titolo IV della Circolare 285/2013, intitolato “Governo societario, Controlli interni e Gestione dei rischi”; qui, in maniera del tutto longitudinale a tutti i singoli Capitoli e relative Sezioni, si possono rintracciare evidenti parallelismi con ognuna delle previsioni del Provvedimento prima esposto. D'altronde si deve notare come non possa essere diversamente, presupponendo una normativa che dia una risposta la più organica e univoca possibile. Inoltre, la stessa Circolare 285 raccoglie l’eredità delle vecchie Istruzioni di Vigilanza per le banche (Circolare n. 229 del 21 aprile 1999) e delle Nuove Disposizioni di vigilanza per le banche (Circolare n. 263 del 27 dicembre 2006), dove già si ritrovavano capitoli contigui al tema di nostro interesse185.

185_{Specificatamente, nelle Istruzioni di Vigilanza, nel Titolo IV, Capitolo 11, Sezione II, “Sistema dei Controlli} Interni”, Par. 2.3) «Le banche definiscono le procedure operative e di controllo volte a minimizzare i rischi legati a frodi e infedeltà dei dipendenti. Le politiche di gestione del personale devono evitare potenziali conflitti tra fini individuali e interessi della banca. Esse inoltre adottano adeguate misure interne atte a evitare ogni coinvolgimento, anche inconsapevole, in fatti di riciclaggio, e si attengono alle procedure previste dalle "Indicazioni operative per la segnalazione di operazioni sospette" (c.d. "Decalogo"), emanate dalla Banca d'Italia ai sensi dell'art. 3 bis, comma 4, della legge 5 luglio 1991, n. 197». Nella Circolare 263, invece, in

maniera più generale, Titolo I, Cap. I, Parte Quarta: «Al fine di fronteggiare i rischi a cui possono essere

esposte, le banche si dotano di idonei dispositivi di governo societario e di adeguati meccanismi di gestione e controllo. Tali presidi si inseriscono nella più generale disciplina dell’organizzazione e del sistema dei controlli interni volta ad assicurare una gestione improntata a canoni di efficienza, efficacia e correttezza. I

Procedendo secondo l’ordine indicato dalla Circolare 285, inizio la contestualizzazione del Provvedimento nel Titolo IV, Capitolo 1, Sezione I, riguardante il “Governo Societario”, dove già nell’incipit si legge «efficaci assetti

organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali; per le banche essi assumono particolare rilievo in ragione delle caratteristiche che connotano l’attività bancaria e degli interessi pubblici oggetto di specifica considerazione da parte dell’ordinamento. Gli assetti organizzativi e di governo societario delle banche, oltre a rispondere agli interessi dell’impresa, devono assicurare condizioni di sana e prudente gestione, obiettivo essenziale della regolamentazione e dei controlli di vigilanza»186. Già da questo primo paragrafo è evidente il trait d’union tra le finalità dei corpi normativi in tema, in quanto entrambi, in ultima analisi, devono assicurare la sana e prudente gestione da parte delle banche; è la stessa Circolare, infatti, ad annettere tale Sezione – riguardante la precisa definizione del ruolo e del funzionamento degli organi di amministrazione e controllo e il rapporto di questi con la struttura aziendale – e in generale tutto il Capitolo 1 al più ampio sistema legislativo riguardante «altri aspetti rilevanti dell’organizzazione e del

governo societario, quali i controlli sugli assetti proprietari e sulle modificazioni statutarie, il sistema dei controlli interni, la gestione dei rischi, i requisiti degli esponenti aziendali, le operazioni con parti correlate e più in generale i conflitti di

suddetti presidi devono coprire ogni tipologia di rischio aziendale coerentemente con le caratteristiche, le dimensioni e la complessità delle attività svolte dalla banca. Le banche formalizzano le politiche per il governo dei rischi, procedono al loro riesame periodico al fine di assicurarne l’efficacia nel tempo e vigilano sul concreto funzionamento dei processi di gestione e controllo dei rischi».

interesse, il contrasto al riciclaggio nonché gli obblighi di disclosure verso gli investitori e il mercato»187.

La metodologia seguita dalla Circolare segue lo schema espositivo dettato dall’elencazione di principi generali seguiti da linee applicative: la somiglianza con lo schema del Provvedimento sembra evidente, al di là dell’assenza nominativamente parlando di tale dicotomia, tanto che, come illustrato in precedenza, il Provvedimento apre con la formulazione del principio di proporzionalità – per inciso espressamente richiamato più e più volte nella Circolare – e degli assetti organizzativi in via generale per poi declinarne in via specifica ogni aspetto188.

«I vertici dell’impresa bancaria assumono un ruolo centrale nella

definizione, sulla base di un’attenta valutazione delle specifiche caratteristiche aziendali, di assetti di governo societario idonei ad assicurare il perseguimento di detti obiettivi»189: qui lo specifico riferimento ai vertici aziendali, ai quali spetta l’obbligo, in ultima istanza, di prendere parte attivamente nel processo di costituzione di un adeguato assetto societario. Gli stessi vertici, perciò, non si potranno chiamare fuori nel caso in cui sorgano problemi, in quanto, per il ruolo che ricoprono, non basta la normale premura rispondente al principio generale del buon padre di famiglia, bensì competenze e professionalità adeguate e comprovate, in quanto saranno organi quali «la Banca centrale europea e la Banca d’Italia (che)

valutano l’adeguatezza delle soluzioni organizzative e di governo societario adottate avendo riguardo all’attuazione piena e sostanziale delle presenti

187_{Cfr. Nuove disposizioni di vigilanza prudenziale per le banche, cit., ibid.} 188_{Cfr., supra, cap. 3, par. 3.2.}

disposizioni e alle finalità che esse intendono conseguire. Le presenti disposizioni rappresentano inoltre criteri di accertamento da parte della Banca d’Italia della conformità degli statuti alla sana e prudente gestione, ai sensi dell’art. 56 TUB»190. Altro passo in avanti, quindi, rispetto alle norme previgenti rule based, che lasciano il posto ad una più pregnante e significativa impostazione principle based, volte a perseguire le finalità intrinseche e la ratio legis più che l’aspetto prettamente formale-regolamentare.

Il parallelo con il Provvedimento continua: «Le disposizioni di questo

capitolo, in via generale, non fanno riferimento a organi aziendali nominativamente individuati, potenzialmente variabili in relazione alla struttura organizzativa prescelta, ma richiamano le funzioni di “supervisione strategica”, “gestione” e “controllo”, che dovranno essere in concreto assegnate agli organi aziendali o a loro componenti in coerenza con la normativa civilistica e di vigilanza» 191 . La Circolare riprende, infatti, la formulazione che vede l’assegnazione dei compiti alle funzioni aziendali e non agli organi aziendali nominativamente assegnati, aggiungendo altresì, nel prosieguo, che alcune funzioni possono essere ricondotte agli stessi soggetti192. Data la contiguità tematica, anche

190_{Nuove disposizioni di vigilanza prudenziale per le banche, cit., ibid.} 191_{Nuove disposizioni di vigilanza prudenziale per le banche, cit., ibid.}

192_{Cfr., Nuove disposizioni di vigilanza prudenziale per le banche, ibid.: «In relazione ai diversi modelli di} amministrazione e controllo e alle scelte statutarie dei singoli intermediari, più funzioni possono essere svolte dallo stesso organo o più organi possono condividere la stessa funzione. Ad esempio, la funzione di supervisione strategica e quella di gestione, attenendo unitariamente all’amministrazione dell’impresa, possono essere incardinate nello stesso organo aziendale; tipicamente ciò avviene nell’ambito del consiglio di amministrazione. Nel modello dualistico il consiglio di sorveglianza e il consiglio di gestione possono concorrere nello svolgimento della funzione di supervisione strategica quando lo statuto attribuisca al consiglio di sorveglianza il compito di deliberare in ordine alle operazioni strategiche e ai piani industriali e

in questo caso si vuole evitare una formale, esasperata e oltremodo esagerata suddivisione dei ruoli e delle attività, similmente a quanto detto nel Provvedimento quando si concedeva la possibilità di accorpare la funzione antiriciclaggio con quella di controllo di conformità o di risk management193. Non solo, dopo aver definito che la funzione di supervisione strategica è incaricata di «deliberare sugli

indirizzi di carattere strategico della banca e a verificarne nel continuo l’attuazione», mentre la funzione di gestione è «responsabile dell’attuazione degli indirizzi strategici e della gestione aziendale», è la stessa Circolare che in merito

agli assetti organizzativi e presidi antiriciclaggio rimanda esplicitamente al Provvedimento: «per quanto attiene al ruolo svolto da questi organi in materia di

antiriciclaggio, si rinvia a quanto previsto dalla disciplina attuativa del d.lgs. 231/2007», segnatamente (in nota) «cfr. Provvedimento della Banca d’Italia recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art. 7, co. 2, del decreto legislativo 21 novembre 2007, n. 231 (Cap. 1, Sezioni I e II)»194. In questo caso, non siamo neanche in presenza, quindi, di un parallelismo, ma di una ripresa in toto dell’altro corpus normativo195. La funzione di controllo invece, per ovvi motivi, è soggetta a disposizioni più articolate; in particolare, la Circolare rimanda all’art. 52 TUB, rubricato “Comunicazione del

collegio sindacale e dei soggetti incaricati della revisione legale dei conti”, il quale

finanziari della società (art. 2409-terdecies, c. 1, lett. f-bis, del codice civile); in tale caso, peraltro, la funzione di supervisione strategica viene considerata, a fini di vigilanza, incentrata sul consiglio di sorveglianza». 193_{Cfr., supra, cap.3, par. 3.3.1.}

194_{Cfr. Tit. IV, Cap. 1, Sez. III, Nuove disposizioni di vigilanza prudenziale per le banche, cit.} 195_{E per questo, si rimanda supra cap. 3, par. 3.3.}

dispone: «il collegio sindacale informa senza indugio la Banca d'Italia di tutti gli

atti o i fatti, di cui venga a conoscenza nell'esercizio dei propri compiti, che possano costituire una irregolarità nella gestione delle banche o una violazione delle norme disciplinanti l'attività bancaria. A tali fini lo statuto della banca, indipendentemente dal sistema di amministrazione e controllo adottato, assegna all'organo che svolge la funzione di controllo i relativi compiti e poteri». Il D. Lgs.

12 maggio 2015, n. 72, inserisce altresì l’art. 52-bis TUB, “Sistemi interni di

segnalazione delle violazioni”, che si ritiene aggiungere ulteriori informazioni al

tema, consolidando a livello di normativa primaria le procedure delle segnalazioni di operazioni sospette da parte del personale delle banche: «le banche e le relative

capogruppo adottano procedure specifiche per la segnalazione al proprio interno da parte del personale di atti o fatti che possano costituire una violazione delle norme disciplinanti l’attività bancaria. Le procedure di cui al comma 1 sono idonee a:

a) garantire la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti avviati dall’autorità giudiziaria in relazione ai fatti oggetto della segnalazione;

b) tutelare adeguatamente il soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione;

c) assicurare per la segnalazione un canale specifico, indipendente e autonomo»196. Si intrecciano così profili organizzativi e attività di contrasto, non potendosi immaginare un corretto assolvimento dei doveri normativi senza l’indispensabile

dialogo e complementarità tra i due aspetti appena citati. Benché, inoltre, la Circolare sia normativa di secondo grado, l’aver reindirizzato all’appena citato articolo (rectius: agli appena citati articoli197) 52 (e 52-bis), imprime una forza dispositiva ancora maggiore alla funzione di controllo, tanto da porla come una

longa manus dell’Autorità di Vigilanza: «il TUB (art. 52) ha predisposto un meccanismo di collegamento funzionale con l’autorità di vigilanza: l’organo con funzione di controllo deve informare senza indugio la Banca d’Italia di tutti i fatti o gli atti di cui venga a conoscenza che possano costituire una irregolarità nella gestione delle banche o una violazione delle norme disciplinanti l’attività bancaria (…) l’organo di controllo ha la responsabilità di vigilare sulla funzionalità del complessivo sistema dei controlli interni. Considerata la pluralità di funzioni e strutture aziendali aventi compiti e responsabilità di controllo, tale organo è tenuto ad accertare l’efficacia di tutte le strutture e funzioni coinvolte nel sistema dei

Nel documento Gli assetti organizzativi ed i presidi a salvaguardia dei rischi di riciclaggio e finanziamento del terrorismo nelle banche. (pagine 90-106)