RICICLAGGIO
4.1. I vantaggi e le problematiche dell’esternalizzazione di una
funzione di controllo interno
Ai sensi dell’art. 13 del Regolamento n. 41/2012 le imprese nelle quali, per le ridotte dimensioni e per le caratteristiche operative, l’istituzione di una specifica funzione antiriciclaggio non risponda a criteri di economicità, possono esternalizzare tale funzione, nel rispetto delle condizioni definite dal Regolamento ISVAP n. 20 del 26 marzo 2008 che abbiamo già avuto modo di osservare.
Uno dei modelli organizzativi che le Autorità di Vigilanza hanno, infatti, suggerito di adottare anche in applicazione del principio di proporzionalità14 è quello
12
Cfr. BANCA D’ITALIA, Disposizioni di vigilanza del 10/07/2007, Art. 4, comma 8: «Le banche di dimensioni contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento della funzione di conformità alle strutture esistenti incaricate della gestione dei rischi o a soggetti terzi ».
13
Cfr. Regolamento ISVAP n. 20 del 26/03/2008, Art. 23, comma 6 «In ogni caso, è garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze.»
14
Si ricorda che secondo il principio di proporzionalità la collocazione accentrata o decentrata della funzione Antiriciclaggio, così come l’eventuale scelta di una sua esternalizzazione deve essere coerente al modello organizzativo adottato dall’intermediario e dipende sia dalla disponibilità di risorse che dalle
137
dell’esternalizzazione di funzioni importanti ed essenziali, ossia dell’outsourcing. L’esternalizzazione consente all’azienda di cogliere opportunità nella selezione del fornitore ritenuto migliore in quel determinato contesto, di mitigare l’impatto di dover dedicare in via esclusiva una risorsa ad uno specifico ruolo e di gestire i costi in maniera astrattamente più efficiente.15
Con tale possibilità il Regolatore prende atto del progressivo diffondersi del processo di outsourcing a livello di trend internazionale che ha caratterizzato l’ultimo decennio e che si pone spesso come una via obbligata per la sopravvivenza di alcune aziende sul mercato.16
In tal senso possiamo osservare che in primo luogo l’esternalizzazione della funzione di Antiriciclaggio, così come l’esternalizzazione di altre funzioni di controllo interno permette di:
Ridurre i costi operativi, liberando così dei capitali che possono essere utilizzati per investimenti in altre attività a più alto valore aggiunto;
Liberare risorse umane interne che possono essere impiegate su attività del core business dell’impresa;
Avere accesso a migliori competenze specializzate.
In particolare, nell’ambito dei controlli interni, si sta assistendo al ricorso all’esternalizzazione, da parte degli intermediari per rispondere nel contempo ad esigenze di elevata professionalità.17
specificità di business. Per tale motivo la Banca d’Italia afferma che l’esternalizzazione della funzione antiriciclaggio da parte delle imprese che presentano significative dimensioni e complessità operativa non è coerente con il principio di proporzionalità. Cfr. BANCA D’ITALIA, Provvedimento del 10 marzo 2011, pag. 18.
15
Cfr. VALENTINO P., Intermediari ed esternalizzazione di funzioni in materia di antiriciclaggio , in “Rivista di Diritto Bancario”, Giugno 2012, op. cit., pag. 1.
16
Cfr. per un approfondimento dell’esternalizzazione delle attività di controllo, CASARIN E. (a cura di), Teoria e prassi della Compliance nelle assicurazioni, Guerini e Associati, Milano, 2010, pag. 127 e segg.
17
Cfr. VALENTINO P., Intermediari ed esternalizzazione di funzioni in materia di antiriciclaggio , in “Rivista di Diritto Bancario”, Giugno 2012, pag. 1.
138
L’impresa che decide di ricorre all’outsourcing deve però affrontare diverse problematiche, legate alla selezione del fornitore, alla definizione del contratto e dei rapporti con lo stessso, nonché riguardo l’organizzazione interna della struttura interna che si porrà come controparte capace, informata e autorevole per intrattenere i rapporti con colui che fornisce il servizio esterno. L’impresa dovrà valutare quali punti di debolezza:
La dipendenza dal fornitore del servizio, che può diventare fonte di rischio per il committente;
La difficoltà ad impostare adeguati sistemi di monitoraggio del fornitore e efficaci procedure di coordinamento.
Per questo motivo si avverte la necessità che l’impresa verifichi l’effettiva convenienza dell’outsourcing ed, in particolar modo, di quello relativo a funzioni appartenenti al Sistema dei controlli interni.
4.2. La disciplina dell’esternalizzazione nel Regolamento I
SVAPn.
41/2012
Innanzitutto, anche in caso di esternalizzazione, le compagnie devono assicurare l’indipendenza, professionalità e autorevolezza della funzione Antiriciclaggio (art. 13, comma 2) scegliendo come fornitore un soggetto esterno dotato di quei requisiti che abbiamo già visto propri del Responsabile Antiriciclaggio.18
A livello di disciplina dell’esternalizzazione, l’art. 13 del Regolamento n. 41/2012 ricalca sostanzialmente quanto previsto dal Regolamento ISVAP n. 20/2008, facendo più volte rimando a questo.
Identica infatti è la responsabilità in capo all’impresa in caso di una gestione dei rischi di riciclaggio e di finanziamento del terrorismo non corretta da parte dell’outsourcer (art. 13, comma 1) così come identica è la previsione all’interno
18
139
dell’impresa di responsabile che controlli il corretto svolgimento delle attività esternalizzate (art. 13, comma 4).
Al comma 3 del suddetto articolo, inoltre si prende in esame l’accordo di esternalizzazione, che deve contenere degli elementi minimi che sono i medesimi previsti dal precedente Regolamento in materia di controlli interni19 a parte l’esplicitazione di un ulteriore punto consistente nella possibilità per la UIF di accedere alle informazioni utili per l’attività di supervisione e controllo.20
A voler essere precisi, però l’Autorità di Vigilanza nel ripetere i contenuti minimi dell’accordo di esternalizzazione delle attività di controllo interno, prevede un qualcosa in più in due ambiti.
In primo luogo, per quanto riguarda la definizione delle modalità e frequenza dei rapporti con l’organo amministrativo e l’alta direzione, nell’esternalizzazione della funzione Antiriciclaggio, viene richiesto dall’ISVAP che la compagnia indichi al fornitore la frequenza minima dei flussi informativi e non solo verso gli organi aziendali, ma anche verso il referente interno.
In secondo luogo, per quanto riguarda la possibilità di rivedere le condizioni di servizio nel Regolamento in tema di presidi antiriciclaggio, l’ISVAP aggiunge la previsione di poter rivedere tali condizioni anche al verificarsi di modifiche normative, fermo restando la possibilità di rivederle al verificarsi di modifiche nell’operatività e nell’organizzazione dell’impresa committente.
4.3. Le anomalie nella gestione esternalizzata della funzione
antiriciclaggio
Per concludere appare utile ricordare l’intervento della Banca d’Italia del marzo 2012 in tema di esternalizzazione degli adempimenti antiriciclaggio21, che se pur non vincolante per le compagnie, è interessante da osservare in quanto richiama i principali
19
Ci si riferisce a contenuti riguardanti i flussi informativi, gli obblighi di riservatezza e le possibili revisioni degli accordi al verificarsi di modifiche nell’organizzazione dell’impresa. Cfr. Regolamento ISVAP n. 41/2012, art. 13, comma 3 e Regolamento ISVAP n. 20/2008, art. 32, comma 3.
20
Cfr. art. 13 comma 3, lett. d) Regolamento ISVAP n.41/2012.
21Cfr. BANCA D’ITALIA, Comunicazione del marzo 2012, Esternalizzazione degli adempimenti
140
punti di criticità riscontrati nell’osservanza degli obblighi di antiriciclaggio nel caso di esternalizzazione della funzione da parte dell’intermediario.
In particolare, sono state riscontrate inadempienze in materia di corretta e tempestiva registrazione nell’archivio unico informatico (AUI), causate da carenze nelle procedure utilizzate dagli outsourcer. Data la ricorrenza di tali anomalie, la Banca d’Italia ha ritenuto opportuno richiamare l’attenzione di tutti gli intermediari sulla necessità di una scrupolosa applicazione degli obblighi imposti dal d.lgs. n. 231/2007 e dalle disposizioni attuative, anche nell’ipotesi di esternalizzazione.
Il primo punto che viene ribadito dalla Banca d’Italia è che la responsabilità delle attività attribuite in outsourcing è in capo all’intermediario. Ne consegue che l’attribuzione di parti dell’attività a soggetti terzi non deve configurarsi come uno scarico definitivo di compiti e responsabilità; l’intermediario deve, infatti, mantenere la conoscenza e il controllo sull’operatività e sulle funzioni esternalizzate, in modo da assicurarsi il necessario governo dei processi aziendali.
Si ricorda che nel caso di esternalizzazione della funzione antiriciclaggio la normativa secondaria, sia della Banca d’Italia che dell’ISVAP, prevede comunque la nomina di un responsabile interno, con il compito di monitorare il servizio svolto in esternalizzazione e di assicurarne il corretto svolgimento da parte dell’outsourcer.
Inoltre, proprio con specifico riferimento all’AUI, la normativa vigente22, nel consentire che l’istituzione, la tenuta e la gestione dell’archivio siano affidate a un autonomo centro di servizio, precisa che le relative responsabilità restano, in ogni caso, in capo al soggetto vigilato. 23
La Banca d’Italia ha poi fornito alcune indicazioni in tema di selezione dell’outsourcer, di disciplina contrattuale da adottare e di sistema di controlli da applicare, che non riportiamo nello specifico, in quanto non vincolanti per le compagnie. Si tratta sostanzialmente di misure volte ad assicurare un più corretto adempimento degli obblighi in materia di antiriciclaggio che sarebbero utili, ad avviso di chi scrive, anche alle società assicurative.
L’attività ispettiva dell’ISVAP nel 2012, in materia di rispetto della normativa antiriciclaggio e antiterrorismo, ha infatti rilevato tra le tipologie di violazioni più
22
Cfr. art. 37, comma 4, d.lgs. n. 231/2007.
23
Cfr. BANCA D’ITALIA, Provvedimento recante disposizioni attuative per la tenuta dell’archivio unico informatico e per le modalità semplificate di registrazione di cui all’articolo 37, commi 7 e 8, del decreto legislativo 21 novembre 2007, n. 231, Roma, 3 aprile 2013.
141
frequenti emerse dagli accertamenti, il mancato controllo sull’attività antiriciclaggio oggetto di esternalizzazione, anche in presenza di significative inadempienze contrattuali.24
Ciò significa che le compagnie devono porre maggiore attenzione nell’implementazione di adeguati presidi organizzativi e contrattuali, che consentano di mantenere poteri di controllo sulla funzione esternalizzata e che permettano di intervenire prontamente in caso di inefficienze e carenze da parte del fornitore.