In relazione a quanto appena esposto, la Banca d’Italia all’interno della Circolare del 16 ottobre 2015 non ha previsto alcuna specifica indicazione in merito alla periodicità di svolgimento dell’esercizio di autovalutazione, se non il termine ultimo per l’invio della prima relazione, inizialmente fissato al 30 aprile e poi prorogato al 30 giugno. Tuttavia, ha previsto che “per le autovalutazioni successive alla prima, venga prevista una fase di verifica dello stato di attuazione delle iniziative in precedenza assunte”, riconoscendo quindi la caratteristica di ricorsività del risk-assessment, il quale deve essere necessariamente ripetuto per un aggiornamento delle valutazioni di esposizione ai rischi e conseguentemente delle misure di mitigazione. In ogni caso, né l’art. 8 della Direttiva 2015/849/CE, né il suo decreto di recepimento, forniscono una specificazione in merito alla periodicità dell’autovalutazione, la quale è stata fissata al 30 aprile, solamente a partire da quest’anno. Vedremo quindi, in che modo ciascun istituto bancario ha determinato la periodicità dell’autovalutazione prima che fosse introdotto tale termine.
Oltre a quanto appena esposto, le linee interpretative delle Raccomandazioni del FATF- GAFI indicano che le istituzioni bancarie hanno l’obbligo di documentare l’autovalutazione per essere in grado di dimostrarne il fondamento metodologico e per mantenere le valutazioni aggiornate. Più importante appare il passaggio in cui viene precisato che le istituzioni finanziarie devono avere sempre piena comprensione della propria esposizione ai rischi di riciclaggio e finanziamento del terrorismo.
Ai fini della determinazione della periodicità dell’autovalutazione, si pensi al fatto che la gestione del rischio di riciclaggio e di finanziamento del terrorismo si inscrive nel più generale processo di gestione dei rischi, il quale ne ha condizionato sino ad oggi anche le tempistiche.
Per la determinazione della periodicità della valutazione dunque, occorrerà fare riferimento al più generale processo di gestione del rischio, la cui disciplina è contenuta nelle norme di vigilanza prudenziale emanate da Banca d’Italia con la Circolare 285/2013.
A conferma di ciò, la Nota di Banca d’Italia precisa che“l’autovalutazione costituisce il presupposto per la realizzazione di appropriati interventi a fronte delle eventuali criticità esistenti e per l’adozione di opportune misure di prevenzione e mitigazione, anche alla luce di quanto previsto nel più generale quadro di riferimento per la propensione al rischio della banca (Risk Appetite Framework)170”.
Il documento “Guidance for a risk based approach” pubblicato dal FATF-GAFI nel 2014 riporta anch’esso un evidente richiamo alle logiche di risk appetite/risk profile del RAF, indicando che l’autovalutazione rappresenta il fondamento delle politiche di mitigazione del rischio, coerentemente con la propensione al rischio definita dall’istituzione finanziaria171.
Dunque, in mancanza di chiarimenti da parte dell’autorità di Vigilanza, stando alla normativa vigente, ogni banca ha definito la periodicità dell’esercizio di valutazione nell’ambito del processo di gestione dei rischi e coerentemente con il proprio RAF. È utile ricordare che la Circolare 285/2013 definisce il processo di gestione dei rischi come l’insieme delle regole, delle procedure, delle risorse e delle attività di controllo volte a identificare, misurare o valutare, monitorare, prevenire o attenuare, nonché comunicare ai livelli gerarchici appropriati, tutti i rischi assunti o assumibili nei diversi segmenti, cogliendone, in una logica integrata, anche le interrelazioni reciproche e con l’evoluzione del contesto esterno. Allo stesso modo il Risk Appetite Framework (RAF) viene definito come il quadro di riferimento che definisce - in coerenza con il massimo rischio assumibile, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli172.
170 Cit. B
ANCA D’ITALIA, Autovalutazione dei rischi di riciclaggio e finanziamento del terrorismo.
Relazione annuale della funzione antiriciclaggio, Banca d’Italia, 16 ottobre 2015. 171 F
ATF-GAFI, Guidance for a risk-based approach. The bankig sector, paragrafo 58: “The risk
assessment should be approved by senior management and form the basis for the development of policies and procedures to mitigate ML/TF risk, reflecting the risk appetite of the institution and stating the risk level deemed acceptable. It should be reviewed and updated on a regular basis. Policies, procedures, measures and controls to mitigate the ML/TF risks should be consistent with the risk assessment”. 172 Cit. B
ANCA D’ITALIA, Circolare n. 285 del 17 dicembre 2013, Disposizioni di vigilanza per le banche, Parte I, Titolo IV, Capitolo 3, Sezione I, paragrafo j), k). 17° aggiornamento.
Il punto chiave è la coerenza dell’attuazione del RAF, e quindi dell’esposizione ai rischi, con gli obiettivi di rischio e la soglia di tolleranza definiti; su questa base, la normativa di vigilanza prudenziale definisce i compiti dell’organo con funzione di supervisione strategica, dell’organo con funzione di gestione, dell’organo di controllo e delle singole funzioni di controllo. Fra le attività più importanti emerge proprio la valutazione periodica dell’adeguatezza e dell’efficacia del RAF e soprattutto della “compatibilità tra il rischio effettivo e gli obiettivi di rischio”, cioè della coerenza fra risk profile e risk appetite.
Tenuto conto di questo quadro di obblighi posti in capo agli organi societari (consiglio di amministrazione, collegio sindacale, direttore generale o amministratore delegato) e alle funzioni di controllo (in particolare, risk management e funzione antiriciclaggio), appare chiara la necessità di definire una periodicità all’esercizio di autovalutazione che consenta di capire il livello di esposizione al rischio (risk profile per AML/FT) per la verifica del rispetto dei livelli di risk tolerance e di coerenza con i livelli di risk appetite, nell’ambito del processo complessivo di gestione dei rischi. Fermo restando che l’attività di verifica di coerenza fra risk profile e risk appetite/risk tolerance viene svolta nel continuo, ai vari livelli e con diverso approccio (qualitativo/quantitativo) per le diverse tipologie di rischio, la banca ha determinato la periodicità dell’esercizio di autovalutazione tenendo conto delle cadenze dei flussi informativi forniti in proposito agli organi societari, e inevitabilmente del processo ICAAP.
Tale processo, si ricorda, dà conto degli esiti di adeguatezza del capitale interno rispetto all’esposizione di tutti i rischi, anche di quelli che non richiedono una dotazione patrimoniale minima regolamentare ma che, essendo rilevanti, devono essere considerati ai fini di valutazione del Pillar II, tra i quali appunto si rinvengono anche i rischi di riciclaggio.
Di conseguenza quindi, si è ritenuto corretto assegnare una periodicità annuale all’esercizio di valutazione dei rischi di ML/TF per le seguenti motivazioni:
1) Gli esiti dell’autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo vanno inseriti nel più generale processo di gestione dei rischi e vanno trattati secondo le previsioni del RAF, che segue una dinamica annuale; 2) Il RAF è direttamente collegato con il Piano Industriale e con il Piano Operativo (o Budget Annuale), documenti con i quali deve permanere una costante coerenza, che impone quindi, la verifica degli scostamenti fra rischio effettivo e quello obiettivo/soglia, quantomeno annuale;
3) L’ICAAP prevede una rendicontazione annuale per fornire gli esiti della valutazione dell’adeguatezza patrimoniale rispetto all’esposizione ai rischi di primo e secondo livello, fornendo le evidenze concernenti l’attuazione del RAF173.
In sostanza quindi, per svolgere le attività annuali connesse al RAF e all’ICAAP è necessario conoscere il livello dei rischi rilevanti a cui una banca è esposta, e fra essi i rischi di ML/TF, che quindi devono necessariamente essere verificati annualmente con l’esercizio di autovalutazione.
Per concludere, si ritiene che la periodicità annuale possa aver trovato motivazione anche con riferimento alle seguenti motivazioni:
Alcune misure di deterrenza che rientrano nel meccanismo di autovalutazione, previste all’interno della Nota di Banca d’Italia, vengono in genere sottoposte a revisione annuale (verifica delle procedure interne, aggiornamento della regolamentazione di processo);
Alcune misure di deterrenza che rientrano nel meccanismo di autovalutazione, previste all’interno della Nota di Banca d’Italia, vengono in genere sottoposte a determinazione annuale (investimenti nella formazione o nell’evoluzione tecnologica di diagnostici o sistemi IT), generando così un diverso esito del self-assessment.
Le stesse policy o regolamenti antiriciclaggio prevedono regole di aggiornamento dell’adeguata verifica rafforzata o di revisione dei clienti a rischio alto che spesso hanno cadenza annuale e dunque potrebbero generare evidenze che muterebbero l’esito della valutazione.
Le motivazioni fin qui esposte quindi, sono state più che sufficienti per la determinazione della periodicità di svolgimento del processo di autovalutazione dei rischi di riciclaggio e finanziamento del terrorismo, che deve essere effettuata con cadenza annuale, entro il 30 aprile dell’anno successivo a quello di valutazione, come puntualizzato all’interno del Documento di Banca d’Italia del 13 aprile 2018.
173 A
SSOCIAZIONE ITALIANA RESPONSABILI ANTIRICICLAGGIO, Considerazioni in ordine alla
periodicità dell’esercizio di autovalutazione dei rischi di riciclaggio e finanziamento del terrorismo,