Tommaso Ogliaro Roma 27 novembre 2017

(1)

Il nuovo approccio basato sul rischio e l’obbligo di autovalutazione: riflessi per gli operatori

bancari e conseguenze sul principio di proporzionalità

Tommaso Ogliaro – Roma 27 novembre 2017

Ordine dei Dottori Commercialisti e degli Esperti Contabili di Roma COMMISSIONE DI DIRITTO PENALE DELL’ECONOMIA

Convegno di Formazione Professionale Continua

30/11/2017 1

(2)

30/11/2017 2

Programma

Il sistema

Cultura dei controlli e approccio basato sul rischio (risk based approach) Visione integrata dei rischi

Le Raccomandazioni del GAFI La Comunità Europea

Il concetto dell’Approccio basato sul rischio (criteri e metodologie – procedure) Valutazione dei rischi

Nazionale

Delle entità (Soggetti obbligati) Dei clienti

La Banca d’Italia

Le istruzioni della Banca d’Italia La metodologia

Il rischio inerente

L’analisi di vulnerabilità;

Determinazione del rischio residuo

La Banca

Alcuni elementi per la misurazione dei rischi Il mercato di riferimento

Le linee di business

I driver per la misurazione dei rischi

(3)

Il Sistema - Cultura dei Controlli e Approccio Basato sul Rischio

Principio Generale

La normativa bancaria in materia di controlli e più specificatamente quella in materia di antiriciclaggio e di lotta al finanziamento del terrorismo non è una normativa basata su specifiche regole ben determinate, bensì, in generale, è una normativa che fissa dei principi.

Ogni Intermediario ha quindi il dovere, ma anche il diritto, di adattare alla propria concreta realtà operativa il principio generale stabilito dal normatore.

Questa tipologia di norme permette quindi di applicare un principio di efficienza e economia, ma implica, di converso, la necessità, da parte dell’intermediario, di analizzare la propria situazione reale, valutarne i rischi e scegliere le soluzioni più idonee a mitigarli

.

30/11/2017 3

(4)

Principio di proporzionalità

Il principio di proporzionalità impone che l'applicazione delle misure previste dalle norme deve essere proporzionata alla peculiarità dei singoli Stati e dei singoli intermediari .

Le misure adottate devono quindi essere proporzionate al rischio di riciclaggio o di finanziamento del terrorismo in relazione al tipo di cliente, al rapporto continuativo, al prodotto o alla transazione.

Il principio generale è sancito dal GAFI : «Gli Stati devono innanzitutto individuare, valutare e comprendere i rischi a cui sono esposti in materia di riciclaggio e di finanziamento del terrorismo, per poi procedere all’adozione di misure adeguate volte a mitigare tali rischi in proporzione alla loro entità» .

In sostanza si tratta dell’applicazione del principio del «conosci te stesso» prima di organizzare la tua operatività.

Nota: Costituito nel 1989 in occasione del G7 di Parigi, il Gruppo d’Azione Finanziaria Internazionale (GAFI) o Financial Action Task Force (FATF) è un organismo intergovernativo che ha per scopo l’elaborazione e lo sviluppo di strategie di lotta al

riciclaggio dei capitali di origine illecita e, dal 2001, anche di prevenzione del finanziamento al terrorismo

30/11/2017 4

(5)

Il Principio dell’approccio Basato sul Rischio - Le raccomandazioni del GAFI e della UE

Dal principio di «proporzionalità» si passa al principio dell’«approccio basato sul rischio» che ne è una declinazione.

Infatti una volta compresi i rischi connessi allo svolgimento dell’attività finanziaria, è logica conseguenza il passaggio alla definizione della misure di mitigazione da adottare di volta in volta per il loro contenimento.

Il GAFI:»…l’approccio basato sul rischio consente di adottare misure più flessibili volte a concentrare le proprie risorse in maniera più efficace ed applicare misure preventive proporzionali alla natura dei rischi a cui si è esposti al fine di ottimizzare i propri sforzi».

Tale concetto è ribadito nel Considerando n. 23 della IV Direttiva UE che indica

«sostenere l'approccio basato sul rischio è una necessità per gli Stati membri e per l'Unione per individuare, comprendere e mitigare i rischi di riciclaggio e di finanziamento del terrorismo a cui sono esposti»

30/11/2017 5

(6)

Il Sistema - Il Concetto dell’Approccio Basato sul Rischio (criteri metodologie procedure)

La valutazione dei rischi

Il recepimento della IV Direttiva porta a un sistema integrato nella lotta al terrorismo o al riciclaggio in un’ottica basata sul rischio.

La IV Direttiva definisce, in via generale, alcuni macro rischi che ogni «attore» deve declinare al proprio interno per poter arrivare al «conosci te stesso» che è alla base di ogni ragionamento.

Questi rischi costituiscono la struttura portante di ogni valutazione e/o autovalutazione che viene effettuata a ogni livello per misurare l’entità dei rischi e trovare le misure di mitigazione adeguate.

30/11/2017 6

(7)

La UE

La IV Direttiva prevede un’autovalutazione dei rischi a livello UE (art. 6).

Infatti è richiesto alla Commissione di effettuare una valutazione dei rischi di riciclaggio e del finanziamento del terrorismo che gravano sul mercato interno e relativi alle attività transfrontaliere.

Tale valutazione comprende almeno i seguenti elementi:

a) i settori del mercato interno maggiormente esposti al rischio;

b) i rischi associati a ciascun settore interessato;

c) i mezzi più diffusi cui ricorrono i criminali per riciclare proventi illeciti.

30/11/2017 7

(8)

La UE (segue)

A giugno 2017 la Commissione ha rilasciato il proprio Report per essere d’ausilio ai Soggetti obbligati e ha individuato diversi rischi in diversi settori tra cui:

• Servizi finanziari (p.e. servizio d’investimento, cassette di sicurezza, rimesse di denaro, moneta elettronica, valute virtuali);

• Gioco d’azzardo;

• Imprese e professioni non finanziarie (identificazione del Titolare Effettivo, settore immobiliare, prestiti commerciali fittizi);

• Denaro contante, oro e diamanti

• Organizzazioni senza scopo di lucro

• Fintech

30/11/2017 8

(9)

Il Principio dell’approccio Basato sul Rischio – Le

raccomandazioni de GAFI e della UE (segue)

E’ importante rilevare che tale approccio riguarda tutte le scelte operative a ogni livello.

Si tratta quindi di una impostazione trasversale che attraversa l’intero ordinamento interno al soggetto obbligato dall’alto in basso.

Infatti esso riguarda:

a) Gli Stati UE (ogni tre anni, l’Italia lo ha fatto l’ultima volta nel 2015) ; b) Gli intermediari all’interno di ciascuno Stato;

c) I Clienti degli Intermediari;

E’ un principio generale e permeante

30/11/2017 9

(10)

Il Sistema - Il Concetto dell’Approccio Basato sul Rischio (criteri metodologie procedure) L’Italia

Nel 2015 l’Italia ha effettuato la propria autovalutazione (triennale, quindi da rifare il prossimo anno)

Il MEF ha coordinato le attività di raccolta dati e informazioni. Il Giudizio del GAFI (1) è il seguente:

«L'Italia è dotata di un regime di antiriciclaggio e di contrasto al finanziamento del terrorismo maturo e sofisticato, con un quadro giuridico e istituzionale altrettanto ben articolato. Il Paese, tuttavia, si confronta con un rischio significativo di riciclaggio di denaro derivante primariamente da attività e reati tributari più frequentemente associati alla criminalità organizzata, quali corruzione, narcotraffico e usura.

(1) Gafi : Costituito nel 1989 in occasione del G7 di Parigi, il Gruppo d’Azione Finanziaria Internazionale (GAFI) o Financial Action Task Force (FATF) è un organismo intergovernativo che ha per scopo l’elaborazione e lo sviluppo di strategie di lotta al riciclaggio dei capitali di origine illecita e, dal 2001, anche di prevenzione del finanziamento al terrorismo

30/11/2017 10

(11)

I Soggetti obbligati (tra cui le Banche) (definizione all’art. 3 D.Lgs 231/07)

Il D.Lgs. 231/07 art. 15 (novellato dal D.Lgs 90/17) prevede i seguenti ambiti:

(Valutazione del rischio da parte dei soggetti obbligati). - 1. Le autorita' di vigilanza di settore e gli organismi di autoregolamentazione dettano criteri e metodologie, commisurati alla natura dell'attivita' svolta e alle dimensioni dei soggetti obbligati, per l'analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo, cui sono esposti nell'esercizio della loro attivita'.

2. I soggetti obbligati, adottano procedure oggettive e coerenti rispetto ai criteri e alle metodologie di cui al comma 1, per l'analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo. Per la valutazione del rischio di riciclaggio o di finanziamento del terrorismo, i soggetti obbligati tengono conto di fattori di rischio associati alla tipologia di clientela, all'area geografica di operativita', ai canali distributivi e ai prodotti e i servizi offerti.

30/11/2017 11

(12)

I Soggetti obbligati (tra cui le Banche) (definizione all’art. 3 D.Lgs 231/07)

Il D.Lgs. 231/07 art. 16 (novellato dal D.Lgs 90/17) richiede che:

«I soggetti obbligati adottino i presidi e attuano i controlli e le procedure, adeguati alla propria natura e dimensione, necessari a mitigare e gestire i rischi di riciclaggio e di finanziamento del terrorismo, individuati ai sensi degli articoli (precedenti) ….»

30/11/2017 12

(13)

I

clienti

Il D.Lgs. 231/07 art. 17 (novellato dal D.Lgs 90/17) richiede che:

« I soggetti obbligati procedano all'adeguata verifica del cliente e del titolare effettivo con riferimento ai rapporti e alle operazioni»…..ovvero negli altri casi previsti dalla normativa.

Le modalità di effettuazione riguardano la raccolta di informazioni sui soggetti che operano direttamente o indirettamente con il Soggetto obbligato e «il controllo costante del rapporto con il cliente, per tutta la sua durata»

30/11/2017 13

(14)

La Banca d’Italia - Le Istruzioni della Banca d’Italia

La metodologia

La Banca d’Italia ha sviluppato un percorso di analisi antiriciclaggio risk-based, volto a determinare il grado di esposizione ai rischi ML/TF (rischio residuo) di ogni intermediario, per poi determinare la conseguente azione di Vigilanza.

30/11/2017 14

Follow Up

Analisi del rischio

Azioni L’azione di vigilanza deve essere commisurata e proporzionale al rischio

Criteri quantitativi e qualitativi (tra questi Autovalutazione della Banca)

- Verificare l’adozione misure correttive

- Aggiornare valutazione

(15)

Il rischio inerente

Identificazione dei rischi attuali e potenziali cui la Banca è esposta in ragione del proprio business.

L’analisi delle vulnerabilità

Una volta identificati i rischi si tratta di valutare l’adeguatezza dell’assetto organizzativo e dei controlli chiamato a gestirli per rilevare eventuali vulnerabilità;

La determinazione del rischio residuo

Rischi rilevati – presidi organizzativi e controlli = rischio residuo, con conseguente piano operativo di mitigazione dello stesso

30/11/2017 15

(16)

30/11/2017 16

In sostanza la Banca d’Italia chiede:

1. Valutazione del rischio

inerente

2. Analisi delle vulnerabilità

3.

Determinazion e del rischio

residuo

4. Piano d’azione e Relazione sui

risultati

Relazione per il CdA e per la Banca d’Italia che è uno degli imput del processo di analisi della rischiosità delle Banche

Un piano di azione credibile ed efficace in grado di risolvere o mitigare le criticità rilevate

(17)

La Banca - Elementi per la misurazione dei rischi – Il Mercato di riferimento

Il mercato di riferimento varia in relazione della tipologia di Banca:

Alcune esemplificazioni

30/11/2017 17

Banca Retail

• Famiglie

• Ditte

Individuali

• Enti locali

• Società di dimensioni contenute con operatività prevalentemen te nazionale

Banca Corporate

• Grandi Enti

• Grandi Società

• Società con operatività internazionale

• Multinazionali

Banca Private

• Soggetti affluent

• Tipologie complesse di clientela (p.e.

Trust)

• Consulenza fiscale

• Consulenza successoria

Banca Online ………….

(18)

La Banca - Elementi per la misurazione dei rischi – Le Linee di business

In relazione alle diverse tipologie di mercato di riferimento le Linee di business da analizzare per individuare i rischi inerenti possono essere diverse e con pesature differenti.

Con buona approssimazione si può affermare che generalmente le Linee di business si rapportano alle varie declinazioni delle tipologie di attività bancaria: Alcuni esempi

30/11/2017 18

Banca Retail

• Retail Banking

• Private Banking

• Corporate Banking

• Online Banking

• Correspondent Banking

• Altri servizi

Banca Corporate

• Retail Banking

• Private Banking

• Online Banking

• Altri servizi

Banca Private

• Retail Banking

• Private Banking

• Online Banking

• Altri servizi

Linee di Business

(19)

La Banca - Elementi per la misurazione dei rischi – I driver per la misurazione dei rischi

La valutazione del rischio inerente prende in considerazione diversi elementi identificati come fattori di rischio, per ognuna delle Linee di business rilevate:

Alcuni esempi

30/11/2017 19

Clientela classificata dalla Banca a rischio

Alto

(p.e. precedenti penali) Clientela appartenente a specifiche categorie

di rischio (p.e. SOS, Pep, Fiduciarie, Trust,

Onlus, MT, Oro)

Operatività significativa in contanti in euro o in

valuta

Operazioni frazionate Utilizzo di banconote di grosso taglio (Euro

200 e 500) Operatività «fuori conto» o incongrua o strutture di proprietà

incoerenti

Operazioni con Paesi ad Alto rischio o con

clientela «non residente»

Utilizzo di prodotti identificati a rischio

elevato o che favoriscono l’anonimato

(p.e. carte prepagate, cassette di sicurezza)

Canali di

distribuzione indiretti o «a distanza»

(20)

Sulla base dei precedenti elementi, la costruzione degli indicatori di rischiosità per la determinazione del rischio inerente tiene conto dell’

incidenza dei fattori di rischio nelle singole Business Line.

Più è alta l’incidenza maggiore sarà la rischiosità.

E’ evidente che per una Banca Retail il peso della linea di business Retail sarà superiore di quello della linea Corporate.

Quindi la rischiosità di ogni linea dovrà essere «ponderata» per il «peso»

che la linea ha in relazione all’attività della tipologia di Banca considerata.

E’ questo un elemento che si giustifica con:

- l’ottica di proporzionalità;

- l’approccio basato sul rischio

30/11/2017 20

(21)

L’analisi di vulnerabilità

adeguatezza dei presidi di ciascuna linea di business

30/11/2017 21

Organizzazione/risorse

Norme/regole

Procedure /Applicativi

Controlli

(22)

Alcuni macro processi tipici della gestione del rischio di riciclaggio e finanziamento al terrorismo: (in italico i processi più «operativi»)

• Gestione dell’Adeguata verifica della clientela;

• Gestione dell’Archivio Unico Informatico;

• Gestione delle Segnalazioni operazioni sospette;

• Gestione flussi finanziari;

• Trasferimenti di fondi in ambito comunitario;

• Misure antiriciclaggio per l'emersione e il rientro di capitali detenuti all'estero;

• Tracciabilità e monitoraggio dei flussi finanziari per le società appaltatrici di commesse pubbliche;

• Organizzazione e presidi antiriciclaggio;

• Adempimenti in materia di Antiterrorismo.

30/11/2017 22

(23)

Rischio residuo è funzione del Rischio inerente e della Vulnerabilità dei presidi EsempioIl

30/11/2017

23

Alto

Medio-Alto Medio-Basso Basso

Non

significativa

Poco significativa Abbastanza significativa

Molto

significativa Vulnerabilità dei presidi

Rischio Inerente

BL 3 BL 1

BL 4 BL 2

BL … BL sta per Linea di

Business 1,2, 3, 4, ecc.

Il colore rappresenta il livello del rischio residuo in relazione a quello inerente e alla vulnerabilità

(24)

Il Piano d’azione permette di migliorare il livello di rischio residuo con interventi di mitigazione. per Esempio le BL 1 e 2 con interventi adeguati possono diminuire il loro rischio residuo, passando a un livello più basso.

Di tali interventi e del conseguente «seguito» viene dato riferimento negli appositi Reports.

30/11/2017

24

Alto

Medio-Alto Medio-Basso Basso

Non

significativa

Poco significativa Abbastanza significativa

Molto

significativa Vulnerabilità dei presidi

Rischio

Inerente BL 3

BL 1

BL 4 BL 2

BL 1 BL 2

(25)

Considerazioni finali sul principio di proporzionalità

Il principio di proporzionalità è declinato in tutta la normativa primaria (novellato D.Lgs. 231/07).

L’art. 4 arriva a prevedere che:

«comma 3. Il Ministro dell'economia e delle finanze, su proposta del Comitato di sicurezza finanziaria, stabilisce l'esenzione dall'osservanza degli obblighi di cui al presente decreto, di taluni soggetti che esercitano, in modo occasionale o su scala limitata, un’ attivita' finanziaria che implichi scarsi rischi di riciclaggio o di finanziamento del terrorismo..».

Tuttavia, essendo la normativa per principi, l’individuazione della proporzionalità

«adeguata» all’attività del Soggetto obbligato è lasciata alla sua valutazione, con conseguenti possibilità di diverse interpretazioni anche in fase di eventuali controlli esterni.

30/11/2017 25

(26)

Considerazioni generali e finali sul principio di proporzionalità

(segue)

Una corretta autovalutazione è quindi lo strumento non solo previsto dalle norme ma logicamente efficace per risolvere questa incertezza.

L’importante è che l’autovalutazione sia effettuata in maniera efficiente e strutturata, basandosi su una buona conoscenza del proprio «business» e utilizzando procedure e metodologie adeguate e proporzionali allo scopo, in maniera da consentire sempre la tracciabilità «ex post» del processo decisorio.

Questa impostazione permette di basare l’autovalutazione su basi robuste e oggettive.

Quindi difficilmente contestabili.

Una buona e corretta autovalutazione è la chiave per una efficace e sostenibile proporzionalità.

30/11/2017 26

(27)

Considerazioni finali sul principio di proporzionalità

30/11/2017 27

«It is not the strongest of the species that survives, nor the most intelligent that survives.

It is the one that is most adaptable to change».

Charles Darwin

(28)

Considerazioni finali

30/11/2017 28

MOLTE GRAZIE PER L’ATTENZIONE

Tommaso Ogliaro

[email protected] Tel, mobile: 3487918036