NORMATIVA ANTIRICICLAGGIO : ASPETTI RILEVANTI PER LE SOCIETA DI REVISIONE CONTABILE

Documento di ricerca n. 147

NORMATIVA “ANTIRICICLAGGIO”: ASPETTI RILEVANTI PER LE SOCIETA’ DI REVISIONE CONTABILE

1. SCOPO DEL DOCUMENTO

2. OBBLIGHI DI ADEGUATA VERIFICA DELLA CLIENTELA

2.1 Principi generali

2.1.1 L’adempimento degli obblighi correlato alle peculiarità delle società di revisione 2.1.2 L’approccio basato sul rischio

2.2 Obblighi di adeguata verifica della clientela da parte delle società di revisione 2.2.1 Presupposti oggettivi

2.2.2 Contenuto degli obblighi di adeguata verifica 2.3 Individuazione ed identificazione del cliente 2.3.1 Individuazione del cliente. Disposizioni generali

2.3.2 Individuazione del cliente in particolari tipologie di incarico 2.3.3 L’identificazione del cliente: contenuto dell’obbligo

2.4 L’identificazione del titolare effettivo 2.4.1 Disposizioni generali

2.4.2 Individuazione del titolare effettivo

2.4.3 Modalità di identificazione del titolare effettivo e dati identificativi 2.5 Obblighi semplificati e rafforzati di adeguata verifica della clientela 2.5.1 Obblighi semplificati di adeguata verifica

2.5.2 Obblighi rafforzati di adeguata verifica

2.6 L’ottenimento di informazioni sullo scopo e sulla natura della prestazione professionale 2.7 Il controllo costante nel corso della prestazione professionale

2.8 L’esecuzione degli obblighi di adeguata verifica della clientela da parte di terzi

3. L’OBBLIGO DI ASTENSIONE

3.1 L’obbligo di astensione e il rapporto con l’approccio basato sul rischio 3.2 Gli obblighi di adeguata verifica della clientela e l’obbligo di astensione 3.2.1 Incarichi conferiti su base volontaria

Superato

4. ASPETTI ORGANIZZATIVI DELLA SOCIETÀ DI REVISIONE E FORMAZIONE DEL PERSONALE

4.1 Organizzazione della società di revisione e controlli interni 4.1.1 Il responsabile antiriciclaggio

4.1.2 La funzione di “Risk management”

4.1.3 La valutazione del rischio associabile al cliente

4.1.4 La responsabilità della segnalazione delle operazioni sospette 4.2 Formazione del personale

5. OBBLIGHI DI REGISTRAZIONE DEI DATI NELL’ARCHIVIO UNICO INFORMATICO E DI CONSERVAZIONE DEI DOCUMENTI

5.1 Obbligo di conservazione ed obbligo di registrazione 5.2 Informazioni da registrare in Archivio Unico Informatico 5.3 Protezione dei dati e delle informazioni

6. LA SEGNALAZIONE DI OPERAZIONI SOSPETTE

6.1 Contenuto dell’obbligo

6.2 La nozione di riciclaggio e finanziamento del terrorismo ai fini dell’obbligo di segnalazione di operazioni sospette

6.2.1 La nozione di riciclaggio contenuta nell’art. 2 del Decreto

6.2.2 La nozione di riciclaggio dell’art. 2 del Decreto a confronto con la nozione contenuta nel Codice Penale

6.2.3 La nozione di finanziamento del terrorismo 6.3 Illeciti fiscali reato presupposto

6.4 Gli aspetti principali della disciplina della segnalazione e le sue conseguenze 6.5 La procedura di segnalazione delle operazioni sospette

6.6. Gli indicatori di anomalia

7. LE COMUNICAZIONI DELLE INFRAZIONI ALLE NORME RIGUARDANTI LE LIMITAZIONI ALL’USO DEL DENARO CONTANTE E DEI TITOLI AL PORTATORE

7.1 Comportamenti vietati dagli articoli 49 e 50 del Decreto

7.2 Procedura di comunicazione delle infrazioni agli articoli 49 e 50 del Decreto

8. LE SANZIONI

Superato

1. SCOPODEL DOCUMENTO

In data 29 dicembre 2007 è entrato in vigore il Decreto Legislativo n. 231 del 21 novembre 2007 (di seguito il “Decreto”),¹che rappresenta il provvedimento legislativo di attuazione nell’ordinamento italiano della Direttiva 2005/60/CE del 26 ottobre 2005 “relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo” (cd. III Direttiva e di seguito, la “Direttiva”). In data 4 novembre 2009 è entrato in vigore il D. Lgs. 25 settembre 2009, n. 151, recante disposizioni correttive ed integrative del Decreto².

Poiché la Direttiva ha introdotto un nuovo assetto generale di regolamentazione della disciplina antiriciclaggio, il Decreto abroga il quadro normativo e regolamentare precedente e quindi il D.Lgs.

n. 56 del 20 febbraio 2004 e i relativi regolamenti di attuazione (i.e. il Decreto Ministeriale n. 141 del 3 febbraio 2006 dedicato ai professionisti e alle società di revisione), ossia la normativa nazionale emessa in attuazione della precedente Direttiva 2001/97/CE.

Tuttavia lo stesso Decreto ha stabilito (art. 66, comma 1), almeno per un periodo transitorio, che “le disposizioni emanate in attuazione di norme abrogate o sostituite continuano ad essere applicate, in quanto compatibili, fino alla data di entrata in vigore dei provvedimenti attuativi del presente decreto”. A tale ultimo riguardo, il Provvedimento n. 125367, emesso dal Ministero dell’Economia e delle Finanze in data 19 dicembre 2007, ha provveduto a specificare quali norme contenute nei precitati decreti ministeriali e nelle relative Istruzioni applicative emesse dall’U.I.C. in data 24 febbraio 2006 debbono ritenersi ancora applicabili nelle more della emanazione dei provvedimenti attuativi del Decreto.

In particolare, la nuova disciplina ha introdotto, con l’art. 18 del Decreto, gli obblighi di adeguata verifica della clientela, che si sostanziano nelle seguenti attività:

a) identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente;

b) identificare l’eventuale titolare effettivo e verificarne l’identità;

c) ottenere informazioni sullo scopo e sulla natura prevista della prestazione professionale;

d) svolgere un controllo costante nel corso della prestazione professionale.

La nuova e più articolata disciplina antiriciclaggio introdotta dal Decreto ha richiesto uno studio approfondito delle novità, con speciale riguardo alla fase inziale degli adempimenti, dove l’identificazione del cliente è stata completamente ridisegnata in un’attività più ampia e complessa, che prende ora il nome di “adeguata verifica della clientela”. In attesa dei provvedimenti attuativi di prossima emanazione, è tuttavia possibile sin d’ora individuare alcuni aspetti importanti del nuovo quadro normativo antiriciclaggio armonizzato alla disciplina comunitaria.

1 Rubricato “Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione”, in G.U. n. 290 del 14 dicembre 2007 - Suppl. Ordinario n. 268/L.

2

Superato

Il presente documento ha lo scopo di analizzare le diverse problematiche sottese dagli adempimenti richiesti dal Decreto in particolar modo con riguardo agli obblighi di adeguata verifica della clientela, da parte delle società di revisione contabile, tenuto conto delle peculiarità del lavoro di revisione contabile.

Il presente documento aggiorna e sostituisce il documento di ricerca n. 112, che risulta superato a seguito dei sopra menzionati cambiamenti legislativi.

2. OBBLIGHI DI ADEGUATA VERIFICA DELLA CLIENTELA

2.1 Principi generali

Alla base dell’articolato sistema normativo del Decreto si trovano alcuni principi generali, all’interno dei quali deve essere ricondotto e deve essere interpretato il contenuto precettivo di ogni singola norma.

I principi generali ai quali si fa qui riferimento sono i seguenti.

2.1.1 L’adempimento degli obblighi correlato alle peculiarità delle società di revisione L’ambito della propria attività professionale

Il primo principio, contenuto nell’art. 3 del Decreto, prescrive che i destinatari della normativa antiriciclaggio adempiono agli obblighi su di essi gravanti avendo riguardo alle informazioni possedute o acquisite nell’ambito della propria attività istituzionale o professionale.

Il principio in questione implica che i destinatari degli obblighi debbono porre in essere le misure e le attività richieste coerentemente con la natura dell’incarico professionale acquisito e l’oggetto del medesimo, senza che debbano essere utilizzati strumenti differenti dagli strumenti organizzativi e dai processi di lavoro adottati nel corso di svolgimento della ordinaria attività aziendale.

Il principio in commento assume notevole rilevanza nella definizione dell’obbligo di segnalazione delle operazioni sospette e dell’obbligo di comunicare al Ministero Economia e Finanze . le infrazioni rilevate alle norme riguardanti le limitazioni all’uso del contante e dei titoli al portatore.

Infatti, proprio in forza di tale principio si può sostenere che gli obblighi segnalativi e comunicativi sopra riferiti devono essere limitati agli eventi “anomali” che è dato rilevare durante lo svolgimento della prestazione professionale e nel compimento delle specifiche attività previste dall’incarico ricevuto dal cliente, senza che siano richieste verifiche o indagini suppletive, esulanti dall’oggetto dell’incarico e appositamente dedicate a rilevare gli eventi suddetti.

La peculiarità della professione

Il secondo principio, anch’esso contenuto nell’art. 3 del Decreto, dispone che l'applicazione delle misure previste dal decreto medesimo deve essere proporzionata alla peculiarità delle varie professioni.

Il principio di cui si discorre, riportato alla società di revisione contabile, si sostanzia nel considerarne i caratteri tipici, ossia le sue metodologie di lavoro, la sua struttura organizzativa, i suoi strumenti e processi organizzativi (in questo ultimo punto si scorge, in particolare, l’elemento

Superato

di convergenza con il principio di cui al precedente punto 1) e, infine, il quadro regolamentare all’interno del quale la medesima viene a porsi.

L’applicazione pratica e concreta del principio, con particolare riferimento agli obblighi di

“adeguata verifica della clientela” porta alle seguenti conclusioni:

• il principio non sembrerebbe assumere influenza in ordine agli obblighi di identificazione del cliente;

• la società di revisione, secondo le proprie prassi operative, acquisisce informazioni sull’assetto di proprietà e controllo del cliente. L’identificazione del titolare effettivo si pone nel medesimo ambito di indagine conoscitiva effettuata sul cliente. Ne consegue che non potranno che essere utilizzate le medesime metodologie e i medesimi strumenti in uso per verificare l’assetto di proprietà e controllo del cliente;

• nell’incarico di revisione contabile lo scopo e la natura della prestazione professionale sono di per sé già insiti nel presupposto del comune intendimento delle parti; si consideri inoltre che l’incarico di revisione contabile è sovente previsto da norme di legge. Nel caso di altre tipologie di incarico, laddove non sia possibile evincere lo scopo della prestazione dalla lettera d’incarico, lo stesso dovrà essere richiesto al cliente;

• il controllo costante nel corso del rapporto per le società di revisione deve ritenersi coincidente con le attività eseguite dalla società di revisione in ottemperanza ai principi di revisione pubblicati e raccomandati da Consob, anche alla luce degli indicatori di anomalia di operazioni sospette formulati dalle competenti autorità.

2.1.2 L’approccio basato sul rischio L’enunciazione del principio

Il rischio di riciclaggio o di finanziamento del terrorismo è una nozione di fondamentale importanza nell’economia complessiva del Decreto, costituendo il pilastro di fondo su cui è costruito l’articolato complesso normativo in questione.

Il principio del rischio viene dapprima espresso in via generale nell’art. 3 del Decreto, laddove il legislatore enuncia che le misure previste dal decreto medesimo devono essere proporzionate al rischio di riciclaggio dei proventi di attività criminose o di finanziamento del terrorismo in relazione al tipo di cliente e prestazione professionale, per poi essere declinato in maniera specifica nell’art.

20, ove, al fine di parametrare gli obblighi di adeguata verifica della clientela, si dispone che essi devono essere assolti commisurandoli al rischio associato al tipo di cliente e prestazione professionale di cui trattasi, introducendosi in questo modo il c.d. “approccio basato sul rischio”.

Il principio del rischio espresso nell’art. 3 pervade l’intera normativa e deve essere considerato come parametro da tenere in considerazione nello svolgimento di ogni adempimento obbligatorio previsto nel Decreto, sia esso di natura preventiva, segnalativa/comunicativa oppure organizzativa, e così da fornire un vero e proprio parametro di gestione degli obblighi che lascia uno spazio di valutazione discrezionale al soggetto destinatario degli stessi.

Superato

Procedura di valutazione del rischio e commisurazione degli obblighi al rischio

Nell’adempimento degli obblighi di adeguata verifica della clientela la valutazione del rischio costituisce il parametro di riferimento per la commisurazione degli obblighi.

La richiesta, espressa dal legislatore, di commisurazione degli obblighi al rischio, implica la necessità, per i soggetti destinatari degli obblighi, di avvalersi di una procedura di valutazione dell’entità del rischio da assegnare ad ogni incarico professionale al momento del conferimento del medesimo.

A tale specifico fine, il legislatore provvede a fornire, all’art. 20 del Decreto, alcuni specifici parametri, dei quali quattro riferiti al cliente (segnatamente: natura giuridica, prevalente attività svolta, comportamento tenuto dal cliente al momento dell’instaurazione del rapporto professionale, area geografica di residenza o sede del cliente) e sei riferiti alla prestazione professionale (segnatamente: tipologia della prestazione professionale, modalità di svolgimento, ammontare, durata, ragionevolezza in rapporto alla attività svolta dal cliente, area geografica di destinazione).

In conseguenza, i soggetti destinatari dell’obbligo devono dotarsi di un sistema interno di valutazione del rischio, basato sui parametri legislativi sopra richiamati, al fine di misurare il rischio da associare ad ogni singolo cliente e relativo incarico professionale. Il grado di rischio rilevato, indipendentemente dalla graduazione assunta a fondamento del sistema di valutazione (rimesso alla libera determinazione del soggetto obbligato), dovrà essere in grado di riflettere e racchiudere tutte le valutazioni compiute, sulla base dei parametri di rischio forniti dal legislatore, nell’ambito del sistema interno di valutazione. Allo stesso modo, il principio dell’approccio basato sul rischio implica che il grado di rischio identificato dovrà essere in grado di esprimere diverse modalità di adempimento degli obblighi antiriciclaggio, che si articoleranno attraverso l’adozione di diversi livelli di attenzione e cautela.

Tuttavia, non tutti i parametri che il legislatore ha dettato nell’art. 20 del Decreto, al fine di misurare il rischio, sono applicabili alla prestazione professionale tipica resa dalla società di revisione. Vi sono infatti alcuni parametri non applicabili per definizione, in ragione della natura stessa della società di revisione contabile, ossia:

• la tipologia di prestazione professionale posta in essere ha sempre il medesimo carattere di verifica contabile di fatti già accaduti, senza mai partecipare alla predisposizione e realizzazione delle operazioni;

• la modalità di svolgimento della prestazione professionale: i servizi professionali resi dalla società di revisione non si prestano a differenti modalità di svolgimento, posto che l’attività della società di revisione contabile si fonda sui principi di revisione e su prassi operative consolidate, non modificabili per accordo delle parti.

• l’ammontare: il valore dell’oggetto della prestazione professionale di revisione contabile è sempre non determinabile;

• la durata della prestazione professionale: per l’attività di revisione contabile il carattere della durata non può assumere alcuna valenza ai fini della valutazione del rischio, dovendosi considerare, peraltro, che per la revisione contabile “obbligatoria”, la durata e la successione tra revisori è stabilita dalla legge.

Pertanto, in attesa di ulteriori indicazioni da fornirsi in sede legislativa o regolamentare, i sopra richiamati parametri sembra non possano essere considerati nella elaborazione del sistema di valutazione del rischio da associare al cliente e all’incarico professionale dallo stesso conferito.

Superato

Per quanto riguarda i parametri che invece si presentano in astratto utilizzabili, si forniscono le seguenti indicazioni e specificazioni.

• La natura giuridica del cliente assume certamente carattere marginale al fine di valutare il cliente della società di revisione, posto che nella grande maggioranza dei casi il cliente di una società di revisione è una società di capitali costituita in forma di società per azioni o società a responsabilità limitata, per le quali non è possibile intravedere un grado di rischio specifico in ragione delle predetta forma giuridica assunta dall’ente sottoposto a revisione. Nondimeno, occorre tenere conto, al fine della commisurazione del rischio di riciclaggio, da un lato, del livello di controlli e pubblicità cui è sottoposta la società cliente, e, dall’altro, della complessità ed articolazione della struttura imprenditoriale e societaria (ie assetti proprietari e di controllo, gruppo e rapporti infragruppo) in cui essa si colloca, con particolare riguardo al grado di trasparenza della medesima. La prevalente attività svolta dal cliente può certamente influire sulla valutazione di rischio, potendosi ritenere maggiormente a rischio i clienti che operano in determinati settori “sensibili” ai fini del coinvolgimento in operazioni di riciclaggio o finanziamento del terrorismo³

• Il comportamento tenuto dal cliente al momento dell’instaurazione del rapporto professionale si presenta come parametro generico che lascia ampio spazio alla discrezionalità del soggetto obbligato. In ogni caso, vi potrebbero essere alcuni comportamenti anomali del cliente rispetto all’ordinario modo di porsi nei confronti del professionista, che potrebbero essere tenuti in considerazione al fine della valutazione del rischio. Si pensi, a titolo di esempio, al caso in cui il cliente si mostri reticente e non collaborativo nel fornire i dati e le informazioni necessarie per consentire al soggetto obbligato di adempiere agli obblighi di adeguata verifica della clientela, oppure a un cliente che fornisca informazioni inesatte e/o imprecise.

.

• L’area geografica di residenza o sede del cliente, considerando a tale fine anche la struttura societaria del gruppo di appartenenza, assume certamente valenza fondamentale al fine della misurazione del rischio. E’ di tutta evidenza, tuttavia, che per rendere tale parametro applicabile in concreto nell’operatività quotidiana, ci si potrà avvalere di liste ed elenchi pubblici e ufficiali, quali la lista GAFI dei paesi non cooperativi, la lista OCSE dei “paradisi fiscali”, le liste ministeriali degli Stati e territori a “regime fiscale privilegiato” (cfr. D.M.

04/05/1999 e D.M. 21/11/2001), le liste dei paesi sottoposti a embargo o a sanzioni e misure commerciali restrittive da parte dell’Unione Europea o di altri organismi internazionali a cui l’Italia aderisca.

• La ragionevolezza della prestazione professionale in rapporto all’attività svolta dal cliente esprime un parametro di valutazione generico e non applicabile alla società di revisione.

Tuttavia, tale elemento potrebbe essere considerato ai fini della misurazione del rischio qualora, ad esempio, alla società di revisione venga richiesto di compiere talune prestazioni, diverse dalla revisione contabile, che abbiano ad oggetto operazioni sottostanti non coerenti rispetto alla dimensione e al settore di attività del cliente.

• L’area geografica di destinazione del prodotto: si vedano le osservazioni di cui ai punti

“area geografica di residenza o sede del cliente” e “natura giuridica del cliente”, quest’ultimo per quanto concerne, in particolare, i rapporti infragruppo e con parti correlate.

3 Si pensi, a tale proposito, a titolo meramente esemplificativo, alle case da gioco, alla gestione di siti internet di scommesse on line, alle case d’asta, all’industria bellica, ai commerci di oro per finalità industriali o di investimento, alla custodia e trasporto di denaro contante e di titoli o valori.

Superato

In conseguenza la procedura di valutazione del rischio che i soggetti destinatari sono tenuti a implementare dovrà assumere quale base i sopra specificati parametri, laddove applicabili, anche in considerazione dei dati e delle informazioni di cui il revisore abbia effettiva disponibilità.

Dal punto di vista dell’iter logico procedurale si ritiene che l’attività di attribuzione del rischio riciclaggio, effettuata sulla base del sistema interno di valutazione adottato, deve essere svolta nella fase di accettazione del cliente (c.d. client acceptance) e deve, pertanto, essere integrata nel sistema di client acceptance, dal quale dovranno quindi scaturire sia un giudizio in merito al rischio cliente generale sia il grado specifico di rischio ai fini antiriciclaggio.

A tale proposito si noti, tuttavia, che la misurazione del rischio di riciclaggio si pone come attività diretta a catalogare il cliente all’interno di una determinata classe di rischio, al fine specifico di commisurare la portata degli obblighi di adeguata verifica della clientela.

Conseguentemente un cliente catalogato a rischio più elevato nell’ambito del sistema di valutazione del rischio riciclaggio o finanziamento del terrorismo, è un cliente che potrebbe comunque essere ritenuto “accettabile”, ma nei confronti del quale tuttavia, alla luce delle valutazioni svolte, dovranno essere adottate misure di cautela maggiori nell’assolvimento degli obblighi di adeguata verifica della clientela.

La differenziazione del contenuto degli obblighi di adeguata verifica della clientela in relazione alle diverse classi individuate dal sistema di valutazione del rischio, assume carattere diverso a seconda del singolo obbligo considerato. Si forniscono nei successivi paragrafi alcune indicazioni e spunti in ordine alle modalità con cui commisurare gli obblighi di adeguata verifica della clientela alle diverse classi di rischio.

2.2 Obblighi di adeguata verifica della clientela da parte delle società di revisione 2.2.1 Presupposti oggettivi

Le società di revisione applicano gli obblighi di adeguata verifica della clientela con riferimento a tutti gli incarichi ad esse conferiti, con l’eccezione dei seguenti:

• docenze, incluse attività di formazione a corsi e convegni;

• incarichi conferiti dall’autorità giudiziaria, anche nell’ambito di procedure concorsuali.

2.2.2 Contenuto degli obblighi di adeguata verifica

Come anticipato nel paragrafo introduttivo, gli obblighi di adeguata verifica della clientela da parte delle società di revisione constano delle seguenti attività:

a) identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente;

b) identificare l’eventuale titolare effettivo e verificarne l’identità;

c) ottenere informazioni sullo scopo e sulla natura prevista della prestazione professionale;

d) svolgere un controllo costante nel corso della prestazione professionale.

Nell’espletamento degli obblighi di adeguata verifica, la società di revisione dovrà graduare le diverse attività tenuto conto del rischio di riciclaggio o di finanziamento del terrorismo relativamente a ciascun cliente ed incarico, secondo i principi indicati al precedente punto 2.1.2, e quanto più oltre precisato con riferimento ai diversi adempimenti.

Superato

2.3 Individuazione ed identificazione del cliente 2.3.1 Individuazione del cliente - Disposizioni generali

Nel sistema delineato dal Decreto, la prima delle attività di adeguata verifica è costituita dall’identificazione del cliente, talché si rende necessario in primo luogo individuare quale sia il soggetto cliente, con riferimento alle diverse tipologie di incarico professionale della società di revisione.

In generale, “cliente” ai fini dell’espletamento degli obblighi di adeguata verifica è la società conferente l’incarico, normalmente la medesima oggetto di revisione; tale regola trova applicazione per tutti gli incarichi di revisione legale ai sensi degli artt. 159 D. Lgs. 58/1998 (Testo Unico sull’Intermediazione Finanziaria “TUF”) e 2409bis e ss. del Codice Civile.

Si precisa che non costituisce cliente nell’accezione delineata dal Decreto e, conseguentemente, non è oggetto di adeguata verifica, l’entità italiana od estera del Network della società di revisione da cui provenisse formalmente l’incarico.

2.3.2 Individuazione del cliente in particolari tipologie di incarico

Laddove non vi sia coincidenza tra soggetto conferente l’incarico e società oggetto di revisione, in particolare in caso di incarichi “riferiti”, due diligence, agreed upon procedures, il “cliente” dovrà individuarsi secondo i criteri di seguito illustrati.

Nel caso di incarico cd. “riferito”, ossia conferito alla società di revisione da un’entità estera del proprio Network, per lo svolgimento di procedure di revisione contabile sul bilancio di una società italiana controllata da una società estera cliente dell’entità estera del Network conferente l’incarico,

“cliente” della società di revisione deve ritenersi la società controllata italiana.

Pertanto l’identificazione del cliente, nonché gli ulteriori adempimenti di adeguata verifica, dovranno svolgersi nei confronti della società oggetto di revisione.

Nel caso di incarico di ‘Due Diligence’, sia nell’ipotesi di “Vendor” che di “Acquisition” due diligence, l’identificazione (e gli altri adempimenti di adeguata verifica) dovranno svolgersi nei confronti del soggetto conferente l’incarico, non configurandosi un rapporto professionale tra società di revisione e cliente in capo all’entità oggetto delle verifiche. Laddove si tratti di due diligence “riferita”, si dovrà procedere all’identificazione del soggetto estero conferente l’incarico a mezzo della società appartenente al Network della società di revisione, direttamente od avvalendosi della collaborazione di quest’ultima per la raccolta della documentazione rilevante.

Nel caso di incarico quale ausiliario del Collegio Sindacale ai sensi dell’art. 2403 bis del Codice Civile, si procederà all’identificazione del cliente (nonché alle ulteriori attività di adeguata verifica) nei confronti della società oggetto di controllo, anche avvalendosi della collaborazione del sindaco per la raccolta della documentazione rilevante.

2.3.3 L’identificazione del cliente: contenuto dell’obbligo

L’obbligo di identificazione del cliente comporta le seguenti attività, da porsi in essere al momento del conferimento dell’incarico:

Superato

• identificazione della persona fisica che agisce in nome e per conto della società cliente, da effettuarsi in persona e mediante riscontro in un valido documento di identità⁴

• verifica dei poteri di rappresentanza della persona fisica conferente l’incarico, mediante documenti ufficiali consegnati dal cliente oppure raccolti dalla società di revisione (ad esempio, visura camerale o atto pubblico), da cui risultino i dati identificativi, il conferimento dei poteri di rappresentanza, nonché ogni altra informazione necessaria per l’adempimento degli obblighi antiriciclaggio;

;

• verifica e raccolta dei predetti dati identificativi, nonché dei dati identificativi della società cliente, mediante riscontro in documentazione come sopra.

Si ribadisce che l’identificazione dovrà svolgersi esclusivamente nei confronti del soggetto cliente come sopra individuato, escludendosi obblighi identificativi nei confronti di soggetti diversi.

Si rinvia al successivo paragrafo 2.5, in ordine alle peculiarità del processo identificativo laddove il cliente rientri nelle categorie per le quali è prevista l’adeguata verifica semplificata o rafforzata.

2.4 L’identificazione del titolare effettivo 2.4.1 Disposizioni Generali

L’identificazione del titolare effettivo, in quanto parte delle attività di adeguata verifica, avviene in rapporto alla società cliente, individuata ai sensi del paragrafo 2.3, con precisazione quindi che tale identificazione non troverà applicazione nei confronti delle entità italiane od estere del Network della società di revisione.

L’obbligo di identificazione in commento impone l’adozione di misure adeguate e commisurate alla situazione di rischio per comprendere la struttura di proprietà e di controllo del cliente, senza che debbano essere poste in essere attività investigative estranee all’attività istituzionale svolta dalla società di revisione, nonché al suo ruolo e poteri.

L’identificazione del titolare effettivo non è dovuta quando la società cliente, ovvero l’entità che la controlla, sia direttamente che indirettamente, rientri tra le categorie soggette ad obblighi semplificati di adeguata verifica ai sensi dell’art. 25 del Decreto (si veda successivo paragrafo 2.5).

2.4.2 Individuazione del titolare effettivo

L’individuazione del soggetto titolare effettivo deve avvenire in base a quanto stabilito dal Decreto, segnatamente gli articoli 1, comma 2, lett. u) , nonché dei criteri indicati all’art. 2 dell’Allegato Tecnico al Decreto.

Nel caso di cliente persona fisica, quest’ultima dovrà dichiarare per iscritto se essa sia il titolare effettivo (i.e., il soggetto per conto della quale è resa l’attività professionale della società di revisione) ovvero, in alternativa, fornire i dati del diverso soggetto titolare effettivo.

Nel caso di cliente persona giuridica, trust o analogo soggetto giuridico, occorre in primo luogo analizzare la struttura di proprietà e di controllo del cliente, sino ad individuare la persona fisica o le persone fisiche che, in ultima istanza, controllano o possiedono il cliente.

4 Sono considerati validi per l’identificazione i documenti di identità e riconoscimento di cui agli articoli 1 e 35 del DPR 28 dicembre 2000, n. 445 (a titolo esemplificativo, carta d’identità, passaporto, patente di guida).

Superato

100%

Ai fini della determinazione della quota di controllo o di possesso, si deve considerare l’intera catena di controllo, individuando il titolare effettivo nella persona fisica o nelle persone fisiche che:

• esercitino il controllo sulla società cliente, sulla base dei criteri indicati dall’art. 2359 del Codice Civile;

o, laddove non fosse possibile individuare tale soggetto con i predetti criteri,

• detengano, in via diretta od indiretta, una quota di partecipazione o diritti di voto superiore al 25% più uno, presumendosi in tale caso l’esistenza del controllo.

Pertanto, nell’ipotesi sotto illustrata:

L’unico titolare effettivo da identificarsi sarà la persona fisica B.

In caso di entità giuridiche quali le fondazioni e di istituti giuridici quali i trust, che amministrano e distribuiscono fondi:

• se i futuri beneficiari sono già stati determinati, la persona fisica o le persone fisiche beneficiarie del 25 per cento o più del patrimonio di un'entità giuridica;

• se le persone che beneficiano dell'entità giuridica non sono ancora state determinate, la categoria di persone nel cui interesse principale è istituita o agisce l'entità giuridica;

• la persona fisica o le persone fisiche che esercitano un controllo sul 25 per cento o più del patrimonio di un'entità giuridica.

Nel caso in cui più persone fisiche presentino i requisiti sopra individuati, per i fini della normativa antiriciclaggio vi saranno più titolari effettivi, e pertanto l’attività di identificazione dovrà svolgersi nei confronti di ognuna di esse.

Laddove non sia individuabile un soggetto persona fisica che presenti i predetti requisiti, dovrà ritenersi l’insussistenza di un titolare effettivo ai sensi del Decreto.

Società cliente

Società A Società B

40% 60%

Persona fisica A

Persona fisica B

Persona fisica C

51% 49%

Superato

2.4.3 Modalità di identificazione del titolare effettivo e dati identificativi

L’identificazione del titolare effettivo si compie, in prima istanza, mediante attestazione resa per iscritto, sotto la propria personale responsabilità, dalla persona fisica che conferisce, in nome e per conto della società cliente, l’incarico alla società di revisione, ovvero dal legale rappresentante della società cliente.

L’attestazione dovrà contenere i seguenti elementi:

• generalità del titolare effettivo: nome e cognome, luogo e data di nascita, indirizzo e paese di residenza; ovvero,

• la dichiarazione che non esiste una persona fisica che presenti i requisiti richiesti dal Decreto;

ovvero,

• la dichiarazione che la società cliente ovvero la società che la controlla, direttamente o indirettamente, appartiene alle categorie di cui all’art. 25 del Decreto, ossia le categorie di soggetti per le quali il Decreto prevede l’applicazione di obblighi semplificati di adeguata verifica della clientela.

La società di revisione potrà non ritenere necessaria tale attestazione laddove già disponga o possa ottenere le predette informazioni in altro modo, quale ad esempio, per mezzo di una dichiarazione di soggetto apicale della società cliente diverso dalla persona fisica conferente l’incarico, ovvero mediante soggetti terzi quali, in particolare, professionisti od entità italiane od estere appartenenti al Network della società di revisione.

Nondimeno:

• nel caso in cui si abbia motivo di dubitare della veridicità/affidabilità o della completezza dell’attestazione del cliente, oppure

• laddove, quale risultato dell’approccio basato sul rischio, si sia in presenza di un rischio di riciclaggio o finanziamento del terrorismo, su cliente e/o incarico, significativo;

la società di revisione dovrà porre in essere ulteriori attività di riscontro delle dichiarazioni del cliente, quali, a titolo esemplificativo, il ricorso a pubblici registri, elenchi atti o documenti conoscibili da chiunque, contenenti informazioni sui titolari effettivi, richieste a soggetti terzi, in particolare professionisti e/o entità del Network, graduando le predette attività mediante un approccio basato sul rischio.

Nell’ipotesi in cui la società di revisione non giunga alla identificazione del titolare effettivo, essa dovrà astenersi dallo svolgimento della propria prestazione professionale.

2.5 Obblighi semplificati e rafforzati di adeguata verifica della clientela

Al paragrafo 2.1.2 che precede è stata evidenziata la centralità nel sistema della normativa antiriciclaggio dell’approccio basato sul rischio, e la conseguente graduazione e flessibilità nell’adempimento degli obblighi, che deve essere correlato al profilo di rischio attribuito al cliente/incarico.

Per talune categorie di clienti, il legislatore comunitario ed italiano hanno effettuato una valutazione generale e preventiva di rischio, stabilendo che ad esse si applichino obblighi semplificati o rafforzati di adeguata verifica.

Superato

2.5.1 Obblighi semplificati di adeguata verifica

La società di revisione applica obblighi semplificati di adeguata verifica della clientela nei casi previsti dall’art. 25 del Decreto, segnatamente se il cliente é:

• un intermediario finanziario fra quelli indicati dall’art. 11, comma 1 e comma 2, lett. b) e c), del Decreto ovvero: banche, Poste Italiane SpA, istituti di moneta elettronica, SIM, SGR, SICAV, imprese di assicurazione operanti in Italia nei rami vita; agenti di cambio, società che svolgono il servizio di riscossione dei tributi, intermediari finanziari iscritti ex artt. 106 e 107 D. Lgs. n.

385/1993 (Testo Unico Bancario, “TUB”), le succursali insediate in Italia dei soggetti precitati aventi sede legale in uno Stato estero,; Cassa Depositi e Prestiti S.p.A., soggetti operanti nel settore finanziario iscritti nelle sezioni dell’elenco generale previste dall’art. 155, commi 4 e 5, del TUB;

• un ente creditizio o finanziario comunitario soggetto alla Direttiva;

• un ente creditizio o finanziario situato in uno Stato extracomunitario, che imponga obblighi equivalenti a quelli previsti dalla Direttiva (l’individuazione di tali stati è effettuata con decreto dal MEF)⁵

• un ufficio della pubblica amministrazione, ovvero un’istituzione o un organismo che svolge funzioni pubbliche conformemente al diritto comunitario;

;

• una società o un altro organismo quotato i cui strumenti finanziari siano ammessi alla negoziazione su un mercato regolamentato ai sensi della Direttiva 2004/39/CE in uno o più Stati membri, ovvero una società o un altro organismo quotato di Stato estero soggetto ad obblighi di comunicazione conformi alla normativa comunitaria

In tali casi vi è comunque l’obbligo di raccogliere e conservare informazioni sufficienti per stabilire se il cliente possa beneficiare delle esenzioni previste al predetto articolo, ossia se il cliente rientri o meno in una delle sopra elencate categorie, anche avvalendosi, laddove si tratti di società cliente costituita ed operante in diverso ordinamento giuridico, delle informazioni e dati forniti da altra entità del Network estero della società di revisione.

Gli obblighi semplificati di adeguata verifica della clientela non si applicano qualora si abbia motivo di ritenere che l’identificazione effettuata ai sensi dell’art. 25 del Decreto non sia attendibile ovvero qualora essa non consenta l’acquisizione delle informazioni necessarie.

Da ultimo, si evidenzia che rimangono sempre applicabili gli obblighi segnalativi e comunicativi.

2.5.2 Obblighi rafforzati di adeguata verifica

Ai sensi dell’art. 28 del Decreto, la società di revisione applica obblighi rafforzati di adeguata verifica in presenza di un rischio più elevato di riciclaggio o di finanziamento del terrorismo e, in ogni caso, quando il cliente non sia fisicamente presente.

La società di revisione dovrà porre in essere misure adeguate per compensare il maggiore rischio di riciclaggio. Tra tali misure si indicano, a titolo esemplificativo:

• ottenere conferma dell’identità del cliente tramite attestazione, dati od informazioni da parte di un professionista, società di revisione od intermediario finanziario stabilito in Italia, Unione Europea ovvero in un Paese considerato equivalente;

5 In merito all’individuazione dei Paesi equivalenti, occorre fare riferimento al Decreto MEF del 12 agosto 2008.

Superato

• la richiesta di documentazione supplementare, quale, ad esempio, un secondo documento di identificazione;

• ottenere conferma dell’identità del cliente mediante ricorso a fonti, registri e documenti pubblici, anche consultabili su Internet o mediante altri strumenti telematici.

La società di revisione potrà adottare una o più delle predette misure, ovvero ulteriori misure che ritenga adeguate, in considerazione del rischio di riciclaggio o finanziamento del terrorismo attribuito al cliente/incarico.

Si evidenzia che gli obblighi di adeguata verifica della clientela si considerano comunque assolti, anche in assenza del cliente, nei seguenti casi:

• il cliente sia già stato identificato in relazione ad un incarico in corso, a condizione che le informazioni disponibili siano ancora aggiornate;

• i dati identificativi del cliente e le altre informazioni da acquisire risultino da atti pubblici, scritture private autenticate ovvero risultino da dichiarazione dell’autorità diplomatica o consolare italiana.

Da ultimo, si segnala che esiste un’ulteriore ipotesi di applicazione di obblighi rafforzati di adeguata verifica, ovvero il caso in cui il cliente sia una persona politicamente esposta (“PEP”)⁶ residente in uno stato estero.

Occorre considerare che la valutazione di PEP deve essere effettuata esclusivamente nei confronti del soggetto cliente e mai nei confronti di altri soggetti coinvolti nell’incarico e/o connessi al cliente, talché in presenza di cliente diverso da persona fisica, le disposizioni in oggetto non saranno mai applicabili.

2.6 L’ottenimento di informazioni sullo scopo e sulla natura della prestazione professionale

L’obbligo di acquisire informazioni sullo scopo e sulla natura prevista della prestazione professionale può ritenersi assolto alla luce dei comuni intendimenti delle parti espressi nel contratto di conferimento dell’incarico e nella fase di negoziazione precontrattuale e client acceptance; si consideri, inoltre, che l’incarico di revisione contabile è sovente previsto da norme di legge.

Nel caso in cui non si ricada nelle ipotesi sopra citate sarà necessario richiedere le informazioni in questione al cliente, dovendosi escludere, comunque, qualsiasi ulteriore indagine di tipo esplorativo.

2.7 Il controllo costante nel corso della prestazione professionale

Per quanto concerne le società di revisione, l’adempimento dell’obbligo di controllo costante si sostanzia nello svolgimento delle procedure di controllo previste dai principi di revisione.

L’obbligo del ‘controllo costante’ non richiede pertanto lo svolgimento di procedure di verifica specifiche, volte alla ricerca di operazioni sospette, di infrazioni alle limitazioni all’uso del contante

6 Si vedano gli articoli 1, comma 2, lett. o) e All.Tecnico, art. 1.

Superato

o dei titoli al portatore, aggiuntive rispetto a quelle richieste dal processo di revisione e definite dai principi di revisione raccomandati dalla Consob⁷

Infatti, le predette procedure previste dai principi di revisione già consentono, unitamente agli indicatori di anomalia emanati dalle competenti autorità, di assolvere alle finalità poste dalla normativa antiriciclaggio. D’altro canto, verifiche aggiuntive, ossia un’attività di analisi delle transazioni concluse dal cliente per tutta la durata del rapporto, anche con riguardo all’origine dei fondi, appaiono in contrasto con i principi generali dell’ambito della prestazione professionale e della peculiarità della professione di revisione contabile, che si fonda primariamente su verifiche a campione, secondo quanto previsto dai principi di revisione.

E’ principalmente nell’ambito delle procedure da svolgere in ottemperanza a tali principi di revisione che il revisore contabile potrebbe giungere a sospettare o avere motivi ragionevoli per sospettare “che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo” e, quindi, giungere alla segnalazione di un’operazione sospetta ai sensi dell’art. 41 del Decreto Antiriciclaggio.

Anche per l’obbligo di svolgimento di un controllo costante è peraltro necessaria la commisurazione delle misure adottate al rischio di riciclaggio assegnato all’incarico professionale secondo il sistema interno di valutazione del rischio.

2.8 L’esecuzione degli obblighi di adeguata verifica della clientela da parte di terzi

A differenza delle previgenti disposizioni di attuazione, le società di revisione iscritte nell’Albo di cui all’art. 161 del TUF e i revisori contabili non sono ora espressamente autorizzate a rilasciare l’attestazione in merito all’esecuzione dell’adeguata verifica relativa ad un cliente, né ad un soggetto appartenente a una diversa categoria, né a soggetti facenti parte della loro stessa categoria.

Il Decreto prevede che le società di revisione possono ricevere l’attestazione in parola da parte dei seguenti soggetti:

a. banche, Poste Italiane, istituti di moneta elettronica, SIM, SGR, SICAV, imprese di assicurazioni ramo vita, società di riscossione tributi, agenti di cambio, intermediari finanziari iscritti negli elenchi di cui agli artt. 106 e 107 del T.U.B., succursali insediate in Italia dei soggetti precitati aventi sede legale in uno stato estero, Cassa Depositi e Prestiti; ;

b. le succursali degli intermediari italiani sopra citati, insediate in Stati extracomunitari che applicano misure equivalenti a quelle della Direttiva;

c. enti creditizi ed enti finanziari di Stati membri dell'Unione europea, così come definiti dalla Direttiva;

d. banche aventi sede legale e amministrativa in Stati extracomunitari, che applicano misure equivalenti a quelle della Direttiva.

La facoltà di avvalersi dell’adeguata verifica della clientela effettuata dal terzo trova in concreto applicazione attraverso l’acquisizione di una attestazione resa dal soggetto terzo che ha già compiuto l’adeguata verifica; costituisce requisito essenziale che l’attestazione sia idonea a confermare l'identità tra il soggetto che deve essere identificato e il soggetto con il quale il soggetto attestante ha già instaurato un rapporto.

7 Possono essere individuati come principali riferimenti il Principio di revisione 220 – Il controllo della qualità del lavoro di revisione contabile, il Principio di revisione 250 – Gli effetti connessi alla conformità a leggi e regolamenti ed il Principio di revisione 550 – Le Parti correlate.

Superato

Si noti che l’attestazione può consistere nell’invio, per mezzo di sistemi informatici (ad esempio, mediante messaggio di posta elettronica), dei dati identificativi del cliente, da parte di uno degli intermediari sopra citati, che abbia già provveduto all’identificazione ai sensi della normativa antiriciclaggio.

Il Decreto precisa che, nel caso in cui ci si avvalga dell’adeguata verifica della clientela compiuta da un terzo, la responsabilità dell’assolvimento dell’obbligo rimane comunque in capo al soggetto tenuto ex-lege all’adempimento.

Con riguardo ai terzi stranieri, il Decreto specifica, inoltre, che è consentito avvalersi dell’adeguata verifica della clientela da essi effettuata, a condizione che la legislazione loro applicabile imponga obblighi equivalenti a quelli di “adeguata verifica della clientela” prescritti dalla Direttiva (i.e.

identificazione del cliente, identificazione del titolare effettivo, acquisizione di informazioni in merito allo scopo e alla natura del rapporto o della prestazione), anche se i documenti e dati su cui i terzi basano l’espletamento dei predetti obblighi siano diversi da quelli richiesti dalla normativa dello stato del soggetto obbligato, destinatario dell’attestazione⁸.

3. L’OBBLIGO DI ASTENSIONE

3.1 L’obbligo di astensione e il rapporto con l’approccio basato sul rischio

L’art. 23, comma 1, del Decreto stabilisce in generale l’obbligo di astensione nelle ipotesi in cui i soggetti tenuti agli adempimenti antiriciclaggio non siano in grado di rispettare gli obblighi di adeguata verifica della clientela, con particolare riguardo all’identificazione del cliente, del titolare effettivo e all’individuazione circa lo scopo e la natura prevista del rapporto continuativo o della prestazione professionale. In particolare, per il caso di impossibilità di completare l’adeguata verifica della clientela, è stabilito il divieto di instaurare il rapporto continuativo, di eseguire operazioni o prestazioni professionali, nonché l’obbligo di porre fine al rapporto continuativo o alla prestazione professionale già in essere e di valutare se effettuare una segnalazione (di operazione sospetta) alla UIF.

Il Decreto prevede, sempre nell’art. 23, alcuni casi in cui è possibile derogare agli obblighi di astensione sopra indicati, identificandoli nei seguenti:

a) quando “sussiste un obbligo di legge di ricevere l'atto”;

b) quando “l'esecuzione dell'operazione per sua natura non possa essere rinviata”;

c) quando “l'astensione possa ostacolare le indagini” (caso che sembrerebbe doversi riferire specificatamente solo all’obbligo di astensione di cui al comma 2 dell’art. 23).

I predetti casi di deroga all’obbligo di astensione debbono essere valutati alla luce del ruolo svolto dalla società di revisione, in particolare laddove essa operi in attuazione di specifiche norme di legge (TUF, Codice Civile e leggi speciali). In tali casi, sussistendo un obbligo di legge, si ritiene che la società di revisione sia legittimata a derogare all’obbligo di astensione, avendo cura di procedere ad una immediata segnalazione (si veda infra paragrafo 6), qualora vi sia sospetto di riciclaggio o finanziamento del terrorismo.

8 Vedi nota 4.

Superato

In particolare, nel caso di incarico già conferito alla società di revisione, ove vi fosse la necessità, nel contesto degli obblighi di adeguata verifica della clientela, di acquisire nuovi dati ovvero di modificare quelli esistenti (ad esempio nel caso di modifica dell’assetto societario), e le informazioni necessarie non fossero fornite dal cliente né potessero essere reperite dalla società di revisione, nondimeno quest’ultima sarebbe legittimata a continuare nello svolgimento dell’incarico, valutando eventualmente se procedere ad una segnalazione.

3.2 Gli obblighi di adeguata verifica della clientela e l’obbligo di astensione

Secondo quanto stabilito dal Decreto, gli obblighi di adeguata verifica della clientela devono essere assolti “al momento in cui è conferito l'incarico di svolgere una prestazione professionale”, con l’eccezione dell’obbligo di cui al punto d) dell’art. 18 (i.e. il controllo costante nel corso della prestazione), che, per sua stessa natura, non può che essere adempiuto durante lo svolgimento della prestazione professionale.

Benché il dettato normativo (“al momento” del conferimento dell’incarico) sembri riferirsi ad una nozione di contestualità, l’interpretazione più prudente e più coerente con il complessivo contesto normativo porta a ritenere che le attività di cui all’obbligo di adeguata verifica della clientela debbano essere svolte e completate prima del conferimento dell’incarico, ossia prima della sottoscrizione del contratto per il conferimento dell’incarico di controllo contabile che fa seguito alla delibera assembleare di nomina della società di revisione.

Sotto il profilo procedurale, la conclusione sopra raggiunta si traduce nell’esigenza di identificare il cliente, acquisire idonea attestazione in merito al titolare effettivo e acquisire informazioni in ordine allo scopo e alla natura della prestazione prima dell’invio di una proposta di incarico da parte della società di revisione, alla stregua di quanto già svolto ai fini delle procedure di client acceptance.

3.2.1 Incarichi conferiti su base volontaria

Nel caso di incarichi conferiti su base volontaria, la società di revisione dovrà dotarsi di adeguati presidi contrattuali, idonei a subordinare l’efficacia del conferimento dell’incarico al completamento delle attività di adeguata verifica della clientela, assicurandosi il diritto di completare tali attività prima di iniziare l’esecuzione della propria prestazione professionale.

4. ASPETTI ORGANIZZATIVI DELLA SOCIETÀ DI REVISIONE E FORMAZIONE DEL PERSONALE

4.1 Organizzazione della società di revisione e controlli interni 4.1.1 Il responsabile antiriciclaggio

Per quanto concerne la procedura di segnalazione delle operazioni sospette, il Decreto all’art. 44 prende a riferimento in modo specifico la struttura organizzativa della Società di revisione prevedendo che “Il responsabile dell’incarico, cui compete la gestione del rapporto con il cliente e che partecipa al compimento della prestazione, ha l’obbligo di segnalare senza ritardo al legale rappresentante o ad un suo delegato le operazioni di cui all’art. 41”. La norma prevede quindi che il legale rappresentante o un suo delegato esamini la segnalazione pervenutagli e decida se trasmetterla all’UIF, priva del nominativo del partner responsabile dell’incarico che, in prima istanza, ha individuato l’operazione sospetta.

Superato

La norma configura pertanto un processo di segnalazione che si articola su due livelli, con responsabilità finale della segnalazione attribuita al legale rappresentante, il quale ha facoltà di nominare un delegato responsabile per tale attività.

Spetta pertanto al rappresentante legale della Società di revisione la decisione di nominare un socio nella funzione di responsabile antiriciclaggio (con formalizzazione di un atto di delega) o di assumere direttamente la responsabilità di tale funzione.

Se nominato, al responsabile antiriciclaggio dovrebbero essere affidati di norma le seguenti responsabilità e compiti, che diversamente ricadrebbero sul rappresentante legale:

• l’istituzione dell’archivio unico informatico e l’aggiornamento del medesimo alla luce di nuove disposizioni normative;

• la definizione, aggiornamento e monitoraggio continuo delle policy e delle procedure interne ai fini dell’adempimento degli obblighi previsti dalla normativa;

• il coordinamento, con il responsabile della funzione formazione del personale professionale, dell’attività di formazione, affinché sia assicurata una conoscenza aggiornata della normativa, delle sue modalità di attuazione, nonché della prassi in materia;

• l’esame delle segnalazioni di operazioni sospette di riciclaggio o di infrazioni all’utilizzo di denaro contante e titoli al portatore e la condivisione con il partner di riferimento del cliente della fondatezza degli elementi raccolti e della necessità di segnalazione alle autorità competenti;

• l’invio della segnalazione/comunicazione alle autorità competenti.

4.1.2 La funzione di ‘Risk management’

La funzione di ‘Risk management’ dovrà valutare, definire e porre in essere le azioni di monitoraggio più opportune a conferma del corretto adempimento degli obblighi in materia di antiriciclaggio.

Peraltro, il responsabile antiriciclaggio (ove nominato) avrà la facoltà di eseguire, di propria iniziativa, controlli strumentali al corretto adempimento degli obblighi imposti dalla normativa.

I risultati emersi dai controlli effettuati, nonchè le relative proposte di intervento e/o modifica, dovranno essere sottoposte periodicamente o immediatamente nel caso di situazioni critiche:

- al rappresentante legale ed al responsabile antiriciclaggio, con riferimento ai risultati dei controlli svolti dalla funzione di “Risk management”;

- al rappresentante legale della società di revisione ed al responsabile della funzione di “Risk management”, con riferimento ai risultati dei controlli svolti dal responsabile antiriciclaggio.

4.1.3 La valutazione del rischio associabile al cliente

Come commentato nei precedenti paragrafi, l’attività di valutazione ed attribuzione del rischio di riciclaggio deve essere svolta nella fase di accettazione del cliente (c.d. client acceptance) o di valutazione periodica dello stesso.

E’ compito del socio responsabile dell’incarico effettuare tale valutazione, avvalendosi del sistema interno di valutazione del rischio adottato dalla società di revisione, integrato al sistema di client acceptance, dal quale dovranno quindi scaturire sia un giudizio in merito al rischio cliente generale sia il grado specifico di rischio ai fini antiriciclaggio associabile al cliente oggetto di valutazione.

Superato

Nel caso di assegnazione di un rischio elevato di riciclaggio o di finanziamento del terrorismo, il socio responsabile dell’incarico dovrà comunicare tale situazione alla funzione di Risk Management, al fine di concordare il livello di rischio generale da assegnare al cliente, se accettare/continuare a prestare servizi allo stesso, nonché le eventuali azioni ritenute necessarie.

Tali incarichi, a rischio più elevato di riciclaggio, dovranno essere inoltre segnalati al responsabile antiriciclaggio al fine di eventuali sue considerazioni in merito.

Inoltre, dal livello di rischio di riciclaggio e di finanziamento del terrorismo conseguirà la graduazione delle attività di adeguata verifica della clientela nell’ambito degli obblighi antiriciclaggio, nonché la pianificazione delle più opportune procedure di revisione da svolgere nel caso di attività di revisione contabile sul cliente stesso, al fine di identificare eventuali non conformità a leggi e regolamenti la cui non osservanza potrebbe avere un effetto significativo sui saldi di bilancio e sulle informazioni contenute in nota integrativa. Si veda in proposito quanto previsto dal Principio di Revisione n. 250.

L’evidenza della sopra descritta valutazione ai fini antiriciclaggio e delle relative conclusioni dovrà essere formalizzata nell’ambito delle stesse procedure di valutazione cliente e valutazione incarico oppure in un apposito strumento valutativo, a seconda dell’organizzazione interna alla singola società di revisione.

In considerazione della specificità delle problematiche legate al riciclaggio può essere inoltre opportuno che le società di revisione si avvalgano, per le fattispecie maggiormente complesse, di altri professionisti (eventualmente appartenenti allo stesso network), come legali o professionisti esperti del settore di appartenenza del cliente.

4.1.4 La responsabilità della segnalazione delle operazioni sospette

Relativamente alla procedura di segnalazione, in accordo con quanto indicato all’art. 44 del Decreto e meglio specificato al successivo paragrafo 6.5, si procede come segue:

• in primo luogo, il responsabile della revisione che intrattiene i rapporti con il cliente e partecipa al compimento della prestazione professionale, in qualità di responsabile di primo livello, rileva gli elementi di sospetto, o eventuali infrazioni alle limitazioni all’uso del contante e dei titoli al portatore, e ne informa immediatamente il responsabile antiriciclaggio della Società di revisione;

• successivamente, il responsabile antiriciclaggio della Società di revisione esamina le segnalazioni pervenutegli e, qualora ritenute fondate, tenendo conto dell’insieme degli elementi a sua disposizione desumibili anche dall’archivio unico, le trasmette direttamente all’UIF (con riferimento alle operazioni sospette) o al Ministero dell’Economia e delle Finanze (con riferimento alle limitazioni all’uso del contante e dei titoli al portatore).

Il responsabile antiriciclaggio dovrà valutare in tale ambito la necessità di un eventuale supporto da parte di altri professionisti, come legali o professionisti esperti del settore di appartenenza del cliente.

4.2 Formazione del personale

Il legislatore pone a carico di tutti i destinatari della normativa, incluse le società di revisione, l’obbligo di adottare misure di adeguata formazione del personale e dei collaboratori al fine della corretta applicazione del Decreto.

Superato

Il responsabile antiriciclaggio della società di revisione, se nominato, o diversamente il rappresentante legale della stessa, ha quindi la responsabilità di assicurare a tutto il personale professionale della società di revisione una conoscenza aggiornata della normativa, delle sue modalità di attuazione, nonché della prassi in materia di antiriciclaggio.

Sarà quindi responsabilità degli stessi coordinare, con il responsabile della funzione formazione del personale professionale, i programmi di formazione più adeguati nel rispetto di tale obbligo.

Tali programmi di formazione dovranno tra l’altro essere finalizzati ad agevolare il riconoscimento di attività potenzialmente connesse al riciclaggio o al finanziamento del terrorismo sulla base delle indicazioni più aggiornate fornite dalle autorità competenti, in particolare la UIF, la Guardia di finanza e la DIA, circa le prassi seguite dai riciclatori e dai finanziatori del terrorismo.

5. OBBLIGHI DI REGISTRAZIONE DEI DATI NELL’ARCHIVIO UNICO INFORMATICO E DI CONSERVAZIONE DEI DOCUMENTI

5.1 Obbligo di conservazione ed obbligo di registrazione

L’art. 36 del Decreto pone a carico delle società di revisione i due ulteriori e distinti obblighi di seguito descritti.: Si tratta dell’obbligo di conservazione della documentazione acquisita in esecuzione della adeguata verifica della clientela e dell’obbligo di registrazione delle informazioni raccolte, affinché tali documenti ed informazioni possano essere successivamente utilizzati nel caso di indagini su eventuali operazioni di riciclaggio o di finanziamento del terrorismo o per corrispondenti analisi effettuate dalla Unità di Informazione Finanziaria o da altre Autorità competenti.

In particolare, relativamente all’obbligo di conservazione:

• le società di revisione sono tenute a conservare copia dei documenti raccolti ai fini dell’assolvimento degli obblighi di adeguata verifica, oppure i riferimenti di tali documenti;

• le società di revisione devono inoltre conservare i documenti originali oppure le copie dei documenti (aventi efficacia probatoria in procedimenti giudiziali) riguardanti il conferimento dell’incarico professionale.

I suddetti documenti devono essere conservati per un periodo di dieci anni decorrenti dalla cessazione della prestazione professionale.

Relativamente agli incarichi professionali di revisione e di controllo contabile, il termine decennale di conservazione dei documenti e delle informazioni inserite nell’Archivio unico informatico decorre dalla conclusione dell’attività relativa a ciascun esercizio, avendo tali incarichi ad oggetto prestazioni scindibili e ben individuabili (la revisione dei bilanci relativi a singoli esercizi sociali).

Ai fini dell’assolvimento dell’obbligo di registrazione delle informazioni acquisite, le società di revisione devono istituire un Archivio Unico Informatico (nel seguito “AUI”; art. 37, comma I, del Decreto). L’AUI deve essere gestito ed alimentato secondo modalità che assicurino la chiarezza e la completezza delle informazioni ivi registrate, nonché la facilità di consultazione e deve essere strutturato tenendo conto delle peculiarità operative della società di revisione, allo scopo di ottenere la semplificazione delle registrazioni.

Superato

Anche con riferimento alle informazioni registrate nell’AUI, vige l’obbligo di conservazione per un periodo di dieci anni (art. 36, comma II) decorrenti, relativamente agli incarichi di revisione e di controllo contabile, dalla conclusione dell’incarico professionale inerente ciascun singolo esercizio.

5.2 Informazioni da registrare in Archivio Unico Informatico

Le informazioni che devono essere registrate nell’AUI si ricavano dal coordinamento normativo tra l’art. 36 del Decreto ed il Provvedimento recante disposizioni attuative per la tenuta dell’AUI recentemente emanato da Banca d’Italia, ai sensi dell’art. 37, commi 7 e 8, del Decreto⁹.

A tale Provvedimento le società di revisione dovranno fare riferimento per le informazioni che debbono essere registrate in AUI, nonché per gli standards tecnici ad esso applicabili, che non sono oggetto del presente documento.

Nel caso in cui il cliente della società di revisione appartenga ad una delle categorie indicate nell’art. 25, commi 1 e 3, del Decreto e, conseguentemente, siano applicabili gli obblighi di adeguata verifica semplificati descritti al precedente paragrafo 2.5.1, non essendo previsto l’obbligo di eseguire l’adeguata verifica nei confronti di tali soggetti, non è necessario effettuare alcuna registrazione nell’AUI, fermo restando tuttavia l’obbligo di conservare per dieci anni copia della documentazione comprovante l’appartenenza alle suddette categorie¹⁰.

Le informazioni devono essere registrate tempestivamente e, comunque, non oltre il trentesimo giorno successivo all’accettazione dell’incarico professionale, all’eventuale conoscenza successiva di ulteriori informazioni, o al termine della prestazione professionale.

Fermo restando gli eventuali profili di responsabilità penale, l’obbligo di istituzione e di gestione dell’AUI è posto a carico della società di revisione e non del singolo professionista responsabile dell’incarico, indipendentemente dalla tipologia del rapporto lavorativo che intercorre tra il professionista e la società di revisione nell’ambito della quale egli presta la propria attività professionale.

Le società di revisione possono delegare la gestione dell’AUI ad un centro di servizi, purché venga assicurato l’accesso diretto ed immediato all’Archivio stesso e ferme restando le responsabilità previste a carico della società di revisione tenuta ad istituire l’AUI.

5.3 Protezione dei dati e delle informazioni

Il trattamento dei dati effettuato in conformità alla normativa antiriciclaggio costituisce trattamento rilevante ai sensi del D.Lgs. 196/2003, recante il Codice in materia di protezione dei dati personali.

Pertanto, l’informativa alla clientela dovrà menzionare che il trattamento dei dati avviene anche per le finalità della normativa antiriciclaggio, in particolare per:

• adeguata verifica della clientela;

• conservazione dei dati e registrazione nell’AUI;

9 Si tratta del Provvedimento adottato con Delibera n. 895 del 23 dicembre 2009, reso noto da Banca d’Italia con comunicato del 31 dicembre 2009. Le disposizioni di cui al Provvedimento trovano applicazione con riferimento agli incarichi professionali conferiti a partire dal 1 giugno 2010. Anteriormente a tale data, il riferimento di normativa secondaria concernente le operazioni da registrare è rappresentato dall’art. 5, comma 1, del D.M. 141/2006; con precisazione che, alla luce delle modifiche introdotte dal Decreto Correttivo, le generalità del titolarità effettivo già figurano tra le informazioni per le quali è obbligatoria la registrazione.

10

Superato