WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Flash News

Adeguata verifica della clientela: integrate le FAQ Banca d’Italia in materia di antiriciclaggio

27 Gennaio 2014
Di cosa si parla in questo articolo

Banca d’Italia ha integrato le proprie FAQ (Frequently Asked Questions) in materia di antiriciclaggio con i quesiti pervenuti dagli operatori in relazione alla disciplina di cui al Provvedimento 3 aprile 2013 sull’adeguata verifica della clientela.

Di seguito si riportano espressamente le nuove FAQ come indicate nel sito della Banca d’Italia.

Il provvedimento definisce cliente “il soggetto che instaura rapporti continuativi o compie operazioni con i destinatari: in caso di rapporti o operazioni cointestati a più soggetti, si considera cliente ciascuno dei cointestatari”. Ciò posto, come comportarsi nel caso in cui i diversi cointestatari evidenzino profili di rischio differenti?

Come già evidenziato nel resoconto della consultazione, ai fini della valutazione del profilo di rischio di ciascun intestatario è rilevante la connessione con gli altri eventuali cointestatari, così come i rapporti con l’esecutore o il titolare effettivo. In caso sussistano diversi profili di rischio in relazione a un medesimo rapporto/operazione, l’intermediario valuta se applicare a tutti i cointestatari, in conformità all’approccio basato sul rischio, le misure di presidio più elevate previste per il cointestatario con il profilo di rischio maggiore. Per connessione si intende l’esistenza di rapporti familiari o d’affari tra i diversi cointestatari ove notori ovvero dichiarati all’intermediario dal cliente.

Il “nuncius” può essere compreso nella nozione di esecutore ai sensi del Provvedimento?

Nella prassi bancaria viene definito “nuncius” il soggetto incaricato da un cliente di consegnare alla banca documentazione dispositiva inerente rapporti continuativi allo stesso intestati e già compilata e sottoscritta dal cliente medesimo. In pratica, il “nuncius” – diversamente dall’esecutore-, sebbene compia un’attività in nome e per conto della clientela (consegna della documentazione alla banca), non è titolare di una delega ad operare sui rapporti continuativi intestati al cliente stesso. Pertanto, egli non va sottoposto agli obblighi di identificazione previsti dal Provvedimento in relazione alla figura dell’esecutore. Le transazioni effettuate dal nuncius possono essere considerate alla stregua di “operazioni per corrispondenza” e vanno quindi imputate all’intestatario del conto. Va da sé che, nel caso in cui il cliente utilizzi continuativamente lo stesso soggetto per tramitare operazioni sul proprio conto, la banca dovrà valutare l’opportunità di chiedere al cliente di conferire formale delega al cennato soggetto.

E’ corretto ritenere che, in caso di rapporti accesi nell’ambito di procedure concorsuali o esecutive, quale cliente della banca vada identificata l’Autorità Giudiziaria che dispone l’accensione dei rapporti?

Nell’ambito delle procedure concorsuali ed esecutive la società rimane comunque cliente formale e sostanziale dei rapporti accesi a suo nome su disposizione dell’Autorità Giudiziaria.

La lettera “o” del Glossario, nella definizione della nozione di gruppo, fa riferimento anche al gruppo assicurativo: si tratta di un refuso?

Si conferma che il riferimento al gruppo assicurativo contenuto nella lettera “o” del glossario costituisce un “refuso” in considerazione del fatto che, ai sensi dell’art. 7 comma 2 del d. lgs. 231/2007, spetta all’IVASS, in qualità di Autorità di Vigilanza di settore, regolamentare le modalità di adempimento degli obblighi di adeguata verifica da parte dei gruppi assicurativi.

In caso di gruppi, il profilo di rischio di un cliente va condiviso anche con le eventuali controllate estere?

La lettera “o” del glossario definisce in maniera molto ampia la nozione di “gruppo” rilevante ai fini della disciplina in parola, richiamando anche la nozione civilistica di “controllo” di cui all’art. 2359 cc. D’altro canto, ai sensi del Provvedimento in materia di assetti organizzativi antiriciclaggio (Capitolo terzo, Sezione I), “i gruppi sono tenuti a sviluppare un approccio globale al rischio di riciclaggio, con fissazione di standard generali in materia di identificazione e conoscenza della clientela. Pertanto, fermo il rispetto degli specifici adempimenti prescritti dall’ordinamento del paese ospitante, le procedure in essere presso le succursali e le filiazioni estere devono essere in linea con gli standard del gruppo e tali da assicurare la condivisione delle informazioni a livello consolidato”.

In caso di società fiduciarie appartenenti a gruppi, come conciliare gli obblighi di circolarità informativa con l’esigenza di riservatezza “richiesta per mandato alle fiduciarie stesse”?

In conformità al principio del risk based approach, spetta agli intermediari, nell’esercizio della propria autonomia imprenditoriale, individuare le soluzioni organizzative e procedurali più idonee per conciliare le esigenze di circolarità informativa con quelle di riservatezza.

La nozione di titolare effettivo sub 1 coincide con quella del mandatario senza rappresentanza di cui all’art. 1705 c.c.?

Sì.

Il riferimento – contenuto nelle Istruzioni – alle società presenti sul sito dell’ESMA come (possibile) strumento per individuare le società quotate che beneficiano del regime di adeguata verifica semplificata va letto come implicita esclusione dal beneficio in questione delle società quotate in mercati di Paesi non aderenti allo Spazio Economico Europeo (come Stati Uniti e Svizzera)?

L’art. 25 comma 1, lett. c-bis), estende il regime semplificato di adeguata verifica alle società quotate i cui strumenti finanziari sono ammessi alla negoziazione su un mercato regolamentato ai sensi della MIFID in uno o più Stati membri ovvero alle società i cui strumenti siano quotati in un mercato di uno Stato estero che imponga obblighi di comunicazione conformi alla normativa comunitaria. Si tratta di un rinvio “aperto” alle valutazioni dei destinatari che sono chiamati, in applicazione del principio dell’approccio basato sul rischio, a valutare se sussistano le condizioni per l’applicazione del regime di adeguata verifica semplificata. In tale contesto, il Provvedimento 3 aprile 2013 chiarisce che, ai sensi dell’art. 25, comma 4, del decreto antiriciclaggio, i destinatari raccolgono sufficienti informazioni sulla clientela idonee a stabilire se ricorrono le condizioni di basso rischio di riciclaggio e di finanziamento del terrorismo richieste per l’applicazione del regime semplificato. Il Provvedimento fa quindi riferimento alla lista contenuta sul sito dell’European Securities and Markets Authorities come possibile strumento di individuazione dei Paesi che impongono obblighi di informazione societaria equivalenti a quelli europei. Ciò posto, si precisa che si tratta di un’indicazione meramente esemplificativa che non esclude la possibilità per gli intermediari di individuare anche aliunde i Paesi dotati di obblighi di informazione societaria equivalenti a quelli previsti dall’Unione Europea.

La previsione che in materia di adeguata verifica a mezzo terzi consente l’utilizzo del bonifico a patto che esso contenga uno specifico codice identificativo (assegnato al cliente dall’intermediario che deve effettuare l’identificazione a distanza) è compatibile con le disposizioni contenute nel Regolamento UE n. 260/2012 in tema di requisiti tecnici e commerciali per i bonifici e gli addebiti diretti in euro?

Sì. Infatti, se è vero che il Regolamento UE n. 260/2012, all’art. 5, stabilisce che l’IBAN è il “codice identificativo” di un conto di pagamento (l’unico elemento che identifica il cliente pagatore) va anche considerato che i tracciati tecnici utilizzati nell’ambito SEPA consentono di inserire campi aggiuntivi, in cui possono essere riportate ulteriori informazioni, ivi incluso il codice identificativo previsto dal Provvedimento 3 aprile 2013 nell’ambito della procedura dell’adeguata verifica a mezzo terzi. Ciò posto, è stato osservato come i cennati campi aggiuntivi abbiano carattere facoltativo. Il fatto che essi siano lasciati in bianco oppure riempiti non ha dunque rilevanza per il buon esito del bonifico: è un elemento che sfugge ai controlli sulla completezza dei bonifici effettuati dalle procedure automatiche implementate dal sistema bancario. Ciò, specie in caso di bonifici on line, sarebbe suscettibile di inficiare l’utilizzabilità del bonifico come strumento di attestazione ai sensi dell’art. 30 del cennato decreto antiriciclaggio. Infatti, ricevuto il codice identificativo, il cliente potrebbe riportarlo nel campo facoltativo compilato direttamente on line e – se l’IBAN è corretto – la sua banca provvederebbe a trasmetterlo all’intermediario che ha rilasciato il codice senza avere alcuna consapevolezza del valore del bonifico come strumento di attestazione.

In realtà, ad una lettura attenta del disposto normativo, il rischio che la banca “terza” possa rilasciare attestazioni “inconsapevoli” appare piuttosto remoto. Infatti, il Provvedimento 3 aprile 2013, replicando l’analoga previsione dell’art. 30, comma 1, del d. lgs. 231/2007, richiede non solo che il bonifico riporti il suddetto codice identificativo ma anche che esso provenga da una banca che abbia identificato “di persona” il cliente. L’obiettivo è evitare che si creino “catene” di intermediari che hanno fatto ricorso a terzi per l’adeguata verifica del medesimo cliente. Pertanto, allo stato, la trasmissione del bonifico completo di codice identificativo deve essere sempre accompagnata dall’esplicita attestazione sulla correttezza dell’adeguata verifica svolta, al fine di garantire che il cliente sia stato identificato personalmente. In mancanza di altre soluzioni tecniche, tale attestazione deve essere resa separatamente dall’intermediario “terzo”.

Per completezza, si precisa che le considerazioni di cui sopra non escludono la possibilità che il bonifico – anche on line e senza codice identificativo – possa essere utilizzato, in relazione al rischio specifico, dagli intermediari come strumento di ulteriore verifica dei dati identificativi della clientela già acquisiti nell’ambito della procedura di adeguata verifica a distanza disegnata dalla Parte IV Sez. II del Provvedimento. Tale sezione, come noto, prevede che, per effettuare l’adeguata verifica a distanza, i destinatari sono tenuti: i) ad acquisire i dati identificativi e a effettuare il riscontro su una copia di un documento di identità non scaduto; ii) ad effettuare un’ulteriore verifica dei dati acquisiti secondo le modalità ritenute più opportune. Tra gli strumenti di verifica, oltre a quelli esemplificativamente indicati nel Provvedimento (quali ad es. contatto telefonico su utenza fissa; invio di comunicazioni a un domicilio fisico con ricevuta di ritorno ecc), può ben rientrare, in relazione al rischio specifico del singolo caso, anche il bonifico. Si tratta, tra l’altro, di una soluzione coerente con le scelte effettuate in altri primari Paesi europei (come la Germania).

Ai fini dell’adeguata verifica a mezzo terzi si può ritenere equivalente al meccanismo del bonifico (accompagnato da un codice identificativo) il RID ovvero analoga procedura in ambito SEPA?

Si ha presente che la procedura di addebito RID era già prevista tra i mezzi di identificazione a distanza della clientela dall’art. 5 dell’abrogato Provvedimento UIC del 24 febbraio 2006. In base a tale articolo, era possibile procedere all’identificazione a distanza della clientela qualora l’intermediario ottenesse un’attestazione da soggetti presso cui i potenziali clienti erano titolari di rapporti continuativi in relazione ai quali erano già stati identificati di persona. In tale contesto, al comma 5, veniva specificamente previsto che “l’attestazione di avvenuta identificazione può essere resa attraverso il flusso elettronico di accettazione dell’attivazione della procedura RID, da parte della banca presso cui il cliente intrattiene un rapporto di conto. L’attestazione, resa in via implicita attraverso il flusso elettronico di accettazione di addebito del conto, è ritenuta idonea a condizione che: a) il cliente sottoscriva la richiesta di autorizzazione di addebito RID, comunichi all’intermediario operante a distanza i propri dati identificativi, trasmetta fotocopia del documento valido per l’identificazione; b) in relazione al conto da addebitare, il cliente sia stato opportunamente identificato dall’intermediario attestante”.

Ciò posto, si ritiene che la procedura di allineamento RID prevista dal cennato art. 5 risulti tuttora idonea all’assolvimento degli obblighi di adeguata verifica a distanza della clientela. Infatti, in base al Provvedimento 3 aprile 2013 della Banca d’Italia (Parte IV Sez. II), per effettuare l’adeguata verifica a distanza, i destinatari sono tenuti: i) ad acquisire i dati identificativi e a effettuare il riscontro su una copia di un documento di identità non scaduto; ii) ad effettuare un’ulteriore verifica dei dati acquisiti secondo le modalità ritenute più opportune, in relazione al rischio specifico. Tra gli strumenti di verifica, oltre a quelli esemplificativamente indicati nel Provvedimento (quali ad es. contatto telefonico su utenza fissa; invio di comunicazioni a un domicilio fisico con ricevuta di ritorno ecc), può rientrare, in relazione al rischio specifico del singolo caso, anche l’allineamento RID. Analoghe conclusioni possono essere raggiunte con riferimento alla procedura SEPA Direct Debit, che sostituirà definitivamente la procedura RID a partire dal 1° febbraio 2014.

In caso di rapporti accesi con intermediari insediati in Paesi a regime antiriciclaggio non equivalente, quali sono i criteri che gli intermediari devono seguire nella valutazione della qualità del regime di vigilanza e dei controlli antiriciclaggio in essere nel Paese estero?

La qualità del sistema di vigilanza antiriciclaggio in vigore nei Paesi extracomunitari non equivalenti con cui i destinatari instaurano relazioni di affari va prudentemente valutata dagli stessi destinatari, alla luce del complesso delle informazioni disponibili e in conformità ai principi dell’approccio in base al rischio. Informazioni di rilievo in merito possono comunque reperirsi, ad esempio, oltre che nelle liste predisposte dal GAFI contenenti le “High-risk and non-cooperative jurisdictions”, nei rapporti di valutazione (cd “Mutual evaluation Report”) redatti dal GAFI, dal FMI e dagli Organismi regionali istituiti sul modello del GAFI (ad es. Moneyval, GAFISUD, APG, MONEYVAL, EAG, MenaFATF, GIABA, ESAAMLG, CFATF) in esito agli esercizi di peer review dagli stessi periodicamente effettuati sui vari Paesi.

In caso di persone politicamente esposte, l’autorizzazione del Direttore Generale o di un suo delegato è richiesta, oltre che in sede di apertura di un rapporto, anche per l’effettuazione di un’operazione occasionale?

L’art. 13 comma 4 della direttiva 2005/60 e l’art. 28 comma 5 del d. lgs. 231/2007 sottopongono ad un regime rafforzato di adeguata verifica non solo i rapporti d’affari ma anche le operazioni occasionali effettuate con persone politicamente esposte residenti in un altro Stato membro o in un paese terzo. Tuttavia, i regimi applicabili alle due fattispecie non risultano perfettamente sovrapponibili. Infatti, da un lato sia per i rapporti che per le operazioni occasionali vanno adottati gli opportuni accorgimenti procedurali per stabilire se il cliente sia una persona politicamente esposta e individuare l’origine dei fondi impiegati; dall’altro l’autorizzazione del massimi dirigenti è prescritta solo per le decisioni inerenti l’apertura ovvero la prosecuzione di un rapporto d’affari con tali clienti e non anche per l’effettuazione di operazioni con tali soggetti.

I PEP domestici devono essere individuati sulla base dei criteri che circoscrivono i concetti di “importanti cariche pubbliche”, di “familiari diretti” o di “persone strettamente collegate” forniti nell’art. 1 dell’Allegato tecnico al D.lgs. n. 231/2007?

Il provvedimento 3 aprile 2013, nel disciplinare la nuova categoria dei PEP “residenti”, stabilisce che tali sono le “persone che occupano o hanno occupato importanti cariche pubbliche sulla base dei criteri di cui all’allegato tecnico del decreto antiriciclaggio”. Si conferma pertanto che cariche pubbliche diverse da quelle prese in considerazione dall’Allegato tecnico al Decreto Antiriciclaggio, sebbene richiamate nella Parte prima, sezione II, lettera A) n. 1) delle disposizioni tra i criteri di valutazione del rischio concernenti il cliente, non rilevano ai fini della qualifica di PEP domestico e ai relativi adempimenti. Ovviamente, spetta agli intermediari valutare, nell’ambito di un approccio basato sul rischio, l’opportunità di estendere, in via volontaria, il regime previsto per i PEP “residenti” anche a categorie di soggetti che, pur non compresi nell’elenco di cui al cennato allegato tecnico al decreto antiriciclaggio, presentino analoghe caratteristiche di esposizione al rischio di corruzione e di riciclaggio.

Quando scatta la soglia presuntiva del 25% più uno per l’individuazione del titolare effettivo in caso di persone giuridiche controllate attraverso catene partecipative?

In base all’allegato tecnico al decreto antiriciclaggio, il titolare effettivo di una società va individuato “nella persona fisica o le persone fisiche che, in ultima istanza, possiedano o controllino un’entità giuridica, attraverso il possesso o il controllo diretto o indiretto di una percentuale sufficiente delle partecipazioni al capitale sociale o dei diritti di voto in seno a tale entità giuridica… tale criterio si ritiene soddisfatto ove la percentuale corrisponda al 25 per cento più uno di partecipazione al capitale sociale”. Tale previsione, che replica quasi letteralmente l’analoga disposizione comunitaria (cfr. art. 3, comma 5, lett a, i) della direttiva 2005/60), lascia aperto il dubbio se sia necessario, affinché scatti la soglia presuntiva del controllo, che la persona fisica posta al vertice della catena partecipativa detenga – nei fatti – una percentuale superiore al 25% della società cliente ovvero se sia sufficiente che la soglia del 25% sia detenuta dall’ultimo livello della catena partecipativa. Si tratta di una questione discussa già a livello europeo, risolta in maniera differenziata nei diversi Paesi (cfr, in merito, il “Report on the legal, regulatory and supervisory implementation across EU Member States in relation to the Beneficial Owners Customer Due Diligence requirements under the Third Money Laundering Directive”, predisposto dall’Anti Money Laundering Committee, consultabile al seguente indirizzo internet: http://www.esma.europa.eu/system/files/jc_2011_096.pdf). Ciò posto, nel Provvedimento del 3 aprile 2013, è stata preferita la nozione più ampia in virtù della quale vanno identificate come titolari effettivi tutte le persone fisiche che detengano una partecipazione di controllo in una persona giuridica titolare di una partecipazione superiore al 25% nella società cliente.

I titolari effettivi possono essere più di quattro?

Come chiarito nel Provvedimento, il titolare effettivo coincide con la persona fisica o le persone fisiche che, in ultima istanza, possiedono o esercitano il controllo diretto o indiretto sul cliente. Viene anche precisato come la nozione di controllo contenuta nell’Allegato tecnico del decreto antiriciclaggio deve essere interpretata in modo sistematico, considerando tanto l’art. 2359 del codice civile quanto l’art. 93 del TUF. In tale contesto, la soglia del 25% più uno del capitale rappresenta solo un caso al ricorrere del quale il controllo è presunto ex lege. Ne discende che i titolari effettivi ben possono essere in numero superiore a 4 ove l’intermediario, all’esito dei controlli effettuati in sede di adeguata verifica del cliente, identifichi in più di 4 persone fisiche i controllanti della persona giuridica cliente.

Un IMEL può consentire ai punti vendita convenzionati di cui si avvale per la distribuzione delle carte prepagate di effettuare la verifica dei documenti di identità acquisiti dalla clientela nonché di avvalorare e rendere operative le carte di pagamento prima del completamento del processo di adeguata verifica da parte dell’IMEL committente?

No. Infatti, ai sensi dell’art. 30 comma 8 del d.lgs. 231/2007, i collaboratori esterni che, in virtù di apposita convenzione, propongono alla clientela, in nome e per conto di intermediari, la sottoscrizione di contratti riconducibili all’attività istituzionale degli intermediari medesimi possono effettuare solo l’identificazione del cliente, dell’esecutore e del titolare effettivo, acquisendo copia dei documenti di identità originali (tra quelli indicati nell’allegato tecnico del d.lgs. n. 231/2007).

Pertanto, a tali soggetti è precluso lo svolgimento delle altre attività in cui si sostanzia l’adeguata verifica della clientela. Ne discende che i punti vendita di cui un IMEL si avvale per la distribuzione dei propri prodotti non possono effettuare il controllo dei documenti dei richiedenti le carte; né il punto vendita può attivare e avvalorare la carta – in tal modo instaurando un “rapporto continuativo” – prima che l’azienda committente abbia completato il processo di adeguata verifica con modalità coerenti con il profilo di rischio attribuito allo specifico cliente. L’attività di verifica dell’identità del cliente, dell’esecutore e del titolare effettivo da parte dell’IMEL deve infatti precedere l’instaurazione del “rapporto continuativo”.

Più precisamente, in conformità con le vigenti disposizioni, il punto vendita può: i) effettuare l’identificazione del cliente; ii) acquisire copia del documento originale dello stesso; iii) raccogliere la documentazione sullo scopo e la natura del rapporto; iv) consegnare al cliente la carta non attivata né avvalorata. La documentazione acquisita deve essere trasmessa all’IMEL, tenuto a completare l’adeguata verifica valutando gli ulteriori accertamenti da condurre sui dati relativi al cliente, eventualmente con ricorso a più fonti affidabili e indipendenti anche in funzione del rischio di riciclaggio attribuito allo specifico cliente (p.es. controllo della reale correttezza, esistenza e validità dei codici fiscali dei titolari delle carte, acquisizione di copia di un secondo documento d’identità, ecc.). Solo al completamento di tale processo di adeguata verifica può essere attivato il nuovo strumento di pagamento.

E’ possibile aprire un rapporto continuativo ad una persona giuridica qualora il relativo rappresentante legale (o delegato a operare) dichiari di non conoscere l’identità del titolare effettivo né sia in grado di produrre la documentazione idonea a individuarlo?

Il soggetto che svolge la funzione di rappresentante legale di una persona giuridica ha il dovere di dichiarare il titolare effettivo del rapporto; in ogni caso, l’obbligo di individuare e verificare l’identità del titolare effettivo del cliente ricade sul destinatario della disciplina antiriciclaggio che dovrà attivare tutte le misure necessarie allo scopo. Nell’ipotesi di perdurante impossibilità di adempiere all’obbligo indicato dall’art. 18 del d. lgs. 231/2007, l’intermediario dovrà astenersi dall’instaurare il rapporto continuativo, valutando, nel contempo, se ricorrano le condizioni per inviare alla UIF una segnalazione di operazione sospetta.

In caso di leasing, soggiacciono agli obblighi di adeguata verifica anche i rapporti accesi dall’intermediario con i fornitori dei beni oggetto del contratto di locazione finanziaria?

Le banche e le società di leasing possono astenersi dall’effettuare l’adeguata verifica del fornitore e dalla registrazione nell’Archivio Unico Informatico (AUI) dei relativi dati. Ciò posto, è rimessa agli intermediari la valutazione dell’opportunità di acquisire comunque accurate informazioni in ordine al fornitore: da un lato, infatti, tali informazioni possono essere necessarie per la complessiva valutazione dell’operatività della clientela ai fini della segnalazione di eventuali operazioni sospette alla UIF; dall’altro, contribuiscono a ridurre i possibili rischi operativi connessi a condotte illecite del fornitore con danno a carico dell’intermediario.

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter