L’EBA ha pubblicato il secondo rapporto avente ad oggetto gli esiti delle analisi condotte tra il 2020 e il 2021 su sette Autorità di vigilanza altrettanti Stati membri competenti in materia di antiriciclaggio e contrasto al finanziamento del terrorismo (AML/CFT).
Il primo rapporto era stato pubblicato nel 2020, a valle delle analisi condotte nel 2019 a seguito degli scandali che hanno riguardato alcune banche europee coinvolte in fatti di riciclaggio e che avevano portato l’EBA a decidere di rivedere l’efficacia degli approcci delle autorità nazionali competenti in materia di vigilanza AML/CFT sulle banche e di sostenere gli sforzi delle singole Autorità.
Il Report contiene una serie di raccomandazioni rivolte a tutte le Autorità di vigilanza, che inevitabilmente avranno dei risvolti anche sulle banche e sugli altri destinatari della normativa AML/CFT.
Il primo tema affrontato nel Report è quello del risk assessment, settoriale e individuale.
Relativamente al primo di tali aspetti (risk assessment settoriale), l’invito è quello di:
- rafforzare la comprensione dei rischi esistenti ed emergenti, attingendo a una gamma sufficientemente ampia di fonti d’informazione (banche, UIF, altre autorità nazionali, comprese le forze dell’ordine, le autorità fiscali etc);
- adottare una metodologia di valutazione dei rischi che permetta di ricostruire il modo in cui i diversi punteggi sono stati attribuiti e di confrontare nel tempo l’evoluzione dei diversi rischi;
- valutare se il rischio settoriale disponibile da altra fonte (ad esempio il risk assessment nazionale) è sufficiente a soddisfare le esigenze informative e se è necessario integrarlo.
Passando, invece, al risk assessment individuale, l’EBA richiama le Autorità di Vigilanza a:
- considerare attentamente la frequenza, la quantità e la natura delle richieste di informazioni formulate alle banche, al fine di garantire che esse siano proporzionate e focalizzate su quanto necessario per la valutazione del rischio;
- assicurarsi che gli indicatori di rischio utilizzati siano significativi, inequivocabili e idonei a valutare l’esposizione delle singole banche ai rischi identificati nelle valutazioni di rischio settoriali e nazionali;
- fare in modo, laddove decidano di ponderare diversamente i fattori di rischio, che le decisioni sottostanti siano documentate, fondate, comprese e non diano un peso eccessivo a un particolare fattore di rischio;
- considerare se le risposte fornite dalle banche alle domande sull’adeguatezza dei sistemi e controlli AML/CFT aggiungano valore, o se non si possano ottenere informazioni più affidabili ponendo maggiore enfasi sui risultati delle ispezioni, laddove questi siano disponibili;
- verificare, nei casi in cui si sono basate unicamente sulle autovalutazioni delle banche per calcolare un punteggio di rischio residuo, l’accuratezza, la plausibilità o la veridicità di queste informazioni;
- stabilire chiaramente in un documento o in un manuale il processo che regola l’attribuzione manuale di punteggi diversi da quelli attribuiti in maniera automatizzata e il processo di approvazione da seguire quando un punteggio di rischio automatizzato viene modificato al fine di garantire un approccio coerente.
Il secondo tema affrontato nel Report è quello della vigilanza. Il team dell’EBA, sulla base degli esiti delle attività condotte, ha raccomandato alle Autorità di Vigilanza:
- di mettere in atto una strategia globale di vigilanza lungimirante e concentrata su misure preventive, che stabilisca chiaramente come verranno affrontati i rischi ML/FT identificati;
- definire una strategia di comunicazione e di scambio di flussi informativi con le banche e il settore bancario in generale;
- garantire una guida efficace attraverso l’adozione di linee guida conformi alle disposizioni normative nazionali e sufficientemente specifiche per le attività delle banche che operano nel territorio UE nonché per i rischi a cui queste sono esposte, migliorando la qualità dei sistemi e dei controlli AML/CFT delle banche.
Passando all’aspetto della vigilanza prudenziale quale strumento di mitigazione dei rischi AML/CFT, il Report dà conto del fatto che ci si attende che le unità che presidiano i temi prudenziali:
- stabiliscano chiaramente, nei loro manuali di supervisione o procedure, il tipo, il formato e la frequenza delle informazioni che necessitano ricevere dalle unità che presidiano i temi AML/CFT (i nuovi orientamenti dell’EBA sulla cooperazione e lo scambio di informazioni forniscono ulteriori dettagli su questo punto);
- stabiliscano nelle loro politiche e procedure interne quali fonti di informazione esterne consulteranno per assicurarsi di avere la migliore visione dei possibili rischi ML/TF associati a una domanda di autorizzazione all’acquisizione di partecipazioni qualificate o di una partecipazione comunque di controllo (le nuove linee guida dell’EBA in materia di cooperazione AML/CFT e di autorizzazione contengono importanti informazioni a questo proposito);
- mettano a punto un programma interno di formazione per assicurare che i propri addetti abbiano una chiara comprensione dei rischi ML/TF, di come questi rischi influiscano sugli obiettivi prudenziali e di come debbano cooperare con le divisioni che si occupano di AML/CFT quando vengono identificati rischi ML/TF;
- tengono un’adeguata registrazione delle domande ritirate e del motivo di tale ritiro, per garantire che le persone di dubbia integrità non possiedano o controllino istituti finanziari nell’UE;
- stabiliscono chiaramente nei loro processi interni come garantire che vengano tenuti in conto i rischi ML/FT nella valutazione SREP, in linea con il parere dell’EBA per il 2020 sul tema e, in futuro, con gli orientamenti SREP modificati e pubblicati il 18 marzo 2022.
Il quarto tema affrontato riguarda l’enforcement e il supervisory follow-up. Il Report richiede che le Autorità competenti:
- facciano pieno uso di tutti i poteri esecutivi, compresi, se necessari e pertinenti – i poteri prudenziali, per sanzionare le violazioni degli obblighi AML/CFT da parte delle banche in modo proporzionato ed efficace;
- mettano in atto processi interni e adottino linee guida per stabilire criteri oggettivi che useranno per determinare la gravità di una violazione, per garantire che questi criteri siano applicati in modo coerente e che i processi decisionali siano ben documentati. I criteri dovrebbero tenere conto di fattori aggravanti e attenuanti pertinenti al fine di garantire che il livello e il tipo di misura o sanzione sia sufficientemente elevato da essere efficace, proporzionato e dissuasivo;
- mettano in atto e attuino una politica formale sulla pubblicazione delle sanzioni, prendendo atto in particolare delle disposizioni dell’articolo 60, paragrafo 1, della direttiva (UE) 2015/849, che stabiliscono che nei casi in cui le autorità competenti decidano di non pubblicare le sanzioni o le misure adottate, ad esempio per motivi di stabilità del mercato, la pubblicazione avvenga una volta che siano venuti meno i motivi sottostanti alla decisione;
- verifichino sistematicamente l’efficacia delle misure e dei provvedimenti AML/CFT assunti e adottino misure correttive, se necessario, per assicurare il rispetto da parte delle banche dei loro obblighi AML/CFT.
Il documento non poteva non chiudersi con un richiamo al tema della cooperazione, invitando le Autorità di vigilanza:
- a continuare a lavorare con le diverse Autorità nazionali, tra cui l’UIF, le Autorità preposte all’applicazione della legge e le Autorità fiscali, nonché il Pubblico ministero, se e nella misura in cui ciò sia necessario, formalizzando il loro impegno attraverso Memorandum of Understanding o altri accordi di cooperazione;
- a mettere in atto e attuare una strategia globale di cooperazione internazionale con le Autorità competenti nell’UE e nei Paesi terzi che consenta di ottenere una visione più completa possibile dei rischi ML/FT a cui sono esposte le banche che rientrano nel loro mandato di vigilanza;
- a rafforzare il loro ruolo e la loro supervisione sulle politiche e sulle procedure AML/CFT dei gruppi.