Premessa
Il 15 febbraio è stato pubblicato il Regolamento IVASS n. 44 del 12 febbraio 2019 (di seguito, il “Regolamento”), recante disposizioni attuative volte a prevenire l’utilizzo delle imprese di assicurazione e degli intermediari assicurativi a fini di riciclaggio e di finanziamento del terrorismo in materia di organizzazione, procedure e controlli interni e di adeguata verifica della clientela, ai sensi dell’articolo 7, comma 1, lettera a), del decreto legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni (il “Decreto Antiriciclaggio”).
Il Regolamento – che tiene conto degli orientamenti congiunti delle Autorità Europee di Vigilanza (EBA, ESMA, EIOPA) sulle misure semplificate e rafforzate di adeguata verifica della clientela e sui fattori da considerare nel valutare il rischio di riciclaggio e di finanziamento del terrorismo associato ai rapporti continuativi e alle operazioni occasionali – a livello strutturale riunisce al proprio interno le disposizioni in materia di organizzazione e controlli, da un lato, e di adeguata verifica della clientela, dall’altro lato, prima contenute in due diversi regolamenti (rispettivamente il Regolamento ISVAP n. 41/2012 e il Regolamento IVASS n. 5/2014, che saranno abrogati con l’entrata in vigore del Regolamento).
Senza pretesa di completezza, si evidenziano le novità di rilievo contenute nel Regolamento.
Entrata in vigore e adeguamento
Il Regolamento entrerà in vigore a decorrere dal 1° maggio 2019 e si applicherà anche ai rapporti continuativi in essere a tale data, anche se instaurati anteriormente al 4 luglio 2017.
In sede di prima applicazione, i soggetti obbligati si dovranno adeguare alle previsioni relative al sistema dei controlli interni entro il 31 dicembre 2019, adottando le opportune delibere entro il mese di settembre 2019; tali previsioni si applicheranno anche agli intermediari assicurativi a partire dall’entrata in vigore delle disposizioni sulle procedure di mitigazione del rischio.
Inoltre, si prevede che le imprese dovranno integrare le politiche di remunerazione e di esternalizzazione al fine di adeguarle al Regolamento e sottoporle all’approvazione dell’assemblea entro il termine per l’approvazione del bilancio 2018: pare quindi necessario che le imprese intervengano su tali politiche prima della data di entrata in vigore del Regolamento.
Ambito di applicazione
Coerentemente con la disciplina contenuta nel Decreto Antiriciclaggio, il Regolamento ha confermato l’estensione dell’ambito di applicazione anche alle imprese e agli intermediari assicurativi con sede legale in un altro Paese SEE stabiliti senza succursale sul territorio della Repubblica italiana. I requisiti dimensionali e organizzativi per individuare tale sottoinsieme di imprese e intermediari che operano in Italia in regime di libera prestazione di servizi saranno definiti con un successivo regolamento dell’IVASS recante le disposizioni sulle procedure di mitigazione del rischio [1].
Sistema dei controlli interni
Principi generali. A differenza di quanto previsto dal Regolamento ISVAP n. 41/2012, che si limitava a contenere il generico principio secondo cui “le imprese si dotano di un’adeguata organizzazione amministrativa e di un adeguato sistema di controlli interni, proporzionati alle dimensioni, alla natura e alle caratteristiche operative dell’impresa, volti a presidiare il rischio di riciclaggio e di finanziamento del terrorismo”, negli artt. 5, 6, 7 e 8 del Regolamento sono invece stati dettagliati gli adempimenti previsti per le imprese in tema di obiettivi del sistema di governo societario e del sistema di controllo interno, di cultura del controllo interno e di flussi informativi e canali di comunicazione, inclusi gli adempimenti minimi previsti per le sedi secondarie in Italia di imprese aventi sede in Paesi SEE o in Paesi terzi.
Policy antiriciclaggio. È stato introdotto l’obbligo di definire una politica aziendale che indichi le scelte rilevanti in materia di assetti organizzativi, procedure e controlli interni, di conservazione dei dati, di adeguata verifica – inclusi i principi generali per la gestione dei rapporti con la clientela classificata ad alto rischio – nonché di requisiti di onorabilità, professionalità e indipendenza del titolare della funzione antiriciclaggio e, se diverso, del delegato SOS, per assicurare coerenza con l’effettiva esposizione al rischio di riciclaggio.
Con riferimento a tale documento, all’Organo amministrativo [2] competerà l’approvazione, in coerenza con gli orientamenti strategici definiti in materia di gestione del rischio di riciclaggio [3]; all’Alta Direzione [4] spetterà, da un lato, curare l’attuazione degli indirizzi strategici e della politica di gestione del rischio di riciclaggio definiti dall’Organo amministrativo e, dall’altro lato, definire in apposito documento analitico, nell’ambito dei criteri generali individuati dall’Organo amministrativo, le scelte concrete effettuate sui diversi profili rilevanti. All’Alta Direzione spetterà altresì assicurare la coerenza no le scelte operative di dettaglio sulla base dei principi individuati dall’Organo amministrativo [5].
Con riguardo all’Organo amministrativo, interessante segnalare la norma dell’art. 10, co. 2, secondo cui le valutazioni (sulle materie di competenza) dell’Organo delle imprese aventi sede legale in Italia e controllate da società estera e delle sedi secondarie italiane di imprese aventi sede legale in Paesi SEE o terzi, prevarranno su quelle dell’Organo rispettivamente dell’ultima società controllante estera o della direzione generale, quando comportano l’applicazione di più stringenti misure di adeguata verifica della clientela, l’astensione, la segnalazione di operazioni sospette o qualunque comunicazione o trasmissione di dati, documenti e informazioni alle Autorità, sia di propria iniziativa sia su richiesta. Stesso principio è stato espresso con riguardo all’Organo di controllo (v. art. 12, co. 4).
Presidi organizzativi antiriciclaggio. Al fine di assicurarne l’indipendenza, alla funzione antiriciclaggio è stata garantita interlocuzione diretta con gli Organi amministrativo – che ha conservato la competenza di nomina e revoca del responsabile [6] – e di controllo, ex art. 13, co. 4, lettera d). È stato richiesto che – ove la funzione antiriciclaggio venga attribuita alla funzione di verifica della conformità alle norme o a quella di gestione dei rischi – il titolare possieda gli specifici e adeguati requisiti di onorabilità, professionalità e indipendenza propri di tutte le funzioni ricoperte congiuntamente.
Ulteriore novità riguarda l’esternalizzazione della funzione antiriciclaggio (v. art. 16), la cui disciplina è stata significativamente ampliata: mentre la vigente normativa stabilisce che – in caso di outsourcing della funzione – debba essere nominato un “preposto”, avente il solo compito di monitorare le modalità di svolgimento del servizio da parte dell’outsourcer [7], il Regolamento ha ora previsto che laddove si esternalizzi la funzione, occorrerà nominare un “titolare” (in luogo del “preposto”) al proprio interno, cui è affidata la complessiva responsabilità della funzione esternalizzata [8]. Si noti che per le branch non è stato specificato che il rappresentante generale possa essere anche “titolare” della funzione esternalizzata; tuttavia, mutatis mutandis, sembrerebbe possibile affermare che se al rappresentante generale può essere attribuita la responsabilità dei compiti della funzione, allo stesso possa altresì essere attribuita la “titolarità” della funzione esternalizzata.
Peraltro, le imprese osservano gli specifici requisiti per l’esternalizzazione, anche se limitata alle attività di acquisizione e conservazione dei dati, delle informazioni e dei documenti prescritti dalla normativa. In ogni caso, la possibilità di ricorrere all’esternalizzazione, anche all’interno del gruppo, è subordinata alla ridotta portata e complessità del rischio di riciclaggio intrinseco oltre che alla mancata realizzazione dei criteri di economicità, efficienza e affidabilità.
Quanto alla figura e ai compiti del responsabile SOS, è stato espressamente incluso tra i suoi obblighi quello di mantenere evidenza delle valutazioni effettuate, anche in caso di mancato invio della segnalazione alla UIF (v. art. 18, co. 6, lettera c). Inoltre, è stato previsto che gli intermediari assicurativi inviino la SOS direttamente alla UIF, qualora non sia individuabile un’impresa di riferimento.
Gruppi assicurativi. Alla capogruppo – nell’esercizio dei compiti di direzione, coordinamento e controllo – viene richiesto di garantire una pronta e omogenea identificazione dei rischi di riciclaggio e finanziamento del terrorismo ai quali è esposto il gruppo medesimo (v. artt. 22, 23 e 24). L’impostazione è coerente con quella passata, tuttavia gli obblighi a carico della capogruppo risultano maggiormente declinati. Con riferimento alla procedura SOS, è stato previsto che il modello accentrato (con delega conferita a un delegato di gruppo) può essere applicato da un gruppo italiano e dalle sole controllate con sede in Italia (v. art. 25).
Intermediari assicurativi. Dal momento che il Decreto Antiriciclaggio ha incluso tali soggetti nella definizione di “intermediari bancari e finanziari”, ciò ha comportato la necessità di disciplinare gli obblighi di conservazione di documenti, dati e informazioni in capo agli intermediari assicurativi (i quali potevano essere assolti in precedenza mediante la mera trasmissione all’impresa di riferimento).
A tal fine, nel rispetto del principio di proporzionalità, gli artt. 26, 27 e 28 del Regolamento: individuano i requisiti che gli intermediari assicurativi devono rispettare nell’esternalizzare – eventualmente – l’attività di conservazione di documenti, dati e informazioni a terzi, incluse le stesse imprese di riferimento; prevedono l’obbligo per le imprese domestiche e le imprese stabilite senza succursale di assumere il ruolo di outsourcer, quando ciò venga richiesto dall’intermediario assicurativo (tenuto conto che sulle imprese gravano analoghi obblighi di conservazione riferiti agli stessi dati, documenti e informazioni raccolti dagli intermediari assicurativi); consentono agli intermediari assicurativi di avvalersi anche delle imprese aventi sede legale in un paese SEE, che operano in Italia in regime di libera prestazione di servizi, se queste ultime sottoscrivono un accordo di esternalizzazione conforme ai medesimi requisiti posti a carico delle imprese e delle imprese stabilite senza succursale.
In tema di adeguata verifica, gli adempimenti posti a carico degli intermediari assicurativi (v. art. 55) prevedono la possibilità che le attività a carico degli stessi in materia di verifica dell’identità e di conservazione di dati, documenti e informazioni siano svolte dalle imprese, qualora ciò sia espressamente previsto e disciplinato negli accordi di collaborazione e ove questi ultimi rispettino le prescrizioni dell’art. 40, co. 4 e 5.
Adeguata verifica della clientela
Valutazione del rischio del cliente. È stato esplicitato che, nell’identificazione dei fattori di rischio inerenti ad un cliente, occorrerà considerare anche il titolare effettivo del cliente, il beneficiario e l’eventuale titolare effettivo di quest’ultimo e, ove rilevante, l’esecutore (v. art. 30).
Identificazione del beneficiario. Nell’art. 34 è stato previsto che al momento della designazione dovranno essere acquisiti i seguenti dati identificativi: nome e cognome, luogo e data di nascita; nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale, il numero d’iscrizione nel registro delle imprese ovvero nel registro delle persone giuridiche o, in alternativa, il numero di codice fiscale. Quindi, al momento della liquidazione della prestazione o dell’applicazione di misure rafforzate al rapporto continuativo connesse a fattori di più elevato rischio riguardanti il beneficiario o la relazione con il contraente, saranno acquisiti i restanti dati identificativi del beneficiario: residenza anagrafica e, ove diverso, domicilio; estremi del documento di identificazione e codice fiscale per le persone fisiche.
Scopo e natura del rapporto/operazione. Il Regolamento ha dettagliato gli aspetti da tenere in considerazione per acquisire le informazioni utili alla valutazione dello scopo e della natura del rapporto o dell’operazione (v. art. 37).
Adeguata verifica a distanza. In coerenza con quanto previsto in altri Paesi europei, l’art. 39 del Regolamento ha definito una dettagliata procedura per svolgere l’adeguata verifica da remoto tramite strumenti digitali di registrazione audio/video, ove si utilizzino affidabili soluzioni tecnologicamente innovative [9].
Obblighi di conservazione.Il Regolamento ha dettagliato – negli artt. 40 e 41 – i requisiti necessari per esternalizzare l’attività a terzi, rinviando, quanto alle concrete specifiche tecniche, a successive disposizioni dell’IVASS sulla conservazione di dati e informazioni in archivi informatizzati.
Misure semplificate. Novità di rilievo relativa alle misure semplificate di adeguata verifica della clientela – in coerenza con il cambiamento intervenuto nella normativa primaria – è stato l’adeguamento al Decreto Antiriciclaggio, che non prevede più l’esenzione per le fattispecie già qualificate ex lege a basso rischio, ma attribuisce alle imprese il compito di individuare specifici rapporti continuativi e operazioni a basso rischio cui possano essere applicate misure semplificate di adeguata verifica, caratterizzate da una minore estensione e frequenza degli adempimenti (v. artt. 43, 44 e 45).
Misure rafforzate. Per quanto riguarda gli obblighi rafforzati di adeguata verifica della clientela, gli artt. 46 e 47 del Regolamento hanno individuato i fattori di rischio elevato che richiedono sempre misure rafforzate di adeguata verifica, così come previsto dalla normativa primaria, che detta in proposito norme dettagliate, rinviando alle prossime disposizioni sui fattori di rischio per individuare gli ulteriori fattori di rischio elevato che le imprese dovranno necessariamente tenere in considerazione.
Esecuzione da parte di terzi. L’unica modifica di rilievo rispetto al passato, per quanto concerne le modalità di esecuzione da parte di terzi degli obblighi di adeguata verifica della clientela, consiste nella possibilità per le imprese di avvalersi degli intermediari assicurativi per svolgere tutte le fasi dell’adeguata verifica, ad eccezione del controllo costante (v. art. 52).
[1] Sulla base dei requisiti dimensionali e organizzativi, una “impresa stabilita senza succursale” sarà tenuta ad adottare presidi, controlli e procedure previsti nel Regolamento, attribuendo la responsabilità di valutare e gestire i rischi di riciclaggio – cui tale impresa è esposta in relazione alle polizze commercializzate in Italia tramite intermediari assicurativi – all’omologa funzione competente istituita presso la direzione generale della stessa impresa.
[2] Il consiglio di amministrazione (nel sistema di governance tradizionale e, per quanto non espressamente menzionato nella norma, nel sistema monistico) o, ove non diversamente specificato, nelle imprese che hanno adottato il sistema dualistico, il consiglio di gestione ovvero, per le sedi secondarie, il rappresentante generale.
[3] I quali devono risultare adeguati all’entità e alla tipologia del rischio cui è esposta l’impresa, individuato nel documento di autovalutazione, tenuto anche conto dell’operatività con Paesi terzi ad alto rischio.
[4] L’amministratore delegato, il direttore generale, nonché la dirigenza responsabile ad alto livello del processo decisionale e di attuazione delle strategie.
[5] L’Alta Direzione è tenuta altresì ad assicurare la coerenza del documento analitico con l’effettiva esposizione al rischio di riciclaggio, anche al fine di dimostrarlo alle Autorità.
[6] A differenza della Banca d’Italia, l’IVASS continua a non prevedere il parere obbligatorio dell’Organo di controllo, previsto invece per il soggetto delegato SOS.
[7] Nel caso di outsourcing parziale, debbono essere nominati sia il “responsabile” sia il “preposto”.
[8] Nel caso in cui sia esternalizzata solo l’attività di acquisizione e conservazione dei dati, delle informazioni e dei documenti prescritti dal Decreto Antiriciclaggio, l’impresa nomina uno o più responsabili del controllo su tale attività.
[9] La procedura riflette quella prevista dall’Agenzia per l’Italia Digitale nel Regolamento recante le modalità attuative per la gestione dello SPID (Sistema Pubblico di Identità Digitale) del 28 luglio 2015.