WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

Gli Orientamenti EBA sull’adeguata verifica e sui fattori di rischio: i profili generali

1 Aprile 2021

Giampaolo Estrafallaces, Consigliere senior della Banca d’Italia

Di cosa si parla in questo articolo

Sommario[*]: 1. Premessa; 2. I principali contenuti della parte prima degli Orientamenti in materia di risk assessment; 2.1. I fattori di rischio; 2.1.1. I fattori di rischio connessi al cliente o al titolare effettivo; 2.1.2. Il rischio associato a Paesi e a determinate aree geografiche; 2.1.3. I fattori del rischio associato alla trasparenza di un prodotto, servizio o transazione; 2.1.4. I fattori del rischio associato alle modalità di collocamento; 3. Regole generali delineate negli Orientamenti in materia di adeguata verifica; 3.1. Adeguata verifica semplificata/Adeguata verifica rafforzata: le indicazioni generali dell’EBA; 3.2. I Paesi terzi ad alto rischio; 3.3. Esempi di misure da applicare in altre ipotesi in cui si riscontri un elevato livello di rischio e l’attività di monitoraggio; 3.4. Rapporto avviato e condotto senza la presenza fisica del cliente (Non-face to face situations); 4. Inclusione finanziaria e de-risking.

 

1. Premessa

Ad esito della fase di consultazione pubblica durata dal 5 febbraio al 6 luglio 2020, l’Autorità Bancaria Europea (d’or innanzi “EBA”, European Banking Authority) ha pubblicato il 1° marzo 2021 una nuova versione degli Orientamenti in materia di adeguata verifica della clientela e di individuazione dei fattori di rischio[1].

Con la Direttiva UE 2015/849 (d’ora innanzi solo “Direttiva 2015/849), entrata in vigore il 26 giugno 2015, è stato, infatti, imposto agli Stati membri, alle autorità competenti e ai soggetti obbligati l’adozione di misure per l’identificazione e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo (d’ora innanzi “ML/TF”) ai fini di una migliore gestione degli stessi.

In tale ambito, la Direttiva ha attribuito alle tre European Supervisory Authorities (ESAs) il compito di emanare orientamenti sugli elementi essenziali (key aspects) di cui tener conto per la corretta applicazione dell’approccio basato sul rischio. A ciò le predette Autorità hanno provveduto mediante una specifica pubblicazione del 26 giugno 2017[2]pure richiamata nell’Atto di emanazione del Provvedimento della Banca d’Italia del 30 luglio 2019[3].

Da allora, tuttavia, oltre al ravvisarsi da parte dell’EBA di “nuovi rischi”[4], risulta sostanzialmente mutato il quadro normativo applicabile nell’Unione Europea: la stessa Direttiva 2015/849 è stata modificata con la Direttiva 2018/843 entrata in vigore il 9 luglio 2018, nonché con l’articolo 3 della Direttiva 2019/2177 del 18 dicembre 2019, con cui il legislatore europeo ha scelto di concentrare presso l’EBA, dal 1° gennaio 2020, le funzioni di coordinamento e monitoraggio nell’attività di contrasto del riciclaggio e del finanziamento del terrorismo fino ad allora attribuite alle diverse autorità europee[5].

Pertanto, l’EBA nella formulazione dei nuovi Orientamenti ha operato con competenza ormai esclusiva ai sensi degli articoli 17[6]e 18, paragrafo 4[7], della Direttiva 2015/849 come emendata dalle richiamate Direttive del 2018 e del 2019.

In particolare, la Direttiva 2018/843 ha introdotto una serie di novità che hanno determinato l’opportunità della revisione degli Orientamenti del 2017 con specifico riferimento agli obblighi di rafforzamento nel caso di rapporti che coinvolgano Paesi terzi ad alto rischio[8].

In generale, la nuova versione degli Orientamenti si muove nella direzione di ottenere migliori risultati riguardo a quattro distinti aspetti:

  • la valutazione dei rischi ML/TF a livello aziendale e individuale;
  • le misure di adeguata verifica della clientela, anche con riferimento al titolare effettivo;
  • i fattori di rischio connessi al finanziamento del terrorismo;
  • i rischi emergenti.

Come già in precedenza, gli Orientamenti pubblicati il 1° marzo 2021 sono divisi in due parti: la prima (titolo I, guideline da 1 a 7) applicabile a tutte le “credit and financial institutions”[9]; la seconda (titolo II, guideline da 8 a 20) è “sector-specific” e integra, settore per settore, le indicazioni dettate nella prima parte attraverso l’individuazione di fattori di rischio specifici per determinati settori e di istruzioni dedicate a chi operi in tali settori in ordine all’applicazione di misure di adeguata verifica della clientela proporzionate al rischio che li caratterizza (risk-sensitive application).

Le autorità competenti, come definite nell’articolo 4, paragrafo 2[10]del Regolamento UE 1093/2010, dovranno conformarsi al nuovo quadro delineato negli Orientamenti incorporandoli nelle loro pratiche, ad esempio attraverso modifiche del loro quadro regolamentare o delle loro procedure di vigilanza.

Inoltre, le predette autorità dovranno notificare all’EBA se siano eventualmente già conformi agli Orientamenti, o se intendano conformarsi incorporandoli nelle loro pratiche (ad esempio, modificando il loro quadro regolamentare o le loro procedure di vigilanza), oppure, in caso contrario, motivare la scelta di non conformarsi.

Tale notifica dovrà avvenire entro due mesi dalla pubblicazione sul sito web dell’EBA della traduzione – in tutte le lingue dell’Unione – degli Orientamenti; questi dovranno trovare applicazione entro tre mesi dalla pubblicazione della relativa traduzione.

2. I principali contenuti della parte prima degli Orientamenti in materia di risk assessment

In linea con gli obblighi di valutazione previsti dalla Direttiva 2015/849 (cfr. in particolare l’articolo 8) l’EBA ha sottolineato che gli intermediari bancari e finanziari dovranno effettuare sia una valutazione a livello aziendale, cioè una valutazione del rischio derivante dalla natura e dalla complessità della loro attività (the business-wide risk assessment)[11], sia una valutazione dei rischi individuali, cioè di quelli connessi ai rapporti continuativi instaurati o alle operazioni occasionali poste in essere dalla clientela (the individual risk assessments)[12], (cfr. figura 1).

Fig.1

Ciascuna delle valutazioni menzionate si articola in due fasi, distinte ma correlate:

  • l’identificazione dei fattori di rischio ML/TF;
  • la valutazione del rischio ML/TF.

Come specificato dall’EBA, il calcolo del rischio residuale, tanto aziendale che individuale, inteso come rischio a valle delle attività di mitigazione, è il risultato della combinazione di tre elementi, quali il livello del rischio intrinseco, cioè il rischio “ante mitigazione”[13], la qualità dei controlli e l’eventuale presenza di altre circostanze capaci di attenuare il rischio[14](cfr. figura 2).

Fig.2

Con specifico riferimento al rischio aziendale, viene ribadito l’obbligo, già sancito dalla Direttiva 2015/849[15], che i soggetti obbligati registrino e documentino la propria valutazione e qualsiasi modifica apportatale in modo tale che le autorità competenti possano comprendere sia la metodologia utilizzata sia le ragioni che hanno condotto a tale scelta metodologica.

Deve, inoltre, essere fissata una data precisa entro la quale procedere all’aggiornamento della valutazione del rischio aziendale, nonché essere predisposti meccanismi che tengano conto dell’eventuale mutamento del livello di rischio per le valutazioni dei singoli rapporti continuativi.

Come accennato in premessa, l’EBA ha rimarcato la necessità di prestare attenzione ai cc.dd. “rischi emergenti”. A tal fine specifico (to identify emerging risks)[16]gli intermediari devono dotarsi di due tipi di procedure:

  • quelle idonee all’aggiornamento delle informazioni interne, cioè quelle tratte dalla loro attività di monitoraggio, al fine di identificare nuovi trend (come ad esempio l’utilizzo di soluzioni innovative in tema di customer due diligence) che possano incidere sull’attività aziendale, in generale o su singole relazioni d’affari;
  • e quelle capaci di attingere a fonti esterne, di cui gli stessi Orientamenti riportano alcuni esempi.

Fra queste, infatti, l’EBA include espressamente:

  1. i database disponibili in commercio che raccolgono informazioni provenienti da diverse fonti, cui vanno aggiunte le informazioni presenti nel report relativo ai risultati della valutazione nazionale dei rischi (national risk assessment), nonché della valutazione del rischio sovranazionale (supranational risk assessment) condotto dalla Commissione europea;
  2. l’elenco, sempre della Commissione europea, sui Paesi ad alto rischio;
  3. le informazioni diffuse dall’Unità di Informazione Finanziaria e dalle forze dell’ordine[17];
  4. le informazioni desumibili dalle sanzioni comminate dalle autorità;
  5. le informazioni frutto dei momenti di confronto con le autorità e con altri rappresentanti de “l’industria”, come nel caso di tavole rotonde, conferenze e corsi di formazione[18].

Oltre a queste l’EBA individua, quali “Other sources of information”, informazioni tratte dalla c.d. “società civile” come gli indici relativi al livello di corruzione, quelle provenienti da enti che si occupano di elaborazioni statistiche, i rapporti di valutazione reciproca, nonché altre informazioni tratte da fonti aperte affidabili[19].

Per quanto riguarda le valutazioni del rischio a livello aziendale (business-wide risk assessments) l’EBA richiama, tra l’altro, l’importanza non solo degli alert diffusi dalle forze dell’ordine ma anche i contenuti delle pubblicazioni delle autorità competenti e i feedback rivenienti dal personale interessato (relevant staff). I risultati della valutazione in discorso dovranno essere portati a conoscenza anche del personale al fine di porlo nelle condizioni di valutare in che misura il livello del rischio aziendale possa influire sulla sua concreta attività quotidiana, anche ai fini della individuazione di transazioni anomale o sospette[20].

Con particolare riferimento alla valutazione del rischio connesso al singolo rapporto continuativo (individual risk assessments) l’EBA rammenta l’importanza di prendere tempestivamente in considerazione gli allarmi terroristici e le sanzioni finanziarie, nonché i resoconti dei media che riguardino settori o Stati in cui l’intermediario operi[21].

In ogni caso, l’EBA stabilisce che le fonti cui l’intermediario deve attingere ai fini delle proprie valutazioni siano, quanto a tipologia e numerosità, predeterminate tenuto conto del proprio livello di rischio[22].

L’elaborazione delle informazioni fornite da tali fonti deve avere come fine ultimo quello di giungere ad una visione “olistica” cioè una visione che attraverso piani paralleli di indagine consenta la formulazione del livello complessivo del rischio, sia con riferimento al singolo rapporto/operazione occasionale, sia con riferimento all’intermediario stesso[23].

Un aspetto di novità rispetto alla precedente versione è rappresentato dal “suggerimento” rivolto ai destinatari di considerare la possibilità di sottoporre il loro “approccio” ad una “revisione indipendente”.

Già in fase di consultazione molti partecipanti hanno chiesto di fornire maggiori dettagli al riguardo, in particolare su che cosa dovesse intendersi per “revisione indipendente’’, quando e come dovesse essere eseguita (ad esempio, su parti del processo di gestione del rischio o sull’intero sistema; a cura di un soggetto interno o esterno) e chi dovesse essere sottoposto a tale “revisione” (esempio, solo intermediari di grandi dimensioni o complessi).

In generale, l’EBA ha chiarito che ciascun intermediario deve fare in modo che le proprie modalità di contrasto del riciclaggio e del finanziamento del terrorismo siano efficaci e conformi gli obblighi di legge e regolamentari previsti: a tal fine, rientra dunque nella libera scelta dell’intermediario considerare la necessità (o meno) di tale “revisione” e quale dovrà esserne l’estensione, cioè se debba avere ad oggetto tutti gli aspetti della policy AML/CFT o solo una parte della stessa e se debba essere svolta da strutture interne o da soggetti esterni cui le imprese devono anche tenere conto dei requisiti (nazionali) ad esse applicabili – in alcuni Stati (tenendo presenti i dettami della normativa nazionale).

Si tratta, tuttavia, di una novità relativa, considerato che l’articolo 8, della Direttiva 2015/849 prevede che gli Stati membri facciano in modo che i soggetti sottoposti agli obblighi adottino “politiche, controlli e procedure per mitigare e gestire in maniera efficace i rischi…”, soggiungendo che tali politiche devono includere “se del caso, in funzione delle dimensioni e della natura dell’attività economica, una funzione di revisione indipendente…”

2.1 I fattori di rischio

Secondo gli Orientamenti pubblicati a marzo 2021, per “fattori di rischio” si devono intendere le variabili, suscettibili di incidere, da sole o in combinazione fra loro, sul livello di rischio ML/TF connesso a un rapporto continuativo o a un’operazione occasionale.

I fattori di rischio si distinguono a seconda che il rischio sia associato al cliente, ai Paesi o a determinate aree geografiche, ai prodotti e ai servizi e ai canali di collocamento[24](cfr. figura 3).

Fig.3

Come ovvio i soggetti obbligati potranno soppesare in maniera diversa ciascuno dei fattori di rischio (Weighting risk factors) attribuendo dunque ad ognuno di essi un “punteggio” diverso, decidendo, ad esempio, che la sussistenza di collegamenti fra il cliente e un Paese caratterizzato da un rischio ML/TF più elevato incida sul complessivo livello del rischio in misura minore (o maggiore) rispetto al peso riservato alle caratteristiche del prodotto o del servizio richiesto dal cliente.

Queste valutazioni fortemente discrezionali, ma comunque frutto di informed judgement about the relevance of different risk factors…” non potranno mai derogare alle disposizioni contenute nella Direttiva 2015/849 o nella normativa di ciascun Paese in merito alla sussistenza di un rischio elevato.

L’eventuale formulazione automatica di punteggi potrà essere derogata dall’azienda, ma solo qualora le ragioni di tale deroga siano adeguatamente documentate.

Infine, gli Orientamenti confermano[25]la regola già presente anche nel Provvedimento della Banca d’Italia del 30 luglio 2019 secondo la quale Se il sistema informatico è fornito da soggetti esterni, i destinatari conoscono adeguatamente il funzionamento del sistema e i criteri che determinano l’attribuzione della classe di rischio”[26]

2.1.1 I Fattori di rischio connessi al cliente o al titolare effettivo

Particolarmente ampio è lo spazio dedicato dall’EBA ai “Customer risk factors”, cioè ai fattori da tener presente per il calcolo del livello di rischio associato al cliente e al suo titolare effettivo.

Più in dettaglio, a parere dell’EBA l’analisi condotta deve avere ad oggetto informazioni riconducibili a tre distinti pilastri, in ordine ai quali l’intermediario dovrebbe porsi alcuni quesiti. I tre pilastri sono (cfr. figura 4), con riferimento al cliente e al relativo titolare effettivo:

  1. l’attività commerciale o professionale;
  2. la reputazione;
  3. la natura e il comportamento.

Fig.4

Riguardo l’attività commerciale o professionale del cliente e del titolare effettivo, l’intermediario dovrebbe verificare se l’uno o l’altro:

  • abbia legami con settori che sono comunemente associati a un elevato livello di rischio di corruzione come i settori dell’edilizia, dei prodotti farmaceutici e della sanità, del commercio di armi o interessati allo svolgimento di appalti pubblici;
  • presenti collegamenti con settori associati a un rischio ML/TF elevato, ad esempio attività di money service, casinò o commercio di metalli preziosi;
  • abbia legami con settori che implicano l’utilizzo di rilevante ammontare di denaro contante[27];
  • sia una persona giuridica, un trust o un altro tipo di ente e per quale scopo è stato istituito;
  • sia una persona politicamente esposta (PEP) o presenti collegamenti con persone politicamente esposte;
  • occupi una posizione pubblica di rilievo che gli consenta di trarre guadagni dall’esercizio del potere attribuitogli, come ad esempio nel caso in cui taluno possa influenzare l’aggiudicazione di appalti pubblici;
  • sia un intermediario bancario o finanziario che opera da uno stato con un regime AML/CFT efficace (o meno) e sia vigilato in tale ambito;
  • sia stato soggetto a sanzioni di vigilanza o per il mancato rispetto degli obblighi di AML/CFT;
  • sia una pubblica amministrazione;
  • abbia un background (inteso come contesto nel quale opera o abbia operato) coerente con le informazioni acquisite sul cliente stesso, il suo fatturato e con i suoi fondi e consistenze patrimoniali.

Quanto all’aspetto reputazionale, analogamente a quanto suggerito al punto precedente, l’EBA individua una serie di fonti che l’intermediario dovrà esplorare per verificare l’eventuale esistenza di fatti che, eventualmente, si riflettano negativamente sull’immagine del cliente o del relativo titolare effettivo. Fra questi:

  • la diffusione da parte dei media di informazioni negative come, ad esempio, quelle in merito a un eventuale coinvolgimento nella perpetrazione di attività criminose o con finalità terroristiche. Per quanto ovvio, l’EBA rimarca l’importanza che l’intermediario operi una selezione dei fatti sulla base dei fattori della credibilità e affidabilità delle fonti, nonché della persistenza delle accuse. Peraltro, la circostanza che le eventuali vicende evidenziate dai media non si siano concluse con delle condanne non appare elemento sufficiente per escludere la presenza di comportamenti illeciti[28];
  • la presenza di informazioni circa l’adozione di provvedimenti di congelamento dei beni in dipendenza di procedimenti amministrativi o penali o di accuse di terrorismo o finanziamento del terrorismo nei confronti del cliente, del titolare effettivo o di chiunque sia pubblicamente noto per avere stretti legami con questi;
  • conoscenza di pregresse segnalazioni di operazioni sospette a carico del cliente o del titolare effettivo;
  • presenza (o meno) nel patrimonio informativo aziendale di informazioni sulla correttezza del cliente o del titolare effettivo acquisite nel corso di relazioni di lunga durata;

Nel rimarcare l’importanza di dare considerazione alla natura e all’aspetto comportamentale del cliente e del titolare effettivo, l’EBA suggerisce all’intermediario di verificare:

  • le ragioni per le quali il cliente dichiari eventualmente di non essere in grado di documentare la propria identità (si tratta, ad esempio, di un richiedente asilo?);
  • i motivi del permanere di dubbi sulla veridicità dell’identità del cliente o del titolare effettivo;
  • l’eventuale esistenza di motivi per i quali il cliente eviti di instaurare un rapporto continuativo pur in presenza di reiterate operazioni occasionali;
  • la logicità e trasparenza della struttura proprietaria del cliente;
  • l’eventuale presenza di fiduciari nell’ambito della catena partecipativa[29];
  • la possibilità che il cliente persona giuridica o legal arrangement di vario tipo si presti ad essere utilizzato per la mera intestazione di beni;
  • le ragioni delle eventuali modifiche dell’assetto proprietario del cliente;
  • l’effettuazione da parte del cliente di transazioni complesse, inusuali o di ammontare elevato, all’apparenza prive di senso economico o di una solida motivazione commerciale;
  • l’eventuale irragionevole opposizione da parte del cliente di motivi di riservatezza, come, ad esempio, nel caso in cui il cliente sia riluttante a fornire informazioni funzionali al compimento dell’attività di adeguata verifica;
  • l’individuazione agevole (o meno) dell’origine dei fondi e delle consistenze patrimoniali del cliente e del titolare effettivo (ad esempio redditi da lavoro, lasciti ereditari, redditi da investimenti);
  • la coerenza fra i prodotti e servizi scelti dal cliente e quanto dichiarato in avvio di relazione;
  • le ragioni, nel caso in cui il cliente non sia residente, per le quali quest’ultimo abbia scelto di operare in un Paese diverso da quello di residenza;
  • l’eventuale inclusione del cliente o del titolare effettivo negli elenchi di persone, gruppi ed entità coinvolte in atti terroristici o l’inclusione in tali elenchi di persone di cui sia noto il legame personale o professionale con il cliente o il titolare effettivo;
  • l’effettuazione da parte del cliente di transazioni caratterizzate da flussi, in entrata e in uscita, da e/o verso Paesi in cui è nota la presenza di gruppi terroristici, o Paesi noti per finanziare il terrorismo o soggetti a sanzioni internazionali[30];
  • l’eventuale presenza, nel caso in cui il cliente sia un’organizzazione senza scopo di lucro, di informazioni pubbliche che ne associno l’attività o la leadership a comportamenti estremistici o di approvazione di episodi terroristici;
  • l’effettuazione da parte del cliente di transazioni di consistente ammontare, concentrate in un lasso di tempo ristretto e condotte coinvolgendo organizzazioni no profit collegate fra loro in modo non trasparente (ad esempio più organizzazioni no profit domiciliate nella stessa sede fisica; organizzazioni no profit diverse ma con i medesimi rappresentanti o dipendenti; titolarità in capo a una stessa organizzazione di più rapporti di conto).

2.1.2 Il rischio associato a Paesi e a determinate aree geografiche

Ai fini della valutazione del rischio rileva anche la circostanza che il cliente o il relativo titolare effettivo abbia sede, residenza o il centro principale dei propri affari in un determinato Paese o area geografica.

Secondo gli orientamenti dell’EBA, in tale ambito, rilevano anche quei Paesi o aree geografiche in cui il cliente e il titolare effettivo abbiano legami personali o commerciali rilevanti, interessi finanziari o giuridici.

In generale, nell’ambito del rischio di coinvolgimento in episodi di finanziamento del terrorismo l’intermediario dovrebbe prestare attenzione alla circostanza che un determinato Stato sia indicato nei report delle forze dell’ordine o da fonti aperte (purché affidabili e credibili) come finanziatore di organizzazioni terroristiche oppure potrebbe trattarsi uno Stato sottoposto a sanzioni finanziarie o a misure di embargo da parte delle Nazioni Unite o dell’Unione europea nell’ambito del contrasto del terrorismo o dei programmi di proliferazione delle armi di distruzione di massa.

Oltre a ciò, l’EBA sottolinea come ai fini della valutazione del rischio connesso a un determinato Paese, l’intermediario debba considerare:

  • il livello di conformità ai principi internazionali di trasparenza fiscale e di condivisione delle informazioni desumibile, tra l’altro, anche dai rapporti del Global Forum on Transparency and the Exchange of Information for Tax Purposes presso l’OCSE[31];
  • l’adesione o meno del paese al Common Reporting Standard[32];
  • i giudizi di compliance formulati nei report di mutual evaluation con riferimento alle Raccomandazioni GAFI 9 (Leggi sulla segretezza o riservatezza delle istituzioni finanziarie), 24 (Trasparenza e titolare effettivo di persone giuridiche) e 25 (Trasparenza e titolare effettivo di negozi giuridici di natura fiduciaria) nonché i giudizi sugli Immediate Outcomes 2 e 5;
  • l’eventuale inclusione del paese nella “Lista UE delle giurisdizioni non cooperative”[33];
  • la già richiamata istituzione (o meno) del registro dei titolari effettivi, in particolare laddove il cliente sia un trust o qualsiasi altro tipo di legal arrangement[34];
  • l’esistenza di fonti pubbliche credibili e affidabili sul livello dei reati presupposto del riciclaggio (ad esempio corruzione, criminalità organizzata, criminalità fiscale e frode)[35];
  • le informazioni sulla capacità del sistema giudiziario e investigativo del paese cui si riferisce la valutazione, di indagare e perseguire efficacemente questi reati presupposti.

Nell’ipotesi specifica in cui il cliente sia un intermediario bancario o finanziario, l’EBA sottolinea l’importanza del livello di adeguatezza del locale sistema AML/CFT, nonché dell’efficacia dell’attività di vigilanza attuata nel paese di residenza[36]. Per quanto ovvio, a tal fine rileva l’eventuale inclusione di un paese fra quelli individuati dalla Commissione Europea come “Paesi ad alto rischio” ai sensi dell’articolo 9 della Direttiva 2015/849, pur se tale elenco non dovrebbe avere una portata esaustiva.

2.1.3 I fattori del rischio associato alla trasparenza di un prodotto, servizio o transazione

In tale ambito, l’intermediario dovrebbe valutare tre elementi:

  1. l’attitudine del prodotto o del servizio a favorire l’anonimato del cliente o del titolare effettivo come nel caso di azioni al portatore o la prestazione servizi fiduciari. Rientra in tale area di indagine anche l’eventuale possibilità di terzi, all’apparenza estranei al rapporto continuativo, di impartire istruzioni, ad esempio tramite rapporti di corrispondenza fra banche[37];
  2. la complessità del prodotto o del servizio, che eventualmente richiede l’utilizzo di nuove tecnologie e nuovi strumenti di pagamento, o eventualmente è caratterizzato nel suo svolgimento dal coinvolgimento di soggetti terzi, o, al contrario, l’operatività del rapporto avviene mediante fondi provenienti da conti intestati al medesimo cliente presso altri istituti di credito[38];
  3. l’entità, intesa come ammontare delle transazioni che possono essere legate al prodotto o servizio offerto; andrebbe, ad esempio valutato se al prodotto o servizio siano associati dei limiti di importo.

2.1.4 I fattori del rischio associato alle modalità di collocamento

Concorre a determinare il livello di rischio del rapporto continuativo o dell’operazione occasionale la modalità con cui il cliente ottiene il prodotto o il servizio richiesto. In argomento l’EBA delinea distinti scenari:

– instaurazione del rapporto continuativo con la presenza fisica/o meno del cliente. Nel caso testé citato (rapporto instaurato con tecniche di contatto a distanza) sarà necessaria una valutazione in merito alla affidabilità delle tecniche di customer due diligence adottate anche al fine di prevenire ipotesi di furto d’identità;

– appartenenza del soggetto obbligato a un gruppo finanziario e, quindi, ricorso a informazioni fornite da terzi appartenenti allo stesso gruppo. Questa eventualità non determina di per se stessa un elemento di assoluta sicurezza, ma l’intermediario dovrà comunque verificare se l’entità (facente parte del medesimo gruppo) che ha fornito le informazioni sul cliente rispetti le regole in materia di adeguata verifica in linea con le indicazioni dell’articolo 28 della Direttiva 2015/849[39];

– presentazione (anche nel senso di trasmissioni di informazioni eventualmente utili ai fini dell’espletamento del processo di adeguata verifica) del cliente da parte di un soggetto rientrante nel concetto di “third party”[40]come ad esempio, una banca non appartenente al gruppo finanziario del soggetto obbligato o da un mero mediatore. In tali casi il soggetto obbligato, ai fini della propria valutazione, dovrà verificare se:

  1. il soggetto (third party) che ha presentato il cliente sia sottoposto a obblighi antiriciclaggio conformi con quelli della Direttiva 2015/849[41]e se si tratti o meno di un intermediario bancario o finanziario o svolga attività del tutto estranea alla prestazione di servizi finanziari;
  2. la terza parte, a prescindere si tratti o meno di un intermediario bancario o finanziario, applichi le misure di adeguata verifica e di conservazione secondo gli standard dettati dall’Unione europea[42]e sia sottoposta a vigilanza con riguardo al rispetto degli obblighi AML/CFT. In particolare, il soggetto obbligato dovrà verificare se vi siano informazioni circa un non adeguato rispetto della legislazione antiriciclaggio da parte della terza parte e se vi siano indicazioni circa l’irrogazione a quest’ultima di sanzioni per violazione degli obblighi AML/CFT;
  3. la terza parte abbia sede in uno Stato caratterizzato da un livello di rischio più elevato di quello del Paese in cui ha sede il soggetto che effettua la propria valutazione. In questa eventualità, nell’ipotesi in cui si tratti di uno Stato compreso dalla Commissione Europea fra quelli con carenze strategiche, è escluso che il soggetto obbligato possa utilizzare le informazioni fornite dalla “terza parte”. Queste potranno, tuttavia, essere comunque utilizzate nel caso in cui le informazioni siano fornite da una succursale o da una controllata di un altro intermediario bancario o finanziario con sede nell’Unione europea e che il soggetto obbligato sia certo (confident) del pieno rispetto delle politiche AML/CFT di gruppo da parte della “terza parte”[43];
  4. sia stata verificata la capacità della terza parte di fornite sempre i dati identificativi del cliente e le copie dei relativi documenti, nonché se i dati forniti siano affidabili e proporzionati al rischio proprio del rapporto instaurato, in quanto è possibile che la terza parte abbia acquisito tali informazioni ai propri fini e in un contesto potenzialmente diverso da quello in cui opera il soggetto che deve effettuare la valutazione del rischio;

– presentazione del cliente da parte di un promotore finanziario (tied agent)[44]. In questi casi l’intermediario bancario o finanziario deve verificare se siano state fornite da parte del promotore, stante l’assenza almeno in fase di avvio del rapporto[45]di un contatto diretto col cliente, informazioni sufficienti a assicurare una conoscenza adeguata del cliente, nonché il calcolo del livello di rischio a questi associato. Inoltre, tanto nel caso di tied agent o indipendent agent, a parere dell’EBA è necessario tener presente in che misura ci si serva di questi promotori nei rapporti con la clientela e se ciò possa influire sulla conoscenza del cliente e sulla costante gestione del relativo rischio (ongoing risk management);

– esternalizzazione delle attività di adeguata verifica. In tali casi, ai fini del calcolo del rischio si deve verificare se fornitore dei servizi sia (o meno) esso sottoposto a obblighi AML/CFT e se siano state condotte tutte le valutazioni che, in ordine ai rischi, sono previste dagli Orientamenti emanati dall’EBA in materia di esternalizzazione[46].

3. Regole generali delineate negli Orientamenti in materia di adeguata verifica

Le indicazioni generali contenute negli Orientamenti di marzo 2021 confermano la considerazione del processo di adeguata verifica quale processo circolare[47].

Se da un lato, infatti, gli Orientamenti evidenziano che proprio le valutazioni dei rischi individuali e a livello aziendale sono funzionali a identificare dove l’intermediario dovrebbe concentrare i propri sforzi di gestione del rischio di ML/TF[48], dall’altro si sottolinea il carattere “risk sensitive” della portata delle misure di adeguata verifica ex articolo 13 della Direttiva 2015/849[49].

Per quanto ovvio, gli Orientamenti confermano la centralità del “senior management” dell’intermediario, cui spetta l’obbligo di approvare le politiche, il sistema dei controlli e le procedure in materia di AML/CFT: tale approvazione dovrà avvenire in base a una visione consapevole dell’adeguatezza e dell’efficacia di queste politiche e procedure antiriciclaggio e, in particolare, di quelle in tema di adeguata verifica. Per questo è prescritto che il “senior management” abbia accesso a dati per effettuare scelte consapevoli, ivi inclusa la valutazione ML/TF aziendale.

Gli Orientamenti confermano, nell’ambito del processo di adeguata verifica, il carattere inderogabile dell’obbligo di individuare il titolare effettivo attraverso le informazioni fornite dal cliente e verificate dall’intermediario. A tal fine, l’eventuale consultazione dei “Beneficial ownership registers” non esaurirebbe, comunque, gli obblighi di verifica in capo all’intermediario, in particolare laddove nell’ambito dello svolgimento del rapporto si ravvisi un incremento del livello di rischio o quando l’intermediario abbia elementi per dubitare dell’esattezza dei dati consultati.

L’intermediario dovrebbe quindi, nella parte della propria policy AML/CFT dedicata all’identificazione del cliente e del titolare effettivo, spiegare quali fonti debbano essere a tal fine considerate affidabili e indipendenti[50], nonché le ragioni che le rendono tali[51].

La finalità resta, in ogni caso, quella di individuare la persona fisica che possiede o controlla il cliente, attraverso l’analisi e la comprensione della struttura di quest’ultimo[52]. In proposito l’EBA rimarca come deponga in senso negativo l’eventuale individuazione di una struttura di controllo eccessivamente complessa o opaca, salvo il riscontro di effettive ragioni legittime, giuridiche o economiche, che la giustifichino (legitimate legal or economic reason).

In tale ambito, gli intermediari devono verificare l’eventuale realizzarsi di casi di “Control through other means”, ipotesi tra l’altrogià menzionata nella stessa direttiva 2015/849 all’articolo 3, paragrafo 6, lettera a. Secondo l’EBA indice della sussistenza di questa modalità di controllo è rappresentato dalla individuazione di taluno, che pur non avendo alcuna interessenza in un soggetto non persona fisica, disponga del potere di utilizzare o, comunque, godere dei beni di un altro soggetto o che abbia il potere di adottare decisioni strategiche che influenzino l’attività commerciale del soggetto non persona fisica. Il controllo “through other means” potrebbe realizzarsianche mediante l’interposizione di soggetti fra i quali intercorrono legami familiari.

Solo nell’ipotesi in cui siano stati esperiti infruttuosamente tutti i mezzi per identificare la persona fisica che/who “ultimately owns or controls the customer” (ad esempio nel caso di un ufficio della Pubblica amministrazione o di un’impresa statale)[53]l’intermediario dovrebbe individuare il titolare effettivo nel senior management come tra l’altro già previsto dall’articolo 20 del d.lgs 231/2007, commi 5 e 6[54].

Più precisamente, in questi casi gli Orientamenti stabiliscono che, per decidere chi debba essere identificato nell’ambito del senior management come titolare effettivo, l’intermediario dovrà individuare, documentando opportunamente il suo processo mentale, chi abbia la responsabilità ultima e generale per il cliente e possa prendere decisioni vincolanti per conto del cliente stesso.

3.1 Adeguata verifica semplificata/Adeguata verifica rafforzata: le indicazioni generali dell’EBA

In esordio di argomento l’EBA evidenzia che l’applicazione di regole semplificate non si traduce nella esenzione da nessuno degli obblighi di cui il processo di adeguata verifica si compone, ma comporta l’adeguamento, nei limiti consentiti dalla legislazione nazionale, di tali obblighi all’eventuale basso rischio associato al rapporto o all’operazione occasionale.

In particolare la sussistenza di un rischio basso può incidere:

  1. sulla tempistica degli adempimenti (the timing of CDD”), ad esempio laddove il prodotto o la transazione richiesti per le loro caratteristiche si prestino in maniera limitata a finalità di riciclaggio o di finanziamento del terrorismo[55]. In tema di tempistica, sempre a titolo di esempio, l’EBA prevede che l’intermediario possa rinviare la verifica dell’identità del cliente e del titolare effettivo a un momento successivo a quello della instaurazione del rapporto o addirittura effettuare tale verifica al superamento di una data soglia di importo, raccomandando nel contempo che il lasso temporale dalla instaurazione del rapporto o la soglia siano contenuti e ci siano meccanismi per rilevare quando il limite di tempo e la soglia sono stati raggiunti[56]. Allo stesso modo, il basso rischio potrà indurre l’intermediario a graduare in misura più ampia di quella ordinariamente prescelta, l’attività di aggiornamento e di monitoraggio;
  2. sull’ampiezza delle informazioni da acquisire in sede di identificazione, verifica e monitoraggio;
  3. sulla fonte/qualità delle informazioni ottenute: ad esempio, accettando le informazioni fornite dal cliente sull’identità del titolare effettivo invece di far ricorso a una fonte indipendente[57].

In tema di adeguata verifica rafforzata, l’EBA richiama in premessa concetti già formulati dalla Direttiva 2015/849 (cfr. articoli da 18 a 24), rimarcando come il driver continui ad essere rappresentato dalla presenza, in questi casi, del livello elevato del rischio che caratterizza rapporti e operazioni occasionali, e confermando che le misure di rafforzamento vanno pensate come misure aggiuntive del processo conoscitivo del cliente.

Sui PEP gli Orientamenti EBA richiamano, nell’ambito dell’adeguata verifica rafforzata, il contenuto dell’articolo 20 bis della Direttiva 2015/849: tale disposizione, introdotta con la Direttiva 2018/843, prevede, tra l’altro:

  1.  che “Ogni Stato membro pubblica e aggiorna un elenco indicante esattamente le funzioni che, in base alle disposizioni legislative, regolamentari e amministrative nazionali, sono considerate importanti cariche pubbliche ai fini dell’articolo 3, punto 9” recante “persona politicamente esposta”;
  2. che la stessa Commissione Europea pubblichi l’elenco esatto delle funzioni che possono essere considerate importanti cariche pubbliche a livello delle istituzioni e degli organi dell’Unione”e un “un elenco unico di tutte le importanti cariche pubbliche” comprensivo anche di quelle indicate ai sensi del punto precedente dai singoli Stati.

Viene, infine, richiamata l’indicazione già presente nei precedenti Orientamenti in tema di “level of seniority” del soggetto deputato ad approvare l’avvio o la prosecuzione di una relazione con una persona politicamente esposta: al riguardo, il documento EBA del 1° marzo 2021 prevede che il livello appropriato di approvazione è connesso al livello del rischio associato alla relazione d’affari e il senior manager che approva una relazione d’affari con un PEP dovrebbe avere una seniority e una visione complessiva dei dati sufficiente all’assunzione di decisioni informate su questioni che hanno un impatto diretto sul profilo di rischio dell’intermediario[58].

Infine, sempre in tema di PEP, l’EBA rappresenta la necessità che le misure poste in essere dagli intermediari in tema di persone politicamente esposte per conformarsi alla Direttiva 2015/849 e agli stessi Orientamenti, non comportino un indebito divieto di accesso ai servizi finanziari da parte dei clienti PEP. Tale considerazione, assente nella precedente versione (almeno in termini così netti), recepisce, tra l’altro, le indicazioni del GAFI che, nell’apposita Guidance pubblicata a giugno 2013, sottolineava come le regole dettate in tema di PEP “…sono di natura preventiva (non criminale) e non devono essere interpretate come finalizzate a stigmatizzare le persone politicamente esposte come coinvolte in attività criminali. Rifiutare un rapporto d’affari con un PEP basandosi semplicemente sul fatto che il cliente è un PEP è contrario alla lettera e allo spirito della Raccomandazione 12” (Trad. dell’A.)[59].

3.2 I Paesi terzi ad alto rischio

In tema di adeguata verifica rafforzata, l’EBA sottolinea che sussiste sempre un “alto rischio” nel caso in cui, in un rapporto continuativo o in una transazione:

  1. i fondi sono stati generati in un paese terzo ad alto rischio;
  2. i fondi sono pervenuti da un paese terzo ad alto rischio;
  3.  fondi sono destinati a un paese terzo ad alto rischio;
  4.  il rapporto o l’operazione riguardi una persona fisica o giuridica residente o stabilita in un paese terzo ad alto rischio[60]o con un trustee residente o con un trust “governed” dalla legge di un paese terzo ad alto rischio[61].

Inoltre, a prescindere dal verificarsi delle eventualità di cui alle lettere che precedono, gli intermediari dovrebbero comunque valutare l’applicazione di misure rafforzare in presenza di clienti o titolari effettivi che, notoriamente, intrattengono stretti legami personali o professionali con un paese terzo ad alto rischio[62].

Ai fini della individuazione di tali Paesi, l’EBA richiama la Direttiva 2015/849 laddove all’articolo 9, paragrafo 2 (modificato dalla Direttiva 2018/843)[63], viene conferito alla Commissione il potere di individuare tali Paesi.

Anche per le misure di rafforzamento l’Authority Europea richiama la Direttiva 2015/849 così come emendata dalla Direttiva 2018/843 che, come noto, ha inserito l’articolo 18 bis[64]

3.3 Esempi di misure da applicare in altre ipotesi in cui si riscontri un elevato livello di rischio e l’attività di monitoraggio

In tutte le situazioni caratterizzate da un alto rischio, gli intermediari devono procedere al rafforzamento delle misure di adeguata verifica cioè acquisire informazioni aggiuntive la cui profondità e tipologia dipende dalle ragioni che hanno determinato l’innalzamento del livello di rischio.

L’EBA formula al riguardo alcuni esempi precisando che il rafforzamento potrà consistere (cfr. figura 5):

  1. in un aumento della quantità delle informazioni, ad esempio approfondendo il profilo reputazionale del cliente e del titolare effettivo attraverso l’acquisizione di informazioni, eventualmente presenti anche sui media, in merito ai membri della famiglia, sui soggetti che intrattengono stretti rapporti d’affari[65], sulle attività commerciali pregresse e attuali;
  2. nell’innalzamento della qualità delle informazioni ottenute a conferma dell’identità del cliente o del titolare effettivo. In tale ambito, l’EBA suggerisce ad esempio, che la costituzione della prima provvista sul conto avvenga mediante disposizione di bonifico impartita ad una banca soggetta agli standard previsti dalla Direttiva 2015/849, oppure mediante l’analisi documentata di fondi e delle consistenze patrimoniali del cliente e del titolare effettivo tramite l’acquisizione di documenti fiscali (fatture), dichiarazioni dei redditi, buste paga, atti pubblici di acquisto o vendita, etc;
  3. nella maggiore frequenza delle attività di verifica della capacità dell’intermediario di gestire il rischio associato a un determinato rapporto continuativo e decidere, dunque, se porre fine alla relazione o mantenerla in essere. Ciò può avvenire oltre che mediante la più frequente valutazione delle singole transazioni e dell’analisi del profilo di rischio del cliente per verificarne la permanenza in una data classe o determinarne il passaggio ad altra, anche con il coinvolgimento in misura più ampia e con maggior frequenza dell’alta dirigenza.

Fig.5

L’EBA inoltre ribadisce il contenuto dell’articolo 13 della Direttiva 2015/849 ai sensi del quale l’attività di monitoraggio include non solo l’analisi dell’andamento della relazione che fa capo al cliente per verificare che le singole transazioni siano in linea con il profilo di rischio assegnato, con la condizione finanziaria e la complessiva conoscenza che l’intermediario ha del cliente stesso, ma anche il periodico aggiornamento dei documenti, dei dati e delle informazioni detenute dall’intermediario. A tal fine, i soggetti sottoposti agli obblighi antiriciclaggio devono determinare la frequenza e l’intensità del monitoraggio in base al rischio, tenendo conto della natura, delle dimensioni e della complessità della loro stessa attività e del livello di rischio a cui sono esposti.

Pertanto, gli intermediari devono individuare a priori le tipologie di transazioni che vanno monitorate in tempo reale e quali ex post e quali circostanze/fattori, o combinazioni di esse, determinano la sussistenza di un rischio alto e quindi l’obbligo di rafforzamento.

Inoltre, indipendentemente dal livello di rischio, gli intermediari devono prevedere la revisione periodica di un campione di operazioni per testare e eventualmente migliorare l’affidabilità del proprio sistema di monitoraggio (automatico o manuale che sia).

3.4 Rapporto avviato e condotto senza la presenza fisica del cliente (Non-face to face situations)

Come logico, nel caso di operatività a distanza, ivi inclusa la fase di instaurazione del rapporto, l’EBA raccomanda che l’intermediario si assicuri cheil cliente esista realmente[66]e sia quello che afferma di essere e che a fronte di un conseguente aumento del livello di rischio connesso alla modalità senza la presenza del cliente si adattino le relative misure di adeguata verifica, operando un rafforzamento sia in termini di verifica dell’identità del cliente, sia sotto forma di intensificazione dell’attività di monitoraggio della relazione.

È, pertanto, essenziale verificare, nella fase di valutazione del rischio aziendale, in che misura l’operatività non face to face e, in generale, l’utilizzo nei rapporti con la clientela di soluzioni tecnologiche innovative possa esacerbare i rischi ML/TF come nei casi in cui lo strumento tecnologico possa essere manomesso nella fase della instaurazione del rapporto.

Poiché la responsabilità resta in capo all’intermediario che attribuisce l’incarico, la valutazione dovrà, inoltre, tenere conto dell’eventuale gestione esternalizzata dell’attività di adeguata verifica a distanza, sia che l’esternalizzazione riguardi l’intero processo, sia nel caso che riguardi solo una parte dello stesso. In particolare, l’EBA richiama, oltre a un eventuale incremento dei rischi ML/FT, anche il possibile impatto dell’accordo di esternalizzazione sui rischi legali, ad esempio nel caso in cui il fornitore di soluzioni tecnologiche non rispetti la legislazione applicabile in materia di protezione dei dati[67].

A tal fine l’EBA ha stabilito che il soggetto che esternalizza debba sapere in ogni momento quali controlli sono stati effettuati, quali fonti sono state utilizzate, quali sono stati i risultati e quanto sono stati robusti questi risultati[68].

Nell’ipotesi in cui il fornitore esterno abbia sede in un paese terzo, l’intermediario deve dimostrare di aver ben compreso i rischi legali, operativi e quelli attinenti la protezione dei dati al fine di attenuarne efficacemente gli impatti.

E tuttavia, l’EBA sottolinea come l’utilizzo di mezzi elettronici per l’identificazione del cliente non determini automaticamente un aumento del livello di rischio laddove tali strumenti offrano un elevato livello di garanzia ai sensi del Regolamento UE 910/2014[69].

4. Inclusione finanziaria e de-risking

Più che nei precedenti Orientamenti, l’EBA manifesta la preoccupazione che l’adozione del risk-based approach si traduca in una attività di de-risking[70]a danno di talune categorie di clienti.

Al contrario, l’EBA rimarca la necessità che gli intermediari agevolino l’inclusione finanziaria applicando specifiche forme di mitigazione del rischio, ad esempio, offrendo a clienti che non sono in grado di fornire per ragioni legittime e credibili tradizionali documenti di identificazione[71],prodotti e servizi finanziari di base, che limitano la capacità degli utenti di abusare di questi prodotti e servizi a fini di criminalità finanziaria e aumentando l’intensità dell’attività di monitoraggio.

In tale ambito, quindi, gli Orientamenti si collocano nella direttrice già tracciata dall’EBA con il “Parere sull’applicazione delle misure di adeguata verifica ai richiedenti asilo provenienti da paesi terzi o territori ad alto rischio” del 12 aprile 2016[72].

 


[*] Le opinioni espresse non impegnano l’Istituto di appartenenza.

[1] La consultazione è stata oggetto di riflessione su questa rivista. Cfr. “Antiriciclaggio: le modifiche in consultazione agli Orientamenti ESAs sull’adeguata verifica della clientela e sui fattori di rischio”, di Facchini – Zitiello Associati, marzo 2020.

[2] Il documento in discorso è, allo stato, disponibile all’indirizzo internet https://www.eba.
europa.eu/sites/default/documents/files/documents/10180/1890686/66ec16d9-0c02-428b-a294-ad1e3d659e70/Final%20Guidelines%20on%20Risk%20Factors%20%28JC%202017%2037%29.pdf?retry=1

[3] Atto di emanazione del “Provvedimento della Banca d’Italia del 30 luglio 2019, Disposizioni in materia di adeguata verifica della clientela e per il contrasto del riciclaggio e del finanziamento del terrorismo”.

[4] “…new risks have emerged.”,Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849 on customer due diligence and the factors credit and financial institutions should consider when assessing the money laundering and terrorist financing risk associated with individual business relationships and occasional transactions (“The ML/TF Risk Factors Guidelines”), repealing and replacing Guidelines JC/2017/37, Executive summary, p.3.

[5] Conseguentemente al mutamento dell’assetto delle competenze fra le tre autorità europee di vigilanza (AEV) è stato adottato ilRegolamento UE 2019/2175 che modifica il Regolamento UE 1093/2010 istitutivo dell’EBA.

[6] “Entro il 26 giugno 2017 le AEV emanano orientamenti indirizzati alle autorità competenti nonché agli enti creditizi e agli istituti finanziari, in conformità dell’articolo 16 del regolamento (UE) n. 1093/2010, sui fattori di rischio da prendere in considerazione e sulle misure da adottare in situazioni in cui sono opportune misure semplificate di adeguata verifica della clientela. Dal 1° gennaio 2020 l’ABE, ove opportuno, emana tali orientamenti.”

[7] “Entro il 26 giugno 2017 le AEV emanano orientamenti indirizzati alle autorità competenti nonché agli enti creditizi e agli istituti finanziari, in conformità dell’articolo 16 del regolamento (UE) n. 1093/2010, sui fattori di rischio da prendere in considerazione e sulle misure da adottare in situazioni in cui sono opportune misure rafforzate di adeguata verifica della clientela. Dal 1° gennaio 2020 l’ABE, ove opportuno, emana tali orientamenti.”

[8] V. infra paragrafo 3.2, in particolare la nota 63.

[9] Con l’espressione “credit and financial institutions” si fa riferimento, nell’ambito degli Orientamenti in commento, alle definizioni di “ente creditizio” e di “istituto finanziario” contenute nell’articolo 3, paragrafi 1 e 2, della Direttiva 2015/849. In particolare, per la definizione di “ente creditizio” la norma in discorso richiama quanto delineato nel Regolamento 575/2013 secondo il quale tale espressione indica “un’impresa la cui attività consiste nel raccogliere depositi o altri fondi rimborsabili dal pubblico e nel concedere crediti per proprio conto”.

Più articolata la definizione di “istituto finanziario”, comprensiva delle imprese di assicurazione, di investimento nonché di quelle che pur non rientrando nel novero degli “enti creditizi” svolgono anche solo alcune della attività elencate nell’ allegato 1 della Direttiva 2013/36, quali: Operazioni di prestito, in particolare, credito al consumo, credito con garanzia ipotecaria, factoring, cessioni di credito pro soluto e pro solvendo, credito commerciale (compreso il forfaiting); Leasing finanziario; Servizi di pagamento quali definiti all’articolo 4, punto 3, della direttiva 2007/64/CE; Emissione e gestione di altri mezzi di pagamento (travellers’ cheque e lettere di credito); Rilascio di garanzie e impegni di firma; Operazioni per proprio conto o per conto della clientela in: a) strumenti di mercato monetario (assegni, cambiali, certificati di deposito, ecc.); b) cambi; c) strumenti finanziari a termine e opzioni; d) contratti su tassi di cambio e tassi d’interesse; e) valori mobiliari; Partecipazioni alle emissioni di titoli e prestazioni di servizi connessi; Consulenza alle imprese in materia di struttura patrimoniale, di strategia industriale e di questioni connesse e consulenza nonché servizi nel campo delle fusioni e della rilevazione di imprese; Servizi di intermediazione finanziaria del tipo money broking; Gestione o consulenza nella gestione dei patrimoni; Custodia e amministrazione di valori mobiliari; Affitto di cassette di sicurezza; Emissione di moneta elettronica.

[10] 2) «autorità competenti»:

i. le autorità competenti quali definite nelle direttive 2006/48/CE, 2006/49/CE e 2007/64/CE e di cui alla direttiva 2009/110/CE;

ii. in relazione alle direttive 2002/65/CE e 2005/60/CE, le autorità competenti ad assicurare l’osservanza dei requisiti di dette direttive da parte degli enti creditizi e degli istituti finanziari, e

iii. in relazione ai sistemi di garanzia dei depositi, gli organismi incaricati della gestione di tali sistemi conformemente alla direttiva 94/19/CE o, qualora il funzionamento del sistema di garanzia dei depositi sia gestito da una società privata, l’autorità pubblica che vigila su tali sistemi, ai sensi di tale direttiva.

[11] La valutazione a livello aziendale è finalizzata alla comprensione delle aree in cui l’intermediario è maggiormente esposto al rischio, al fine di individuare le priorità nel contrasto al riciclaggio e al finanziamento del terrorismo, conformando al livello di rischio individuato le sue politiche, i controlli e le procedure AML / CFT (cfr. articolo 8, paragrafi 3 e 4, della direttiva 2015/849).

L’elevato livello di approfondimento della valutazione aziendale si coglie anche dalle richieste dell’EBA con riferimento all’ipotesi di sussistenza di un gruppo bancario: è, infatti, prescritto che, nel caso di appartenenza di un intermediario a gruppo, la valutazione a livello di gruppo sia sufficientemente granulare e tale da tener conto della rischiosità cui il singolo intermediario è esposto a seguito dei legami del gruppo con determinati paesi e aree geografiche.

Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Business-wide risk assessments, paragraph 1.11 – 1.17, p.22.

[12] Riguardo quest’ultima, l’EBA prevede quale punto di partenza i risultati emersi dalla valutazione aziendale al fine di determinare il livello di due diligence iniziale della clientela. Cfr. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Business-wide risk assessments, paragraph 1.25, p.24.

[13] ‘Inherent risk means the level of risk before mitigation”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Subject matter, scope and definitions, Definitions, p.18.

[14] Cfr. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, General considerations,paragraph 1.3 p.20.

[15] Cfr. Direttiva 2015/849, articolo 8, paragrafo 2: “Le valutazioni del rischio di cui al paragrafo 1 sono documentate, aggiornate e messe a disposizione delle pertinenti autorità competenti e degli organi di autoregolamentazione interessati. Le autorità competenti possono decidere che le singole valutazioni del rischio documentate non sono necessarie qualora i rischi specifici connessi al settore siano chiari e compresi”.

[16] Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Keeping risk assessments up to date, 1.9 p.21.

[17] Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Sources of information, paragraph 1.29 e 1.30, p.25.

[18] “Engagement with other industry representatives and competent authorities (e.g. round tables, conferences and training)”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Keeping risk assessments up to date, paragraph 1.9, p.22.

[19] Cfr. “Other sources of information”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Sources of information, paragraph 1.31, p.25.

[20] Cfr. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 6: Training, p.57.

[21] “…media reports that are relevant to the sectors or jurisdictions in which the firm is active”. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Keeping risk assessments up to date, paragraph 1.9, p.21.

[22] “Firms should determine the type and numbers of sources on a risk-sensitive basis, taking into account the nature and complexity of their business. Firms should not normally rely on only one source to identify ML/TF risks.”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 1: Risk assessments: key principles for all firms, Sources of information, paragraph 1.32, p.26.

[23] Cfr. Direttiva 2015/849, “Considerando” 22 e Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 3: Assessing ML/TF risk. Taking a holistic view, paragraph 3.2, p.37.

[24] Ciò è quanto, tra l’altro, è previsto dalla Direttiva 2015/849, articolo 8 paragrafo 1: “Gli Stati membri provvedono affinché i soggetti obbligati adottino opportune misure volte a individuare e valutare i rischi di riciclaggio e di finanziamento del terrorismo, tenendo conto di fattori di rischio compresi quelli relativi ai loro clienti, paesi o aree geografiche, prodotti, servizi, operazioni o canali di distribuzione. Tali misure sono proporzionate alla natura e alle dimensioni dei soggetti obbligati”

[25] Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 3: Assessing ML/TF risk, Weighting risk factors, paragraph 3.7, p.38.

[26] Cfr. Provvedimento della Banca d’Italia del 30 luglio 2019, “Disposizioni in materia di adeguata verifica della clientela e per il contrasto del riciclaggio e del finanziamento del terrorismo”, Parte prima: valutazione dei fattori di rischio di riciclaggio e di finanziamento del terrorismo, Sezione III Profilatura della clientela, p.9.

[27] Al riguardo, va rammentato che la stessa Commissione Europea nell’ambito del SNRA ha individuato come “Cash intensive business” “sectors of bars, restaurants, constructions companies, motor vehicle retailers, car washes, art and antique dealers, auction houses, pawnshops, jewelleries, textile retail, liquor and tobacco stores, retail/night shops, gambling services”. Report from the Commission to the European Parliament and to the Council on the assessment of the risks of money laundering and terrorist financing affecting the internal market and relating to cross-border situations COM (2017) 340 final, Accompanying the document, 26 giugno 2017, p.20.

[28] “Firms should note that the absence of criminal convictions alone may not be sufficient to dismiss allegations of wrongdoing”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Customer risk factors, paragraph 2.5, p.28.

[29] “Does the customer issue bearer shares or does it have nominee shareholders?”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Customer risk factors, paragraph 2.6, p.28.

[30] In questi casi l’EBA prevede che l’intermediario verifichi la ragionevolezza di tali transazioni, eventualmente alla luce di rapporti familiari o di relazioni commerciali riferibili al cliente. “If so, can these transfers be explained easily through, for example, family ties or commercial relationships?”. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Customer risk factors, paragraph 2.7, p.30.

[31] “Examples of possible sources include reports by the Global Forum on Transparency and the Exchange of Information for Tax Purposes of the Organisation for Economic Co-operation and Development (OECD)”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Countries and geographical areas, paragraph 2.14, p.33.

[32] Cfr. Decreto del 28/12/2015 – min. Economia e finanze,attuazione della legge 18 giugno 2015, n. 95 e della direttiva 2014/107/ue del consiglio, del 9 dicembre 2014, recante modifica della direttiva 2011/16/ue per quanto riguarda lo scambio automatico obbligatorio di informazioni nel settore fiscale. Il decreto è consultabile sul sito internet all’indirizzo https://www.gazzettaufficiale.it/eli/id/2015/12/31/15
a09780/sg.per i relativi aggiornamenti occorre consultare il sito del mef all’indirizzo internethttps://def.finanze.it/doctribfrontend/getattonormativodetail.do?action=getsommario&id={8274d3e5-6a18-4165-9340-1a866cbbf498}

[33] La lista adottata dal Consiglio il 22 febbraio 2021 è composta attualmente da: Samoa americane, Anguilla, Dominica, Figi, Guam, Palau, Panama, Samoa, Trinidad e Tobago, Isole Vergini degli Stati Uniti, Vanuatu, Seychelles.

[34] Secondo la definizione del GAFI/FATF “Legal arrangements refers to express trusts or other similar legal arrangements. Examples of other similar arrangements (for AML/CFT purposes) include fiducie, treuhand and fideicomiso”, The FATF Recommendations, Updated October 2020, General Glossary, p. 125.

[35] Si consideri in tale ambito a mero titolo di esempio l’indice di Percezione della Corruzione (CPI) di Transparency International che misura la percezione della corruzione nel settore pubblico e nella politica in numerosi Paesi di tutto il mondo basandosi sull’opinione di esperti e assegnando una valutazione che va da 0, per i Paesi ritenuti molto corrotti, a 100, per quelli “puliti”. In tale ambito rilevano anche i rapporti dell’OCSE in materia di corruzione di un determinato paese e quelli dello United Nations Office on Drugs and Crime (UNODC). Cfr. il World Drug Report 2020 consultabile all’indirizzo internet https://wdr.unodc.org/wdr2020/index.html.

[36] In tale ambito, l’EBA include fra le possibili fonti, a titolo di esempio:
a. i rapporti di valutazione reciproca redatti dal GAFI/FATF o da uno dei nove FATF-Style Regional Bodies (FSRB): a tal fine rilevano in particolare i risultati ottenuti dal sistema AML/CFT di un dato paese con riferimento alla conformità alle Raccomandazioni 10 (adeguata verifica del cliente), 26 (regolamentazione e vigilanza delle istituzioni finanziarie) e 27 (poteri delle autorità di vigilanza), nonché i giudizi ottenuti con riferimento agli “Immediate outcomes” 3 e 4.
Per una più completa disamina degli “Immediate outcomes” e, in generale, della metodologia di valutazione utilizzata dal GAFI si veda G. Estrafallaces, Antiriciclaggio: metodologia e procedure dell’attività di assessment del GAFI. Una sintesi del Mutual evaluation report (MER) sul sistema di contrasto del riciclaggio e del finanziamento del terrorismo della Repubblica popolare cinese, in Diritto penale della globalizzazione, Pacini Giuridica, numero 2 aprile-giugno 2019, p. 221.
b. l’elenco del GAFI delle giurisdizioni ad alto rischio e non cooperative;
c. le valutazioni del Fondo monetario internazionale (FMI);
d. i rapporti del Financial Sector Assessment Program (FSAP), cioè del programma di valutazione del settore finanziario di un paese membro condotto congiuntamente dal FMI e dalla Banca Mondiale con l’obiettivo di identificare le aree di debolezza e determinare le priorità di intervento.

[37] Sul punto, ad attestare la necessità in tali casi di particolari cautele, si rammenta che il d.lgs 231/2007 (articolo 24, Obblighi di adeguata verifica rafforzata della clientela) prevede che soggetti obbligati applicano sempre misure di adeguata rafforzata in caso di rapporti di corrispondenza transfrontalieri che comportano l’esecuzione di pagamenti, con un ente creditizio o istituto finanziario corrispondente di un Paese terzo. Fra le misure di rafforzamento il successivo articolo 25 indica anche una valutazione da parte del soggetto in merito alla qualità dei controlli in materia di prevenzione

del riciclaggio e del finanziamento del terrorismo cui l’ente creditizio o istituto finanziario corrispondente estero è soggetto.

[38] “…products and services funded exclusively by fund transfers from the customer’s own account at another financial institution…”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Products, services and transactions risk factors, paragraph 2.18, p.34.

[39] “…whether the customer has been introduced by another part of the same financial group and, if so, to what extent the firm can rely on this introduction as reassurance that the customer will not expose the firm to excessive ML/TF risk, and what the firm has done to satisfy itself that the group entity applies CDD measures to European Economic Area (EEA) standards in line with Article 28 of Directive (EU) 2015/849…”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Delivery channel risk factors, paragraph 2.21, p.35.

[40] Stante l’assenza nelle Guideline dell’EBA di una specifica definizione del concetto di “third party”, si dovrebbe a tal fine far riferimento all’articolo 26 della Direttiva 2015/849 secondo cui, in estrema sintesi, con tale locuzione si fa riferimento ai soggetti sottoposti agli obblighi previsti dalla Direttiva 2015/849 (cfr. articolo 2 della Direttiva) o altri enti o persone aventi sede in uno Stato membro o in un paese terzo che siano comunque sottoposti agli obblighi di adeguata verifica della clientela, a quelli di conservazione dei documenti e ad attività di vigilanza conformemente alla Direttiva 2015/849

[41] “…regulated person subject to AML obligations that are consistent with those of Directive (EU) 2015/849…,” Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Delivery channel risk factors, paragraph 2.21, p.35.

[42] In realtà l’EBA fa riferimento alla più ampia European Economic Area, comprensiva degli Stati dell’Unione e dell’Islanda, Liechtenstein e Norvegia.

[43] Questa ultima indicazione è sostanzialmente analoga a quanto disposto dall’articolo 26 paragrafo 2 della Direttiva 2015/849, laddove si stabilisce che “Gli Stati membri vietano ai soggetti obbligati di ricorrere a terzi aventi sede in paesi terzi ad alto rischio. Gli Stati membri possono esonerare da tale divieto le succursali e le filiazioni controllate a maggioranza di soggetti obbligati aventi sede nell’Unione qualora dette succursali e filiazioni controllate a maggioranza si conformino pienamente alle politiche e procedure a livello di gruppo…”.

[44] Con tale espressione si fa usualmente riferimento a un agente monomandatario. Al contrario l’indipendent agent.

[45] “…without direct firm contact…”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 2: Identifying ML/TF risk factors, Delivery channel risk factors, paragraph 2.21, p.36.

[46] Orientamenti in materia di esternalizzazione del 25 febbraio 2019 (EBA/GL/2019/02). Disponibile all’indirizzo internet. https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2761380/
1c9aaefc-e10d-45a6-8a51-1fb450814a29/EBA%20revised%20Guidelines%20on%20outsourcing_IT.pdf?
retry=1

[47] Significativa, in tal senso, l’opinione espressa da illustre dottrina all’indomani dell’emanazione, nell’aprile 2013, del primo Provvedimento della Banca d’Italia in materia di adeguata verifica: “…si parte da un set di notizie predefinito dal decreto o dallo stesso Provvedimento e se ne valuta la sufficienza; se in base al rischio che emerge dalle notizie acquisite appaia necessario o opportuno approfondire alcuni aspetti, si torna alla fase di ricerca di ulteriori informazioni che, a seconda dei casi, possono mettere a fuoco un dettaglio o allargare il campo d’analisi”, G. Castaldi, L’adeguata verifica della clientela bancaria e il recente provvedimento della Banca d’Italia, Bancaria 10/2013, p.79.

[48] “A firm’s business-wide and individual risk assessments should help it identify where it should focus its ML/TF risk management efforts…”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, paragraph 4.1, p.38.

[49] Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Customer due diligence, paragraph 4.6, p. 38.

[50] L’indipendenza in tale ambito è determinata, in sostanza, dalla assenza di legami e collegamenti (personali, professionali o familiari) fra chi harilasciato o fornito i dati o le informazioni e il cliente stesso in merito al quale le informazioni vengono acquisite.

[51] Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Evidence of identity,paragraph 4.27, p. 43.

[52] “…firms should also take reasonable measures to understand the customer’s ownership and control structure”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Beneficial ownership registers, paragraph 4.13, p. 41.

[53] Cfr. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Identifying the beneficial owner of a public administration or a state-owned enterprises, paragraph 4.23, p.42.

Nel caso in parola occorrerà, in presenza di un rischio elevato – ad esempio in relazione a dimostrati livelli di corruzione del paese di appartenenza del cliente – almeno la verifica che la persona identificata come titolare effettivo sia debitamente autorizzata ad agire per conto del cliente.

Nell’ipotesi in cui, in base alla legislazione nazionale, il senior management sia anche qualificabile come persona politicamente esposta dovranno essere applicate misure rafforzate a tale alto dirigente.

[54] D. lgs 231/2007, articolo 20, Criteri per la determinazione della titolarità effettiva di clienti diversi dalle persone fisiche.

5. Qualora l’applicazione dei criteri di cui ai precedenti commi non consenta di individuare univocamente uno o più titolari effettivi, il titolare effettivo coincide con la persona fisica o le persone fisiche titolari, conformemente ai rispettivi assetti organizzativi o statutari, di poteri di rappresentanza legale, amministrazione o direzione della società o del cliente comunque diverso dalla persona fisica.

6. I soggetti obbligati conservano traccia delle verifiche effettuate ai fini dell’individuazione del titolare effettivo nonché’, con specifico riferimento al titolare effettivo individuato ai sensi del comma 5, delle ragioni che non hanno consentito di individuare il titolare effettivo ai sensi dei commi 1, 2, 3 e 4 del presente articolo).

[55] “…for example where the product or transaction sought has features that limit its use for ML/TF purposes…”,Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Simplified customer due diligence, paragraph 4.41, p.46.

[56] “…systems in place to detect when the threshold or time limit has been reached…”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Simplified customer due diligence, paragraph 4.41, p.47.

[57] Circostanza esclusa ai fini della verifica dell’identità del cliente: “…that this is not permitted for the verification of the customer’s identity”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Simplified customer due diligence, paragraph 4.41, p.47.

[58] In argomento il Provvedimento della Banca d’Italia del 30 luglio 2019 demanda, in caso di PEP la valutazione dell’esposizione al rischio di riciclaggio e del grado di efficacia dei presidi aziendali per mitigare il rischio a un “alto dirigente”, per tale dovendosi intendere “un amministratore o il direttore generale o altro dipendente delegato dall’organo con funzione di gestione o dal direttore generale a seguire i rapporti con la clientela a rischio elevato; l’alto dirigente ha una conoscenza idonea del livello di rischio di riciclaggio o di finanziamento del terrorismo cui è esposto il destinatario ed è dotato di un livello di autonomia sufficiente ad assumere decisioni in grado di incidere su questo livello di rischio”, Provvedimento della Banca d’Italia del 30 luglio 2019, cit., Disposizioni preliminari, Definizioni, p.2.

[59] FATF Guidance, politically exposed persons (recommendations 12 and 22), June 2013, Chapter I, Introduction, paragraph 2, p. 3. Sul tema anche G. Estrafallaces, Il concetto di “Persona Politicamente Esposta” (PEP): dalle indicazioni del GAFI e dell’Unione Europea al recepimento della IV Direttiva Antiriciclaggio, in questa rivista, luglio 2017, Considerazioni conclusive, p.28. In generale, sulle problematiche connesse alle persone politicamente esposte “La persona politicamente esposta nella legge antiriciclaggio: lex specialis o errore civilistico?”, Ranieri Razzante, Rivista NOTARIATO, 2/2019

[60] Le misure di rafforzamento, secondo l’EBA devono trovare applicazione anche nel caso in cui in cui l’intermediario accerti che l’operazione semplicemente “passi” (nel senso di “interessare”) un paese terzo ad alto rischio, ad esempio nell’ipotesi in cui per l’effettuazione dell’operazione ci si serva di un prestatore di servizi di pagamento che abbia sede in un paese terzo ad alto rischio oppure o il titolare effettivo del cliente sia residente in un paese terzo ad alto rischio. Cfr. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, High-risk third countries, paragraph 4.56, p.51.

[61] In questo caso il termine “governed” non andrebbe tradotto nel senso di “disciplinato/regolato”, ma nel senso di “sottoposto”. Considerata la finalità degli Orientamenti è, infatti, presumibile che l’EBA non abbia voluto fare riferimento alla legge che regola il trust, che, come noto, secondo la Convenzione dell’Aia del 1° luglio 1985 attribuisce al disponente (settlor o trustor) il potere di istituire il trust individuandone la legge regolatrice straniera, cioè la “proper law of the trust”. Quest’ultima, infatti, trova applicazione esclusivamente per gli aspetti relativi al funzionamento del trust (cfr. articolo 8 della richiamata “Convenzione”) e non ad altri aspetti come ad esempio, quelli relativi all’applicazione delle regole ALM/CFT. Pertanto, il termine “governed”, in questo contesto, dovrebbe essere inteso nel senso di “trust ricadente sotto la giurisdizione di un paese ad altr rischio”. Tanto si desume anche dalla lettura dell’articolo 15 della predetta “Convenzione” che prevede, in sostanza, la prevalenza della lex fori nel caso di norme inderogabili con atto volontario, come del resto sono da considerarsi quelle in tema di contrasto del riciclaggio e del finanziamento del terrorismo.

[62] Cfr. Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, High-risk third countries, paragraph 4.57, p.51.

[63] “2. Alla Commissione è conferito il potere di adottare atti delegati a norma dell’articolo 64 riguardo all’individuazione dei paesi terzi ad alto rischio, tenendo conto delle carenze strategiche, in particolare nei seguenti ambiti:

a) il quadro giuridico e istituzionale AML/CFT del paese terzo, segnatamente:

i) la perseguibilità penale del riciclaggio e del finanziamento del terrorismo;

ii) le misure relative all’adeguata verifica della clientela;

iii) gli obblighi per la conservazione dei documenti;

iv) gli obblighi per la segnalazione delle operazioni sospette;

v) la disponibilità, per le autorità competenti, di informazioni precise e tempestive sulla proprietà effettiva di persone giuridiche o istituti giuridici;

b) i poteri e le procedure di cui dispongono le autorità competenti del paese terzo ai fini della lotta al riciclaggio e al finanziamento del terrorismo, incluse sanzioni effettive, proporzionate e dissuasive, nonché la prassi del paese terzo nel campo della cooperazione e dello scambio di informazioni con le autorità competenti degli Stati membri;

c) l’efficacia del sistema AML/CFT del paese terzo per contrastare i rischi di riciclaggio o di finanziamento del terrorismo.

[64] Direttiva 2015/843, Articolo 18 bis:

1. Per quanto riguarda i rapporti d’affari o le operazioni che coinvolgono paesi terzi ad alto rischio identificati a norma dell’articolo 9, paragrafo 2, gli Stati membri prescrivono che i soggetti obbligati applichino le seguenti misure rafforzate di adeguata verifica della clientela:

a) ottenere informazioni supplementari sul cliente e sul titolare effettivo (o i titolari effettivi);

b) ottenere informazioni supplementari sullo scopo e sulla natura prevista del rapporto d’affari;

c) ottenere informazioni sull’origine dei fondi e del patrimonio del cliente e del titolare effettivo (o i titolari effettivi);

d) ottenere informazioni sulle motivazioni delle operazioni previste o eseguite;

e) ottenere l’approvazione dell’alta dirigenza per l’instaurazione o la prosecuzione del rapporto d’affari;

f) svolgere un controllo rafforzato del rapporto d’affari, aumentando il numero e la frequenza dei controlli effettuati e selezionando gli schemi di operazione che richiedono un ulteriore esame.

Gli Stati membri possono prescrivere che i soggetti obbligati garantiscano, se del caso, che il primo pagamento sia eseguito mediante un conto intestato al cliente presso un ente creditizio soggetto alle norme di adeguata verifica della clientela che non sono meno rigorose di quelle previste nella presente direttiva.

2. Oltre alle misure di cui al paragrafo 1 e nel rispetto degli obblighi internazionali dell’Unione, gli Stati membri prescrivono che i soggetti obbligati applichino, se del caso, una o più misure di mitigazione supplementari alle persone fisiche o ai soggetti giuridici che effettuano operazioni che coinvolgono paesi terzi ad alto rischio identificati a norma dell’articolo 9, paragrafo 2. Tali misure comprendono una o più delle seguenti misure:

a) l’applicazione di elementi supplementari per quanto concerne le misure rafforzate di adeguata verifica;

b) l’introduzione di pertinenti meccanismi di segnalazione rafforzati o la segnalazione sistematica delle operazioni finanziarie;

c) la limitazione di rapporti d’affari o le operazioni con persone fisiche o soggetti giuridici dei paesi terzi identificati come paesi terzi ad alto rischio a norma dell’articolo 9, paragrafo 2

3. Oltre alle misure di cui al paragrafo 1, gli Stati membri applicano, se del caso, una o più delle seguenti misure per quanto riguarda i paesi terzi ad alto rischio identificati a norma dell’articolo 9, paragrafo 2, conformemente agli obblighi internazionali dell’Unione:

a) rifiutare la costituzione di filiazioni o succursali o uffici di rappresentanza di soggetti obbligati del paese interessato, o comunque considerare il fatto che il soggetto obbligato interessato proviene da un paese che non dispone di adeguati regimi AML/CFT;

b) vietare la costituzione, da parte di soggetti obbligati, di succursali o uffici di rappresentanza nel paese interessato, o comunque considerare il fatto che la succursale o l’ufficio di rappresentanza in questione si troverebbe in un paese che non dispone di adeguati regimi AML/CFT;

c) prescrivere una maggiore vigilanza o obblighi più severi di revisione contabile esterna per le succursali e le filiazioni dei soggetti obbligati aventi sede nel paese in questione;

d) prescrivere obblighi più severi di revisione contabile esterna per i gruppi finanziari in relazione alle loro succursali e filiazioni situate nel paese in questione;

e) prescrivere che gli enti creditizi e gli istituti finanziari rivedano e modifichino o, se del caso, cessino i relativi rapporti con gli enti rispondenti nel paese interessato.

4. Nell’adottare o nell’applicare le misure di cui ai paragrafi 2 e 3, gli Stati membri tengono conto, se del caso, delle pertinenti valutazioni o relazioni elaborate da organizzazioni ed enti di normazione internazionali con competenze nel campo della prevenzione del riciclaggio di denaro e del contrasto al finanziamento del terrorismo riguardo ai rischi presentati dai singoli paesi terzi.

5. Gli Stati membri informano la Commissione prima di adottare o applicare le misure di cui ai paragrafi 2 e 3.»

[65] “…close business partners”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Other high-risk situations, paragraph 4.64, p.53.

[66] “Firms should also consider the risk that the person is not a real person”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Using innovative technological means to verify identity, paragraph 4.33, p.44.

[67] L’EBA rileva anche la necessità che il fornitore dei servizi sia registrato presso autorità nazionali competenti per l’accesso e l’archiviazione dei dati personali secondo gli standard legali dell’UE in conformità con il Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati (GDPR). In argomento va inoltre ricordato che le ESAs nel 2018 diffusero un parere congiunto in tema di soluzioni tecnologiche innovative a supporto del processo di adeguata verifica. Il parere è disponibile sul sito internet dell’EBA al seguente indirizzo: https://www.eba.europa.eu/esas-publish-opinion-on-the-use-of-innovative-solutions-in-the-customer-due-diligence-process

[68] “…so that the firm knows at all times which checks were carried out, which sources were used, what the results were and how robust these results were”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Using innovative technological means to verify identity, paragraph 4.34, p.45.

[69] Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE consultabile all’indirizzo internet https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32014R0910&from=HR

[70] “De-risking’ refers to a decision taken by firms to no longer offer services to some categories of customers associated with higher ML/TF risk.”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Financial inclusion and de-risking, paragraph 4.9, p.39.

[71] “…legitimate and credible reasons for being unable to provide traditional forms of identity documentation…”, Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849, cit., Title I: General Guidelines, Guideline 4: CDD measures to be applied by all firms, Financial inclusion and de-risking, paragraph 4.10, p.40.

[72] Il documento in parola è disponibile sul sito internet dell’EBA all’indirizzo https://www.eba.europa.eu/search?search_api_views_fulltext=EBA-OP-2016-07

Leggi gli ultimi contenuti dello stesso autore
Approfondimenti
Antiriciclaggio

La nuova banca dati EBA sulle carenze antiriciclaggio

28 Maggio 2024

Giampaolo Estrafallaces, Consigliere Senior, Banca d’Italia

Il contributo analizza la nuova banca dati centrale EBA introdotta dal Regolamento UE 2024/595 relativa alle carenze degli operatori del settore finanziari rilevanti in materia di antiriciclaggio e contrasto al finanziamento del terrorismo AML/CFT.
Articoli
Vigilanza

Brevi note in materia di prodotti “dual use” per i destinatari degli obblighi AML/CFT

6 Luglio 2023

Giampaolo Estrafallaces, Consigliere senior della Banca d’Italia

Il tema del contrasto al traffico illecito di beni a duplice uso, che va inquadrato nel più ampio contesto della lotta al finanziamento dei programmi di sviluppo delle armi di distruzione di massa (CFP), richiede approfondite competenze tecnico-normative. I soggetti
Di cosa si parla in questo articolo
Vuoi leggere altri contenuti degli autori?

WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

Iscriviti alla nostra Newsletter