WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

I controlli di conformità dei mediatori creditizi

28 Agosto 2014

Dott. Giuseppe Roddi, docente e consulente di Compliance bancaria – finanziaria

Di cosa si parla in questo articolo

Premesse

In base a quanto dispone il decreto del MEF del 22.1.14 n.31 1, tutte le società di mediazione creditizia devono dotarsi di un sistema di controllo interno proporzionato alla propria complessità organizzativa, dimensionale e operativa, mentre quelle di maggior dimensione dovranno costituire anche la funzione di controllo interno. L’apparato di controllo dei mediatori creditizi si arricchisce, in tal modo, di un nuovo istituto, che si aggiunge agli altri analoghi strumenti previsti dalla normativa, in primis a quelli antiriciclaggio e, poi, ove esistenti, a quelli contemplati ai sensi del d.lgs. 231/01 sulla responsabilità amministrativa degli enti.

La normativa, che entra in vigore il 1 ottobre, prevede che l’“organo con funzioni di controllo” (a seconda del sistema di governance assunto, potrà essere il Collegio sindacale o il Sindaco unico, il Consiglio di sorveglianza ovvero il Comitato per il controllo sulla gestione) “si avvale” di questo apparato per “verificare l’osservanza delle norme di legge, regolamentari e statutarie applicabili all’attività svolta”.

In particolare, il sistema di controllo interno “assicura”:

  1. un’efficace gestione e controllo dei rischi derivanti dall’inosservanza e dal mancato adeguamento alle norme di legge, regolamentari e statutarie applicabili all’attività svolta a cui la società è esposta anche in relazione alla rete di soggetti che operano per suo conto
  2. la riservatezza e l’integrità delle informazioni e l’affidabilità e sicurezza delle procedure per il loro trattamento
  3. la verifica della conformità dell’attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interne che la società ha definito per osservarle.

L’area di intervento si articola in forme di gestione e controllo dei rischi di non conformità, propri sia della struttura del mediatore creditizio, sia della rete distributiva, che assumendo una valenza strategica e potendo rappresentare una fonte di danni, diviene meritevole di attento e continuo presidio; riguarda, poi, argomenti quali la riservatezza e l’integrità delle informazioni e l’affidabilità e sicurezza delle procedure per il loro trattamento, vale a dire problematiche che ricomprendono la c.d. confidenzialità e la protezione dei dati personali, tematiche anch’esse rientranti nei rischi di non conformità; e concerne, infine, la verifica della conformità dell’attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interne che la società ha definito per osservarle. Vengono, in tal modo, introdotti controlli di II livello e l’apparato che li fonda e si richiede agli operatori di realizzare un sistema di controllo interno, inteso come procedure, attività, condotte, ecc..

Oggetto su cui dovranno cadere i controlli, come si è visto sono la società di mediazione creditizia e la rete distributiva da questa utilizzata nella propria attività.

Sebbene si tratti di disposizione forse non del tutto necessaria specie per chi fosse stato così accorto da attrezzarsi, per tempo, in modo da essere fin da subito pienamente in regola (alcune società di mediazione creditizia sono già strutturate in maniera assai articolata), appare comunque indispensabile per chi non sia stato così sollecito e vale, soprattutto, a completare il quadro dei controlli di secondo livello ricadenti sui mediatori creditizi. Si cumula, cioè, alle tipologie di controllo – di secondo e di terzo livello – previste nel Provvedimento della Banca d’Italia del 10.3.2011 in materia antiriciclaggio, ormai vigenti da anni anche per costoro; e, per i più solerti, anche all’ampio apparato richiesto dalla responsabilità amministrativa degli enti (d.lgs. 231/01). Era, comunque, necessaria ed auspicabile in un’ottica di progressivo e completo controllo nei confronti degli intermediari del credito, soprattutto dei mediatori creditizi che detengono un ruolo particolarmente delicato nella gestione dei rapporti banche / finanziarie da un lato e clientela (di ogni tipo) dall’altra. Intrinseche a queste norme si rinvengono alcune importanti disposizioni in tema di dipendenti e collaboratori, nonché l’obbligo di estendere la Relazione sui requisiti organizzativi, che dovrà essere all’occorrenza aggiornata.

1. Gli aspetti minimali

Il sistema di controllo introdotto dall’art. 4 del d.m. 22.1.14 n.31 deve essere proporzionato alla complessità organizzativa, dimensionale e operativa del mediatore creditizio. Viene, cioè, lasciata discrezionalità nell’organizzazione della struttura deputata, che dovrà tuttavia presentare dei requisiti minimali. Non vi sono regole del genere di quelle poste dalla normativa antiriciclaggio circa eventuali incompatibilità e attribuzione di ruoli. Si tratta, invero, di controlli di secondo livello, come tali attribuibili ad un medesimo soggetto od ufficio (mentre nell’antiriciclaggio rinveniamo controlli di secondo e di terzo livello, che devono essere accuratamente tenuti distinti, salvo qualche eccezione). Inoltre, non si pongono specificità comunicazionali, quali ad esempio l’onere dell’informativa all’ente pubblico per la segnalazione dell’operazione sospetta all’UIF o le comunicazioni di irregolarità al MEF.

Il sistema, in via minimale, deve assicurare:

  1. la conformità di condotta a legge, regolamenti e statuto della società e della rete distributiva, occupandosi della gestione e del controllo dei rischi da inosservanza e mancato adeguamento
  2. la riservatezza e l’integrità delle informazioni, nonché l’affidabilità e la sicurezza delle procedure per il loro trattamento
  3. la verifica della conformità dell’attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interna che la società dovrà aver definito per osservarle.

Ciò comporta la costruzione – ove già non vi sia, magari in embrione o, talora, ben strutturato – di un apparato di regole, policy, procedure, protocolli, con la relativa messa a disposizione e diffusione presso le varie ripartizioni interne del mediatore creditizio e i componenti la più o meno ampia rete (a mezzo di comunicazioni, formazione, incontri, ecc.).

Si pensi alla procedura di trasparenza bancaria-finanziaria, ai vari adempimenti dall’Avviso di trasparenza al Foglio informativo alla condotta che ogni singolo dipendente o collaboratore che abbia contatto con il pubblico deve osservare nel momento in cui intermedia; agli adempimenti in materia di sicurezza dei dati, sia sotto il profilo della confidenzialità verso i vari mandanti, sia sotto quello della protezione dei dati personali soprattutto della clientela che viene messa in contatto con quelli; in breve, agli obblighi di trasparenza, di privacy, ecc. derivanti dalla relazione in essere con i vari mandanti (consegna di documenti di trasparenza, raccolta del consenso informato, dichiarazioni di avvenuta consegna dei documenti di trasparenza, ecc.). Occorrerà, pertanto, prevedere una o più procedure. Si dovrà predisporre una serie di regole, portate a conoscenza di tutti i dipendenti ed i collaboratori (sarebbe opportuno, a tal fine, raccogliere la firma non solo di presa conoscenza, ma anche di impegno all’attenta osservanza). Perlomeno, vi dovrebbe essere almeno un’unica procedura interna, magari articolata a seconda delle diverse normative che vengono in considerazione: trasparenza, privacy, senza dimenticare anti-usura ed antiriciclaggio. A quest’ultimo, sebbene esuli dai temi affrontati nel Regolamento, occorre dedicare molta cura. Per l’antiriciclaggio (che non cade sotto la competenza dell’OAM, bensì della Banca d’Italia) serve un’apposita procedura, che metta in evidenza gli adempimenti dei soggetti che operano. Non si dimentichi, in proposito, l’obbligo comunicazionale e formativo all’interno della società (vertice e struttura) e nei riguardi della rete distributiva, che assume fondamentale rilevanza a fini di compliance.

Seguirà, necessariamente, a questo punto, un’attività di verifica per vagliare non solo la conoscenza, ma soprattutto l’effettiva osservanza da parte dei destinatari, dei dipendenti, dei collaboratori, delle disposizioni impartite nell’operativa quotidiana. Si apre, in tal modo, il campo alla materia delle ispezioni, con il corredo di condotte e conseguenze che reca seco e l’onere della conservazione della documentazione acquisita e prodotta nel corso dei controlli (art. 4.4 del d.m. 22.1.14 n.31).

2. La funzione di controllo interno nelle strutture maggiori

Se, in via di principio, ogni società di mediazione creditizia dovrà possedere un sistema di controllo interno nei termini suindicati, quelle di maggior dimensione dovranno presentare anche un’apposita Funzione di controllo interno 2.

Il sistema di controllo, infatti, inteso come procedure, attività, condotte, ecc. opera presso tutti i mediatori creditizi. Tuttavia, nelle società che superino i limiti dimensionali stabiliti dall’OAM (definiti nella circolare n.17/14, ribadendo quanto indicato dall’art. 7 del d.m., vale a dire nel limite di 20 persone) con riferimento al numero di dipendenti o collaboratori di cui la società di mediazione creditizia si avvale per il contatto con il pubblico, deve essere realizzata una funzione di controllo interno, vale a dire un’entità con caratteristiche peculiari e autonoma. A questa è affidata la valutazione periodica del sistema di controllo interno e la verifica della correttezza e regolarità dell’operatività aziendale. Se nelle strutture aziendali di minor ampiezza questo adempimento incombe sull’organo di controllo ex lege, nelle più grandi ricade sull’apposita funzione a tal fine costituita.

La Funzione di controllo interno può essere affidata a soggetti esterni dotati di idonei requisiti in termini di professionalità, autorevolezza e indipendenza. Come sempre in simili casi, il Regolamento dispone che resta ferma la responsabilità dell’organo con funzioni di controllo e del mediatore creditizio per il corretto svolgimento della funzione terziarizzata.

3. Dipendenti e collaboratori

Sulla falsariga che gli impone una stretta responsabilità nei confronti di chi operi per suo conto e ne spenda il nome, sul mediatore creditizio ricadono ulteriori incombenze tese a rafforzare il corretto adempimento della sua attività professionale. Si prevede, a tal fine, che questi applichi rigorose procedure di selezione dei propri dipendenti e collaboratori, acquisendo e conservando la documentazione probatoria dei requisiti posseduti. Vengono in considerazione i noti parametri di onorabilità e professionalità, nonchè l’iscrizione all’Elenco tenuto dall’OAM e le attività formative obbligatorie, che ormai caratterizzano l’acquisizione del personale sia dipendente sia terzo che comunque opera per l’intermediario del credito.

Alla stessa stregua dei preponenti nei riguardi della propria rete agenziale, anche sui mediatori creditizi incombe l’onere di verificare la correttezza dell’operato dei propri dipendenti e collaboratori. Si prevede che questa incombenza possa essere realizzata anche attraverso apposite indagini sul grado di soddisfazione della clientela e periodici accessi ispettivi, in altre parole monitoraggio, customer care e verifiche in situ. Le ispezioni devono essere effettuate annualmente su almeno un quinto dei collaboratori esterni. In caso di anomalie, i mediatori creditizi sono tenuti ad assumere prontamente adeguate misure 3.

Parimenti, le forme di remunerazione e valutazione dei dipendenti e collaboratori adottate non devono costituire un incentivo a distribuire prodotti non adeguati rispetto alle esigenze dei clienti. Si tratta di regola conosciuta nel comparto bancario-finanziario, tesa ad evitare la commercializzazione di prodotti che siano forieri di danni a carico degli utilizzatori finali 4, che viene ora giustamente riproposta anche in quest’ambito specifico.

4. La relazione sui requisiti organizzativi

I mediatori creditizi devono predisporre una Relazione che descrive le scelte effettuate e i presidi adottati per rispettare le indicate disposizioni, motivandone l’adeguatezza rispetto alla propria complessità organizzativa, dimensionale e operativa (si ripete, in tal caso, l’impostazione di legge). Specifica evidenza va data alle procedure adottate per assicurare la corretta applicazione della disciplina in tema di trasparenza e correttezza dei rapporti con la clientela emanata ai sensi del Titolo VI del TUB (d.lgs. 385/93) e di ogni altra disposizione vigente in questa materia. La Relazione, che non va ripetuta annualmente, ma aggiornata solo in caso di modifiche organizzative di rilievo, dovrà essere presentata all’OAM su sua richiesta. In sedicesimo è la Relazione sulla struttura organizzativa che banche e intermediari finanziari maggiori effettuano all’inizio dell’operatività ed aggiornano annualmente ove necessario. Si aggiunge alla Relazione antiriciclaggio che ha, invece, cadenza perlomeno annuale.

5. Come costituire un apparato di controllo conforme e funzionale

Se questo è il disposto normativo, soffermiamoci ora sulle modalità per costruire un apparato di controllo conforme e funzionale di una società di mediazione creditizia.

Finora si disponeva delle sole disposizioni organizzative in materia di antiriciclaggio (e di quelle in tema di responsabilità amministrativa degli enti, normativa non poi così diffusa tra questi soggetti perlomeno fino a questo momento). A queste si aggiungono ora quelle dedicate alla nuove esigenze di controllo interno e, nelle entità maggiori a 20 persone, all’obbligo di costituire la Funzione di controllo interno. Nulla vieta che la Funzione di controllo interno svolga anche i controlli antiriciclaggio o, più precisamente, le attività proprie dei presidi antiriciclaggio, purchè di secondo livello. Vediamo, a tal fine, alcune possibili configurazioni.

Prendiamo in considerazione, innanzi tutto, una gestione ridotta, estremamente semplificata, propria delle strutture fino a 20 persone. Le nuove incombenze possono essere attribuite alla Funzione antiriciclaggio, che dovrebbe già essere operante da tempo, o ad un altro ufficio. La realtà insegna che, molto spesso, una sola persona o un “fte” (“full time equivalent”) è colui che si occupa, fra le altre incombenze, anche di queste problematiche. Non vi sarebbero apparenti incompatibilità, anche se inevitabilmente il dilemma insorge, trattandosi pur sempre di attività che comportano controlli di secondo livello che, per essere correttamente adempiuti, dovrebbero ricadere su persone o uffici non dedicati al business, né dipendenti da chi si occupi di funzioni operative.

Come abbiamo visto, una vera e propria funzione di controllo interno dovrà essere attuata e mantenuta dai soggetti con più di 20 persone. In questo caso, la Funzione antiriciclaggio ed, eventualmente, la responsabilità della segnalazione delle operazioni sospette potrebbero venire accorpate con quella che, fra l’altro, può essere terziarizzata (è chiaro che, in tal caso, non sarebbe terziarizzabile la responsabilità della segnalazione delle operazioni sospette).

In un sistema minimale, valevole per le grandi e le piccole società di mediazione creditizia, la Funzione antiriciclaggio può estendere le sue attività. Per le più piccole, si può discutere sulla terziarizzazione di queste attività, sebbene nulla sia detto in senso ostativo in modo esplicito.

Gli altri adempimenti (trasparenza e privacy soprattutto) sono, in breve, riconducibili alle attività di compliance, come tali propri della nuova funzione di controllo interno.

Posizione a sé, almeno sotto un profilo formale, occupa la Relazione, il documento interno formale con valenza pubblicistica, la cui responsabilità ricade sul mediatore creditizio, sebbene in concreto sia inevitabile che alla Funzione di controllo interno spetti in genere la raccolta dei dati e la sua estensione redazionale.

 

1

Ministero dell’Economia e delle Finanze del 22.1.14 n.31 “Regolamento recante attuazione dell’articolo 29 del d.lgs. 13.8.2010, n.141, concernente il contenuto dei requisiti organizzativi per l’iscrizione nell’elenco dei mediatori creditizi” (G.U. 17.3.14 n. 63), in vigore dal 1.10.2014. L’art. 8 (“Disposizioni finali”) ne prevede l’adempimento entro 6 mesi dalla individuazione dei limiti dimensionali ex art. 4 c.3 o dall’entrata in vigore.I limiti sono stati resi noti dall’OAM (Organismo di vigilanza degli Agenti in attività finanziaria e dei Mediatori creditizi), che ha confermato quanto stabilito dal MEF, con la circolare n.17/14 contenente disposizioni di attuazione del d.m. citato.


ritorna

2

L’art. 7 (“Transitorio”) del d.m. 22.1.14 n.31 dispone che fino a quando i limiti dimensionali previsti dall’art. 4 c.3 non sono individuati dall’OAM, le società di mediazione creditizia con un numero di dipendenti o collaboratori superiore a venti sono tenute a costituire la funzione di controllo interno. La circolare OAM n.17/14 del 5.6.14, artt. 1 cc. 2-3 e 2 c.1, ha ribadito il disposto ministeriale senza variarlo.


ritorna

3

Cade acconcio il paragone con l’analogo obbligo (invero, corredato dalla successiva comunicazione alla Banca d’Italia da parte del preponente, che deve aver prima recato rimedio all’inadempimento dell’agente in attività finanziaria) previsto dall’art. 144 c.5-bis TUB per i preponenti nei confronti della propria rete agenziale.


ritorna

4

V. Banca d’Italia, Trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti.


ritorna

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter